关于进一步扩大招商引资的若干规定
作者:法律资料网 时间:2024-07-04 15:32:05 浏览:8318
来源:法律资料网
关于进一步扩大招商引资的若干规定
广西壮族自治区玉林市人民政府、中共玉林市委员会
玉发〔2004〕18号
关于进一步扩大招商引资的若干规定
为进一步扩大对外开放,加大我市招商引资工作力度,努力形成大招商、大发展的局面,掀起新一轮招商引资的热潮,增大我市经济建设的投资总量,促进我市经济跨越式发展,根据《自治区党委、自治区人民政府关于深入实施开放带动战略全面提高对外开放水平的决定》(桂发〔2003〕17号)等有关文件精神,结合我市实际,特制定本规定。
一、适用范围及鼓励投资范围
第一条 本规定所指的外来投资者是指市外、区外、境外来我市投资的单位和个人。
第二条 凡在我市行政区域内投资兴建符合我市产业发展方向的外来投资者,除享受国家、自治区规定的优惠政策外,同时享受本规定的优惠政策。
第三条 积极吸引外来投资者到我市兴办企业,鼓励以以下方式到玉林投资发展:
(一)举办独资、合资和合作经营企业;
(二)购买、参股、控股、兼并、租赁国有、集体或民营企业;
(三)开展加工贸易、补偿贸易和技术转让及无形资产投入等;
(四)举办“建设—经营—移交”(BOT)项目;
(五)除法律、法规禁止以外的其它投资方式。
二、完善我市招商引资机构
第四条 成立玉林市招商引资工作领导小组,作为全市招商引资工作的指导、协调、管理和决策机构。组长由市委书记、市长担任,成员由招商促进局、发展和改革委员会、经济委员会、国资委、财政局、商务局、环保局、国土资源局、建设局、规划局、监察局、公安局、劳动和社会保障局、安监局、物价局、政务中心、市经济开发区、国税局、地税局、工商局、质量技术监督局、人民银行以及海关、检验检疫等有关部门组成。领导小组下设办公室,办公室设在市招商促进局,办公室主任由市招商促进局局长兼任。
第五条 市招商促进局作为玉林市的专职招商引资管理机构,全面负责研究政策措施、项目对外发布、投资跟踪服务、办理投诉、督促检查、统计及协调服务等工作。
各县(市)区成立相应的招商引资管理机构,具体负责招商引资工作。
第六条 设立玉林市外来投资投诉中心、玉林市外来投资服务中心,统一归口市招商促进局管理。投诉中心负责办理外来投资者的投诉;服务中心负责项目登记代办服务、上门走访座谈等工作。经业主委托,项目新建报批、年检等工作可由服务中心代办。
三、提供服务保障
第七条 营造开放、宽松的投资环境,强化政府服务意识,主动为外来投资者提供优质服务。对经玉林市招商引资工作领导小组办公室认定的重大外来投资项目,实行“一事一议,一企一策,特事特办”的原则。根据项目投资规模,分别由市、县(市)区领导和有关部门领导负责,对项目进展情况实行跟踪服务,及时帮助解决项目报批、建设和生产经营过程中遇到的困难和问题。
第八条 进一步规范行政行为,认真实行首问负责制、服务承诺制、一次性告知制和责任追究制度。对损害玉林市投资环境的单位及个人,严格按照《玉林市关于损害经济发展软环境行为的责任追究办法(试行)》、《玉林市关于行政机关工作人员行政过错责任追究暂行办法》等有关规定从严处理。
第九条 对投资项目的审批一律实行政务中心大厅“一站式服务、窗口式受理、授权窗口审批、一个窗口收件和出件、并联式审批”的工作方式,切实减少审批环节,提高审批效率。
第十条 禁止各部门、各单位向投资企业乱检查、乱摊派、乱收费、乱罚款。对不符合法律、法规、规章、规定的检查、收费和摊派,投资企业有权拒绝。对投资企业实施的行政处罚,必须出具法律法规依据,不得滥施处罚,必须处罚的,有关部门要及时将处理意见向市招商促进局通报。
第十一条 认真处理外来投资投诉案件,坚决保护投资者合法权益。市外来投资投诉中心要建立快速反应处理机制,对客商的一般性投诉必须在5个工作日内办结,有特殊情况不能在规定时间内办结的,或需要有关部门或上级部门协调解决的,要抓紧办理,并及时把办理情况反馈给投诉者。对推诿扯皮、久拖不办的单位,要进行通报并追究单位一把手责任。涉及外来投资企业的案件,司法部门要依法从快立案、审结、执行。
第十二条 建立招商引资工作办公会议制度。每季度召开一次以玉林市招商引资工作领导小组成员为主的办公协调会,专门听取招商引资工作情况汇报,研究解决招商引资工作中出现的新情况、新问题。
四、招商引资的重点、方式
第十三条 招商引资重点
(一)重点面向广东、江苏、浙江、福建、上海等沿海发达省市以及港澳台、东盟等地区。同时,加大对日本、韩国、欧美等发达国家和地区的招商引资力度,力争取得新的突破。
(二)重点发挥南博会、玉博会等各类招商会、洽谈会对招商引资的促进作用。要以“服务南博会、办好玉博会”为重点,精心组织好一批参展企业和项目参加南博会、玉博会,推销产品和项目,吸引投资。
(三)重点突出工业项目招商,同时推进农业、第三产业、城镇基础设施建设和社会事业的招商。
第十四条 招商引资方式
(一)以园区招商。鼓励和积极引导外来投资者进入我市园区投资发展。充分发挥我市园区在招商引资中的重要作用,将市经济开发区、玉柴工业园、容县侨乡经济开发区、北流民安陶瓷工业园区以及其他各县(市)区、各重点乡镇工业集聚区建设成为我市招商引资的载体、对外开放的窗口。
(二)以优势产业、优势企业、优势资产招商。要围绕机械、建材、制药、陶瓷、农产品加工等优势产业开展招商引资。从我市优势企业中选择一批资产优、市场好、竞争力强的项目,面向国际大公司、大财团进行招商,争取有更多的世界500强和国内100强企业来我市投资发展。
(三)以项目招商。由市发展与改革委员会负责建立和完善市级招商引资项目库,加快推出一批市场前景好、科技含量高的重点项目,包括推出一批重点国有企业改革项目。进入市级项目库的项目,投资规模应在1000万元以上。今后,由市组织的招商引资活动,将主要从市级项目库储备项目中挑选推介。
(四)采取政府倡导与民间组织参与、集中推介与分散推广、走出去与请进来相结合等方式,大力开展各种形式的上门招商、中介招商、委托招商、驻点招商、网上招商、以商招商、亲缘招商等多种招商引资活动。
五、优惠政策
第十五条 税收优惠办法
(一)新办生产性企业自投产之日起,前3年免征企业所得税,期满后5年内由地方政府按实际上缴所得税地方留成部分的50%给予奖励。
(二)收购或投资控股(外来投资者占50%以上的股权比例)现有生产性企业,扣除原企业上年上缴所得税基数后,比照本条第(一)款规定予以奖励。
(三)投资交通、水利、城市公共设施等基础设施项目,在享受国家减免税优惠政策期满后的3年内,由地方政府按企业实际上缴所得税地方留成部分全额予以奖励。
(四)兴办旅游、商业、物流等服务业项目,固定资产投资在1000万元以上的,自营业之日起,第一年由地方政府按企业实际上缴所得税地方留成部分全额给予奖励,后两年按50%给予奖励;
(五)投资从事种植业、林果业、水产畜牧业,按该企业提供地方财政增加部分的30%给予奖励,奖励年限为5年。
第十六条 用地优惠办法
(一)对进入经济开发区、工业园区、工业集聚区并且按规定采取协议出让的工业项目用地,可给予一定的地价优惠,即按成本价确定出让金。对一次性缴纳土地出让金有困难的,允许其在法定期限内分期付款,即先按出让合同约定的土地出让金的50%缴纳首期出让金,余下部分根据企业固定资产投资总额大小给予适当的缓缴期:
1、投资总额在1000万元以下的项目,可给予2年的缓缴期;
2、投资总额在1000—3000万元的项目,可给予3年的缓缴期;
3、投资总额在3000—5000万元的项目,可给予4年的缓缴期;
4、投资总额在5000万元以上的项目,可给予5年的缓缴期;
5、若属国家级认定的高新技术产业化项目,可给予更长的缓缴期。
(二)建设项目依法使用国有农林场国有土地的,其土地补偿费、安置补助费的补偿标准为征用当地同类集体土地的土地补偿费、安置补助费的70%;青苗、地上附着物补偿费按征用集体土地的补偿办法办理;按规定采取协议出让的,出让金可按成本价确定。
(三)鼓励利用“四荒”发展工业。
1、开发国有荒山、荒坡、荒地、荒滩等未利用土地用于工业项目建设的,可以免缴土地补偿费。采取协议出让的,土地出让金可按成本价确定,实行土地使用权50年不变。达到出让合同约定的开发投资总额的50%以上或者已形成工业用地条件的,土地使用权可以依法转让、出租、抵押;采取租赁方式供地的,5年内政府免收租金;以入股方式供地的,从获利年度起,5年内政府不参与分红。
2、开发农村集体荒山、荒坡、荒地、荒滩等未利用土地用于工业项目建设的,可采取租赁、入股、联营等方式供地,保留集体土地性质,实行土地使用权30年不变,但必须办理集体土地使用手续、经村民会议三分之二以上成员或三分之二以上村民代表同意,并签订合同,明确双方权利和义务。
(四)固定资产投资额超亿元的生产性项目,可以视投资额大小另行商定优惠办法。
第十七条 其他规费优惠办法
(一)对投资新办生产性企业及原有生产性企业增资项目,自投产之日起,3年内除水资源费、环保排污费、超标排污费、污水处理费、城市配套费外,代国家和自治区收取的行政事业性收费按最低标准收取。本市规定的行政事业性收费:收费部门属财政全额拨款的,一律免收;属财政差额拨款的,只按标准的15%收取;属自收自支的,按标准的30%收取。3年后,按照《玉林市行政事业性收费目录》和物价部门核准的最低标准收取。
(二)兼并、收购国有、集体、乡镇企业,一次性付清价款的,按审批范围及权限,经市、县(市)区政府核定,予以一定程度的价款减让。如一次性付清有困难的,经批准可分期支付。
六、加强全市各级各部门之间的招商合作
第十八条 实行在全市范围内进入园区“异地安商,税收分成”的办法,鼓励各县(市)区之间,各乡镇之间,各乡镇与各县(市)区之间,各乡镇、各县(市)区与市直之间进行招商合作,在全市范围内进行异地安商。充分尊重外来投资者的办厂意愿,在符合土地利用和城建总体规划的前提下,只要企业主愿意在玉林投资办厂,不管落户在哪个县(市)区、哪个乡镇,全市各级各部门都要给予大力支持,按照各自职责全力做好服务工作。投资建厂所产生的地方实得税收由财政部门负责调配。具体方式如下:
(一)各县(市)区之间的税收调配。甲县引来的客商去乙县投资建厂,前五年所产生的地方实得税收甲占40%、乙占60%。后五年甲占30%、乙占70%。
(二)各县(市)区、各乡镇引来的客商在市直经济开发区、工业园区投资建厂的,10年内,各县(市)区、各乡镇每年可分享地方实得税收的50%。各乡镇引来的客商在本县(市)区直工业集聚区投资建厂,10年内,各乡镇每年可分享地方实得税收的50%。
(三)各乡镇引来的客商去其他乡镇、县(市)区投资建厂的,地方实得税收调配比照本条第(一)款。
七、奖励
第十九 条奖励对象
凡直接引进外来投资者来玉林投资的单位(中介)和个人,均可予以奖励。
第二十条 奖励范围
受奖励的外来投资项目指的是玉林市外的投资者来玉林投资新办工业、农业、旅游业及基础设施等领域的项目,奖励起算标准为投资总金额100万元人民币。
第二十一条 奖励标准
凡引进外来投资项目,按实际到位金额的5‰给予奖励(境外资金按资金解缴日中国人民银行公布的外汇牌价折算成人民币奖励)。
对投资总额超过1000万美元的重大项目,除全额享受自治区奖励外,我市仍按5‰的标准给予奖励。
第二十二条 奖励程序
凡申请奖励的单位和个人向市招商促进局申报,并提供引进的外来投资企业的批准证书、营业执照、验资报告和税务登记等证书复印件。允许按资金到位情况逐年申报,但最长不能超过三年。第一次申报期限为企业开工日起一年内,过期不申报者视自动放弃奖励。市招商促进局一个月内对申报材料进行审核,签署意见后报市招商引资工作领导小组审定。
第二十三条 奖金来源
对外来投资项目引进单位和个人的奖金,根据外来投资企业税收归属关系,由同级财政列支,纳入同年财政预算。
第二十四条 奖励实施细则另行规定。
八、其它
第二十五条 本规定由市招商促进局负责解释。
第二十六条 本规定自发布之日起施行。本规定实施前玉林市颁布的有关文件,凡与本规定相抵触的,一律以本规定为准。
中共玉林市委员会
玉林市人民政府
2004年6月23日
关于鼓励技术出口的若干意见
商务部 科技部
商务部 科技部 联合发布《关于鼓励技术出口的若干意见》
商服贸发2009年第584号
改革开放以来,我国产业技术通过自主创新、对引进技术的消化吸收再创新,以及对传统工业的技术改造,现已形成较为完整的工业体系,拥有大量成熟的产业化技术,技术出口配套能力大大增强。上世纪90年代以来,我国已成功实现电力、通讯、建材生产、石油勘探、汽车制造、化工和冶金技术出口并带动大量成套设备出口,对提高产业技术水平,推动出口结构优化,促进经济社会发展发挥了重要作用。但是,由于我国技术出口起步较晚,与发达国家还存在较大差距。多年来,我国技术出口金额远低于进口金额,进出口逆差约200亿美元。
为保持对外贸易稳定增长,优化出口结构,推动技术出口快速增长,提高技术出口在技术贸易中的比例,现提出以下意见:
一、深刻认识技术出口的重要意义。随着经济全球化的深入发展,科学技术发展日新月异,服务业的跨国转移已成为经济全球化的新趋势。作为服务贸易的重要组成部分,技术进出口在提高自主创新能力、转变经济发展方式、推动对外贸易稳步增长等方面发挥着重要作用。鼓励技术出口,有利于科技成果的产业化和商品化,实现资源的有效配置,有利于引导高新技术、先进适用技术和成熟配套技术进入国际市场,带动成套设备、产品和服务出口,推动国内产业结构升级和发展方式转变。
二、积极鼓励成熟的产业化技术出口。支持企业通过贸易、投资或者经济技术合作的方式出口技术(指未列入《中国禁止出口限制出口目录》的技术),包括专利权转让、专利申请权转让、专利实施许可、技术秘密许可、技术服务、技术咨询等。
三、落实好现行支持技术出口的财税政策。落实好现行支持技术出口的财税政策,充分运用相关外经贸支持政策,支持技术出口。居民企业通过技术出口实现的技术转让所得,按照税法有关规定享受免征或减征企业所得税优惠。
四、积极提供金融保险支持。研究制订符合技术出口企业特点和实际需要的信贷产品和保险险种,拓宽企业融资渠道,扩大融资能力。支持技术出口企业开展知识产权质押贷款业务,建立知识产权质押融资服务机制,解决企业尤其是科技型中小企业融资困难,利用质押贷款贴息专项资金,降低企业融资成本。鼓励保险公司为技术出口特别是附带成套设备的技术出口提供收汇保障、商账追收服务和保险项下的贸易融资便利,简化理赔手续,加快理赔速度,化解企业收汇风险,加快企业资金周转速度。
五、支持科研机构承接境外研发业务。进一步鼓励跨国公司在华设立研发机构及委托其在华研发机构研发技术。鼓励大学和科研机构通过承接境外研发业务,培养科技人才,提高研发能力,开拓国际市场。鼓励企业加强与境外企业、大学或科研机构的联系,支持其进行联合研究开发。
六、鼓励科技型企业“走出去”。鼓励和支持科技型企业通过对外投资、承包工程、技术与知识产权入股等方式开展对外合作业务,鼓励科技型企业并购境外高新技术企业、设立境外研发机构,带动我技术及服务出口。发挥驻外经济商务、教育、科技等机构的作用,引导企业“走出去”,开展合作研发,建立海外研发基地和产业化基地。
七、推动服务贸易领域自主创新,提高服务出口的技术含量。建立以企业为主体、市场为导向的服务贸易领域技术创新体制。鼓励服务贸易企业增强自主创新能力,充分发挥科技对服务贸易的支撑和引领作用,推动信息管理、数据处理、技术研发、工业设计等高技术含量的服务出口。
八、加强国际技术合作。发挥全球和区域经济合作、多双边会议和磋商机制等方面的作用,将多双边技术合作与援外、对外投资、境外承包工程等工作结合起来,在推进与发达国家合作的同时,加强与发展中国家合作,进一步推动国际技术合作。
九、加大对我成熟产业化技术、自主知识产权产品技术的宣传力度。鼓励中介组织和贸易促进机构组织企业赴我技术出口重点国家和地区举办技术出口推介和洽谈会。依托国内外著名展会平台对我优势技术进行宣传,推动技术出口发展。
十、加强技术出口服务体系建设。建立技术出口服务平台,通过信息收集、政策咨询、发布技术资源和技术供给,帮助企业获取国际技术市场信息。鼓励和支持相关中介机构的发展,为企业技术出口提供人才信息、法律咨询、翻译、报关、专利申报、展会服务、培训等综合服务。
十一、加强对知识产权的管理和保护。健全知识产权管理和保护制度,建立技术出口企业知识产权辅导服务机制,建立知识产权数据库和公共信息服务体系,支持技术出口企业境外知识产权维权,增强技术出口企业解决海外知识产权争端的能力。
十二、完善技术出口统计体系。商务、科技部门应与相关部门加强协作,建立全口径技术出口统计分析系统和相关数据联网核查管理系统。
十三、进一步完善法律法规和管理体系,提高技术出口管理效率。适时修订《技术进出口管理条例》,完善技术出口法律法规。建立各部门密切配合的技术出口管理和服务体系,商务等相关部门加强协作,为企业技术出口提供便利。充分利用信息化手段,推行政务公开,探索网上申报、网上领证业务,方便企业在线办理登记手续,鼓励在机构、人员、信息化等方面具备条件的省(市),进一步下放技术出口管理权限。
银行业金融机构信息系统风险管理指引
中国银行业监督管理委员会
银行业金融机构信息系统风险管理指引
第一章 总 则
第一条 为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条 本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条 本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条 本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条 信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章 机构职责
第六条 银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条 银行业金融机构应认真履行下列信息系统管理职责:
(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;
(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;
(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;
(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;
(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;
(六)做好本机构信息系统审计工作;
(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;
(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;
(九)开展与信息系统风险管理相关的其他工作。
第八条 银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理;信息科技管理委员会、风险管理委员会或其他负责风险监督的专业委员会应制定信息系统总体策略,统筹信息系统项目建设,定期评估、报告本机构信息系统风险状况,为决策层提供建议,采取相应的风险控制措施。
第九条 银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。
第十条 银行业金融机构应设立信息科技部门,统一负责本机构信息系统的规划、研发、建设、运行、维护和监控,提供日常科技服务和运行技术支持;建立或明确专门信息系统风险管理部门,建立、健全信息系统风险管理规章、制度,并协助业务部门及信息科技部门严格执行,提供相关的监管信息;设立审计部门或专门审计岗位,建立健全信息系统风险审计制度,配备适量的合格人员进行信息系统风险审计。
第十一条 银行业金融机构从事与信息系统相关工作的人员应符合以下要求:
(一)具备良好的职业道德,掌握履行信息系统相关岗位职责所需的专业知识和技能;
(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第十二条 银行业金融机构应加强信息系统风险管理的专业队伍建设,建立人才激励机制,适应信息技术的发展。
第十三条 银行业金融机构应依据有关法律法规及时和规范地披露信息系统风险状况。
第三章 总体风险控制
第十四条 总体风险是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
第十五条 银行业金融机构应根据信息系统总体规划,制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制。
第十六条 银行业金融机构应采取措施防范自然灾害、运行环境变化等产生的安全威胁,防止各类突发事故和恶意攻击。
第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权。
第十八条 在境外设立的我国银行业金融机构或在境内设立的境外银行业金融机构,应防范由于境内外信息系统监管制度差异等造成的跨境风险。
第十九条 银行业金融机构应严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,实行信息安全等级保护。
第二十条 银行业金融机构应加强对信息系统的评估和测试,及时进行修补和更新,以保证信息系统的安全性、完整性。
第二十一条 银行业金融机构信息系统数据中心机房应符合国家有关计算机场地、环境、供配电等技术标准。全国性数据中心至少应达到国家A类机房标准,省域数据中心至少应达到国家B类机房标准,省域以下数据中心至少应达到C类机房标准。数据中心机房应实行严格的门禁管理措施,未经授权不得进入。
第二十二条 银行业金融机构应重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构信息化成果。
第二十三条 银行业金融机构与信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。
第二十四条 信息系统的网络应参照相关的标准和规范设计、建设;网络设备应兼备技术先进性和产品成熟性;网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;建立完善的网管中心,监测和管理通信线路及网络设备,保障网络安全稳定运行。
第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。
第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。
第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理,不得脱离系统采集加工、传输、存取数据;优化系统和数据库安全设置,严格按授权使用系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,保证数据的完整性、保密性。
第二十八条 银行业金融机构应对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。
第二十九条 银行业金融机构应制定信息系统应急预案,并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。
第三十条 银行业金融机构应加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权。信息系统的技术文档资料包括:系统环境说明文件、源程序以及系统研发、运行、维护过程中形成的各类技术资料。重要数据包括:交易数据、账务数据、客户数据,以及产生的报表数据等。
第三十一条 银行业金融机构在信息系统可能影响客户服务时,应以适当方式告知客户。
第四章 研发风险控制
第三十二条 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
第三十三条 银行业金融机构信息系统研发前应成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作。
第三十四条 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度。
第三十五条 银行业金融机构业务部门根据本机构业务发展战略,在充分进行市场调查、产品效益分析的基础上制定信息系统研发项目可行性报告。
第三十六条 银行业金融机构业务部门编写项目需求说明书,提出风险控制要求,信息科技部门根据项目需求编制项目功能说明书。
第三十七条 银行业金融机构信息科技部门依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求。
第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。
第三十九条 银行业金融机构信息科技部门应根据测试结果修补系统的功能和缺陷,提高系统的整体质量。
第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练。
第四十一条 开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存。
第四十二条 项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投产使用。
第五章 运行维护风险控制
第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条 银行业金融机构信息系统运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。
第四十五条 银行业金融机构信息系统的运行应符合以下要求:
(一)制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息;
(二)提供常见和简便的操作菜单或命令,如信息系统的启动或停止、运行日志的查询等;
(三)提供机房环境、设备使用、网络运行、系统运行等监控信息;
(四)记录运行值班过程中所有现象、操作过程等信息。
第四十六条 银行业金融机构信息系统的维护应符合以下要求:
(一)除对信息系统设备和系统环境的维护外,对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;
(二)具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计;
(三)提供维护的统计和报表打印功能。
第四十七条 银行业金融机构信息系统的变更应符合以下要求:
(一)制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;
(二)根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性;
(三)应采用软件工具精确判断变更的真实位置和内容,形成变更内容核实清单,实现真实、有效、全面的检验;
(四)软件版本变更后应保留初始版本和所有历史版本,保留所有历史的变更内容核实清单。
第四十八条 银行业金融机构在信息系统投产后一定时期内,应组织对系统的后评价,并根据评价及时对系统功能进行调整和优化。
第四十九条 银行业金融机构应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。
第五十条 银行业金融机构应实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第六章 外包风险控制
第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
第五十二条 银行业金融机构在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全有关规章制度,制定相应的风险防范措施。
第五十三条 银行业金融机构应建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质,具有相关专业经验的独立机构完成。
第五十四条 银行业金融机构应当与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任。
第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中。
第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序,审慎管理外包产生的风险,提高本机构对外包管理的能力。
第五十七条 银行业金融机构的信息系统外包风险管理应当符合风险管理标准和策略,并应建立针对外包风险的应急计划。
第五十八条 银行业金融机构应与外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更,保证外包服务不间断的应急预案。
第五十九条 银行业金融机构将敏感的信息系统,以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时,应遵守国家有关法律法规,符合银监会的有关规定,经过董事会或其他决策机构批准,并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。
第七章 审 计
第六十条 银行业金融机构内设审计部门负责本机构信息系统审计,也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。
第六十一条 信息系统风险审计应包括:总体风险审计、系统审阅和专项风险审计。
第六十二条 总体风险审计是指对本机构所有信息系统共有的公共部分进行审计,实施总体风险控制。根据信息系统的总体风险状况确定审计频率,但至少每3年审计一次。
第六十三条 信息系统的系统审阅是指对研发、运行及退出的全过程进行审计,分投产前与投产后的审阅。
第六十四条 投产前的系统审阅是指审计人员采用非现场形式,对信息项目开发过程中所提交的有关文档资料进行审阅,指出其中存在的风险,了解是否具有相应的控制措施,并提出评价和建议的过程。信息系统投产前的系统审阅应关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。
投产前的系统审阅重点:
(一)被外界成功攻破的可能性;
(二)在内部安全控制方面的设计漏洞与缺陷;
(三)项目开发管理方面的问题;
(四)效率与效能;
(五)功能、设计和工作流程是否符合法律、法规和内部控制方面的规定并有连续兼容性;
(六)其他需重点审阅的内容。
第六十五条 投产前的系统审阅文档资料包括:
(一)项目可行性报告;
(二)项目需求说明书;
(三)项目功能说明书(包括业务与技术方面存在的风险及控制办法);
(四)项目总体技术框架;
(五)项目设计说明书;
(六)项目实施计划;
(七)与第三方签订的外包协议;
(八)测试计划及验收报告;
(九)投产计划;
(十)项目开发例会的会议记录;
(十一)操作手册;
(十二)其他需审阅的文档资料。
对于所含内容较多的文档资料,应对关键交易的数据处理流程、交易接口和其他重要的安全事项进行审阅。
第六十六条 投产后的系统审阅是指在信息系统投入生产一段时间后进行的审计,旨在评估对信息系统各项风险的控制是否恰当,能否实现预定的设计目标。投产后的系统审阅应在信息系统投入生产半年后进行,审计报告应对被审计的信息系统提出改进或增加风险控制、能否继续生产等内容的审计建议。
第六十七条 信息系统专项风险审计是指对被审计单位发生信息安全事故进行的调查、分析和评估,或原有信息系统进行重大结构调整的审计,或审计部门认为需要对信息系统某项专题进行审计。
第六十八条 银行业金融机构信息系统风险审计也可以由银监会及其派出机构依据法律、法规和规章,委托并授权有法定资质的中介评估机构进行。
第六十九条 中介机构根据银监会或其派出机构委托或授权对银行业金融机构进行审计时,应出示委托授权书,并依照委托授权书上规定的委托和授权范围进行审计。
不分页显示 总共2页 1 [2]
下一页
