當前位置: 首頁>> 工作動態>> 部門信息
 
銀監會發佈《商業銀行信息科技風險管理指引》
中央政府門戶網站 www.gov.cn   2009年06月01日   來源:銀監會網站

    為進一步加強商業銀行信息科技風險管理,銀監會近日發佈《商業銀行信息科技風險管理指引》(以下簡稱《管理指引》),原《銀行業金融機構信息系統風險管理指引》(銀監發〔2006〕63號,以下簡稱原《指引》)同時廢止。

    隨著銀行業信息化的發展,信息科技的作用已經從業務支持逐步走向與業務的融合,成為銀行穩健運營和發展的支柱,原《指引》定位在信息系統風險管理的基本、原則性要求,已難以滿足商業銀行信息科技風險管理的需要。為此,銀監會在原《指引》的基礎上,廣泛徵求業內機構意見,制定了本《管理指引》。

    《管理指引》具有以下幾個特點:一是全面涵蓋商業銀行的信息科技活動,進一步明確信息科技與銀行業務的關係,對於認識和防範風險具有更加積極的作用;二是適用範圍由銀行業金融機構變為法人商業銀行,其他銀行業金融機構參照執行;三是信息科技治理作為首要內容提出,充實並細化了對商業銀行在治理層面的具體要求;四是重點闡述了信息科技風險管理和內外部審計要求,特別是要求審計貫穿信息科技活動的整個過程之中;五是參照國際國內的標準和成功實踐,對商業銀行信息科技整個生命週期內的信息安全、業務連續性管理和外包等方面提出高標準、高要求,使操作性更強;六是加強了對客戶信息保護的要求。

    新《指引》共十一章七十六條,分為總則,信息科技治理,信息科技風險管理,信息安全,信息系統開發、測試和維護,信息科技運行,業務連續性管理,外包,內部審計,外部審計和附則等十一個部分。新《指引》的發佈,將進一步推動我國銀行業信息科技風險管理向更高水平邁進。

商業銀行信息科技風險管理指引

第一章 總 則

    第一條 為加強商業銀行信息科技風險管理,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《中華人民共和國外資銀行管理條例》,以及國家信息安全相關要求和有關法律法規,制定本指引。

    第二條 本指引適用於在中華人民共和國境內依法設立的法人商業銀行。

    政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資産管理公司、信託公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。

    第三條 本指引所稱信息科技是指計算機、通信、微電子和軟體工程等現代信息技術,在商業銀行業務交易處理、經營管理和內部控制等方面的應用,並包括進行信息科技治理,建立完整的管理組織架構,制訂完善的管理制度和流程。

    第四條 本指引所稱信息科技風險,是指信息科技在商業銀行運用過程中,由於自然因素、人為因素、技術漏洞和管理缺陷産生的操作、法律和聲譽等風險。

    第五條 信息科技風險管理的目標是通過建立有效的機制,實現對商業銀行信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健運行,推動業務創新,提高信息技術使用水平,增強核心競爭力和可持續發展能力。

第二章 信息科技治理

    第六條 商業銀行法定代表人是本機構信息科技風險管理的第一責任人,負責組織本指引的貫徹落實。

    第七條 商業銀行的董事會應履行以下信息科技管理職責:

    (一) 遵守並貫徹執行國家有關信息科技管理的法律、法規和技術標準,落實中國銀行業監督管理委員會(以下簡稱銀監會)相關監管要求。

    (二) 審查批准信息科技戰略,確保其與銀行的總體業務戰略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。

    (三) 掌握主要的信息科技風險,確定可接受的風險級別,確保相關風險能夠被識別、計量、監測和控制。

    (四) 規範職業道德行為和廉潔標準,增強內部文化建設,提高全體人員對信息科技風險管理重要性的認識。

    (五) 設立一個由來自高級管理層、信息科技部門和主要業務部門的代表組成的專門信息科技管理委員會,負責監督各項職責的落實,定期向董事會和高級管理層彙報信息科技戰略規劃的執行、信息科技預算和實際支出、信息科技的整體狀況。

    (六) 在建立良好的公司治理的基礎上進行信息科技治理,形成分工合理、職責明確、相互制衡、報告關係清晰的信息科技治理組織結構。加強信息科技專業隊伍的建設,建立人才激勵機制。

    (七) 確保內部審計部門進行獨立有效的信息科技風險管理審計,對審計報告進行確認並落實整改。

    (八) 每年審閱並向銀監會及其派出機構報送信息科技風險管理的年度報告。

    (九) 確保信息科技風險管理工作所需資金。

    (十) 確保銀行所有員工充分理解和遵守經其批准的信息科技風險管理制度和流程,並安排相關培訓。

    (十一) 確保本法人機構涉及客戶信息、賬務信息以及産品信息等的核心繫統在中國境內獨立運行,並保持最高的管理權限,符合銀監會監管和實施現場檢查的要求,防範跨境風險。

    (十二) 及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突發事件,按相關預案快速響應。

    (十三) 配合銀監會及其派出機構做好信息科技風險監督檢查工作,並按照監管意見進行整改。

    (十四) 履行信息科技風險管理其他相關工作。

    第八條 商業銀行應設立首席信息官,直接向行長彙報,並參與決策。首席信息官的職責包括:

    (一) 直接參與本銀行與信息科技運用有關的業務發展決策。

    (二) 確保信息科技戰略,尤其是信息系統開發戰略,符合本銀行的總體業務戰略和信息科技風險管理策略。

    (三) 負責建立一個切實有效的信息科技部門,承擔本銀行的信息科技職責。確保其履行:信息科技預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息系統退出等職責。

    (四) 確保信息科技風險管理的有效性,並使有關管理措施落實到相關的每一個內設機構和分支機構。

    (五) 組織專業培訓,提高人才隊伍的專業技能。

    (六) 履行信息科技風險管理其他相關工作。

    第九條 商業銀行應對信息科技部門內部管理職責進行明確的界定;各崗位的人員應具有相應的專業知識和技能,重要崗位應制定詳細完整的工作手冊並適時更新。對相關人員應採取下列風險防範措施:

    (一) 驗證個人信息,包括核驗有效身份證件、學歷證明、工作經歷和專業資格證書等信息。

    (二) 審核信息科技員工的道德品行,確保其具備相應的職業操守。

    (三) 確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統、信息科技管理制度和流程等要求,並同員工簽訂相關協議。

    (四) 評估關鍵崗位信息科技員工流失帶來的風險,做好安排候補員工和崗位接替計劃等防範措施;在員工崗位發生變化後及時變更相關信息。

    第十條 商業銀行應設立或指派一個特定部門負責信息科技風險管理工作,並直接向首席信息官或首席風險官(風險管理委員會)報告工作。該部門應為信息科技突發事件應急響應小組的成員之一,負責協調製定有關信息科技風險管理策略,尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面,為業務部門和信息科技部門提供建議及相關合規性信息,實施持續信息科技風險評估,跟蹤整改意見的落實,監控信息安全威脅和不合規事件的發生。

    第十一條 商業銀行應在內部審計部門設立專門的信息科技風險審計崗位,負責信息科技審計制度和流程的實施,制訂和執行信息科技審計計劃,對信息科技整個生命週期和重大事件等進行審計。

    第十二條 商業銀行應按照知識産權相關法律法規,制定本機構信息科技知識産權保護策略和制度,並使所有員工充分理解並遵照執行。確保購買和使用合法的軟硬體産品,禁止侵權盜版;採取有效措施保護本機構自主知識産權。

    第十三條 商業銀行應依據有關法律法規的要求,規範和及時披露信息科技風險狀況。

第三章 信息科技風險管理

    第十四條 商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃,確保配置足夠人力、財力資源,維持穩定、安全的信息科技環境。

    第十五條 商業銀行應制定全面的信息科技風險管理策略,包括但不限于下述領域:

    (一) 信息分級與保護。

    (二) 信息系統開發、測試和維護。

    (三) 信息科技運行和維護。

    (四) 訪問控制。

    (五) 物理安全。

    (六) 人員安全。

    (七) 業務連續性計劃與應急處置。

    第十六條 商業銀行應制定持續的風險識別和評估流程,確定信息科技中存在隱患的區域,評價風險對其業務的潛在影響,對風險進行排序,並確定風險防範措施及所需資源的優先級別(包括外包供應商、産品供應商和服務商)。

    第十七條 商業銀行應依據信息科技風險管理策略和風險評估結果,實施全面的風險防範措施。防範措施應包括:

    (一) 制定明確的信息科技風險管理制度、技術標準和操作規程等,定期進行更新和公示。

    (二) 確定潛在風險區域,並對這些區域進行詳細和獨立的監控,實現風險最小化。建立適當的控制框架,以便於檢查和平衡風險;定義每個業務級別的控制內容,包括:

    1. 最高權限用戶的審查。

    2. 控制對數據和系統的物理和邏輯訪問。

    3. 訪問授權以“必需知道”和“最小授權”為原則。

    4. 審批和授權。

    5. 驗證和調節。

    第十八條 商業銀行應建立持續的信息科技風險計量和監測機制,其中應包括:

    (一) 建立信息科技項目實施前及實施後的評價機制。

    (二) 建立定期檢查系統性能的程序和標準。

    (三) 建立信息科技服務投訴和事故處理的報告機制。

    (四) 建立內部審計、外部審計和監管發現問題的整改處理機制。

    (五) 安排供應商和業務部門對服務水平協議的完成情況進行定期審查。

    (六) 定期評估新技術發展可能造成的影響和已使用軟體面臨的新威脅。

    (七) 定期進行運行環境下操作風險和管理控制的檢查。

    (八) 定期進行信息科技外包項目的風險狀況評價。

    第十九條 中資商業銀行在境外設立的機構及境內的外資商業銀行,應當遵守境內外監管機構關於信息科技風險管理的要求,並防範因監管差異所造成的風險。

第四章 信息安全

    第二十條 商業銀行信息科技部門負責建立和實施信息分類和保護體系,商業銀行應使所有員工都了解信息安全的重要性,並組織提供必要的培訓,讓員工充分了解其職責範圍內的信息保護流程。

    第二十一條 商業銀行信息科技部門應落實信息安全管理職能。該職能應包括建立信息安全計劃和保持長效的管理機制,提高全體員工信息安全意識,就安全問題向其他部門提供建議,並定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。

    信息安全策略應涉及以下領域:

    (一) 安全制度管理。

    (二) 信息安全組織管理。

    (三) 資産管理。

    (四) 人員安全管理。

    (五) 物理與環境安全管理。

    (六) 通信與運營管理。

    (七) 訪問控制管理。

    (八) 系統開發與維護管理。

    (九) 信息安全事故管理。

    (十) 業務連續性管理。

    (十一) 合規性管理。

    第二十二條 商業銀行應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制,並且確保其在信息系統內的活動只限于相關業務能合法開展所要求的最低限度。用戶調動到新的工作崗位或離開商業銀行時,應在系統中及時檢查、更新或登出用戶身份。

    第二十三條 商業銀行應確保設立物理安全保護區域,包括計算機中心或數據中心、存儲機密信息或放置網絡設備等重要信息科技設備的區域,明確相應的職責,採取必要的預防、檢測和恢復控制措施。

    第二十四條 商業銀行應根據信息安全級別,將網絡劃分為不同的邏輯安全域(以下簡稱為域)。應該對下列安全因素進行評估,並根據安全級別定義和評估結果實施有效的安全控制,如對每個域和整個網絡進行物理或邏輯分區、實現網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、記錄活動日誌等。

    (一) 域內應用程序和用戶組的重要程度。

    (二) 各種通訊渠道進入域的訪問點。

    (三) 域內配置的網絡設備和應用程序使用的網絡協議和端口。

    (四) 性能要求或標準。

    (五) 域的性質,如生産域或測試域、內部域或外部域。

    (六) 不同域之間的連通性。

    (七) 域的可信程度。

    第二十五條 商業銀行應通過以下措施,確保所有計算機操作系統和系統軟體的安全:

    (一) 制定每種類型操作系統的基本安全要求,確保所有系統滿足基本安全要求。

    (二) 明確定義包括終端用戶、系統開發人員、系統測試人員、計算機操作人員、系統管理員和用戶管理員等不同用戶組的訪問權限。

    (三) 制定最高權限系統賬戶的審批、驗證和監控流程,並確保最高權限用戶的操作日誌被記錄和監察。

    (四) 要求技術人員定期檢查可用的安全補丁,並報告補丁管理狀態。

    (五) 在系統日誌中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項,手動或自動監控系統出現的任何異常事件,定期彙報監控情況。

    第二十六條 商業銀行應通過以下措施,確保所有信息系統的安全:

    (一) 明確定義終端用戶和信息科技技術人員在信息系統安全中的角色和職責。

    (二) 針對信息系統的重要性和敏感程度,採取有效的身份驗證方法。

    (三) 加強職責劃分,對關鍵或敏感崗位進行雙重控制。

    (四) 在關鍵的接合點進行輸入驗證或輸出核對。

    (五) 採取安全的方式處理保密信息的輸入和輸出,防止信息洩露或被盜取、篡改。

    (六) 確保系統按預先定義的方式處理例外情況,當系統被迫終止時向用戶提供必要信息。

    (七) 以書面或電子格式保存審計痕跡。

    (八) 要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。

    第二十七條 商業銀行應制定相關策略和流程,管理所有生産系統的活動日誌,以支持有效的審核、安全取證分析和預防欺詐。日誌可以在軟體的不同層次、不同的計算機和網絡設備上完成,日誌劃分為兩大類:

    (一) 交易日誌。交易日誌由應用軟體和數據庫管理系統産生,內容包括用戶登錄嘗試、數據修改、錯誤信息等。交易日誌應按照國家會計準則要求予以保存。

    (二) 系統日誌。系統日誌由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成,內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信息等。系統日誌保存期限按系統的風險等級確定,但不能少於一年。

    商業銀行應保證交易日誌和系統日誌中包含足夠的內容,以便完成有效的內部控制、解決系統故障和滿足審計需要;應採取適當措施保證所有日誌同步計時,並確保其完整性。在例外情況發生後應及時復查系統日誌。交易日誌或系統日誌的復查頻率和保存週期應由信息科技部門和有關業務部門共同決定,並報信息科技管理委員會批准。

    第二十八條 商業銀行應採取加密技術,防範涉密信息在傳輸、處理、存儲過程中出現洩露或被篡改的風險,並建立密碼設備管理制度,以確保:

    (一) 使用符合國家要求的加密技術和加密設備。

    (二) 管理、使用密碼設備的員工經過專業培訓和嚴格審查。

    (三) 加密強度滿足信息機密性的要求。

    (四) 制定並落實有效的管理流程,尤其是密鑰和證書生命週期管理。

    第二十九條 商業銀行應配備切實有效的系統,確保所有終端用戶設備的安全,並定期對所有設備進行安全檢查,包括臺式個人計算機(PC)、便攜式計算機、櫃員終端、自動櫃員機(ATM)、存摺打印機、讀卡器、銷售終端(POS)和個人數字助理(PDA)等。

    第三十條 商業銀行應制定相關制度和流程,嚴格管理客戶信息的採集、處理、存貯、傳輸、分發、備份、恢復、清理和銷毀。

    第三十一條 商業銀行應對所有員工進行必要的培訓,使其充分掌握信息科技風險管理制度和流程,了解違反規定的後果,並對違反安全規定的行為採取零容忍政策。

第五章 信息系統開發、測試和維護

    第三十二條 商業銀行應有能力對信息系統進行需求分析、規劃、採購、開發、測試、部署、維護、升級和報廢,制定制度和流程,管理信息科技項目的優先排序、立項、審批和控制。項目實施部門應定期向信息科技管理委員會提交重大信息科技項目的進度報告,由其進行審核,進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況。應在信息系統投産後一定時期內,組織對系統的後評價,並根據評價結果及時對系統功能進行調整和優化。

    第三十三條 商業銀行應認識到信息科技項目相關的風險,包括潛在的各種操作風險、財務損失風險和因無效項目規劃或不適當的項目管理控制産生的機會成本,並採取適當的項目管理方法,控制信息科技項目相關的風險。

    第三十四條 商業銀行應採取適當的系統開發方法,控制信息系統的生命週期。典型的系統生命週期包括系統分析、設計、開發或外購、測試、試運行、部署、維護和退出。所採用的系統開發方法應符合信息科技項目的規模、性質和複雜度。

    第三十五條 商業銀行應制定相關控制信息系統變更的制度和流程,確保系統的可靠性、完整性和可維護性,其中應包括以下要求:

    (一) 生産系統與開發系統、測試系統有效隔離。

    (二) 生産系統與開發系統、測試系統的管理職能相分離。

    (三) 除得到管理層批准執行緊急修復任務外,禁止應用程序開發和維護人員進入生産系統,且所有的緊急修復活動都應立即進行記錄和審核。

    (四) 將完成開發和測試環境的程序或系統配置變更應用到生産系統時,應得到信息科技部門和業務部門的聯合批准,並對變更進行及時記錄和定期復查。

    第三十六條 商業銀行應制定並落實相關制度、標準和流程,確保信息系統開發、測試、維護過程中數據的完整性、保密性和可用性。

    第三十七條 商業銀行應建立並完善有效的問題管理流程,以確保全面地追蹤、分析和解決信息系統問題,並對問題進行記錄、分類和索引;如需供應商提供支持服務或技術援助,應向相關人員提供所需的合同和相關信息,並將過程記錄在案;對完成緊急恢復起至關重要作用的任務和指令集,應有清晰的描述和説明,並通知相關人員。

    第三十八條 商業銀行應制定相關制度和流程,控制系統升級過程。當設備達到預期使用壽命或性能不能滿足業務需求,基礎軟體(操作系統、數據庫管理系統、中間件)或應用軟體必須升級時,應及時進行系統升級,並將該類升級活動納入信息科技項目,接受相關的管理和控制,包括用戶驗收測試。

第六章 信息科技運行

    第三十九條 商業銀行在選擇數據中心的地理位置時,應充分考慮環境威脅(如是否接近自然災害多發區、危險或有害設施、繁忙或主要公路),採取物理控制措施,監控對信息處理設備運行構成威脅的環境狀況,並防止因意外斷電或供電干擾影響數據中心的正常運行。

    第四十條 商業銀行應嚴格控制第三方人員(如服務供應商)進入安全區域,如確需進入應得到適當的批准,其活動也應受到監控;針對長期或臨時聘用的技術人員和承包商,尤其是從事敏感性技術相關工作的人員,應制定嚴格的審查程序,包括身份驗證和背景調查。

    第四十一條 商業銀行應將信息科技運行與系統開發和維護分離,確保信息科技部門內部的崗位制約;對數據中心的崗位和職責做出明確規定。

    第四十二條 商業銀行應按照有關法律法規要求保存交易記錄,採取必要的程序和技術,確保存檔數據的完整性,滿足安全保存和可恢復要求。

    第四十三條 商業銀行應制定詳盡的信息科技運行操作説明。如在信息科技運行手冊中説明計算機操作人員的任務、工作日程、執行步驟,以及生産與開發環境中數據、軟體的現場及非現場備份流程和要求(即備份的頻率、範圍和保留週期)。

    第四十四條 商業銀行應建立事故管理及處置機制,及時響應信息系統運行事故,逐級向相關的信息科技管理人員報告事故的發生,並進行記錄、分析和跟蹤,直到完成徹底的處置和根本原因分析。商業銀行應建立服務台,為用戶提供相關技術問題的在線支持,並將問題提交給相關信息科技部門進行調查和解決。

    第四十五條 商業銀行應建立服務水平管理相關的制度和流程,對信息科技運行服務水平進行考核。

    第四十六條 商業銀行應建立連續監控信息系統性能的相關程序,及時、完整地報告例外情況;該程序應提供預警功能,在例外情況對系統性能造成影響前對其進行識別和修正。

    第四十七條 商業銀行應制定容量規劃,以適應由於外部環境變化産生的業務發展和交易量增長。容量規劃應涵蓋生産系統、備份系統及相關設備。

    第四十八條 商業銀行應及時進行維護和適當的系統升級,以確保與技術相關服務的連續可用性,並完整保存記錄(包括疑似和實際的故障、預防性和補救性維護記錄),以確保有效維護設備和設施。

    第四十九條 商業銀行應制定有效的變更管理流程,以確保生産環境的完整性和可靠性。包括緊急變更在內的所有變更都應記入日誌,由信息科技部門和業務部門共同審核簽字,並事先進行備份,以便必要時可以恢復原來的系統版本和數據文件。緊急變更成功後,應通過正常的驗收測試和變更管理流程,採用恰當的修正以取代緊急變更。

第七章 業務連續性管理

    第五十條 商業銀行應根據自身業務的性質、規模和複雜程度制定適當的業務連續性規劃,以確保在出現無法預見的中斷時,系統仍能持續運行並提供服務;定期對規劃進行更新和演練,以保證其有效性。

    第五十一條 商業銀行應評估因意外事件導致其業務運行中斷的可能性及其影響,包括評估可能由下述原因導致的破壞:

    (一) 內外部資源的故障或缺失(如人員、系統或其他資産)。

    (二) 信息丟失或受損。

    (三) 外部事件(如戰爭、地震或颱風等)。

    第五十二條 商業銀行應採取系統恢復和雙機熱備處理等措施降低業務中斷的可能性,並通過應急安排和保險等方式降低影響。

    第五十三條 商業銀行應建立維持其運營連續性策略的文檔,並制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括:

    (一)規範的業務連續性計劃,明確降低短期、中期和長期中斷所造成影響的措施,包括但不限于:

    1.資源需求(如人員、系統和其他資産)以及獲取資源的方式。

    2.運行恢復的優先順序。

    3.與內部各部門及外部相關各方(尤其是監管機構、客戶和媒體等)的溝通安排。

    (二)更新實施業務連續性計劃的流程及相關聯絡信息。

    (三)驗證受中斷影響的信息完整性的步驟。

    (四)當商業銀行的業務或風險狀況發生變化時,對本條(一)到(三)進行審核並升級。

    第五十四條 商業銀行的業務連續性計劃和年度應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。

第八章 外 包

    第五十五條 商業銀行不得將其信息科技管理責任外包,應合理謹慎監督外包職能的履行。

    第五十六條 商業銀行實施重要外包(如數據中心和信息科技基礎設施等)應格外謹慎,在準備實施重要外包時應以書面材料正式報告銀監會或其派出機構。

    第五十七條 商業銀行在簽署外包協議或對外包協議進行重大變更前,應做好相關準備,其中包括:

    (一) 分析外包是否適合商業銀行的組織結構和報告路線、業務戰略、總體風險控制,是否滿足商業銀行履行對外包服務商的監督義務。

    (二) 考慮外包協議是否允許商業銀行監測和控制與外包相關的操作風險。

    (三) 充分審查、評估外包服務商的財務穩定性和專業經驗,對外包服務商進行風險評估,考查其設施和能力是否足以承擔相應的責任。

    (四) 考慮外包協議變更前後實施的平穩過渡(包括終止合同可能發生的情況)。

    (五) 關注可能存在的集中風險,如多家商業銀行共用同一外包服務商帶來的潛在業務連續性風險。

    第五十八條 商業銀行在與外包服務商合同談判過程中,應考慮的因素包括但不限于:

    (一) 對外包服務商的報告要求和談判必要條件。

    (二) 銀行業監管機構和內部審計、外部審計能執行足夠的監督。

    (三) 通過界定信息所有權、簽署保密協議和採取技術防護措施保護客戶信息和其他信息。

    (四) 擔保和損失賠償是否充足。

    (五) 外包服務商遵守商業銀行有關信息科技風險制度和流程的意願及相關措施。

    (六) 外包服務商提供的業務連續性保障水平,以及提供相關專屬資源的承諾。

    (七) 第三方供應商出現問題時,保證軟體持續可用的相關措施。

    (八) 變更外包協議的流程,以及商業銀行或外包服務商選擇變更或終止外包協議的條件,例如:

    1. 商業銀行或外包服務商的所有權或控制權發生變化。

    2. 商業銀行或外包服務商的業務經營發生重大變化。

    3. 外包服務商提供的服務不充分,造成商業銀行不能履行監督義務。

    第五十九條 商業銀行在實施雙方關係管理,以及起草服務水平協議時,應考慮的因素包括但不限于:

    (一) 提出定性和定量的績效指標,評估外包服務商為商業銀行及其相關客戶提供服務的充分性。

    (二) 通過服務水平報告、定期自我評估、內部或外部獨立審計進行績效考核。

    (三) 針對績效不達標的情況調整流程,採取整改措施。

    第六十條 商業銀行應加強信息科技相關外包管理工作,確保商業銀行的客戶資料等敏感信息的安全,包括但不限于採取以下措施:

    (一) 實現本銀行客戶資料與外包服務商其他客戶資料的有效隔離。

    (二) 按照“必需知道”和“最小授權”原則對外包服務商相關人員授權。

    (三) 要求外包服務商保證其相關人員遵守保密規定。

    (四) 應將涉及本銀行客戶資料的外包作為重要外包,並告知相關客戶。

    (五) 嚴格控制外包服務商再次對外轉包,採取足夠措施確保商業銀行相關信息的安全。

    (六) 確保在中止外包協議時收回或銷毀外包服務商保存的所有客戶資料。

    第六十一條 商業銀行應建立恰當的應急措施,應對外包服務商在服務中可能出現的重大缺失。尤其需要考慮外包服務商的重大資源損失,重大財務損失和重要人員的變動,以及外包協議的意外終止。

    第六十二條 商業銀行所有信息科技外包合同應由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業銀行應設立流程定期審閱和修訂服務水平協議。

第九章 內部審計

    第六十三條 商業銀行內部審計部門應根據業務的性質、規模和複雜程度,對相關系統及其控制的適當性和有效性進行監測。內部審計部門應配備足夠的資源和具有專業能力的信息科技審計人員,獨立於本銀行的日常活動,具有適當的授權訪問本銀行的記錄。

    第六十四條 商業銀行內部信息科技審計的責任包括:

    (一) 制定、實施和調整審計計劃,檢查和評估商業銀行信息科技系統和內控機制的充分性和有效性。

    (二) 按照第(一)款規定完成審計工作,在此基礎上提出整改意見。

    (三) 檢查整改意見是否得到落實。

    (四) 執行信息科技專項審計。信息科技專項審計,是指對信息科技安全事故進行的調查、分析和評估,或審計部門根據風險評估結果對認為必要的特殊事項進行的審計。

    第六十五條 商業銀行應根據業務性質、規模和複雜程度,信息科技應用情況,以及信息科技風險評估結果,決定信息科技內部審計範圍和頻率。但至少應每三年進行一次全面審計。

    第六十六條 商業銀行在進行大規模系統開發時,應要求信息科技風險管理部門和內部審計部門參與,保證系統開發符合本銀行信息科技風險管理標準。

第十章 外部審計

    第六十七條 商業銀行可以在符合法律、法規和監管要求的情況下,委託具備相應資質的外部審計機構進行信息科技外部審計。

    第六十八條 在委託審計過程中,商業銀行應確保外部審計機構能夠對本銀行的硬體、軟體、文檔和數據進行檢查,以發現信息科技存在的風險,國家法律、法規及監管部門規章、規範性文件規定的重要商業、技術保密信息除外。

    第六十九條 商業銀行在實施外部審計前應與外部審計機構進行充分溝通,詳細確定審計範圍,不應故意隱瞞事實或阻撓審計檢查。

    第七十條 銀監會及其派出機構必要時可指定具備相應資質的外部審計機構對商業銀行執行信息科技審計或相關檢查。外部審計機構根據銀監會或其派出機構的委託或授權對商業銀行進行審計時,應出示委託授權書,並依照委託授權書上規定的範圍進行審計。

    第七十一條 外部審計機構根據授權出具的審計報告,經銀監會及其派出機構審閱批准後具有與銀監會及其派出機構出具的檢查報告同等的效力,被審計的商業銀行應根據該審計報告提出整改計劃,並在規定的時間內實施整改。

    第七十二條 商業銀行在委託外部審計機構進行外部審計時,應與其簽訂保密協議,並督促其嚴格遵守法律法規,保守本銀行的商業秘密和信息科技風險信息,防止其擅自對本銀行提供的任何文件進行修改、複製或帶離現場。

第十一章 附 則

    第七十三條 未設董事會的商業銀行,應當由其經營決策機構履行本指引中董事會的有關信息科技風險管理職責。

    第七十四條 銀監會依法對商業銀行的信息科技風險管理實施監督檢查。

    第七十五條 本指引由銀監會負責解釋、修訂。

    第七十六條 本指引自頒布之日起施行,《銀行業金融機構信息系統風險管理指引》(銀監發〔2006〕63號)同時廢止。

銀監會有關負責人就《商業銀行信息科技風險管理指引》答記者問

    近日,中國銀監會頒布了《商業銀行信息科技風險管理指引》,銀監會有關負責人就相關問題回答了記者提問。

    問:2006年銀監會曾經出臺了《銀行業金融機構信息系統風險管理指引》,為什麼現在又頒布《商業銀行信息科技風險管理指引》?

    答:2006年銀監會發佈《銀行業金融機構信息系統風險管理指引》(以下簡稱原《指引》),填補了我國銀行業信息系統監管領域的空白。但隨著銀行業信息化的發展,信息科技的作用已經從業務支持逐步走向與業務的融合,成為銀行穩健運營和發展的支柱,定位在基本要求上的原《指引》已很難進一步滿足商業銀行信息科技風險管理的需要。另外,原《指引》對信息系統風險管理以原則性要求為主,在商業銀行執行、操作層面的指導意義不夠完善。為此,銀監會決定對原《指引》進行修訂,並重新定名為《商業銀行信息科技風險管理指引》(以下簡稱新《指引》),原《指引》同時廢止。

    問:起草新《指引》的基本原則和指導思想是什麼?

    答:銀監會在起草新《指引》過程中,貫徹了“管法人、管風險、管內控、提高透明度”的銀行監管理念,表現在以下幾個方面:一是從堅持法人監管出發,指出商業銀行法定代表人是本機構信息科技風險管理的第一責任人。二是從堅持風險監管出發,要求商業銀行建立有效的機制,實現對信息科技風險的識別、計量、監測和控制,提高信息技術使用水平。三是從內控監管要求出發,要求商業銀行建立完整的管理組織架構,制訂完善的管理制度和流程,以相互制約的管理機制對信息科技各環節進行控制。四是從保護廣大儲戶利益出發,要求商業銀行在信息系統開發、測試和維護,以及服務外包過程中加強對客戶信息的保護,防止敏感信息洩露,對業務連續性管理也加以規範,保障客戶數據安全和服務連續。

    問:新《指引》的基本框架和主要內容是什麼?

    答:《商業銀行信息科技風險管理指引》共十一章七十六條,主要內容包括總則、信息科技治理、信息科技風險管理、信息安全、信息系統開發測試和維護、信息科技運行、業務連續性管理、外包、內部審計、外部審計、附則等。

    問:和原《指引》相比,新《指引》具有哪些特點?

    答:和原《指引》相比,新《指引》具有以下六個較鮮明的特點:一是管理範疇由信息系統風險拓展至信息科技風險,全面覆蓋了商業銀行信息科技活動的各個環節,進一步明確了信息科技與銀行業務的關係;二是適用範圍由銀行業金融機構變為法人商業銀行,其他銀行業金融機構參照執行;三是信息科技治理作為首要內容提出,充實並細化了對商業銀行在治理層面的具體要求;四是以三個獨立章節的內容闡述了信息科技風險管理和內外部審計要求,特別是要求審計貫穿信息科技活動的整個過程之中;五是參照國際國內的標準和成功實踐,對商業銀行信息科技整個生命週期內的信息安全、業務連續性管理和外包等方面提出高標準、高要求,使操作性更強;六是加強了對客戶信息保護的要求。

    問:新《指引》的發佈對我國商業銀行而言有什麼影響?

    答:新《指引》的發佈,將對我國銀行業信息科技風險管理産生積極作用。首先,新《指引》規定了董事會和高級管理層在信息科技風險管理中承擔的主要責任,提出要構建信息科技風險管理的“三道防線”(即信息科技管理、信息科技風險管理、信息科技風險審計),要求商業銀行在決策層設立首席信息官,有利於商業銀行加強信息科技治理;其次,新《指引》對商業銀行在具體操作層面提供了可供借鑒、操作性強的較高要求,有利於促進商業銀行信息科技風險管理水平的持續提升;另外,對敏感信息保護要求的提出,特別是對外包服務環節信息保護的要求,將促使商業銀行進一步加強客戶信息保護,為廣大儲戶提供更加安全的服務。

    問:銀監會今後對商業銀行的信息科技風險監管還會採取哪些措施?

    答:今後,銀監會將繼續加強對商業銀行信息科技風險的監管。一是對銀行業金融機構執行新《指引》情況進行跟蹤,對不同類型機構的信息科技風險狀況進行分析,研究完善信息科技風險監管制度體系;二是逐步開展以防範化解銀行業信息科技風險為目標的現場檢查;三是加強對銀行業信息科技風險的非現場監管,研究建立信息科技風險評級體系,實現分類監管和差別監管,鼓勵商業銀行不斷提升信息科技風險管理水平。

 
 
 相關鏈結
· 我國銀行業要提高對金融創新的全面風險管理能力
· 銀監會副主席談關於銀行業金融創新與金融安全
· 銀監會聯合科技部加大對科技型中小企業信貸支持
· 人民銀行銀監會在京聯合召開貨幣信貸工作座談會
· 銀監會就《消費金融公司試點管理辦法》徵求意見
 圖片圖表
 欄目推薦
領導活動 人事任免 網上直播 在線訪談 政務要聞 執法監管
最新文件 法律法規 央企在線 新聞發佈 應急管理 服務信息