銀監會就<商業銀行信息科技風險管理指引>答問全文
銀監會發布《商業銀行信息科技風險管理指引》
為進一步加強商業銀行信息科技風險管理,銀監會近日發布《商業銀行信息科技風險管理指引》(以下簡稱《管理指引》),原《銀行業金融機構信息系統風險管理指引》(銀監發[2006]63號,以下簡稱原《指引》)同時廢止。
隨著銀行業信息化的發展,信息科技的作用已經從業務支持逐步走向與業務的融合,成為銀行穩健運營和發展的支柱,原《指引》定位在信息系統風險管理的基本、原則性要求,已難以滿足商業銀行信息科技風險管理的需要。為此,銀監會在原《指引》的基礎上,廣泛征求業內機構意見,制定了本《管理指引》。
《管理指引》具有以下幾個特點:一是全面涵蓋商業銀行的信息科技活動,進一步明確信息科技與銀行業務的關系,對于認識和防范風險具有更加積極的作用;二是適用范圍由銀行業金融機構變為法人商業銀行,其他銀行業金融機構參照執行;三是信息科技治理作為首要內容提出,充實并細化了對商業銀行在治理層面的具體要求;四是重點闡述了信息科技風險管理和內外部審計要求,特別是要求審計貫穿信息科技活動的整個過程之中;五是參照國際國內的標準和成功實踐,對商業銀行信息科技整個生命周期內的信息安全、業務連續性管理和外包等方面提出高標準、高要求,使操作性更強;六是加強了對客戶信息保護的要求。
新《指引》共十一章七十六條,分為總則,信息科技治理,信息科技風險管理,信息安全,信息系統開發、測試和維護,信息科技運行,業務連續性管理,外包,內部審計,外部審計和附則等十一個部分。新《指引》的發布,將進一步推動我國銀行業信息科技風險管理向更高水平邁進。
商業銀行信息科技風險管理指引
第一章 總 則
第一條 為加強商業銀行信息科技風險管理,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《中華人民共和國外資銀行管理條例》,以及國家信息安全相關要求和有關法律法規,制定本指引。
第二條 本指引適用于在中華人民共和國境內依法設立的法人商業銀行。
政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。
第三條 本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現代信息技術,在商業銀行業務交易處理、經營管理和內部控制等方面的應用,并包括進行信息科技治理,建立完整的管理組織架構,制訂完善的管理制度和流程。
第四條 本指引所稱信息科技風險,是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。
第五條 信息科技風險管理的目標是通過建立有效的機制,實現對商業銀行信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健運行,推動業務創新,提高信息技術使用水平,增強核心競爭力和可持續發展能力。
第二章 信息科技治理
第六條 商業銀行法定代表人是本機構信息科技風險管理的第一責任人,負責組織本指引的貫徹落實。
第七條 商業銀行的董事會應履行以下信息科技管理職責:
(一) 遵守并貫徹執行國家有關信息科技管理的法律、法規和技術標準,落實中國銀行業監督管理委員會(以下簡稱銀監會)相關監管要求。
(二) 審查批準信息科技戰略,確保其與銀行的總體業務戰略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。
(三) 掌握主要的信息科技風險,確定可接受的風險級別,確保相關風險能夠被識別、計量、監測和控制。
(四) 規范職業道德行為和廉潔標準,增強內部文化建設,提高全體人員對信息科技風險管理重要性的認識。
(五) 設立一個由來自高級管理層、信息科技部門和主要業務部門的代表組成的專門信息科技管理委員會,負責監督各項職責的落實,定期向董事會和高級管理層匯報信息科技戰略規劃的執行、信息科技預算和實際支出、信息科技的整體狀況。
(六) 在建立良好的公司治理的基礎上進行信息科技治理,形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業隊伍的建設,建立人才激勵機制。
(七) 確保內部審計部門進行獨立有效的信息科技風險管理審計,對審計報告進行確認并落實整改。
(八) 每年審閱并向銀監會及其派出機構報送信息科技風險管理的年度報告。
(九) 確保信息科技風險管理工作所需資金。
(十) 確保銀行所有員工充分理解和遵守經其批準的信息科技風險管理制度和流程,并安排相關培訓。
(十一) 確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統在中國境內獨立運行,并保持最高的管理權限,符合銀監會監管和實施現場檢查的要求,防范跨境風險。
(十二) 及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突發事件,按相關預案快速響應。
(十三) 配合銀監會及其派出機構做好信息科技風險監督檢查工作,并按照監管意見進行整改。
(十四) 履行信息科技風險管理其他相關工作。
|