中國銀監(jiān)會辦公廳關(guān)于加強非銀行金融機構(gòu)信息科技建設(shè)和管理的指導意見

各銀監(jiān)局，各金融資產(chǎn)管理公司，中國信托業(yè)保障基金公司、中國信托登記有限責任公司：

為促進信托公司和金融資產(chǎn)管理公司、企業(yè)集團財務(wù)公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經(jīng)紀公司等非銀行金融機構(gòu)（以下簡稱非銀機構(gòu)）信息科技建設(shè)，提升信息化管理水平，有效防范信息科技風險，保障非銀機構(gòu)穩(wěn)健經(jīng)營和持續(xù)發(fā)展，現(xiàn)就加強非銀機構(gòu)信息科技建設(shè)和管理工作提出以下意見。

一、指導原則

（一）明確主體責任。非銀機構(gòu)作為金融機構(gòu)獨立法人應承擔相應的信息科技管理職責，建立符合業(yè)務(wù)特點的信息科技戰(zhàn)略和風險管理策略，根據(jù)業(yè)務(wù)發(fā)展和經(jīng)營管理需要，確定信息科技發(fā)展目標和功能定位，合理利用外部資源，自主開展信息科技管理工作。

（二）科技支撐發(fā)展。科學配備信息科技資源，充分發(fā)揮信息科技對業(yè)務(wù)發(fā)展和轉(zhuǎn)型的支撐和引領(lǐng)作用，順應“互聯(lián)網(wǎng)+”發(fā)展趨勢，積極穩(wěn)妥地探索和應用新興技術(shù)，為改善系統(tǒng)、渠道、產(chǎn)品的靈活性和可擴展性提供支持。

（三）倡導合作共享。積極與其他銀行業(yè)金融機構(gòu)協(xié)同合作，加強資源開放共享，交流先進技術(shù)與成功管理經(jīng)驗，取長補短，提高非銀機構(gòu)信息科技建設(shè)和管理水平。

（四）嚴守風險底線。建立健全信息科技風險管理架構(gòu)，加強基礎(chǔ)設(shè)施建設(shè)、開發(fā)測試、運行維護、信息安全、業(yè)務(wù)連續(xù)性、外包等重點領(lǐng)域的信息科技風險防控，避免和減少重大信息科技事件發(fā)生。

二、建立有效的信息科技治理架構(gòu)

（一）夯實信息科技治理基礎(chǔ)。非銀機構(gòu)應明確董事會、高級管理層應履行的信息科技管理職責，保證資金、人力和技術(shù)等資源投入，滿足信息科技建設(shè)和管理需要。董事會應承擔信息科技風險管理的最終責任，未設(shè)立董事會的，由本機構(gòu)經(jīng)營決策層履行相關(guān)管理職責。規(guī)模較大且主要業(yè)務(wù)對信息科技依賴度較高的非銀機構(gòu)應設(shè)立信息總監(jiān)（首席信息官），將其納入高級管理人員，專職負責信息科技戰(zhàn)略規(guī)劃和管理，參與同信息科技運用有關(guān)的業(yè)務(wù)決策等工作。應建立跨部門工作協(xié)調(diào)機制，成立由高級管理層、信息科技部門和主要業(yè)務(wù)部門負責人組成的信息科技管理委員會，承擔信息科技戰(zhàn)略規(guī)劃審議、推進重大項目決策等職責，提高管理決策的科學性和有效性。應厘清與本機構(gòu)出資人的信息科技管理工作職責，加強工作規(guī)劃、預算投入、項目建設(shè)等重大事項的自主決策，推動信息科技健康有序發(fā)展。

（二）加強信息科技專業(yè)隊伍建設(shè)。非銀機構(gòu)應設(shè)立相對獨立的信息科技管理職能部門，合理配備專業(yè)人員，明確崗位職責和分工安排，建立內(nèi)部崗位制約機制，確保關(guān)鍵崗位人員數(shù)量充足。應重視人才培養(yǎng)，為信息科技人員提供履職所需的技能培訓，建立健全晉升及激勵考核機制，提供專業(yè)人才發(fā)展空間，確保信息科技隊伍穩(wěn)定發(fā)展。

（三）建立信息科技風險管控機制。非銀機構(gòu)應將信息科技風險納入全面風險管理體系，建立常態(tài)化的風險識別、監(jiān)測和管控機制，每年對全部重要信息系統(tǒng)至少開展一次風險評估，及時發(fā)現(xiàn)風險并采取有效控制措施。應將信息科技審計納入審計部門工作范疇，對信息科技內(nèi)控機制的充分性和有效性開展內(nèi)部審計，或聘請專業(yè)機構(gòu)開展外部審計；針對重大信息科技事件或重大風險隱患開展必要的專項審計，至少每三年完成一次全面審計。審計部門應定期向董事會和高級管理層報告審計和跟蹤審計情況，督促相關(guān)部門及時整改審計發(fā)現(xiàn)的問題。

三、科學規(guī)劃，提升信息科技對業(yè)務(wù)的支撐能力

（一）科學制定信息科技戰(zhàn)略規(guī)劃。非銀機構(gòu)應結(jié)合自身業(yè)務(wù)特色和發(fā)展趨勢，制定與業(yè)務(wù)戰(zhàn)略規(guī)劃相匹配并適度超前的信息科技戰(zhàn)略規(guī)劃，科學構(gòu)建信息技術(shù)架構(gòu)，包括企業(yè)級應用架構(gòu)、技術(shù)架構(gòu)和數(shù)據(jù)架構(gòu)，建立與規(guī)劃相配套的組織和資源保障機制，定期跟蹤規(guī)劃執(zhí)行進度，評估執(zhí)行效果，確保有效落地實施。

（二）提高信息科技建設(shè)質(zhì)效。非銀機構(gòu)應加強經(jīng)營分析和風險控制系統(tǒng)建設(shè)，逐步構(gòu)建覆蓋全部業(yè)務(wù)流程的管理信息系統(tǒng)，滿足業(yè)務(wù)發(fā)展需要和全面風險管理要求，提高業(yè)務(wù)運營效率，支撐管理和決策。信息系統(tǒng)建設(shè)應具有一定前瞻性，既要考慮業(yè)務(wù)的復雜性和實時性，又要考慮靈活性和可擴展性，有效應對市場需求變化，引領(lǐng)業(yè)務(wù)發(fā)展和機構(gòu)轉(zhuǎn)型升級。積極應用云計算、大數(shù)據(jù)、移動互聯(lián)等新興技術(shù)，通過創(chuàng)新服務(wù)方式，提高金融服務(wù)的安全性、便捷性，提升自身核心競爭力，創(chuàng)造業(yè)務(wù)價值。有條件的機構(gòu)，可積極探索開展同業(yè)之間在技術(shù)合作、信息服務(wù)、資源共享等領(lǐng)域的協(xié)作實踐。

（三）完善數(shù)據(jù)治理體系。非銀機構(gòu)應探索建立有效的數(shù)據(jù)治理組織架構(gòu)，制定統(tǒng)一規(guī)范的數(shù)據(jù)標準和數(shù)據(jù)管理機制，理順各系統(tǒng)之間的數(shù)據(jù)交互關(guān)系，不斷提高數(shù)據(jù)質(zhì)量，滿足監(jiān)管機構(gòu)在監(jiān)管數(shù)據(jù)采集、報送等方面的要求。深化數(shù)據(jù)應用，發(fā)揮數(shù)據(jù)治理在實現(xiàn)差異化服務(wù)和風險管理等方面的積極作用，提升數(shù)據(jù)治理效能。

四、加強基礎(chǔ)設(shè)施建設(shè)，提升開發(fā)測試和運維管理水平

（一）加強數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)。非銀機構(gòu)應結(jié)合業(yè)務(wù)發(fā)展需要和自身實際情況，科學選擇數(shù)據(jù)中心（含中心機房）建設(shè)方式，實現(xiàn)數(shù)據(jù)中心的安全、高效與節(jié)能；為節(jié)約成本、提高專業(yè)化管理水平，規(guī)模較小的非銀機構(gòu)可考慮選擇租用、托管、共享數(shù)據(jù)中心等建設(shè)方式，具有一定規(guī)模、信息科技基礎(chǔ)較好、管理能力較強的非銀機構(gòu)可自建數(shù)據(jù)中心。數(shù)據(jù)中心選址應符合有關(guān)監(jiān)管要求，在選址前應實施安全評估，充分考慮地理位置、環(huán)境、設(shè)施等各種因素影響，規(guī)避選址不當造成的風險。數(shù)據(jù)中心建筑物結(jié)構(gòu)（如層高、承重、抗震等）應滿足專用機房建設(shè)要求，電力供應、精密空調(diào)、網(wǎng)絡(luò)通信線路等重要基礎(chǔ)設(shè)施應具備冗余能力，機房應采取有效的防火、防雷、防水等保護措施。數(shù)據(jù)中心與其他機構(gòu)（包括出資人）共用或托管至外包服務(wù)商的，應確保重要信息科技設(shè)備與其他機構(gòu)的有效隔離，明確物理安全區(qū)域，嚴格控制物理訪問權(quán)限。

（二）規(guī)范開發(fā)測試管理。非銀機構(gòu)應制定開發(fā)測試相關(guān)制度、標準、流程，規(guī)范管理自主開發(fā)或外包開發(fā)過程。安排專人負責項目管理，合理控制項目進度。重視需求分析，規(guī)范設(shè)計，兼顧業(yè)務(wù)功能與非業(yè)務(wù)功能需求。選取適當?shù)拈_發(fā)測試方法，確保系統(tǒng)開發(fā)測試的完整性和有效性。明確安全開發(fā)規(guī)范，加強信息系統(tǒng)的安全設(shè)計、研發(fā)和測試。

（三）提升運行維護能力。非銀機構(gòu)應根據(jù)工作需要建立專業(yè)化的運行維護管理隊伍，不斷提高自主運維管理能力；科學劃分運維崗位職責，杜絕關(guān)鍵崗位兼職兼崗。建立健全運維管理制度，明確事件管理、問題管理、配置管理、變更管理、發(fā)布管理等要求，編制運維操作手冊，規(guī)范重要信息系統(tǒng)投產(chǎn)上線及重大變更操作。加強重要設(shè)備和設(shè)施定期巡檢和維護，及時更新老化陳舊設(shè)備，全面做好軟件正版化工作，健全軟件產(chǎn)品和硬件設(shè)備缺陷管理機制，采取適當升級措施，確保系統(tǒng)服務(wù)的連續(xù)可用性。加強容量規(guī)劃，以適應業(yè)務(wù)發(fā)展和交易量增長的需要。建設(shè)自動化運維手段，建立全面覆蓋基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、系統(tǒng)、應用等多領(lǐng)域、多層次的監(jiān)控體系，妥善存儲日志，有效防范和處置各類故障事件。

五、健全信息科技風險管理體系，加強重點領(lǐng)域風險防控

（一）加強信息安全管理。非銀機構(gòu)應配備專職信息安全管理人員，制定完善的安全管理制度，嚴格落實國家網(wǎng)絡(luò)安全政策法規(guī)的有關(guān)要求，定期開展安全教育，提高員工信息安全意識。加強安全技術(shù)保障體系建設(shè)，采取有效的防病毒、防攻擊、防篡改、防泄密、防抵賴等措施，提高系統(tǒng)抵御內(nèi)外部攻擊破壞的能力。嚴格配置網(wǎng)絡(luò)訪問控制策略，實現(xiàn)開發(fā)、測試、生產(chǎn)、辦公等不同網(wǎng)絡(luò)安全域之間以及與出資人等外聯(lián)單位、國際互聯(lián)網(wǎng)之間的風險隔離。加強系統(tǒng)安全漏洞和補丁信息的監(jiān)測、收集和評估，確保及時發(fā)現(xiàn)和處置重大安全隱患。開展應用系統(tǒng)安全檢測，對官方網(wǎng)站等通過互聯(lián)網(wǎng)提供服務(wù)的系統(tǒng)，在上線及重大投產(chǎn)變更前進行滲透測試，杜絕系統(tǒng)“帶病”上線。對敏感數(shù)據(jù)實施分類分級管理，強化數(shù)據(jù)生命周期各階段安全管理要求，嚴格控制生產(chǎn)系統(tǒng)訪問權(quán)限，禁止未經(jīng)授權(quán)查看、下載生產(chǎn)數(shù)據(jù)；采取符合要求的加密、脫敏等技術(shù)，提高數(shù)據(jù)存儲、傳輸、測試的安全性。落實終端、移動存儲介質(zhì)安全控制措施，加強對非法外聯(lián)等各類違規(guī)行為的監(jiān)控、阻斷和審計。

（二）重視業(yè)務(wù)連續(xù)性能力建設(shè)。非銀機構(gòu)應建立業(yè)務(wù)連續(xù)性管理組織架構(gòu)，有效開展業(yè)務(wù)影響分析，識別各項重要業(yè)務(wù)，合理確定業(yè)務(wù)恢復時間目標（RTO）和業(yè)務(wù)恢復點目標（RPO）。加強業(yè)務(wù)連續(xù)性資源與能力建設(shè)，依據(jù)業(yè)務(wù)恢復目標，對重要信息系統(tǒng)采取高可用技術(shù)，制定并實施重要數(shù)據(jù)備份策略；規(guī)模較大、業(yè)務(wù)服務(wù)實時性要求高的非銀機構(gòu)，應建立或與其他機構(gòu)共享災備中心（含災備機房），對重要信息系統(tǒng)和數(shù)據(jù)進行同城或異地備份，確保生產(chǎn)系統(tǒng)不可用時及時恢復重要業(yè)務(wù)。制定信息科技突發(fā)事件應急預案，對重要系統(tǒng)每年至少開展一次應急演練，加強業(yè)務(wù)與技術(shù)應急有效銜接，不斷提高事件應急處置能力。

（三）嚴格控制外包風險。非銀機構(gòu)應識別和分析信息科技外包風險，制定外包策略，明確外包范圍和責任邊界，嚴守“安全管理責任不能外包、安全標準不能降低”的風險底線，建立與信息科技戰(zhàn)略目標相適應的外包管理體系。加強對外包服務(wù)商的風險管理，對關(guān)鍵外包服務(wù)商的技術(shù)實力、內(nèi)控體系和管理能力定期開展風險評估，制定外包服務(wù)中斷應急預案；重視關(guān)聯(lián)外包管理，將與出資人之間的外包活動納入關(guān)聯(lián)外包管理，不得因關(guān)聯(lián)關(guān)系而降低外包服務(wù)管理要求；識別具有機構(gòu)集中度風險的外包服務(wù)商，加強持續(xù)監(jiān)控和管理，積極采取風險分散措施，對外包合作項目進行必要的知識產(chǎn)權(quán)轉(zhuǎn)移，有條件的機構(gòu)應逐步提高自主研發(fā)能力，降低對外包服務(wù)商的依賴。嚴格外包合同管理，規(guī)范合同條款，明確外包服務(wù)商安全保密等各類責任與義務(wù)。

六、加強監(jiān)管指導

（一）提高監(jiān)管關(guān)注。各級監(jiān)管機構(gòu)應加強對非銀機構(gòu)的信息科技監(jiān)管，按照屬地原則，有序開展監(jiān)管和指導工作。合理分配監(jiān)管資源，加強內(nèi)部監(jiān)管聯(lián)動，提高監(jiān)管工作質(zhì)效。積極跟蹤非銀機構(gòu)信息科技發(fā)展動態(tài)，分析和研判風險態(tài)勢，加強風險識別、評估和預警，及時開展風險提示，將風險管控關(guān)口前移。

（二）突出監(jiān)管重點。各級監(jiān)管機構(gòu)應積極引導非銀機構(gòu)提高對信息化工作的重視程度，加強資源保障，不斷提升專業(yè)化管理能力，有效支撐業(yè)務(wù)發(fā)展和創(chuàng)新。督促非銀機構(gòu)在信息化建設(shè)過程中，合法、規(guī)范地應用信息技術(shù)和信息產(chǎn)品，在開展同業(yè)、跨業(yè)交流與合作時嚴格遵守相關(guān)規(guī)定。積極運用非現(xiàn)場監(jiān)管、現(xiàn)場檢查等監(jiān)管手段，及時發(fā)現(xiàn)非銀機構(gòu)存在的突出問題，開展專項整治，特別要加大重點風險領(lǐng)域的監(jiān)管力度，嚴防重大風險隱患。

（三）強化責任追究。各級監(jiān)管機構(gòu)應強化對非銀機構(gòu)信息科技建設(shè)和管理的監(jiān)管問責，對違反監(jiān)管政策或監(jiān)管要求落實不力的機構(gòu)，要追究相關(guān)責任，必要時依法采取行政處罰措施。督促指導非銀機構(gòu)嚴格落實事件報告制度，按照《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》有關(guān)要求，及時報送重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、篡改、泄露情況，妥善處置對本機構(gòu)或客戶利益造成較大損害的重大突發(fā)信息科技事件。