中國銀監(jiān)會辦公廳關(guān)于加強非銀行金融機構(gòu)信息科技建設(shè)和管理的指導意見
中國銀監(jiān)會辦公廳關(guān)于加強非銀行金融機構(gòu)信息科技建設(shè)和管理的指導意見
各銀監(jiān)局,各金融資產(chǎn)管理公司,中國信托業(yè)保障基金公司、中國信托登記有限責任公司:
為促進信托公司和金融資產(chǎn)管理公司、企業(yè)集團財務(wù)公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經(jīng)紀公司等非銀行金融機構(gòu)(以下簡稱非銀機構(gòu))信息科技建設(shè),提升信息化管理水平,有效防范信息科技風險,保障非銀機構(gòu)穩(wěn)健經(jīng)營和持續(xù)發(fā)展,現(xiàn)就加強非銀機構(gòu)信息科技建設(shè)和管理工作提出以下意見。
一、指導原則
(一)明確主體責任。非銀機構(gòu)作為金融機構(gòu)獨立法人應承擔相應的信息科技管理職責,建立符合業(yè)務(wù)特點的信息科技戰(zhàn)略和風險管理策略,根據(jù)業(yè)務(wù)發(fā)展和經(jīng)營管理需要,確定信息科技發(fā)展目標和功能定位,合理利用外部資源,自主開展信息科技管理工作。
(二)科技支撐發(fā)展。科學配備信息科技資源,充分發(fā)揮信息科技對業(yè)務(wù)發(fā)展和轉(zhuǎn)型的支撐和引領(lǐng)作用,順應“互聯(lián)網(wǎng)+”發(fā)展趨勢,積極穩(wěn)妥地探索和應用新興技術(shù),為改善系統(tǒng)、渠道、產(chǎn)品的靈活性和可擴展性提供支持。
(三)倡導合作共享。積極與其他銀行業(yè)金融機構(gòu)協(xié)同合作,加強資源開放共享,交流先進技術(shù)與成功管理經(jīng)驗,取長補短,提高非銀機構(gòu)信息科技建設(shè)和管理水平。
(四)嚴守風險底線。建立健全信息科技風險管理架構(gòu),加強基礎(chǔ)設(shè)施建設(shè)、開發(fā)測試、運行維護、信息安全、業(yè)務(wù)連續(xù)性、外包等重點領(lǐng)域的信息科技風險防控,避免和減少重大信息科技事件發(fā)生。
二、建立有效的信息科技治理架構(gòu)
(一)夯實信息科技治理基礎(chǔ)。非銀機構(gòu)應明確董事會、高級管理層應履行的信息科技管理職責,保證資金、人力和技術(shù)等資源投入,滿足信息科技建設(shè)和管理需要。董事會應承擔信息科技風險管理的最終責任,未設(shè)立董事會的,由本機構(gòu)經(jīng)營決策層履行相關(guān)管理職責。規(guī)模較大且主要業(yè)務(wù)對信息科技依賴度較高的非銀機構(gòu)應設(shè)立信息總監(jiān)(首席信息官),將其納入高級管理人員,專職負責信息科技戰(zhàn)略規(guī)劃和管理,參與同信息科技運用有關(guān)的業(yè)務(wù)決策等工作。應建立跨部門工作協(xié)調(diào)機制,成立由高級管理層、信息科技部門和主要業(yè)務(wù)部門負責人組成的信息科技管理委員會,承擔信息科技戰(zhàn)略規(guī)劃審議、推進重大項目決策等職責,提高管理決策的科學性和有效性。應厘清與本機構(gòu)出資人的信息科技管理工作職責,加強工作規(guī)劃、預算投入、項目建設(shè)等重大事項的自主決策,推動信息科技健康有序發(fā)展。
(二)加強信息科技專業(yè)隊伍建設(shè)。非銀機構(gòu)應設(shè)立相對獨立的信息科技管理職能部門,合理配備專業(yè)人員,明確崗位職責和分工安排,建立內(nèi)部崗位制約機制,確保關(guān)鍵崗位人員數(shù)量充足。應重視人才培養(yǎng),為信息科技人員提供履職所需的技能培訓,建立健全晉升及激勵考核機制,提供專業(yè)人才發(fā)展空間,確保信息科技隊伍穩(wěn)定發(fā)展。
(三)建立信息科技風險管控機制。非銀機構(gòu)應將信息科技風險納入全面風險管理體系,建立常態(tài)化的風險識別、監(jiān)測和管控機制,每年對全部重要信息系統(tǒng)至少開展一次風險評估,及時發(fā)現(xiàn)風險并采取有效控制措施。應將信息科技審計納入審計部門工作范疇,對信息科技內(nèi)控機制的充分性和有效性開展內(nèi)部審計,或聘請專業(yè)機構(gòu)開展外部審計;針對重大信息科技事件或重大風險隱患開展必要的專項審計,至少每三年完成一次全面審計。審計部門應定期向董事會和高級管理層報告審計和跟蹤審計情況,督促相關(guān)部門及時整改審計發(fā)現(xiàn)的問題。
三、科學規(guī)劃,提升信息科技對業(yè)務(wù)的支撐能力
(一)科學制定信息科技戰(zhàn)略規(guī)劃。非銀機構(gòu)應結(jié)合自身業(yè)務(wù)特色和發(fā)展趨勢,制定與業(yè)務(wù)戰(zhàn)略規(guī)劃相匹配并適度超前的信息科技戰(zhàn)略規(guī)劃,科學構(gòu)建信息技術(shù)架構(gòu),包括企業(yè)級應用架構(gòu)、技術(shù)架構(gòu)和數(shù)據(jù)架構(gòu),建立與規(guī)劃相配套的組織和資源保障機制,定期跟蹤規(guī)劃執(zhí)行進度,評估執(zhí)行效果,確保有效落地實施。
(二)提高信息科技建設(shè)質(zhì)效。非銀機構(gòu)應加強經(jīng)營分析和風險控制系統(tǒng)建設(shè),逐步構(gòu)建覆蓋全部業(yè)務(wù)流程的管理信息系統(tǒng),滿足業(yè)務(wù)發(fā)展需要和全面風險管理要求,提高業(yè)務(wù)運營效率,支撐管理和決策。信息系統(tǒng)建設(shè)應具有一定前瞻性,既要考慮業(yè)務(wù)的復雜性和實時性,又要考慮靈活性和可擴展性,有效應對市場需求變化,引領(lǐng)業(yè)務(wù)發(fā)展和機構(gòu)轉(zhuǎn)型升級。積極應用云計算、大數(shù)據(jù)、移動互聯(lián)等新興技術(shù),通過創(chuàng)新服務(wù)方式,提高金融服務(wù)的安全性、便捷性,提升自身核心競爭力,創(chuàng)造業(yè)務(wù)價值。有條件的機構(gòu),可積極探索開展同業(yè)之間在技術(shù)合作、信息服務(wù)、資源共享等領(lǐng)域的協(xié)作實踐。
(三)完善數(shù)據(jù)治理體系。非銀機構(gòu)應探索建立有效的數(shù)據(jù)治理組織架構(gòu),制定統(tǒng)一規(guī)范的數(shù)據(jù)標準和數(shù)據(jù)管理機制,理順各系統(tǒng)之間的數(shù)據(jù)交互關(guān)系,不斷提高數(shù)據(jù)質(zhì)量,滿足監(jiān)管機構(gòu)在監(jiān)管數(shù)據(jù)采集、報送等方面的要求。深化數(shù)據(jù)應用,發(fā)揮數(shù)據(jù)治理在實現(xiàn)差異化服務(wù)和風險管理等方面的積極作用,提升數(shù)據(jù)治理效能。
四、加強基礎(chǔ)設(shè)施建設(shè),提升開發(fā)測試和運維管理水平
(一)加強數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)。非銀機構(gòu)應結(jié)合業(yè)務(wù)發(fā)展需要和自身實際情況,科學選擇數(shù)據(jù)中心(含中心機房)建設(shè)方式,實現(xiàn)數(shù)據(jù)中心的安全、高效與節(jié)能;為節(jié)約成本、提高專業(yè)化管理水平,規(guī)模較小的非銀機構(gòu)可考慮選擇租用、托管、共享數(shù)據(jù)中心等建設(shè)方式,具有一定規(guī)模、信息科技基礎(chǔ)較好、管理能力較強的非銀機構(gòu)可自建數(shù)據(jù)中心。數(shù)據(jù)中心選址應符合有關(guān)監(jiān)管要求,在選址前應實施安全評估,充分考慮地理位置、環(huán)境、設(shè)施等各種因素影響,規(guī)避選址不當造成的風險。數(shù)據(jù)中心建筑物結(jié)構(gòu)(如層高、承重、抗震等)應滿足專用機房建設(shè)要求,電力供應、精密空調(diào)、網(wǎng)絡(luò)通信線路等重要基礎(chǔ)設(shè)施應具備冗余能力,機房應采取有效的防火、防雷、防水等保護措施。數(shù)據(jù)中心與其他機構(gòu)(包括出資人)共用或托管至外包服務(wù)商的,應確保重要信息科技設(shè)備與其他機構(gòu)的有效隔離,明確物理安全區(qū)域,嚴格控制物理訪問權(quán)限。
(二)規(guī)范開發(fā)測試管理。非銀機構(gòu)應制定開發(fā)測試相關(guān)制度、標準、流程,規(guī)范管理自主開發(fā)或外包開發(fā)過程。安排專人負責項目管理,合理控制項目進度。重視需求分析,規(guī)范設(shè)計,兼顧業(yè)務(wù)功能與非業(yè)務(wù)功能需求。選取適當?shù)拈_發(fā)測試方法,確保系統(tǒng)開發(fā)測試的完整性和有效性。明確安全開發(fā)規(guī)范,加強信息系統(tǒng)的安全設(shè)計、研發(fā)和測試。
(三)提升運行維護能力。非銀機構(gòu)應根據(jù)工作需要建立專業(yè)化的運行維護管理隊伍,不斷提高自主運維管理能力;科學劃分運維崗位職責,杜絕關(guān)鍵崗位兼職兼崗。建立健全運維管理制度,明確事件管理、問題管理、配置管理、變更管理、發(fā)布管理等要求,編制運維操作手冊,規(guī)范重要信息系統(tǒng)投產(chǎn)上線及重大變更操作。加強重要設(shè)備和設(shè)施定期巡檢和維護,及時更新老化陳舊設(shè)備,全面做好軟件正版化工作,健全軟件產(chǎn)品和硬件設(shè)備缺陷管理機制,采取適當升級措施,確保系統(tǒng)服務(wù)的連續(xù)可用性。加強容量規(guī)劃,以適應業(yè)務(wù)發(fā)展和交易量增長的需要。建設(shè)自動化運維手段,建立全面覆蓋基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、系統(tǒng)、應用等多領(lǐng)域、多層次的監(jiān)控體系,妥善存儲日志,有效防范和處置各類故障事件。
五、健全信息科技風險管理體系,加強重點領(lǐng)域風險防控
(一)加強信息安全管理。非銀機構(gòu)應配備專職信息安全管理人員,制定完善的安全管理制度,嚴格落實國家網(wǎng)絡(luò)安全政策法規(guī)的有關(guān)要求,定期開展安全教育,提高員工信息安全意識。加強安全技術(shù)保障體系建設(shè),采取有效的防病毒、防攻擊、防篡改、防泄密、防抵賴等措施,提高系統(tǒng)抵御內(nèi)外部攻擊破壞的能力。嚴格配置網(wǎng)絡(luò)訪問控制策略,實現(xiàn)開發(fā)、測試、生產(chǎn)、辦公等不同網(wǎng)絡(luò)安全域之間以及與出資人等外聯(lián)單位、國際互聯(lián)網(wǎng)之間的風險隔離。加強系統(tǒng)安全漏洞和補丁信息的監(jiān)測、收集和評估,確保及時發(fā)現(xiàn)和處置重大安全隱患。開展應用系統(tǒng)安全檢測,對官方網(wǎng)站等通過互聯(lián)網(wǎng)提供服務(wù)的系統(tǒng),在上線及重大投產(chǎn)變更前進行滲透測試,杜絕系統(tǒng)“帶病”上線。對敏感數(shù)據(jù)實施分類分級管理,強化數(shù)據(jù)生命周期各階段安全管理要求,嚴格控制生產(chǎn)系統(tǒng)訪問權(quán)限,禁止未經(jīng)授權(quán)查看、下載生產(chǎn)數(shù)據(jù);采取符合要求的加密、脫敏等技術(shù),提高數(shù)據(jù)存儲、傳輸、測試的安全性。落實終端、移動存儲介質(zhì)安全控制措施,加強對非法外聯(lián)等各類違規(guī)行為的監(jiān)控、阻斷和審計。
(二)重視業(yè)務(wù)連續(xù)性能力建設(shè)。非銀機構(gòu)應建立業(yè)務(wù)連續(xù)性管理組織架構(gòu),有效開展業(yè)務(wù)影響分析,識別各項重要業(yè)務(wù),合理確定業(yè)務(wù)恢復時間目標(RTO)和業(yè)務(wù)恢復點目標(RPO)。加強業(yè)務(wù)連續(xù)性資源與能力建設(shè),依據(jù)業(yè)務(wù)恢復目標,對重要信息系統(tǒng)采取高可用技術(shù),制定并實施重要數(shù)據(jù)備份策略;規(guī)模較大、業(yè)務(wù)服務(wù)實時性要求高的非銀機構(gòu),應建立或與其他機構(gòu)共享災備中心(含災備機房),對重要信息系統(tǒng)和數(shù)據(jù)進行同城或異地備份,確保生產(chǎn)系統(tǒng)不可用時及時恢復重要業(yè)務(wù)。制定信息科技突發(fā)事件應急預案,對重要系統(tǒng)每年至少開展一次應急演練,加強業(yè)務(wù)與技術(shù)應急有效銜接,不斷提高事件應急處置能力。
(三)嚴格控制外包風險。非銀機構(gòu)應識別和分析信息科技外包風險,制定外包策略,明確外包范圍和責任邊界,嚴守“安全管理責任不能外包、安全標準不能降低”的風險底線,建立與信息科技戰(zhàn)略目標相適應的外包管理體系。加強對外包服務(wù)商的風險管理,對關(guān)鍵外包服務(wù)商的技術(shù)實力、內(nèi)控體系和管理能力定期開展風險評估,制定外包服務(wù)中斷應急預案;重視關(guān)聯(lián)外包管理,將與出資人之間的外包活動納入關(guān)聯(lián)外包管理,不得因關(guān)聯(lián)關(guān)系而降低外包服務(wù)管理要求;識別具有機構(gòu)集中度風險的外包服務(wù)商,加強持續(xù)監(jiān)控和管理,積極采取風險分散措施,對外包合作項目進行必要的知識產(chǎn)權(quán)轉(zhuǎn)移,有條件的機構(gòu)應逐步提高自主研發(fā)能力,降低對外包服務(wù)商的依賴。嚴格外包合同管理,規(guī)范合同條款,明確外包服務(wù)商安全保密等各類責任與義務(wù)。
六、加強監(jiān)管指導
(一)提高監(jiān)管關(guān)注。各級監(jiān)管機構(gòu)應加強對非銀機構(gòu)的信息科技監(jiān)管,按照屬地原則,有序開展監(jiān)管和指導工作。合理分配監(jiān)管資源,加強內(nèi)部監(jiān)管聯(lián)動,提高監(jiān)管工作質(zhì)效。積極跟蹤非銀機構(gòu)信息科技發(fā)展動態(tài),分析和研判風險態(tài)勢,加強風險識別、評估和預警,及時開展風險提示,將風險管控關(guān)口前移。
(二)突出監(jiān)管重點。各級監(jiān)管機構(gòu)應積極引導非銀機構(gòu)提高對信息化工作的重視程度,加強資源保障,不斷提升專業(yè)化管理能力,有效支撐業(yè)務(wù)發(fā)展和創(chuàng)新。督促非銀機構(gòu)在信息化建設(shè)過程中,合法、規(guī)范地應用信息技術(shù)和信息產(chǎn)品,在開展同業(yè)、跨業(yè)交流與合作時嚴格遵守相關(guān)規(guī)定。積極運用非現(xiàn)場監(jiān)管、現(xiàn)場檢查等監(jiān)管手段,及時發(fā)現(xiàn)非銀機構(gòu)存在的突出問題,開展專項整治,特別要加大重點風險領(lǐng)域的監(jiān)管力度,嚴防重大風險隱患。
(三)強化責任追究。各級監(jiān)管機構(gòu)應強化對非銀機構(gòu)信息科技建設(shè)和管理的監(jiān)管問責,對違反監(jiān)管政策或監(jiān)管要求落實不力的機構(gòu),要追究相關(guān)責任,必要時依法采取行政處罰措施。督促指導非銀機構(gòu)嚴格落實事件報告制度,按照《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》有關(guān)要求,及時報送重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、篡改、泄露情況,妥善處置對本機構(gòu)或客戶利益造成較大損害的重大突發(fā)信息科技事件。