中國銀監(jiān)會辦公廳關(guān)于加強非銀行金融機構(gòu)信息科技建設(shè)和管理的指導(dǎo)意見

一、指導(dǎo)原則

(一)明確主體責(zé)任。非銀機構(gòu)作為金融機構(gòu)獨立法人應(yīng)承擔(dān)相應(yīng)的信息科技管理職責(zé)，建立符合業(yè)務(wù)特點的信息科技戰(zhàn)略和風(fēng)險管理策略，根據(jù)業(yè)務(wù)發(fā)展和經(jīng)營管理需要，確定信息科技發(fā)展目標(biāo)和功能定位，合理利用外部資源，自主開展信息科技管理工作。

(二)科技支撐發(fā)展。科學(xué)配備信息科技資源，充分發(fā)揮信息科技對業(yè)務(wù)發(fā)展和轉(zhuǎn)型的支撐和引領(lǐng)作用，順應(yīng)“互聯(lián)網(wǎng)+”發(fā)展趨勢，積極穩(wěn)妥地探索和應(yīng)用新興技術(shù)，為改善系統(tǒng)、渠道、產(chǎn)品的靈活性和可擴展性提供支持。

(三)倡導(dǎo)合作共享。積極與其他銀行業(yè)金融機構(gòu)協(xié)同合作，加強資源開放共享，交流先進(jìn)技術(shù)與成功管理經(jīng)驗，取長補短，提高非銀機構(gòu)信息科技建設(shè)和管理水平。

(四)嚴(yán)守風(fēng)險底線。建立健全信息科技風(fēng)險管理架構(gòu)，加強基礎(chǔ)設(shè)施建設(shè)、開發(fā)測試、運行維護(hù)、信息安全、業(yè)務(wù)連續(xù)性、外包等重點領(lǐng)域的信息科技風(fēng)險防控，避免和減少重大信息科技事件發(fā)生。

二、建立有效的信息科技治理架構(gòu)

(一)夯實信息科技治理基礎(chǔ)。非銀機構(gòu)應(yīng)明確董事會、高級管理層應(yīng)履行的信息科技管理職責(zé)，保證資金、人力和技術(shù)等資源投入，滿足信息科技建設(shè)和管理需要。董事會應(yīng)承擔(dān)信息科技風(fēng)險管理的最終責(zé)任，未設(shè)立董事會的，由本機構(gòu)經(jīng)營決策層履行相關(guān)管理職責(zé)。規(guī)模較大且主要業(yè)務(wù)對信息科技依賴度較高的非銀機構(gòu)應(yīng)設(shè)立信息總監(jiān)(首席信息官)，將其納入高級管理人員，專職負(fù)責(zé)信息科技戰(zhàn)略規(guī)劃和管理，參與同信息科技運用有關(guān)的業(yè)務(wù)決策等工作。應(yīng)建立跨部門工作協(xié)調(diào)機制，成立由高級管理層、信息科技部門和主要業(yè)務(wù)部門負(fù)責(zé)人組成的信息科技管理委員會，承擔(dān)信息科技戰(zhàn)略規(guī)劃審議、推進(jìn)重大項目決策等職責(zé)，提高管理決策的科學(xué)性和有效性。應(yīng)厘清與本機構(gòu)出資人的信息科技管理工作職責(zé)，加強工作規(guī)劃、預(yù)算投入、項目建設(shè)等重大事項的自主決策，推動信息科技健康有序發(fā)展。

(二)加強信息科技專業(yè)隊伍建設(shè)。非銀機構(gòu)應(yīng)設(shè)立相對獨立的信息科技管理職能部門，合理配備專業(yè)人員，明確崗位職責(zé)和分工安排，建立內(nèi)部崗位制約機制，確保關(guān)鍵崗位人員數(shù)量充足。應(yīng)重視人才培養(yǎng)，為信息科技人員提供履職所需的技能培訓(xùn)，建立健全晉升及激勵考核機制，提供專業(yè)人才發(fā)展空間，確保信息科技隊伍穩(wěn)定發(fā)展。

(三)建立信息科技風(fēng)險管控機制。非銀機構(gòu)應(yīng)將信息科技風(fēng)險納入全面風(fēng)險管理體系，建立常態(tài)化的風(fēng)險識別、監(jiān)測和管控機制，每年對全部重要信息系統(tǒng)至少開展一次風(fēng)險評估，及時發(fā)現(xiàn)風(fēng)險并采取有效控制措施。應(yīng)將信息科技審計納入審計部門工作范疇，對信息科技內(nèi)控機制的充分性和有效性開展內(nèi)部審計，或聘請專業(yè)機構(gòu)開展外部審計;針對重大信息科技事件或重大風(fēng)險隱患開展必要的專項審計，至少每三年完成一次全面審計。審計部門應(yīng)定期向董事會和高級管理層報告審計和跟蹤審計情況，督促相關(guān)部門及時整改審計發(fā)現(xiàn)的問題。

三、科學(xué)規(guī)劃，提升信息科技對業(yè)務(wù)的支撐能力

(一)科學(xué)制定信息科技戰(zhàn)略規(guī)劃。非銀機構(gòu)應(yīng)結(jié)合自身業(yè)務(wù)特色和發(fā)展趨勢，制定與業(yè)務(wù)戰(zhàn)略規(guī)劃相匹配并適度超前的信息科技戰(zhàn)略規(guī)劃，科學(xué)構(gòu)建信息技術(shù)架構(gòu)，包括企業(yè)級應(yīng)用架構(gòu)、技術(shù)架構(gòu)和數(shù)據(jù)架構(gòu)，建立與規(guī)劃相配套的組織和資源保障機制，定期跟蹤規(guī)劃執(zhí)行進(jìn)度，評估執(zhí)行效果，確保有效落地實施。

(二)提高信息科技建設(shè)質(zhì)效。非銀機構(gòu)應(yīng)加強經(jīng)營分析和風(fēng)險控制系統(tǒng)建設(shè)，逐步構(gòu)建覆蓋全部業(yè)務(wù)流程的管理信息系統(tǒng)，滿足業(yè)務(wù)發(fā)展需要和全面風(fēng)險管理要求，提高業(yè)務(wù)運營效率，支撐管理和決策。信息系統(tǒng)建設(shè)應(yīng)具有一定前瞻性，既要考慮業(yè)務(wù)的復(fù)雜性和實時性，又要考慮靈活性和可擴展性，有效應(yīng)對市場需求變化，引領(lǐng)業(yè)務(wù)發(fā)展和機構(gòu)轉(zhuǎn)型升級。積極應(yīng)用云計算、大數(shù)據(jù)、移動互聯(lián)等新興技術(shù)，通過創(chuàng)新服務(wù)方式，提高金融服務(wù)的安全性、便捷性，提升自身核心競爭力，創(chuàng)造業(yè)務(wù)價值。有條件的機構(gòu)，可積極探索開展同業(yè)之間在技術(shù)合作、信息服務(wù)、資源共享等領(lǐng)域的協(xié)作實踐。

(三)完善數(shù)據(jù)治理體系。非銀機構(gòu)應(yīng)探索建立有效的數(shù)據(jù)治理組織架構(gòu)，制定統(tǒng)一規(guī)范的數(shù)據(jù)標(biāo)準(zhǔn)和數(shù)據(jù)管理機制，理順各系統(tǒng)之間的數(shù)據(jù)交互關(guān)系，不斷提高數(shù)據(jù)質(zhì)量，滿足監(jiān)管機構(gòu)在監(jiān)管數(shù)據(jù)采集、報送等方面的要求。深化數(shù)據(jù)應(yīng)用，發(fā)揮數(shù)據(jù)治理在實現(xiàn)差異化服務(wù)和風(fēng)險管理等方面的積極作用，提升數(shù)據(jù)治理效能。

四、加強基礎(chǔ)設(shè)施建設(shè)，提升開發(fā)測試和運維管理水平

(一)加強數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)。非銀機構(gòu)應(yīng)結(jié)合業(yè)務(wù)發(fā)展需要和自身實際情況，科學(xué)選擇數(shù)據(jù)中心(含中心機房)建設(shè)方式，實現(xiàn)數(shù)據(jù)中心的安全、高效與節(jié)能;為節(jié)約成本、提高專業(yè)化管理水平，規(guī)模較小的非銀機構(gòu)可考慮選擇租用、托管、共享數(shù)據(jù)中心等建設(shè)方式，具有一定規(guī)模、信息科技基礎(chǔ)較好、管理能力較強的非銀機構(gòu)可自建數(shù)據(jù)中心。數(shù)據(jù)中心選址應(yīng)符合有關(guān)監(jiān)管要求，在選址前應(yīng)實施安全評估，充分考慮地理位置、環(huán)境、設(shè)施等各種因素影響，規(guī)避選址不當(dāng)造成的風(fēng)險。數(shù)據(jù)中心建筑物結(jié)構(gòu)(如層高、承重、抗震等)應(yīng)滿足專用機房建設(shè)要求，電力供應(yīng)、精密空調(diào)、網(wǎng)絡(luò)通信線路等重要基礎(chǔ)設(shè)施應(yīng)具備冗余能力，機房應(yīng)采取有效的防火、防雷、防水等保護(hù)措施。數(shù)據(jù)中心與其他機構(gòu)(包括出資人)共用或托管至外包服務(wù)商的，應(yīng)確保重要信息科技設(shè)備與其他機構(gòu)的有效隔離，明確物理安全區(qū)域，嚴(yán)格控制物理訪問權(quán)限。

(二)規(guī)范開發(fā)測試管理。非銀機構(gòu)應(yīng)制定開發(fā)測試相關(guān)制度、標(biāo)準(zhǔn)、流程，規(guī)范管理自主開發(fā)或外包開發(fā)過程。安排專人負(fù)責(zé)項目管理，合理控制項目進(jìn)度。重視需求分析，規(guī)范設(shè)計，兼顧業(yè)務(wù)功能與非業(yè)務(wù)功能需求。選取適當(dāng)?shù)拈_發(fā)測試方法，確保系統(tǒng)開發(fā)測試的完整性和有效性。明確安全開發(fā)規(guī)范，加強信息系統(tǒng)的安全設(shè)計、研發(fā)和測試。

(三)提升運行維護(hù)能力。非銀機構(gòu)應(yīng)根據(jù)工作需要建立專業(yè)化的運行維護(hù)管理隊伍，不斷提高自主運維管理能力;科學(xué)劃分運維崗位職責(zé)，杜絕關(guān)鍵崗位兼職兼崗。建立健全運維管理制度，明確事件管理、問題管理、配置管理、變更管理、發(fā)布管理等要求，編制運維操作手冊，規(guī)范重要信息系統(tǒng)投產(chǎn)上線及重大變更操作。加強重要設(shè)備和設(shè)施定期巡檢和維護(hù)，及時更新老化陳舊設(shè)備，全面做好軟件正版化工作，健全軟件產(chǎn)品和硬件設(shè)備缺陷管理機制，采取適當(dāng)升級措施，確保系統(tǒng)服務(wù)的連續(xù)可用性。加強容量規(guī)劃，以適應(yīng)業(yè)務(wù)發(fā)展和交易量增長的需要。建設(shè)自動化運維手段，建立全面覆蓋基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等多領(lǐng)域、多層次的監(jiān)控體系，妥善存儲日志，有效防范和處置各類故障事件。

五、健全信息科技風(fēng)險管理體系，加強重點領(lǐng)域風(fēng)險防控

(一)加強信息安全管理。非銀機構(gòu)應(yīng)配備專職信息安全管理人員，制定完善的安全管理制度，嚴(yán)格落實國家網(wǎng)絡(luò)安全政策法規(guī)的有關(guān)要求，定期開展安全教育，提高員工信息安全意識。加強安全技術(shù)保障體系建設(shè)，采取有效的防病毒、防攻擊、防篡改、防泄密、防抵賴等措施，提高系統(tǒng)抵御內(nèi)外部攻擊破壞的能力。嚴(yán)格配置網(wǎng)絡(luò)訪問控制策略，實現(xiàn)開發(fā)、測試、生產(chǎn)、辦公等不同網(wǎng)絡(luò)安全域之間以及與出資人等外聯(lián)單位、國際互聯(lián)網(wǎng)之間的風(fēng)險隔離。加強系統(tǒng)安全漏洞和補丁信息的監(jiān)測、收集和評估，確保及時發(fā)現(xiàn)和處置重大安全隱患。開展應(yīng)用系統(tǒng)安全檢測，對官方網(wǎng)站等通過互聯(lián)網(wǎng)提供服務(wù)的系統(tǒng)，在上線及重大投產(chǎn)變更前進(jìn)行滲透測試，杜絕系統(tǒng)“帶病”上線。對敏感數(shù)據(jù)實施分類分級管理，強化數(shù)據(jù)生命周期各階段安全管理要求，嚴(yán)格控制生產(chǎn)系統(tǒng)訪問權(quán)限，禁止未經(jīng)授權(quán)查看、下載生產(chǎn)數(shù)據(jù);采取符合要求的加密、脫敏等技術(shù)，提高數(shù)據(jù)存儲、傳輸、測試的安全性。落實終端、移動存儲介質(zhì)安全控制措施，加強對非法外聯(lián)等各類違規(guī)行為的監(jiān)控、阻斷和審計。

(二)重視業(yè)務(wù)連續(xù)性能力建設(shè)。非銀機構(gòu)應(yīng)建立業(yè)務(wù)連續(xù)性管理組織架構(gòu)，有效開展業(yè)務(wù)影響分析，識別各項重要業(yè)務(wù)，合理確定業(yè)務(wù)恢復(fù)時間目標(biāo)(RTO)和業(yè)務(wù)恢復(fù)點目標(biāo)(RPO)。加強業(yè)務(wù)連續(xù)性資源與能力建設(shè)，依據(jù)業(yè)務(wù)恢復(fù)目標(biāo)，對重要信息系統(tǒng)采取高可用技術(shù)，制定并實施重要數(shù)據(jù)備份策略;規(guī)模較大、業(yè)務(wù)服務(wù)實時性要求高的非銀機構(gòu)，應(yīng)建立或與其他機構(gòu)共享災(zāi)備中心(含災(zāi)備機房)，對重要信息系統(tǒng)和數(shù)據(jù)進(jìn)行同城或異地備份，確保生產(chǎn)系統(tǒng)不可用時及時恢復(fù)重要業(yè)務(wù)。制定信息科技突發(fā)事件應(yīng)急預(yù)案，對重要系統(tǒng)每年至少開展一次應(yīng)急演練，加強業(yè)務(wù)與技術(shù)應(yīng)急有效銜接，不斷提高事件應(yīng)急處置能力。

(三)嚴(yán)格控制外包風(fēng)險。非銀機構(gòu)應(yīng)識別和分析信息科技外包風(fēng)險，制定外包策略，明確外包范圍和責(zé)任邊界，嚴(yán)守“安全管理責(zé)任不能外包、安全標(biāo)準(zhǔn)不能降低”的風(fēng)險底線，建立與信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系。加強對外包服務(wù)商的風(fēng)險管理，對關(guān)鍵外包服務(wù)商的技術(shù)實力、內(nèi)控體系和管理能力定期開展風(fēng)險評估，制定外包服務(wù)中斷應(yīng)急預(yù)案;重視關(guān)聯(lián)外包管理，將與出資人之間的外包活動納入關(guān)聯(lián)外包管理，不得因關(guān)聯(lián)關(guān)系而降低外包服務(wù)管理要求;識別具有機構(gòu)集中度風(fēng)險的外包服務(wù)商，加強持續(xù)監(jiān)控和管理，積極采取風(fēng)險分散措施，對外包合作項目進(jìn)行必要的知識產(chǎn)權(quán)轉(zhuǎn)移，有條件的機構(gòu)應(yīng)逐步提高自主研發(fā)能力，降低對外包服務(wù)商的依賴。嚴(yán)格外包合同管理，規(guī)范合同條款，明確外包服務(wù)商安全保密等各類責(zé)任與義務(wù)。

六、加強監(jiān)管指導(dǎo)

(一)提高監(jiān)管關(guān)注。各級監(jiān)管機構(gòu)應(yīng)加強對非銀機構(gòu)的信息科技監(jiān)管，按照屬地原則，有序開展監(jiān)管和指導(dǎo)工作。合理分配監(jiān)管資源，加強內(nèi)部監(jiān)管聯(lián)動，提高監(jiān)管工作質(zhì)效。積極跟蹤非銀機構(gòu)信息科技發(fā)展動態(tài)，分析和研判風(fēng)險態(tài)勢，加強風(fēng)險識別、評估和預(yù)警，及時開展風(fēng)險提示，將風(fēng)險管控關(guān)口前移。

(二)突出監(jiān)管重點。各級監(jiān)管機構(gòu)應(yīng)積極引導(dǎo)非銀機構(gòu)提高對信息化工作的重視程度，加強資源保障，不斷提升專業(yè)化管理能力，有效支撐業(yè)務(wù)發(fā)展和創(chuàng)新。督促非銀機構(gòu)在信息化建設(shè)過程中，合法、規(guī)范地應(yīng)用信息技術(shù)和信息產(chǎn)品，在開展同業(yè)、跨業(yè)交流與合作時嚴(yán)格遵守相關(guān)規(guī)定。積極運用非現(xiàn)場監(jiān)管、現(xiàn)場檢查等監(jiān)管手段，及時發(fā)現(xiàn)非銀機構(gòu)存在的突出問題，開展專項整治，特別要加大重點風(fēng)險領(lǐng)域的監(jiān)管力度，嚴(yán)防重大風(fēng)險隱患。

(三)強化責(zé)任追究。各級監(jiān)管機構(gòu)應(yīng)強化對非銀機構(gòu)信息科技建設(shè)和管理的監(jiān)管問責(zé)，對違反監(jiān)管政策或監(jiān)管要求落實不力的機構(gòu)，要追究相關(guān)責(zé)任，必要時依法采取行政處罰措施。督促指導(dǎo)非銀機構(gòu)嚴(yán)格落實事件報告制度，按照《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》有關(guān)要求，及時報送重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、篡改、泄露情況，妥善處置對本機構(gòu)或客戶利益造成較大損害的重大突發(fā)信息科技事件。

2016年12月26日

上述就是詢律網(wǎng)小編為您詳細(xì)介紹的關(guān)于中國銀監(jiān)會辦公廳關(guān)于加強非銀行金融機構(gòu)信息科技建設(shè)和管理的指導(dǎo)意見的解答，有任何法律問題可以關(guān)注在線咨詢~