银监会有关负责人就《商业银行信息科技风险管理指引》答记者问
近日,中国银监会颁布了《商业银行信息科技风险管理指引》,银监会有关负责人就相关问题回答了记者提问。
问:2006年银监会曾经出台了《银行业金融机构信息系统风险管理指引》,为什么现在又颁布《商业银行信息科技风险管理指引》?
答:2006年银监会发布《银行业金融机构信息系统风险管理指引》(以下简称原《指引》),填补了我国银行业信息系统监管领域的空白。但随着银行业信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为银行稳健运营和发展的支柱,定位在基本要求上的原《指引》已很难进一步满足商业银行信息科技风险管理的需要。另外,原《指引》对信息系统风险管理以原则性要求为主,在商业银行执行、操作层面的指导意义不够完善。为此,银监会决定对原《指引》进行修订,并重新定名为《商业银行信息科技风险管理指引》(以下简称新《指引》),原《指引》同时废止。
问:起草新《指引》的基本原则和指导思想是什么?
答:银监会在起草新《指引》过程中,贯彻了“管法人、管风险、管内控、提高透明度”的银行监管理念,表现在以下几个方面:一是从坚持法人监管出发,指出商业银行法定代表人是本机构信息科技风险管理的第一责任人。二是从坚持风险监管出发,要求商业银行建立有效的机制,实现对信息科技风险的识别、计量、监测和控制,提高信息技术使用水平。三是从内控监管要求出发,要求商业银行建立完整的管理组织架构,制订完善的管理制度和流程,以相互制约的管理机制对信息科技各环节进行控制。四是从保护广大储户利益出发,要求商业银行在信息系统开发、测试和维护,以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露,对业务连续性管理也加以规范,保障客户数据安全和服务连续。
问:新《指引》的基本框架和主要内容是什么?
答:《商业银行信息科技风险管理指引》共十一章七十六条,主要内容包括总则、信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计、附则等。
问:和原《指引》相比,新《指引》具有哪些特点?
答:和原《指引》相比,新《指引》具有以下六个较鲜明的特点:一是管理范畴由信息系统风险拓展至信息科技风险,全面覆盖了商业银行信息科技活动的各个环节,进一步明确了信息科技与银行业务的关系;二是适用范围由银行业金融机构变为法人商业银行,其他银行业金融机构参照执行;三是信息科技治理作为首要内容提出,充实并细化了对商业银行在治理层面的具体要求;四是以三个独立章节的内容阐述了信息科技风险管理和内外部审计要求,特别是要求审计贯穿信息科技活动的整个过程之中;五是参照国际国内的标准和成功实践,对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求,使操作性更强;六是加强了对客户信息保护的要求。
问:新《指引》的发布对我国商业银行而言有什么影响?
答:新《指引》的发布,将对我国银行业信息科技风险管理产生积极作用。首先,新《指引》规定了董事会和高级管理层在信息科技风险管理中承担的主要责任,提出要构建信息科技风险管理的“三道防线”(即信息科技管理、信息科技风险管理、信息科技风险审计),要求商业银行在决策层设立首席信息官,有利于商业银行加强信息科技治理;其次,新《指引》对商业银行在具体操作层面提供了可供借鉴、操作性强的较高要求,有利于促进商业银行信息科技风险管理水平的持续提升;另外,对敏感信息保护要求的提出,特别是对外包服务环节信息保护的要求,将促使商业银行进一步加强客户信息保护,为广大储户提供更加安全的服务。
问:银监会今后对商业银行的信息科技风险监管还会采取哪些措施?
答:今后,银监会将继续加强对商业银行信息科技风险的监管。一是对银行业金融机构执行新《指引》情况进行跟踪,对不同类型机构的信息科技风险状况进行分析,研究完善信息科技风险监管制度体系;二是逐步开展以防范化解银行业信息科技风险为目标的现场检查;三是加强对银行业信息科技风险的非现场监管,研究建立信息科技风险评级体系,实现分类监管和差别监管,鼓励商业银行不断提升信息科技风险管理水平。
