近日,中國銀監會頒布了《商業銀行信息科技風險管理指引》,銀監會有關負責人就相關問題回答了記者提問。
問:2006年銀監會曾經出臺了《銀行業金融機構信息系統風險管理指引》,為什么現在又頒布《商業銀行信息科技風險管理指引》?
答:2006年銀監會發布《銀行業金融機構信息系統風險管理指引》(以下簡稱原《指引》),填補了我國銀行業信息系統監管領域的空白。但隨著銀行業信息化的發展,信息科技的作用已經從業務支持逐步走向與業務的融合,成為銀行穩健運營和發展的支柱,定位在基本要求上的原《指引》已很難進一步滿足商業銀行信息科技風險管理的需要。另外,原《指引》對信息系統風險管理以原則性要求為主,在商業銀行執行、操作層面的指導意義不夠完善。為此,銀監會決定對原《指引》進行修訂,并重新定名為《商業銀行信息科技風險管理指引》(以下簡稱新《指引》),原《指引》同時廢止。
問:起草新《指引》的基本原則和指導思想是什么?
答:銀監會在起草新《指引》過程中,貫徹了“管法人、管風險、管內控、提高透明度”的銀行監管理念,表現在以下幾個方面:一是從堅持法人監管出發,指出商業銀行法定代表人是本機構信息科技風險管理的第一責任人。二是從堅持風險監管出發,要求商業銀行建立有效的機制,實現對信息科技風險的識別、計量、監測和控制,提高信息技術使用水平。三是從內控監管要求出發,要求商業銀行建立完整的管理組織架構,制訂完善的管理制度和流程,以相互制約的管理機制對信息科技各環節進行控制。四是從保護廣大儲戶利益出發,要求商業銀行在信息系統開發、測試和維護,以及服務外包過程中加強對客戶信息的保護,防止敏感信息泄露,對業務連續性管理也加以規范,保障客戶數據安全和服務連續。
問:新《指引》的基本框架和主要內容是什么?
答:《商業銀行信息科技風險管理指引》共十一章七十六條,主要內容包括總則、信息科技治理、信息科技風險管理、信息安全、信息系統開發測試和維護、信息科技運行、業務連續性管理、外包、內部審計、外部審計、附則等。
問:和原《指引》相比,新《指引》具有哪些特點?
答:和原《指引》相比,新《指引》具有以下六個較鮮明的特點:一是管理范疇由信息系統風險拓展至信息科技風險,全面覆蓋了商業銀行信息科技活動的各個環節,進一步明確了信息科技與銀行業務的關系;二是適用范圍由銀行業金融機構變為法人商業銀行,其他銀行業金融機構參照執行;三是信息科技治理作為首要內容提出,充實并細化了對商業銀行在治理層面的具體要求;四是以三個獨立章節的內容闡述了信息科技風險管理和內外部審計要求,特別是要求審計貫穿信息科技活動的整個過程之中;五是參照國際國內的標準和成功實踐,對商業銀行信息科技整個生命周期內的信息安全、業務連續性管理和外包等方面提出高標準、高要求,使操作性更強;六是加強了對客戶信息保護的要求。
問:新《指引》的發布對我國商業銀行而言有什么影響?
答:新《指引》的發布,將對我國銀行業信息科技風險管理產生積極作用。首先,新《指引》規定了董事會和高級管理層在信息科技風險管理中承擔的主要責任,提出要構建信息科技風險管理的“三道防線”(即信息科技管理、信息科技風險管理、信息科技風險審計),要求商業銀行在決策層設立首席信息官,有利于商業銀行加強信息科技治理;其次,新《指引》對商業銀行在具體操作層面提供了可供借鑒、操作性強的較高要求,有利于促進商業銀行信息科技風險管理水平的持續提升;另外,對敏感信息保護要求的提出,特別是對外包服務環節信息保護的要求,將促使商業銀行進一步加強客戶信息保護,為廣大儲戶提供更加安全的服務。
問:銀監會今后對商業銀行的信息科技風險監管還會采取哪些措施?
答:今后,銀監會將繼續加強對商業銀行信息科技風險的監管。一是對銀行業金融機構執行新《指引》情況進行跟蹤,對不同類型機構的信息科技風險狀況進行分析,研究完善信息科技風險監管制度體系;二是逐步開展以防范化解銀行業信息科技風險為目標的現場檢查;三是加強對銀行業信息科技風險的非現場監管,研究建立信息科技風險評級體系,實現分類監管和差別監管,鼓勵商業銀行不斷提升信息科技風險管理水平。
|
