银监会就<商业银行信息科技风险管理指引>答问全文

银监会发布《商业银行信息科技风险管理指引》

为进一步加强商业银行信息科技风险管理，银监会近日发布《商业银行信息科技风险管理指引》（以下简称《管理指引》），原《银行业金融机构信息系统风险管理指引》（银监发［2006］63号，以下简称原《指引》）同时废止。

随着银行业信息化的发展，信息科技的作用已经从业务支持逐步走向与业务的融合，成为银行稳健运营和发展的支柱，原《指引》定位在信息系统风险管理的基本、原则性要求，已难以满足商业银行信息科技风险管理的需要。为此，银监会在原《指引》的基础上，广泛征求业内机构意见，制定了本《管理指引》。

《管理指引》具有以下几个特点：一是全面涵盖商业银行的信息科技活动，进一步明确信息科技与银行业务的关系，对于认识和防范风险具有更加积极的作用；二是适用范围由银行业金融机构变为法人商业银行，其他银行业金融机构参照执行；三是信息科技治理作为首要内容提出，充实并细化了对商业银行在治理层面的具体要求；四是重点阐述了信息科技风险管理和内外部审计要求，特别是要求审计贯穿信息科技活动的整个过程之中；五是参照国际国内的标准和成功实践，对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求，使操作性更强；六是加强了对客户信息保护的要求。

新《指引》共十一章七十六条，分为总则，信息科技治理，信息科技风险管理，信息安全，信息系统开发、测试和维护，信息科技运行，业务连续性管理，外包，内部审计，外部审计和附则等十一个部分。新《指引》的发布，将进一步推动我国银行业信息科技风险管理向更高水平迈进。

商业银行信息科技风险管理指引

第一章  总    则

第一条  为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条  本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条  本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条  本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条  信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章  信息科技治理

第六条  商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条  商业银行的董事会应履行以下信息科技管理职责：

（一） 遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二） 审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。

（三） 掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四） 规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

（五） 设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

（六） 在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。

（七） 确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改。

（八） 每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。

（九） 确保信息科技风险管理工作所需资金。

（十） 确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。

（十一） 确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最高的管理权限，符合银监会监管和实施现场检查的要求，防范跨境风险。

（十二） 及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件，按相关预案快速响应。

（十三） 配合银监会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整改。

（十四） 履行信息科技风险管理其他相关工作。