中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于加強(qiáng)非銀行金融機(jī)構(gòu)信息科技建設(shè)和管理的指導(dǎo)意見(jiàn)

各銀監(jiān)局，各金融資產(chǎn)管理公司，中國(guó)信托業(yè)保障基金公司、中國(guó)信托登記有限責(zé)任公司：

為促進(jìn)信托公司和金融資產(chǎn)管理公司、企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司、汽車(chē)金融公司、消費(fèi)金融公司、貨幣經(jīng)紀(jì)公司等非銀行金融機(jī)構(gòu)（以下簡(jiǎn)稱(chēng)非銀機(jī)構(gòu)）信息科技建設(shè)，提升信息化管理水平，有效防范信息科技風(fēng)險(xiǎn)，保障非銀機(jī)構(gòu)穩(wěn)健經(jīng)營(yíng)和持續(xù)發(fā)展，現(xiàn)就加強(qiáng)非銀機(jī)構(gòu)信息科技建設(shè)和管理工作提出以下意見(jiàn)。

一、指導(dǎo)原則

（一）明確主體責(zé)任。非銀機(jī)構(gòu)作為金融機(jī)構(gòu)獨(dú)立法人應(yīng)承擔(dān)相應(yīng)的信息科技管理職責(zé)，建立符合業(yè)務(wù)特點(diǎn)的信息科技戰(zhàn)略和風(fēng)險(xiǎn)管理策略，根據(jù)業(yè)務(wù)發(fā)展和經(jīng)營(yíng)管理需要，確定信息科技發(fā)展目標(biāo)和功能定位，合理利用外部資源，自主開(kāi)展信息科技管理工作。

（二）科技支撐發(fā)展。科學(xué)配備信息科技資源，充分發(fā)揮信息科技對(duì)業(yè)務(wù)發(fā)展和轉(zhuǎn)型的支撐和引領(lǐng)作用，順應(yīng)“互聯(lián)網(wǎng)+”發(fā)展趨勢(shì)，積極穩(wěn)妥地探索和應(yīng)用新興技術(shù)，為改善系統(tǒng)、渠道、產(chǎn)品的靈活性和可擴(kuò)展性提供支持。

（三）倡導(dǎo)合作共享。積極與其他銀行業(yè)金融機(jī)構(gòu)協(xié)同合作，加強(qiáng)資源開(kāi)放共享，交流先進(jìn)技術(shù)與成功管理經(jīng)驗(yàn)，取長(zhǎng)補(bǔ)短，提高非銀機(jī)構(gòu)信息科技建設(shè)和管理水平。

（四）嚴(yán)守風(fēng)險(xiǎn)底線。建立健全信息科技風(fēng)險(xiǎn)管理架構(gòu)，加強(qiáng)基礎(chǔ)設(shè)施建設(shè)、開(kāi)發(fā)測(cè)試、運(yùn)行維護(hù)、信息安全、業(yè)務(wù)連續(xù)性、外包等重點(diǎn)領(lǐng)域的信息科技風(fēng)險(xiǎn)防控，避免和減少重大信息科技事件發(fā)生。

二、建立有效的信息科技治理架構(gòu)

（一）夯實(shí)信息科技治理基礎(chǔ)。非銀機(jī)構(gòu)應(yīng)明確董事會(huì)、高級(jí)管理層應(yīng)履行的信息科技管理職責(zé)，保證資金、人力和技術(shù)等資源投入，滿足信息科技建設(shè)和管理需要。董事會(huì)應(yīng)承擔(dān)信息科技風(fēng)險(xiǎn)管理的最終責(zé)任，未設(shè)立董事會(huì)的，由本機(jī)構(gòu)經(jīng)營(yíng)決策層履行相關(guān)管理職責(zé)。規(guī)模較大且主要業(yè)務(wù)對(duì)信息科技依賴度較高的非銀機(jī)構(gòu)應(yīng)設(shè)立信息總監(jiān)（首席信息官），將其納入高級(jí)管理人員，專(zhuān)職負(fù)責(zé)信息科技戰(zhàn)略規(guī)劃和管理，參與同信息科技運(yùn)用有關(guān)的業(yè)務(wù)決策等工作。應(yīng)建立跨部門(mén)工作協(xié)調(diào)機(jī)制，成立由高級(jí)管理層、信息科技部門(mén)和主要業(yè)務(wù)部門(mén)負(fù)責(zé)人組成的信息科技管理委員會(huì)，承擔(dān)信息科技戰(zhàn)略規(guī)劃審議、推進(jìn)重大項(xiàng)目決策等職責(zé)，提高管理決策的科學(xué)性和有效性。應(yīng)厘清與本機(jī)構(gòu)出資人的信息科技管理工作職責(zé)，加強(qiáng)工作規(guī)劃、預(yù)算投入、項(xiàng)目建設(shè)等重大事項(xiàng)的自主決策，推動(dòng)信息科技健康有序發(fā)展。

（二）加強(qiáng)信息科技專(zhuān)業(yè)隊(duì)伍建設(shè)。非銀機(jī)構(gòu)應(yīng)設(shè)立相對(duì)獨(dú)立的信息科技管理職能部門(mén)，合理配備專(zhuān)業(yè)人員，明確崗位職責(zé)和分工安排，建立內(nèi)部崗位制約機(jī)制，確保關(guān)鍵崗位人員數(shù)量充足。應(yīng)重視人才培養(yǎng)，為信息科技人員提供履職所需的技能培訓(xùn)，建立健全晉升及激勵(lì)考核機(jī)制，提供專(zhuān)業(yè)人才發(fā)展空間，確保信息科技隊(duì)伍穩(wěn)定發(fā)展。

（三）建立信息科技風(fēng)險(xiǎn)管控機(jī)制。非銀機(jī)構(gòu)應(yīng)將信息科技風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系，建立常態(tài)化的風(fēng)險(xiǎn)識(shí)別、監(jiān)測(cè)和管控機(jī)制，每年對(duì)全部重要信息系統(tǒng)至少開(kāi)展一次風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)并采取有效控制措施。應(yīng)將信息科技審計(jì)納入審計(jì)部門(mén)工作范疇，對(duì)信息科技內(nèi)控機(jī)制的充分性和有效性開(kāi)展內(nèi)部審計(jì)，或聘請(qǐng)專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展外部審計(jì)；針對(duì)重大信息科技事件或重大風(fēng)險(xiǎn)隱患開(kāi)展必要的專(zhuān)項(xiàng)審計(jì)，至少每三年完成一次全面審計(jì)。審計(jì)部門(mén)應(yīng)定期向董事會(huì)和高級(jí)管理層報(bào)告審計(jì)和跟蹤審計(jì)情況，督促相關(guān)部門(mén)及時(shí)整改審計(jì)發(fā)現(xiàn)的問(wèn)題。

三、科學(xué)規(guī)劃，提升信息科技對(duì)業(yè)務(wù)的支撐能力

（一）科學(xué)制定信息科技戰(zhàn)略規(guī)劃。非銀機(jī)構(gòu)應(yīng)結(jié)合自身業(yè)務(wù)特色和發(fā)展趨勢(shì)，制定與業(yè)務(wù)戰(zhàn)略規(guī)劃相匹配并適度超前的信息科技戰(zhàn)略規(guī)劃，科學(xué)構(gòu)建信息技術(shù)架構(gòu)，包括企業(yè)級(jí)應(yīng)用架構(gòu)、技術(shù)架構(gòu)和數(shù)據(jù)架構(gòu)，建立與規(guī)劃相配套的組織和資源保障機(jī)制，定期跟蹤規(guī)劃執(zhí)行進(jìn)度，評(píng)估執(zhí)行效果，確保有效落地實(shí)施。

（二）提高信息科技建設(shè)質(zhì)效。非銀機(jī)構(gòu)應(yīng)加強(qiáng)經(jīng)營(yíng)分析和風(fēng)險(xiǎn)控制系統(tǒng)建設(shè)，逐步構(gòu)建覆蓋全部業(yè)務(wù)流程的管理信息系統(tǒng)，滿足業(yè)務(wù)發(fā)展需要和全面風(fēng)險(xiǎn)管理要求，提高業(yè)務(wù)運(yùn)營(yíng)效率，支撐管理和決策。信息系統(tǒng)建設(shè)應(yīng)具有一定前瞻性，既要考慮業(yè)務(wù)的復(fù)雜性和實(shí)時(shí)性，又要考慮靈活性和可擴(kuò)展性，有效應(yīng)對(duì)市場(chǎng)需求變化，引領(lǐng)業(yè)務(wù)發(fā)展和機(jī)構(gòu)轉(zhuǎn)型升級(jí)。積極應(yīng)用云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)等新興技術(shù)，通過(guò)創(chuàng)新服務(wù)方式，提高金融服務(wù)的安全性、便捷性，提升自身核心競(jìng)爭(zhēng)力，創(chuàng)造業(yè)務(wù)價(jià)值。有條件的機(jī)構(gòu)，可積極探索開(kāi)展同業(yè)之間在技術(shù)合作、信息服務(wù)、資源共享等領(lǐng)域的協(xié)作實(shí)踐。

（三）完善數(shù)據(jù)治理體系。非銀機(jī)構(gòu)應(yīng)探索建立有效的數(shù)據(jù)治理組織架構(gòu)，制定統(tǒng)一規(guī)范的數(shù)據(jù)標(biāo)準(zhǔn)和數(shù)據(jù)管理機(jī)制，理順各系統(tǒng)之間的數(shù)據(jù)交互關(guān)系，不斷提高數(shù)據(jù)質(zhì)量，滿足監(jiān)管機(jī)構(gòu)在監(jiān)管數(shù)據(jù)采集、報(bào)送等方面的要求。深化數(shù)據(jù)應(yīng)用，發(fā)揮數(shù)據(jù)治理在實(shí)現(xiàn)差異化服務(wù)和風(fēng)險(xiǎn)管理等方面的積極作用，提升數(shù)據(jù)治理效能。

四、加強(qiáng)基礎(chǔ)設(shè)施建設(shè)，提升開(kāi)發(fā)測(cè)試和運(yùn)維管理水平

（一）加強(qiáng)數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)。非銀機(jī)構(gòu)應(yīng)結(jié)合業(yè)務(wù)發(fā)展需要和自身實(shí)際情況，科學(xué)選擇數(shù)據(jù)中心（含中心機(jī)房）建設(shè)方式，實(shí)現(xiàn)數(shù)據(jù)中心的安全、高效與節(jié)能；為節(jié)約成本、提高專(zhuān)業(yè)化管理水平，規(guī)模較小的非銀機(jī)構(gòu)可考慮選擇租用、托管、共享數(shù)據(jù)中心等建設(shè)方式，具有一定規(guī)模、信息科技基礎(chǔ)較好、管理能力較強(qiáng)的非銀機(jī)構(gòu)可自建數(shù)據(jù)中心。數(shù)據(jù)中心選址應(yīng)符合有關(guān)監(jiān)管要求，在選址前應(yīng)實(shí)施安全評(píng)估，充分考慮地理位置、環(huán)境、設(shè)施等各種因素影響，規(guī)避選址不當(dāng)造成的風(fēng)險(xiǎn)。數(shù)據(jù)中心建筑物結(jié)構(gòu)（如層高、承重、抗震等）應(yīng)滿足專(zhuān)用機(jī)房建設(shè)要求，電力供應(yīng)、精密空調(diào)、網(wǎng)絡(luò)通信線路等重要基礎(chǔ)設(shè)施應(yīng)具備冗余能力，機(jī)房應(yīng)采取有效的防火、防雷、防水等保護(hù)措施。數(shù)據(jù)中心與其他機(jī)構(gòu)（包括出資人）共用或托管至外包服務(wù)商的，應(yīng)確保重要信息科技設(shè)備與其他機(jī)構(gòu)的有效隔離，明確物理安全區(qū)域，嚴(yán)格控制物理訪問(wèn)權(quán)限。

（二）規(guī)范開(kāi)發(fā)測(cè)試管理。非銀機(jī)構(gòu)應(yīng)制定開(kāi)發(fā)測(cè)試相關(guān)制度、標(biāo)準(zhǔn)、流程，規(guī)范管理自主開(kāi)發(fā)或外包開(kāi)發(fā)過(guò)程。安排專(zhuān)人負(fù)責(zé)項(xiàng)目管理，合理控制項(xiàng)目進(jìn)度。重視需求分析，規(guī)范設(shè)計(jì)，兼顧業(yè)務(wù)功能與非業(yè)務(wù)功能需求。選取適當(dāng)?shù)拈_(kāi)發(fā)測(cè)試方法，確保系統(tǒng)開(kāi)發(fā)測(cè)試的完整性和有效性。明確安全開(kāi)發(fā)規(guī)范，加強(qiáng)信息系統(tǒng)的安全設(shè)計(jì)、研發(fā)和測(cè)試。

（三）提升運(yùn)行維護(hù)能力。非銀機(jī)構(gòu)應(yīng)根據(jù)工作需要建立專(zhuān)業(yè)化的運(yùn)行維護(hù)管理隊(duì)伍，不斷提高自主運(yùn)維管理能力；科學(xué)劃分運(yùn)維崗位職責(zé)，杜絕關(guān)鍵崗位兼職兼崗。建立健全運(yùn)維管理制度，明確事件管理、問(wèn)題管理、配置管理、變更管理、發(fā)布管理等要求，編制運(yùn)維操作手冊(cè)，規(guī)范重要信息系統(tǒng)投產(chǎn)上線及重大變更操作。加強(qiáng)重要設(shè)備和設(shè)施定期巡檢和維護(hù)，及時(shí)更新老化陳舊設(shè)備，全面做好軟件正版化工作，健全軟件產(chǎn)品和硬件設(shè)備缺陷管理機(jī)制，采取適當(dāng)升級(jí)措施，確保系統(tǒng)服務(wù)的連續(xù)可用性。加強(qiáng)容量規(guī)劃，以適應(yīng)業(yè)務(wù)發(fā)展和交易量增長(zhǎng)的需要。建設(shè)自動(dòng)化運(yùn)維手段，建立全面覆蓋基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等多領(lǐng)域、多層次的監(jiān)控體系，妥善存儲(chǔ)日志，有效防范和處置各類(lèi)故障事件。

五、健全信息科技風(fēng)險(xiǎn)管理體系，加強(qiáng)重點(diǎn)領(lǐng)域風(fēng)險(xiǎn)防控

（一）加強(qiáng)信息安全管理。非銀機(jī)構(gòu)應(yīng)配備專(zhuān)職信息安全管理人員，制定完善的安全管理制度，嚴(yán)格落實(shí)國(guó)家網(wǎng)絡(luò)安全政策法規(guī)的有關(guān)要求，定期開(kāi)展安全教育，提高員工信息安全意識(shí)。加強(qiáng)安全技術(shù)保障體系建設(shè)，采取有效的防病毒、防攻擊、防篡改、防泄密、防抵賴等措施，提高系統(tǒng)抵御內(nèi)外部攻擊破壞的能力。嚴(yán)格配置網(wǎng)絡(luò)訪問(wèn)控制策略，實(shí)現(xiàn)開(kāi)發(fā)、測(cè)試、生產(chǎn)、辦公等不同網(wǎng)絡(luò)安全域之間以及與出資人等外聯(lián)單位、國(guó)際互聯(lián)網(wǎng)之間的風(fēng)險(xiǎn)隔離。加強(qiáng)系統(tǒng)安全漏洞和補(bǔ)丁信息的監(jiān)測(cè)、收集和評(píng)估，確保及時(shí)發(fā)現(xiàn)和處置重大安全隱患。開(kāi)展應(yīng)用系統(tǒng)安全檢測(cè)，對(duì)官方網(wǎng)站等通過(guò)互聯(lián)網(wǎng)提供服務(wù)的系統(tǒng)，在上線及重大投產(chǎn)變更前進(jìn)行滲透測(cè)試，杜絕系統(tǒng)“帶病”上線。對(duì)敏感數(shù)據(jù)實(shí)施分類(lèi)分級(jí)管理，強(qiáng)化數(shù)據(jù)生命周期各階段安全管理要求，嚴(yán)格控制生產(chǎn)系統(tǒng)訪問(wèn)權(quán)限，禁止未經(jīng)授權(quán)查看、下載生產(chǎn)數(shù)據(jù)；采取符合要求的加密、脫敏等技術(shù)，提高數(shù)據(jù)存儲(chǔ)、傳輸、測(cè)試的安全性。落實(shí)終端、移動(dòng)存儲(chǔ)介質(zhì)安全控制措施，加強(qiáng)對(duì)非法外聯(lián)等各類(lèi)違規(guī)行為的監(jiān)控、阻斷和審計(jì)。

（二）重視業(yè)務(wù)連續(xù)性能力建設(shè)。非銀機(jī)構(gòu)應(yīng)建立業(yè)務(wù)連續(xù)性管理組織架構(gòu)，有效開(kāi)展業(yè)務(wù)影響分析，識(shí)別各項(xiàng)重要業(yè)務(wù)，合理確定業(yè)務(wù)恢復(fù)時(shí)間目標(biāo)（RTO）和業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo)（RPO）。加強(qiáng)業(yè)務(wù)連續(xù)性資源與能力建設(shè)，依據(jù)業(yè)務(wù)恢復(fù)目標(biāo)，對(duì)重要信息系統(tǒng)采取高可用技術(shù)，制定并實(shí)施重要數(shù)據(jù)備份策略；規(guī)模較大、業(yè)務(wù)服務(wù)實(shí)時(shí)性要求高的非銀機(jī)構(gòu)，應(yīng)建立或與其他機(jī)構(gòu)共享災(zāi)備中心（含災(zāi)備機(jī)房），對(duì)重要信息系統(tǒng)和數(shù)據(jù)進(jìn)行同城或異地備份，確保生產(chǎn)系統(tǒng)不可用時(shí)及時(shí)恢復(fù)重要業(yè)務(wù)。制定信息科技突發(fā)事件應(yīng)急預(yù)案，對(duì)重要系統(tǒng)每年至少開(kāi)展一次應(yīng)急演練，加強(qiáng)業(yè)務(wù)與技術(shù)應(yīng)急有效銜接，不斷提高事件應(yīng)急處置能力。

（三）嚴(yán)格控制外包風(fēng)險(xiǎn)。非銀機(jī)構(gòu)應(yīng)識(shí)別和分析信息科技外包風(fēng)險(xiǎn)，制定外包策略，明確外包范圍和責(zé)任邊界，嚴(yán)守“安全管理責(zé)任不能外包、安全標(biāo)準(zhǔn)不能降低”的風(fēng)險(xiǎn)底線，建立與信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系。加強(qiáng)對(duì)外包服務(wù)商的風(fēng)險(xiǎn)管理，對(duì)關(guān)鍵外包服務(wù)商的技術(shù)實(shí)力、內(nèi)控體系和管理能力定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，制定外包服務(wù)中斷應(yīng)急預(yù)案；重視關(guān)聯(lián)外包管理，將與出資人之間的外包活動(dòng)納入關(guān)聯(lián)外包管理，不得因關(guān)聯(lián)關(guān)系而降低外包服務(wù)管理要求；識(shí)別具有機(jī)構(gòu)集中度風(fēng)險(xiǎn)的外包服務(wù)商，加強(qiáng)持續(xù)監(jiān)控和管理，積極采取風(fēng)險(xiǎn)分散措施，對(duì)外包合作項(xiàng)目進(jìn)行必要的知識(shí)產(chǎn)權(quán)轉(zhuǎn)移，有條件的機(jī)構(gòu)應(yīng)逐步提高自主研發(fā)能力，降低對(duì)外包服務(wù)商的依賴。嚴(yán)格外包合同管理，規(guī)范合同條款，明確外包服務(wù)商安全保密等各類(lèi)責(zé)任與義務(wù)。

六、加強(qiáng)監(jiān)管指導(dǎo)

（一）提高監(jiān)管關(guān)注。各級(jí)監(jiān)管機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)非銀機(jī)構(gòu)的信息科技監(jiān)管，按照屬地原則，有序開(kāi)展監(jiān)管和指導(dǎo)工作。合理分配監(jiān)管資源，加強(qiáng)內(nèi)部監(jiān)管聯(lián)動(dòng)，提高監(jiān)管工作質(zhì)效。積極跟蹤非銀機(jī)構(gòu)信息科技發(fā)展動(dòng)態(tài)，分析和研判風(fēng)險(xiǎn)態(tài)勢(shì)，加強(qiáng)風(fēng)險(xiǎn)識(shí)別、評(píng)估和預(yù)警，及時(shí)開(kāi)展風(fēng)險(xiǎn)提示，將風(fēng)險(xiǎn)管控關(guān)口前移。

（二）突出監(jiān)管重點(diǎn)。各級(jí)監(jiān)管機(jī)構(gòu)應(yīng)積極引導(dǎo)非銀機(jī)構(gòu)提高對(duì)信息化工作的重視程度，加強(qiáng)資源保障，不斷提升專(zhuān)業(yè)化管理能力，有效支撐業(yè)務(wù)發(fā)展和創(chuàng)新。督促非銀機(jī)構(gòu)在信息化建設(shè)過(guò)程中，合法、規(guī)范地應(yīng)用信息技術(shù)和信息產(chǎn)品，在開(kāi)展同業(yè)、跨業(yè)交流與合作時(shí)嚴(yán)格遵守相關(guān)規(guī)定。積極運(yùn)用非現(xiàn)場(chǎng)監(jiān)管、現(xiàn)場(chǎng)檢查等監(jiān)管手段，及時(shí)發(fā)現(xiàn)非銀機(jī)構(gòu)存在的突出問(wèn)題，開(kāi)展專(zhuān)項(xiàng)整治，特別要加大重點(diǎn)風(fēng)險(xiǎn)領(lǐng)域的監(jiān)管力度，嚴(yán)防重大風(fēng)險(xiǎn)隱患。

（三）強(qiáng)化責(zé)任追究。各級(jí)監(jiān)管機(jī)構(gòu)應(yīng)強(qiáng)化對(duì)非銀機(jī)構(gòu)信息科技建設(shè)和管理的監(jiān)管問(wèn)責(zé)，對(duì)違反監(jiān)管政策或監(jiān)管要求落實(shí)不力的機(jī)構(gòu)，要追究相關(guān)責(zé)任，必要時(shí)依法采取行政處罰措施。督促指導(dǎo)非銀機(jī)構(gòu)嚴(yán)格落實(shí)事件報(bào)告制度，按照《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》有關(guān)要求，及時(shí)報(bào)送重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、篡改、泄露情況，妥善處置對(duì)本機(jī)構(gòu)或客戶利益造成較大損害的重大突發(fā)信息科技事件。