银监会有关负责人就《商业银行信息科技风险管理指引》答记者问
(2009年6月2日)
近日,中国银监会颁布了《
商业银行信息科技风险管理指引》,银监会有关负责人就相关问题回答了记者提问。
问:2006年银监会曾经出台了《
银行业金融机构信息系统风险管理指引》,为什么现在又颁布《
商业银行信息科技风险管理指引》?
答:2006年银监会发布《
银行业金融机构信息系统风险管理指引》(以下简称原
《指引》),填补了我国银行业信息系统监管领域的空白。但随着银行业信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为银行稳健运营和发展的支柱,定位在基本要求上的原
《指引》已很难进一步满足商业银行信息科技风险管理的需要。另外,原
《指引》对信息系统风险管理以原则性要求为主,在商业银行执行、操作层面的指导意义不够完善。为此,银监会决定对原
《指引》进行修订,并重新定名为《
商业银行信息科技风险管理指引》(以下简称新
《指引》),原
《指引》同时废止。
问:起草新
《指引》的基本原则和指导思想是什么?
答:银监会在起草新
《指引》过程中,贯彻了“管法人、管风险、管内控、提高透明度”的银行监管理念,表现在以下几个方面:一是从坚持法人监管出发,指出商业银行法定代表人是本机构信息科技风险管理的第一责任人。二是从坚持风险监管出发,要求商业银行建立有效的机制,实现对信息科技风险的识别、计量、监测和控制,提高信息技术使用水平。三是从内控监管要求出发,要求商业银行建立完整的管理组织架构,制订完善的管理制度和流程,以相互制约的管理机制对信息科技各环节进行控制。四是从保护广大储户利益出发,要求商业银行在信息系统开发、测试和维护,以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露,对业务连续性管理也加以规范,保障客户数据安全和服务连续。
