中国银监会办公厅关于加强农村合作金融机构信息系统风险管理的通知
(银监办通〔2007〕227号)
各银监局(西藏除外):
近年来,个别银行信息管理系统出现故障,个人业务系统运行不畅,网上银行登录及电话银行接听困难,柜台和自动柜员机业务办理速度缓慢,部分代理证券业务受阻,在社会上造成一定的负面影响。为加强农村合作金融机构信息管理系统风险管控,防止类似情况发生,确保信息管理系统安全、持续、稳健运行,现就有关事项通知如下:
一、高度重视信息管理系统风险管理。信息管理系统风险涉及面广,成因复杂,社会影响较大,农村合作金融机构必须高度重视,进一步加强信息管理系统风险管理。一是省级联社要高度重视信息管理系统的战略规划、重大项目和风险监督管理,成立专门管理机构,统筹规划信息系统总体发展战略、系统项目建设等,定期评估、报告本机构信息系统风险状况。二是按照银监会《银行业金融机构信息管理系统风险管理指引》(以下简称《风险管理指引》)要求,建立健全规章制度、操作规程等,明确与信息系统相关人员的职责权限,建立研发、运行维护、外包风险制约、监控机制,防范信息管理系统风险。三是要从讲政治的高度,认真落实银监会“十七大”期间信息安全保障工作要求,确保信息管理系统的安全、持续、稳健运行。
二、加强研发风险控制,保证信息管理系统质量。一是要严格执行国家信息安全相关标准,重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软硬件产品。二是区别控制研发风险。属自己开发的,应充分论证项目可行性,自身的技术水平和实力,以及潜在风险,充分进行功能测试、安全测试、压力测试、验收测试和适应性测试。否则,不得上线使用。外包开发的,要落实《风险管理指引》要求,认真做好承包方风险评估,订立安全、保密、知识产权方面的书面合同,制定各种应急预案,有效控制信息管理系统风险。三是电子设备选型、购置、登记、保养、维修、报废等应严格执行相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息管理系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。四是信息管理系统网络应参照相关的标准和规范设计、建设,网络设备应兼备技术先进性和产品成熟性,网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量保证传输带宽;建立完善的网管中心,监测和管理通信线路及网络设备,保障网络安全稳定运行。
