中國銀監會辦公廳關於加強非銀行金融機構信息科技建設和管理的指導意見

中國銀監會辦公廳關於加強非銀行金融機構信息科技建設和管理的指導意見

為促進信託公司和金融資產管理公司、企業集團財務公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經紀公司等非銀行金融機構（以下簡稱非銀機構）信息科技建設，提升信息化管理水平，有效防範信息科技風險，保障非銀機構穩健經營和持續發展，現就加強非銀機構信息科技建設和管理工作提出以下意見。

頒佈單位：中國銀行業監督管理委員會(已撤銷)

文       號：銀監辦發[2016]188號

頒佈時間：2016-12-26

實施時間：2016-12-26

時 效  性：現行有效

效力級別：部門規範性文件

一、指導原則

(一)明確主體責任。非銀機構作為金融機構獨立法人應承擔相應的信息科技管理職責，建立符合業務特點的信息科技戰略和風險管理策略，根據業務發展和經營管理需要，確定信息科技發展目標和功能定位，合理利用外部資源，自主開展信息科技管理工作。

(二)科技支撐發展。科學配備信息科技資源，充分發揮信息科技對業務發展和轉型的支撐和引領作用，順應“互聯網+”發展趨勢，積極穩妥地探索和應用新興技術，為改善系統、渠道、產品的靈活性和可擴展性提供支持。

(三)倡導合作共享。積極與其他銀行業金融機構協同合作，加強資源開放共享，交流先進技術與成功管理經驗，取長補短，提高非銀機構信息科技建設和管理水平。

(四)嚴守風險底線。建立健全信息科技風險管理架構，加強基礎設施建設、開發測試、運行維護、信息安全、業務連續性、外包等重點領域的信息科技風險防控，避免和減少重大信息科技事件發生。

二、建立有效的信息科技治理架構

(一)夯實信息科技治理基礎。非銀機構應明確董事會、高級管理層應履行的信息科技管理職責，保證資金、人力和技術等資源投入，滿足信息科技建設和管理需要。董事會應承擔信息科技風險管理的最終責任，未設立董事會的，由本機構經營決策層履行相關管理職責。規模較大且主要業務對信息科技依賴度較高的非銀機構應設立信息總監(首席信息官)，將其納入高級管理人員，專職負責信息科技戰略規劃和管理，參與同信息科技運用有關的業務決策等工作。應建立跨部門工作協調機制，成立由高級管理層、信息科技部門和主要業務部門負責人組成的信息科技管理委員會，承擔信息科技戰略規劃審議、推進重大項目決策等職責，提高管理決策的科學性和有效性。應釐清與本機構出資人的信息科技管理工作職責，加強工作規劃、預算投入、項目建設等重大事項的自主決策，推動信息科技健康有序發展。

(二)加強信息科技專業隊伍建設。非銀機構應設立相對獨立的信息科技管理職能部門，合理配備專業人員，明確崗位職責和分工安排，建立內部崗位制約機制，確保關鍵崗位人員數量充足。應重視人才培養，為信息科技人員提供履職所需的技能培訓，建立健全晉升及激勵考核機制，提供專業人才發展空間，確保信息科技隊伍穩定發展。

(三)建立信息科技風險管控機制。非銀機構應將信息科技風險納入全面風險管理體系，建立常態化的風險識別、監測和管控機制，每年對全部重要信息系統至少開展一次風險評估，及時發現風險並採取有效控制措施。應將信息科技審計納入審計部門工作範疇，對信息科技內控機制的充分性和有效性開展內部審計，或聘請專業機構開展外部審計;針對重大信息科技事件或重大風險隱患開展必要的專項審計，至少每三年完成一次全面審計。審計部門應定期向董事會和高級管理層報告審計和跟蹤審計情況，督促相關部門及時整改審計發現的問題。

三、科學規劃，提升信息科技對業務的支撐能力

(一)科學制定信息科技戰略規劃。非銀機構應結合自身業務特色和發展趨勢，制定與業務戰略規劃相匹配並適度超前的信息科技戰略規劃，科學構建信息技術架構，包括企業級應用架構、技術架構和數據架構，建立與規劃相配套的組織和資源保障機制，定期跟蹤規劃執行進度，評估執行效果，確保有效落地實施。

(二)提高信息科技建設質效。非銀機構應加強經營分析和風險控制系統建設，逐步構建覆蓋全部業務流程的管理信息系統，滿足業務發展需要和全面風險管理要求，提高業務運營效率，支撐管理和決策。信息系統建設應具有一定前瞻性，既要考慮業務的複雜性和實時性，又要考慮靈活性和可擴展性，有效應對市場需求變化，引領業務發展和機構轉型升級。積極應用雲計算、大數據、移動互聯等新興技術，通過創新服務方式，提高金融服務的安全性、便捷性，提升自身核心競爭力，創造業務價值。有條件的機構，可積極探索開展同業之間在技術合作、信息服務、資源共享等領域的協作實踐。

(三)完善數據治理體系。非銀機構應探索建立有效的數據治理組織架構，制定統一規範的數據標準和數據管理機制，理順各系統之間的數據交互關係，不斷提高數據質量，滿足監管機構在監管數據採集、報送等方面的要求。深化數據應用，發揮數據治理在實現差異化服務和風險管理等方面的積極作用，提升數據治理效能。

四、加強基礎設施建設，提升開發測試和運維管理水平

(一)加強數據中心基礎設施建設。非銀機構應結合業務發展需要和自身實際情況，科學選擇數據中心(含中心機房)建設方式，實現數據中心的安全、高效與節能;為節約成本、提高專業化管理水平，規模較小的非銀機構可考慮選擇租用、託管、共享數據中心等建設方式，具有一定規模、信息科技基礎較好、管理能力較強的非銀機構可自建數據中心。數據中心選址應符合有關監管要求，在選址前應實施安全評估，充分考慮地理位置、環境、設施等各種因素影響，規避選址不當造成的風險。數據中心建築物結構(如層高、承重、抗震等)應滿足專用機房建設要求，電力供應、精密空調、網絡通信線路等重要基礎設施應具備宂餘能力，機房應採取有效的防火、防雷、防水等保護措施。數據中心與其他機構(包括出資人)共用或託管至外包服務商的，應確保重要信息科技設備與其他機構的有效隔離，明確物理安全區域，嚴格控制物理訪問權限。

(二)規範開發測試管理。非銀機構應制定開發測試相關制度、標準、流程，規範管理自主開發或外包開發過程。安排專人負責項目管理，合理控制項目進度。重視需求分析，規範設計，兼顧業務功能與非業務功能需求。選取適當的開發測試方法，確保系統開發測試的完整性和有效性。明確安全開發規範，加強信息系統的安全設計、研發和測試。

(三)提升運行維護能力。非銀機構應根據工作需要建立專業化的運行維護管理隊伍，不斷提高自主運維管理能力;科學劃分運維崗位職責，杜絕關鍵崗位兼職兼崗。建立健全運維管理制度，明確事件管理、問題管理、配置管理、變更管理、發佈管理等要求，編制運維操作手冊，規範重要信息系統投產上線及重大變更操作。加強重要設備和設施定期巡檢和維護，及時更新老化陳舊設備，全面做好軟件正版化工作，健全軟件產品和硬件設備缺陷管理機制，採取適當升級措施，確保系統服務的連續可用性。加強容量規劃，以適應業務發展和交易量增長的需要。建設自動化運維手段，建立全面覆蓋基礎設施、網絡、系統、應用等多領域、多層次的監控體系，妥善存儲日誌，有效防範和處置各類故障事件。

五、健全信息科技風險管理體系，加強重點領域風險防控

(一)加強信息安全管理。非銀機構應配備專職信息安全管理人員，制定完善的安全管理制度，嚴格落實國家網絡安全政策法規的有關要求，定期開展安全教育，提高員工信息安全意識。加強安全技術保障體系建設，採取有效的防病毒、防攻擊、防篡改、防泄密、防抵賴等措施，提高系統抵禦內外部攻擊破壞的能力。嚴格配置網絡訪問控制策略，實現開發、測試、生產、辦公等不同網絡安全域之間以及與出資人等外聯單位、國際互聯網之間的風險隔離。加強系統安全漏洞和補丁信息的監測、收集和評估，確保及時發現和處置重大安全隱患。開展應用系統安全檢測，對官方網站等通過互聯網提供服務的系統，在上線及重大投產變更前進行滲透測試，杜絕系統“帶病”上線。對敏感數據實施分類分級管理，強化數據生命週期各階段安全管理要求，嚴格控制生產系統訪問權限，禁止未經授權查看、下載生產數據;採取符合要求的加密、脱敏等技術，提高數據存儲、傳輸、測試的安全性。落實終端、移動存儲介質安全控制措施，加強對非法外聯等各類違規行為的監控、阻斷和審計。

(二)重視業務連續性能力建設。非銀機構應建立業務連續性管理組織架構，有效開展業務影響分析，識別各項重要業務，合理確定業務恢復時間目標(RTO)和業務恢復點目標(RPO)。加強業務連續性資源與能力建設，依據業務恢復目標，對重要信息系統採取高可用技術，制定並實施重要數據備份策略;規模較大、業務服務實時性要求高的非銀機構，應建立或與其他機構共享災備中心(含災備機房)，對重要信息系統和數據進行同城或異地備份，確保生產系統不可用時及時恢復重要業務。制定信息科技突發事件應急預案，對重要系統每年至少開展一次應急演練，加強業務與技術應急有效銜接，不斷提高事件應急處置能力。

(三)嚴格控制外包風險。非銀機構應識別和分析信息科技外包風險，制定外包策略，明確外包範圍和責任邊界，嚴守“安全管理責任不能外包、安全標準不能降低”的風險底線，建立與信息科技戰略目標相適應的外包管理體系。加強對外包服務商的風險管理，對關鍵外包服務商的技術實力、內控體系和管理能力定期開展風險評估，制定外包服務中斷應急預案;重視關聯外包管理，將與出資人之間的外包活動納入關聯外包管理，不得因關聯關係而降低外包服務管理要求;識別具有機構集中度風險的外包服務商，加強持續監控和管理，積極採取風險分散措施，對外包合作項目進行必要的知識產權轉移，有條件的機構應逐步提高自主研發能力，降低對外包服務商的依賴。嚴格外包合同管理，規範合同條款，明確外包服務商安全保密等各類責任與義務。

六、加強監管指導

(一)提高監管關注。各級監管機構應加強對非銀機構的信息科技監管，按照屬地原則，有序開展監管和指導工作。合理分配監管資源，加強內部監管聯動，提高監管工作質效。積極跟蹤非銀機構信息科技發展動態，分析和研判風險態勢，加強風險識別、評估和預警，及時開展風險提示，將風險管控關口前移。

(二)突出監管重點。各級監管機構應積極引導非銀機構提高對信息化工作的重視程度，加強資源保障，不斷提升專業化管理能力，有效支撐業務發展和創新。督促非銀機構在信息化建設過程中，合法、規範地應用信息技術和信息產品，在開展同業、跨業交流與合作時嚴格遵守相關規定。積極運用非現場監管、現場檢查等監管手段，及時發現非銀機構存在的突出問題，開展專項整治，特別要加大重點風險領域的監管力度，嚴防重大風險隱患。

(三)強化責任追究。各級監管機構應強化對非銀機構信息科技建設和管理的監管問責，對違反監管政策或監管要求落實不力的機構，要追究相關責任，必要時依法採取行政處罰措施。督促指導非銀機構嚴格落實事件報告制度，按照《商業銀行業務連續性監管指引》有關要求，及時報送重要信息系統服務中斷或重要數據損毀、丟失、篡改、泄露情況，妥善處置對本機構或客户利益造成較大損害的重大突發信息科技事件。

2016年12月26日