中国银监会办公厅关于加强银行业金融机构信息科技风险监管的通知
(银监办通〔2007〕269号)
各银监局:
近一段时间以来,一些商业银行包括第三方存管等计算机业务处理系统相继出现很多问题,妨碍了业务的正常开展,在社会上造成了一定的负面影响。各银监局要认真学习贯彻今年银监会信息科技工作会议和银行业信息科技风险评价审计座谈会精神,狠抓落实工作,加强对辖内银行业金融机构信息科技风险的监管,以及内部信息科技风险的管理和预防工作,建立应急机制,防患于未然。现将有关事项通知如下:
一、加强组织领导,督促银行业金融机构落实信息科技风险管理责任制
各局要加强对银行业金融机构的指导,督促其尽快健全信息科技风险管理组织架构和制度体系,明确董事会、高级管理层对信息科技管理的职责权限。建立一把手负责制,并逐级落实信息科技风险管理责任制。银行业金融机构要制定实施方案和具体措施,保证行内各机构和部门统一思想、统一认识、协调一致,严格报告制和值班制,把信息安全工作层层落到实处。
二、加强监督检查,防止重大信息科技安全事故的发生
年底前,各局要督促辖内银行业金融机构开展一次信息科技风险自查活动,按照“安全第一,预防为主”的原则,及时排除各类隐患。
(一)审慎安排信息系统的重大变更和调整等工作。在明年“两会”、奥运会等重大活动期间,银行业金融机构禁止安排新系统上线和重大系统变更等工作。各项重大活动之前,对于业务量变化和技术资源需求必须提前开展充分的风险评估,合理安排资源,提出工作预案,严禁系统超载运行和带病运行。解决安全问题和隐患时,要考虑周全,制定详细的工作计划和应急措施,防止出现新的安全隐患。
(二)强化防范抵御外部攻击的机制和手段。要督促各银行业金融机构把信息安全工作提升到随时应对状态,全面加强入侵攻击、恶意渗透、病毒爆发等安全事件的预防和应对能力,通过完善技术和管理手段,保证各类生产型数据和保密信息的安全。
(三)保障充分的应急处置能力。要督促各银行业金融机构认真梳理信息系统存在的各类安全隐患,完善和细化各个部位和各级机构的应急预案,切实落实应急演练,保证应急方案在突发情况下能够及时启动、及时运转,达到既定效果。
