□本报记者 唐昆
昨日,中国银监会发布《银行业金融机构信息系统风险管理指引》,该指引旨在防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,实现对信息系统风险的识别、计量、评价、预警和控制。
《指引》分为总则、机构职责、总体风险控制、研发风险控制、运行维护风险控制、外包风险控制、审计和附则等八个部分。所谓信息系统风险,是指信息系统在规划、研发、建设、运行、维 护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
银监会发言人表示,该指引填补了我国银行业信息系统监管领域的空白,对于规范银行业金融机构信息系统风险管理、促进其内控水平和风险防范能力的全面提升将起到重要作用。
“为适应我国银行业金融机构多、信息系统风险管理发展不平衡的特点,指引分级别、分档次实行最低要求,并提出有促进性的基本要求。”银监会称。
该《指引》以风险管理为主线,把信息安全和信息系统风险作为控制点,实行一体化管理;强调风险的过程化管理而不是单纯的目标管理,从高层决策、信息系统研发、运行维护、外包等各个环节进行风险控制,并对信息系统的生命周期进行风险审计;还包含了创新和知识产权保护等内容。
“银行应制定信息系统应急预案,并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。”《指引》称。