关于开展辖内非银行金融机构信息科技
风险自查整改工作的通知
辖内各信托公司、企业集团财务公司、汽车金融公司、金融租赁公司、消费金融公司、货币经纪公司:
近年来,在我局的持续督导下,辖内非银行金融机构(以下简称非银机构)对信息科技的重视程度不断加强,信息科技资源不断完备,信息科技对业务发展和转型的支撑和引领作用日益显现。然而部分非银机构由于信息科技基础薄弱,在基础设施建设、开发测试、运行维护、信息安全、业务连续性、外包等重点领域仍存在不同程度的风险。为督促辖内非银机构完善信息科技治理架构,提升信息科技建设质效,提高信息科技风险管理水平,特组织开展非银机构信息科技风险自查整改工作,现将有关事项通知如下:
一、自查内容
各非银机构要认真对照《关于加强非银行金融机构信息科技建设和管理的指导意见》(银监办发〔2016〕188号)要求,明确主体责任,开展信息科技风险排查,重点针对以下方面进行自查:
(一)信息科技治理。一是董事会、高管层履职情况,信息科技管理委员会(或类似组织机构)及信息科技管理部门的设立情况,应明确划分信息科技管理职责。二是信息科技战略规划制定和执行跟踪情况。三是科技人员队伍配备及重点岗位的人员备份情况,科技队伍人员稳定性情况。四是信息科技风险管理岗位职责落实情况及相关制度制定情况。五是信息科技审计工作开展情况以及对审计发现问题的跟踪、整改情况。
(二)基础设施。一是数据中心(机房)地理位置、楼层等选取的合理性,应远离风险隐患并满足专用机房建设要求。二是数据中心(机房)基础设施运转情况及物理环境监控系统的有效性,包括设备性能、冗余、保护措施等。三是数据中心(机房)功能区域划分的有效性,如存在其他机构或外包商设备托管的情况应采取有效的物理隔离措施。四是数据中心(机房)管理责任落实情况,巡检、值班等制度的执行情况,机房门禁管理措施的有效性和机房及重要基础设施房间整洁度。
(三)开发测试。一是信息科技管理委员会/高级管理层参与重大项目(或重大变更)情况。二是相关制度和规范制定及修订情况。三是开发测试全生命周期管理情况。需求分析、系统设计阶段对非功能性需求的考虑情况,测试的全面性和有效性等。四是开发测试中的数据安全管理情况。开发、测试环境与生产环境应相互隔离,对开发、测试使用的数据应进行脱敏处理。
(四)运行维护。一是运维管理制度及技术文档的全面性与可操作性。二是运维管理队伍的规模与专业技能与本机构系统运维需求的匹配度。三是运维变更的规范性,事件管理、问题管理的有效性,容量管理与容量监控的合理性。四是生产设备巡检的开展情况,应保证关键设备备机、备件充足,及时修复监管机构、厂商发布的基础软硬件产品缺陷,及时更新升级老旧版本软硬件。五是重要信息系统的网络、系统、应用监控及预警的有效性。
(五)信息安全。一是安全管理制度制定情况,专职安全管理岗位的设置情况,关键岗位人员安全保密协议签署情况,相关人员安全意识教育、岗位技能和相关安全技术培训的开展情况。二是网络安全方面,网络安全域的划分情况,访问控制策略设置情况及网络安全技术防护措施有效性。三是系统及应用安全方面,系统及应用安全技术防护措施的有效性,重要信息系统定期应用安全检测与评估情况。四是数据安全方面,生产数据提取、使用、销毁等环节安全防护措施的有效性,重要数据存储保密性、传输保密性。五是终端安全方面,终端安全管理措施的有效性。
(六)业务连续性。一是业务连续性管理职责落实情况以及业务影响分析的开展情况。二是重要信息系统高可用技术运用情况,备份及恢复性测试工作开展情况。三是信息科技突发事件应急预案制定情况,近两年应急演练计划的制定和执行情况。对于无法通过手工替代方式开展业务或对系统交易实时性要求高的机构,还应排查灾备中心(机房)的设立情况。
(七)信息科技外包。一是信息科技外包管理制度的制定情况,关联外包、跨境外包、非驻场外包方面的管理要求全面性。二是信息科技外包管理职责落实情况。三是外包商尽职调查开展情况。四是外包服务合同内容要素的全面性。五是外包人员管理的有效性。六是重要外包服务提供商的定期评价和异常退出预案制定情况。
(八)重大突发事件及重大事项报告。重大突发事件报告及报备的及时性、合规性。
二、自查要求
(一)高度重视,压实责任。各非银机构要高度重视此次信息科技风险自查工作,结合自身信息科技风险管理情况制定详细的工作方案,明确任务分工。
(二)全面排查,以查促建。各非银机构要全面深入排查信息科技治理基础设施建设、开发测试、运行维护、信息安全、业务连续性、外包等领域存在的重大问题和风险隐患,真实反映信息科技风险状况。同时,各非银机构应以此次信息科技风险自查为契机,增强信息科技对业务发展的支撑能力,建设专业化的信息科技队伍,确保信息科技水平稳步提升。
(三)按时报送,认真整改。对于在自查中发现的问题和风险,要建立问题台账,制定具体的、可操作性强的整改方案和时间计划表,并层层跟踪落实。各非银机构应根据自查情况形成问题台账(模板见附件)和自查报告,其中自查报告内容应包含本机构信息科技整体情况、对照自查内容逐项排查情况、发现的主要问题、已采取的整改措施以及下一步整改计划等。各机构应于2021年6月31日前将自查报告(含问题台账)可编辑电子版和加盖公章的扫描件(pdf版)发送至我局联系人监管信息网邮箱,邮件标题规范命名为“机构规范简称+信息科技风险自查”。
我局将对各机构的自查工作进行评估,持续跟踪、督导问题整改情况并抽取部分机构开展快速巡查。对于自查不深入、整改不到位的机构将视情况采取进一步的监管措施。
联系人:毛中慧 58391737
潘红莉 58391961
北京银保监局
2021年5月18日
点击咨询