中国银行业监督管理委员会银行业信息科技监管部主任 谢翀达

　　党的“十八大”报告将信息化与工业化、城镇化、农业现代化并列为新“四化”，并在“全面建成小康社会和全面深化改革开放”的总体目标中，首次提出“信息化水平大幅提升”，将信息化列入经济健康发展的具体目标。在我国已全面进入信息化社会的宏观背景下，银行业不断加强信息化建设，将信息化作为打造核心竞争力的关键，信息技术与银行产品、服务的结合日益紧密，并不断向银行管理、风控、运营等领域渗透。信息化深刻改变了传统的银行运作方式，但也同时成为关系银行业稳健运行的重要风险领域，随着数据和系统的高度集中，在银行的全部风险领域中，信息科技风险可以说是唯一能够导致银行瞬间瘫痪的风险。银行业信息系统安全、稳健运行，关系银行业自身可持续发展，关系金融安全，也是银监会银行业信息科技监管部的首要工作。

　　一、加强监管统筹、注重科学指导，稳步推进银行业信息科技风险监管

　　回顾2012年，银监会信息科技监管部加强监管统筹、注重科学指导，稳步推进银行业信息科技风险监管，在以下几方面取得了较大进展。

　　1.科学规划，完善信息科技监管法规体系

　　完善商业银行监管评级体系，制定《商业银行信息科技监管评级内部指引》，明确了商业银行信息科技评级的工作流程和方法;针对近年来信息科技外包风险上升趋势和风险特征，制定《银行业金融机构信息科技外包风险监管指引》，提出了对行业性重要外包、高集中度外包服务机构的监管，以防范大范围服务失效、数据泄漏等系统性风险;针对网银安全面临的严峻外部威胁，制定《商业银行网银安全风险管理指引》，加强网银安全风险防控，促进网上银行业务健康、持续发展;针对村镇银行迅速发展、业务拓展与信息科技建设失衡的情况，开展《村镇银行信息科技建设指引》的研究制定工作，提出了符合村镇银行发展特点的信息科技治理、信息化建设与管理、同业合作、外包管理等指导原则;针对银行重要信息系统连续、实时服务的特点，围绕重要信息系统不间断运行所涉及的物理环境、基础设施、软硬件设备等各个层面，研究建立了信息科技风险动态监测机制，以提升对信息系统运行风险防控的前瞻性和时效性;为促进银行业金融机构建立完备而有效的信息科技内部控制机制，推动提升机构内生的信息科技风险管理能力，研究建立信息科技内部控制成熟度评价机制，明确了适用于银行业金融机构的信息科技内控成熟度评价标准、评价程序和方法。

　　2.加强监管，保障银行业信息系统安全稳定

　　全面部署银行业信息安全专项治理工作，针对外包、网银、银行卡、业务连续性等重点领域开展多项专项检查，通过全面检查与专项检查相结合，在确保信息科技现场检查覆盖面的同时，提高了检查的针对性和指导性。不断完善信息科技非现场监管机制，提升监管效能，建立了法人和分支机构相互衔接、协调统一的信息科技非现场监管报表体系，全面开展信息科技非现场监管数据质量治理工作，组织开展了信息科技风险评估，科学评价、整体掌握银行业信息科技风险态势。将软件正版化纳入银行业信息科技监管体系，印发《关于进一步加强银行业金融机构软件正版化工作的通知》，开展专项核查工作，有效促进了银行业软件正版化工作水平的提升。

　　3.加强指导，促进银行业信息化进程

　　银行业信息科技风险管理高层指导委员会正式成立以来，深入传导、贯彻监管理念和要求，着力宣贯银监会“监管”与“指导”相互协调、相互促进、形成合力的信息科技监管总体思路，以科技进步和创新推动银行核心竞争力提升，明确了“自主可控”、“持续发展”、“科技创新”的信息科技战略。与此同时，高层指导委员会致力于加强对银行业信息科技发展与风险管理的专业指导，组织开展银行业信息科技重大、前沿课题领域的研究;促进部门之间、行业之间的沟通、交流和协作，对银行业信息科技工作的指导和引领作用日益凸显。

　　4.不断创新，开拓信息科技监管新领域

　　2012年银监会信息科技监管部工作的创新性体现在以下三个方面。一是以完善《商业银行信息科技监管评级内部指引》为基础， 理顺了制度建设和执行两个层面的工作; 二是以组织申报“ 国产高端容错计算机在银行业应用示范研究项目” 为抓手，在银行业形成示范引领作用， 在关键领域集银行业智慧突破发展瓶颈， 监管和指导双管齐下，开创了信息科技监管工作的新局面; 三是以中小银行及农村合作金融机构数据标准规范为指针， 按照“ 标准先行、示范推动、全面布局” 的原则， 大力组织开展监管信息系统的研发推广， 通过技术手段创新促进监管改革，实现科技引领。

　　二、围绕“三大战略”深入开展信息科技风险监管和指导

　　展望2013年，银行业信息科技监管工作将继续从监管和指导两个方面展开，监管以风险为根本、以合规为准绳，指导以发展为基础、以促进为原则，围绕“三大战略”，彻底扭转“重建设、轻管理、重开发、轻运维”的局面，以科技推动流程创新、服务创新和发展转型，发挥好信息科技的支撑作用，强化信息安全保障能力，推动银行业信息化工作强本固基、健康发展，进而提升银行业的竞争能力和风险抵御能力。

　　1.以风险为根本、以合规为准绳，加强银行业信息科技监管

　　一方面，不断完善银行业信息科技监管法规体系，继续推进商业银行信息科技内部控制成熟度评价机制建设;完善并发布《商业银行信息科技风险动态监测规程》;研究制定《商业银行重要信息系统建设指引》;研究专项信息系统监管政策，针对商业银行风险管理系统、电子认证体系、手机银行系统、数据治理、信息科技审计、第三方支付信息科技风险、云计算应用等提出监管政策建议。针对不同类型银行特点，研究建立信息科技分类监管标准和方法。另一方面，不断强化信息科技监管工作措施，进一步完善现场检查流程，创新现场检查方法，扩大检查覆盖面，提升检查针对性、有效性，加强整改跟进;加强非现场数据质量治理，科学开展风险评估和监管评级，提升风险把握的及时性、前瞻性，增强非现场监管的约束力;加强信息科技外包风险监管，探索化解高集中度、行业性、系统性风险;加强电子银行信息安全风险监管，提升网络风险防范能力和电子银行安全保障能力;开展商业银行客户信息保护专项治理工作，明确客户敏感信息和保护规范要求，开展客户信息保护检查和风险评估工作;加强突发事件应急管理，完善银行业信息科技突发事件应急处置流程。

　　2.以发展为基础、以促进为原则，推进对银行业信息化建设的指导

　　继续完善并充分运用高层指导委员会专业指导机制、风险分析会议机制、课题研究机制，促进经验交流和成果共享，以大带小，以老带新，推动和促进银行业信息科技建设健康、有序开展。开展银行业信息科技发展与风险管理专家库组建工作，以更好地发挥各领域专家、人才的智慧;继续开展银行业信息科技风险管理课题研究工作，推动银行业金融机构开展具有创新性和实际应用价值的科研活动，加强我国银行业信息科技风险管理与监管领域重大问题的战略性、前瞻性和科学性研究。组织开展新技术在银行业应用的研究工作。

　　2013年是贯彻落实党的“十八大”精神的开局之年，银行业信息科技工作任重道远。银监会信息科技监管部将以更加宽广的视野、更加前瞻的思维，贯彻落实 “自主可控、持续发展、科技创新”三大战略，坚持监管与指导并重，加强“统筹规划、协调指导、专业创新”能力建设，推动银行业信息科技监管工作再上新台阶。