中国银监会办公厅关于银行业金融机构信息科技风险提示的通知
(银监办发〔2008〕291号 2008年12月9日)
各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,银监会直接监管的信托公司、财务公司、金融租赁公司:
十一月上旬,在供电部门预先通知停电的情况下,某大型银行某省分行因发电机故障、主机存储控制卡损坏等原因,造成全省业务无法正常运营达7小时15分钟。2008年,银监会曾多次下发通知,要求银行业金融机构组织信息科技风险自查、整改和针对奥运保障的应急演练工作。在此情况下出现此类重大事件,值得反思。为吸取教训,加强风险管理,防止类似事件再次发生,现将有关事项通知如下:
一、切实加强信息科技应急管理。(一)强化银行业金融机构信息科技突发事件报告制度。要严格按照《银行业重要信息系统突发事件应急管理规范》(银监办发〔2008〕53号)要求,及时向属地监管机构报告突发事件,以便尽可能组织协调国家信息化管理、信息安全管理、治安管理、电力管理等跨部门资源,统筹安排处置工作。(二)提高银行业金融机构信息科技应急处置能力。要从应急响应、应急决策、应急预案、应急宣传等方面,提高信息科技应急处置能力,避免延误最佳处置时机,造成更大的影响。(三)应急演练做到“真演实练”。应急演练应实现两个目标,一是提升所有相关人员对应急流程的认知和熟练程度,做到临事不慌;二是检验应急预案的有效性和完整性,提升总体应急处置能力。银行业金融机构应摆脱“就技术论技术”的固有思路,充分调动自身整体资源,营造全员参与氛围,保障应急管理各环节的有序衔接。
二、加强信息科技风险管理。要吸取事件教训,对机构的信息科技风险进行全面梳理,对存在的问题及时进行整改。从实现信息科技风险可知可控的要求出发,建立对信息科技风险的识别、计量、监测、控制体系,实现对信息科技风险的持续管理。
三、加强横向沟通协调。要加强与媒体、电力、电信、公安、消防等有关部门的沟通,增强同业之间的交流与合作,实现资源共享,从整体上提升信息科技风险应对能力。请各银监局督促辖内银行业金融机构做好相关工作。
