发布日期:2023年8月21日
自原中国银行业监督管理委员会(“原银监会”)于2016年12月发布《关于加强非银行金融机构信息科技建设和管理的指导意见》(“《意见》”)以来,非银机构(包括信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等)的信息科技建设和管理水平得到极大提升,促进了机构的稳健经营和发展。随着金融行业数字化转型的逐渐深入,数字化应用极大提升了非银机构业务和产品的多样性和灵活性,而企业客户(B端)和个人客户(C端)对服务实时性、网络与数据安全性的不同要求也对非银机构信息科技风险管理提出了更大的挑战。相比于银行业金融机构,非银机构的科技风险管理起步较晚,需要点面结合,进行重点建设和规划。2022年以来,监管部门也针对业务连续性和网络数据安全领域发布了相关监管要求和评估评价指引,以指导非银机构有效防范信息科技风险,保障稳健经营和持续发展。
本文结合近年来德勤在各类金融机构的信息科技风险管理体系建设经验,分析非银机构业务连续性及网络与数据安全风险管理的落地实施重点,以经演练成功验证的管理体系应对各类突发事件,助力机构提升业务连续性及网络与数据安全风险管理能力。
一、《关于加强非银行金融机构信息科技建设和管理的指导意见》概览
《意见》第五章明确提出了重点风险防控领域为信息安全、业务连续性和外包风险。剖析近年来金融行业各类信息科技风险事件,主要体现为信息系统持续稳健运行的基础不牢固,在风险场景下保障业务连续性的真实能力不充分,信息科技内控缺陷(包括外包管理)导致的重要业务中断、敏感数据泄露或毁损等事件,外包管理作为伴随科技活动从立项到交付环节的一类管理活动,也贯穿到业务连续性及网络和数据安全管理的各个领域。
在业务连续性管理领域实施落地时,参考原银保监会《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》、《银行业金融机构重要信息系统投产及变更管理办法》的监管要求,应明确业务连续性管理策略、落实数据中心基础设施保障要求,信息系统高可用指标、完善监控与运维管理,保障应急预案和演练有效性等内容。而在网络及数据安全领域实施落地时,参考《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》和《金融数据安全数据安全分级指南(JR/T 0197—2020)》《个人金融信息保护技术规范(JR/T 0171—2020)》等法律法规及行业标准,在IT基础设施安全、数据安全、应用安全和开发安全领域逐层落地。
二、实施重点
德勤认为,非银行金融机构信息科技建设及信息科技风险管理自顶向下首先应承接B端、C端业务要求,业务架构决定治理架构、技术架构。近期监管重点关注的业务连续性管理、网络与数据安全管理等领域,不可孤立看待,业务管理要求作用于整体架构,层层贯穿到信息科技管理、技术架构设计、底层资源支撑中。
1、业务盘点:信息系统与信息科技为非银机构业务持续运营的重要基础,稳健支撑业务运营应是信息科技的主要目标。信息系统与信息科技管理起点应是全面业务盘点,明确重要业务范围、归口管理部门、识别重要业务的相互依赖关系,方可为信息系统与信息科技管理指明重点。以“面向客户”为“主视角”,梳理全机构存款、贷款、票据、融资租赁、外汇交易、货币交易、结算等业务类型,以本机构业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好为“主尺度”,衡量并识别发生风险事件或服务中断会对非银机构产生较大经济损失或声誉影响,对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
2、资源盘点:业务中断往往由资源中断(关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商等)引发,厘清业务背后的强支撑资源是业务连续性管理的源头,保住资源连续性,方得业务持续运营。
3、外部联动:非银机构运营往往与众多外部机构合作或获得其服务(客户引流、支付结算、账户管理、客户服务、外部数据源、外部金融交易平台、外部金融科技服务等),复杂的经营形态使外部服务质量、供应链全链条安全尤其重要。业务连续性管理须重点关注与外部联动管理机制的建立,网络与数据安全管理同样须关注外部安全漏洞通过供应链条传导而来的风险。
4、业务连续性管理、数据安全管理与其他信息科技管理领域结合:业务连续性管理、网络与数据安全管理并不是独立割裂的管理领域。监管提出“在业务功能、关键资源发生重大变更,或新业务上线时,应当及时对业务连续性计划进行修订。”以及“应当每年对业务连续性管理文档进行修订,内容应当包含重要业务调整、制度调整、岗位职责与人员调整等,确保文档的真实性、有效性…”的相关要求,决定了需要在新产品/业务/系统投产管理、业务/技术架构/组织架构的重点变更管理、业务及信息科技日常运行维护管理、外包管理等领域嵌入业务连续性管理、网络与数据安全管理节点。
三、总结
针对上述实施重点,德勤提供一站式服务协助非银金融机构继续夯实信息科技风险管理体系,协助一、二、三道防线明确职责边界,完善信息科技风险政策和制度体系,赋能二道防线信息科技风险管理落地,达到风险和收益的平衡。