新规框出三道防线 商业银行引入首席信息官

新规框出“三道防线”商业银行引入首席信息官2009年06月03日02:57[我来说两句] [字号：大中小]

来源：21世纪网-《21世纪经济报道》

6月1日，银监会发布《商业银行信息科技风险管理指引》(以下简称新《指引》)，以取代2006年11月颁布的旧版《指引》。

新《指引》提出了商业银行信息科技风险管理的“三道防线”——信息科技管理、信息科技风险管理、信息科技风险审计。明确要求商业银行设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，并设立首席信息官，直接向行长汇报，并参与决策。而信息科技风险管理的第一责任人则是银行的法定代表人。

“商业银行积累了大量的客户数据，包括客户基本特征、交易记录、大宗交易情况，这些都是非常私密的个人信息，同时也是非常有商业价值的。对这些信息的保护就非常重要，一旦外露、失窃，就会对客户和银行带来非常大的损失，说得大一点，也涉及了国家金融安全。”赵先信表示。

新《指引》提出的“三道防线”——信息科技管理、信息科技风险管理、信息科技风险审计，便可满足上述三个要求。

业内人士介绍，“三道防线”是按照目前普遍的一种安全模式进行的设计：第一道防线——事先监控，即银行信息科技部门的自我管理；第二道防线，事中管理，即风险管理部门如何督促科技部门进行管理，风险管理部门会提供一些管理工具、思路和框架；第三道防线，事后审计，审计部门独立于上述两个部门之外，对两部门执行情况的一个评价。

在三道防线中，审计环节显得尤为重要。不过，目前银行的风险审计大多只停留在纸面审计、文档审计层面。随着银行系统电子化，流程化，需要一套针对整个系统的审计。

“第一，要审查系统是否具备其所宣称的功能；第二，对系统履行情况进行审计，比如2008年法国兴业银行案，当时系统已经做出多次风险提示，但没有人采取相应措施。第三，对记录的审计。”赵先信分析。