2.2.2 主要监管政策和指引
1.国际监管政策
(1)萨班斯法案 由于公司丑闻和欺诈给投资者造成了数亿美元的损失,并威胁到国家的经济基础,因此美国于2002年颁布了《公众公司会计改革和投资者保护法案》,通常称为《Sarbanes-Oxley法案》(简称SOX)。该法案适用于在美国上市的任何公司,其中许多法律被用于监管会计行为以及公司上报财务状况所使用的方法。然而某些部分,特别是404条款直接适用于信息科技[18]。
SOX对公司如何追踪、管理和报告财务信息提出了专门要求,包括保护财务数据并保证它的完整性与真实性。大多数公司都依赖计算机设备和电子存储来进行事务处理和数据归档,因此公司必须采用适当的流程和控制来保护这些数据。
公司管理人员,包括首席执行官(CEO)、首席财务官(CFO)和其他人员,如果不遵守萨班斯法案,那么可能导致严厉的处罚,甚至可能会入狱数年[18]。
(2)巴塞尔资本协议 国际结算银行(The Bank of International Settlements)设计出了一种方法来防止银行因过度扩张而导致破产。最初的巴塞尔资本协议实现了一个系统,以帮助金融机构成员确定他们应持有的最小资本数额。这意味着银行必须真正拥有一定数量的真实货币,而不止是账户资金。
2006年11月,BaselⅡ协议开始生效。BaselⅡ制定了一系列关于风险与资本管理的方针政策,提供了一套针对银行业监管的国际标准,旨在使资本分配能够与风险联系更为紧密,为银行业监督机构提供了资本标准以及风险管理有关的监管建议。
BaselⅡ由3个主要部分组成:
1)最小资本要求。对风险进行测评,并详细说明确定最小资本的计算过程。
2)监管。为监督和审查提供一个框架,以继续分析风险,完善安全措施。
3)市场约束。要求成员机构披露他们的风险漏洞并确认适当的市场成本[18]。
针对BaselⅡ在2007年金融危机中暴露出的缺陷,巴塞尔委员会出台了一系列更加严格、全面的监管改革方案,即BaselⅢ。BaselⅢ进一步强化了资本监管,并将资本监管和流动性监管与流动性风险监管相结合,将微观审慎监管与宏观审慎监管相结合,更加体现了全面风险管理的发展趋势。
2.中国人民银行监管指引
(1)电子支付指引(第一号) 2005年,中国人民银行发布了《电子支付指引(第一号)》,对银行从事电子支付活动提出了指导性要求。
《电子支付指引(第一号)》共六章四十九条,在遵循效率与安全原则的前提下,以电子支付业务流程为主线,重点调整银行及其客户在电子支付活动中的权利义务关系。主要包括五个方面的内容:一是界定了电子支付的概念、类型和业务原则;二是统一了电子支付业务申请的条件和程序;三是规范了电子支付指令的发起和接收;四是强调了电子支付风险的防范与控制;五是明确了电子支付业务差错处理的原则和要求。
《电子支付指引(第一号)》第四章“安全控制”中要求银行确保电子支付业务处理系统的安全性,重要交易数据的不可抵赖性、数据存储的完整性、客户身份的真实性,并妥善管理在电子支付业务处理系统中使用的密码、密钥等认证数据,对客户信息资料、交易记录等保密,保护电子支付交易数据的完整性和可靠性,为电子支付交易数据保密,对电子支付业务处理系统的操作人员、管理人员进行授权控制,职责分离等。
《电子支付指引(第一号)》的实施将有利于规范电子支付活动,推动电子银行业务和电子商务健康、有序的发展;有利于明确电子支付活动参与各方的权利义务,确保银行和客户资金安全,防范支付风险;有利于推动支付工具创新,提升支付服务质量;有利于防范和打击洗钱及其他金融违法犯罪活动。
(2)中国人民银行信息系统电子认证应用指引 2011年,中国人民银行制定并发布了《中国人民银行信息系统电子认证应用指引》,要求人民银行内部及与人民银行有信息系统互联的外部机构,包括使用CA安全认证服务的机构、部门和个人,都要严格遵守该指引。
为满足联网信息系统对电子认证应用的“广度”和“深度”需求,《中国人民银行信息系统电子认证应用指引》提供了多种版本的应用开发包和应用开发包软、硬件实现方式,从开发源头上实现电子认证应用的规范性;提供通用的电子认证应用接口,创造性地提出了“小交叉方案”,解决不同单位多个信任域间的证书互认问题。同时,《中国人民银行信息系统电子认证应用指引》还明确规定了电子认证应用类型、应用模式和应用实现策略及流程,规范了应用的操作。
《中国人民银行信息系统电子认证应用指引》的制定发布,适应了信息化发展要求,为电子认证应用建设提供了基础服务;保障了网络金融服务安全,推动了证书国产化应用;规范了电子认证应用,提升了应用安全水平;对联网应用单位具有良好的示范推动效用。
(3)中国人民银行非现场监管报表 为加强对商业银行信息科技的非现场监管,中国人民银行要求商业银行每年上报信息科技非现场监管报表。
报表分为“基本情况”和“重要信息系统统计表”两部分。其中“基本情况”中要求商业银行报告信息安全相关的组织建设、安全角色设置、安全培训、安全管理制度、安全项目、安全检查、安全事件、安全等级保护、软件和设备国产化比率、安全工具、安全技术应用情况等。报表对于安全技术应用的项目较为详细,涵盖了物理安全、网络安全、系统安全、应用安全、数据安全、运维安全、灾难备份等多个方面。“重要信息系统统计表”统计重要信息系统的系统可用率、日均交易量、灾备情况等。
从非现场监管报表中可以看出,当前中国人民银行对信息科技风险的监管包含了研发风险相关内容,具体包括:开发类项目集成测试(ST)覆盖率、开发类项目最终用户测试(UAT)覆盖率、开发类项目代码安全测试覆盖率、研发外包风险等。
3.银监会监管指引
(1)信息科技风险管理指引 2009年,银监会发布《商业银行信息科技风险管理指引》,成为商业银行开展信息科技风险管理的重要依据。
该指引全面涵盖商业银行的信息科技活动,参照国际国内的标准和成功实践经验,对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求,同时,加强了对客户信息保护的要求。
《商业银行信息科技风险管理指引》共十一章七十六条,分为总则,信息科技治理,信息科技风险管理,信息安全,信息系统开发、测试和维护,信息科技运行,业务连续性管理,外包,内部审计,外部审计和附则十一个部分。其中信息安全,信息系统开发、测试和维护,外包等章节分别提出了关于研发风险的相关要求,例如,用户身份认证、关键点输入验证或输出核对、保密信息的输入和输出处理、开发和测试环境分离、开发和测试数据的保护等。
(2)商业银行操作风险管理指引 2007年,银监会发布《商业银行操作风险管理指引》,这是继出台《商业银行市场风险管理指引》和《商业银行合规风险管理指引》之后,银监会发布的又一重要风险管理指引。它明确了操作风险包括由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,并将操作风险和信用风险及市场风险并称为商业银行的面临的三大主要风险。
《商业银行操作风险管理指引》共四章三十一条,从操作风险管理的认识、制度建设、组织结构的设计,到操作风险管理识别、评估、监测、报告、持续经营机制的建立,操作风险损失数据库的构建和操作风险资本计量分配模型的研究开发等方面,予以了进一步明确。
《商业银行操作风险管理指引》将“信息科技系统”问题纳入操作风险范畴,并在灾难恢复、业务连续性、外包风险等方面提出管理要求。
(3)银行业金融机构信息科技外包风险监管指引 2013年,银监会发布《银行业金融机构信息科技外包风险监管指引》,对银行业金融机构将自身负责处理的信息科技活动委托给服务提供商进行处理的外包活动,包含项目外包、人力资源外包等形式进行了较为细致的规范。
《银行业金融机构信息科技外包风险监管指引》共九章九十一条,涵盖外包管理组织架构、外包战略及风险管理、信息科技外包管理、机构集中度风险管理、跨境及非驻场外包管理等内容。其中明确要求银行业金融机构要对外包服务商提供的重要或核心的信息系统开发交付物进行源代码检查和安全扫描;要关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管理体系,避免因新技术或应用引入而增加额外的信息安全风险。
(4)银行业金融机构外包风险管理指引 2010年,银监会发布《银行业金融机构外包风险管理指引》,以规范银行业金融机构的外包活动,保障银行业金融机构业务持续经营。
《银行业金融机构外包风险管理指引》共五章二十八条,明确了银行业金融机构开展外包的原则、组织职责、风险管控要求、监督管理要求等内容。该指引特别强调加强外包风险管理,要求银行业金融机构制定外包的风险管理框架以及相关制度,并将其纳入全面风险管理体系;根据审慎经营的原则制定外包战略发展规划,确定与其风险管理水平相适应的外包活动范围,指出银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。
在风险管理方面,《银行业金融机构外包风险管理指引》强调银行业金融机构在外包过程中要建立严格的客户信息保密制度,保障客户信息的安全性。
(5)商业银行合规风险管理指引 2006年,银监会发布了《商业银行合规风险管理指引》,以加强商业银行合规风险管理,维护商业银行安全稳健运行。
《商业银行合规风险管理指引》共五章三十一条,明确合规风险是指商业银行没有遵循适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业规则、行为守则和职业操守,可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
《商业银行合规风险管理指引》要求合规管理部门审核评价各项政策、程序和操作指南的合规性,评估和识别新产品和新业务的开发以及新业务方式的拓展等产生的合规风险。
(6)商业银行内部控制指引 2014年9月12日,银监会发布了修订后的《商业银行内部控制指引》。修订后的《商业银行内部控制指引》主要从内控评价、内控监督、监管约束、监管引领四个方面,来引导商业银行强化内控管理。
《商业银行内部控制指引》强调,内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。此外,规范了内部控制的治理和组织架构,明确了董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门等各主体关于内部控制的职责分工。
在信息科技方面,《商业银行内部控制指引》要求商业银行应当加强对信息的安全控制和保密管理,对各类信息实施分等级的安全管理,对信息系统访问实施权限管理,确保信息安全。
(7)电子银行安全评估指引 2006年,银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》。指引所指的电子银行包括两部分:网上银行、电话银行和手机银行;其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务,包括自助银行、ATM机等。
《电子银行业务管理办法》和《电子银行安全评估指引》用于指导金融行业关于电子银行业务开展和保障电子银行信息安全,并对如何进行安全评估起到了重要的指导性作用。这两项文件要求申请和开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,利用外部专业评估机构或内部设立于电子银行业务运营及管理的评估部门,定期对电子银行进行安全评估。
《电子银行安全评估指引》同时也是商业银行开展电子银行信息系统建设的重要指导性文件,其中关于安全设计和开发策略、电子银行系统安全性、外包管理等方面,对于电子银行信息系统建设具有重要的指导意义,尤其是关于电子银行系统安全性的相关要求,例如:数据通信安全、应用系统安全、密钥管理、客户信息认证与保密等,是商业银行开展电子银行信息系统研发风险管控的重要依据。
(8)银监会非现场监管报表 为做好信息科技风险信息的采集、识别和监测,银监会要求各商业银行定期上报信息科技风险非现场监管报表,具体包括年报、季报和月报。
在非现场监管报表中,含有商业银行信息系统建设项目的代码安全检查完成率、用户验收测试完成率等内容。同时,银监会年度报表特别关注网上银行、手机银行系统安全情况,要求报送其安全管理、客户安全教育、通信安全、数据安全、应用系统安全情况,其中应用系统安全中包括是否实施代码安全检测、是否使用工具实施代码安全检测、是否定期或不定期开展系统渗透性测试、客户端程序是否经过第三方中立机构的安全检测、客户端程序是否已做数字签名、客户端程序是否采取反汇编分析措施以及关于静态口令、文件证书的相关安全设计等内容。
如上所述,银监会非现场监管报表中涵盖了部分研发风险管控的相关指标。这些指标不但是银监会非现场监管的重点,更是银监会开展信息科技现场检查或巡查的重点,应该在信息系统研发过程中予以高度重视。