2009金融信息化盘点：法规指引IT步入规范路

2009年，是金融信息化规范建设的一年。银监会、证监会、中国证券业协会、中国期货业协会等监管机构密集出台了多个与IT建设相关的规定和指引。银行业金融机构的IT管理架构、系统开发、信息安全、电子银行等IT建设的方方面面，都被列入了银监会的检查目标。几乎同时出台的证券、期货、基金三个网上交易指引，对网上交易系统进行了全面的规范。

至此2009年年底之际，为便于业界全面了解金融业信息化建设，中国信息主管网特将2009年度法规指引报道整理在一起，以膳读者。

2009年金融业重要法规指引一览表

（中国信息主管网根据公开资料整理得到）

《商业银行信息科技风险管理指引》

银监会规定银行应设CIO 90%银行不达标

2009年6月1日，银监会在其官方网站上全文发布了《商业银行信息科技风险管理指引》（以下简称新《指引》），原《银行业金融机构信息系统风险管理指引》（银监发［2006］63号，以下简称原《指引》）同时废止。新指引要求，商业银行在决策层设立首席信息官（简称CIO），有利于商业银行加强信息科技治理。而有关专家介绍，目前我国仅有交通银行等少数几家银行设有首席信息官岗位，90%的银行没有设立该岗位。中国信息主管网记者在银行官方网站查询发现，仅有交通银行、渤海银行等少数几家银行的高管介绍里有首席信息官一职，大部分银行的高管介绍里无任何有关首席信息官的信息。

银监会有关负责人表示，随着银行业信息化的发展，信息科技的作用已经从业务支持逐步走向与业务的融合，成为银行稳健运营和发展的支柱，定位在基本要求上的原《指引》已很难进一步满足商业银行信息科技风险管理的需要。另外，原《指引》对信息系统风险管理以原则性要求为主，在商业银行执行、操作层面的指导意义不够完善。为此，银监会决定对原《指引》进行修订，并重新定名为《商业银行信息科技风险管理指引》。

新《指引》具有以下六个较鲜明的特点：一是管理范畴由信息系统风险拓展至信息科技风险，全面覆盖了商业银行信息科技活动的各个环节，进一步明确了信息科技与银行业务的关系；二是适用范围由银行业金融机构变为法人商业银行，其他银行业金融机构参照执行；三是信息科技治理作为首要内容提出，充实并细化了对商业银行在治理层面的具体要求；四是以三个独立章节的内容阐述了信息科技风险管理和内外部审计要求，特别是要求审计贯穿信息科技活动的整个过程之中；五是参照国际国内的标准和成功实践，对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求，使操作性更强；六是加强了对客户信息保护的要求。

原指引是对IT风险管理的最低标准，新指引可谓高标准高要求，是对信息科技风险管理的全面细化的阐述。难能可贵的是，新指引不仅提出了风险管理的高要求，还考虑了如何落实这个高要求。陈文雄说，仅靠银行IT部门，是无法搞好信息科技风险管理的。新指引将为信息科技风险管理设计三道防线——信息科技管理、信息科技风险管理、信息科技风险审计。这三道防线应该分由银行不同部门从不同角度来控制信息科技风险的，而不是由IT部门一个部门来做。

据介绍，今后银监会将继续加强对商业银行信息科技风险的监管。一是对银行业金融机构执行新《指引》情况进行跟踪，对不同类型机构的信息科技风险状况进行分析，研究完善信息科技风险监管制度体系；二是逐步开展以防范化解银行业信息科技风险为目标的现场检查；三是加强对银行业信息科技风险的非现场监管，研究建立信息科技风险评级体系，实现分类监管和差别监管，鼓励商业银行不断提升信息科技风险管理水平。
 
《证券营业部信息技术指引》

证券营业部：安全运营的新标准

中国证券业协会正式发布《证券营业部信息技术指引》。这是协会继证券集中交易、IT治理、网上证券等多个信息技术指引发布后的又一部重要指导性文件，标志着证券公司信息技术安全保障工作从总公司延伸到各个证券营业场所。

《指引》从证券营业部信息技术管理的基础环境、网络通信、应用系统、管理制度、系统运维和安全保障等六个方面，明确了证券营业部信息系统建设和运维的一系列基本要求，提出了具体的、可操作的技术标准。特别是对营业部机房管理、电力保障、网络划分、通讯方式、人员配置、安全措施和应急管理等方面作了明确规定。

与以前的技术规范相比，《指引》在认真总结近年冰雪灾害、汶川大地震、奥运维稳中的成功经验的基础上，新规定了营业部技术系统应具备的几项最低要求，如要求营业部若发生断电情况，必须保证机房设备和不低于25%的现场交易设施在交易时间正常使用；营业部和总公司之间要具备不同运营商或不同介质的2条以上通信线路；为客户提供2种以上行情分析系统和委托交易方式；营业部至少要配备一主一备两名技术人员；营业部信息系统建设尽力避免单点故障；管理上做好系统权限管理、配置管理、日志管理、测试管理、文档管理等日常工作。《指引》还突出了营业部的安全管理措施，要求采用复合密码，防范病毒木马，建立应急体系，坚持应急演练等，全方位、多手段保障营业部的信息系统安全。

为充分发挥证券公司现场交易能力，《指引》要求证券营业部应当为客户提供现场委托、网上委托、电话委托等委托方式，其中证券公司电话委托线路应当不低于30线/万户合格资金账户。证券公司电话委托系统应提供集中服务，以保障局部地区发生突发事件时能够为该地区证券营业部提供持续的行情和交易服务。

《期货公司信息技术管理指引》

期货公司IT软实力提升的新起点

2009年7月9日，中国期货业协会发布了《期货公司信息技术管理指引》（以下简称指引），加之6月24日发布的《期货公司网上期货信息系统技术指引》。在短短的一个月时间里，连发两个与信息技术相关的指引，是期货公司信息化建设太落后，还是为了更好地提升行业信息技术水平？期货公司应该如何努力，才能达到指引的要求？带着这些问题，中国信息主管网记者对中国期货业协会信息技术部主任刘铁斌进行了独家采访。

提升IT软实力

“我发现，不少期货公司的IT总监看到指引时，都去看硬件条件是否满足。其实，这是一个误区，软要求更值得关注。指引有相当一部分的要求是软要求，是能帮助期货公司提升软实力的。”刘铁斌说。

指引对期货公司的技术管理、机房建设、核心系统、安全、日常运行、备份、系统维护、营业部技术等八个方面提出了具体的要求，几乎涉及到了期货公司IT建设的各个方面。机房、核心系统、安全等几类要求里有不少对硬件条件的要求，如果期货公司IT系统在硬件设施上达不到要求，就需要有投入。而技术管理、日常运行、系统维护等几类要求主要是在IT管理上的要求，大多是无需投入就能达到要求的。

机房承重就是一个硬要求。指引要求，二类的机房承重要求应达到300公斤每平方米，三类的应达到500公斤每平方米。刘铁斌说：“如果现在机房承重达不到要求，机房就只能搬家。值得注意的是，指引不是为了卡住期货公司，其目的是为了促进期货公司的信息化建设，希望期货公司尽量把机房建在专业的地方，指引没有提出不切实际的要求。”

合理的投入是信息化建设的前提。指引对于期货公司的IT投入提出了明确的要求:最近三个财政年度IT投入平均数额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%，取二者数额较大者。

人是信息化建设成功与否的关键。指引对于期货公司IT技术人员的数量和质量提出了明确的要求。在数量上，对于一类、二类、三类、四类期货公司总部技术人员数量的要求分别是3、5、7、9。对于技术人员的学历、经验、培训、管理制度等，指引也都提出了一定的要求。

但值得注意的是，指引大多数检查项目是软要求，是无需增加IT投入的，比如IT制度建设、巡检、机房进出管理、变更管理、配置管理、容量管理等方面。不需要增加IT投入，并不等于容易达到。刘铁斌说：“在某种意义上来说，硬件条件上的要求更容易达到。比如说，存储容量不够、UPS不够，期货公司增加相应投入就可以了。而软要求需要其信息技术部门有更规范的IT制度，需要养成良好的工作习惯。这都不是一时半会能做到的，需要一段时间去调整和适应。”

检查不走过场 

只依靠期货公司的自律，是难以达到指引的要求的。刘铁斌介绍，经过长达几个月的努力，详细的检查细则已经出台。检查细则对每个检查项的定义、方式、对象、措施、结果、原则、检查技术等级判定都作了详细规定，长达198页。比如对于IT投入的检查，检查细则对于投入的计算范围、投入的分摊方法等都有一个详细的说明。为了准备这个检查细则，中国期货业协会信息技术委员会做了大量细致的工作，连开3天的会议开了6次，还开了两次视频会议。现在，指引已经发到各个期货公司，以指导期货公司如何达到要求，如何准备检查材料。

可以预见的是，指引将对期货公司未来信息化建设将产生全面和深远的影响。长期以来，在期货行业存在着“重业务，轻技术”的现象。指引的出台，有利于引起期货公司董事会、管理层对IT的重视，让期货公司从上至下对IT的价值有一个正确的认识。指引的出台还从制度上保障期货公司IT建设在人力和物力上的投入，为IT建设打下基础。

《证券公司网上证券信息系统技术指引》

《期货公司网上期货信息系统技术指引》

《网上基金销售信息系统技术指引》

网上交易：安全为业务创新护航

2009年6月23日，中国证券业协会在其官方网站上发布了《证券公司网上证券信息系统技术指引》（以下简称《指引》），对证券公司网上证券信息系统的安全、可靠、高效运行提出了详细要求，并对移动证券交易（手机炒股）提出要求。这是继2000年3月中国证监会颁布了《网上证券委托暂行管理办法》后，监管机构再次对网上证券交易提出要求。

专家指出，到2006年，通过网上进行的交易量达到40%以上，目前这一比例平均已经达到了70%以上，比较高的证券公司达到了90%以上，成为现在最主要的交易方式。因此，现在出台《指引》，有利于规范和推动网上交易的发展。

与传统的现场交易方式相比，网上交易也有很多缺点和不足，如容易受电子设备、通信线路和电力等影响而产生“堵单”、断线、甚至中断交易等，最大的缺点是有安全隐患，交易信息容易在网上泄露，甚至遭受木马和病毒的攻击；账号和口令一旦被盗，就可能发生盗买盗卖，给投资者造成直接经济损失。最近网上交易系统被侵入、盗买盗卖现象时有发生，在一定程度上影响了证券公司信誉，损害了投资者的利益。由于上述情况，网上交易系统成为证券公司最重要的安全防范和保护目标之一。因此，起草发布该指引已是行业的当务之急。

由于网上证券信息系统与集中交易柜台系统的衔接复杂，在指引的起草过程中，听取了各方面的意见；在技术逻辑、安全与效率、移动证券等一些重要问题上组织了大量的讨论，特别是针对近两年发生网上入侵证券公司事件，指引增强具体安全措施。

《指引》作为行业技术标准有重要的指导作用：首先强调网上证券信息系统安全的重要性，使证券公司对网上证券信息系统进行统一规划、建设、管理和运行，提升行业网上证券信息系统安全的整体水平，保障网上证券信息系统安全运行；第二提出了确保网上证券信息系统安全的一些基本要求；第三明确了网上证券信息系统建设中的网络隔离、身份认证、防入侵、防攻击等一些具体的技术指标和要求，为公司的系统技术建设提供具体的指导；第四明确了网上证券信息系统安全管理相关的具体措施和要求，如人员分离、软件升级、测试、评估、系统的访问控制、容量管理、应急预案等，为公司的系统安全建设提供具体的指导。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。