银办发[2012]104号
中国人民银行上海总部;各分行、营业管理部;各省会(首府)城市中心支行;各副省级城市中心支行:
为落实《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号发布)及实施细则,加强对获得支付业务许可的非金融机构(以下简称支付机构)业务系统建设、信息安全、风险防控等信息科技工作的管理,现就有关要求通知如下:
一、提高认识,明确责任
加强支付机构支付服务技术管理,提高支付机构信息安全管理水平和技术风险防控能力,是支付服务健康发展的基础保障,也是人民银行履行支付机构支付服务管理职能的关键环节。各分支机构应充分认识技术管理的重要性和必要性,明确责任,按照“统一部署,规范实施”的原则积极稳妥推进此项工作。
二、健全机制,增强管理能力
各分支机构应统筹安排,精心组织,逐步建立健全技术管理长效机制,完善标准化、规范化和精细化管理模式,切实提高管理工作的预见性、主动性和有效性;强化科技管理干部能力建设,着力打造“懂技术、会管理”的专业化队伍,提供人才保障;促进业务、技术、反洗钱管理的有效配合和衔接。科技部门要加强与支付结算、反洗钱等部门沟通协作,形成监管合力。
三、注重标准,构筑体系
各分支机构应认真组织学习相关管理制度、技术标准和检测规范等,遵循“监管标准趋同于金融机构”的原则,按照总行整体部署,因势利导、因地制宜,逐步构筑完善的技术管理体系,实现规范化、制度化和常态化管理,指导支付机构保障支付服务业务系统安全、稳定、持续运行。
四、防控结合,多措并举
(一)建立支付机构支付服务技术管理沟通机制,促进辖区内支付机构在信息技术领域的交流与合作,督促其增强信息安全管理和技术风险防控意识,提升支付服务行业应对技术风险的整体能力。
(二)适时开展对辖区内支付机构技术设施安全性和标准符合性现场检查与非现场检查,重点防范业务系统建设和运行维护过程中的风险隐患。对检查中发现的问题,督促支付机构及时落实整改。
(三)督促支付机构加强应急机制和应急基础设施建设,完善突发事件应急预案,定期开展应急演练,切实提升其应急管理和处理能力,确保支付服务稳定性和连续性。
(四)建立高效规范的信息安全事件报告制度,督促支付机构认真做好重大信息安全事件报告与处置。接报后,应及时向总行报告并妥善处置,最大限度地化解风险、降低损失。
(五)督促支付机构切实加强系统故障恢复处理能力,建立灾难备份恢复制度,完善灾备备份设施,加强人员配备,保证关键业务的可靠性和连续性。
(六)建立信息安全风险提示机制,及时发布电子支付信息安全隐患和技术风险提示,引导支付机构积极关注信息安全风险态势,增强识别、预警和防范风险的能力。
(七)加强系统投产及生产重大版本变更报备管理,督促支付机构及时做好系统投产及生产重大版本变更中的风险评估、重要数据保护、业务连续性保障等工作,确保生产数据的完整性和可用性。
(八)密切跟踪支付服务新模式、新技术,积极配合总行做好技术管理制度、标准、检测规范等的制定、完善工作,切实提高科技管理队伍的业务素质和管理能力。
执行过程中的相关情况,应及时报总行。
二〇一二年五月十六日