信息科技监管的发展趋势

从各类监管要求来看，信息科技监管有这样几个趋势：

l 监管机构越来越重视信息科技治理，强调和重视董事会、监事会和高管层的履职情况。秉承“实质重于形式”的原则，董、监、高的履职已经不能仅限于参与几次会 议、做出几项决策，而是要看信息安全风险控制的实际效果。如果信息科技管理工 作或信息科技风险管理有重大缺失，就是履职不力的表现。

l 监管重点从“管理为主”往“管理和技术并举”方向发展，或是要求“人防补技防”， 或是要求“技防补人防”，总之“两手抓、两手都要硬”。监管的现场检查、风险 提示等，都已经从组织架构、制度建设、流程机制等管理层面，延展到业务流程设 计、企业技术架构、系统逻辑设计等具体和实质的技术控制和实现层面。

l 对于信息科技部门职责的规定和约束，逐渐精细化、具体化、层次化，信息科技风险防控要求涵盖信息科技工作的方方面面。

l 信息科技风险管控不仅是信息科技部门的责任，还要求全行风险管理部门、内控合 规部门、稽核审计部门都参与其中，各司其职，存在制约、促进的关系。

l 信息科技风险管控与业务密不可分，业务逻辑风险控制、业务需求匹配度和业务功能满足度、业务效益后评价、业务外包中的信息科技活动等，都延伸至业务部门。

l 信息安全意识培训和教育，要求针对全员开展，提升全员意识，突破了信息科技人 员的范畴。

l 监管手段逐渐向技术化发展。除了在监管指引上逐步完善之外，非现场监管数据 化、现场检查工具化的趋势较为明显，监管科技的发展已经从初露端倪到如火如荼。