推进银行业软件正版化工作长效机制

1.立足“风险为本”的监管理念，明确工作职责

软件正版化与银行业信息化建设息息相关，而使用正版软件直接关系到银行业信息系统安全，与银行业金融机构的信息科技风险、法律风险、声誉风险紧密相连，是银行业信息科技监管工作的有机组成部分。2006年，银监会立足“风险为本”的监管理念，经过深思熟虑，决定推动银行业金融机构软件正版化的具体工作由银监会信息中心承担。银监会信息中心具有两项主要职能：一是对内负责银监会信息化建设，包括支持银监会监管工作的信息科技基础设施和监管信息系统管理；二是对外负责银行业信息科技监管，包括指导、规范银行业信息化建设，对银行业信息科技风险进行监管。由信息中心承担这项工作，是将软件正版化工作与信息科技监管工作的有机结合，有利于保持这项工作的持续性，有利于增强工作推动力，提高工作有效性，这一决定奠定了推进银行业软件正版化的组织和职责基础。2012年银监会设立银行业信息科技监管部以后，推动银行业软件正版化的职责改由银行业信息科技监管部继续承担。

2.将软件正版化纳入银行业信息科技监管法规体系

2006年以来，银监会逐步建立了信息科技监管法规体系框架，并在法规建设中注重结合国家软件正版化相关政策，体现对银行业软件正版化的要求。在2006年发布、2009年修订的《商业银行信息科技风险管理指引》中明确软件正版化要求，其中第十二条规定，“商业银行应按照知识产权相关法律法规，制定本机构信息科技知识产权保护策略和制度，并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品，禁止侵权盗版；采取有效措施保护本机构自主知识产权”。

2009年，银监会印发了《银行业金融机构信息科技非现场监管报表》（简称《报表》），2009版《报表》中专门设计了“商用软件使用情况表”，标志着软件正版化正式纳入银行业信息科技非现场监管工作体系。信息科技非现场监管是通过持续的数据采集、风险分析和风险评估，研判风险态势，发现风险隐患，制定针对性监管措施的过程。非现场监管是银行业监管工作体系的重要组成部分，将软件正版化纳入非现场监管，意味着从机制上保障了软件正版化工作的持续性和常态化，对银监会推进软件正版化长效工作机制建设具有深远意义。《报表》后来虽然几经改版，但是软件正版化相关内容却一直保留了下来。表4-1为2014版《报表》中涉及软件正版化的相关内容。

表4-1 T-B-9信息系统软硬件产品使用情况表（2014版《报表》）（节选软件部分）

(www.xing528.com)

（续）

2012年11月，银监会印发《中国银监会办公厅关于进一步加强银行业金融机构软件正版化工作的通知》（银监办发〔2012〕300号，简称《通知》），提出五个“加强”，即：加强组织领导、加强制度建设、加强宣传教育、加强技术防护、加强监督检查，对银行机构软件正版化工作及银监会各级派出机构的监督检查工作提出了具体要求。《通知》明确指出，各银行业金融机构法定代表人是本单位软件正版化第一责任人。《通知》强调，要明确软件正版化牵头负责部门，明确软件正版化工作责任，将软件正版化纳入部门及分支机构考核体系；要建立软件正版化及软件资产管理相关制度，加强软件购买、安装、使用、回收的全过程管理；要将软件正版化与信息化建设和信息科技风险管理工作有机结合，多渠道、多方式开展软件正版化培训教育，营造“拒绝盗版、使用正版”的良好氛围；要结合自身信息化建设实际，积极探索并研究部署终端管理、软件资产审计等有关技术手段，通过技术手段消除管理盲区。《通知》还要求银监会各级派出机构要将软件正版化纳入信息科技监管工作范畴，密切监测并督促指导辖内银行业金融机构开展软件正版化工作。

3.将推进软件正版化纳入日常监管，促进正版化工作常态化

一是在信息科技非现场监管工作中加强对银行业金融机构软件正版化情况的分析，深入掌握银行业金融机构正版化状况，进行风险评估，有的放矢地制定工作目标。二是将软件正版化纳入信息科技现场检查。银监会从2008年全面启动银行业金融机构信息科技现场检查工作，平均每年对100余家银行业金融机构进行信息科技现场检查。通过检查，进一步传导软件正版化相关政策、制度，督促有关银行机构落实软件正版化工作方案，有力地促进了工作开展。