商业银行信息科技风险动态监测规程(征求意见稿子)

商业银行信息科技风险动态监测规程（征求意见稿）第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规，制定本规程。

第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。

第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。

第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。

第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。

政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。

第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。

第七条监测指标选取遵循以下四个原则：（一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力；（二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况；（三）敏感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况；（四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。

第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。

其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。

第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。

商业银行信息科技风险管理指引商业银行信息科技风险管理指引1、引言1.1 目的1.2 范围1.3 定义2、风险管理框架2.1 风险识别和评估2.1.1 信息系统漏洞评估2.1.2 安全事件监测和响应2.2 风险治理与策略2.2.1 监督与审查机制2.2.2 风险管理策略的制定与更新2.3 风险控制与监测2.3.1 访问控制管理2.3.2 风险评估与监测工具2.4 风险通报与沟通2.4.1 内部风险通报机制2.4.2 外部风险信息共享3、风险识别与评估3.1 业务风险3.1.1 客户信息安全风险3.1.2 交易运营风险3.2 技术风险3.2.1 网络安全风险3.2.2 数据管理风险3.3 外部环境风险3.3.1 法律法规风险3.3.2 自然灾害风险4、风险治理与策略4.1 信息安全组织与责任4.1.1 信息安全管理组织架构 4.1.2 信息安全责任分工4.2 风险管理策略4.2.1 信息安全目标与指标 4.2.2 风险管理流程4.3 内部控制与合规要求4.3.1 内部控制流程与制度4.3.2 合规性要求与监督5、风险控制与监测5.1 访问控制与身份认证5.1.1 用户权限管理5.1.2 口令与密钥管理5.2 安全事件与漏洞监测5.2.1 安全事件响应流程 5.2.2 漏洞评估与修复5.3 备份与恢复5.3.1 数据备份策略5.3.2 灾难恢复计划6、风险通报与沟通6.1 内部风险通报6.1.1 内部风险报告机制6.1.2 内部风险沟通会议6.2 外部风险信息共享6.2.1 外部风险信息收集与分析6.2.2 合作伙伴与监管机构沟通附件：- 附件1：信息安全管理组织架构图- 附件2：风险评估工具使用指南法律名词及注释：1、信息安全：指对信息资源进行保护，确保其机密性、完整性和可用性的一系列措施和手段。

2、风险管理：指通过识别、评估和应对各类风险，以达到有效控制和降低风险水平的过程。

3、访问控制：指对系统资源的使用进行控制，确保只有经授权的用户、程序和进程能够访问资源。

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的使用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。

(二)审查批准信息科技战略，确保其和银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

(三)掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

(四)规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

商业银行信息科技风险管理指引引言当前，信息技术在商业银行中的应用已经成为一个不可避免的趋势。

随着信息技术的广泛应用，商业银行信息系统也逐渐成为商业银行运营的核心系统。

信息系统的故障或者安全问题都将对银行业务的正常运转产生严重影响，甚至会威胁到商业银行的稳定和客户的资产安全。

因此，商业银行必须高度重视信息科技风险管理，制定并执行科学的风险管理政策和措施，全面加强信息科技风险的防范和控制，保障银行系统的正常运转和客户资产的安全。

一、商业银行信息科技风险管理的概念和意义商业银行信息科技风险管理是指商业银行对信息系统在建设、运行、维护中存在的各种风险进行预防、识别、评估、监控、控制和处理的过程。

包括各种技术性、管理性、组织性等原因导致的风险。

商业银行信息科技风险管理的意义在于，其可以保证银行系统的安全运行，防止因为信息技术问题而导致的不可预测的经济损失或者声誉损失，并且提高了银行运营的效率和客户满意度。

二、商业银行信息科技风险管理的基本原则1.全面风险管理商业银行信息科技风险管理必须全面、系统、科学，覆盖银行信息系统存在的所有风险和所有环节，从建设、运维、数据安全、人为操作等方面全面进行防范和控制。

2.风险评估与分类商业银行应该对系统中可能存在的风险进行评估，建立风险分类模型，并对不同等级的风险实施不同的管理控制措施。

例如，对高风险的风险点要进行重点防范和控制。

3.合理的防范和控制措施商业银行应该在原则上坚持从源头上预防风险，同时合理安排多重的防护和控制措施，做到及时发现并应对风险事件。

4.风险应急预案的制定商业银行应该针对系统存在的风险，制定相应的风险应急预案，以便在风险事件发生时可以快速、有效地控制和处理风险事件。

5.科学、全面的监控手段商业银行应该通过建立全面、科学的监控系统来及时发现和预防风险。

同时，应该制定合理的监控指标和阈值，建立预警机制，及时发现风险事件的动态变化，以便对其进行及时的调整和应对。

银行业金融机构信息科技外包风险管理指引征求意见稿))(征求意见稿第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包引发的风险，保持信息科技核心能力，促进银行业信息科技健康有序发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、省级农村信用社联合社、外商独资银行、中外合资银行适用本指引。

中国银行业监督管理委员会（以下简称中国银监会）监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。

包括：系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等。

第四条本指引所称关联外包指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。

第五条信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技创新及控制能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

商业银行信息科技风险动态监测规程（征求意见稿）第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规，制定本规程。

第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。

第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。

第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。

第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。

政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。

第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。

第七条监测指标选取遵循以下四个原则：（一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力；（二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况；（三）敏感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况；（四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。

第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。

其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。

第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。

商业银行信息科技风险动态监测指标1.引言在当今信息化社会，商业银行信息科技风险动态监测指标的重要性日益凸显。

随着科技的迅猛发展，商业银行在信息科技方面的应用越来越广泛，给银行业务带来了极大的便利和效率提升，但同时也带来了各种信息科技风险。

建立科学的动态监测指标体系，对及时发现并应对潜在风险至关重要。

2.信息科技风险的定义和分类我们要了解信息科技风险的含义和分类。

信息科技风险是指由于信息系统设施、信息内容、信息使用引起的可能对商业银行正常运作和信息资产带来威胁或损害的一种潜在性。

根据其性质和来源，信息科技风险可分为内部风险和外部风险。

内部风险主要包括人为失误、内部犯罪、技术故障等，外部风险主要包括网络安全威胁、自然灾害等。

3.商业银行信息科技风险动态监测指标的意义了解了信息科技风险的定义和分类后，我们进一步探讨商业银行信息科技风险动态监测指标的意义。

动态监测指标不仅可以帮助商业银行及时发现和识别潜在风险，还可以帮助商业银行对风险进行有效的响应和管理。

通过建立科学的指标体系，商业银行可以实现对信息科技风险全面、深入、及时地监测，从而保障银行业务的安全和稳定。

4.商业银行信息科技风险动态监测指标体系建立商业银行信息科技风险动态监测指标的建立需要考虑多个方面的因素。

应该从风险的来源和类型出发，建立完整的指标体系。

需要考虑指标的权重和相互关联性，以确保监测结果的科学性和准确性。

还应该考虑指标的动态性和实时性，因为信息科技风险是一个动态的过程，需要及时跟进。

需要考虑指标的可操作性和有效性，以便商业银行能够根据监测结果采取相应的风险管理措施。

5.商业银行信息科技风险动态监测指标的个人观点和理解在我看来，商业银行信息科技风险动态监测指标的建立是一个非常复杂和重要的工作。

其核心是要通过科学的手段，及时全面地了解和掌握商业银行信息科技风险的状况，以便及时采取有效的风险管理措施，保障银行业务的安全和稳定。

也需要不断完善和更新指标体系，以适应信息科技风险动态变化的特点。

银行信息科技风险管理办法银行是金融系统的重要组成部分，是社会经济发展不可或缺的重要力量。

随着信息技术的不断发展和应用，银行业务也在逐渐数字化，但与此同时，信息化也为银行带来了风险，如网络安全风险、信息泄漏风险等。

为了有效管理银行信息科技风险，保障银行业信息安全，银行必须制定科学有效的风险管理办法。

一、信息科技风险管理的基本流程1. 建立信息科技风险管理部门银行应设立专门的信息科技风险管理部门，负责信息科技风险的识别、评估、应对和监控工作。

2. 识别和评估信息科技风险银行应通过各种手段识别和评估信息科技风险，包括但不限于信息系统的漏洞扫描、渗透测试、漏洞库订阅等技术手段，还应定期对信息科技风险进行综合评估。

3. 制定信息安全策略和安全管理规程银行应根据信息科技风险的评估结果，制定相应的信息安全策略和安全管理规程，保障信息安全，杜绝各种风险的发生。

4. 加强信息安全培训银行应定期组织员工进行信息安全培训，提高员工识别、防范和应对风险的能力，确保信息安全。

二、信息科技风险管理的具体措施1. 建立信息安全管理制度银行应建立完善的信息安全管理制度，确保信息科技风险管理的有序推进。

制度应包括安全管理组织机构、安全管理目标、安全管理职责和安全管理流程等内容。

2. 实施信息安全防护银行应通过加密技术、密码学技术、防病毒技术等手段对信息进行保护，确保信息安全。

3. 加强对网络设备的管理银行应对网络设备进行严密的管理，采用安全可靠的网络设备，定期对网络设备进行全面检测和监控，避免网络设备漏洞的出现。

4. 落实完善的人员管理制度银行应建立完善的人员管理制度，对项目组成员、管理员以及其他相关人员进行背景调查、资格审查和管理培训，确保团队的成员是符合资格和持有有效授权的。

5. 强化多层次的安全防范和监测机制银行应采用多种安全防范和监测工具和方式，对银行信息系统进行巡检和监测，及时发现和处理安全事件。

三、信息科技风险管理的效果评估银行应建立完善的信息科技风险管理评估机制，对信息科技风险管理的效果进行评估，确保风险管理工作的有效性。

商业银行信息科技风险管理指引前言信息科技的发展，给商业银行带来了前所未有的便利，但其背后也隐藏着各种未知的风险。

为了有效管理信息科技风险，商业银行需要建立科学的风险管理框架，加强对信息技术的监管和控制。

一、风险管理框架风险管理框架是指商业银行根据自身特点及信息科技的风险特征，构建的风险管理结构、内控机制和管理流程。

（一）建立风险管理架构商业银行应该建立完整的风险管理架构，包括风险管理组织、风险管理制度和流程、风险管理制度执行和监督等方面。

（二）制定相关政策和管理规定商业银行要制定相关的政策、管理规定和程序，明确职责和权限，确保科学、合法、规范的风险管理。

（三）制定风险分类方法和评估方法商业银行应该根据风险的属性、来源和影响程度，制定风险分类方法和评估方法，对不同类型的风险进行精细化管理和有效控制。

（四）建立风险管理流程风险管理流程是保证商业银行信息技术风险管理工作顺利运行的重要环节，商业银行应该建立完整的风险管理流程，确保风险管理的全流程性、集成性和协同性。

二、风险管理措施商业银行信息技术风险管理的基础在于有效的措施、制度和流程。

其核心是风险管理识别、评估、治理和监控。

（一）风险识别商业银行应该建立全面、细致和科学的风险识别体系，包括人为风险、系统风险、操作风险、信息风险等方面。

（二）风险评估商业银行应该针对各个流程和环节，对风险评估进行精度化分析及合理量化，科学评估风险的大小和对银行的影响。

（三）风险治理商业银行应该根据风险评估结果，采取适当的治理措施和方法，有效控制、降低和消除风险。

（四）风险监控商业银行应该建立完善的风险监控系统，定期对风险进行全面、深入、及时监控，确保风险控制的有效性和合理性。

三、风险管理实践实际情况也是风险管理的检验场。

商业银行在实践中应该积极采取科学合理的风险管理措施，在相关领域探索符合自身特点的风险管理模式。

（一）严格的信息技术审计商业银行应该进行定期且全面的信息技术审计，检查信息系统安全策略的可行性，并及时发现和解决系统中的风险隐患。

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理，建立完整的管理组织架构,制订完善的管理制度和流程。

第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平,增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。

(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

(三)掌握主要的信息科技风险，确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。

(四）规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。

（五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

XXXX银行信息科技风险评估操作规程1.总则1.1.为规范XXXX银行信息科技风险评估工作，提高信息科技风险管理水平，根据监管要求及《XXXX银行信息科技风险管理办法》，制定本操作规程。

1.2.本规程所指信息科技风险是信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

1.3.本规程所指信息科技风险评估是对信息科技风险的风险辨识（包括分类）、风险分析和风险评价。

1.4.本规程是对风险评估计划、风险评估准备、风险识别、风险评价、风险分析及报告等关键环节的管理。

1.5.本规程适用于全行。

2.风险评估计划2.1总行市场与操作风险管理部制定信息科技风险评估计划，每年组织开展一次全面的信息科技风险评估。

2.2出现以下情况，应结合本单位以往风险评估情况，确定是否启动信息科技风险评估：（1）新系统上线或已有系统进行重大变更；（2）内部或同业出现重大信息科技事件；（3）信息科技审计中发现重大问题；（4）监管机构发布风险提示。

2.3分行市场与操作风险管理部门根据总行风险评估工作要求，结合本行实际情况制定风险评估计划，组织开展信息科技风险评估工作。

3.风险评估准备3.1.风险评估牵头部门确定风险评估目标。

评估目标包括：（1）满足监管要求；（2）满足我行业务持续发展在信息科技方面的需要；（3）识别现有信息技术及管理上的不足等。

3.2.风险评估牵头部门确定风险评估范围。

评估范围依据评估目标确定，包括：（1）信息资产，如物理、系统、网络、应用、数据等；（2）信息科技活动，如合规管理、开发管理、运维管理、外包管理等；（3）信息科技工作流程，如事件管理、配置管理、变更管理等。

3.3.风险评估牵头部门负责组建风险评估团队，授权风险评估团队开展风险评估工作。

3.4.风险评估团队制定风险评估计划书，明确风险评估实施的计划安排，包括评估工作内容、时间进度和各阶段成果清单等内容。

3.5.风险评估团队制定风险评估方案，明确风险评估依据、风险识别方法、信息收集方式、风险分析方法等。

商业银行信息科技风险动态监测规程（征求意见稿）第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规，制定本规程。

第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。

第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。

第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。

第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。

政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。

第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。

第七条监测指标选取遵循以下四个原则：（一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力；（二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况；（三）敏感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况；（四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。

第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。

其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。

第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险.第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力.第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：（一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会）相关监管要求。

（二)审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

(三）掌握主要的信息科技风险，确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制.(四）规范职业道德行为和廉洁标准,增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。