商业银行信息科技风险动态监测规程(征求意见稿)

合集下载

商业银行信息科技风险动态监测指标

长度 12 12
备注
“tnt”: “100” } ] }
（三）投产变更成功率
字段 m
名称投产变更实施总次数
类型整型
m 次投产变更活动分别包含的
n
字符串
功能点总数
m 次投产变更活动分别的成功
ri
字符串
系数
m 次投产变更活动分别正常稳
ti
字符串
定运行的天数
投产变更活动中各个功能点的
kj
字符串
重要性权重
完整的报文示例如下所示：
POST /rest/risk/closedfishingwebsiterate HTTP/1.1 Content-Length: 421 Content-Type: application/json Host: ${host} Connection: Keep-Alive User-Agent: Apache-HttpClient/4.3.2 (java 1.5) {
}, {
“riskCode”: “1002”, “riskDate”: “2014-06-09”,
“tst”: “100”, “sost”: “100”, “uost”: “100”
第 5页
} ] }
（二）系统交易成功率字段名称源自snt系统成功交易量
tnt
系统交易总量
例：
类型长整型长整型
必填是是
第 7页
必填是是是是是
是
长度 10 256 256 256 1024
1024
备注
各个数据之间使用逗号分隔各个数据之间使用逗号分隔各个数据之间使用逗号分隔各个数据之间使用逗号分隔各个数据之间使用逗号分隔， 1 表示部署成功，0 表示部署失败

商业银行信息科技风险管理指引(银监发2009[1].19)

--------------------------------------------------------------------------------商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握a主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

商业银行信息科技风险现场检查指南

商业银行信息科技风险现场检查指南目录第一部分概述111. 指南说明111.1 目的及适用范围111.2 编写原则121.3 指南框架12第二部分科技管理132. 信息科技治理132.1 董事会及高级管理层14检查项1 ：董事会14检查项2 ：信息科技管理委员会14检查项3 ：首席信息官（CIO）142.2 信息科技部门15检查项1 ：信息科技部门15检查项2 ：信息科技战略规划162.3 信息科技风险管理部门16检查项1 ：信息科技风险管理部门162.4 信息科技风险审计部门17检查项1 ：信息科技风险审计部门172.5知识产权保护和信息披露17检查项1 ：知识产权保护17检查项2 ：信息披露183. 信息科技风险管理183.1 风险识别和评估18检查项1 ：风险管理策略18检查项2 ：风险识别与评估183.2 风险防范和检测19检查项1 ：风险防范措施19检查项2 ：风险计量与检测194. 信息安全管理错误!未定义书签。

4.1 安全管理机制与管理组织错误!未定义书签。

检查项1：信息分类和保护体系错误!未定义书签。

检查项2：安全管理机制错误!未定义书签。

检查项3：信息安全策略错误!未定义书签。

检查项4：信息安全组织错误!未定义书签。

4.2 安全管理制度错误!未定义书签。

检查项1：规章制度错误!未定义书签。

检查项2：制度合规错误!未定义书签。

检查项3：制度执行错误!未定义书签。

4.3 人员管理错误!未定义书签。

检查项1：人员管理错误!未定义书签。

4.4 安全评估报告错误!未定义书签。

检查项1：安全评估报告错误!未定义书签。

4.5 宣传、教育和培训错误!未定义书签。

检查项1：宣传、教育和培训错误!未定义书签。

5.系统开发、测试与维护错误!未定义书签。

5.1开发管理错误!未定义书签。

检查项1：管理架构错误!未定义书签。

检查项2：制度建设错误!未定义书签。

检查项3：项目控制体系错误!未定义书签。

检查项4：系统开发的操作风险错误!未定义书签。

1.1 -XXXX银行信息科技风险评估操作规程

XXXX银行信息科技风险评估操作规程1.总则1.1.为规范XXXX银行信息科技风险评估工作，提高信息科技风险管理水平，根据监管要求及《XXXX银行信息科技风险管理办法》，制定本操作规程。

1.2.本规程所指信息科技风险是信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

1.3.本规程所指信息科技风险评估是对信息科技风险的风险辨识（包括分类）、风险分析和风险评价。

1.4.本规程是对风险评估计划、风险评估准备、风险识别、风险评价、风险分析及报告等关键环节的管理。

1.5.本规程适用于全行。

2.风险评估计划2.1总行市场与操作风险管理部制定信息科技风险评估计划，每年组织开展一次全面的信息科技风险评估。

2.2出现以下情况，应结合本单位以往风险评估情况，确定是否启动信息科技风险评估：（1）新系统上线或已有系统进行重大变更；（2）内部或同业出现重大信息科技事件；（3）信息科技审计中发现重大问题；（4）监管机构发布风险提示。

2.3分行市场与操作风险管理部门根据总行风险评估工作要求，结合本行实际情况制定风险评估计划，组织开展信息科技风险评估工作。

3.风险评估准备3.1.风险评估牵头部门确定风险评估目标。

评估目标包括：（1）满足监管要求；（2）满足我行业务持续发展在信息科技方面的需要；（3）识别现有信息技术及管理上的不足等。

3.2.风险评估牵头部门确定风险评估范围。

评估范围依据评估目标确定，包括：（1）信息资产，如物理、系统、网络、应用、数据等；（2）信息科技活动，如合规管理、开发管理、运维管理、外包管理等；（3）信息科技工作流程，如事件管理、配置管理、变更管理等。

3.3.风险评估牵头部门负责组建风险评估团队，授权风险评估团队开展风险评估工作。

3.4.风险评估团队制定风险评估计划书，明确风险评估实施的计划安排，包括评估工作内容、时间进度和各阶段成果清单等内容。

3.5.风险评估团队制定风险评估方案，明确风险评估依据、风险识别方法、信息收集方式、风险分析方法等。

《银行业金融机构信息科技外包风险管理指引》(征求意见稿)

银行业金融机构信息科技外包风险管理指引征求意见稿))(征求意见稿第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包引发的风险，保持信息科技核心能力，促进银行业信息科技健康有序发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、省级农村信用社联合社、外商独资银行、中外合资银行适用本指引。

中国银行业监督管理委员会（以下简称中国银监会）监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。

包括：系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等。

第四条本指引所称关联外包指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。

第五条信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技创新及控制能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

商业银行信息科技风险动态监测规程(征求意见稿)..

商业银行信息科技风险动态监测规程（征求意见稿）第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规，制定本规程。

第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。

第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。

第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。

第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。

政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。

第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。

第七条监测指标选取遵循以下四个原则：（一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力；（二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况；（三）敏感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况；（四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。

第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。

其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。

第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。

商业银行信息科技风险管理指引—(正式版)

商业银行信息科技风险管理指引—(正式版) 商业银行信息科技风险管理指引正式版目录：第一章 \t引言\t\t1.1 背景\t\t1.2 目的和范围\t\t1.3 定义和缩写\t\t第二章 \t风险管理框架\t\t2.1 整体风险管理框架\t\t2.2 信息科技风险管理流程\t\t2.3 风险识别和评估\t\t\t2.3.1 内部控制要点\t\t\t2.3.2 外部环境因素\t\t\t2.3.3 风险识别和分级评估\t\t2.4 风险应对\t\t\t2.4.1 风险治理\t\t\t2.4.2 风险管理策略\t\t\t2.4.3 风险防范和控制\t\t\t2.4.4 风险监测和评价\t\t\t2.4.5 应急响应和恢复\t\t2.5 风险监管和报告\t\t第三章 \t信息科技风险管理要素\t\t3.1 组织结构和职责\t\t\t3.1.1 信息科技风险管理委员会\t \t\t3.1.2 风险管理部门\t\t\t3.1.3 内部稽核部门\t\t\t3.1.4 各业务部门\t\t3.2 信息科技风险管理框架\t\t\t3.2.1 风险管理政策和指导原则\t \t\t3.2.2 风险管理流程\t\t\t3.2.3 风险分类和评估\t\t\t3.2.4 风险应对和控制\t\t\t3.2.5 风险监测和报告\t\t3.3 信息科技风险管理工具\t \t\t3.3.1 风险管理信息系统\t \t\t3.3.2 风险评估和监测工具\t \t\t3.3.3 应急响应和恢复工具\t \t第四章 \t信息科技风险领域\t\t4.1 系统安全风险\t\t\t4.1.1 网络安全\t\t\t4.1.2 数据安全\t\t\t4.1.3 身份认证和访问控制\t \t4.2 业务连续性风险\t\t\t4.2.1 业务连续性规划\t\t\t4.2.2 冗余和备份机制\t\t\t4.2.3 业务恢复测试\t\t4.3 第三方风险\t\t\t4.3.1 第三方评估和监测\t \t\t4.3.2 合同和协议管理\t \t\t4.3.3 第三方准入控制\t \t4.4 IT项目风险管理\t\t\t4.4.1 项目风险评估\t\t\t4.4.2 项目管理流程\t\t\t4.4.3 项目监控和评估\t \t第五章 \t信息科技风险监管\t \t5.1 监管要求\t\t\t5.1.1 法律法规\t\t\t5.1.2 监管机构要求\t\t5.2 监管报告\t\t\t5.2.1 内部监测报告\t\t\t5.2.2 监管部门报告\t\t\t5.2.3 外部披露\t\t附件：附件1、信息科技风险评估工具附件3、第三方评估表格附件4、IT项目风险评估表格法律名词及注释：1.《商业银行法》商业银行法是指中国国家法律对商业银行的规范和管理的法律文件。

商业银行信息科技风险现场检查指南

商业银行信息科技风险现场检查指南目录第一部分概述121.指南说明131.1 目的及适用范围121.2 编写原则131.3 指南框架13第二部分科技管理142.信息科技治理182.1 董事会及高级管理层15检查项1 : 董事会18检查项2 : 信息科技管理委员会19检查项3 : 首席信息官（CIO）202.2 信息科技部门16检查项1 : 信息科技部门21检查项2 : 信息科技战略规划232.3 信息科技风险管理部门18检查项1 : 信息科技风险管理部门242.4 信息科技风险审计部门18检查项1 : 信息科技风险审计部门252.5知识产权保护和信息披露19检查项1 : 知识产权保护26检查项2 : 信息披露263.信息科技风险管理283.1 风险识别和评估20检查项1 : 风险管理策略28检查项2 : 风险识别与评估293.2 风险防范和检测20检查项1 : 风险防范措施29检查项2 : 风险计量与检测304.信息安全管理324.1 安全管理机制与管理组织错误!未定义书签。

检查项1: 信息分类和保护体系32检查项2: 安全管理机制33检查项3: 信息安全策略34检查项4: 信息安全组织344.2 安全管理制度错误!未定义书签。

检查项1: 规章制度35检查项2: 制度合规36检查项3: 制度执行374.3 人员管理错误!未定义书签。

检查项1: 人员管理384.4 安全评估报告错误!未定义书签。

检查项1: 安全评估报告394.5 宣传、教育和培训错误!未定义书签。

检查项1: 宣传、教育和培训395.系统开发、测试与维护错误!未定义书签。

5.1开发管理错误!未定义书签。

检查项1: 管理架构41检查项2: 制度建设43检查项3: 项目控制体系44检查项4: 系统开发的操作风险45 检查项5: 数据继承和迁移465.2系统测试与上线错误!未定义书签。

检查项1: 系统测试47检查项2: 系统验收49检查项3: 投产上线495.3系统下线错误!未定义书签。

商业银行信息科技风险管理指引(银监发2009[1].19)

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握a主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

商业银行信息科技风险动态监测规程征求意见稿

第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。

第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。

第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。

政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。

第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。

商业银行信息科技风险评估研究

商业银行信息科技风险评估研究商业银行信息科技风险评估是指对商业银行在信息科技方面所面临的各种风险进行评估和分析，以确定相应的风险控制措施和应对策略。

这是一项重要的工作，因为信息科技已经成为商业银行运营的核心，任何与信息科技相关的风险都可能对银行的正常运营和金融安全产生重大影响。

首先，商业银行信息科技风险评估需要对银行所面临的各种信息安全风险进行分析和评估。

信息安全风险主要包括网络攻击、数据泄露、恶意软件、物理设备安全等。

评估的目的是确定银行存在的信息安全薄弱环节，确定可能的威胁和潜在风险。

通过评估，银行可以制定相应的风险控制政策和措施，以提高信息安全防护能力。

其次，商业银行信息科技风险评估还需要对银行的系统和软件进行风险评估。

银行的系统和软件是支持其业务运营的核心基础设施，如果存在系统漏洞或软件缺陷，可能会导致系统崩溃、数据丢失、交易中断等问题。

通过对系统和软件的风险评估，银行可以及时发现潜在的问题并采取相应的修复和改进措施，以确保系统的稳定性和安全性。

此外，商业银行信息科技风险评估还需要对银行的技术设备和网络基础设施进行风险评估。

随着信息科技的不断发展，商业银行的技术设备和网络基础设施也在不断升级和扩展。

然而，在新技术应用的过程中，银行也面临着一系列新的技术风险。

例如，设备故障、网络延迟、硬件损坏等都可能导致银行的业务中断。

因此，通过对技术设备和网络基础设施的风险评估，银行可以及时发现潜在的问题并采取相应的措施进行预防和应对。

最后，商业银行信息科技风险评估还需要对银行的员工进行风险评估。

员工是银行信息安全的重要一环，如果员工缺乏安全意识或者进行不当的操作，可能会导致信息泄露或被黑客入侵。

因此，对员工进行安全培训和风险评估是保障银行信息安全的重要手段。

综上所述，商业银行信息科技风险评估是一项重要的工作，通过对银行的信息安全风险、系统和软件风险、技术设备和网络基础设施风险以及员工风险进行分析和评估，可以及时发现潜在的风险，并采取相应的措施进行预防和应对，以保障银行的正常运营和金融安全。

商业银行信息科技风险动态监测指标

商业银行信息科技风险动态监测指标1.引言在当今信息化社会，商业银行信息科技风险动态监测指标的重要性日益凸显。

随着科技的迅猛发展，商业银行在信息科技方面的应用越来越广泛，给银行业务带来了极大的便利和效率提升，但同时也带来了各种信息科技风险。

建立科学的动态监测指标体系，对及时发现并应对潜在风险至关重要。

2.信息科技风险的定义和分类我们要了解信息科技风险的含义和分类。

信息科技风险是指由于信息系统设施、信息内容、信息使用引起的可能对商业银行正常运作和信息资产带来威胁或损害的一种潜在性。

根据其性质和来源，信息科技风险可分为内部风险和外部风险。

内部风险主要包括人为失误、内部犯罪、技术故障等，外部风险主要包括网络安全威胁、自然灾害等。

3.商业银行信息科技风险动态监测指标的意义了解了信息科技风险的定义和分类后，我们进一步探讨商业银行信息科技风险动态监测指标的意义。

动态监测指标不仅可以帮助商业银行及时发现和识别潜在风险，还可以帮助商业银行对风险进行有效的响应和管理。

通过建立科学的指标体系，商业银行可以实现对信息科技风险全面、深入、及时地监测，从而保障银行业务的安全和稳定。

4.商业银行信息科技风险动态监测指标体系建立商业银行信息科技风险动态监测指标的建立需要考虑多个方面的因素。

应该从风险的来源和类型出发，建立完整的指标体系。

需要考虑指标的权重和相互关联性，以确保监测结果的科学性和准确性。

还应该考虑指标的动态性和实时性，因为信息科技风险是一个动态的过程，需要及时跟进。

需要考虑指标的可操作性和有效性，以便商业银行能够根据监测结果采取相应的风险管理措施。

5.商业银行信息科技风险动态监测指标的个人观点和理解在我看来，商业银行信息科技风险动态监测指标的建立是一个非常复杂和重要的工作。

其核心是要通过科学的手段，及时全面地了解和掌握商业银行信息科技风险的状况，以便及时采取有效的风险管理措施，保障银行业务的安全和稳定。

也需要不断完善和更新指标体系，以适应信息科技风险动态变化的特点。

商业银行信息科技监管评级内部规程(试行)

商业银行信息科技监管评级内部规程(试行)【法规类别】银行综合规定【发文字号】银监发[2013]44号【发布部门】中国银行业监督管理委员会【发布日期】2013【实施日期】2014.01.01【时效性】现行有效【效力级别】部门规范性文件商业银行信息科技监管评级内部规程(试行)第一章总则第一条为加强对商业银行信息化建设与信息科技风险管理的针对性指导，全面、科学地衡量商业银行信息化建设能力、信息科技风险状况及控制成效，合理分配监管资源，完善商业银行同质同类比较和差别监管模式，制定本规程。

第二条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外商独资银行和中外合资银行。

本规程适用于对上述商业银行法人机构的信息科技监管评级。

本规程不适用于在评级年度内新设立的商业银行，监管机构可以依据本规程对当年新设立的商业银行进行试评级，但评级结果不纳入与其他商业银行的评级结果比较。

政策性银行、农村信用社(含联合社)、农村合作银行、村镇银行、非银行金融机构参照执行。

对于信息系统全部或主体托管至其他银行业金融机构的城市商业银行、农村商业银行、农村信用社、农村合作银行，村镇银行、非银行金融机构等银行业金融机构，其信息科技监管评级可参照托管机构的信息科技监管评级结果，并对其信息科技治理、风险管理和自有信息系统情况进行评估调整，作为该类银行业金融机构的最终信息科技监管评级结果。

第三条本规程所称信息科技监管评级是指银监会及其派出机构的信息科技监管部门依据相关法规、标准和业界最佳实践，运用各类信息科技采集信息及风险评估结果，结合现场检查发现，对商业银行在评级年度内的信息科技建设能力、信息科技风险状况和控制成效进行科学审慎的综合评价，并最终确定商业银行信息科技监管等级的工作过程。

第四条商业银行信息科技监管评级体系由信息科技监管评级要素体系、评级方法体系、评级操作流程体系、评级结果运用体系构成。

第五条信息科技监管评级工作按照属地监管原则，由银监会及其派出机构的信息、科技监管部门组织开展。

商业银行信息科技风险管理指引—(正式版)

商业银行信息科技风险管理指引—(正式版) 商业银行信息科技风险管理指引—(正式版)1：引言1.1 背景与目的1.2 适用范围1.3 术语与定义2：风险管理框架2.1 风险识别与评估2.1.1 内部审计与风险评估2.1.2 内部控制评估2.1.3 外部审计与评估2.1.4 信息系统风险评估2.2 风险治理与控制2.2.1 风险治理框架2.2.2 风险控制措施2.2.3 风险监测与报告2.3 风险应对与应急计划2.3.1 风险应对策略2.3.2 风险应急计划2.3.3 业务连续性计划3：信息系统安全3.1 信息资产保护3.1.1 安全分类与分级3.1.2 信息资产管理制度3.1.3 信息资产风险评估3.1.4 信息资产安全控制3.2 访问控制与身份认证3.2.1 访问控制策略3.2.2 身份认证机制3.2.3 会话管理3.2.4 权限管理3.3 网络与通信安全3.3.1 网络安全管理3.3.2 网络拓扑设计3.3.3 网络设备安全配置3.3.4 通信安全3.4 应用系统安全3.4.1 应用系统开发3.4.2 应用系统运维3.4.3 应用系统备份与恢复3.4.4 应用系统安全漏洞管理4：数据安全与隐私保护4.1 数据分类与处理4.2 数据安全管理4.2.1 数据备份与恢复4.2.2 数据传输与传送4.2.3 数据存储与销毁4.3 隐私保护4.3.1 隐私政策4.3.2 隐私告知与征得同意4.3.3 隐私保护措施5：技术合规与监管要求5.1 国家法律法规5.2 监管机构要求5.3 行业标准与规范5.4 自律组织要求6：附件注释：- 风险识别与评估：对银行信息科技风险进行识别和评估的过程，包括内部审计、内部控制评估、外部审计和信息系统风险评估等。

- 风险治理与控制：管理和控制银行信息科技风险的框架和措施，包括风险治理框架、风险控制措施和风险监测与报告等。

- 风险应对与应急计划：应对银行信息科技风险的策略和应急计划，包括风险应对策略和业务连续性计划等。

商业银行信息科技治理建设指导意见V征求意见稿

商业银行信息科技治理建设指导意见V征求意见稿文件管理序列号：[K8UY-K9IO69-O6M243-OL889-F88688]商业银行信息科技治理建设指导意见（讨论稿）第一章总则第一条为规范商业银行信息科技治理，提高信息科技工作效率和风险管理水平，确保信息系统安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》，以及其他相关法律、法规，制定本指导意见（以下简称意见）。

第二条信息科技治理是商业银行公司治理的重要组成部分，是商业银行在运用信息技术过程中，为实现信息科技工作既定目标所做出的制度安排，包括组织结构、技术架构、运行机制和激励约束等。

第三条商业银行信息科技治理的目标是健全信息科技治理组织结构和技术架构，明确决策和管理职责，优化资源配置，有效控制信息科技风险，确保信息科技战略与业务发展目标相适应，增强商业银行核心竞争力和可持续发展能力。

第四条本意见适用于在中华人民共和国境内依法设立的商业银行，包括国有商业银行、股份制商业银行、城市商业银行和外资银行。

由中国银行业监督管理委员会（以下简称中国银监会）监督管理的其他金融机构参照执行。

第二章组织结构第五条董事会是商业银行最高决策组织，在信息科技治理中履行以下职责：（一）审查批准本行信息科技治理结构，定期听取高级管理层关于信息科技工作汇报并予以评价；（二）审查批准信息科技战略规划，确保与银行总体业务发展战略规划和重大策略相一致；（三）审查批准信息科技方面的重大项目和投资。

为确保有效履行上述职责，董事会主要成员应对本行信息科技主要活动有所了解。

第六条监事会是商业银行监督机构，在信息科技治理中应履行以下职责：（一）对董事会、高级管理层履行信息科技职责的行为进行监督；（二）对银行信息科技规划、决策、风险管理和内部控制等进行监督；（三）对没有正确履行信息科技职责的高级管理人员，提出处罚建议。

第七条董事长是商业银行法定代表，在信息科技治理中履行以下职责：（一）承担本机构信息科技风险管理的最终责任；（二）召集、主持有关信息科技管理、风险防范和审计的董事会会议；（三）督促、检查董事会制定的信息科技工作决议执行情况；（四）落实其他应由董事长承担的信息科技工作。

银监发[2009]19号-商业银行信息科技风险管理指引

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

（五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

商业银行信息科技风险现场检查指南

商业银行信息科技风险现场检查指南商业银行信息科技风险现场检查指南商业银行信息科技风险现场检查指南目录第一部分概述 (21)1. 指南说明 (22)1.1 目的及适用范围 (22)1.2 编写原则 (23)1.3 指南框架 (24)第二部分科技管理 (26)2. 信息科技治理 (27)2.1 董事会及高级管理层 (27)检查项1 ：董事会 (27)检查项2 ：信息科技管理委员会 (28)检查项3 ：首席信息官（CIO） (29)2.2 信息科技部门 (30)检查项1 ：信息科技部门 (30)检查项2 ：信息科技战略规划 (32)2.3 信息科技风险管理部门 (33)检查项1 ：信息科技风险管理部门 (33)2.4 信息科技风险审计部门 (34)检查项1 ：信息科技风险审计部门 (34)2.5 知识产权保护和信息披露 (35)检查项1 ：知识产权保护 (35)检查项2 ：信息披露 (35)3. 信息科技风险管理 (37)3.1 风险识别和评估 (37)检查项1 ：风险管理策略 (37)检查项2 ：风险识别与评估 (38)3.2 风险防范和检测 (38)检查项1 ：风险防范措施 (38)检查项2 ：风险计量与检测 (39) 4. 信息安全管理 (41)4.1 安全管理机制与管理组织 (41) 检查项1：信息分类和保护体系 (41) 检查项2：安全管理机制 (42)检查项3：信息安全策略 (43)检查项4：信息安全组织 (43)4.2 安全管理制度 (44)检查项1：规章制度 (44)检查项2：制度合规 (45)检查项3：制度执行 (46)4.3 人员管理 (47)检查项1：人员管理 (47)4.4 安全评估报告 (48)检查项1：安全评估报告 (48)4.5 宣传、教育和培训 (48)检查项1：宣传、教育和培训 (48) 5.系统开发、测试与维护 (50)5.1开发管理 (50)检查项1：管理架构 (50)检查项2：制度建设 (52)检查项3：项目控制体系 (53)检查项4：系统开发的操作风险 (54) 检查项5：数据继承和迁移 (55) 5.2系统测试与上线 (56)检查项1：系统测试 (56)检查项2：系统验收 (58)检查项3：投产上线 (58)5.3系统下线 (59)检查项1：系统下线 (59)6. 系统运行管理 (61)6.1 日常管理 (61)检查项1：职责分离 (61)检查项2：值班制度 (62)检查项3：操作管理 (62)检查项4：人员管理 (63)6.2 访问控制策略 (64)检查项1：物理访问控制策略 (64) 检查项2：逻辑访问控制策略 (65) 检查项3：账号及权限管理 (66)检查项4：用户责任及终端管理 (67) 检查项5：远程接入的控制 (68) 6.3 日志管理 (69)检查项1：审计日志检查 (69)检查项2：日志信息的保护 (69)检查项3：操作日志的检查 (70)检查项4：错误日志的检查 (70) 6.4系统监控 (71)检查项1：基础环境监控 (71)检查项2：系统性能监控 (71)检查项3：系统运行监控 (72)检查项4：测评体系 (73)6.5 事件管理 (74)检查项1：事件报告流程 (74)检查项2：事件管理和改进 (75)检查项3：服务台管理 (76)6.6问题管理 (76)检查项1：事件分析和问题生成 (77)检查项2：台账管理 (77)检查项3：问题处置 (77)6.7 容量管理 (78)检查项1：容量规划 (78)检查项2：容量监测 (79)检查项3：容量变更 (79)6.8 变更管理 (80)检查项1：变更的流程 (81)检查项2：变更的评估 (81)检查项3：变更的授权 (82)检查项4：变更的执行 (82)检查项5：紧急变更 (83)检查项6：重大变更 (83)7. 业务连续性管理 (85)7.1 业务连续性管理组织 (86)检查项1：董事会及高管层的职责 (86)检查项2：业务连续性管理组织的建立 (87)检查项3：业务连续性管理组织职责 (88)7.2 IT服务连续性管理 (89)检查项1：IT服务连续性计划的组织保障 (89) 检查项2：风险评估及业务影响分析 (90)检查项3：IT服务连续性计划的制定 (90)检查项4：IT服务连续性计划的测试与维护 (91) 检查项5：IT服务连续性计划审计 (92)检查项6：IT服务连续性相关领域的控制 (93) 8. 应急管理 (94)8.1 应急组织 (94)检查项1：应急管理团队 (94)检查项2：应急管理职责 (95)检查项3：应急管理制度 (95)8.2 应急预案 (96)检查项1：应急预案制订 (96)检查项2：应急预案内容 (96)检查项3：应急预案更新 (98)检查项4：外包服务应急 (98)检查项5：应急预案培训 (99)8.3 应急保障 (99)检查项1：人员保障 (99)检查项2：物质保障 (99)检查项3：技术保障 (100)检查项4：沟通保障 (100)8.4 应急演练 (101)检查项1：应急演练的计划 (101)检查项2：应急演练的实施 (101)检查项3：应急演练的总结 (102)8.5 应急响应 (103)检查项1：应急响应流程 (103)检查项2：全程记录处置过程 (103)检查项3：应急事件报告 (104)检查项4：与第三方沟通 (104)检查项5：向新闻媒体通报制度 (105) 检查项6：应急处置总结 (105)8.6 持续改进 (106)检查项1：应急事件评估 (106)检查项2：应急响应评估 (106)检查项3：应急管理改进 (107)9. 灾难恢复管理 (108)9.1 灾难恢复组织架构 (108)检查项1：灾难恢复相关组织架构 (108) 9.2 灾难恢复策略 (110)检查项1：总体控制 (110)检查项2：灾难恢复策略 (110)检查项3：灾难备份策略 (112)检查项4：外包风险 (113)9.3 灾难恢复预案 (114)检查项1：灾难恢复预案 (114)检查项2：联络与通讯 (115)检查项3：教育、培训和演练 (116)9.4评估和维护更新 (116)检查项1：灾备策略的评估和维护更新 (116)检查项2：灾难恢复预案的评估和维护更新 (117) 10. 数据管理 (118)10.1 数据管理制度和岗位 (118)检查项1: 数据管理制度 (118)检查项2 ：数据管理岗位 (119)10.2 数据备份、恢复策略 (119)检查项1：数据备份、转储策略 (119)检查项2：数据恢复、抽检策略 (120)10.3数据存储介质管理 (121)检查项1：介质管理 (121)检查项2：介质的清理和销毁 (122)11. 外包管理 (123)11.1外包管理制度 (123)检查项1：外包管理制度 (123)检查项2：外包审批流程 (123)检查项3：外包协议 (124)检查项4：服务水平协议 (124)检查项5：外包安全保密措施 (125)检查项6：外包文档管理 (125)11.2外包评估和监督 (126)检查项1：外包服务商的评估 (126)检查项2：外包项目的监督管理 (126)12. 内部审计 (128)12.1 内部审计管理 (128)检查项1：内部审计部门、岗位、人员和职责 (128) 检查项2：内部审计制度和办法 (128)12.2 内部审计要求 (129)检查项1：内部审计范围和频率 (129)检查项2：内部审计结果的有效性 (129)13. 外部审计 (131)13.1 外部审计资质 (131)检查项1：外部审计机构的资质 (131)13.2 外部审计要求 (131)检查项1：商业银行配合外部审计情况 (131)检查项2：外部审计有效性 (132)检查项3：外审过程中的保密要求 (132)第三部分基础设施 (134)14. 计算机机房 (135)。

银行信息科技风险评估操作规程

银行信息科技风险评估操作规程一、前言信息科技风险评估是银行信息化控制领域的核心内容之一，是有效保障银行信息化安全的重要手段。

策略性和全面的信息科技风险评估工作，对于保护银行资产、保护客户利益、维护银行声誉具有重大意义。

本规程旨在规范银行信息科技风险评估操作流程、明确风险评估工作职责与任务、阐明风险评估纳入银行信息化管理的流程体系。

二、风险评估职责与任务（一）银行信息科技风险评估组成银行信息科技风险评估由风险评估组负责进行，风险评估组由信息科技管理人员、信息安全管理人员、风险管理人员、审计人员等相关人员组成；（二）职责与任务1. 风险评估组需在“信息化战略、规划和计划等”环节与“信息系统的管理、运维和控制等”环节指导和协助银行高层领导和中层管理人员，科学规划银行信息化和信息管理工作的安全和风险管理。

2. 风险评估组必须根据银行实际情况，选择风险评估方法，完成银行信息科技风险评估。

3. 风险评估组还需要在风险评估范围内，对银行的信息科技风险进行分类、归档、分级，对每种类型的风险进行详细分析，并确定控制措施。

4. 风险评估组根据提出的风险评估结果，向银行风险管理部门提供相应的风险管理建议，并对建议的执行情况进行监督、跟踪。

三、风险评估流程风险评估流程涉及到风险评估组的各职责与任务。

风险评估流程包括风险评估工作准备、风险评估日程的安排、风险评估范围的确认、风险识别与分类、风险分析与评估、风险控制、成果汇报与反馈、风险管理监控等环节。

（一）风险评估工作准备1. 风险评估组应指定一名组长，负责组织和协调风险评估的各项工作。

2. 风险评估组应准备所需的评估工具和技术，确保工具和技术能够满足风险评估中所需的信息和数据的需求。

3. 风险评估组需要与被评估的部门进行沟通，共同确定风险评估的日程，在日程安排中保证评估所需的时间充足。

（二）风险评估日程的安排1. 风险评估组按照评估工作准备的安排，开始进行风险评估，评估所涉及的范围、流程、方法、时间、风险因素等。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。

第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。

第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。

政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。

第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。

（一）系统可用率为信息系统实际提供服务时间与应提供服务时间之比，用于衡量信息系统对业务连续服务提供支撑的有效程度，系统可用率影响客户使用体验，并综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置等方面的管理能力。

（二）系统交易成功率为信息系统成功处理的交易量与处理交易总量之比，用于衡量信息系统正常响应业务请求的有效程度，综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面的管理能力。

（三）投产变更成功率为商业银行成功实施信息系统投产、变更数量与实施信息系统投产、变更总量之比，用于衡量商业银行投产变更管理的有效程度，综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。

第十条安全性指标用于衡量商业银行对安全威胁的抵御能力与安全事件的处置能力，包括假冒网站查封率、外部攻击变化率和信息安全事件数量。

（一）假冒网站查封率为已查封的假冒网站数量与已知的假冒网站数量之比，用于衡量商业银行对假冒网站的处置进展及其客户可能因假冒网站遭受欺诈威胁的程度，综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。

（二）外部攻击变化率为商业银行遭受外部攻击当期告警增加数量与上期告警数量之比，用于衡量商业银行外部攻击威胁的客观变化，综合反映商业银行信息系统外部风险的变化程度。

（三）信息安全事件数量为信息系统中断造成服务不可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事件次数、网络中断事件次数、基础设施不可用事件次数及其他安全事件次数之和，用于衡量商业银行在面对内外部安全威胁时，保持信息系统可用性、完整性、机密性的能力，综合反映商业银行信息安全现状。

第十一条规模性指标用于衡量商业银行主要电子渠道发展规模，反映商业银行主要电子渠道业务发展水平、电子渠道业务承受的压力及相关信息科技风险事件可能产生的社会负面影响程度，包括主要电子渠道交易变化率和主要电子渠道活跃用户、账户变化率。

（一）主要电子渠道交易变化率为商业银行全辖当期主要电子渠道交易量与上期主要电子渠道交易量之比，用于反映商业银行主要电子渠道交易规模总量及变化趋势。

（二）主要电子渠道活跃用户、账户变化率为商业银行全辖当期主要电子渠道活跃用户、账户数与上期主要电子渠道活跃用户、账户数之比，用于反映商业银行主要电子渠道活跃用户、账户总量及变化趋势。

第四章数据管理第十二条商业银行应建立与本规程相配套的信息科技风险动态监测工作机制和管理流程，准确、及时提供动态监测指标相关源数据。

第十三条商业银行应根据自身发展状况建立与本规程相适应的监测统计信息系统，按照动态监测指标的相关要求采集相关源数据，并能够根据计算模型按照机构、产品、系统等不同维度和统计周期生成监测数据。

第十四条信息科技风险动态监测指标源数据采集范围应涵盖商业银行全辖（总行及各级分支机构）和各类重要信息系统，采集数据要全面、真实。

第十五条商业银行应确保监测指标数据来源的连续性、一致性以及可追溯性，并至少存留最近三年历史数据。

第十六条商业银行应明确信息科技风险动态监测数据报送的归口管理部门，并对报送数据的真实性和有效性负责。

第十七条银监会及其派出机构应督促、指导商业银行逐步建立并完善相关工作机制和流程，开展动态监测信息系统建设，提高数据采集的自动化程度，减少数据生成过程中的人为干扰因素。

对于确需人工填报的环节，应在流程和系统设计中满足后续检查和审计的需要。

第十八条银监会及其派出机构信息科技监管部门负责审核商业银行报送的动态监测指标数据，并对报送数据质量进行考核。

第五章指标运用第十九条商业银行应将信息科技风险动态监测指标纳入全行风险监测体系，建立信息科技风险动态监测指标分析预警模型，持续跟踪信息科技风险动态监测指标变化趋势，形成书面报告，定期向商业银行董事会和高管层报告。

第二十条商业银行董事会和高管层应定期审查信息科技风险动态监测报告，运用检查、监督、考核等手段督促相关部门采取有效措施实施整改。

第二十一条商业银行信息科技部门应根据动态监测指标结果，对本机构信息系统进行综合评价，并将评价结果与商业银行信息科技发展规划相结合。

第二十二条商业银行信息科技部门应持续跟踪动态监测指标及其变化趋势，重点关注指标数值或变化趋势存在异常的监测指标，深入分析指标异常的原因，采取相应的应急处置措施，并将处置方案和工作进度及时报送商业银行风险管理部门、银监会或其派出机构。

第二十三条银监会及其派出机构信息科技监管部门应明确信息科技风险动态监测工作岗位，制定人员岗位职责。

第二十四条银监会及其派出机构信息科技监管部门应建立分析预警模型，按照区域分布、机构类别、单家机构等不同维度对信息科技风险动态监测指标进行分类监测，定期形成风险分析报告，对于发现的突出共性风险问题，要开展行业通报。

第二十五条银监会及其派出机构信息科技监管部门可根据单家机构动态监测指标监测情况，采取约谈、现场检查等途径对相关情况进行核实，并通过风险提示、监管会谈等方式将风险监测结果及时通报商业银行，督促其采取有效措施，做好风险防范和整改工作。

对于监测中发现的重大信息科技风险隐患，信息科技监管部门应及时通报机构监管部门，并可视情况采取联合监管行动。

第二十六条银监会及其派出机构信息科技监管部门应将动态风险监测指标分析结果作为商业银行年度信息科技监管评级的参考信息。

第二十七条银监会信息科技监管部门建立信息科技风险动态监测工作的激励考核机制，定期发布行业基准参考值，对指标领先的机构树立标杆，总结良好实践并予以推广。

第六章附则第二十八条附件是本规程的组成部分，规定了信息科技风险动态监测指标口径说明。

第二十九条本规程由银监会负责修订和解释。

第三十条本规程自年月起试行。

附件：1、商业银行信息科技风险动态监测指标一览表2、商业银行信息科技风险动态监测指标口径说明附件1商业银行信息科技风险动态监测指标一览表附件2商业银行信息科技风险动态监测指标口径说明一、系统可用率● 指标的属性：稳定性指标。

● 指标风险含义:系统可用率[Available time rate of a system, ATR]用于衡量商业银行信息系统提供连续服务的能力。

系统可用率综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置、变更管理等方面能力以及客户对商业银行提供连续服务能力的感受。

ATR 较低时，说明商业银行信息系统提供连续服务能力不足，可能导致系统稳定性降低、产生声誉风险等风险隐患。

系统可用率包括十个重要信息系统的可用率指标，分别是：核心业务、综合前置、银行卡、网上银行、电话银行、手机银行、大额实时支付前置、小额批量支付前置、第三方存管、国际结算系统。

● ATR 计算公式：%100)111(⨯=-=-=∑∑LTSP i AOR ×i ABR ×i UD LTSP i AOR ×i ABR ×i PD ATR ni m i● ATR 相关释义：1.计划停止服务时间[Planned downtime, PD]：系统在监测周期内因变更、演练、维护等计划性事件及日间、夜间模式切换等日常操作造成的停止服务时间。

注：若一次计划性停止服务时间超出了计划，则超出部分时间计入意外停止服务时间。

2.意外停止服务时间[Unexpected downtime, UD]：系统在监测周期内因系统故障、内部操作失误、外部入侵、自然灾害等意外性事件造成的停止服务时间。

3.提供服务总时间[The lasting time of service providing, LTSP]：系统在监测统计期内理论上可提供服务时间之和。

如核心业务系统为24小时交易系统，监测统计期为30天，则该系统提供服务总时间为24×30×60分钟。

4.停止服务：系统中任一应用模块（子系统）在应提供服务时段出现服务不可用。

5.业务受影响比例[Affected business rate, ABR]：受影响业务类型数量占所有业务类型数量的比例。

由商业银行自行确定比例的计算原则，可以按照同期交易量、交易金额、用户登录数量等因素来计算业务受影响比例，也可以应用模块（子系统）数量比例来计算。

业务受影响比例计算原则由商业银行自行确定后，原则上一年内不得更改计算原则。

6.机构受影响机构比例[Affected organization rate, AOR]：受影响网点数量与全部网点数量的比值。

如全行集中式服务受到影响，AOR数值为1。

7.公式中i代表监测周期内第i次发生的计划和意外停止服务，m代表监测周期内计划停止服务发生总次数，n代表监测周期内意外停止服务发生总次数。