银行业信息科技风险监管现场检查手册
中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知
中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2009.03.03•【文号】银监发[2009]19号•【施行日期】2009.03.03•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知(银监发[2009]19号)各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,各省级农村信用联社,银监会直接监管的信托公司、财务公司、金融租赁公司,中央国债登记结算公司:现将《商业银行信息科技风险管理指引》印发给你们,请认真执行。
请各银监局将本通知转发至辖内各银行业金融机构(含外资银行)。
中国银行业监督管理委员会二00九年三月三日商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
银监会业银行信息科技风险管理指
商业银行信息科技风险管理指引第一章总则 (2)第二章信息科技治理 (3)第三章信息科技风险管理 (7)第四章信息安全 (10)第五章信息系统开发、测试和维护 (16)第六章信息科技运行 (19)第七章业务连续性管理 (21)第八章外包 (23)第九章内部审计 (27)第十章外部审计 (28)第十一章附则 (29)第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
银监会《商业银行信息科技风险治理指引》[新版]
![银监会《商业银行信息科技风险治理指引》[新版]](https://img.taocdn.com/s3/m/a2e8907226d3240c844769eae009581b6bd9bde4.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
银监会:商业银行现场检查手册
银监会:商业银行现场检查手册第一篇:银监会:商业银行现场检查手册商业银行现场检查手册第一章现场检查基本原理第一节现场检查的目的和作用第二节现场检查的原则第三节现场检查的内容第四节现场检查的种类与方法第五节现场检查抽样第六节现场检查的法律事务第二章现场检查操作流程第一节第二节第三节第四节第五节第三章第一节第二节第三节第四节第五节第六节第七节第八节第九节第十节第四章第一节第二节第三节第四节第五节第六节第七节第八节第九节第五章第一节现场检查准备阶段现场检查实施阶段现场检查报告阶段现场检查处理阶段检查档案整理阶段货款及表内其他授信业务综述授信管理货款风险分类货款集中、关联企业货款和关联交易公司授信贸易融资房地产货款银团货款项目融资个人授信业务非信资产综述存放拆放同业证券和投资固定资产无形及递延资产应收款现金及银行存款抵债资产存款及表内其他负债综述第二节存款第三节第四节第五节第六章第一节第二节第三节第四节第五节第七章第一节第二节第三节第四节第五节第六节第七节第八节第九节同业存放、拆入证券融资其他负债财务管理综述财务计划检查营业收入、成本与费用资产减值准备利润及利润分配中间业务综述票据业务结售汇业务信用证银行卡业务代理业务银行承兑汇票保函与备用信用证货款承诺第十节交易类中间业务第十一节基金托管业务第十二节咨询顾问业务第十三节代保管业务第八章电子银行第一节综述第二节网上银行业务第三节电话银行业务第四节手机银行业务第五节 ATM、POS机业务第九章第一节第二节第三节第四节第十章第一节第二节资金清算综述同业往来联行往来业务国际清算资本充足率综述资本充足率检查第三节监管评级监管措施第十一章流动性管理第一节综述第二节流动性检查第三节流动性评价及监管措施第十二章市场风险第一节综述第二节市场风险管理法第三节市场风险检查程序与方法第十三章对商业银行境外机构的现场检查第一节跨境监管概述第二节我国对商业银行跨境监管的规定第三节商业银行对镜外机构的管理第四节商业银行境外机构第五节与其他监管当局的信息交流与合作第十四章公司治理第一节综述第二节法人治理机制第三节高级管理层评价第四节对分支机构和相关机构的管理第五节内部审计第六节经营战略与政策第十五章内部控制第一节综述第二节资产负债管理第三节管理信息系统与会计系统第四节人力资源管理第五节计算机系统管理第六节安全保卫第十六章商业银行风险评估第一节综述第二节银行面临的八类风险评估第三节银行风险管理水平评估第四节银行整体风险综合评估第十七章商业银行风险评级第一节综述第二节ROCA评级体系各要素评估第三节CAMELS评级体系各要素评估第四节压力测试第五节风险预警第六节监管措施附件:现场检查前问卷后记第二篇:银监会枪支弹药现场检查实施细则中国银监会银行业金融机构枪支、弹药管理及使用情况现场检查实施细则根据《中国银监会办公厅关于印发2010 年两项安全保卫现场检查方案的通知》(银监办发[ 2010 ] 153 号)要求,特制定银行业金融机构枪支、弹药(以下简称枪弹)管理及使用情况现场检查实施细则。
银监会《商业银行信息科技风险管理指引》
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的使用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其和银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
银行业信息科技风险监管指引
银行业信息科技风险监管指引
银行业信息科技风险监管指引是中国人民银行发布的旨在指导银行业实施信息科技风险管理的综合性和系统性指导文件,由中国人民银行、中国银行业监督管理委员会发布。
该指引出台之初就明确了要求银行业统一遵循“重视、创新、共治、预防”的原则,以及要求建立科学有效的信息科技风险监管体系,加强风险防控能力,确保信息科技在银行业发展中的安全运行。
该指引具体包括:1)建立信息科技风险管理机构和机制;2)完善信息科技策略和投资决策;3)实施科学有效的信息科技风险监测与评估;4)完善信息科技风险应急处置机制;5)实施信息科技风险安全管理。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南目录第一部分概述121.指南说明131.1 目的及适用范围121.2 编写原则131.3 指南框架13第二部分科技管理142.信息科技治理182.1 董事会及高级管理层15检查项1 : 董事会18检查项2 : 信息科技管理委员会19检查项3 : 首席信息官(CIO)202.2 信息科技部门16检查项1 : 信息科技部门21检查项2 : 信息科技战略规划232.3 信息科技风险管理部门18检查项1 : 信息科技风险管理部门242.4 信息科技风险审计部门18检查项1 : 信息科技风险审计部门252.5知识产权保护和信息披露19检查项1 : 知识产权保护26检查项2 : 信息披露263.信息科技风险管理283.1 风险识别和评估20检查项1 : 风险管理策略28检查项2 : 风险识别与评估293.2 风险防范和检测20检查项1 : 风险防范措施29检查项2 : 风险计量与检测304.信息安全管理324.1 安全管理机制与管理组织错误!未定义书签。
检查项1: 信息分类和保护体系32检查项2: 安全管理机制33检查项3: 信息安全策略34检查项4: 信息安全组织344.2 安全管理制度错误!未定义书签。
检查项1: 规章制度35检查项2: 制度合规36检查项3: 制度执行374.3 人员管理错误!未定义书签。
检查项1: 人员管理384.4 安全评估报告错误!未定义书签。
检查项1: 安全评估报告394.5 宣传、教育和培训错误!未定义书签。
检查项1: 宣传、教育和培训395.系统开发、测试与维护错误!未定义书签。
5.1开发管理错误!未定义书签。
检查项1: 管理架构41检查项2: 制度建设43检查项3: 项目控制体系44检查项4: 系统开发的操作风险45 检查项5: 数据继承和迁移465.2系统测试与上线错误!未定义书签。
检查项1: 系统测试47检查项2: 系统验收49检查项3: 投产上线495.3系统下线错误!未定义书签。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南商业银行信息科技风险现场检查指南商业银行信息科技风险现场检查指南目录第一部分概述 (21)1. 指南说明 (22)1.1 目的及适用范围 (22)1.2 编写原则 (23)1.3 指南框架 (24)第二部分科技管理 (26)2. 信息科技治理 (27)2.1 董事会及高级管理层 (27)检查项1 :董事会 (27)检查项2 :信息科技管理委员会 (28)检查项3 :首席信息官(CIO) (29)2.2 信息科技部门 (30)检查项1 :信息科技部门 (30)检查项2 :信息科技战略规划 (32)2.3 信息科技风险管理部门 (33)检查项1 :信息科技风险管理部门 (33)2.4 信息科技风险审计部门 (34)检查项1 :信息科技风险审计部门 (34)2.5 知识产权保护和信息披露 (35)检查项1 :知识产权保护 (35)检查项2 :信息披露 (35)3. 信息科技风险管理 (37)3.1 风险识别和评估 (37)检查项1 :风险管理策略 (37)检查项2 :风险识别与评估 (38)3.2 风险防范和检测 (38)检查项1 :风险防范措施 (38)检查项2 :风险计量与检测 (39) 4. 信息安全管理 (41)4.1 安全管理机制与管理组织 (41) 检查项1:信息分类和保护体系 (41) 检查项2:安全管理机制 (42)检查项3:信息安全策略 (43)检查项4:信息安全组织 (43)4.2 安全管理制度 (44)检查项1:规章制度 (44)检查项2:制度合规 (45)检查项3:制度执行 (46)4.3 人员管理 (47)检查项1:人员管理 (47)4.4 安全评估报告 (48)检查项1:安全评估报告 (48)4.5 宣传、教育和培训 (48)检查项1:宣传、教育和培训 (48) 5.系统开发、测试与维护 (50)5.1开发管理 (50)检查项1:管理架构 (50)检查项2:制度建设 (52)检查项3:项目控制体系 (53)检查项4:系统开发的操作风险 (54) 检查项5:数据继承和迁移 (55) 5.2系统测试与上线 (56)检查项1:系统测试 (56)检查项2:系统验收 (58)检查项3:投产上线 (58)5.3系统下线 (59)检查项1:系统下线 (59)6. 系统运行管理 (61)6.1 日常管理 (61)检查项1:职责分离 (61)检查项2:值班制度 (62)检查项3:操作管理 (62)检查项4:人员管理 (63)6.2 访问控制策略 (64)检查项1:物理访问控制策略 (64) 检查项2:逻辑访问控制策略 (65) 检查项3:账号及权限管理 (66)检查项4:用户责任及终端管理 (67) 检查项5:远程接入的控制 (68) 6.3 日志管理 (69)检查项1:审计日志检查 (69)检查项2:日志信息的保护 (69)检查项3:操作日志的检查 (70)检查项4:错误日志的检查 (70) 6.4系统监控 (71)检查项1:基础环境监控 (71)检查项2:系统性能监控 (71)检查项3:系统运行监控 (72)检查项4:测评体系 (73)6.5 事件管理 (74)检查项1:事件报告流程 (74)检查项2:事件管理和改进 (75)检查项3:服务台管理 (76)6.6问题管理 (76)检查项1:事件分析和问题生成 (77)检查项2:台账管理 (77)检查项3:问题处置 (77)6.7 容量管理 (78)检查项1:容量规划 (78)检查项2:容量监测 (79)检查项3:容量变更 (79)6.8 变更管理 (80)检查项1:变更的流程 (81)检查项2:变更的评估 (81)检查项3:变更的授权 (82)检查项4:变更的执行 (82)检查项5:紧急变更 (83)检查项6:重大变更 (83)7. 业务连续性管理 (85)7.1 业务连续性管理组织 (86)检查项1:董事会及高管层的职责 (86)检查项2:业务连续性管理组织的建立 (87)检查项3:业务连续性管理组织职责 (88)7.2 IT服务连续性管理 (89)检查项1:IT服务连续性计划的组织保障 (89) 检查项2:风险评估及业务影响分析 (90)检查项3:IT服务连续性计划的制定 (90)检查项4:IT服务连续性计划的测试与维护 (91) 检查项5:IT服务连续性计划审计 (92)检查项6:IT服务连续性相关领域的控制 (93) 8. 应急管理 (94)8.1 应急组织 (94)检查项1:应急管理团队 (94)检查项2:应急管理职责 (95)检查项3:应急管理制度 (95)8.2 应急预案 (96)检查项1:应急预案制订 (96)检查项2:应急预案内容 (96)检查项3:应急预案更新 (98)检查项4:外包服务应急 (98)检查项5:应急预案培训 (99)8.3 应急保障 (99)检查项1:人员保障 (99)检查项2:物质保障 (99)检查项3:技术保障 (100)检查项4:沟通保障 (100)8.4 应急演练 (101)检查项1:应急演练的计划 (101)检查项2:应急演练的实施 (101)检查项3:应急演练的总结 (102)8.5 应急响应 (103)检查项1:应急响应流程 (103)检查项2:全程记录处置过程 (103)检查项3:应急事件报告 (104)检查项4:与第三方沟通 (104)检查项5:向新闻媒体通报制度 (105) 检查项6:应急处置总结 (105)8.6 持续改进 (106)检查项1:应急事件评估 (106)检查项2:应急响应评估 (106)检查项3:应急管理改进 (107)9. 灾难恢复管理 (108)9.1 灾难恢复组织架构 (108)检查项1:灾难恢复相关组织架构 (108) 9.2 灾难恢复策略 (110)检查项1:总体控制 (110)检查项2:灾难恢复策略 (110)检查项3:灾难备份策略 (112)检查项4:外包风险 (113)9.3 灾难恢复预案 (114)检查项1:灾难恢复预案 (114)检查项2:联络与通讯 (115)检查项3:教育、培训和演练 (116)9.4评估和维护更新 (116)检查项1:灾备策略的评估和维护更新 (116)检查项2:灾难恢复预案的评估和维护更新 (117) 10. 数据管理 (118)10.1 数据管理制度和岗位 (118)检查项1: 数据管理制度 (118)检查项2 :数据管理岗位 (119)10.2 数据备份、恢复策略 (119)检查项1:数据备份、转储策略 (119)检查项2:数据恢复、抽检策略 (120)10.3数据存储介质管理 (121)检查项1:介质管理 (121)检查项2:介质的清理和销毁 (122)11. 外包管理 (123)11.1外包管理制度 (123)检查项1:外包管理制度 (123)检查项2:外包审批流程 (123)检查项3:外包协议 (124)检查项4:服务水平协议 (124)检查项5:外包安全保密措施 (125)检查项6:外包文档管理 (125)11.2外包评估和监督 (126)检查项1:外包服务商的评估 (126)检查项2:外包项目的监督管理 (126)12. 内部审计 (128)12.1 内部审计管理 (128)检查项1:内部审计部门、岗位、人员和职责 (128) 检查项2:内部审计制度和办法 (128)12.2 内部审计要求 (129)检查项1:内部审计范围和频率 (129)检查项2:内部审计结果的有效性 (129)13. 外部审计 (131)13.1 外部审计资质 (131)检查项1:外部审计机构的资质 (131)13.2 外部审计要求 (131)检查项1:商业银行配合外部审计情况 (131)检查项2:外部审计有效性 (132)检查项3:外审过程中的保密要求 (132)第三部分基础设施 (134)14. 计算机机房 (135)。
银行业信息科技风险监管现场检查手册
前言信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。
银行业对信息科技的高度依赖,决定了信息系统的安全性、可靠性和有效性对维系整个银行业的安全和金融体系的稳定具有至关重要的作用。
银监会党委对信息科技风险监管工作高度重视,刘明康主席多次召开专项工作会议并做出重要批示和指示,明确要求着力推进信息科技风险监管。
银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念,把信息科技风险纳入银行总体风险监管框架,切实加强制度建设和风险监控,确保银行业信息系统安全稳定。
在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的新形势下,银监会坚持“风险为本”的监管原则,提出了信息科技风险功能性监管的新思路,突出“制度先行”,完善监管框架,借鉴和吸收国际先进标准及业界最佳实践,不断丰富信息科技风险监管方式方法,制定了一系列的监管规范,结合奥运保障开展现场检查,并针对性地发出有关风险提示,建立非现场监管体系和监管评级体系,从而构建了信息科技风险监管的基础框架,全面展开信息科技风险的监管工作。
按照郭利根副主席提出的“集成资源,形成信息科技风险监管合力”和“搞好规划,全面加强信息科技风险监管制度建设”要求,银监会强化机制建设、优化资源配置,整合科技人力资源,集中全国银监会系统科技骨干力量,在北京成立了信息科技监管“专项工作组”,又在上海、深圳两地分别成立信息科技风险监管工作室,按照统一调度、统一指挥、统一培训的工作原则,制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举,形成了矩阵式的监管工作模式,快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。
《手册》的编写得到了各方的大力支持。
上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、1天津、重庆、大连、云南、贵州银监局派出精锐技术骨干,参加《手册》编写工作;银监会各部门与各银监局提出了许多宝贵意见;上海银监局为编写工作提供了大量支持和保障工作。
银监会信息系统现场检查指南
信息系统现场检查指南(架构)为了规范和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统现场检查的质量,特制定本指南。
一、检查目的(一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平;(二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息系统风险管理岗位责任制度和监督落实情况,评价其计算机安全管理水平;(三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平;(四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,促进银行业金融机构完善内控环境,控制和化解操作风险;(五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。
二、检查要点(一)检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。
(二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。
(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。
(四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规范化,确保信息系统安全可靠的运行。
商业银行信息科技风险管理指引(银监发2009[1].19)
![商业银行信息科技风险管理指引(银监发2009[1].19)](https://img.taocdn.com/s3/m/23dd58669b6648d7c1c7460a.png)
--------------------------------------------------------------------------------商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握a主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
商业银行信息科技风险现场检查指南-精选.
商业银行信息科技风险现场检查指南目录第一部分概述....................... 错误!未指定书签。
1. 指南说明.......................... 错误!未指定书签。
1.1 目的及适用范围............... 错误!未指定书签。
1.2 编写原则..................... 错误!未指定书签。
1.3 指南框架..................... 错误!未指定书签。
第二部分科技管理................... 错误!未指定书签。
2. 信息科技治理...................... 错误!未指定书签。
2.1 董事会及高级管理层........... 错误!未指定书签。
检查项1 :董事会 ............ 错误!未指定书签。
检查项2 :信息科技管理委员会错误!未指定书签。
检查项3 :首席信息官() .... 错误!未指定书签。
2.2 信息科技部门................. 错误!未指定书签。
检查项1 :信息科技部门 ...... 错误!未指定书签。
检查项2 :信息科技战略规划 .. 错误!未指定书签。
2.3 信息科技风险管理部门......... 错误!未指定书签。
检查项1 :信息科技风险管理部门错误!未指定书签。
2.4 信息科技风险审计部门......... 错误!未指定书签。
检查项1 :信息科技风险审计部门错误!未指定书签。
2.5 知识产权保护和信息披露....... 错误!未指定书签。
检查项1 :知识产权保护 ...... 错误!未指定书签。
检查项2 :信息披露 .......... 错误!未指定书签。
3. 信息科技风险管理.................. 错误!未指定书签。
3.1 风险识别和评估............... 错误!未指定书签。
检查项1 :风险管理策略 ...... 错误!未指定书签。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南一、引言随着信息科技的快速发展,商业银行在业务运营中越来越依赖于信息系统。
信息科技的进步为商业银行提供了便利,但同时也带来了一系列的风险。
为了确保商业银行的信息科技系统安全可靠,提高其风险管理水平,现场检查是必不可少的环节。
本文将基于商业银行信息科技风险现场检查的实践经验,提出一份指南,帮助检查员顺利完成检查任务。
二、信息科技风险管理框架商业银行应建立完善的信息科技风险管理框架,包括明确的组织结构、责任分工、流程和制度。
检查员在现场检查中,应对该框架进行全面的评估和检查。
1.组织结构和责任分工:检查员应查看商业银行的信息科技部门组织结构,并核实是否合理。
同时,要评估各个部门的职责和权限划分是否清晰。
2.流程和制度:检查员应检查商业银行是否建立了科学合理的信息科技风险管理流程和制度。
这些流程和制度应包括风险评估、风险控制、风险监测和风险应对等方面的内容。
三、信息系统安全2.访问控制:检查员应检查商业银行是否建立了完备的访问控制机制,包括身份认证、授权和审计功能。
同时,还需评估银行内部员工和外部用户访问系统的安全措施。
3.网络安全:检查员应评估商业银行的网络安全措施,包括防火墙、入侵检测系统、网络监控等。
要确保这些安全措施能及时发现并阻止网络攻击。
四、数据安全商业银行的数据是其最重要的资产之一,保护数据安全是商业银行信息科技风险管理的关键要素。
现场检查中,检查员应特别关注以下方面:1.数据备份和恢复:检查员应检查商业银行的数据备份和恢复机制。
要评估备份的频率、备份的存储地点、恢复的可行性和有效性等情况。
2.数据加密和传输:检查员应评估商业银行的数据加密和传输机制。
要确保敏感数据在传输过程中得到合理的加密保护,防止数据泄露和篡改。
3.数据安全管理:检查员应评估商业银行的数据安全管理制度,包括数据分类、访问控制、加密和销毁等。
要确保这些制度的有效执行和合规性。
五、风险监测和应对1.事件监测和报告:检查员应检查商业银行的事件监测和报告机制。
银监会:商业银行现场检查手册
银监会:商业银行现场检查手册商业银行现场检查手册第一章现场检查基本原理第一节现场检查的目的和作用第二节现场检查的原则第三节现场检查的内容第四节现场检查的种类与方法第五节现场检查抽样第六节现场检查的法律事务第二章现场检查操作流程第一节现场检查准备阶段第二节现场检查实施阶段第三节现场检查报告阶段第四节现场检查处理阶段第五节检查档案整理阶段第三章货款及表内其他授信业务第一节综述第二节授信管理第三节货款风险分类第四节货款集中、关联企业货款和关联交易第五节公司授信第六节贸易融资第七节房地产货款第八节银团货款第九节项目融资第十节个人授信业务第四章非信资产第一节综述第二节存放第三节拆放同业第四节证券和投资第五节固定资产第六节无形及递延资产第七节应收款第八节现金及银行存款第九节抵债资产第五章存款及表内其他负债第一节综述第二节存款第三节同业存放、拆入第四节证券融资第五节其他负债第六章财务管理第一节综述第二节财务计划检查第三节营业收入、成本与费用第四节资产减值准备第五节利润及利润分配第七章中间业务第一节综述第二节票据业务第三节结售汇业务第四节信用证第五节银行卡业务第六节代理业务第七节银行承兑汇票第八节保函与备用信用证第九节货款承诺第十节交易类中间业务第十一节基金托管业务第十二节咨询顾问业务第十三节代保管业务第八章电子银行第一节综述第二节网上银行业务第三节电话银行业务第四节手机银行业务第五节ATM、POS机业务第九章资金清算第一节综述第二节同业往来第三节联行往来业务第四节国际清算第十章资本充足率第一节综述第二节资本充足率检查第三节监管评级监管措施第十一章流动性管理第一节综述第二节流动性检查第三节流动性评价及监管措施第十二章市场风险第一节综述第二节市场风险管理法第三节市场风险检查程序与方法第十三章对商业银行境外机构的现场检查第一节跨境监管概述第二节我国对商业银行跨境监管的规定第三节商业银行对镜外机构的管理第四节商业银行境外机构第五节与其他监管当局的信息交流与合作第十四章公司治理第一节综述第二节法人治理机制第三节高级管理层评价第四节对分支机构和相关机构的管理第五节内部审计第六节经营战略与政策第十五章内部控制第一节综述第二节资产负债管理第三节管理信息系统与会计系统第四节人力资源管理第五节计算机系统管理第六节安全保卫第十六章商业银行风险评估第一节综述第二节银行面临的八类风险评估第三节银行风险管理水平评估第四节银行整体风险综合评估第十七章商业银行风险评级第一节综述第二节ROCA评级体系各要素评估第三节CAMELS评级体系各要素评估第四节压力测试第五节风险预警第六节监管措施附件:现场检查前问卷后记。
银监会《商业银行信息科技风险管理指引》
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险.第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力.第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制.(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知
中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2009.03.03•【文号】银监发[2009]19号•【施行日期】2009.03.03•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知(银监发[2009]19号)各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,各省级农村信用联社,银监会直接监管的信托公司、财务公司、金融租赁公司,中央国债登记结算公司:现将《商业银行信息科技风险管理指引》印发给你们,请认真执行。
请各银监局将本通知转发至辖内各银行业金融机构(含外资银行)。
中国银行业监督管理委员会二00九年三月三日商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
前言
信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。
银行业对信息科技的高度依赖,决定了信息系统的安全性、可靠性和有效性对维系整个银行业的安全和金融体系的稳定具有至关重要的作用。
银监会党委对信息科技风险监管工作高度重视,刘明康主席多次召开专项工作会议并做出重要批示和指示,明确要求着力推进信息科技风险监管。
银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念,把信息科技风险纳入银行总体风险监管框架,切实加强制度建设和风险监控,确保银行业信息系统安全稳定。
在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的新形势下,银监会坚持“风险为本”的监管原则,提出了信息科技风险功能性监管的新思路,突出“制度先行”,完善监管框架,借鉴和吸收国际先进标准及业界最佳实践,不断丰富信息科技风险监管方式方法,制定了一系列的监管规范,结合奥运保障开展现场检查,并针对性地发出有关风险提示,建立非现场监管体系和监管评级体系,从而构建了信息科技风险监管的基础框架,全面展开信息科技风险的监管工作。
按照郭利根副主席提出的“集成资源,形成信息科技风险监管合力”和“搞好规划,全面加强信息科技风险监管制度建设”要求,银监会强化机制建设、优化资源配置,整合科技人力资源,集中全国银监会系统科技骨干力量,在北京成立了信息科技监管“专项工作组”,又在上海、深圳两地分别成立信息科技风险监管工作室,按照统一调度、统一指挥、统一培训的工作原则,制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举,形成了矩阵式的监管工作模式,快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。
《手册》的编写得到了各方的大力支持。
上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、
1
天津、重庆、大连、云南、贵州银监局派出精锐技术骨干,参加《手册》编写工作;银监会各部门与各银监局提出了许多宝贵意见;上海银监局为编写工作提供了大量支持和保障工作。
整个《手册》内容融合了银监系统内信息科技人员的经验和智慧,汇聚了银监会各部门与各银监局的宝贵意见和建议,应属于银监会系统及科技人员共同努力的成果和结晶。
在此,向所有参与工作的单位和个人致以诚挚的谢意!
2
编写人员
林丽朱永扬怿卫飞李丹骆絮飞邹伟房世晖崔维琪朱斌冯业伟叶照乔昱瑞纪奀武齐兴利吴瑞麟张伟张惠芳李晓东陆阳陆翔陈云龙陈宏宇周嘉弘郝海峰杨中华崔晨盛于南游琨谭杨史文明何禹靖雪晶怿美东怿殿南刘楠李鹏李海波包龙殷有超
3
目录
第一部分概述 (2)
1. 银行信息科技风险及其监管 (2)
1.1 银行信息科技风险 (2)
1.2 银行信息科技风险特点 (2)
1.3 风险成因分析 (3)
1.4 信息科技风险监管意义 (4)
2. 现场检查一般流程 (5)
2.1 现场检查准备阶段 (5)
2.2 现场检查实施阶段 (7)
2.3 现场检查后续阶段 (8)
3. 常用检查方法 (9)
第二部分科技管理 (11)
4. 科技治理 (11)
4.1 董事会及高管层 (11)
检查项1 :董事会和高级管理层 (11)
4.2 信息科技工作的管理机构 (12)
检查项1 :全行信息科技工作的管理机构 (12)
4.3 信息科技部门 (13)
检查项1 :信息科技部门 (13)
4.4 信息科技战略规划 (15)
检查项1 :信息科技战略规划 (15)
4.5 信息科技风险管理部门 (15)
检查项1 :信息科技风险管理部门 (15)
4.6 信息科技风险审计 (16)
4
检查项1 :信息科技风险审计机制 (16)
4.7 知识产权保护 (17)
检查项1 :敉识产权制度 (17)
4.8 信息披露 (17)
检查项1 :信息披露 (17)
5. 连续性管理 (18)
5.1 信息系统连续性组织 (18)
检查项1:系统连续性管理组织 (18)
检查项2:系统连续性管理组织职责 (19)
检查项3:系统连续性计划编制、维护 (20)
检查项4:系统连续性计划编制、维护职责 (20)
检查项5:系统连续性计划执行组织 (20)
检查项6:系统连续性计划执行组织职责 (21)
检查项7:人员变动管理 (22)
5.2 信息系统连续性计划 (22)
检查项1:系统连续性计划 (22)
检查项2:测试及持续更新 (24)
检查项3:信息系统连续性计划管理 (25)
检查项4:系统连续性计划培训 (25)
检查项5:系统连续性计划审计 (25)
6. 应急管理 (26)
6.1 应急组织 (26)
检查项1:应急管理团队 (26)
检查项2:应急管理职责 (27)
检查项3:应急管理制度 (27)
6.2 应急预案 (27)
检查项1:应急预案制订 (27)
5
检查项2:应急预案内容 (28)
检查项3:应急预案更新 (29)
检查项4:外包服务应急 (29)
检查项5:应急培训 (29)
6.3 应急演练 (30)
检查项1:应急演练前 (30)
检查项2:应急演练过程 (30)
检查项3:应急演练后 (30)
6.4 应急响应 (31)
检查项1:应急响应流程 (31)
检查项3:应急事件报告 (32)
检查项4:与第三方沟通 (32)
检查项5 :向新闻媒体通报制度 (32)
检查项6:应急处置总结 (33)
6.5 应急保障 (33)
检查项1:人员保障 (33)
检查项2:物质保障 (33)
检查项3:技术保障 (34)
检查项4:沟通保障 (34)
6.6 持续改进 (34)
检查项1:应急事件评估、改进 (34)
检查项2:应急响应评估 (35)
检查项3:应急管理评估 (35)
检查项4:纳入全面风险管理机制 (35)
7. 信息系统安全管理 (35)
7.1 安全管理组织 (36)
检查项1:管理目标 (36)
6
检查项2:人员风险 (36)
7.2 安全管理制度 (37)
检查项1:规章制度 (37)
检查项2:制度合规 (38)
查项3:制度执行 (38)
检查项4:宣传和教育培训 (39)
检查项5:事件响应和处理 (39)
8. 外包管理 (40)
8.1 服务外包管理制度 (40)
检查项1:服务外包管理制度 (40)
检查项2:对重要外包项目评估 (41)
检查项3:外包安全保密措施 (41)
8.2 服务外包管理风险评估 (41)
检查项1:对服务外包商评估 (41)
检查项2:对服务外包商审查 (42)
8.3 服务外包审批 (42)
检查项1:服务外包审批流程 (42)
8.4 服务外包应急响应 (42)
检查项1:服务外包应急计划 (42)
检查项2:服务外包商联络机制 (43)
检查项3:服务外包应急演练 (43)
8.5 外包合同 (43)
检查项1:外包合同 (43)
检查项2:服务外包商访问权限 (44)
检查项3:外包服务法律风险 (44)
8.6 服务外包文档的完备性 (45)
检查项1:服务外包文档 (45)
7。