第十四期法律知识点(信息科技、业务连续性、外包风险管理系统)
浅析《银行保险机构信息科技外包风险监管办法》
浅析《银行保险机构信息科技外包风险监管办法》一、前言2021年12月30日,中国银行保险监督管理委员会(以下简称“银保监会”)印发了《银行保险机构信息科技外包风险监管办法》(银保监办发〔2021〕141号)(以下简称“《办法》”或“2021”),于公布之日起实施。
《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号,以下简称“《监管指引》”或“2013”)、《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号,以下简称“2014”)、《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》(银监办发〔2014〕272号,以下同时简称“2014”)于《办法》实施之日同时废止。
《办法》的出台,将对银行保险机构及银保监会及其派出机构监管的其他金融机构的信息科技外包活动产生重大影响。
本文旨在对《办法》的重点修订内容以新旧法规对比的方式进行解读,以飨读者。
二、新旧法规对比(一)整体结构与《监管指引》相比,《办法》的内容结构有所调整,篇幅有精简,从信息科技外包的总体治理、外包准入环节、监控评价环节以及与信息科技外包相关的风险管控方面提出监管(二)扩大适用范围相较于《监管指引》,《办法》第二条明确将保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司纳入适用范围,并要求银保监会及其派出机构监管的其他(三)信息科技外包的释义《办法》中,信息科技外包的管理范围有所扩展,包括了银行保险机构与其他第三方合(五)信息科技外包实施原则《办法》中,实施信息科技外包的原则内容有所增加,进一步强调不得将信息科技管理责任、网络安全主体责任外包、加强重要数据与个人信息保护、强调事中监督等。
与《监管指引》相比,《办法》未明确列举可以进行信息科技外包的业务类型,而是采用负面清单的形式明确不得进行信息科技外包的范围:《办法》明确要求银行保险机构在进行信息科技外包时应将“不得将信息科技管理责任、网络安全主体责任进行外包”作为原则之一;信息科技外包治理方面,《办法》明确规定银行保险机构应当明确不能外包的信息科技职能。
银监发[2009]19号-商业银行信息科技风险管理系统指引
![银监发[2009]19号-商业银行信息科技风险管理系统指引](https://img.taocdn.com/s3/m/67b1b06f03d8ce2f006623a3.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
业务连续性管理与风险
业务连续性与风险标准的角色在世界范围内提高标准的地位行动纲要关于外界风险的认识近几年有了更多的认识波动,再加上由公司管理需求提供的监管动力,已经有效的将风险管理提上公司管理的日程。
更改风险管理的态度也将直接导致出现一个全盘的积极的态度来管理风险的出现。
在这个演化过程中,业务持续性管理已经成为一个组织风险规避战略日益重要的组成部分。
发展中的情报安全性和灾难管理领域,有效的业务持续性管理可以降低一个组织在业务工作过程和操作中发生风险事件的机率,并提供最艰难情况下的声誉恢复能力。
然而缺乏方法的一致性,混乱的定义和条款,以及对业务持续性管理战略无力的标准检查程序,都已经阻碍了它的发展,这就导致需要一个正式的标准。
基于行之有效的方法基础,BS25999业务持续性管理确立了有效的业务连续性管理过程、原则和术语。
风险管理在一个企业议程中不断上升反映了一个组织包括公众和个人在内,他们关于风险预测和需要有效的风险规避管理不断增强的认知。
备受瞩目的时间,诸如安然,911,卡塔里娜飓风,英国夏季的洪水,……一些事件在调整结构实施的影响方面,如萨班斯法案,巴塞尔第二和特恩布尔报告,已经在风险管理方面形成有力的态度和达成更大的会议共识。
更加具有前瞻性的组织在他们的风险管理和发展策略方面越来越具有前瞻性,而不是简单的依赖部门的参数设置。
与此同时,监管机构在立场方面发生了巨大变化,更加趋向基于方法管理的原则化,此举也让组织自身在风险管理战略方面承担更大的责任。
茱莉亚。
格雷厄姆,DLA的首席风险官和BS31100执业守则风险管理委员会主席,认为监管机构的这一态度转变是非常积极的一步,因为这意味着一个组织能够按照他们自己的环境,性质,规模,以及他们业务延伸的复杂度和管辖权来进行风险管理。
风险标准2008年2月,BSI发布了BS31100风险管理实践的的第二稿。
这个标准旨在为风险管理提供一个指导在原则,模型,框架和程序方面,以便辅助组织实现其风险管理的目标。
业务风险连续性风险管理办法
业务连续性和风险管理实施办法共13页(包括封面)目录一、目的 2二、定义 2三、流程 3四、范围 5五、影响业务连续性的风险管理 5六、重要电话号码 6七、重大变更时对客户的通知 6八、业务连续性计划(BCP) 8业务连续性和风险管理实施办法一、目的为了使公司有效控制业务实施中遇到的各种风险,从而实现保证公司和客户利益,保证公司业绩持续增长。
二、定义2.1 风险管理计划风险管理计划是由生产部门和质量部门定期编制和维护。
该计划明确定义风险管理行动范围、目的,风险管理要求、风险等级评估标准等等。
2.2 风险管理登记表风险管理登记表用于记录识别出来的风险,针对已识别的风险提出降低风险的行动计划,通过定期回顾和评估,将高风险逐步降低到低风险,采取有效行动来避免风险发生,保证公司业务按既定计划高效运行。
2.3 业务连续性计划业务连续性计划是保证公司业务连续性管理的工具文件,它是由生产部门和质量部门负责定期编制和维护的文件。
该文件针对风险要识别出来的对公司存在潜在威胁的影响因素,并为恢复及有效响应能力的建立提供了一个机制,来保障公司和关键客户的利益。
业务连续性管理流程包括应急反应流程、事件决策及业务恢复、培训、监测、检查和计划维护等。
三、流程公司风险协调员组织建立公司级风险团队,重点识别并管理风险项目的缓解和消除行动,公司级风险团队成员分别来自于公司各个业务部门,他们将代表各个业务部门分析、提出风险项目。
公司风险管理团队负责识别、确认所有影响公司业务的风险项目,公司风险协调员负责组织将确认出来的风险项目记录到风险登记表中。
公司风险协调员分别组织管理团队对风险项目进行评估,按照风险评分标准确定风险优先级别,汇总出高风险项目提交公司经理层讨论认可。
风险项目的范围包括但不限于:∙产品, 设备、设施或人员(独苗岗位)∙替代设备备份∙关键过程或供应商风险∙计算机数据备份∙计算机信息系统备份使用如下标准进行评估评估初始 P (可能性) 和初始I(影响)和需要采取的行动“风险矩阵”图上的行和列分别表示初始 P(概率)和初始I(影响)。
银行从业-外包风险管理、信息科技风险管理
第40讲外包风险管理、信息科技风险管理第六节外包风险管理一、外包的定义及原则1.外包的定义•外包是指商业银行将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为•服务提供商包括独立第三方,商业银行母公司或其所属集团设立子公司、关联公司或附属机构。
•外包不能消灭风险,但通过将该业务的管理置于经验和技能更丰富的第三方手中,可以降低商业银行原有风险2.外包应遵循的原则•董事会和高级管理层承担外包活动的最终责任•制定外包的风险管理框架以及相关制度,并将其纳入全面风险管理体系•根据审慎经营原则制定其外包战略发展规划,确定与其风险管理水平相适宜的外包活动范围•对于战略管理、核心管理以及内部审计等职能不宜外包★★二、外包风险管理主要框架★★二、外包风险管理主要框架(一)商业银行外包管理组织结构1.董事会•审议批准外包的战略发展规划•审议批准外包的风险管理制度•审议批准本机构的外包范围及相关安排•定期审阅本机构外包活动相关报告•定期安排内部审计,确保审计范围涵盖所有的外包安排应用分析【真题演练·多选】下列关于董事会的说法正确的是( )。
A.审议批准外包的战略发展规划B.审议批准外包的风险管理制度C.制定外包风险管理的政策、操作流程和内控制度D.审议批准本机构的外包范围及相关安排E.确定外包业务的范围及相关安排【答案】ABD【解析】董事会负责审议批准外包的战略发展规划;审议批准外包的风险管理制度;审议批准本机构的外包范围及相关安排;定期审阅本机构外包活动相关报告;定期安排内部审计,确保审计范围涵盖所有的外包安排。
2.高级管理层•负责制定外包战略发展规划•制定外包风险管理的政策、操作流程和内控制度•确定外包业务的范围及相关安排•确定外包管理团队职责,并对其行为进行有效监督3.外包管理团队••向高级管理层提出有关外包活动发展和风险管控的意见和建议•在发现外包服务提供商业的业务活动存在缺陷时,采取及时有效的措施应用分析【真题演练·多选】商业银行外包管理的组织架构包括( )。
银行信息科技外包风险管理办法
`大洼恒丰村镇银行信息科技外包风险管理办法大洼恒丰村镇银行信息科技部变更履历*变化状态:C——创建,A——增加,M——修改,D——删除目录第一章总则 (4)第二章外包管理组织架构 (5)第三章信息科技外包战略及风险管理 (6)第一节信息科技外包战略 (6)第二节信息科技外包风险管理 (7)第四章信息科技外包管理 (8)第一节外包风险评估及准入 (8)第二节服务提供商尽职调查 (10)第三节外包服务合同及要求 (10)第四节外包服务安全管理 (12)第五节外包服务监控与评价 (13)第六节外包服务中断与终止 (14)第八章监督管理 (17)第九章附则 (18)第一章总则第一条为规我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。
第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第五条我行在实施信息科技外包时,不得将信息科技管理责任外包。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
2022-2023年初级银行从业资格之初级风险管理通关提分题库(考点梳理)
2022-2023年初级银行从业资格之初级风险管理通关提分题库(考点梳理)单选题(共100题)1、()是通过专业数据供应商所获得的数据,或者从税务、海关、公共服务提供部门、征信系统等记录客户经营和消费活动的机构获得的数据。
A.外部数据B.内部数据C.直接数据D.间接数据【答案】 A2、下列关于长期次级债务的说法,正确的是()。
A.长期次级债务是指存续期限至少在5年以上的次级债务B.经银监会认可,商业银行发行的有担保的并以银行资产为抵押或质押的长期次级债务工具可列入附属资本C.在到期日前最后5年,长期次级债务可计人附属资本的数量每年累计折扣为20%D.长期次级债务不能列入附属资本【答案】 C3、在单一客户限额管理中,客户所有者权益为2亿元,杠杆系数为0.8,则该客户最高债务承受额为()亿元。
A.2.5B.0.8C.2.0D.1.6【答案】 D4、下列关于商业银行风险管理模式经历的四个发展阶段的说法,不正确的是()。
A.资产风险管理模式阶段,商业银行的风险管理主要偏重于资产业务的风险管理,强调保证商业银行资产的流动性B.负债风险管理模式阶段,西方商业银行由积极性的主动负债变为被动负债C.资产负债风险管理模式阶段,重点强调对资产业务、负债业务风险的协调管理,通过匹配资产负债结构、经营目标互相替换和资产分散,实现总量平衡和风险控制D.全面风险管理模式阶段,金融衍生产品、金融工程学等一系列专业技术逐渐应用于商业银行的风险管理【答案】 B5、(2018年真题)下列方法中不适用于计量商业银行账簿利率风险的是()。
A.久期分析B.敏感性分析C.内部评级法D.缺口分析【答案】 C6、(2018年真题)从报告的使用者来看,风险报告可分为()。
A.内部报告和综合报告B.内部报告和外部报告C.综合报告和专题报告D.综合报告和外部报告【答案】 B7、工程工期是指()。
A.某项工作进行的速度B.工程施工进行的速度C.根据已批准的建设文件或签订的承发包合同,将工程项目的建设进度作出周密的安排,是把预期施工完成的工作按时间坐标序列表达出来的书面文件D.工程从开工至竣工所经历的时间【答案】 D8、可能造成重大经济损失,从而对流动性状况产生严重影响,如法国兴业银行交易员违规交易衍生产品造成巨额损失,不得不接受政府救助,这属于()对流动性的影响。
信息技术 安全技术 信息安全管理实用规则
I
10.9 电子商务服务......................................................... 44 10.10 监视................................................................ 46 11 访问控制................................................................. 50 11.1 访问控制的业务要求................................................... 50 11.2 用户访问管理......................................................... 51 11.3 用户职责............................................................. 53 11.4 网络访问控制......................................................... 55 11.5 操作系统访问控制..................................................... 58 11.6 应用和信息访问控制................................................... 62 11.7 移动计算和远程工作................................................... 63 12 信息系统获取、开发和维护................................................. 65 12.1 信息系统的安全要求................................................... 65 12.2 应用中的正确处理..................................................... 66 12.3 密码控制............................................................. 68 12.4 系统文件的安全....................................................... 70 12.5 开发和支持过程中的安全............................................... 72 12.6 技术脆弱性管理....................................................... 75 13 信息安全事件管理......................................................... 76 13.1 报告信息安全事态和弱点............................................... 76 13.2 信息安全事件和改进的管理............................................. 78 14 业务连续性管理........................................................... 80 14.1 业务连续性管理的信息安全方面......................................... 80 15 符合性................................................................... 84 15.1 符合法律要求......................................................... 84 15.2 符合安全策略和标准以及技术符合性 ..................................... 87 15.3 信息系统审核考虑..................................................... 88
信息科技风险审计方法及过程概述PPT(共 50张)
——摘自北京时代新威信息技术有限公司 《信息科技风险审计战略部署》
为帮助银行客户满足银监会《商业银行 信息科技风险审计管理指引》等相关监管要 求,同时进一步加强信息技术建设,全面强 化风险管理,越来越多的企业已经开始为多 家银行提供信息科技风险审计服务了,本文 就是北京时代新威信息技术有限公司(以下 简称时代新威)内部人员总结出的对于信息 科技风险审计的方法及过程。
信息科技运行战略必须要解决下述主要问题:
(1)保证构造合理的信息系统结构并将其实现。 (2)保证新系统开发方式可以满足企业长期维
护的目标。 (3)保证内部和外部采购的决策能得到认真的
考虑。 (4)决定信息技术运行是由一个部门管理还是
分成一系列小单元管理,按照小单元进行管 理虽然成本高,但是能为用户提供更好的服 务。
信息科技风险审计范围:
一)信息科技治理 二)信息科技风险管理 三)信息安全 四)信息系统开发测试和维护
五)信息科技运行 六)业务连续性管理 七)外包 八)内部审计 九)外部审计
信息科技风险审计之 ——信息科技治理
信息科技治理是指对现代信息技术如 通讯技术,信息处理技术、控制技术等的 科学管理活动和过程。时代新威的审计专 家指出,“它是以信息服务业务的开展与 社会的实际需要作为依据,组织好各种信 息技术的开发和应用,并对信息技术进行 标准化、规范化管理。”
信息科技治理战略必须要解决下述主要 问题:
(1)保证构造合理的信息系统结构并将其实现。
(2)保证新系统开发方式可以满足企业长期维护的目标。
(3)保证内部和外部采购的决策能得到认真的考虑。
(4)决定信息技术运行是由一个部门管理还是分成一系列 小单元管理,按照小单元进行管理虽然成本高,但是能为用 户提供更好的服务。
技术法规知识点总结大全
技术法规知识点总结大全技术法规是指国家针对特定行业或领域制定的强制性规定,目的是保障公众利益、促进行业健康发展和保障人民生命财产安全。
在不同的国家和地区,技术法规可能有所不同,但其基本目的都是为了保障公众利益和社会稳定。
在现代社会中,不同行业的技术法规已经成为了行业规范和标准,对企业和个人的生产和生活都有着重要的影响。
一、互联网和通信技术法规1. 数据安全和隐私保护:在互联网时代,数据安全和隐私保护愈发重要。
各国家纷纷出台了信息安全法规,要求企业和个人对用户数据进行保护,并且禁止非法获取和使用用户个人信息。
例如,欧盟的通用数据保护条例(GDPR)规定了在欧盟境内的企业和机构在处理个人数据方面的义务和责任,保障了用户的隐私权利。
2. 通信设备的规定:对于无线通信设备、电话通信设备等,各国家也有严格的规定,要求这些设备符合相应的安全标准和技术规范,以保障通信的质量和安全。
3. 互联网金融的监管:随着互联网的发展,互联网金融也愈发普遍。
对于这一新兴行业,各国家也出台了相关的技术法规,以监管互联网金融平台的运营和金融产品的销售,以避免金融风险和欺诈。
二、电子商务技术法规1. 电子商务平台的监管:对于电子商务平台来说,各国家都有相应的法规,要求平台对销售产品进行质量和真实性检验,保障消费者权益。
2. 电子支付的规定:随着电子支付的普及,各国家也出台了相关的法规,规定了电子支付的安全标准、使用规范和监管措施。
3. 电子合同和电子签名的法律地位:对于电子合同和电子签名,各国家也有相应的法规,规定了电子合同和电子签名的法律地位和规范。
三、物联网技术法规1. 物联网设备的标准和规定:对于物联网设备,各国家都有相应的标准和规定,要求设备符合安全标准、数据安全标准和通信标准。
2. 物联网数据保护的法规:随着物联网的发展,物联网数据的保护愈发重要。
对于物联网数据的保护,各国家也有相关的法规,要求企业和个人对物联网数据进行妥善保护和使用。
银行信息科技外包风险管理方案
银行信息科技外包风险管理方案首先很高兴能回答您的问题。
然后我来简单说一下银行信息科技外包风险管理方案,该方案主要针对银行在将部分信息技术服务或项目外包给第三方时可能出现的风险,采取一系列管理措施来降低和控制这些风险。
以下是一份简化版的风险管理方案:一、风险识别与评估1. 明确外包范围:首先确定要外包的信息科技服务内容,评估哪些环节可能产生风险,如数据安全、服务质量、法律合规、业务连续性等。
2. 外包商资质审查:对潜在外包服务商进行全面评估,包括但不限于公司的规模、信誉、技术水平、财务状况、信息安全认证等。
3. 风险因素分析:深入分析外包过程中可能面临的技术风险、操作风险、法律风险、声誉风险、市场风险等。
二、风险防控措施1. 合同约束:与外包商签订详尽的外包服务合同,明确双方责任义务,特别是关于数据保密、知识产权、服务水平协议(SLA)、违约赔偿等方面。
2. 服务监控:建立严格的服务质量和进度监控机制,确保外包服务按质按时完成,同时对外包商的操作进行实时或定期审计。
3. 数据安全管控:在外包过程中实施严格的数据加密、访问权限控制、数据备份和恢复等措施,防止敏感信息泄露。
4. 应急预案:制定完备的业务连续性计划和灾难恢复方案,以应对可能由于外包服务商故障导致的银行信息系统中断风险。
5. 法律法规遵从:确保外包服务遵守国家法律法规及监管政策,定期开展合规审查,对外包服务商进行法律知识培训。
三、风险监督与改进1. 建立风险报告制度:要求外包服务商定期提交工作报告、风险评估报告等,银行内部设立专门的外包风险管理团队负责监控和评估。
2. 持续改进:根据内外部审计结果和日常监控数据,不断调整和完善外包管理策略,促使外包服务商不断提升服务质量和技术能力。
3. 退出机制:设定清晰的外包服务终止条款和紧急替换方案,确保在出现重大风险事件时,银行有能力迅速切换服务提供商,保障业务不受严重影响。
希望我的回答能帮到你。
2009商业银行信息科技风险管理指引
中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知(银监发[2009]19号)各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,各省级农村信用联社,银监会直接监管的信托公司、财务公司、金融租赁公司,中央国债登记结算公司:现将《商业银行信息科技风险管理指引》印发给你们,请认真执行。
请各银监局将本通知转发至辖内各银行业金融机构(含外资银行)。
中国银行业监督管理委员会二00九年三月三日商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
银行保险机构信息科技外包有了风险监管办法。(1)
为规范银行保险机构的信息科技外包活动,加强信息科技外包风险管控,银保监会网站近日发布了《银行保险机构信息科技外包风险监管办法》(下称《办法》)。
《办法》适用于在中国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司等。
所谓信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
《办法》要求,银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
根据《办法》,银行保险机构在实施信息科技外包时应当坚持以下原则:不得将信息科技管理责任、网络安全主体责任外包;以不妨碍核心能力建设、积极掌握关键技术为导向;要保持外包风险、成本和效益的平衡;保障网络和信息安全,加强重要数据和个人信息保护;强调事前控制和事中监督;持续改进外包策略和风险管理措施。
在治理层面,《办法》要求,银行保险机构应指定信息科技外包风险主管部门,主要负责根据机构总体风险政策和外包战略,制定信息科技外包风险管理策略、制度和流程;统筹信息科技外包风险的识别、评估、监测、预警、报告及处置工作等。
《办法》指出,银行保险机构应当明确不能外包的信息科技职能。
涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。
同时,银行保险机构应当建立信息科技外包活动分类管理机制,针对不同类型的外包活动建立相应的管理和风控策略。
信息科技外包原则上划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等类别。
对于信息科技外包活动及相关服务提供商,银行保险机构应进行分级管理,对重要外包和一般外包采取差异化管控措施。
下列信息科技外包活动原则上属于重要外包:(一)信息科技工作整体外包,仅保留必要的管理团队和核心职能;(二)数据中心(机房)整体外包;(三)涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;(四)核心业务系统开发测试和运行维护的整体外包;(五)信息科技战略规划(含中长期规划)咨询外包;(六)安全运营的整体外包;(七)涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;(八)直接影响实时服务、影响账务准确性的重要信息系统外包;(九)其它对机构业务运营具有重要影响的外包。
2019年初级银行从业《法律法规》第十四章考点:操作风险管理
2019年初级银行从业《法律法规》第十四章考点:操作风险管理考点1操作风险的分类和管控手段(一)操作风险的分类根据操作风险引起原因的不同。
操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险。
1.人员因素人员因素主要是因银行内部员工发生内部欺诈、失职违规,以及因员工的知识/技能匮乏、关键人员流失、违反用工法、劳动力中断等造成损失或者不良影响的风险。
2.内部流程内部流程是指由于商业银行业务流程缺失、流程设计不合理,或者没有被严格执行而造成损失的风险,主要包括:财务/会计错误、文件/合同缺陷、产品设计缺陷、结算/支付错误、错误监控/报告、交易/定价错误六个方面。
3.系统因素系统因素是指由于IT系统开发不完善、系统(软硬件)失灵或瘫痪、系统功能漏洞等导致银行不能正常提供服务或业务中断.以及由于系统数据风险影响业务正常运行而导致损失的风险。
4.外部事件外部事件是指由于外部主观或客观的破坏性因素导致损失的风险。
外部事件引起银行损失的范围非常广泛,包括自然灾害、政治风险、外部欺诈、外部人员犯罪等。
根据引发操作风险的事件类型,可以分为七种表现形式:内部欺诈事件,外部欺诈事件,就业制度和工作场所安全事件,客户、产品和业务活动事件,实物资产的损坏事件,信息科技系统事件,执行、交割和流程管理事件。
(二)操作风险的管控手段1.操作风险管理工具操作风险管理工具和手段主要有操作风险与控制自评估(RCSA)、关键风险指标(KRI)、损失数据库(1D)等。
(1)操作风险与控制自评估。
主要包括风险评估和控制评价。
风险评估是根据一定的标准对操作风险的发生频率、影响程度进行判断。
并确定风险等级的过程:控制评价是根据一定标准对现有控制活动的质量和执行程度进行评价,确定控制效果等级,并对控制活动进行优化改进的过程。
(2)关键风险指标。
关键风险指标是指对业务活动和控制环境进行日常监控的指标体系,能够反映系统、流程、产品、人员等风险信息的变化情况,对于风险预警、日常监控具有重要作用。
法律风险防控培训指南
法律风险防控培训指南第1章法律风险防控基础概念 (4)1.1 法律风险的定义与分类 (4)1.1.1 定义 (4)1.1.2 分类 (4)1.2 法律风险防控的重要性 (4)1.3 法律风险防控的基本原则 (4)第2章企业经营中的法律风险识别 (5)2.1 企业内部法律风险识别 (5)2.1.1 组织结构风险 (5)2.1.2 员工行为风险 (5)2.1.3 合同管理风险 (5)2.1.4 知识产权风险 (5)2.1.5 信息安全风险 (5)2.2 企业外部法律风险识别 (5)2.2.1 法律法规变化风险 (5)2.2.2 市场竞争风险 (6)2.2.3 合作方风险 (6)2.2.4 诉讼与仲裁风险 (6)2.3 法律风险识别的方法与工具 (6)2.3.1 法律风险评估 (6)2.3.2 流程梳理与分析 (6)2.3.3 案例分析法 (6)2.3.4 法律顾问咨询 (6)2.3.5 信息管理系统 (6)第3章法律风险评估与度量 (6)3.1 法律风险评估方法 (6)3.1.1 风险识别 (6)3.1.2 风险分析 (7)3.1.3 风险评价 (7)3.2 法律风险度量指标 (7)3.3 法律风险评估流程 (7)第4章法律风险防控策略与措施 (8)4.1 法律风险防控策略制定 (8)4.1.1 风险识别与评估 (8)4.1.2 风险防控目标设定 (8)4.1.3 风险防控策略选择 (8)4.2 法律风险防范措施设计 (8)4.2.1 内部管理制度建设 (8)4.2.2 法律培训与宣传 (8)4.2.3 法律风险监测与预警 (8)4.3 法律风险应对策略与措施 (9)4.3.2 协商与调解 (9)4.3.3 诉讼与仲裁 (9)4.3.4 风险转移与保险 (9)第5章合同法律风险防控 (9)5.1 合同签订阶段的法律风险防控 (9)5.1.1 审查合同主体资格 (9)5.1.2 明确合同条款 (9)5.1.3 签订合同的形式与手续 (9)5.1.4 合同盖章与签字 (10)5.2 合同履行阶段的法律风险防控 (10)5.2.1 履行合同义务 (10)5.2.2 监督合同履行 (10)5.2.3 证据保全 (10)5.2.4 合同变更与补充 (10)5.3 合同解除与终止阶段的法律风险防控 (10)5.3.1 合同解除条件 (10)5.3.2 合同解除程序 (10)5.3.3 合同终止后的义务 (10)5.3.4 防范合同解除与终止的法律风险 (11)第6章知识产权法律风险防控 (11)6.1 知识产权保护策略 (11)6.1.1 知识产权类型及保护范围 (11)6.1.2 知识产权保护策略制定 (11)6.1.3 知识产权保护措施 (11)6.2 知识产权侵权风险识别与防控 (11)6.2.1 知识产权侵权行为识别 (11)6.2.2 知识产权侵权风险防控措施 (11)6.2.3 知识产权侵权纠纷处理 (11)6.3 知识产权许可与交易风险防控 (12)6.3.1 知识产权许可与交易风险识别 (12)6.3.2 知识产权许可与交易风险防控措施 (12)6.3.3 知识产权许可与交易合规管理 (12)第7章劳动法律风险防控 (12)7.1 招聘与录用环节的法律风险防控 (12)7.1.1 制定合法的招聘条件 (12)7.1.2 严格审查劳动者身份信息 (12)7.1.3 合法签订试用协议 (12)7.1.4 依法办理社会保险 (12)7.2 劳动合同管理法律风险防控 (12)7.2.1 签订书面劳动合同 (12)7.2.2 合规修改劳动合同 (13)7.2.3 依法解除和终止劳动合同 (13)7.2.4 妥善保管劳动合同 (13)7.3.1 建立健全劳动争议预防机制 (13)7.3.2 及时处理劳动争议 (13)7.3.3 强化劳动法律法规培训 (13)7.3.4 完善企业内部劳动争议调解机制 (13)第8章环保法律风险防控 (13)8.1 环保法律法规的了解与遵守 (13)8.1.1 环保法律法规概述 (13)8.1.2 环保法律法规的主要内容 (13)8.1.3 环保法律法规的遵守 (14)8.2 环保行政处罚风险防控 (14)8.2.1 环保行政处罚的种类及依据 (14)8.2.2 环保行政处罚的预防措施 (14)8.2.3 环保行政处罚的应对策略 (14)8.3 环保刑事法律风险防控 (14)8.3.1 环保刑事法律风险概述 (14)8.3.2 环保刑事法律风险的主要类型 (14)8.3.3 环保刑事法律风险防控措施 (14)8.3.4 环保刑事法律风险应对策略 (14)第9章企业税收法律风险防控 (14)9.1 税收合规管理 (15)9.1.1 合规意识的培养 (15)9.1.2 税收合规制度的建立与完善 (15)9.1.3 税收合规风险的识别与评估 (15)9.1.4 税收合规风险的防控措施 (15)9.2 税收筹划与风险防控 (15)9.2.1 税收筹划的原则 (15)9.2.2 税收筹划的方法 (15)9.2.3 税收筹划的风险防控 (15)9.3 税收争议处理与应对 (15)9.3.1 税收争议的识别与评估 (16)9.3.2 税收争议的协商解决 (16)9.3.3 税收争议的诉讼应对 (16)9.3.4 税收争议的预防与规避 (16)第10章企业合规管理体系建设 (16)10.1 企业合规管理体系的构建 (16)10.1.1 合规管理体系概述 (16)10.1.2 合规管理体系的构建原则 (16)10.1.3 合规管理体系构建步骤 (16)10.2 合规风险识别与评估 (17)10.2.1 合规风险识别 (17)10.2.2 合规风险评估 (17)10.2.3 合规风险应对策略 (17)10.3 合规管理制度与流程优化 (17)10.3.2 合规管理流程优化 (17)10.3.3 合规管理制度的执行与监督 (17)第1章法律风险防控基础概念1.1 法律风险的定义与分类1.1.1 定义法律风险,指的是在法律规定的框架内,由于法律环境变化、法律主体行为不当或法律关系变动等原因,可能导致企业、组织或个人承担法律责任、遭受损失的风险。
XX银行信息科技风险管理办法
XX银行信息科技风险管理办法第一章总则第一条为建立健全信息科技风险管理体系,防范信息科技风险,提高信息科技风险管理水平,根据《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》、《银行业金融机构信息科技外包风险管理指引》等法律法规和监管要求,结合本行实际,制定本办法。
第二条术语释义(一)信息科技。
系指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,包括进行信息科技治理,建立完整的管理组织架构,制定完善的管理制度和流程等。
(二)信息科技风险。
系指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷等产生的操作、法律和声誉等风险。
(三)信息科技风险管理。
系指通过建立信息科技风险的识别、评估、应对、监测和持续改进的方法和流程,实施具体的风险管控措施,将信息科技风险降低或控制在适当水平,增强银行核心竞争力和可持续发展能力。
第三条管理原则(一)协调统一原则。
本行信息科技风险管理充分考虑管理目标与业务发展、成本与效益之间的关系,协调统一确定全行信息科技风险管理策略。
(二)全面覆盖原则。
信息科技风险覆盖到全行各条线、部门、岗位、人员和业务环节,本行全体人员均是信息安全和风险防范工作的参与者和责任人。
(三)预防优先原则。
本行信息科技风险管理秉承事前预防重于事后控制、日常防控重于应急处理的原则,注重信息科技风险管理工作的主动性与前瞻性,降低风险发生的可能性。
(四)动态管理原则。
根据外部监管要求,本行业务及信息科技发展情况,在发展过程中动态调整、持续优化信息科技风险管理策略和工作机制。
第四条适用范围。
本办法适用于本行各级机构、部门、岗位人员及业务环节。
第二章职责分工第五条本行董事会是本行信息科技风险管理的最高决策机构。
其中,董事会风险管理委员会负责落实董事会信息科技风险管理职责,稽核部负责落实董事会审计监督职责。
银行业信息安全培训试题
信息安全培训试题一、单选1、信息科技风险指在商业银行运用过程中,由于自然因素、(B)、技术漏洞和管理缺陷产生的操作、法律和声誉等风险.A 制度落实B 技术标准C 人为因素D 不可抗力2、信息科技风险管理的第一责任人是(A)。
A 银行的法定代表人B 信息技术部负责人C CIOD 其他3、信息科技指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行(A),建立完整的管理组织架构,制订完善的管理制度和流程。
A 信息科技治理B 信息安全管理C系统持续性管理D 突发事件管理4、所有科技风险事件都可以归于信息系统连续性或(D)出问题的事件。
A 保密性B 完整性C 可用性D 安全性5、设立或指派一个特定部门负责信息科技(D)管理工作,该部门为信息科技突发事件应急响应小组的成员之一。
A 安全B 审计C 合规D 风险6、内部审计部门设立专门的信息科技风险审计岗位,负责(A)进行审计。
A 信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等B制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等C 信息科技审计制度和流程的实施,对信息科技整个生命周期和重大事件等D 信息科技审计制度和流程的实施,制订和执行信息科技审计计划等7、信息科技风险管理策略,包括但不限于下述领域(C)。
A信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全B信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置C信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置D 信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
法律法规知识点汇编(第十四期)目录※商业银行信息科技风险管理指引 (1)※商业银行业务连续性监管指引 (3)※银行业金融机构外包风险管理指引 (7)2014年9月24日商业银行信息科技风险管理指引※信息科技风险:是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
(第4条)多选题:信息科技风险,是指信息科技在商业银行运用过程中,由于下列哪些情形产生的操作、法律和声誉等风险?(ABCD)A.自然因素B.人为因素C.技术漏洞D.管理缺陷※信息科技风险管理的第一责任人:商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。
(第6条)判断题:商业银行董事会是信息科技风险管理的第一责任人。
(×)※信息科技风险管理策略:商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处置。
(第15条)多选题:商业银行应制定全面的信息科技风险管理策略,包括但不限于以下哪些领域?(ABCD)A.信息分级与保护B.信息科技运行和维护C.物理安全D. 业务连续性计划与应急处置※岗位制约:商业银行应将信息科技运行与系统开发和维护分离,确保信息科技部门部的岗位制约;对数据中心的岗位和职责做出明确规定。
(第41条)单选题:商业银行应将( A )分离,确保信息科技部门部的岗位制约;对数据中心的岗位和职责做出明确规定。
A. 信息科技运行与系统开发和维护B. 系统管理和网络C. 数据库管理系统和网络D. 硬件管理和软件管理※大规模系统开发的部门参与:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。
(第66条) 单选题:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和( A )参与,保证系统开发符合本银行信息科技风险管理标准。
A.部审计部B.财务部C.业务部D.监察部商业银行业务连续性监管指引※业务连续性管理定义:是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
(第2条)※重要业务运营中断事件:是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
(第4条)※业务连续性管理承担最终责任:董(理)事会是商业银行业务连续性生管理的决策机构,对业务连续性管理承担最终责任。
(第10条)※业务连续性管理的部门职责:商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。
业务条线部门负责风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复;信息科技部门负责信息技术应急响应与恢复。
(第14条)多选题:商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。
业务条线部门负责( ABCD ),负责业务条线重要业务应急响应与恢复。
A.风险评估B.业务影响分析C.确定重要业务恢复目标和策略D.负责重要业务应急响应与恢复※重要业务恢复时间:原则上,重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。
(第25条) 单选题:根据业务连续性管理要求,原则上重要业务恢复时间目标不得大于( A )。
A.4小时B.2小时C.1小时D.0.5小时※业务连续性计划演练频率:商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。
在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变化之前,也应当开展业务连续性计划的专项演练。
(第49条)单选题:商业银行应当至少每( D )对全部重要业务开展一次业务连续性计划演练。
A.半年B.一年C.二年D.三年※新产品开发的业务连续性管理:商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理畴。
对纳入业务连续性管理的,应当在上线前制定业务连续性计划并实施演练。
(第56条)单选题:商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理畴。
对纳入业务连续性管理的,应当在( A )制定业务连续性计划并实施演练。
A.上线前B.上线中C.上线后D.维护时※运营中断事件分级(节选):银监会及其派出机构对银行业运营中断事件进行分级。
当运营中断事件同时满足多个级别的定级条件时,按最高级别确定事件等级。
(一)特别重大运营中断事件(Ⅰ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失等特别严重损害的事件;2.在业务服务时段导致一个(含)以上省的多家金融机构业务无常开展达3个小时(含)以上的事件;3.在业务服务时段导致单家金融机构两个(含)以上省业务无常开展达3个小时(含)以上,或一个省业务无常开展达6个小时(含)以上的事件;4.业务服务时段以外,故障或事件救治未果、可能产生上述1至3类事件的事件。
(二)重大运营中断事件(Ⅱ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的事件;2.在业务服务时段导致一个(含)以上省的多家金融机构业务无常开展达半个小时(含)以上的事件;3.在业务服务时段导致单家金融机构两个(含)以上省业务无常开展达半个小时(含)以上,或一个省业务无常开展达3个小时(含)以上的事件;4.业务服务时段以外,故障或事件救治未果、可能产生上述1至3类事件的事件。
(三)较大运营中断事件(Ⅲ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的事件;2.在业务服务时段导致一个省(自治区、直辖市)业务无常开展达半个小时(含)以上的事件;3.业务服务时段以外,故障或事件救治未果、可能产生上述1至2类事件的事件。
(第79条)多选题:下列属于银行业特别重大运营中断事件(Ⅰ级)的是(ABCD )A.重要信息系统服务中断造成特别严重经济损失的。
B.在业务服务时段导致一个(含)以上省的多家金融机构业务无常开展达3个小时(含)以上的。
C.在业务服务时段导致单家金融机构两个以上省业务无常开展达3个小时(含)以上。
D.在业务服务时段导致单家金融机构一个省(自治区、直辖市)业务无常开展达6个小时(含)以上的事件。
※运营中断报告:按照属地监管原则,银监机构在商业银行运营中断事件发生后2小时,将事件及处置情况上报银监会处置工作小组。
(第80条)判断题:按照属地监管原则,银监机构在商业银行运营中断事件发生后2小时,应将事件及处置情况上报银监会处置工作小组。
(√)银行业金融机构外包风险管理指引※适用围:外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。
(第3条)单选题:《银行业金融机构外包风险管理指引》中的外包指银行业金融机构将原来由自身负责处理的某些业务活动委托给(B)进行持续处理的行为。
A. 服务制造商B. 服务提供商C. 服务销售商D. 服务维修商※外包活动的最终责任主体:银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。
(第4条)单选题:银行业金融机构的董事会和( C )应当承担外包活动的最终责任。
A.社员代表大会B.监事会C.高级管理层D.外包管理团队※关联关系调查:银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。
(第13条)。
单选题:银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行(D )的调查。
A.管理能力B.盈利能力C.技术实力D.关联关系※不宜外包的职能:银行业金融机构的战略管理、核心管理以及部审计等职能不宜外包。
(第7条)多选题:银行业金融机构下列哪些职能不宜外包(ABC )A.战略管理B.核心管理C.部审计D.绩效系统※外包服务提供商承诺事项:银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项:(一)定期通报外包活动的有关事项;(二)及时通报外包活动的突发性事件;(三)配合银行业金融机构接受银行业监督管理机构的检查;(四)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;(五)不得以银行业金融机构的名义开展活动;(六)银行业金融机构认为应当承诺的其他事项。
(第16条)多选题:银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项(ABCD)A. 定期通报外包活动的有关事项B. 配合银行业金融机构接受银行业监督管理机构的检查C. 保障客户信息的安全性D. 不得以银行业金融机构的名义开展活动※不得转包:银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。
(第18条)判断题:银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。
(√)。