中国银监会办公厅关于印发《商业银行数据中心监管指引》的通知
中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知
中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2009.03.03•【文号】银监发[2009]19号•【施行日期】2009.03.03•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知(银监发[2009]19号)各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,各省级农村信用联社,银监会直接监管的信托公司、财务公司、金融租赁公司,中央国债登记结算公司:现将《商业银行信息科技风险管理指引》印发给你们,请认真执行。
请各银监局将本通知转发至辖内各银行业金融机构(含外资银行)。
中国银行业监督管理委员会二00九年三月三日商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
《商业银行数据中心监管指引》(银监办发﹝2010﹞114号)
中国银行业监督管理委员会办公厅关于印发《商业银行数据中心监管指引》的通知银监办发[2010]114号各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:为加强商业银行数据中心风险管理,保障数据中心安全、可靠、稳定运行,加强灾难恢复管理,提高业务连续性水平,现将《商业银行数据中心监管指引》印发给你们,请遵照执行。
请各银监局将本通知转发至辖内相关银行业金融机构。
中国银行业监督管理委员会办公厅二0一0年四月二十日商业银行数据中心监管指引第一章总则第一条为加强商业银行数据中心风险管理,保障数据中心安全、可靠、稳定运行,提高商业银行业务连续性水平,根据《中华人民共和国银行业监督管理法》及《中华人民共和国商业银行法》制定本指引。
第二条在中华人民共和国境内设立的国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银行适用本指引。
中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本指引执行。
第三条以下术语适用于本指引:(一)本指引所称数据中心包括生产中心和灾难备份中心(以下简称灾备中心)。
(二)本指引所称生产中心是指商业银行对全行业务、客户和管理等重要信息进行集中存储、处理和维护,具备专用场所,为业务运营及管理提供信息科技支撑服务的组织。
(三)本指引所称灾备中心是指商业银行为保障其业务连续性,在生产中心故障、停顿或瘫疾后,能够接替生产中心运行,具备专用场所,进行数据处理和支持重要业务持续运行的组织。
(四)本指引所称灾备中心同城模式是指灾备中心与生产中心位于同一地理区域,一般距离数十公里,可防范火灾、建筑物破坏、电力或通信系统中断等事件。
灾备中心异地模式是指灾备中心与生产中心处于不同地理区域,一般距离在数百公里以上,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。
(五)本指引所称重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。
商业银行数据中心监管指引
(五)应统一调度各项运维任务,协调和解决各项运维任务冲突,妥善记录和保存运维 任务调度过程。 (六)应制定验收交接标准及流程,规范重要信息系统投产验收管理。加强版本控制, 防范因软件版本、操作文档等不一致产生的风险。 (七)应根据商业银行总体风险控制策略及应急管理要求,从基础设施、网络、信息系 统等不同方面分别制定应急预案,并及时修订应急预案,定期进行演练,保证其有效性。 (八)应集中监控重要信息系统和通信网络运行状态。采用监控管理工具,实时监控重 要信息系统和通信网络的运行状况,通过监测、采集、分析和调优,提升生产系统运行的可 靠性、稳定性和可用性。监控记录应满足故障定位、诊断及事后审计等要求。 第二十七条 数据中心应建立信息安全管理规范,保证重要信息的机密性、完整性和可 用性,包括: (一)应设立专门的信息安全管理部门或岗位,制定安全管理制度和实施计划,定期对 信息安全策略、制度和流程的执行情况进行检查和报告。 (二) 应建立和落实人员安全管理制度, 明确信息安全管理职责; 通过安全教育与培训, 提高人员的安全意识和技能;建立重要岗位人员备份制度和监督制约机制。 (三)应加强信息资产管理,识别信息资产并建立责任制,根据信息资产重要性实施分 类控制和分级保护,防范信息资产生成、使用和处置过程中的风险。 (四)应建立和落实物理环境安全管理制度,明确安全区域、规范区域访问管理,减少 未授权访问所造成的风险。 (五)应建立操作安全管理制度,制定操作规程文档,规范信息系统监控、日常维护和 批处理操作等过程。 (六)应建立数据安全管理制度,规范数据的产生、获取、存储、传输、分发、备份、
震、地质灾害高发区域。 第二十一条 数据中心基础设施建设应以满足重要信息系统运行高可用性和高可靠性要 求、保障业务连续性为目标,应满足但不限于以下要求: (一)建筑物结构,如层高、承重、抗震等,应满足专用机房建设要求。 (二)应根据使用要求划分功能区域,各功能区域原则上相对独立。 (三)应配备不间断电源、应急发电设施等以满足信息技术设备连续运行的要求。 (四)通信线路、供电、机房专用空调等基础设施应具备冗余能力,进行冗余配置,消 除单点隐患。 (五)机房区域应采用气体消防和自动消防预警系统,内部通道设置、装饰材料等应满 足消防要求,并通过消防验收。 (六)应采取防雷接地、防磁、防水、防盗、防鼠虫害等保护措施。 (七)应采用环保节能技术,降低能耗,提高效率。 第二十二条 数据中心安防与基础设施保障应满足但不限于以下要求: (一) 各功能区域应根据使用功能划分安全控制级别, 不同级别区域采用独立的出入控 制设备,并集中监控,各区域出入口及重要位置应采用视频监控,监控记录保存时间应满足 亭件分析、监督审计的需要。 (二)应具备机房环境监控系统,对基础设施设备、机房环境状况、安防系统状况进行 7x24 小时实时监测,监测记录保存时间应满足故障诊断、事后审计的需要。 (三)每年至少开展一次针对基础设施的安全评估,对基础设施的可用性和可靠性、运 维管理流程以及人员的安全意识等方面进行检查,及时发现安全隐患并落实整改。 第二十三条 数据中心应来用两家或多家通信运营商线路互为备份。互为备份的通信线 路不得经过同一路由节点。
中国银行业监督管理委员会关于印发《银行业金融机构信息系统风险管理指引》的通知
中国银行业监督管理委员会关于印发《银行业金融机构信息系统风险管理指引》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2006.08.07•【文号】银监发[2006]63号•【施行日期】2006.08.07•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文*注:本篇法规已被《中国银行业监督管理委员会关于印发<商业银行信息科技风险管理指引>的通知》(发布日期:2009年3月3日实施日期:2009年3月3日)废止中国银行业监督管理委员会关于印发《银行业金融机构信息系统风险管理指引》的通知(银监发[2006]63号)各银监局,各政策性银行、国有商业银行、股份制商业银行,各金融资产管理公司,各省(区、市)农村信用社联合社、国家邮政局邮政储汇局,银监会直接监管的信托投资公司、财务公司、金融租赁公司,中央国债登记结算公司,建银投资公司:现将《银行业金融机构信息系统风险管理指引》印发给你们,请认真执行。
请各银监局将本通知转发至辖内各银行业金融机构。
中国银行业监督管理委员会二00六年八月七日银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
《商业银行数据中心监管指引》-2010
《商业银行数据中心监管指引》-2010⒈引言⑴目的本指引旨在对商业银行数据中心的监管进行规范,保护客户信息和银行数据的安全性和完整性,促进银行业务的稳定发展。
⑵背景随着信息化时代的到来,商业银行数据中心的重要性日益凸显。
数据中心的安全与稳定运行直接影响整个银行业务的正常运转。
因此,对商业银行数据中心的监管变得尤为重要。
⒉数据中心建设⑴设计规划①数据中心布局设计②数据中心设备选型③数据中心物理安全措施⑵网络与通信①数据中心网络架构②网络安全措施与防护③通信设备选择与配置⑶机房环境管理①温度与湿度控制②供电与备用电源③消防安全设施⒊数据安全管理⑴数据备份与恢复①备份策略与周期②数据恢复测试与验证⑵访问控制①身份验证与权限管理②访问日志与审计⑶数据加密与传输安全①加密算法与密钥管理②数据传输安全措施⒋风险管理⑴数据中心风险评估①风险识别与分类②风险评估与分析方法⑵应急响应与恢复①应急响应计划制定②应急演练与恢复策略⒌监管要求与义务⑴监督与检查①监管机构监督部门职责②数据中心监督检查事项⑵报告与信息披露①数据中心运行报告②安全事件通报要求⒍附件本文档涉及的附件详见附件1、附件2等。
⒎法律名词及注释⑴数据中心:商业银行机构用于存储、管理和处理数据的物理或虚拟场所。
⑵监管机构:国家相关金融监管部门。
⑶数据备份:将数据复制到另一个存储介质或位置,以便在数据丢失或损坏时进行恢复。
⑷加密算法:将数据转化为密文的数学算法。
⑸身份验证:确认用户身份的过程。
⑹应急响应计划:为应对突发事件而事先制定的方案。
《商业银行数据中心监管指引》
商业银行数据中心监管指引第一章总则第一条为加强商业银行数据中心风险管理,保障数据中心安全、可靠、稳定运行,提高商业银行业务连续性水平,根据《中华人民共和国银行业监督管理法》及《中华人民共和国商业银行法》制定本指引。
第二条在中华人民共和国境内设立的国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银行适用本指引。
中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本指引执行。
第三条以下术语适用于本指引:(一)本指引所称数据中心包括生产中心和灾难备份中心(以下简称灾备中心)。
(二)本指引所称生产中心是指商业银行对全行业务、客户和管理等重要信息进行集中存储、处理和维护,具备专用场所,为业务运营及管理提供信息科技支撑服务的组织。
(三)本指引所称灾备中心是指商业银行为保障其业务连续性,在生产中心故障、停顿或瘫疾后,能够接替生产中心运行,具备专用场所,进行数据处理和支持重要业务持续运行的组织。
(四)本指引所称灾备中心同城模式是指灾备中心与生产中心位于同一地理区域,一般距离数十公里,可防范火灾、建筑物破坏、电力或通信系统中断等事件。
灾备中心异地模式是指灾备中心与生产中心处于不同地理区域,一般距离在数百公里以上,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。
(五)本指引所称重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。
包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条《信息安全技术信息系统灾难恢复规范》(GB/T20988-2007)中的条款通过本指引的引用而成为本指引的条款。
第二章设立与变更第五条商业银行应于取得金融许可证后两年内,设立生产中心;生产中心设立后两年内,设立灾备中心。
《商业银行数据中心监管指引》-2010
《商业银行数据中心监管指引》-2010 商业银行数据中心监管指引第一章:指引目的与背景1.1 目的1.2 背景与依据第二章:数据中心监管范围和要求2.1 数据中心定义2.2 应用系统监管2.2.1 业务权限管理2.2.2 安全措施要求2.2.3 审计要求2.3 网络基础设施监管2.3.1 数据传输安全2.3.2 网络拓扑监管2.3.3 网络设备安全2.4 机房基础设施监管2.4.1 建筑条件及安全性要求 2.4.2 供电与供应监管2.4.3 空调与温湿度监管2.4.4 火灾防护措施2.5 数据备份与恢复监管2.5.1 数据备份要求2.5.2 数据恢复测试第三章:数据安全保障3.1 安全评估与监管制度3.1.1 安全评估流程3.1.2 监管制度建设3.2 数据访问控制3.2.1 用户认证要求3.2.2 数据加密要求3.2.3 数据传输安全性3.3 安全事件监控与应急响应 3.3.1 安全事件监控要求3.3.2 安全事件应急响应机制第四章:数据中心审计4.1 内部审计要求4.2 外部审计要求第五章:附件附件一、数据中心监管要求检查表附件二、数据中心备份计划示例注释:1:商业银行:指符合国家相关法律法规要求的经营商业银行业务的金融机构。
2:数据中心:指商业银行用于存储、处理和管理数据的设施,包括机房、网络设备、服务器、存储设备等。
3:应用系统:指商业银行用于开展各项业务的软件系统,如核心银行系统、风险管理系统等。
本文档涉及附件:1:数据中心监管要求检查表2:数据中心备份计划示例本文所涉及的法律名词及注释:1:商业银行法:《中华人民共和国商业银行法》2:个人信息保护法:《中华人民共和国个人信息保护法》 3:数据安全法:《中华人民共和国数据安全法》。
银保监发〔2018〕22号 银行业金融机构数据治理指引
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局,机关各部门,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构数据治理指引》印发给你们,请遵照执行。
2018年5月21日(此件发至银监分局和地方法人银行业金融机构)银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
第三条数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
第四条银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。
第五条银行业金融机构数据治理应当遵循以下基本原则:(一)全覆盖原则。
数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。
(二)匹配性原则。
数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。
(三)持续性原则。
数据治理应当持续开展,建立长效机制。
(四)有效性原则。
数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。
第六条银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。
法定代表人或主要负责人对监管数据质量承担最终责任。
中国银监会关于印发商业银行业务连续性监管指引的通知(银监发【2011】104号)
商业银行业务连续性监管指引中国银行业监督管理委员会关于印发商业银行业务连续性监管指引的通知(银监发[2011]104号)各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规,制定本指引。
第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第七条商业银行应当建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
第九条商业银行应当将业务连续性管理融入到企业文化中,使其成为银行(二)明确各部门业务连续性管理职责,明确报告路线,审批重要业务恢复目标和恢复策略,督促各部门履行管理职责,确保业务连续性管理体系正常运行;(三)确保配置足够的资源保障业务连续性管理的实施。
第十二条商业银行应当设立由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理委员会,统筹协调、落实各项管理职责。
中国银行业监督管理委员会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知
中国银行业监督管理委员会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.12.02•【文号】银监办发[2014]272号•【施行日期】2014.12.02•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知银监办发[2014]272号各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:根据《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号),为进一步做好对非驻场集中式外包服务的风险评估,加强监督管理,防范银行业区域性、系统性信息科技风险,现就开展非驻场集中式外包服务监管评估工作有关事项通知如下:一、本通知中监管评估是指根据非驻场集中式外包服务商接受风险监督的主动申请,银监会及其派出机构对非驻场集中式外包服务开展信息科技风险监测、现场核查、评级和处置的过程。
二、村镇银行信息系统交由发起行管理、农村金融机构信息系统交由省级农村信用联社管理、外资银行信息系统交由母行管理的,不纳入本通知监管评估范围。
三、纳入监管评估的非驻场集中式外包服务类型包括:(一)机房运营服务,包括机房基础设施运维,设备运维、虚拟化资源服务等计算机基础设施服务。
(二)应用系统托管服务,包括:1.数据中心(灾备中心)整体运维及系统管理;2.应用系统服务,包括核心银行、电子银行、银行卡、网站、电子商城等业务处理系统开发与运维;3.金融自助设备整体运维,即自助设备(含多媒体终端)产权为外包服务商所有或由外包服务商向第三方租赁,监控、运维管理由外包商独立完成。
银监会施行监管新政规范商业银行数据中心
内, 设立生产 中 t 《 引》 , 指 2 ( 所称 的数
推进国库信息化建设 争创世界一流
近年来 , 以财 税 库银 横 向联 网 系统 、 国库 会计 数据 集 中系统 和 国库 管 理 信 息系统 三 大系统 为基 础 的国库 业务 管理 系统 的架构 已初 步形成 。这 ~ “ 三 位一体 ” 的科 技 发展模 式 , 为将我 国 国库建 设成 为安 全 、 高效 并 与社 会主 义市 场经 济相 适应 的现 代 化、 科学 化 的新型 国库 提供 了强有 力的支 持 与保 障。
统在全 国各省市的全面覆盖 ,不断 提高业务量 。到 2 1 , 02年 通过横 向
联 网 系统 办 理 的 税 收业 务 占全 部税
达 目的地国库 ,县级国库收纳的 中
央预算收入报解至总库 的时间大大
缩短 ;国库管理信息系统则可以将
各级国库和企业纳税的相关数据统
一
收业务的 比例要达到 8% ; 紧落 0 抓 实海关联 网、 财库联 网对账 、 口退 出
息 系统的建设 提升 了国库服 务经济
与社会发展 、服务政府和财税等部 门、 服务财政 与货币政策的协调 、 服
务 百姓 与 民生 的水 平 。财 税 库 银 横
采集 、 存储 、 整理 、 加工 和展示 , 从
税联网和 中国银联一点接入 等试点
工作 , 扩大银行卡缴税范围。 三是加
而进一步提升 了国库的信息服务水 平。 不仅如此 , 信息化建设 还直接推
恢 复管 理 、 包 管理 、 督 管 理等 方 外 监
备支持业务不间断服务的能力。 另外 ,总资产规模 1 0 亿 元 0 0 人民币 以上且跨省设立分支机构 的 社应设 立异地模式灾备 中心 ,重要 信息 系统灾难恢复能力应达 到《信
银保监发〔2018〕22号 银行业金融机构数据治理指引
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局,机关各部门,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构数据治理指引》印发给你们,请遵照执行。
2018年5月21日(此件发至银监分局和地方法人银行业金融机构)银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
第三条数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
第四条银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。
第五条银行业金融机构数据治理应当遵循以下基本原则:(一)全覆盖原则。
数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。
(二)匹配性原则。
数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。
(三)持续性原则。
数据治理应当持续开展,建立长效机制。
(四)有效性原则。
数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。
第六条银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。
法定代表人或主要负责人对监管数据质量承担最终责任。
中国银监会关于印发商业银行业务连续性监管指引的通知(银监发【2011】104号)
商业银行业务连续性监管指引中国银行业监督管理委员会关于印发商业银行业务连续性监管指引的通知(银监发[2011]104号)各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规,制定本指引。
第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第七条商业银行应当建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
第九条商业银行应当将业务连续性管理融入到企业文化中,使其成为银行(二)明确各部门业务连续性管理职责,明确报告路线,审批重要业务恢复目标和恢复策略,督促各部门履行管理职责,确保业务连续性管理体系正常运行;(三)确保配置足够的资源保障业务连续性管理的实施。
第十二条商业银行应当设立由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理委员会,统筹协调、落实各项管理职责。
银保监发〔2018〕22号 银行业金融机构数据治理指引
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局,机关各部门,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构数据治理指引》印发给你们,请遵照执行。
2018年5月21日(此件发至银监分局和地方法人银行业金融机构)银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
第三条数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
第四条银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。
第五条银行业金融机构数据治理应当遵循以下基本原则:(一)全覆盖原则。
数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。
(二)匹配性原则。
数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。
(三)持续性原则。
数据治理应当持续开展,建立长效机制。
(四)有效性原则。
数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。
第六条银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。
法定代表人或主要负责人对监管数据质量承担最终责任。
银行业金融机构高级管理人员法律法规知识试卷
银行业金融机构高级管理人员法律法规知识竞赛试卷(初赛)机构:姓名:总分:一、填空题(每个空1分,共40分)1、不动产物权的设立、变更、转让和消灭,应当依照法律规定()。
动产物权的设立和转让,应当依照法律规定( )。
2、《会计法》规定,单位负责人对本单位的( )的真实性、完整性负责。
3、商业银行销售理财产品,应当遵循公平、公开、公正原则,充分( ),保护客户合法权益,不得对客户进行误导销售。
4、单位定期存单只能以()为目的开立和使用。
5、商业银行信息科技风险管理“三道防线":()、( )、().6、《银行业重要信息系统突发事件应急管理规范(试行)》要求,商业银行应每年至少进行()次重要信息系统专项灾备切换演练,每()年至少进行一次重要信息系统全面灾备切换演练,以真实业务接管为目标,验证灾备系统有效接管生产系统及安全回切的能力。
7、《商业银行数据中心监管指引》定义,商业银行为保障其业务连续性,在生产中心故障、停顿或瘫痪后,能够接替生产中心运行,具备专用场所,进行数据处理和支持重要业务持续运行的组织称为( ).8、《银行业金融机构重要信息系统投产及变更管理办法》要求,银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险,并形成()。
9、《商业银行业务连续性监管指引》规定,(())是商业银行业务连续性管理的决策机构,对业务连续性管理承担最终责任。
10、根据《商业银行业务连续性监管指引》中有关规定,商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失,明确业务连续性管理重点,根据业务重要程度实现差异化管理,确定各业务恢复优先顺序和恢复指标.商业银行应当至少每()年开展一次全面业务影响分析,并形成业务影响分析报告.11、《银行业重要信息系统突发事件应急管理规范》规定,应急演练结束后,银行业金融机构应组织编写应急演练情况总结报告,大型或重要的应急演练总结报告应提交给( ).12、国务院银行业监督管理机构依照法律、行政法规规定的条件和程序,审查批准银行业金融机构的设立、()、()以及( ).13、商业银行从事代理保险业务的销售人员,应当符合中国保监会规定的保险销售从业资格条件,取得中国保监会颁发的(《》)。
商业银行数据中心监管指引
商业银行数据中心监管指引商业银行数据中心监管指引1:引言1.1 目的1.2 适用范围1.3 定义2:数据中心基础设施2.1 机房和环境2.1.1 机房位置和布局要求2.1.2 冷却和空调系统要求2.1.3 供电系统要求2.2 硬件设备2.2.1 服务器要求2.2.2 网络设备要求2.2.3 存储设备要求3:数据安全与保护3.1 访问控制3.1.1 身份认证要求3.1.2 访问权限管理要求3.2 数据备份与恢复3.2.1 数据备份策略要求3.2.2 数据恢复测试要求3.3 灾难恢复3.3.1 灾难恢复计划要求3.3.2 灾难恢复测试要求4:网络与通信安全4.1 网络拓扑与隔离4.1.1 内外网隔离要求4.1.2 数据中心网络架构要求 4.2 网络安全监管4.2.1 安全设备要求4.2.2 网络入侵检测和防御要求5:业务连续性管理5.1 业务连续性计划5.1.1 情景分析和评估要求5.1.2 预备和应对措施要求5.2 业务连续性测试5.2.1 测试计划要求5.2.2 测试结果分析和整改要求6:监管与合规要求6.1 监控与审计6.1.1 审计日志要求6.1.2 监控工具和报告要求6.2 数据隐私与保护6.2.1 客户数据保护要求6.2.2 数据处理与共享要求7:附件附件A - 数据中心位置平面图附件B - 机房温度和湿度监测报告附件C - 网络设备清单法律名词及注释:1:数据中心:指商业银行集中存储和处理业务数据的场所。
2:机房:指数据中心内专门用于设备放置和运行的区域。
3:身份认证:指确认用户身份和权限的过程。
4:灾难恢复:指在发生灾难性事件后,快速恢复业务正常运行的过程。
5:内外网隔离:指将内部网络与外部网络进行物理或逻辑隔离。
6:业务连续性管理:指确保在意外事件发生时,银行业务能够持续运行的管理活动。
7:审计日志:指记录系统和操作活动的详细日志。
8:数据隐私与保护:指保护客户数据免遭非法获取和滥用的措施。
银监发[2009]19号-商业银行信息科技风险管理系统指引
![银监发[2009]19号-商业银行信息科技风险管理系统指引](https://img.taocdn.com/s3/m/354a0d0a31b765ce050814cb.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
银保监发〔2018〕22号 银行业金融机构数据治理指引
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局,机关各部门,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构数据治理指引》印发给你们,请遵照执行。
2018年5月21日(此件发至银监分局和地方法人银行业金融机构)银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
第三条数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
第四条银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。
第五条银行业金融机构数据治理应当遵循以下基本原则:(一)全覆盖原则。
数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。
(二)匹配性原则。
数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。
(三)持续性原则。
数据治理应当持续开展,建立长效机制。
(四)有效性原则。
数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。
第六条银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。
法定代表人或主要负责人对监管数据质量承担最终责任。
银行业非驻场集中式外包自查报告(多篇)
银行业非驻场集中式外包自查报告(多篇)第1篇:银行非驻场集中式外包自查报告关于信息科技非驻场集中式外包的自查报告为进一步强化信息科技非驻场集中式外包风险管理,保护关键基础设施和信息安全,防范信息科技外包集中度风险,根据银监办发〔X〕X号文件《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》,我行对涉及外包项目进行了自查,现将结果汇报如下:按照通知要求,我行电子银行部和内控合规部联合行动,从外包项目的尽职调查、合同管理、安全管理、外包服务中断与终止、监督检查管理等流程环节的五个方面进行了较全面检查和风险排查。
自查情况反映,该行的信息科技非驻场集中式外包项目风险管理基本落实了监管要求,无自定的信息科技非驻场集中式外包业务项目。
在基础设施维护服务的外包风管方面,虽然合同由省联社签订,但我行对外包服务商尽职调查,重点放在监督检查管理方面。
在近几年来开展内控工作中,外包业务检查内容涵盖非驻场集中式外包服务,有效地保护关键基础设施和信息安全。
下一步,我行将按照银监会的要求,明确管理责任,强化内部控制,建立外包风险的管理体系,健全外包管理组织架构,完善制度规范,加强对科技外包服务的全生命周期管理,制定外包应急预案,保障在突发事件情况下的运营秩序。
同时,积极参与对非驻场集中式外包、业务外包等重点外包服务活动的联合检查,凝聚行业力量,整体推动外包风险防范和外包管理水平的提升。
第2篇:银行业信息科技非驻场集中式外包服务纳入监管评估基本条件附件1:银行业信息科技非驻场集中式外包服务纳入监管评估基本条件一、申请将外包服务纳入监管评估的外包服务商应具备以下条件:(一) 为中华人民共和国境内注册的独立法人实体,具有固定的办公场所,软件开发服务类企业注册资本500万(含)以上,其他企业注册资本和实收资本1000万元(含)以上,注册成立时间3年(含)以上;(二) 具有良好的股权治理结构,并能有效控制外包服务中的国别风险;(三) 公司治理良好,近三年财务经营状况良好;(四) 为银行业金融机构提供信息科技外包服务3年(含)以上,且至少为3家(含)以上银行业金融机构提供服务;(五) 社会声誉良好,近两年内未发生因管理失责引发的达到《银行业信息系统突发事件应急管理规范》中两起(含)以上信息系统突发事件、无违规行为和重大案件发生;(六) 具有健全的组织架构、有效的风险治理架构和专职的信息科技风险管理团队,定期开展风险评估和审计工作;(七) 具备与所承担服务范围和业务规模相适应的服务管1 理体系,具有较为完善的服务质量、信息安全、业务连续性、运行维护等管理体系和资质认证;(八) 具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求,承担外包服务的场地应当设置在中国境内;(九) 银行类机构的信息科技监管评级最近连续两年为2级(含)以上;(十) 银行业科技外包合作组织会员单位优先。