商业银行信息科技监管评级定量和定性标准

信息科技风险（Iｎforｍation Technｏｌogy Risk) （一)信息科技治理（１5分）

1、信息科技治理组织架构(8分)

(１）就是否确立董事会、高管层信息科技管理职责.

(2）就是否建立完善得信息科技管理制度体系。

(３)就是否建立完善合规得信息科技“三道防线”以及信息科技三道防线得实际运作。

（4)就是否明确信息科技治理作为重要组成部分纳入公司

治理.

评分原则:（1）考察董事会、高管层得信息科技治理职责就是否完整，信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议得此项最高得分4分。

(2）考察就是否建立信息科技管理制度得起草、发布、修订等工作流程，信息科技管理制度就是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。

（３）考察就是否明确信息科技管理、信息科技风险管理与信息科技风险监督得“三道防线”职责，“三道防线”部门设置就是否合规;就是否设立信息科技管理委员会，成员来自高管层、信息科技部门与主要业务部门,并定期向高管层汇报工作。

(4)考察商业银行就是否以正式制度（文件）明确信息科技

治理应作为重要组成部分纳入公司治理；就是否制定了信息科技治理运作效果考核指标并定期进行评价。

２、信息科技对业务发展得专业支持与匹配度（7分）

(1）信息科技战略与业务发展战略得匹配度.

（2）信息科技人员、信息科技投入等与业务发展得匹配度(定量）。

(3）董事会、高管层等决策人员就是否具备足够得信息科技专业知识能力。

评分原则：（１）考察就是否建立明确、可实施得信息科技发展战略;就是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略得协调一致机制.

（2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平就是否匹配,低于同质同类商业银行平均值得此项酌情扣分；考察商业银行信息系统建设与业务发展得支撑与匹配程度。

（3）考察具有信息科技管理经验得高管人员在董事会、决策层就是否具有一定得占比；就是否设立首席信息官,直接向行长汇报,并参与重大决策，首席信息官就是否具有一定得信息科技专业背景或从业经验。

(二）信息科技风险管理（１２分)

1、信息科技风险管理体系(6分)

(１)就是否将信息科技风险纳入全面风险管理体系，建立完善得信息科技风险管理组织架构.

(2）就是否建立信息科技风险管理策略与管理制度。

评分原则：(1)考察就是否将信息科技风险纳入全面风险管理,明确风险管理部门统一负责信息科技风险管理。信息科技风险管理职责仍在信息科技部门得此项得分不超过3分。

(2)考察风险管理部门中就是否配备一定数量专职信息科技风险管理人员,信息科技风险管理人员就是否具备相关专业背景与技能。

（3）考察就是否建立信息科技风险管理策略与管理制度，管理制度就是否完善,覆盖就是否全面。

２、信息科技风险管理日常运作（６分)

（1）信息科技风险评估流程与方法就是否完善.

(２）就是否建立常态化得风险识别与监测机制.

（３）信息科技风险评估结果就是否得到合理运用。

评分原则：(１）考察就是否建立信息科技风险识别、风险分析、风险处置等工作机制;信息科技风险评级与风险分析工作中就是否开展业务影响分析工作,就是否进行风险级别划分，并

有风险级别划分标准.

(２）就是否建立信息科技风险监测关键风险点指标,风险监测指标就是否定期评审、改进,风险监测结果就是否向有关部门及高管层报告等。

(3）就是否建立信息科技风险损失评估及处置机制。

（三）信息科技审计(10分）

1、信息科技风险监督体系（4分）

就是否建立信息科技审计体系,以及信息科技审计体系得合理性。

评分原则：(1）商业银行就是否将信息科技审计工作纳入内部审计部门工作范畴;商业银行内部审计制度就是否纳入信息科技审计相关内容,包括审计依据、标准与方法等内容；就是否定期开展信息科技审计活动；发生信息科技重大突发事件时，内审部门就是否介入调查；就是否对信息科技重大项目实施财务审计。

（2）考察信息科技内审工作独立性与汇报路线得合理性.

2、信息科技内外部审计（６分）

(1)信息科技审计覆盖率.（定量）

（2)信息科技审计整改率。(定量)

(3）信息科技专项审计占比。(定量)

评分原则:（1）考察近三年信息科技审计覆盖率，包括信息科技内外审一级分支机构覆盖率及重要信息系统覆盖率.

【一级分支机构覆盖率】=【已开展全面信息科技审计得一级分支机构数】／【一级分支机构总数】*10０％

【重要信息系统覆盖率】=【已开展信息科技审计得数据中心、重要信息系统、重大项目数】／【数据中心、重要信息系统、重大项目总数】*100％

（2）考察近两年信息科技内（外）审整改率。

【信息科技内（外)审整改率】=【信息科技内（外）审报告中发现问题已完成整改得问题数量】／【信息科技内（外）审报告中发现问题得总与】*１00％

(3）考察近两年内（外）审工作中信息科技专项审计占比。

【信息科技专项审计占比】=【信息科技专项审计次数】／【全部审计次数】＊100％

(四）信息安全管理(１4分)

1、信息安全管理体系（8分)

（1)就是否建立信息安全管理体系。

（2)信息安全管理体系得完整性。

(３)电子银行信息安全管理体系得完整性。

评分原则:（1）考察就是否建立合理得信息安全管理组织架构及制度体系.

（２）考察信息安全管理体系就是否完整,安全保障措施就是否完善。

物理安全：中心机房及重点区域就是否有环境监测、巡检、报警等安全防控措施,环境监测覆盖范围就是否完备等。

网络安全：就是否制定完善得网络安全访问控制策略，就是否定期进行网络安全漏洞扫描，就是否有完备得网络边界策略等。

数据安全:就是否有重要或敏感数据得定义标准与访问控制策略，就是否制定数据备份与恢复策略,就是否有生产数据提取、使用、销毁等环节得安全防护措施。

终端安全：就是否有终端安全防控措施，桌面终端就是否安装病毒防护及防火墙软件，病毒库就是否定期更新,桌面终端移动介质使用管理,设备管理,行为审计等.

访问控制:就是否建立物理与逻辑访问控制策略；中心机房等重要区域门禁系统认证方式及进出访问安全控制策略就是否

合理;重要信息系统逻辑访问控制策略就是否完善，包括权限管理、密码策略等。

(3)电子银行信息安全管理体系得完整性：电子银行系统就是否定期开展渗透性测试；就是否有客户端安全防控措施;就是否有强制双因素身份认证；就是否有客户敏感信息防护措施等.