法律知识点(信息科技、业务连续性、外包风险管理)

法律法规知识点汇编

（第十四期）

目录

※商业银行信息科技风险管理指引 (1)

※商业银行业务连续性监管指引 (3)

※银行业金融机构外包风险管理指引 (7)

2014年9月24日

商业银行信息科技风险管理指引

※信息科技风险：是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。(第4条)

多选题：信息科技风险，是指信息科技在商业银行运用过程中，由于下列哪些情形产生的操作、法律和声誉等风险？（ABCD）

A.自然因素

B.人为因素

C.技术漏洞

D.管理缺陷

※信息科技风险管理的第一责任人：商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引贯彻落实。（第6条）

判断题：商业银行董事会是信息科技风险管理的第一责任人。（×）

※信息科技风险管理策略：商业银行应制定全面的信息科技风险管理策略，包括但不限于下述领域：(一)信息分级与保护。(二)信息系统开发、测试和维护。(三)信息科技运行和维护。(四)访问控制。(五)物理安全。(六)人员安全。(七)业务连续性计划与应急处置。(第15条)

多选题：商业银行应制定全面的信息科技风险管理策略，包括但不限于以下哪些领域？（ABCD）

A.信息分级与保护

B.信息科技运行和维护

C.物理安全

D. 业务连续性计划与应急处置

※岗位制约：商业银行应将信息科技运行与系统开发和维护分离，确保信息科技部门内部的岗位制约；对数据中心的岗位和职责做出明确规定。(第41条)

单选题：商业银行应将（ A ）分离，确保信息科技部门内部的岗位制约；对数据中心的岗位和职责做出明确规定。

A. 信息科技运行与系统开发和维护

B. 系统管理和网络

C. 数据库管理系统和网络

D. 硬件管理和软件管理

※大规模系统开发的部门参与：商业银行在进行大规模系统开发时，应要求信息科技风险管理部门和内部审计部门参与，保证系统开发符合本银行信息科技风险管理标准。(第66条) 单选题：商业银行在进行大规模系统开发时，应要求信息科技风险管理部门和( A )参与，保证系统开发符合本银行信息科技风险管理标准。

A.内部审计部

B.财务部

C.业务部

D.监察部

商业银行业务连续性监管指引

※业务连续性管理定义：是指商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。（第2条）

※重要业务运营中断事件：是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括：(一)信息技术故障：信息系统技术故障、配套设施故障；(二)外部服务中断：第三方无法合作或提供服务等；(三)人为破坏：黑客攻击、恐怖袭击等；(四)自然灾害：火灾、雷击、海啸、地震、重大疫情等。（第4条）

※业务连续性管理承担最终责任：董(理)事会是商业银行业务连续性生管理的决策机构，对业务连续性管理承担最终责任。（第10条）

※业务连续性管理的部门职责：商业银行应当明确业务连续性管理执行部门，包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条线重要业务应急响应与恢复；信息科技部门负责信息技术应急响应与恢复。(第14条)

多选题：商业银行应当明确业务连续性管理执行部门，包括业务条线部门与信息科技部门。业务条线部门负责( ABCD )，负

责业务条线重要业务应急响应与恢复。

A.风险评估

B.业务影响分析

C.确定重要业务恢复目标和策略

D.负责重要业务应急响应与恢复

※重要业务恢复时间：原则上，重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时。(第25条) 单选题：根据业务连续性管理要求，原则上重要业务恢复时间目标不得大于( A )。

A.4小时

B.2小时

C.1小时

D.0.5小时

※业务连续性计划演练频率：商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，也应当开展业务连续性计划的专项演练。（第49条）

单选题：商业银行应当至少每（ D ）对全部重要业务开展一次业务连续性计划演练。

A.半年

B.一年

C.二年

D.三年

※新产品开发的业务连续性管理：商业银行在开发新业务产品时，应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的，应当在上线前制定业务连续性计划并实施演练。(第56条)

单选题：商业银行在开发新业务产品时，应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的，应当

在( A )制定业务连续性计划并实施演练。

A.上线前

B.上线中

C.上线后

D.维护时

※运营中断事件分级（节选）：银监会及其派出机构对银行业运营中断事件进行分级。当运营中断事件同时满足多个级别的定级条件时，按最高级别确定事件等级。

(一)特别重大运营中断事件(Ⅰ级)

1.重要信息系统服务中断，或重要数据损毁、丢失、泄露，造成经济秩序混乱或重大经济损失等特别严重损害的事件；

2.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达3个小时(含)以上的事件；

3．在业务服务时段导致单家金融机构两个(含)以上省业务无法正常开展达3个小时(含)以上，或一个省业务无法正常开展达6个小时(含)以上的事件；

4.业务服务时段以外，故障或事件救治未果、可能产生上述1至3类事件的事件。

(二)重大运营中断事件(Ⅱ级)

1.重要信息系统服务中断，或重要数据损毁、丢失、泄露，对银行或客户利益造成严重损害的事件；

2.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达半个小时(含)以上的事件；

3.在业务服务时段导致单家金融机构两个(含)以上省业务无法正常开展达半个小时(含)以上，或一个省业务无法正常开展达3个小时(含)以上的事件；