第一篇:2006年度银行业金融机构信息科技风险评价审计要点
2006年度银行业金融机构信息科技风险评价审计要点
前 言
为防范银行业金融机构信息科技风险,保障信息系统运行和操作安全,根据中国银监会《银行业金融机构信息系统风险管理指引》,提出对银行业金融机构信息科技风险内部和外部审计要点,以切实加强银行业金融机构对战略性风险、操作风险、声誉和法律风险的管理
和控制,强化银行业金融机构作为信息安全第一责任人的责任,建立和完善信息科技风险管理机制,进行有针对性的分类监管。银行业金融机构的内部和外部审计机构应按评价审计要点确定审计目标和范围,制定审计计划、实施审计行为并提供审计报告。
一、信息科技治理和组织结构
目的:确立信息科技治理、组织结构和相关权责,使董事会、独立的审计部门和相关业务部门定期借助于真实业务数据和使用效果识别和明确信息系统操作的实施效果;在充分考虑银行业金融机构及其服务供应各方的变化的基础上,采取有针对性措施加强信息科技治理和组织结构。
(一)制度建设
1、信息科技管理制度体系的建设情况;
2.已发布实施的主要制度规章和管理办法; 3.管理制度规章和管理办法的制定、审批和修订流程.
(二)组织结构
1.信息科技管理的领导和决策机构设置,其职能和工作机制;
2.长期和短期信息科技发展规划的制定、审批和修订;
3.信息科技部门的设置、职责和相互关系,重点包括:系统开发、技术支持、系统操作维护和系统安全;
4.专门的技术风险管理部门设置,其职责和工作机制;
5.技术风险审计部门或岗位设置,审计频率以及问题纠正机制情况:
6.信息科技人员的专业素质和培训情况; 7.信息科技风险内部审计人员的素质和培训情况。
二、信息安全管理
目的:充分考虑与信息科技系统相关的风险,维护金融业务的正常操作:保证被认可的用户能够通过科学高效的系统架构、操作流程和管理措施迅速地访问所需信息;确保数据和系统的完整性、机密性和稳定性等。
(一)信息安全基本要求
l.信息安全工怍的基本原则、基本规划;
2.信息安全管理的流程、组织架构和职责分配;
3.信息安全的技术体系;
4.信息安全风险评估和分级控制;
5.信息安全的教育培训,包括法规教育、安全知识教育和职业道德教育等。
(二)逻辑访问的风险与控制
1.访问控制原则;
2.访问授权的授权与核准;
3.逻辑访问风险的定义、分类和应对措施;
4.访问控制软件的使用情况;
5.磁卡、钥匙和口令密码等重要身份凭证的管理。
(三)网络安全控制
1.内网的安全管理(Intranet的接入安全); 外网的安全管理(Internet和Extranet的接入安全);
3.加密技术应用和私钥的管理:
4.防火墙的设置、维护和管理: 5.入侵检测系统。
(四)环境的风险和控制 1.消防及防水设施: 2.不间断电源保护: 3.人员疏散计划和通道。
(五)物理访问的风险与控制 1.出入通道锁具的可靠性:
2.摄像监测设施、警报系统和警卫配备;
3.访客、外包服务人员、勤务人员出入管理规定; 4.入口数量控制;
5.计算机终端无人看管时的锁定; 6.敏感性设施及场所的标识隐匿; 7.文件柜的锁定和监控.
(六)软件的风险与控制 1.软件的病毒防护和管理; 2.软件的升级和补丁管理; 3.软件使用许可和授权管理。
三、信息科技项目开发和变更管理
目的:提高信息科技管理效率,实现信息科技对主体业务发展的有效支持保证信息科技与企业战略的协调一致。
(一)项目开发管理
1.项目管理的主要规章制度,包括:项目的审批流程,参与部门的职责划分、时间进度和财务预算管理、质量检测、风险评估等;
2.项目周期管理的涵盖范围,包括:立项、可行性分析、制定需求、方案设计、程序开发.系统测试、系统验收、使用培训、实施操作和维护等; 3.开发环境、测试环境、生产环境严格分离情况;
4.外部技术资源(包括软件、硬件、服务等)管理,包括申请、测评、购买(合同)、使用等。
(二)项目变更管理
1.变更管理的主要规章制度;
2.变更管理的审批授权机制和工作流程: 3.变更管理的登记、备案和存档;
(三)项目资料文档管理体系
1.项目资料文档的管理职责;
2.资料文档的起草和审批职责;
3.资料文档格式标准化规范:
4.程序资料文档的完整保存:程序设计和代码标准、程序描述程序设计资料、代码清单、源代码命名规则、系统操作指南等;
5.项目资科文档的完整保存:项目需求、可行性分析、阶段实施记录(启动、计划、设计、开发、测试、实施、后评价等)。
(四)系统设计开发外包缺陷风险管理
1.代码检查;
2.文档管理(包括:功能规则说明书,系统设计规则说明书,操作运行手册); 3.技术传送.
四、信息系统运行和操作管理
目的:保证当前和规划的信息科技营运体系能够充分满足董事会及高级管理层战略目标实现的需要,围绕战略目标合理配置人力资源、系统设备和管理资料,建立并完善适当的内部控制环境,并依照规范程序有效识别、测量、控制和化解操作风险。
(一)信息系统运行体系建设情况
1.信息系统运行体系的组织架构;
2.信息系统运行体系的总体规划、管理办法、技术标准和信息系统运行体系各组成部分的管理细则;
3.对于银行核心业务系统的持续性或阶段性监测:响应时间和处理量、系统承载能力、任务处理失败的次数、比例、类型和原因、系统使用的峰值和均值,系统使用趋向和容量等。
(二)操作环境控制和预防性维护情况
1.信息科技资产清单登记,包括计算机设备(供贷商和型号)、网络组件、应用和系统软件(品名、发布日期和版本号)、应用处理模式(实时处理、批赴理和延时处理);
2.对信息系统性能和容量的管理: 制定反映各类连接物理位置和交互关系的系统图和拓扑图;
4.信息系统环境控制和预防性维护应对方案,包括:不间断电源、不间断网络通信、物理环境适宜度控制(温度、灰尘.湿度等)、计算机连线、消防、防渗水、内部和服务商日常预防性维护的管理等。
(三)生产变更管理
l.变更管理的主要准则和规章制度:
2.变更管理的审批授权机制和工作流程:
3.变更管理的登记、备案和存档;
4.非计划性紧急变更的实施方案、备份和恢复。
(四).信息科技操作风险控制措施
1.信息系统操作风险控制机制和流程;
2.人力资源管理方案:对所有敏感性岗位人员的持续性背景检查,充分的职责分离和岗位轮换,有效避免人员过度流失的政策.有效的岗位职权中止规定;
3.信息资料档案管理:对信息输出文件的控制和管理(电子和纸质文档的调阅、打印、复制、存放、销毁等)。信息文件的传输管理(网络隔离、加密技术的应用).存储介质废弃和处理,内容的备份和恢复等。
(五)日志管理
1.对网络设备、防火墙、主机、数据库等系统产生的日志.实现100%的采集; 2.对采集的日志设定的保存期限; 3.日志资料的安全保护和调阅管理制度; 4.日志监控和管理的岗位和人员设置情况。
五、业务持续性规划
目的:制定并不断完善书面的信息科技系统风险应急处理方案,使信息科技风险管理涵盖整个机构的信息科技系统的管理、维护、重启、恢复等各环节。
(一)董事会和高级管理层在业务持续性规划中的职责和工作机制 1.规划与业务发展策略的一致性;
2.资源和专业人员的配备情况; 管理体系架构和风险控制策略制定情况; 4.商业保险的使用和覆盖情况;
(二).业务持续性规划的制定和实施
1.业务持续性规划的涵盖范围;
2.预测性的业务影响分析机制;
3.业务恢复的组织机构和应对措施;
4.业务持续性规划中涉及的各类文档和资料管理。
(三)备份中心的管理与操作 备份中心的建设、配置、组织机构和操作机制;
2.备份中心的使用状况: 3.备份中心的检测、维护和更新。
(四)业务持续性规划的测试和维护
1.对业务持续性规划的定期或不定期测试,包括:测试范围、频率、对测试结果的评估分析等:
2.对业务持续性规划的周期性维护更新,包括:规范的更新机制,各类文档资料的调整和更替,以及对外包服务商的相应调整。
第二篇:银行业金融机构信息科技外包风险监管指引
中国银行业监督管理委员会
银监发[2013]5号
中国银监会关于印发银行业金融机构信息科技外
包风险监管指引的通知
各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
现将《银行业金融机构信息科技外包风险监管指引》印发给你们,请遵照执行。
2013年2月16日
银行业金融机构信息科技外包风险监管指引
第一章 总则
第一条
为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条
在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条
本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:
(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;
(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;
(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。
第四条
本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条
信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:
(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;
(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;
(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;
(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条
本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条
本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条
银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第九条
银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。
第十条
银行业金融机构在实施信息科技外包时应当坚持以下原则:
(一)以不妨碍核心能力建设、积极掌握关键技术为导向;
(二)保持外包风险、成本和效益的平衡;
(三)强调外包风险的事前控制,保持管控力度;
(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第十一条
银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第十二条
对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。
第二章 外包管理组织架构
第十三条
银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。
第十四条
信息科技外包风险主管部门的主要职责包括:
(一)对外包风险进行识别、评估与风险提示;
(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;
(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;
(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第十五条
银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:
(一)实施信息科技外包战略;
(二)制定并执行信息科技外包管理制度与流程;
(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;
(四)制定保障外包服务持续性的应急管理方案,并组织实施定期演练;
(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理主管部门报告外包活动情况。
第三章 信息科技外包战略及风险管理
第一节 信息科技外包战略
第十六条
银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十七条
银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条
银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
第十九条
银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。
第二十条
银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。
第二十一条
银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持关联外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。
第二节 信息科技外包风险管理
第二十二条
银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第二十三条
银行业金融机构应当对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第二十四条
银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。
第四章 信息科技外包管理
第一节 外包风险评估及准入
第二十五条
外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处臵措施,不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。
第二十六条
银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。
第二十七条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第二节 服务提供商尽职调查
第二十八条
对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
第二十九条
银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
第三十条
银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。
第三十一条
银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条
对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包
服务、处理突发事件等。
第三十三条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第三节 外包服务合同及要求
第三十四条
银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三十五条
银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:
(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;
(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;
(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;
(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;
(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;
(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;
(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;
(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;
(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第三十六条 银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。包括但不限于:
(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;
(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;
(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;
(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;
(五)在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处臵
和纠正措施。
第三十七条
银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:
(一)不得将外包服务的主要业务分包;
(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;
(三)主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。
第四节 外包服务安全管理
第三十八条
银行业金融机构应当制定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括:
(一)对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;
(二)明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;
(三)对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;
(四)定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。
第三十九条
银行业金融机构对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。
第四十条
银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。
第五节 外包服务监控与评价
第四十一条
银行业金融机构应当对外包服务过程进行持续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。
第四十二条
银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应监控。常见指标包括:
(一)信息系统和设备及基础设施的可用率、设备的开机率;
(二)故障次数、故障解决率、故障的响应时间;
(三)服务的次数、客户满意度;
(四)各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;
(五)外包人员工作饱和率、外包人员的考核合格率。
第四十三条
银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。
第四十四条
银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
第四十五条
银行业金融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。
第四十六条
外包服务结束时,银行业金融机构应当对服务提供商进行评价,评价结果应当作为服务提供商准入的重要参考依据。
第四十七条
对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。
第六节 外包服务中断与终止
第四十八条
银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性地完善业务连续性管理计划,包括但不限于:
(一)识别出重要业务所涉及的服务提供商和资源;
(二)通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;
(三)对服务提供商业务连续性管理进行监控,并评价其管理水平;
(四)在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。
第四十九条
为降低外包突发事件的可能性及影响,银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:
(一)在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(二)与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;
(三)要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;
(四)对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配臵相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第五十条
银行业金融机构应当针对重要外包服务中断的场景,拟定相应的应急计划,并定期进行演练,考虑因素包括但不限于以下内容:
(一)事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;
(二)事件持续时间和恢复可能性;
(三)事件影响范围和可能的应急措施;
(四)服务提供商自行恢复服务的可能性和时间;
(五)备选的服务提供商以及外包服务迁移方案;
(六)外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。
第五十一条
对于无法满足外包服务要求或发生重大事件的情况,银行业金融机构应当在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。对于关联外包,银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。
第五章 机构集中度风险管理
第五十二条
银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比,服务提供商所承接外包服务在银行业服务市场占比情况,识别具有机构集中度特点的外包服务提供商。同时,还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。
第五十三条
银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。
第五十四条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。
第五十五条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。
第五十六条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。
第五十七条
银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。
第五十八条
银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。
第五十九条
对于具有机构集中度特点的外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行外包管理。
第六章 跨境及非驻场外包管理
第一节 跨境外包风险管理
第六十条
跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。
第六十一条
跨境外包除具有本指引前述风险外,还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。
第六十二条
银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况,通过建立业务连续性计划防范跨境外包所带来的国别风险。
第六十三条
银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。
第六十四条
银行业金融机构在选择跨境外包时,应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。
第六十五条
银行业金融机构在选择跨境外包时,还应当充分审查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。
第六十六条
银行业金融机构在实施跨境外包时,其合同应当包括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。
第二节 非驻场外包风险管理
第六十七条
非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。
第六十八条
银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。
第六十九条
银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
第七十条
银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。
第七十一条
对于非驻场外包服务提供商为同业托管机构的情况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的风险管控水平。
第七章 银行业重点外包服务机构风险管理要求
第七十二条
银行业重点外包服务机构是指集中为银行业金融机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:
(一)承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。
(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。
第七十三条 银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示,按照如下要求进行管理:
(一)银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年。
(二)银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。
(三)银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。
(四)银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条
银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证:(一)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。
(二)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。
(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准。
(四)承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
第七十五条
银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求:
(一)银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。
(二)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构,并抄送银监会或其派出机构。
(三)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。
第八章 监督管理
第七十六条
银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告,针对银行业金融机构信息科技外包风险,银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
(一)信息科技工作整体外包;
(二)数据中心或灾备中心整体外包;
(三)涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;
(四)以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;
(五)关联外包;
(六)涉及跨境的信息科技外包;
(七)其他银监会认为重要的信息科技外包。
第七十七条
银行业金融机构信息科技外包活动中发生如下重大事件时,应当在两个工作日内向银监会或其派出机构报告。
(一)银行业金融机构客户信息等敏感数据泄露;
(二)数据损毁或者重要业务运营中断;
(三)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;
(四)其他重大的服务提供商违法违规事件;
(五)银监会规定需要报告的其他重大事件。
第七十八条
银行业金融机构在开展外包风险管理评估工作后,应当将风险评估报告报送银监会或其派出机构。
第七十九条
银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查,监督检查结果纳入对银行业金融机构的监管评级。
第八十条
对于风险较高的信息科技外包服务,银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务,直至银行业金融机构、外包服务提供商有效改正。
第八十一条
银行业金融机构违反本指引规定的,银监会或其派出机构可要求其纠正或采取替代方案,并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的,依法追究银行业金融机构管理责任。
第八十二条
银监会实行银行业信息科技外包服务活动风险监测机制,定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示,防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条
银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估,根据需要,可以要求银行业金融机构与重点外包服务机构会谈,就其外包服务活动和风险的重大事项作出说明。
第八十四条
银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动,原则上每两年进行一次,也可以委托其他第三方机构审计的形式实施。
第八十五条
银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果,对银行业金融机构发出监管提示,要求其督促银行业重点外包服务机构对风险问题实施整改。
第八十六条
银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。
第八十七条
银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录,并对其进行风险评估和评级。
第八十八条
服务提供商在外包服务中存在以下情形的,银监会定期向银行业发布服务提供商风险预警,公布机构名单、服务信息等,要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务,禁止期至少为两年。外包服务提供商两年内仍未整改的,延长其禁止期。
(一)违反国家法律、法规和监管政策,情节严重的;
(二)窃取、泄露银行业金融机构敏感信息,情节严重的;
(三)因管理过失,多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的;
(四)服务质量低下并给多家银行业金融机构造成损失,多次提示仍未整改的;
(五)对风险监测和实地检查发现的问题,逾期仍未整改的;
(六)存在其他违法违规行为,或发生其他重大信息科技风险事件的。
第八十九条
银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动,银行业金融机构应当立即评估外包的适当性,对信息科技外包服务提供商进行风险预警提示,要求其进行整改并设定期限;逾期未整改的,禁止其承担信息科技外包服务。
第九章 附则
第九十条
本指引由银监会负责解释、修订。第九十一条
本指引自公布之日起施行。
第三篇:银行业金融机构信息科技风险非现场监管报表
银行业金融机构信息科技风险 非现场监管报表
(征求意见稿)目 录
第一部分报表..................................................1 I信息科技风险调查问卷............................................1 Q-R-1 信息科技风险调查问卷.....................................1 II基本情况报表...................................................8 T-B-1 信息科技治理基本情况表...................................8 T-B-2 信息科技风险管理情况表..................................10 T-B-3 信息科技内外部审计与评估基本情况表......................12 T-B-4 应急管理基本情况表......................................14 T-B-5 信息科技项目基本情况表..................................15 T-B-6 灾备基本情况表..........................................16 T-B-7 外包基本情况表..........................................18 T-B-8 各类中心基本情况表......................................19 T-B-9 数据中心及灾备中心机房基本情况表........................20 T-B-10 重要信息系统统计表......................................21 T-B-11 网络基本情况表..........................................23 T-B-12 电子银行业务品种统计表..................................24 T-B-13 电子银行业务量统计表....................................25 第二部分季度报表.................................................27 T-B-14 重要信息系统运行基本情况报表............................27 T-B-15 组织机构、人员重大变动表................................30 第三部分报告......................................................31 R-R-1 信息化建设与信息科技风险管理报告....................31 附录参考定义.....................................................32 2 填报须知
一、本报表作为银监会信息科技风险监管体系的重要组成部 分及信息科技风险识别、评估工作的基础和前提,旨在全面收集 和监测银行业金融机构信息科技风险状况。
二、本报表主要适用于在中华人民共和国境内依法设立的政 策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城 市商业银行、农村商业银行、农村合作银行、城市信用社、农村 信用社、外资法人银行等银行业金融机构。
三、本报表是为针对信息科技风险而设的专门报表,银行业 金融机构应当对所填报数据的真实性负责。
四、本报表应由风险管理部门组织填报。
五、本报表分为报表、季度报表和报告。报表统计 周期为12个月,即上一年10月1日至本9月30日,报送截止时 间为每年10月15日;季度报表报送时间为季后10日内;报告报送 时间为自然年后40日内。
六、报表中未特别说明统计范围的,皆指全行范围。
七、填报过程中,对于需要特别说明的项目或问题,请在备 注栏中描述具体情况。
八、报送截止后,对于存在疑问的报表,监管人员可要求机 构提供详实材料予以核实或重报;如有必要,将发起现场检查,并以现场检查结果为准。
九、本报表附有术语参考定义,填报过程中可供参考。第一部分报表
I信息科技风险调查问卷
Q-R-1 信息科技风险调查问卷
填报机构: 填报人: 责任人: 填报日期: 年 月 日 编号 项目 填报说明 内容 单位 备注 1.信息科技风险管理 Q0001 对信息科技制度进行定期 修订
以信息科技制度修订发文为准□是□否 N/A Q0002 对信息科技规划定期评估 并修改
若对信息科技规划定期评估并修 改,请回答是 □是□否 N/A Q0003 制定了关键岗位轮岗计划 并依照执行
以轮岗计划和记录(接替岗位后工 作至少一周)为准 □是□否 N/A Q0004 规定在职人员定期参加信 息安全及保密培训
以相应人员参与的培训记录为准□是□否 N/A 2.审计 Q0005 依据制定的审计计划、方案 开展信息科技审计
以相应批文为准□是□否 N/A Q0006 信息科技审计报告抄送风 险管理部门
以提交给风险管理部门的审计报 告为准
□是□否 N/A Q0007 与外部审计机构签署保密 协议
若所有的外部审计活动均与外部 审计机构签署保密协议,请回答是 □是□否 N/A Q0008 信息科技内部审计覆盖的 比例
请计算最近12个月信息科技内部 审计的分支机构数与分支机构数 的比值 % 3.重要信息系统 Q0009 发生核心业务系统替换或 计划实施核心业务系统替 换
若最近12 个月发生核心系统的替 换或未来12个月计划实施,请回 答是
□是□否 N/A Q0010 有多少家外部机构将系统 或设备交由本机构托管
如有其他机构(或银行)将其系统、设备或业务处理交由本机构管理(托管行为),请统计这些机构的 数量 个
Q0011 交由外部机构托管的系统 数
请统计交由外部机构托管的系统 数 个 Q0012 与本机构发生数据交换的 外联系统数量
请统计所有与本机构发生数据交 换的外联系统总数,以运行部门的 记录或外部接口文件(EIF)记录 为准 个 Q0013 生产环境中具有高耦合度 的信息系统数
若系统的耦合度高,单一系统出现 故障时会导致其他多个系统无法 正常运行,请分析和统计能导致此 类情况的系统总数。以系统结构图 或内部逻辑接口文件(ILF)为准 个 Q0014 仍在使__________用供应商已正式宣 布停止支持的系统平台的 重要信息系统数
系统平台包括:操作系统、数据库、中间件、服务器等 个 Q0015 核心业务系统中相互逻辑 分离的数据库数
例如,对公业务使用的数据库和对 私业务使用的数据库是逻辑分离 的,其中一个数据库失效不会影响 另一个数据库的正常运行,就记作 2 个相互逻辑分离的数据库 个 Q0016 重要信息系统当前容量规 划可满足业务发展需求的 最少年数
以容量规划文档为准年 4.系统开发与测试 Q0017 项目实施部门定期向信息 科技管理委员会提交重大 项目进度报告
以提交的进度报告为准□是□否 N/A Q0018 在重大项目各阶段均进行 风险评估,并向项目管理组 织沟通风险点,确定处臵方 案
以各阶段风险评估报告记录为准□是□否 N/A Q0019 业务和系统需求等经业务 部门和科技部门共同确认
以需求、设计相关文档为准□是□否 N/A Q0020 将信息安全要求纳入系统 设计
以需求、设计相关文档为准。信息 安全要求主要包括数据安全、身份 验证、权限管理等内容 □是□否 N/A Q0021 系统投产前,准生产验证环 境的软件与生产环境相同
准生产验证环境的软件包括操作 系统、数据库、中间件、应用程序。以生产验证环境和生产环境的配 臵项清单为准 □是□否 N/A Q0022 总行科技部门现行项目中,有独立质量保证人员参与 的项目总数
请统计目前分配有质量保证人员 的项目总数 个 Q0023 完成用户验收测试的项目 数
请统计最近12个月完成用户验收 测试的项目数 个 Q0024 用户验收测试(UAT)前已 完成代码安全检查的项目 数
请统计最近12个月上线的信息系 统在UAT前已完成代码安全检查工 作的项目数 个
5.信息系统变更
Q0025 建立变更的授权审批机制 对信息系统变更进行分级,针对不 同等级的信息系统变更明确相应 的审批管理程序。以相关变更授权 审批制度为准 □是□否 N/A 3 Q0026 所有涉及生产环境的变更,变更前有回退和应急方案
在系统变更前,变_______更申请部门制订 回退和应急方案。以相关方案文档 为准
□是□否 N/A Q0027 涉及生产环境的变更由业 务部门与科技部门共同审 批
以审批流程文档和审批人员清单 为准
□是□否 N/A Q0028 所有涉及生产环境的变更 由独立人员进行复核
以相关规定以及复核人员清单为 准
□是□否 N/A Q0029 所有变更都留有记录,并由 内部审计人员或信息安全 人员定期核查
以变更记录和审查记录为准□是□否 N/A Q0030 重要信息系统紧急变更数 请统计最近12个月内重要信息系 统紧急变更的次数。以系统运行部 门的记录为准 次
Q0031 涉及生产环境的变更数 请统计最近12个月内涉及生产环 境的变更总数(包括各信息科技生 产部门的重要信息系统和非重要 信息系统的变更)。以系统运行部 门的记录为准 次 Q0032 未在测试环境中进行验证 的变更数
请统计最近12个月内未在测试环 境中进行验证的变更数,以验证记 录为准 次
6.信息系统运行 Q0033 系统运行、维护、开发人员 的岗位相互完全分离且不 存在兼岗
以岗位清单和岗位职责定义为准□是□否 N/A Q0034 为所有关键岗位配备规范、准确的操作手册以指导运 行人员操作
以操作手册为准□是□否 N/A Q0035 运行人员对生产系统的操 作由独立人员复核
若运行人员对生产系统的操作有 独立人员复合,请回答是 □是□否 N/A Q0036 运行人员对生产系统的任 何操作保留操作记录
以操作记录文档和记录方法说明 为准
□是□否 N/A Q0037 对数据库均通过菜单、数据 流操作
若所有对数据库的操作均通过菜 单、数据流,而非直接操作数据库,请回答是 □是□否 N/A Q0038 批处理过程有专人监控,记 录操作及执行情况,并处理 异常事件
若批处理过程有专人监控,记录操 作及执行情况,并处理异常事件,请回答是 □是□否 N/A Q0039 利用实时监控工具对系统 运行环境、重要信息系统运 行状况等进行监控
以监控系统相关文档为准□是□否 N/A Q0040 实时监控工具具有自动4 納预 警功
第四篇:银行业金融机构信息科技管理工作考核办法(试行)
银行业金融机构信息科技管理工作考核办法
(试行)
第一章 总则
第一条 为完善信息科技治理措施,增强银行业信息科技风险防范能力,推动辖内商业银行信息化建设健康发展,更好地运用信息技术提升业务管理和风险防范水平,根据《中国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行操作风险管理指引》、《商业银行业务连续性监管指引》、《商业银行外包风险管理指引》、《银行业重要信息系统突发事件管理规范》等法律法规,制定本考核办法。
第二条 威海银监分局对辖区各银行业金融机构的信息科技风险管理状况进行考核评比,考核评比工作由威海银监分局统计信息科组织实施。
第三条 本办法的考核评比周期为一年,自上12月份至本11月末,考核情况每半年通报1次,每年年底对全年考核结果进行通报表彰。
第四条 本办法适用于威海辖区各银行业金融机构。
第二章 考核内容及计分方法
第五条 信息科技管理考核工作的内容,包括信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三个方面,同时设立加分项目对在信息科技管理方面表现优异的机构给予鼓励。
第六条 信息科技管理考核实行百分制考核与加分项目考核相结合的综合考核方法,百分考核得分与加分项目考核得分相加为综合考核得分。
第七条 信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三项工作实行百分制考核,每项满分100分,分别按40%、30%、30%的权重计入百分考核得分;加分项目实行单独考核,视完成情况进行奖励加分,直接计入综合考核得分。
第三章 考核标准
第八条 信息科技日常管理考核标准。法人机构应在完善信息科技治理的基础上,建立信息科技风险“三道防线”,做好信息科技规划,提升信息系统建设效率,确保信息系统稳健运行并采取有效内控措施减少信息系统应用风险;分支机构应重点加强业务连续性和信息安全管理,建立相应的管理制度,确保经营过程中不发生信息安全事故。
1.银行业金融机构未指定信息科技风险牵头管理部门,扣5分;牵头部门及负责人变更未按要求向监管部门报告的,每次扣2分;牵头部门未能积极配合监管部门进行工作协调的,每次扣2分。
2.被考核机构未对信息科技风险管理相关部门配备适当资源,如人员、财力、基础设施等不充足或存在重大缺陷的,每项扣3~5分;被考核部门信息科技风险管理制度存在不完善的,每项扣2分。
3.新设经营机构、原有机构装修改造或迁址,涉及信息科技变更事宜,未向监管部门信息科技风险监管部门报告的,每次扣5分。
4.未制定信息科技风险应急演练计划的扣5分,未实施演练或演练不符合监管要求的扣1~3分。演练计划和实施结果未报告监管部门的,每次扣1分。
5.未制定业务连续性计划和应急预案的机构,扣15分并取消评奖资格;制定业务连续性计划和应急预案不完善的,视情况扣5~10分;发生大范围的业务中断事故的,每次扣15分并取消评奖资格。
6.机房或营业网点在发生业务中断或重要网络中断事件后,未及时报告监管部门的,根据事件大小,每次扣2~5分。
7.银行业金融机构应至少每半年组织相关部门人员学习1次信息科技监管制度、信息科技风险提示等文件,并做相应的学习记录。未定期组织学习、记录不完整或学习效果不明显的,视情况每次扣2~5分。
8.被考核机构在制订考核办法时,未将监管部门考核结果纳入本机构内部部门考核的,每次扣10分;未按考核制度执行的,每次扣2~8分。
9.被考核机构机房服务器、重要安全设备、网络设备和桌面计算机等涉密设备,未采取必要的信息安全防护措施的,根据情况每项扣2~5分。10.总行级法人机构在实施重要信息系统项目外包前(如数据中心、重要业务系统和信息科技基础设施等)未以书面形式正式报告监管部门的,每次扣2分。
11.总行级法人机构在进行重要信息系统开发时,未要求信息科技风险管理部门、业务管理部门和内部审计部门进行一般控制和应用控制审查,以确保系统开发符合监管部门以及本机构风险管理标准的,视情况每次扣2~5分。
12.总行级法人机构未按照监管要求建立完善的信息科技治理,并形成信息科技风险“三道防线”的,根据情况扣2~5分;未制定明确的信息科技战略规划,或规划与本行整体战略规划结合不紧密的,根据情况扣3~5分。
第九条 监管部门信息科技检查考核标准。辖内银行业金融机构应积极配合监管部门的信息科技检查及巡查工作,对暴露出的问题认真分析成因,组织全面整改,并采取有效措施落实监管部门提出的监管意见和要求,促进本机构信息科技管理能力和水平的不断提高。
1.监管部门每年例行现场检查中发现严重问题,每项扣5分;一般性问题每项扣1分;严重问题是指对信息系统的稳定运行、业务连续性、信息安全和银行业务管理带来较大安全隐患的问题。
2.对监管部门检查发现的问题未在规定时间内进行整改的,每项扣3分。
3.监管部门提出的监管要求,经被查机构确认后,未在规定时间内落实的,每项扣5分。
第十条 监管部门布置工作完成情况考核标准。被考核机构需在规定时间内,完成监管部门布置的各项信息科技监管工作并确保工作质量,本机构信息科技风险牵头部门负责内部协调联系工作。
1.对监管部门下发的各类通知和监管要求未有效贯彻落实的,每次扣1~5分。
2.对监管部门要求上报的报表,未能及时报送的每次扣5分;填报数据或信息出现差错的,视情况每次扣1~3分;报表出现漏报项的每项扣减2分。
3.未按要求及时报送信息科技报告或监管部门要求上报的其他重要书面报告的,每次扣5分。
第十一条 加分项目考核标准。辖内银行业金融机构应当及时向监管部门报告信息科技管理方面的相关信息,为强化信息科技监管工作提供参考,并积极配合监管部门开展的专项工作,共同促进辖区信息科技管理工作水平的全面提升。
1.上报监管部门本机构信息科技工作动态或信息科技调研课题,每篇加1分,被分局采用的每篇加2分,经分局上报后被省局采用的,每篇加5分,被银监会采用的,每篇加10分。
2.协助监管部门完成检查或其他监管工作的,视情况每次加2~5分。
3.主动发现本机构或外包商(如自助设备服务商、电信企业等)风险隐患并报告监管部门的,每次加2~3分,如涉及全辖机构共性问题,每次加3~5分。
第四章 组织管理及考核实施
第十二条 威海银监分局按上述考核内容和标准,对辖区各银行业金融机构信息科技管理工作情况进行全面实时记载,考核结果实行半年通报、按年考核,考核期结束后进行评比表彰。
第十三条 评比表彰设机构一等奖2名,二等奖3名,三等奖4名,同时在获奖机构中评选工作表现优异的先进个人5名。对年终评比结果较差,且不积极配合监管工作的机构和个人,在全辖银行业金融机构范围内进行通报,并抄送上级行或上级行业管理部门。
第十四条 对辖内各机构的考核结果,将提交分局对口监管科室,并纳入对被考核机构的监管评级、高管考核及机构评价中。
第五章 附则
第十五条 本办法由负责解释。
第十六条 本办法自印发之日起实施。
第五篇:银行业信息科技风险监管报告
探索银行业信息科技风险监管框架
银行业信息科技风险监管概述
信息科技风险是随着信息科技技术广泛应用而新生的词汇,最早出现在上世纪九十年代,目前业界对此缺乏统一的定义。中国银监会定义的信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
2001年巴塞尔新资本协议草案明确了银行业资本监管的发展趋势,即将资本要求与银行风险管理紧密相连。新资本协议以监管当局对资本计量的要求为基础,通过约束银行资本,达到控制行业规模和风险的目的。在新资本协议关注的三大风险中,信息科技风险被默认为操作风险的一部分,未对信息科技风险的管理提出具体要求。
信息科技稳定运行是银行业务正常经营的基本条件,银行数据集中造成了风险的高度集中,科技风险成为唯一能使银行瞬间瘫痪的风险。信息科技风险具有区别于其他操作风险的特殊性:一是风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高;二是由于管理因素、技术因素多重作用,导致偶发性和不确定性突出;三是信息科技一般不直接造成经济损失,其造成的间接损失难以计量;四是单个信息系统可影响多个业务,影响范围广且具有不确定性。
科技风险与操作风险当前处在不同的发展阶段,其管理理论、管理方法等方面有着一定的差异性。在管理体系方面,信息科技风险管理的理论已进入风险导向的科技风险管理阶段,但以风险为导向的识别、监测、计量方面尚不成体系;在管理方法方面,信息科技风险的特殊性在于产品和技术层面的风险也是其重要风险因素;在损失特点方面,信息科技风险通常不产生直接的风险损失,这决定了通常情况下科技风险损失往往难以使用货币金额方式进行表示;在风险计量方面,目前尚缺乏有效计量信息科技风险资本的方法。
当前银行业大多将信息科技风险作为操作风险的一部分,纳入银行全面风险管理体系。但是,随着行业发展和技术进步,在操作风险模式下管理信息科技风险也存在一定的困难:一是目前的操作风险管理方法中对科技风险的管理方法涉及较少,难以兼顾到信息科技风险的专业技术特性,难以实现对信息科技风险的有效管理 ;二是风险监管资本计量未能充分考虑信息科技风险因素,信息科技风险造成的损失及其相应的监管资本计量存在困难。基于科技风险特点及其作为操作风险一部分进行管理遇到的问题,将信息科技风险从操作风险中拆分并独立管理,能更有效的管理信息科技风险。
信息科技风险应被视为一种独立的、重要的风险类型被单独管理,与操作风险的管理分开;应根据信息科技损失的特点设计与操作风险标准法和高级法匹配的计量模型,体现信息科技风险对银行资本的影响和敏感性。
银行业信息科技风险核心监管指标
在实施“风险为本”的监管框架中,需要探索建立一套可量化、相对简单、可动态监测的核心监管指标体系,来动态监测信息科技风险状况,直观评估银行信息科技风险的管理水平。
核心监管指标作为监管机构识别和预警银行风险的重要手段和方法,对健全内部风险制衡机制,完善风险管理政策和流程,优化风险计量工具,进行有效的风险控制起到了积极的促进作用。信息科技风险核心监管指标可以分为两类,一类是结果性指标,另一类是过程性指标。结果性指标是以目标为导向,对已经发生的科技风险事件和信息安全事件进行统计后建立的量化指标,其反映的是风险状况和发展趋势。过程性指标主要反映银行风险控制和管理能力。这样两类指标相互补充,起到全面评估机构风险水平的目的。
信息科技风险监管具体目标包括业务连续性、信息安全、公众满意度以及合法合规。从信息科技风险监管目标出发,可逐层分解出系统可利用率、业务量等指标,它们相对简单、直观、容易测算和计量,可以成为结果性指标。另外一类是过程性指标,这类指标基于当前银行业信息科技管理最佳实践,对信息科技的每个领域都能够起关键控制作用。监管指标一方面可以用来监测银行业整体风险状况,评估银行业风险水平,同时也可以与监管手段相结合,提高信息科技风险监管水平。
银行业信息科技风险资本计量
信息科技风险是巴塞尔新资本协议全面风险计量框架中的组成部分,科技风险资本计量是科技风险管理的重要手段。
计量信息科技风险可以借鉴当前相对成熟的操作风险的计量方法。但是,直接用操作风险计量方法计量信息科技风险存在挑战,主要表现如下:一是信息科技风险与总收入、业务交易量、客户数或业务交易金额等指标的关联并不密切;二是大部分信息科技风险的损失不是显性的,除少数信息科技风险事件(如引发客户索赔、延误罚息)有“直接损失”外,大部分信息科技风险事件的影响体现为业务中断、声誉受损等“间接损失”;三是信息科技风险损失数据相对较少,极端严重事件的数据更少,计量 “尾部风险”面临挑战。
基于高级法的计量思路是在操作风险的统一计量框架下对信息科技风险这一类型单独计量,可将信息风险损失定义为金额损失和时间损失两个维度,建立时间与金额的转换关系,拟合频率分布和严重度分布,之后整合为总损失分布,根据置信度确定未来一定时期内的非预期损失,最后用内部衡量法进行调整得出计量结果。将科技风险持续时间转换为间接损失金额有两种方法,分别为解析法和映射法。解析法是考量信息系统对银行利润贡献度,即某个信息系统单位时间对银行产生的利润,根据系统中断时间、影响范围、系统重要性进行计算,得出信息科技风险事件的间接损失。映射法是根据影响范围和系统重要程度将影响时间加权计算转化为“标准”的影响时间,然后建立标准影响时间与损失金额之间的映射关系,从而确定损失。
未来,随着信息技术的飞速发展,银行业对信息科技的依赖越来越大,云计算、物联网等新技术既加快了银行创新发展,对信息科技风险管理提出了更高的要求;快速变化的外部环境,开放的互联网环境,技术类企业、第三方平台等非金融机构与银行业的业务服务不断融合等,所有这些都使得信息科技风险管理与监管面临着更加现实的挑战,需要我们不断地思考和研究,提高信息科技风险管理能力。
(本文是中国金融四十人论坛内部课题《银行业金融机构信息科技风险监管研究》的报告简本,课题得到中国金融四十人论坛立项资助并组织专家评审)