第一篇:XXXX银行信息科技业务连续性评估报告
XXXX银行
信息科技业务连续性评估报告
为全面了解XXXX银行信息科技业务连续性管理工作现状,科技信息部开展了信息科技业务连续性评估工作,现将评估情况汇报如下:
一、总体评价
为保障电子设备及网络的正常运转,XXXX银行建立了由突发事件应急领导组统一管理的应急管理体系。全行生产网络采用联通+移动双网互为备份的方式接入,降低了网络的中断风险;电力采用市电+UPS应急电源双线接入的方式,并配备的发电机,保障了电力的不间断供应;全行所有在用软件资源均备份在总行FTP服务器,随时可下载安装使用,避免了软件崩溃带来的中断风险;各类业务必须的电子设备均在科技信息部配备了数量不等的备用设备,可随时更换使用;全行的安全软件由总行科技信息部统一升级和管理,确保所有计算机系统处于最安全的工作状态。
全行每季度根据应急预案进行应急演练,形成演练报告并上报科技信息部。科技信息部每季度对全辖进行监督检查,确保演练的真实性和成效,切实减少业务中断风险。
二、管理体系建设
(一)组织管理
XXXX银行建立了由XXXX银行突发事件应急领导组统一领导的应急管理体系,统一管理全行的业务连续性工作,下设办公室,办公室成员由各机构、部(室)、中心负责人组成,具体负责决定是否启动相对应的应急预案;研究拟定突发事件处置流程;组织指挥突发事件处置工作;协调、管理突发事件的信息报送工作;日常应急演练的督导和检查工作;以及突发事件处置工作的费用核算及效益分析,突发事件及处置工作对未来的影响评估,处置工作的经验教训等。
各营业网点结合自身实际,各自成立了突发事件应急领导小组,具体负责本机构的应急管理工作。
(二)制度建设
为了全面防范各类计算机及网络突发事件,切实做到在处理各类事件时有依可循,XXXX银行制订了一系列相关的制度,保证了处理问题的全面、快速。
1.制定了《XXXX银行网络与信息系统突发事件处置与报告管理办法》,明确了发生重大中断事件时,对事件定级、启动相应的应急预案、向上级有关部门报告及处置、事件解决、事件关闭及汇总等相关流程。
2.制定了《XXXX银行生产系统巡检管理办法》,规定了各机构对业务相关计算机及网络设备的日常巡查工作,发现问题及时上报,将设备中断风险处理在萌芽阶段。
3.制定了《XXXX银行发电机使用管理规定》,规定了发电机的日常使用和保养,确保在电力中断发生时提供可靠的应急保障。4.制定了《XXXX银行计算机及网络安全应急预案》,全面规范了电力、网络、软件、病毒、硬件发生中断时的应急处理流程,为应急演练提供了可靠的依据。
(三)基础设施建设
为了保障全行网络及电力系统正常运行,XXXX银行于每年春季开展设备及线路的巡检工作。巡检范围主要包括:UPS电源、电池组、防雷箱、发电机、设备间及柜台线路等,及时发现隐患并采取处理措施,确保网络及电力设备的安全。
同时,XXXX银行不断加强网络及电力基础设施更新换代工作,对于老旧坏损的设备,及时予以更换,切实保障全行各项业务可以正常开展。
(四)监督检查
XXXX银行按季对全行业务连续性工作开展情况进行监督检查,检查内容主要包括各网点应急预案制定情况,应急演练开展情况等,发现问题,对责任人严格按照要求进行处理,切实提高全员思想认识,提升全员应急处置能力。
(五)教育培训
XXXX银行每年对全辖计算机管理员进行业务连续性培训,并由计算机管理员对所在网点员工进行再培训,有效提升了全员应急处置能力。
三、应急预案建设
为规范全行的应急处理流程,科技信息部制定了《XXXX银行计算机及网络安全应急预案》,包含银行的计算机系统风险、组织领导、营业网点电子设备故障的应急处理、电力电源故障的应急处理、网络设备及线路故障的应急处理、应用程序出现异常的应急处理和反病毒应急处置等七章,以图文结合的形式全面阐述了因电力、网络、软件、病毒、硬件等原因发生中断事件时的应急处理流程,为全行的应急演练工作提供了可靠的依据。
全辖所有网点在总行突发事件应急领导组及各自应急领导小组的领导下,根据各自网点的实际建设和人员配置情况,在总行应急预案的框架内制定自身的应急预案,并在实际的演练过程中不断修订和完善。
四、应急演练情况
根据总行统一要求,全行每季度根据应急预案开展一次应急演练工作,形成演练报告,留存影像资料,并根据演练中存在的问题形成演练总结并修订演练预案。
五、存在问题及整改工作
(一)部分网点负责人对信息科技演练工作重视程度不足,演练流于形式,不能有效提升员工应急处置能力,存在业务连续性风险。
(二)网点人员流动性大,尤其是计算机管理员变动频繁,工作交接流程不完善或者不开展,导致网点业务连续性工作不连续,成效低或者无成效。
六、意见与建议
(一)加强监督检查
科技信息部要按照监管标准、上级要求及全行业务连续性工作实际制定检查标准,定期对网点业务连续性工作进行检查,如实记录检查发现的问题,严格按照处罚标准进行处罚,同时监督指导网点进行整改,切实保障全行业务连续性工作落到实处、有效开展。
(二)加强教育培训
加强对全员业务连续性知识及技能的培训,进一步丰富培训内容,创新培训模式,确保有效提升全员应急处置能力,防范业务连续性风险。
XXXX银行科技信息部 2018年10月31日
第二篇:某行2015业务连续性报告
抚顺某银行关于2015年 业务连续性评估报告
各支行(部)、分理处:
为全面了解我行业务连续性管理工作现状,巩固当前业务连续性管理成果,及时总结上一相关工作的开展情况,经董事会审议通过,现将我行2015业务连续性工作自评估报告下发给你们,请组织学习:
根据监管机构及省联社相关的通知要求,我行开展了“2015年业务连续性管理评估”的工作,现将自我评估情况汇报如下:
一、总体评价
我行重视业务连续性的管理,坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合。完善业务连续性管理日常组织构架,建立业务连续性管理工作责任人制度,从而保证业务连续性管理各项工作的顺利进行。
各网点内控合规部作为各网点业务连续性管理牵头部门负责组织落实辖内各项业务连续性管理工作,协同运营财务管理部、电子银行部、综合部、稽核监保部等各网点业务连续性管理的主要关联部门共同完成此次自我评估工作。
二、管理体系建设
为进一步完善我行业务连续性管理组织体系,确保业务连续性管理工作的高效开展,根据相关规定,建立完整的组织管理体系,明确业务业务连续性管理的牵头部门及各部门职责,明确应急处置组织架构。
三、预案建设及演练情况
我行注重应急预案的建设,要求各牵头部门不断完善应急预案,提高预案的可操作性,并指导和组织本条线开展应急演练,切实提高突发事件处置能力。
各牵头部门按照总各网点紧急突发事件处置和管理的相关要求,对照本条线应急预案进行梳理,不断完善预案体系,明确相关部门和人员的责任,进一步提高应急预案的完备性、合理性及可操作性。各网点下属各单位重视预案演练工作,在牵头部门的指导和组织下开展各项应急演练工作,确保各项演练目标的有效实现,逐步提高我行应急处置工作能力和水平。
1、各单位严格按照总各网点紧急重大事项报告制度要求和报告流程,对于符合各网点强调的紧急重大事项报告范围的,一经发现,应立即向各网点办公室及相关管理部门、单位负责人双线报告,不得迟报、瞒报。
2、各网点办公室做好网络舆情的监测和处置工作,对可能引发银行业系统性、区域性风险和社会不稳定事件的信息加强预警和分析,及时按应急预案要求报告并采取有效措施,避免负面信息进一步扩散,将负面影响降到最低。
在每重要活动如“两会期间”、“金融知识进万家活动”期间,我行均按照银监局及省联社的要求,提前做好各项服务保障应急预案。
3、进一步加强各网点服务投诉的管理工作。各网点相关部门加强对柜员和大堂经理进行优质服务专项培训,规范了服务投诉处理的方式方法和工作流程,并做好服务投诉处理的演练工作。
4、各网点业务营运部根据总行要求,逐步完善营运业务的各项预案和准备工作,针对各种物理和人为的突发事件,进一步加强对营运人员的应急培训和全面演练工作,保证业务的连续性,并做好客户安抚、媒体应对等相关全面工作。
5、各网点科技及安全人员严格落实信息系统运行、维护及应急处置等各项管理制度,对网点网络、操作终端设备、备份线路、UPS系统等运行中存在的故障和隐患进行严密排查,并及时予以排除,确保我行系统安全稳定运行及应急情况下持续运行。
6、稽核部持续加强各网点防火、防盗、防抢等突发恶性事件应急预案的培训和演练工作,每季度至少保持一次以上的“防抢劫、防盗窃,防诈骗,保护金融资产安全”的“三防一保”演练及消防安全知识培训,各单位演练力求接近实战,提高各单位应对和处置能力。同时,各网点安保部结合演练的实际情况,逐步完善和优化安保方面的应急预案。
7、各网点各部门按各网点各项应急预案的管理要求,层层落实,并根据各部门及各支行的实际情况,制定具体的预案措施并落实专人负责,按照各项预案进行操作和演练,并做好相关书面记录和报告,根据实际操作情况,加强信息交流和反馈,对各项预案提出意见和建议。
2016年3月16日
第三篇:银行信息安全评估报告
信息安全评估报告
XXXX银行:
根据《商业银行信息科技风险管理指引》要求,信息科技管理部门应定期向总行提交本行信息安全评估报告,结合我行2020信息安全管理情况,现将本信息安全评估情况报告如下:
一、评估目标
信息安全评估的主要目标是通过自评估工作,发现我行信息系统当前面临的主要安全问题,边检查边整改,确保信息系统的安全。
二、评估依据、范围和方法
(一)评估依据:《商业银行信息科技风险管理指引》及省联社相关制度办法。
(二)评估范围:全行信息系统的安全制度管理、安全组织管理、资产管理、人员管理、物理与环境管理、通信与运营管理、访问控制管理、安全事故管理及合规性管理等方面。
(三)评估方法:采用自评估方法。
三、项目评估
(一)安全制度管理。制定了《信息系统安全运行管理办法》《信息安全策略》《信息安全工作管理办法》《信息系统设备管理办法》《信息系统网络设备用户管理办法》等一系列制度办法,明确了职责范围、工作流程,规范了信息系统生产运行安全工作。
评估结论:制定了切合实际的信息系统安全制度。
(二)信息安全组织管理。成立了信息科技管理委员会、信息系统及网络安全工作领导小组、业务连续性管理委员会及相关工作领导小组,制定了相关职责均按要求履行。
评估结论:成立了相关委员会并履行职责。
(三)资产管理。截止2020年11月底,全行共有计算机886台、UPS 87台、发电机78台、ATM机28台、CRS机58台、3G路由器77台、4G路由器5台、高拍仪台216台、扫描153仪台,均按部门按机构建立有电子台账,专人管理,按照“谁使用谁负责”的原则负责设备安全。定期安排对所有设备的使用进行安全检查,及时进行维修,排出隐患。
评估结论:有专人管理有台账,仍需加强日常维护管理。
(四)人员安全管理。一是各岗位的人员具有相应的专业知识和技能。二是重要岗位采取下列风险防范措施:验证个人信息,审核信息科技员工的道德品行,确保其具备相应的职业操守。三是确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。四是评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。五是明确其岗位权限。
评估结论:配备有专职信息科技人员,但人员配备不足,专业胜任能力有待提高,对关键岗位人员流失带来的风险缺乏有效应对措施。
(五)物理与环境安全管理。设立有物理安全保护区域,如计算机中心机房、放置网络设备的专用机房或标准化机柜等重要信息科技设备的区域,明确相应的职责,配置了网络设备和应用程序使用的网络协议和端口。内部网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等均由省联社按照级别进行了控制。
评估结论:有物理与环境安全防护措施,但仍然存在使用U盘等移动介质带来的病毒感染风险和安全风险。
(六)通信与运营管理。截止2020年11月末我行生产业务租用电信公司SDH线路77条连接市中心机房,线路带宽4M,总行营业部直连市中心机房,生产备用线路租用联通公司3G SIM卡77个连接市中心无线链路业务路由,OA业务租用移动公司MSTP线路77条连接市中心机房,带宽50M,总行营业部直连市中心机房带,生产业务市中心机房2条MSTP 线路连接省中心机房运营商分别为电信公司和联通公司,线路带宽20M。OA业务市中心机房2条MSTP线路连接省中心机房运营商分别为电信公司和移动公司,线路带宽20M。核心路由、核心交换、无线链路业务路由均在市中心机房。
评估结论:生产网主线路稳定,业务办理流畅。但备用线路存在山区网络信号差、不稳定现象,亟需更换4G及以上路由器。
(七)访问控制管理。登陆所有系统均采用个人用户名、密码及柜员卡登陆,用户名实行终身制,一人一卡,卡随人走,并要求定期修改密码。用户调动到新的工作岗位或离开我行时,在系统中及时检查、更新或注销用户身份。
评估结论:系统用户访问控制制度完善,在实际操作中需加强与综合部的沟通,及时将调整人员做系统变更。
(八)系统开发与维护管理。除省联社托管系统外,我行无自建系统。现有的系统全部由省联社开发、测试和运维。
评估结论:无自建系统,本行不涉及。
(九)信息安全事故管理。建立有应急预案及应急处置报告制度,各级机构及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处置和根本原因分析。省联社建立有专门处理问题的服务电话,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
评估结论:我行的信息系统从未发生不安全事故,但仍需不断提升应急处置能力和风险防范能力,杜绝不安全事故的发生。
(十)合规性管理。指定了风险管理部专人负责信息科技风险管理,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
评估结论:我行信息系统安全管理均按上级监管部门和管理部门相关制度执行,合规到位。
三、评估总结
通过以上对信息系统安全的自查自评,总的来看,我行的信息系统安全体系较为完善,但仍然存在一定的风险和隐患。比如来自不可控互联网的外部攻击威胁和内部人员的操作风险等。一是要进一步加强员工信息安全意识教育,严格网络与信息安全管理制度,提高网络安全及信息安全工作的主动性和自觉性,增强对安全防范意识和处置能力。二是要加快信息系统基础设施建设,通过安全设施与管理相结合,使安全风险可控,杜绝不安全事故的发生。
信息管理部
第四篇:第十四期法律知识点(信息科技、业务连续性、外包风险管理)
法律法规知识点汇编
(第十四期)
目 录
※商业银行信息科技风险管理指引…………………1
※商业银行业务连续性监管指引……………………3
※银行业金融机构外包风险管理指引…………… 7
2014年9月24日
商业银行信息科技风险管理指引
※信息科技风险:是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。(第4条)多选题:信息科技风险,是指信息科技在商业银行运用过程中,由于下列哪些情形产生的操作、法律和声誉等风险?(ABCD)
A.自然因素 B.人为因素 C.技术漏洞 D.管理缺陷 ※信息科技风险管理的第一责任人:商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。(第6条)
判断题:商业银行董事会是信息科技风险管理的第一责任人。(×)
※信息科技风险管理策略:商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一)信息分级与保护。(二)信息系统开发、测试和维护。(三)信息科技运行和维护。(四)访问控制。(五)物理安全。(六)人员安全。(七)业务连续性计划与应急处臵。(第15条)多选题:商业银行应制定全面的信息科技风险管理策略,包括但不限于以下哪些领域?(ABCD)
A.信息分级与保护 B.信息科技运行和维护 C.物理安全 D.业务连续性计划与应急处臵 ※岗位制约:商业银行应将信息科技运行与系统开发和维护
分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。(第41条)单选题:商业银行应将(A)分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。
A.信息科技运行与系统开发和维护 B.系统管理和网络 C.数据库管理系统和网络 D.硬件管理和软件管理
※大规模系统开发的部门参与:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。(第66条)单选题:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和(A)参与,保证系统开发符合本银行信息科技风险管理标准。
A.内部审计部 B.财务部 C.业务部 D.监察部
商业银行业务连续性监管指引
※业务连续性管理定义:是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。(第2条)
※重要业务运营中断事件:是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。(第4条)
※业务连续性管理承担最终责任:董(理)事会是商业银行业务连续性生管理的决策机构,对业务连续性管理承担最终责任。(第10条)
※业务连续性管理的部门职责:商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复;信息科技部门负责信息技术应急响应与恢复。(第14条)多选题:商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。业务条线部门负责(ABCD),负责业务条线重要业务应急响应与恢复。
A.风险评估 B.业务影响分析
C.确定重要业务恢复目标和策略 D.负责重要业务应急响应与恢复
※重要业务恢复时间:原则上,重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。(第25条)单选题:根据业务连续性管理要求,原则上重要业务恢复时间目标不得大于(A)。
A.4小时 B.2小时 C.1小时 D.0.5小时 ※业务连续性计划演练频率:商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变化之前,也应当开展业务连续性计划的专项演练。(第49条)
单选题:商业银行应当至少每(D)对全部重要业务开展一次业务连续性计划演练。
A.半年 B.一年 C.二年 D.三年 ※新产品开发的业务连续性管理:商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的,应当在上线前制定业务连续性计划并实施演练。(第56条)单选题:商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的,应当在(A)制定业务连续性计划并实施演练。
A.上线前 B.上线中 C.上线后 D.维护时 ※运营中断事件分级(节选):银监会及其派出机构对银行业运营中断事件进行分级。当运营中断事件同时满足多个级别的定级条件时,按最高级别确定事件等级。(一)特别重大运营中断事件(Ⅰ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失等特别严重损害的事件; 2.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达3个小时(含)以上的事件;
3.在业务服务时段导致单家金融机构两个(含)以上省业务无法正常开展达3个小时(含)以上,或一个省业务无法正常开展达6个小时(含)以上的事件;
4.业务服务时段以外,故障或事件救治未果、可能产生上述1至3类事件的事件。
(二)重大运营中断事件(Ⅱ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的事件;
2.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达半个小时(含)以上的事件;
3.在业务服务时段导致单家金融机构两个(含)以上省业务无法正常开展达半个小时(含)以上,或一个省业务无法正常开展达3个小时(含)以上的事件;
4.业务服务时段以外,故障或事件救治未果、可能产生上述
1至3类事件的事件。
(三)较大运营中断事件(Ⅲ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的事件;
2.在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达半个小时(含)以上的事件;
3.业务服务时段以外,故障或事件救治未果、可能产生上述1至2类事件的事件。(第79条)多选题:下列属于银行业特别重大运营中断事件(Ⅰ级)的是(ABCD)
A.重要信息系统服务中断造成特别严重经济损失的。B.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达3个小时(含)以上的。
C.在业务服务时段导致单家金融机构两个以上省业务无法正常开展达3个小时(含)以上。
D.在业务服务时段导致单家金融机构一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的事件。
※运营中断报告:按照属地监管原则,银监机构在商业银行运营中断事件发生后2小时内,将事件及处臵情况上报银监会处臵工作小组。(第80条)
判断题:按照属地监管原则,银监机构在商业银行运营中断事件发生后2小时内,应将事件及处臵情况上报银监会处臵工作小组。(√)
银行业金融机构外包风险管理指引
※适用范围:外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。(第3条)单选题:《银行业金融机构外包风险管理指引》中的外包指银行业金融机构将原来由自身负责处理的某些业务活动委托给(B)进行持续处理的行为。
A.服务制造商 B.服务提供商 C.服务销售商 D.服务维修商 ※外包活动的最终责任主体:银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。(第4条)单选题:银行业金融机构的董事会和(C)应当承担外包活动的最终责任。
A.社员代表大会 B.监事会 C.高级管理层 D.外包管理团队 ※关联关系调查:银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。(第13条)。
单选题:银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行(D)的调查。
A.管理能力 B.盈利能力 C.技术实力 D.关联关系 ※不宜外包的职能:银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。(第7条)
多选题:银行业金融机构下列哪些职能不宜外包(ABC)A.战略管理 B.核心管理 C.内部审计 D.绩效系统 ※外包服务提供商承诺事项:银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项:
(一)定期通报外包活动的有关事项;
(二)及时通报外包活动的突发性事件;
(三)配合银行业金融机构接受银行业监督管理机构的检查;
(四)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;
(五)不得以银行业金融机构的名义开展活动;
(六)银行业金融机构认为应当承诺的其他事项。(第16条)
多选题:银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项(ABCD)
A.定期通报外包活动的有关事项
B.配合银行业金融机构接受银行业监督管理机构的检查 C.保障客户信息的安全性
D.不得以银行业金融机构的名义开展活动
※不得转包:银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。(第18条)
判断题:银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。(√)
第五篇:北京分行2014年业务连续性`管理自我评估报告(通用版)
北京分行关于2014年业务连续性自我评估
报告
为全面了解我行业务连续性管理工作现状,根据总行的通知要求,北京分行开展了“2014年业务连续性管理评估”的工作,现将自我评估情况汇报如下:
一、总体评价
北京分行重视业务连续性的管理,坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合。完善业务连续性管理日常组织构架,建立业务连续性管理工作责任人制度,从而保证业务连续性管理各项工作的顺利进行。
分行内控合规部作为分行业务连续性管理牵头部门负责组织落实辖内各项业务连续性管理工作,协同业务营运部、信息科技部、办公室、保卫部等分行业务连续性管理的主要管理部门共同完成此次自我评估工作。
二、管理体系建设
为进一步完善我行业务连续性管理组织体系,确保业务连续性管理工作的高效开展,根据《 银行业务连续性管理办法(试行)》(行办„2012‟376号)、《关于建立业务连续性管理工作责任人制度的通知》(行办„2013‟57号)有关要求,分行制定了《北京分行业务连续性管理实施细则(试行)》、《北京分行业务连续性管理工作责任分工》等相关规定,建立完整的组织管理体系,明确业务业务连续性管理的牵头部门及各部门职责,明确应急处置组织架构。
三、预案建设及演练情况
北京分行注重应急预案的建设,要求各牵头部门不断完善应急预案,提高预案的可操作性,并指导和组织本条线开展应急演练,切实提高突发事件处置能力。
各牵头部门按照总分行紧急突发事件处置和管理的相关要求,对照本条线应急预案进行梳理,不断完善预案体系,明确相关部门和人员的责任,进一步提高应急预案的完备性、合理性及可操作性。
分行下属各单位重视预案演练工作,在牵头部门的指导和组织下开展各项应急演练工作,确保各项演练目标的有效实现,逐步提高我行应急处置工作能力和水平。
1、各单位严格按照总分行紧急重大事项报告制度要求和报告流程,对于符合分行强调的紧急重大事项报告范围的,一经发现,应立即向分行办公室及相关管理部门、单位负责人双线报告,不得迟报、瞒报。
2、分行办公室做好网络舆情的监测和处置工作,对可能引发银行业系统性、区域性风险和社会不稳定事件的信息加强预警和分析,及时按应急预案要求报告并采取有效措施,避免负面信息进一步扩散,将负面影响降到最低。
在2014年北京重大的活动如“两会期间及315”、“金融知识进万家活动”期间、“亚太经济合作组织会议”期间,北京分行均按照银监局的要求,提前做好各项服务保障应急预案。
3、进一步加强分行服务投诉的管理工作。分行相关部门加强对柜员和大堂经理进行优质服务专项培训,规范了服务投诉处理的方式方法和工作流程,并做好服务投诉处理的演练工作。
4、分行业务营运部根据总行要求,逐步完善营运业务的各项预案和准备工作,针对各种物理和人为的突发事件,进一步加强对营运人员的应急培训和全面演练工作,保证业务的连续性,并做好客户安抚、媒体应对等相关全面工作。
2014年9月13日,北京分行配合总行完成异地灾备切换演练。
5、分行科技部严格落实信息系统运行、维护及应急处置等各项管理制度,对生产系统、灾备系统、分行数据库、网络切换在运行中存在的故障和隐患进行严密排查,并及时予以排除,确保我行系统安全稳定运行及应急情况下持续运行。
2014年,完成“IT机房基础设施应急演练”、“核心网络系统应急切换演练”、“网络安全系统应急切换演练”等的专项演练工作。
6、分行安全保卫部持续加强各单位防火、防盗、防抢等突发恶性事件应急预案的培训和演练工作,每季度至少保持一次以上的“防抢劫、防盗窃,防诈骗,保护金融资产安全”的“三防一保”演练及消防安全知识培训,各单位演练力求接近实战,提高各单位应对和处置能力。同时,分行安保部结合演练的实际情况,逐步完善和优化安保方面的应急预案。
7、分行各部门及各支行按分行各项应急预案的管理要求,层层落实,并根据各部门及各支行的实际情况,制定具体的预案措施并落实专人负责,按照各项预案牵头部门的要求进行操作和演练,并做好相关书面记录和报告,根据实际操作情况,加强信息交流和反馈,对各项预案提出意见和建议。
四、应急资源建设
北京分行高度重视同城灾备系统建设工作,根据《北京银监局关于推进辖内商业银行分支机构分行级同城灾备系统建设的通知》(京银监发„2014‟142号)要求,结合我行实际情况,制定了《渤海银行北京分行同城灾备中心建设方案》,按照要求向北京市银监局、总行上报。
五、存在问题及后续工作
六、意见与建议
点击咨询 