商业银行信息科技风险现场检查指南
目录
第一部分概述 (12)
1. 指南说明 (13)
1.1 目的及适用范围 (13)
1.2 编写原则 (14)
1.3 指南框架 (15)
第二部分科技管理 (17)
2. 信息科技治理 (18)
2.1 董事会及高级管理层 (18)
检查项1 :董事会 (18)
检查项2 :信息科技管理委员会 (19)
检查项3 :首席信息官(CIO) (20)
2.2 信息科技部门 (21)
检查项1 :信息科技部门 (21)
检查项2 :信息科技战略规划 (23)
2.3 信息科技风险管理部门 (24)
检查项1 :信息科技风险管理部门 (24)
2.4 信息科技风险审计部门 (25)
检查项1 :信息科技风险审计部门 (25)
2.5 知识产权保护和信息披露 (26)
检查项1 :知识产权保护 (26)
检查项2 :信息披露 (26)
3. 信息科技风险管理 (28)
3.1 风险识别和评估 (28)
检查项1 :风险管理策略 (28)
检查项2 :风险识别与评估 (29)
3.2 风险防范和检测 (29)
检查项1 :风险防范措施 (29)
检查项2 :风险计量与检测 (30)
4. 信息安全管理 (32)
4.1 安全管理机制与管理组织 (32)
检查项1:信息分类和保护体系 (32)
检查项2:安全管理机制 (33)
检查项3:信息安全策略 (34)
检查项4:信息安全组织 (34)
4.2 安全管理制度 (35)
检查项1:规章制度 (35)
检查项2:制度合规 (36)
4.3 人员管理 (38)
检查项1:人员管理 (38)
4.4 安全评估报告 (39)
检查项1:安全评估报告 (39)
4.5 宣传、教育和培训 (39)
检查项1:宣传、教育和培训 (39)
5.系统开发、测试与维护 (41)
5.1开发管理 (41)
检查项1:管理架构 (41)
检查项2:制度建设 (43)
检查项3:项目控制体系 (44)
检查项4:系统开发的操作风险 (45)
检查项5:数据继承和迁移 (46)
5.2系统测试与上线 (47)
检查项1:系统测试 (47)
检查项2:系统验收 (49)
检查项3:投产上线 (49)
5.3系统下线 (50)
检查项1:系统下线 (50)
6. 系统运行管理 (52)
6.1 日常管理 (52)
检查项1:职责分离 (52)
检查项2:值班制度 (53)
检查项3:操作管理 (53)
检查项4:人员管理 (54)
6.2 访问控制策略 (55)
检查项1:物理访问控制策略 (55)
检查项2:逻辑访问控制策略 (56)
检查项3:账号及权限管理 (57)
检查项4:用户责任及终端管理 (58)
检查项5:远程接入的控制 (59)
6.3 日志管理 (60)
检查项1:审计日志检查 (60)
检查项2:日志信息的保护 (60)
检查项3:操作日志的检查 (61)
检查项4:错误日志的检查 (61)
6.4系统监控 (62)
检查项1:基础环境监控 (62)
检查项2:系统性能监控 (62)
检查项3:系统运行监控 (63)
检查项4:测评体系 (64)
6.5 事件管理 (65)
检查项2:事件管理和改进 (66)
检查项3:服务台管理 (67)
6.6问题管理 (67)
检查项1:事件分析和问题生成 (68)
检查项2:台账管理 (68)
检查项3:问题处臵 (68)
6.7 容量管理 (69)
检查项1:容量规划 (69)
检查项2:容量监测 (70)
检查项3:容量变更 (70)
6.8 变更管理 (71)
检查项1:变更的流程 (72)
检查项2:变更的评估 (72)
检查项3:变更的授权 (73)
检查项4:变更的执行 (73)
检查项5:紧急变更 (74)
检查项6:重大变更 (74)
7. 业务连续性管理 (76)
7.1 业务连续性管理组织 (77)
检查项1:董事会及高管层的职责 (77)
检查项2:业务连续性管理组织的建立 (78)
检查项3:业务连续性管理组织职责 (79)
7.2 IT服务连续性管理 (80)
检查项1:IT服务连续性计划的组织保障 (80)
检查项2:风险评估及业务影响分析 (81)
检查项3:IT服务连续性计划的制定 (81)
检查项4:IT服务连续性计划的测试与维护 (82)
检查项5:IT服务连续性计划审计 (83)
检查项6:IT服务连续性相关领域的控制 (84)
8. 应急管理 (85)
8.1 应急组织 (85)
检查项1:应急管理团队 (85)
检查项2:应急管理职责 (86)
检查项3:应急管理制度 (86)
8.2 应急预案 (87)
检查项1:应急预案制订 (87)
检查项2:应急预案内容 (87)
检查项3:应急预案更新 (89)
检查项4:外包服务应急 (89)
检查项5:应急预案培训 (90)
8.3 应急保障 (90)
检查项1:人员保障 (90)
检查项3:技术保障 (91)
检查项4:沟通保障 (91)
8.4 应急演练 (92)
检查项1:应急演练的计划 (92)
检查项2:应急演练的实施 (92)
检查项3:应急演练的总结 (93)
8.5 应急响应 (93)
检查项1:应急响应流程 (93)
检查项2:全程记录处臵过程 (94)
检查项3:应急事件报告 (95)
检查项4:与第三方沟通 (95)
检查项5:向新闻媒体通报制度 (96)
检查项6:应急处臵总结 (96)
8.6 持续改进 (97)
检查项1:应急事件评估 (97)
检查项2:应急响应评估 (97)
检查项3:应急管理改进 (97)
9. 灾难恢复管理 (99)
9.1 灾难恢复组织架构 (99)
检查项1:灾难恢复相关组织架构 (99)
9.2 灾难恢复策略 (101)
检查项1:总体控制 (101)
检查项2:灾难恢复策略 (101)
检查项3:灾难备份策略 (103)
检查项4:外包风险 (104)
9.3 灾难恢复预案 (105)
检查项1:灾难恢复预案 (105)
检查项2:联络与通讯 (106)
检查项3:教育、培训和演练 (107)
9.4评估和维护更新 (107)
检查项1:灾备策略的评估和维护更新 (107)
检查项2:灾难恢复预案的评估和维护更新 (108)
10. 数据管理 (109)
10.1 数据管理制度和岗位 (109)
检查项1: 数据管理制度 (109)
检查项2 :数据管理岗位 (110)
10.2 数据备份、恢复策略 (110)
检查项1:数据备份、转储策略 (110)
检查项2:数据恢复、抽检策略 (111)
10.3数据存储介质管理 (112)
检查项1:介质管理 (112)
检查项2:介质的清理和销毁 (113)
11. 外包管理 (114)
11.1外包管理制度 (114)
检查项1:外包管理制度 (114)
检查项2:外包审批流程 (114)
检查项3:外包协议 (115)
检查项4:服务水平协议 (115)
检查项5:外包安全保密措施 (116)
检查项6:外包文档管理 (116)
11.2外包评估和监督 (117)
检查项1:外包服务商的评估 (117)
检查项2:外包项目的监督管理 (117)
12. 内部审计 (119)
12.1 内部审计管理 (119)
检查项1:内部审计部门、岗位、人员和职责 (119)
检查项2:内部审计制度和办法 (119)
12.2 内部审计要求 (120)
检查项1:内部审计范围和频率 (120)
检查项2:内部审计结果的有效性 (120)
13. 外部审计 (122)
13.1 外部审计资质 (122)
检查项1:外部审计机构的资质 (122)
13.2 外部审计要求 (122)
检查项1:商业银行配合外部审计情况 (122)
检查项2:外部审计有效性 (123)
检查项3:外审过程中的保密要求 (123)
第三部分基础设施 (125)
14. 计算机机房 (126)
14.1计算机机房建设 (126)
检查项1:计算机机房选址 (126)
检查项2:机房功能分区 (127)
检查项3:计算机机房基础设施建设 (127)
检查项4:计算机机房的环境要求 (130)
检查项5:计算机机房日常维护 (131)
14.2计算机机房管理 (132)
检查项1:计算机机房安全管理 (132)
检查项2:计算机机房集中监控系统 (133)
检查项3:计算机机房安全区域访问控制 (134)
检查项4:计算机机房运行管理 (135)
14.3机房设备管理 (136)
检查项1:机房设备的环境安全 (136)
15. 网络通讯 (137)
15.1 内控管理 (137)
检查项1:内控制度 (137)
检查项3:访问控制 (138)
检查项4:日志管理 (139)
检查项5:第三方管理 (140)
检查项6:服务外包 (141)
检查项7:文档管理 (141)
检查项8:风险评估 (142)
15.2 网络运行维护 (143)
检查项1:运行监控 (143)
检查项2:性能监控 (143)
检查项3:流量监控 (144)
检查项4:监控预警 (144)
检查项5:性能调优 (144)
检查项6:事件管理 (145)
检查项7:运行检查 (145)
15.3 网络变更管理 (146)
检查项1:变更发起 (146)
检查项2:变更计划 (147)
检查项3:变更测试 (147)
检查项4:变更审批 (147)
检查项5:变更实施 (148)
15.4 网络服务可用性 (149)
检查项1:容量管理 (149)
检查项2:冗余管理 (149)
检查项3:带外管理 (150)
检查项4:压力测试 (151)
检查项5:应急管理 (151)
15.5 网络安全技术 (151)
检查项1:结构安全 (151)
检查项2:物理安全 (153)
检查项3:传输安全 (153)
检查项4:访问控制 (154)
检查项5:接入安全 (155)
检查项6:网络边界安全 (156)
检查项7:入侵检测防范 (157)
检查项8:恶意代码防范 (158)
检查项9:网络设备防护 (158)
检查项10:网络安全测试 (160)
检查项11:安全审计日志 (161)
检查项12:安全检查 (162)
16. 操作系统 (163)
16.1账号及密码管理 (163)
检查项1:管理制度 (163)
检查项3:账号、密码管理检查 (165)
16.2系统访问控制 (165)
检查项1:访问控制策略 (165)
检查项2:用户登录行为管理 (166)
检查项3:登录失败日志管理 (166)
检查项4:最小化访问 (167)
16.3远程接入管理 (168)
检查项1:远程管理制度 (168)
检查项2:远程维护管理 (169)
检查项3:远程维护审查 (169)
16.4日常维护 (170)
检查项1:系统性能监控 (170)
检查项2:补丁及漏洞管理 (170)
检查项3:日常维护管理 (171)
检查项4:系统备份和故障恢复 (172)
检查项5:病毒及恶意代码管理 (172)
检查项6:定时进程设臵管理 (173)
检查项7:系统审计功能 (173)
17. 数据库管理系统 (175)
17.1访问控制 (175)
检查项1:身份认证 (175)
检查项2:授权控制 (176)
检查项3:远程访问 (177)
检查项4:安全参数设臵 (178)
17.2日常管理 (178)
检查项1:数据安全 (178)
检查项2:审计功能 (179)
检查项3:性能管理 (180)
检查项4:补丁升级 (181)
17.3连续性管理 (181)
检查项1:备份和恢复 (181)
检查项2:连续性和应急管理 (182)
18. 第三方中间件 (184)
18.1 产品管理 (184)
检查项1:中间件测试 (184)
检查项2:中间件管理 (184)
检查项3:中间件与业务系统架构 (185)
18.2 运行管理 (185)
检查项1:维护流程和操作手册 (185)
检查项2:中间件配臵管理 (185)
检查项3:中间件日志管理的程序 (186)
检查项4:中间件的性能监控 (186)
检查项5:中间件产生的事件和问题管理 (187)
检查项6:中间件的变更 (187)
检查项7:单点故障问题和负载均衡 (187)
检查项8:压力测试 (188)
第四部分应用系统 (189)
19. 应用系统 (190)
19.1 应用系统管理 (190)
检查项1:业务管理办法与操作流程 (190)
检查项2:重要应用系统评估 (190)
检查项3:应用系统版本管理 (191)
检查项4:应用系统培训教育 (192)
19.2 应用系统操作 (192)
检查项1:终端用户管理 (192)
检查项2:访问控制与授权管理 (193)
检查项3:数据保密处理 (194)
检查项4:数据完整性处理 (195)
检查项5:数据准确性处理 (195)
检查项6:日志管理机制 (196)
检查项7:备份、恢复机制 (197)
检查项8:文档资料管理 (198)
检查项9:内部审计的参与 (199)
20. 电子银行 (200)
20.1 电子银行业务合规性 (200)
检查项1:电子银行业务合规性 (200)
20.2 电子银行风险管理体系 (201)
检查项1:电子银行风险管理体系 (201)
20.3 电子银行安全管理 (202)
检查项1:电子银行安全策略管理 (202)
检查项2:电子银行安全措施 (203)
检查项3:电子银行安全监控 (204)
检查项4:电子银行安全评估 (204)
20.4 电子银行可用性管理 (205)
检查项1:电子银行基础设施 (205)
检查项2:电子银行性能监测和评估 (205)
20.5 电子银行应急管理 (206)
检查项1:电子银行应急预案 (206)
检查项2:电子银行应急演练 (207)
21. 银行卡系统 (208)
21.1 银行卡系统管理 (208)
检查项1:银行卡系统容量的合理规划 (208)
检查项2:银行卡系统物理设备风险和故障处理 (209)
检查项3:银行卡交易监控 (209)
检查项4:账户密码和交易数据的存储和传输 (210)
检查项5:银行卡系统应急预案 (211)
21.2 终端设备 (212)
检查项1:自助银行机具和安装环境的物理安全 (212)
检查项2:自助银行机具的通信安全 (212)
检查项3:自助银行机具的安全装臵 (213)
检查项4:自助银行业务操作流程(机具软件) (213)
检查项5:自助银行机具的巡查维护 (214)
检查项6:POS机 (214)
21.3 自助银行监控 (215)
检查项1:自助银行设备日常运行的监控情况 (215)
检查项2:监控中心和监控设备 (215)
检查项3:自助银行监控发现问题的处臵情况 (216)
检查项4:自助银行设施安全评估(信息科技方面) (216)
22. 第三方存管系统 (217)
22.1 管理架构和职责 (217)
检查项1:管理架构与岗位职责分工 (217)
22.2 系统功能 (217)
检查项1:系统功能 (217)
22.3 系统一般安全与账户处理 (218)
检查项1:账户冲正处理 (218)
检查项2:网络访问控制与病毒防范 (218)
22.4 数据交换 (219)
检查项1:数据交换安全性 (219)
22.5 运行维护 (220)
检查项1:运行维护安全性 (220)
22.6 系统备份 (220)
检查项1:系统备份安全性 (220)
22.7 应急恢复与事故处理 (221)
检查项1:应急恢复与事故处理流程 (221)
22.8 系统测试 (221)
检查项1:系统测试 (221)
22.9 临时派出柜台 (222)
检查项1:系统派出柜台安全性 (222)
附录 (223)
23. 常用检查方法 (224)
23.1 问卷与函证 (224)
23.2 访谈 (225)
23.3 查阅 (226)
23.4 观察 (227)
23.5 测试 (227)
26.6 分析性复核 (230)
26.7 评审 (231)
24. 主要网络设备常用操作 (232)
24.1 Cisco设备常用操作 (232)
交换机 (232)
路由器 (233)
防火墙 (234)
24.2 H3C设备常用操作 (234)
交换机 (234)
路由器 (236)
防火墙 (237)
25. 主要操作系统常用操作 (238)
25.1 AIX系统检查常用操作 (238)
25.2 HP/UX系统检查常用操作 (246)
25.3 Solaris系统检查常用操作 (250)
25.4 Windows系统检查常用操作 (251)
26. 主要数据库管理系统常用操作 (256)
26.1 DB2 系统检查常用操作 (256)
26.2 Sybase 系统检查常用操作 (257)
26.3 Oracle 系统检查常用操作 (257)
26.4 Informix 系统检查常用操作 (259)
26.5 SQL SERVER系统检查常用操作 (261)
第一部分概述
1. 指南说明
1.1 目的及适用范围
信息科技与银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时,银行业对信息科技的高度依赖,使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求,与时俱进,大力加强信息科技风险监管,充分利用现场检查这一监管手段,深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况,发现问题、排查隐患,督促银行及时整改。商业银行信息科技风险现场检查工作,既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法,也是对银行机构信息科技风险状况进行准确分析和评价的重要手段,对及时预警风险,提高银行机构信息科技风险管控能力和水平,保护存款人和公众利益,维护金融体系安全和稳定有着重要的意义。
为提高信息科技风险现场检查质量,规范检查行为,银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下,全面总结信息科技现场检查经验,充分借鉴国外监管机构的检查规范和最佳实践,编写了《商业银行信息科技风险现场检查指南》(以下简称《指南》)。《指南》编制的主要目的在于:一是明确了商业银行目前主要的信息科技风险领域、主要风险点,阐明了检查思路和主要方法,帮
助检查人员明确检查目标,从而提高信息科技风险现场检查的有效性和针对性,提升现场检查质量,为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准,并提出了具体的检查要求和步骤,进一步规范了信息科技风险现场检查的程序、手段和行为,是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点,提出了风险识别、预警和控制的具体手段,商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想,应用到银行信息科技建设和管理实践中,成为指导银行全面开展科技风险防控、提升管理能力的有力武器。
《指南》主要适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查,应考虑区域经济水平、机构规模与公司治理结构差异,按照本指南的风险防控原则,结合实际情况进行检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本《指南》。
1.2 编写原则
一、突出风险为本的监管理念。《指南》坚持法人监管、风险为
本的监管理念,紧扣信息科技风险这一中心,详细说明了商业银行信息科技风险管理中的300多个关键风险点,明确提出了具体的控制要求和检查方法、步骤,涵盖了商业银行信息科技风险管控的各个方面和环节。
二、坚持分类监管的原则。《指南》参照相关行业标准和规范,指出了商业银行信息科技风险控制所应达到的标准,同时兼顾不同类型银行机构的特点体现分类监管原则,针对不同的被检查主体,在检查目标上有所区别和侧重,以便于监管人员正确把握检查标准和尺度,对商业银行的指导更具有针对性。
三、体现监管引领作用。《指南》借鉴了国际银行业信息科技风险管理和监管的最新理念,也充分吸收了国内先进银行的成功经验,商业银行可以对照《指南》分析差距,将《指南》要求作为持续提高信息科技风险管控水平的目标。
1.3 指南框架
《指南》强调:商业银行信息科技风险管理应以科技治理为核心,通过完善科技治理架构,形成有效内控机制,将信息科技风险管控理念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。
《指南》包含4个部分和附录,共26章节。第一部分“概述”主要介绍了编制《指南》的目的和适应范围、阐述了《指南》的编写原则等内容。第二部分“科技管理”包含12个章节,提出了对商业
银行信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份管理、数据管理、外包管理、内部审计、外部审计的基本要求、检查内容和检查方法、步骤等。第三部分“基础设施”包含5个章节,提出了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第三方中间件等基础设施的基本要求、检查内容和检查方法、步骤等。第四部分“应用系统”包含4个章节,提出了对商业银行核心业务系统、电子银行系统、银行卡系统、第三方存管系统的基本要求、检查内容和检查方法、步骤等。
附录包含4个章节,收录了常用检查方法和常用操作命令,常用操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命令、主要数据库管理系统常用操作命令等。
第二部分科技管理
2. 信息科技治理
商业银行的董事会和高级管理层应根据本银行的发展战略,运用先进管理理念加强信息科技治理,提高信息技术使用效益,推动商业银行的业务创新,增强核心竞争力和可持续发展能力。
提示:在对商业银行的信息科技治理情况进行检查和评价时,可根据银行机构的实际情况,按照分类监管、循序渐进的原则,合理把握标准与尺度。如,有的银行机构还不具备建立专门信息科技管理委员会的条件时,可以指定其他委员会暂时代行其职责,也可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会)承担其职责。又如:在监管部门没有对商业银行首席信息官制度作出更加明确的规定或银行机构还不具备设立首席信息官的条件时,可以指定一位具有科技从业背景或工作经验的高管人员承担首席信息官的工作职责。
2.1 董事会及高级管理层
检查项1 :董事会
基本要求:(1)董事会应对银行的信息科技治理负有最终责任。
(2)董事会应及时听取信息科技管理委员会和首席信息官的汇报,了解主要的信息科技风险。(3)信息科技重大事项的决策应经过董事会审议。
检查方法、步骤:(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息科技管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息科技风险;(c)董事会对信息科技重大事项和决策职责的界定,以及董事会信息科技重大决策的流程;(d)经过董事会讨论和决议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。
检查项2 :信息科技管理委员会
基本要求:(1)银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2) 信息科技管理委员会的职责应包括:(a)设定全行IT战略目标,指导IT方面的资金投入,对IT规划进行审批;(b)合理运用现有资源,指导信息科技部门提供高质量的IT服务,同时要监督IT成本管理情况;(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突;
(d)确保IT战略的及时更新;(e)对主要的IT政策、标准、原则进行审批;(f)对重要的IT项目和活动进行监控;(g)监督和管理IT绩效,确保达到预期IT服务水平;(h)对重大IT项目进行审批。(3)定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况, 面临的主要风险及其应对措施等。
检查方法、步骤:(1)访谈信息科技管理委员会成员,了解信息科技管理委员会的主要职责和开展的主要工作。如(a)是否确保信息科技战略与业务战略的一致性;(b)信息科技管理委员会是否了解本行主要的信息科技风险并制定了应对措施;(c)重大信息科技项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息科技管理委员会相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进行验证。(3)查阅信息科技管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。
检查项3 :首席信息官(CIO)
基本要求:(1)商业银行应建立首席信息官制度,明确其工作职责及报告路线。(2)首席信息官应了解并参与本行业务发展决策。(3)首席信息官应负责制定和及时更新信息科技战略,确保信息科技战略与业务战略保持一致。(4)首席信息官应确保信息科技职能的规范和有效运作。(5)首席信息官应领导和协调信息科技部门做好以下工作:信息科技预算和支出,信息科技政策、标准和流程制定及执行,信息科技内部控制、专业化研发,信息科技项目管理,信息系统和科技基础设施的建设、维护和运行管理,信息安全管理,应急管理和灾难恢复计划,信息科技外包和信息系统退出等。(6)首席信息官应确保信息科技人才队伍具备充分的专业技能。
检查方法、步骤:(1)访谈首席信息官,关注以下内容:(a)银行
基层银行业信息科技风险表现及防范对策 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]
基层银行业信息科技风险表现及防范对策 随着信息科技在银行业经营管理全过程的推广运用,银行对信息科技的依赖程度显着提高,在促进银行改进流程、加快发展的同时,银行业机构信息科技风险防范工作面临着新形势、新情况和新问题,信息科技风险事件凸现。加强基层银行业机构信息科技风险防范,对于维护银行业机构以及整个银行业体系的安全稳定至关重要。 一、当前银行业机构信息科技风险的主要表现 (一)数据大集中引发的风险 数据的集中直接带来了银行金融产品的升级和服务、管理手段的提高,但银行数据大集中后,可能带来的风险隐患也随之加大。一是不可抗力引发的风险。一旦出现突发的灾难事故,将导致系统性的业务停顿与客户流失,甚至会引起业务系统瘫痪,造成社会不稳定。二是系统安全维护工作不及时引发的危险。在数据大集中前,系统架构相对简单,原有的各地方数据中心均由技术人员负责辖内各系统的安全维护工作。由于他们对原系统涉及的各个环节比较熟悉,与系统软件开发商的联系较为密切,与区域内的网络运营商的协调能力较强,因此能迅速调动各种技术力量解决问题,对客户的响应时间较快。而数据集中后,虽然在管理上便于维护、升级,但由于数据集中后的系统的架构变得更加复杂,牵扯的各方面因素比原来大大增加,而且很多问题由于权限问题在市级分行层面漂统前置立韵无法得到很好的解决,往往需要向总行数据总中心反映,才能得到根本的解决,这在一定程度上削弱了现有数据中心技术人员应急抗灾能力和应变管理能力。三是外包风险。数据大集中后,对系统开发、网络管理、运行维护等的要求更加专业化了。 随着IT 外包服务的概念逐步被各银行业机构接受,各银行业机构开始尝试实施IT 服务外包,这既有利于银行降低运
xx银行客户服务管理办法 (暂行) 目录 第一章总则 第二章商行客户服务管理组织体系 第三章总公司商行项目管理工作小组工作职责第四章客户服务中心服务职责与要 求第五章客户服务监督考核第六章商行服务费用管理第七章附则 附件:项目领导小组与项目管理工作小组人员名单 第一章总则 第一条为了切实作好xx商业银行(以下简称“商行”)服务管理工作,增强服务竞争力,在商行系统内树立客服中心服务品牌,特制定本办法。 第二章商行客户服务管理组织体系 第二条商行成立项目领导小组 xx经理担任组长,xx任副组长,设立项目经理与副经理。小组职责:全面负责商行服务管理的领导、指挥、部署、决策、协调与管理工作。 第三条商行成立项目管理工作小组 工作小组由客户服务中心、xx中心、xx中心、xx务中心相关管理人员参与组成。 工作小组职责:在项目领导小组的领导下,负责商行服务项目的具体组织与实施,并负责客户服务的组织、管理、监督与考评工作。项目经理具体负责管理工作小组的相关工作。 第四条对应属于商行服务范围的各分行,各地客户服务中心成立商行项目小组
项目小组由1名负责人和1-2名服务专员组成,其中至少有1名服务人员持有资格证书。服务人员应具有良好的业务素质、高度的责任心与良好的敬业精神,能胜任客户的服务要求。 项目小组职责:在商行项目管理工作小组的领导下,按照本管理办法的要求为商行各级分行提供一流的专业服务。 第三章商行项目管理工作小组工作职责 第五条商行项目管理工作小组的客户服务职责如下:(一)制订保险手册 在商行总行与保险公司签署保险协议后,工作小组负责完成保险手册的制作,并在15日内组织各客户服务中心向商行各分支行提供。工作小组应向总行本部提供不少于20套保险手册。(二)组织分行统保集中培训 在商行总行与保险公司签署保险协议后,根据总行的要求,工作小组负责完成一级、二级分行的统保集中培训。(三)组织分行投保工作 根据商行总行与保险公司签署的保险协议,工作小组将在保险手册中明确投保、缴费操作流程,组织并指导各地客户服务中心协助商行各级分行完成投保工作。 (四)提供非常规案件索赔协助服务,包括: 1、协助各地客户服务中心进行重大索赔案件(非车险估损20万以 上,车险估损3万以上)的处理,包括对各地客户服务中心的索赔工作提供指导意见、提供索赔处理建议、参与现场的事故处理(必要时)、对索赔工作全程跟踪、协助与保险公司进行协调等,争取赔案的圆满解决。 2、协助各地客户服务中心进行各类疑难案件、通融赔付案件、久拖 未决案件的处理,包括对各地客户服务中心的索赔工作提供指导意见、 提供索赔处理建议、协助与保险公司进行沟通协调,争取赔案的圆满解决。 (五)组织开展风险管理工作 定期组织风险工程师或风险管理专家对商行相关分行进行风险评估,提供风险评估报告和风险管理建议。 (六)定期向商行总行提供各类报告,包括: 1、每季度风险管理简报; 2、每季度保险管理简报,包括投保汇总和赔案汇总分析等; 3、统保半年度报告和年度报告。(七)为商行总行提供保险咨询服务
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
毕业论文开题报告 金融学 我国商业银行操作风险管理探析 一、选题的背景与意义 银行业是一个高风险的行业,对风险的防范、管理和化解是银行业发展的永恒主题,而风险管理已经成为当前商业银行的生命线和核心竞争能力。科学有效的金融风险管理一方面可以保证金融机构健康、持续地运行,另一方面可以降低金融机构防范风险的资金成本,提高其竞争力。但是长期以来,国内商业银行将更多的注意力放在了信用风险和市场风险上,对操作风险关注较少。近几年来,国内商业银行连续发生的大案、要案使人们开始关注操作风险问题。特别是巴塞尔新资本协议的出台,进一步引发人们对操作风险的关注。当然,国内商业银行对操作风险的认识远未达到巴塞尔委员会的要求,在操作风险管理方面仍十分薄弱。因此在这种情况下,分析国内商业银行操作风险管理现状,归纳总结存在的问题,借鉴国际银行业对操作风险管理的研究成果,结合我国商业银行操作风险管理上的实际情况,建立和完善操作风险管理体系已经成为现代商业银行急需解决的重大课题,同时对推动操作风险管理研究的深入和提高操作风险管理水平具有积极的意义。 二、研究的基本内容与拟解决的主要问题: 基本内容: 本文首先对商业银行操作风险的基本内容进行介绍,其次对我国商业银行操作风险管理现状及成因进行分析,然后对国外先进银行操作风险管理的实践和经验进行介绍,最后结合我国商业银行的现状提出加强我国商业银行操作风险管理的策略。 提纲如下: 我国商业银行操作风险管理探析 1引言 2商业银行操作风险概述 2.1操作风险的定义 2.2操作风险的分类 2.2.1按业务性质分类 2.2.2按风险事件类型分类
2.3操作风险的特点 2.4操作风险的度量方法 2.4.1定性分析法 2.4.2定量分析法 2.5操作风险管理的必要性 3我国商业银行操作风险管理分析 3.1我国商业银行操作风险现状分析 3.2我国商业银行操作风险管理存在的主要问题 3.2.1对操作风险管理缺乏足够重视,认识不足及意识落后 3.2.2操作风险管理框架和体系仍不健全 3.2.3操作风险管理政策不统一 3.2.4操作风险管理缺乏电子化手段,手段过于单一 3.2.5尚未建立操作风险报告机制,缺乏量化管理数据 3.2.6缺乏操作风险管理人才 3.3我国商业银行操作风险管理问题的成因分析 3.3.1风险管理文化氛围不足 3.3.2内控和监管机制不健全 3.2.3人力资源管理因素 3.3.4外部环境因素 4国外先进银行操作风险管理的实践和经验 4.1汇丰银行操作风险管理的实践和经验 4.2美国银行操作风险管理的实践和经验 4.3经验总结 5加强我国商业银行操作风险管理的策略 5.1强化操作风险管理意识及文化 5.2完善商业银行公司治理结构和和内部控制体系 5.3构建全面的操作风险管理体系框架 5.4注重技术创新,积极推进操作风险管理工具的开发 5.5操作风险人力资源管理的优化 5.6创造良好的操作风险管理和监管外部环境 6总结 拟解决的主要问题:
XX农商银行关于科技信息 业务风险评估报告 根据《XXX农村信用社联合社关于印发XX农村信用社2015-2017年规划的通知》)及《XX银行2016年内控合规工作实施细则》的要求,风险合规部对我行科技信息部2016年度的相关业务进行了风险评估,现将评估情况情况报告如下: 一、总体情况 风险合规部于2016年12月1日至2016年12月5日对我行科技信息业务的风险状况进行了评估,主要从组织领导、制度管理、岗位管理、员工培训、安全设施等业务开展情况进行了检查,结合检查结果进行风险评估。 二、工作开展情况 (一)科技信息组织领导 通过查阅科技信息部考核办法和相关责任状,我行董事会设置了科技信息管理委员会,经营班子设置了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等领导组织,组织机构组建齐全。 (二)信息科技制度建设 通过查阅出台的信息科技制度、流程及办法,信息科技部组织制定了各项规章制度,并结合内部控制评价工作对相
关的科技管理制度和操作规程进行梳理和归类,及时修改相关制度办法,使其具有系统性、可操作性和全新性。 (三)信息科技管理部门及岗位 我行现已设立独立的科技管理工作部门并配有符合条件的科技人员,结合自身实际设立科技管理岗、主机系统维护岗、设备维护岗、设备保管岗、档案管理岗、风险控制及安全岗等必要的岗位,每个岗位配备2人以上操作维护人员,重要系统均配备A\B角,并定期轮换,制定相应的岗位职责。 (四)员工学习培训 通过查阅培训计划及资料、员工岗位轮换表、强制休假安排及审计报告,科技信息部年内组织开展了计算机知识的普及和应用轮训培训工作,严格落实上岗资格考试、岗位轮换和强制休假制度。 (五)设备管理和维护 通过查阅登记簿和检查记录,科技人员能够按照规定对计算机进行必要的设备日常监测、检查、记录,并及时掌握设备的运行状况。通过查阅运维综合管理平台,部门能够及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单,并对其认真审核后,及时提交相关部门处理;对营业网点上报的网络故障信息及时给予电话或现场指导。 (六)机房网络安全及消防设施
信息科技风险防控报告 一、风险防控工作的组织开展情况 我行面临的主要信息科技风险: 1.业务中断风险 保障业务连续性是我行信息科技工作中的最重要的部分。我行面临的首要的问题是信息系统建设的相对滞后跟不上业务高速发展的脚步。一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素,极易造成银行业务的中断。 2.数据安全风险 数据是我行的基础,我行要为客户提供一个可靠的环境确保数据资料的准确性和安全性。随着业务的发展,数据量不断增大,数据安全风险凸显。数据安全风险包括两方面:一是数据窃取,主要是数据遭到窃取或者恶意篡改,导致客户信息资料外泄,引发客户不满,引发法律风险问题;二是数据丢失,主要是受到自然灾害、房屋倒塌等突发事件造成的存储介质毁坏,导致存储介质中数据丢失。 3.电子银行与网络金融风险 电子银行风险主要是电子支付安全问题,包括ATM诈骗以及利用钓鱼、木马程序盗取客户的账号和密码等一些行为导致的客户资金的损失。网络安全是网
络金融风险的关键,一旦网络安全受到破坏,网络金融风险将一发而不可收。 4.系统漏洞风险 系统漏洞风险是银行信息系统开发缺陷被发现和利用的风险。系统漏洞风险在系统设计之初难以发现,随着系统的推广及运行,风险将逐渐暴露,一旦被人利用,会对我行造成极大影响。另外,系统的密码泄露和破解,也影响着系统的安全。 5.外包风险 外包风险主要是外包服务商能否长期稳定地为我行提供高质量的服务,能否及时响应并修复系统故障,确保外包业务连续性。我行如果过度依赖外包服务商,一旦出现突发情况,势必会影响我行业务持续开展。 二、风险防控工作采取的具体举措和成效 针对我行面临的主要的信息科技风险,我行在信息科技风险管理方面采取以下策略。 1.强化数据质量及安全管理 建立数据质量常态化管理机制,积累真实、准确、连续、完整的部和外部数据,确保外围管理系统数据应用质量要求,把控数据外泄风险。 上线数据库审计系统,对数据进行监控。能够实时记录数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、
商业银行合规风险管理指引 第一章总则 第一条为加强商业银行合规风险管理,维护商业银行安全稳健运行,根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》,制定本指引。 第二条在中华人民共和国境内设立的中资商业银行、外资独资银行、中外合资银行和外国银行分行适用本指引。 在中华人民共和国境内设立的政策性银行、金融资产管理公司、城市信用合作社、农村信用合作社、信托投资公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构以及经银监会批准设立的其他金融机构参照本指引执行。 第三条本指引所称法律、规则和准则,是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。 本指引所称合规,是指使商业银行的经营活动和法律、规则和准则相一致。 本指引所称合规风险,是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
本指引所称合规管理部门,是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位。 第四条合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险和信用风险、市场风险、操作风险和其他风险的关联性,确保各项风险管理政策和程序的一致性。 第五条商业银行合规风险管理的目标是通过建立健全合规风险管理框架,实现对合规风险的有效识别和管理,促进全面风险管理体系建设,确保依法合规经营。 第六条商业银行应加强合规文化建设,并将合规文化建设融入企业文化建设全过程。 合规是商业银行所有员工的共同责任,并应从商业银行高层做起。 董事会和高级管理层应确定合规的基调,确立全员主动合规、合规创造价值等合规理念,在全行推行诚信和正直的职业操守和价值观念,提高全体员工的合规意识,促进商业银行自身合规和外部监管的有效互动。 第七条银监会依法对商业银行合规风险管理实施监管,检查和评价商业银行合规风险管理的有效性。 第二章合规管理职责
商业银行信息科技风险动态监测规程 (征求意见稿) 第一章总则 第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。 第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章动态监测指标选取原则及分类
第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。 第七条监测指标选取遵循以下四个原则: (一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力; (二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况; (三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况; (四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。 第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。 第三章动态监测指标体系 第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
商业银行信息科技风险管理指引目录 第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计 第十章外部审计 第十一章附则第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计第十章外部审计第十一章附则展开编辑本段第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 编辑本段第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人设立一个由来自高级管理层、信息科技(五)员对信息科技风险管理重要性的认识。. 部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向
信息科技风险(Information Technology Risk) (一)信息科技治理(15分) 1.信息科技治理组织架构(8分) (1)是否确立董事会、高管层信息科技管理职责。 (2)是否建立完善的信息科技管理制度体系。 (3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。 (4)是否明确信息科技治理作为重要组成部分纳入公司治理。 评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。 (2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。 (3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。 (4)考察商业银行是否以正式制度(文件)明确信息科技
治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。 2.信息科技对业务发展的专业支持和匹配度(7分) (1)信息科技战略与业务发展战略的匹配度。 (2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。 (3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。 评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。 (2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。 (3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
分享快乐共享知识 银监中国银行业监督管理委员会关于印发《商业银行监管评级内部指引(试行)》的通知-日月30号2005年12发〔2005〕88各银监局:现将《商业银行监管评级内部指引(试行)》(以下简称《内部指引》)。印发给你们,并就有关事项通知如下:年度的评级,日起试行,对于各类商业银行2005年1月1一、《内部指引》于2006仍然沿用原来的风险评级办法。二、试行阶段,需要对定量指标的选择、权重系数的设定、标准值和分值区间的设置以进行更加充分的数据测试,必要时对有关定量指标和定性因素及其标准进行修订和完善,并将执”体系中的科学性和合理性。因此,请各银监局认真执行,保证各项评价标准在“打分行过程中发现的问题和建议及时报告银监会。《内部指引》采用定量与定性相结合的分析评价方法,其中定性因素的评价是难三、点,对于评级人员要求较高,评级人员须具备良好的监管业务素质和丰富的监管工作经验,能够依据定性评价因素及其并且充分了解和熟悉监管评级的所有要素以及评级原理和方法,工作监管人员的专业素质、准确的分析预测和判断评价。细化的评价标准对银行做出客观、很容易造成评级尺度对监管评级的理解和认识等方面的差异,经验、收集评级信息的情况、因此,请各银监局有计划、有步骤地安排相关严重影响评级结果的准确性和可比性。不一,培训工作,确保《内部指引》的顺利实施。《内四、监管评级有效的推行和使用,还有赖于规范的评级程序和工作制度。因此,请各银监局结合银监会监规定了严密规范的评级操作规程和清晰明确的职责分工,部指引》严格按照监管评级的流程和职责分工做好评级工作,管业务流程再造和监管资源整合等工作,以确保评级工作质量。监管信息系统建设工作的规划,《内部指引》试行后,银监会”“1104工程五、按照定性因素评价的规范实现定量指标评价的自动化,”,将据此开发“商业银行监管评级子系统化,并通过该系统对评级工作进行质量控制,提高评级工作的效率。防止监六、各级监管机构及其参与评级工作的监管人员应当严格遵守有关保密规定,管评级结果的误用和滥用。 商业银行监管评级内部指引(试行)总则第一章分类监管和风实现对商业银行的持续监管、为健全和完善商业银行的风险监管体系,进逐步统一同质同类银行的监管标准,险预警;为推行同质同类银行比较和差别监管模式,现行的评级体系(以下简称银监会)一步规范监管评级工作,对中国银行业监督管理委员会借鉴国际通用的法规和部门规章,修订和完善,依据我国现行的银行监管法律、进行整合、,广泛吸收英国、新加坡和香港等国家地区监管机构关于监管)评级体系”“骆驼(CAMEL评级的良好做法,并充分结合我国的具体实践,制定本指引。一、功能对商业银行的监管评级建立了有利于监管机构全面掌握商业银行的风险状况。(一)一个对银行机构的风险和经营状况的分析框架,提出了一系列分析银行风险的方法与标准,旨在帮助监管机构及时识别、判断银行的风险状况和严重程度。监管评级通过对商业银行有利于监管机构合理配置监管资源,提高监管效率。(二)监管机构据此确识别商业银行存在的风险和问题。主要经营管理要素的评价,系统地分析、它既是对监管机构一现场检查的频率和范围。定对商业银行的监管重点,包括非现场监管、卑微如蝼蚁、坚强似大象. 分享快乐共享知识 是对商业银个周期的持续监管的总结,同时也为下一个周期的持续监管提供了可靠的依据,行实施持续监管的重要监管工具。(三)有利于监管机构实施分类监管,针对性地采取监管措施,提高监管有效性。监管评级结果将作为监管机构实施分类监管和依法采取监管措施的基本依据。 二、适用范围本指引适用于在中华人民共和国境内依法设立的所有商业银行,包括中资商业银行、外资独资银行和中外合资银行。本指引适用于对上述金融机构法人机构的监管评级。监管机构可以依据本指引对新设立的商业银行进本指引不适用于新设立的商业银行。行试评级,但是评级结果不作为正式评级结果,且不与其他商业银行的评级结果作比较。评级要素第二章CapitalAdequacy)一、资本充足状况((一)定量指标:资本充足率;1.核心资本充足率。
-------------------------------------------------------------------------------- 商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握a主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。 (七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
中国银行业监督管理委员会关于印发《商业银行监管评级内部指引(试行)》的通知 -银监发〔2005〕88 号2005 年12 月30 日 各银监局: 现将《商业银行监管评级内部指引(试行)》(以下简称《内部指引》)。印发给你们,并就有关事项通知如下: 一、《内部指引》于2006年1月1日起试行,对于各类商业银行2005年度的评级,仍然沿用原来的风险评级办法。 二、试行阶段,需要对定量指标的选择、权重系数的设定、标准值和分值区间的设置 进行更加充分的数据测试,必要时对有关定量指标和定性因素及其标准进行修订和完善,以保证各项评价标准在打分”体系中的科学性和合理性。因此,请各银监局认真执行,并将执行过程中发现的问题和建议及时报告银监会。 三、《内部指引》采用定量与定性相结合的分析评价方法,其中定性因素的评价是难点,对于评级人员要求较高,评级人员须具备良好的监管业务素质和丰富的监管工作经验, 并且充分了解和熟悉监管评级的所有要素以及评级原理和方法,能够依据定性评价因素及其 细化的评价标准对银行做出客观、准确的分析预测和判断评价。监管人员的专业素质、工作 经验、收集评级信息的情况、对监管评级的理解和认识等方面的差异,很容易造成评级尺度 不一,严重影响评级结果的准确性和可比性。因此,请各银监局有计划、有步骤地安排相关 培训工作,确保《内部指引》的顺利实施。 四、监管评级有效的推行和使用,还有赖于规范的评级程序和工作制度。因此, 《内 部指引》规定了严密规范的评级操作规程和清晰明确的职责分工,请各银监局结合银监会监 管业务流程再造和监管资源整合等工作,严格按照监管评级的流程和职责分工做好评级工 作,以确保评级工作质量。 五、按照“ 1104工程”监管信息系统建设工作的规划,《内部指引》试行后,银监会 将据此开发商业银行监管评级子系统”,实现定量指标评价的自动化,定性因素评价的规范化,并通过该系统对评级工作进行质量控制,提高评级工作的效率。 六、各级监管机构及其参与评级工作的监管人员应当严格遵守有关保密规定,防止监管评级结果的误用和滥用。 商业银行监管评级内部指引(试行) 第一章总则 为健全和完善商业银行的风险监管体系,实现对商业银行的持续监管、分类监管和风 险预警;为推行同质同类银行比较和差别监管模式,逐步统一同质同类银行的监管标准,进一步规范监管评级工作,对中国银行业监督管理委员会(以下简称银监会)现行的评级体系进行整合、修订和完善,依据我国现行的银行监管法律、法规和部门规章,借鉴国际通用的 骆驼(CAMEL )评级体系”,广泛吸收英国、新加坡和香港等国家地区监管机构关于监管评级的良好做法,并充分结合我国的具体实践,制定本指引。 一、功能 (一)有利于监管机构全面掌握商业银行的风险状况。对商业银行的监管评级建立了 一个对银行机构的风险和经营状况的分析框架,提出了一系列分析银行风险的方法与标准,旨在帮助监管机构及时识别、判断银行的风险状况和严重程度。 (二)有利于监管机构合理配置监管资源,提高监管效率。监管评级通过对商业银行主
商业银行信息科技风险现场检查指南
目录 第一部分概述 (12) 1. 指南说明 (13) 1.1 目的及适用范围 (13) 1.2 编写原则 (14) 1.3 指南框架 (15) 第二部分科技管理 (17) 2. 信息科技治理 (18) 2.1 董事会及高级管理层 (18) 检查项1 :董事会 (18) 检查项2 :信息科技管理委员会 (19) 检查项3 :首席信息官(CIO) (20) 2.2 信息科技部门 (21) 检查项1 :信息科技部门 (21) 检查项2 :信息科技战略规划 (23) 2.3 信息科技风险管理部门 (24) 检查项1 :信息科技风险管理部门 (24) 2.4 信息科技风险审计部门 (25) 检查项1 :信息科技风险审计部门 (25) 2.5 知识产权保护和信息披露 (26) 检查项1 :知识产权保护 (26) 检查项2 :信息披露 (26) 3. 信息科技风险管理 (28) 3.1 风险识别和评估 (28) 检查项1 :风险管理策略 (28) 检查项2 :风险识别与评估 (29) 3.2 风险防范和检测 (29) 检查项1 :风险防范措施 (29) 检查项2 :风险计量与检测 (30) 4. 信息安全管理 (32) 4.1 安全管理机制与管理组织 (32) 检查项1:信息分类和保护体系 (32) 检查项2:安全管理机制 (33) 检查项3:信息安全策略 (34) 检查项4:信息安全组织 (34) 4.2 安全管理制度 (35) 检查项1:规章制度 (35) 检查项2:制度合规 (36)
4.3 人员管理 (38) 检查项1:人员管理 (38) 4.4 安全评估报告 (39) 检查项1:安全评估报告 (39) 4.5 宣传、教育和培训 (39) 检查项1:宣传、教育和培训 (39) 5.系统开发、测试与维护 (41) 5.1开发管理 (41) 检查项1:管理架构 (41) 检查项2:制度建设 (43) 检查项3:项目控制体系 (44) 检查项4:系统开发的操作风险 (45) 检查项5:数据继承和迁移 (46) 5.2系统测试与上线 (47) 检查项1:系统测试 (47) 检查项2:系统验收 (49) 检查项3:投产上线 (49) 5.3系统下线 (50) 检查项1:系统下线 (50) 6. 系统运行管理 (52) 6.1 日常管理 (52) 检查项1:职责分离 (52) 检查项2:值班制度 (53) 检查项3:操作管理 (53) 检查项4:人员管理 (54) 6.2 访问控制策略 (55) 检查项1:物理访问控制策略 (55) 检查项2:逻辑访问控制策略 (56) 检查项3:账号及权限管理 (57) 检查项4:用户责任及终端管理 (58) 检查项5:远程接入的控制 (59) 6.3 日志管理 (60) 检查项1:审计日志检查 (60) 检查项2:日志信息的保护 (60) 检查项3:操作日志的检查 (61) 检查项4:错误日志的检查 (61) 6.4系统监控 (62) 检查项1:基础环境监控 (62) 检查项2:系统性能监控 (62) 检查项3:系统运行监控 (63) 检查项4:测评体系 (64) 6.5 事件管理 (65)
Commercial Banks ' Information Technology Chapter I General Provisions Article 1. Pursuant to the Law of the People 's Republic of China on Banking Regulation and Supervision, the Law of the People's Republic of China on Commercial Banks, the Regulations of the People's Republic of China on Administration of Foreign-funded Banks, and other applicable laws and regulations, the Guidelines on the Risk Management of Commercial Banks' Information Technology (hereinafter referred to as the Guidelines) is formulated. Article 2. The Guidelines apply to all the commercial banks legally incorporated within the territory of the People's Republic of China. The Guidelines may apply to other banking institutions including policy banks, rural cooperative banks, urban credit cooperatives, rural credit cooperatives, village banks, loan companies, financial asset management companies, trust and investment companies, finance firms, financial leasing companies, automobile financial companies and money brokers. Article 3. The term “information technology ” stated in the