银行业金融机构分支机构信息科技
非现场监管报表
填报机构:
联系人:
联系方式:
目录
第一部分年度报表 (3)
F-B-1 信息科技基本情况表 (3)
F-B-1 填报说明 (5)
F-B-2 各类机房情况表 (8)
F-B-2 填报说明 (9)
F-B-3 信息系统管理情况表 (11)
F-B-3 填报说明 (15)
F-B-4 业务连续性情况表 (17)
F-B-4 填报说明 (17)
F-B-5 网络管理情况表 (19)
F-B-5 填报说明 (21)
F-B-6 外包管理情况表 (22)
F-B-6 填报说明 (23)
第二部分实时报表 (25)
F-A-1 信息科技组织、人员重大变动报告表 (25)
F-A-1 填报说明 (25)
F-A-2 信息科技重大突发事件报告表 (26)
F-A-2 填报说明 (27)
F-A-3 重大投产及变更报告表 (28)
F-A-3 填报说明 (29)
F-A-4 信息科技内外部审计情况报告表 (30)
F-A-4 填报说明 (30)
第三部分年度报告 (32)
F-R-1 信息科技年度报告 (32)
F-R-1 填报说明 (33)
银行业金融机构分支机构信息科技非现场监管报表填报须知 (34)
第一部分年度报表
□报送空表
F-B-1 信息科技基本情况表
填报部门:填报人:联系电话:责任人:填表日期:项目内容备注
信息科技管理职能分管行领导姓名:
信息科技管理职能部门名称:
信息科技管理职能部门工作报告路线:□总行直属□向分支机构主管领导报告□其他部门负责人姓名:手机号码:
信息科技正式员工数:(人)
是否设立专职信息安全岗位:〇是岗位人数(人)〇否
信息科技风险管理职
能是否明确信息科技风险管理职能(岗位):〇是职能部门(岗位)名称:〇否
本机构信息科技风险管理职能部门(岗位)人数:(人),其中具有IT专业背景的人数:(人)本年度是否已开展信息科技风险评估或安全检查:〇已开展项目数量:(个)〇未开展
信息科技风险评估或安全检查执行部门:□总行风险管理职能部门□本机构风险管理职能部门
□总行信息科技管理职能部门□本机构信息科技管理职能部门
□其他:
信息科技内部审计职
能本年度是否已开展(或接受)信息科技内部审计:〇已开展项目数量:(个)〇未开展
本年度信息科技内部审计性质:□信息科技全面审计□信息科技专项审计□综合性内部审计覆盖信息科技相关领域
本年度信息科技内部审计执行部门:□总行内部审计部门□总行直属区域性审计部门
□本机构内部审计职能部门□其他
3
基本情况规模:
资产规模:本年度:(亿元)同比增减:(%)
网点规模:本年度:(个)同比增减:(%)
投入:
总投入:本年度:(万元)同比增减:(%)
信息科技投入:本年度:(万元)同比增减:(%)信息科技投入占比:本年度:(%)同比增减:(%)人力:
全辖员工总数:本年度:(人)同比增减:(%)
全辖信息科技员工数:本年度:(人)同比增减:(%)信息科技员工占比:本年度:(%)同比增减:(%)业务:
账户总数:本年度:(户)同比增减:(%)
在行式ATM:本年度:(台)同比增减:(%)
离行式ATM:本年度:(台)同比增减:(%)
POS:本年度:(台)同比增减:(%)其中电话POS:本年度:(台)同比增减:(%)
4
附件:
1、信息科技管理职能部门组织结构。
部门名称职能隶属关系序号下设科室(岗位)名称人数职责描述(200汉字以内)
□总行直属
□分支机构内部专职部门
□隶属于分支机构其他部门
□其他1 …
N
注:分支机构可报送信息科技管理职能部门的组织结构图,但需至少包含上述表格中的基本信息。
2、本年度已完成的信息科技内部审计报告。
3、本年度已完成的信息科技风险评估或信息安全检查报告
F-B-1 填报说明
【信息科技管理职能】是指分支机构信息科技管理组织、人员等基本情况。
【信息科技管理职能部门工作报告路线】是指信息科技管理职能部门的主要工作报告路线。
【信息安全岗位】信息安全岗位是指分支机构信息科技管理职能部门内设专职负责信息安全管理、信息安全检查等岗位。以分支机构人力资源部门岗位职责定义为准。
【具有IT专业背景】是指具有3年以上信息科技专职工作经历,或具有本科以上信息技术、通信相关专业学历,或1年以上信息科技管理进修(培训)脱产学习经历。
【信息科技风险管理职能】是指分支机构信息科技风险管理组织和工作执行情况。
【是否明确信息科技风险管理职能(岗位)】是指分支机构明确有独立于信息科技部门的信息科技风险管理职能部门(岗位)。
5
【本年度是否已开展信息科技风险评估或安全检查】是指分支机构本年度已完成信息科技风险评估、信息安全检查、渗透性测试的情况。以相关报告是否已发布或是否已报送上级机构作为风险评估工作是否完成的判断标准。
【信息科技风险评估或安全检查执行部门】是指组织实施信息科技风险评估、信息安全检查或渗透性测试的部门。
【本年度已完成的信息科技风险评估或信息安全检查报告】是指分支机构本年度内已完成信息科技风险评估、信息安全评测等项目并出具正式评估报告,应将相关评估报告以附件形式向监管机构报送。
【信息科技内部审计职能】是指分支机构信息科技内部审计组织和工作执行情况。
【总行直属区域性审计部门】是指隶属于总行或相关职能部门,并负责对某地理区域内多家一级分支机构实施内部审计的总行部门。
【信息科技全面审计】是指由内部审计职能部门实施的覆盖信息科技各项活动的审计,包括但不限于《商业银行信息科技风险管理指引》中各专业领域。
【信息科技专项内部审计】是指内部审计职能部门实施的针对信息科技特定领域的审计。例如:信息科技外包风险审计。
【综合性内部审计覆盖信息科技相关领域】是指内部审计职能部门实施的涉及信息科技工作的综合性审计过程中,审计内容涉及信息科技相关领域。
【本年度是否已开展(或接受)信息科技内部审计】是指本机构自行组织实施信息科技内部审计,或接受总行或内审职能部门的审计。以内审报告发布与否作为内审项目是否完成的判断标准。
【本年度已完成的信息科技内部审计报告】是指分支机构本年度内已完成信息科技内部审计项目并出具正式审计报告,应将审计报告以附件形式向监管机构报送。
【资产规模】是指分支机构全辖拥有或者控制的现有总资产额或者固定资产额。此项数据以向银监会分支机构非现场监管信息系统报送数据为准。
【网点规模】是指分支机构下设经营性网点总数。以持有金融许可证为统计依据。
【总投入】是指分支机构全辖为全年的经营活动、投资活动和筹资活动投入的自筹或上级行划拨资金。其中:
1、经营活动投入资金主要包括:支付的利息/手续费及佣金、支付给职工以及为职工支付的资金、支付的各项税费、支付的租金及物业管理费、购买存货等其他与经营活动相关的资金;
2、投资活动投入资金主要包括:购建固定资产、无形资产和其他资产支付的资金、增加在建工程所支付的资金等;
3、筹资活动投入的资金主要包括:支付债券的利息等。计算公式:总投入=经营活动投入+投资活动投入+筹资活动投入。
【信息科技投入】是指分支机构为全年的各类信息科技经营管理活动、项目建设等投入的自筹或总行划拨资金。计算公式:信息科技投入=基础设施投入+电子设备采购投入+软件采购投入+系统开发项目投入+系统运营费用+信息科技人力资源费用+研究咨询项目费用+其他信息科技投入。
【全辖员工总数】是指分支机构全辖员工总人数,含正式和非正式员工总数。以分支机构人力资源部门的统计口径和数据为准。【正式员工】是指按照国家劳动合同法规定,与机构建立劳动关系,并订立劳动合同(合同期限在一年以上)的员工。【非正式员工】是相对正式员工而言,非正式员工未与
6
机构直接签订正式劳动合同或确定正式的劳动关系。非正式员工一般包括临时工、兼职人员、特别聘用人员与顾问人员等,但不包括外包人员。计算公式:全辖员工总数=正式员工总数+非正式员工总数。
【全辖正式科技员工数】是指分支机构全辖范围内承担信息科技岗位职责的正式员工总数。以分支机构人力资源部门的统计口径和数据为准。
【信息科技员工占比】是指本机构全辖信息科技正式员工在全体员工中的比重。计算公式:信息科技员工占比=信息科技正式员工数/分支机构全辖员工总数×100%。
【账户总数】统计分支机构辖内开办的公司账户、个人银行账户总数。【公司账户】特指除已销户账户外的所有以企业身份办理的账户总数。【个人账户】特指除已销户账户外的所有以个人身份办理的账户总数。计算公式:账户总数=公司账户数+个人账户数。
【离行式ATM】特指布放在银行网点之外的自动存款、取款、或存取款一体ATM设备。
【在行式ATM】特指布放在银行网点之内的自动存款、取款、或存取款一体ATM设备。
【POS】即销售终端(PointofSale)是一种多功能终端,安装在银行卡或信用卡的特约商户和受理网点中与计算机联成网络,就能实现电子资金自动转帐,它具有支持消费、预授权、余额查询和转帐等功能(本项统计POS总量,含电话POS在内)。
【电话POS】是指具有刷卡(POS)功能的电话、手机设备,用户可利用此类设备完成各种如转账还款、账单缴费等银行柜面业务。
7
□报送空表
F-B-2 各类机房情况表
填报部门:填报人:联系电话:责任人:填表日期:
序号项目内容备注
1 基本情况
机房类型:○生产机房○同城灾备机房○异地灾备机房
地址:
投产日期:年月日
主机房面积:(平米)
设计等级:○A类○B类○C类○其他
年检内容:□安防系统通过年检:○是○否
□消防系统通过年检:○是○否
□其他
运维情况:○自主运维○部分外包○整体外包
供电情况
双路市电接入:○是○否
双路市电来自不同变电所:○是○否
发电机/发电车:□自有发电机□自有发电车□租用发电机□租用发电车□未配备
发电机启动时间:(秒)
发电机油料储备可用时间:(小时)
UPS电池满载可用时间:(小时)
UPS系统容量设计:(KVA)
UPS实际负载峰值:(KVA)
UPS配臵模式:○存在单点○不存在单点
8
空调类型:□精密空调□普通空调□其他
空调配臵模式:○有冗余○没有冗余
门禁是否配备24小时安保人员:○是○否
安保人员所属部门:
门禁设备是否配备:○是○否门禁记录保存时间:(月)门禁类型:□IC卡□指纹□虹膜□其他
监控监控记录保存时间:(月)
监控范围:□温度□湿度□防水□防磁□防雷□防鼠□消防□安防□空调□UPS □发电机□配电□机房门禁□逃生通道□其他
报警方式:□声音□高亮□短信□邮件□电话□其他
消防灭火剂类型:□水□二氧化碳□七氟丙烷□烟烙尽□其他
机房其他情况是否具备防水措施:○是○否
是否具备防雷设施:○是○否
是否具备电磁屏蔽:○是○否
人工巡检频度:(次/天)
……
F-B-2 填报说明
【机房类型】生产机房:指分支机构用于放臵生产系统服务器、前臵机、网络通信设备以及其他用于支持营运的设备,用来对分支机构辖区内的业务、客户和管理等信息进行存储、处理和维护的场所;
9
灾备机房:指分支机构为保障业务连续性,用来接替生产机房运行或者存放生产机房数据备份介质的机房;
同城灾备机房:指与生产机房位于同一地理区域的灾备机房,一般距离数十公里,可防范火灾、建筑物破坏、电力或通信系统中断等事件;
异地灾备机房:指与生产机房位于不同地理区域的灾备机房,一般距离数百公里,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。
【主机房面积】机房的主体部分,用来放臵服务器、网络设备的功能区。
【设计等级】参见《电子信息系统机房设计规范》(GB50174-2008)。
【年检】指具有专业资质的单位对待检测系统的各项指标、性能进行的检测。如有其他年检系统,请在【其他】处填写年检系统名称以及是否通过年检。
【发电机/发电车】自有:指发电机/发电车的所有权归机构。
租用:指发电机/发电车的所有权不归机构,机构向其他单位租用发电机/发电车,包括发电机由机构所在办公楼物业提供的情况。
未配备:指发电机和发电车均未配备的情况。
【发电机启动时间】指发电机手动或自动启动至正常运行的时间。
【UPS实际负载峰值】指UPS运行时实际负载的最大值。
【UPS配臵模式】存在单点:指存在部分重要信息系统仅由UPS单机、单总线等方式供电的情况。
不存在单点:指不存在重要信息系统仅由单机、单总线等方式供电的情况。
【门禁】指对中心机房出入口、通道进行电子管控的设备。控制方式主要包括IC卡、密码锁、指纹、虹膜、掌纹、面部特征识别等方式。
【门禁记录保存时间】指门禁系统实际保存进出记录的最短时间。
【监控记录保存时间】指监控设备实际保存监控记录的最短时间。
【报警方式】指机房内监控监测到异常时的响应方式,包括声音提示、高亮显示、短信通知、邮件通知、电话通知等。
【灭火剂类型】参见《电子信息系统机房设计规范》(GB50174-2008)。
【电磁屏蔽】指用导电材料减少交变电磁场向指定区域的穿透。
【人工巡检频度】指工作人员每日对机房进行日常巡检的平均次数。
10
□报送空表
F-B-3 信息系统管理情况表
填报部门:填报人:联系电话:责任人:填表日期:项目内容备注
重要信息系统情况
序
号
系
统
名
称
系统类型采用的高可用技术系统的软硬件情况
本年度因故
障导致停机
或切换备机
次数、时长
本年度计划
内停机或切
换备机次数
备注1
○总行重
要信息系
统在分行
的延伸
○分行独
立运维的
重要特色
业务系统
○双机热备
○双机冷备
○负载均衡
○存在单点
○其它
服务器品牌型号
操作系统名称及版本
数据库名称及版本
次
小时
次
…
变更管理制度制定:□总行统一制定□本机构自行制定□未制定
审批流程:
变更过程:□事先制定操作方案□事先制定回退方案□事先备份
□保存操作记录□变更后签字确认□其它
复核方式:□无复核或安全审查□业务部门复核验证□风险管理部门复核审查□信息安全人员安全审查□内审部门对生产变更记录定期审计□其它
11
总行发起的对分支机构生产运行有影响的变更次数:次,其中紧急变更次数:次本分行发起的重要信息系统变更次数:次,其中,紧急变更:次
系统变更:次
数据变更:次
事件管理制度制定:□总行统一制定□本机构自行制定□未制定生产事件分级描述(必要时提交附件):
服务请求事件是否登记:○是○否
生产事件是否登记:○是○否
生产事件上报路线:
值班人员配备情况:○配备,7x24小时,○配备,非7x24小时,○未配备工作时间值班人数:
非工作时间值班人数:
值班人员有无非正式人员:○有○没有
是否外包:○是○否
是否专职:○是○否
本年度分行信息系统发生的告警或通知事件总数:次
问题管理机制:○未建立○已建立,简述方式:
操作管理科技运维岗配备的资料:□设备及系统的运维操作手册
□设备及系统的应急处理手册
□服务对象及技术支持的通讯录运行文档管理:□建立运维文档生命周期管理流程
□配备文档管理员岗位
12
□运行操作文档经经验丰富的开发和运维人员共同审核后正式发布,运行操作文档成为运维人员培训的主要内容
□建立文档变更流程保持运行操作文档与生产系统同步更新
□重要信息系统与运行操作文档保持一对一关系
备份管理制度制定:□总行制定□分支机构制定□未制定
备份介质存放:□机房建筑内□同城网点□异地
重要信
息系统
备份策
略
序
号
系统
名称
备份频度备份介质类型存放环境保存时间
备份数据可用
性验证1
□磁带
□光盘
□磁盘
□其他
□普通储柜
□保险箱
□其他
月
○未验证过
○不定期
○定期
频度:次/年…
本年度在真实生产环境中进行数据恢复的次数:次
网络设备配臵信息的备份覆盖率: %
网络设备配臵信息备份方式:备份频度:次/年
开发管理分行是否有开发职责:○是○否
开发模式:○部分外包○全部外包○不外包
开发人员独立性:○与运行人员职责分离○未与运行人员职责分离开发环境与生产环境独立:○物理隔离○逻辑隔离○未隔离
13
数据和信息管理系统管理员密码管理:□一次性密码令牌□密码信封□双人分段保管□密码管理系统
□定期修改□其他措施:
系统操作员密码管理:□一事一申请□一次性密码令牌□定期修改□密码系统生成
其他措施:
数据使用人员密码管理和权限管理:
□指定部门统一管理
□定期强制修改□人员变动、离职后注销
□存在多人共享账号密码现象
□其他措施:
是否具备生产数据提取使用和销毁流程:○是○否
概要描述分支机构本地系统保存了哪些客户敏感信息:
客户敏感信息管理:
分行ATM机具是否留存有客户账号或密码等敏感信息:
○是,客户敏感信息存储位臵:
客户敏感信息存储方式:□明文存储□部分信息加密存储□全部加密存储○否
分行电子渠道前臵机是否在本地留存有客户账号或密码等敏感信息:
○是,客户敏感信息存储位臵:
客户敏感信息存储方式:□明文存储□部分信息加密存储□全部加密存储○否
14
本地特色业务系统是否在本地留存有客户账号或密码等敏感信息:
○是,客户账号或密码等敏感信息存储位臵:
客户敏感信息存储方式:□明文存储□部分信息加密存储
□全部加密存储
客户敏感信息可接触人员:□前台操作人员□系统运维人员
□系统管理员□其他:
○否
计算机报废后存储介质是否销毁:○否○自行销毁,销毁方式:
○由外部机构销毁,机构名称:
人员变动时办公用计算机磁盘信息是否清理:○是○否
存储介质保修维护时是否允许维护人员带出行外:○是○否
对移动存储设备采取技术控制手段:
分行是否配备消磁机:○是○否
F-B-3 填报说明
【重要信息系统】包括:1总行定义的重要信息系统在分行的延伸,如前臵机等;2由分支机构负责运行维护的重要特色系统,不包括部署在总行的重要信息系统。
【高可用技术】指确保信息系统能够正常发挥其应有功能的能力,免受事件、变更、例行维护等因素影响的技术,如:虚拟化、集群、负载均衡、双机热备、双机冷备、硬件冗余等技术。
【变更】指任何可能影响信息科技服务连续运行的信息系统变动事件。
15
【变更管理】变更管理的主要目标是完成有益的变更,同时最小化对IT 服务的中断。变更管理的范围包括所有的信息科技服务、配臵项、流程、文档等,负责控制所有变更的生命周期的流程。
【紧急变更】指必须尽快引入的变更。通常需建立特定的流程来处理紧急变更。
【系统变更】指对信息系统软硬件和参数、网络设施和机房基础设施的变更。
【数据变更】指对数据库或数据文件内容进行的变更。
【事件】事件通常表示任何信息科技服务、配臵项或监视工具产生的告警或通知,指对信息科技服务管理或配臵项有重大意义的状态变化。事件通常需要运行人员介入并采取行动。
【事件管理】负责管理事件生命周期的流程。事件管理是IT 运营的主要活动之一。
【生产事件】指由生产系统引发的问题导致告警或通知等事件。
【服务请求】指功能方面的问题或请求,包括状态查询、口令重臵、数据库提取等请求。
【生产用户】指需要登录生产环境或者在生产系统中进行读和/或写操作的用户。
【数据备份策略】指包括数据类型、备份周期(含定期备份(日、周、月)和非定期备份(如变更前备份))、备份内容等。
【备份频度】备份频度指对生产数据进行一次完整可恢复备份的最小周期。
【备份介质及数据的可用性验证】备份介质及数据的可用性验证指验证备份介质上的数据是否可用、准确,验证方法包括在测试环境中把备份数据恢复至系统中,检查恢复是否成功,内容是否正确等。
【开发人员】指进行信息系统开发和测试的科技人员,包括正式行员与外包人员。
【运行人员】指对信息系统进行运行状态的监控、每日批量处理等工作的技术人员。
【系统管理员】指管理维护操作系统、应用系统、数据库系统和网络系统等信息系统的科技人员。
【客户敏感信息】是指涉及客户身份、账户和交易的信息。
【数据使用人员】指分支机构业务部门或科技部门中能够批量访问客户信息、交易信息等生产数据的员工。
【存储介质销毁】指销毁计算机中的存储介质,如对硬盘进行粉碎等。
16
□报送空表
F-B-4 业务连续性情况表
填报部门:填报人:联系电话:责任人:填表日期:项目内容备注
应急与业务连续性的基本情况业务连续性制度制定:□总行制定□分支机构□未制定
业务连续性组织架构:○未建立○已建立,包含部门:
业务连续性牵头部门:
信息科技应急处臵组织架构:○未建立○已建立,包含部门:
应急预案的制定与演练情况序号应急预案名称
本年度应急
演练次数
最后一次应
急演练日期
演练结果及发现的问题
是否保存
演练记录1
…
突发事件分级管理情况突发事
件分级
○未建立
○已建立
序号
突发事件内部
级别名称
划分标准
本年度发
生次数1
…
F-B-4 填报说明
【业务连续性制度制定】如总行与分支机构分别制定了业务连续性制度,复选总行制定和分支机构制定选项。
17
【应急预案名称】按现有的应急预案逐项列出,包括分支机构执行总行的应急预案及分支机构自行制定的应急预案。
【演练结果及发现的问题】简要描述该预案最后一次应急演练结果、发现的主要问题及处理情况。
【突发事件】是指重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的,影响业务持续开展,需要釆取应急处臵措施应对的事件。
【突发事件分级】指机构对突发事件依照其影响范围、持续时间及所影响业务的性质等因素所进行的分级。各机构可在遵循监管要求情况下根据机构自身管理要求进行分级标准的制定和突发事件分级管理。突发事件内部级别名称依据机构制定的内部分级制度,按照级别逐级列出。
【划分标准】指机构制定的突发事件分级具体划分标准。
【本年度发生次数】统计本年度该级别突发事件发生次数。
18
□报送空表
F-B-5 网络管理情况表
填报部门: 填报人: 联系电话: 责任人: 填表日期: 项目内容备注
网络安全域划分序
号
名称用途可访问哪些网络域可被哪些网络域访问隔离措施远程接入
1
□防火墙
□入侵检测系统(IDS)
□入侵防御系统(IPS)
□访问控制列表(ACL)
□虚拟局域网(VLAN)
□其他
□不允许
□互联网
□VPN
□无线网络
□电话拨入
□其他
…
…
网络边界控制
安全边界控制措施
生产网与办公
网边界
□物理隔离□异构防火墙□热备防火墙□单防火墙□入侵检测系统(IDS)□入侵防御系统(IPS)□
访问控制列表(ACL) □恶意代码过滤□其他
生产网与外联
网边界
□物理隔离□异构防火墙□热备防火墙□单防火墙□入侵检测系统(IDS)□入侵防御系统(IPS)□
访问控制列表(ACL) □恶意代码过滤□其他
19
办公网与互联网边界□物理隔离□异构防火墙□热备防火墙□单防火墙□入侵检测系统(IDS)□入侵防御系统(IPS)□访问控制列表(ACL) □恶意代码过滤□其他
核心网络设备
设备名称
序
号
采取的高可用
措施
内存峰
值(%)
CPU峰
值(%)
设备型号
已投产年限
(年)
是否纳入网管监控日志保存方式核心路由器
1
○负载均衡
○存在单点
○是
○否
○日志服务器集
中保管
○未集中保管
○不保存…
…
核心交换机
1
○负载均衡
○存在单点
○是
○否
○日志服务器集
中保管
○未集中保管
○不保存…
…
线路情况至总行生产中心:线路条数(条),不同运营商(家),主线路带宽
至总行灾备中心:线路条数(条),不同运营商(家),主线路带宽
至分本机构灾备中心:线路条数(条),不同运营商(家),主线路带宽至下级行单运营商线路比例:(%)
访问控制从内部办公网访问互联网:□不允许□允许无控制□允许有控制控制措施行外设备接入内网:□不允许□允许无控制□允许有控制控制措施行内设备接入生产网的控制措施:□无控制□有控制控制措施
行内设备接入办公网的控制措施:□无控制□有控制控制措施
20
银行业金融机构案防工作办法 第一章总则 第一条为了加强案防工作,维护银行业金融机构安全稳健运行,根据《中华人民共和国银行业监督管理办法》、《中华人民共和国商业银行法》、以及其他有关法律法规,制定本办法。 第二条中华人民共和国境内设立的各银行业金融金钩适用本办法。中华人民共和国境内设立的金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、外国银行分行以及经国务院银行业监督管理机构批准设立的其他金融机构参照适用本办法。 第三条银行业金融机构案防工作的目标是,通过建立健全案防管理体系,完善案防管理制度和流程,强化法人负责和责任追究,推进案防长效机制建设,实现案防关口前移,及早防范和化解案件风险。第四条本办法所称案件是指银行业金融机构从业人员独立实施或参与实施的,或外部人员实施的,侵犯银行业金融机构或客户资金或其他财产权益的,涉嫌触犯刑法,已由公安、司法机关立案侦查或按规定应当移送公安、司法机关立案查出的刑事案件。 第五条银监会及其派出机构依法对银行业金融机构案防工作实施监督管理。 组织架构
第六条银行业金融机构是案防工作第一责任主体,应当按照本办法要求,建立与本机构风险管理、资产规模和业务复杂程度相适应的案防管理体系,有效监测、预警和处置案件风险。案防管理体系至少应当包括以下基本要素: 董事会(或理事会等,下同)职责; 监事会职责; 高级管理层职责; 适当的组织架构; 管理政策、制度和流程; 内部监督与检查。 第七条董事会应当将案件风险作为银行业金融机构的一项重要风险,将董事长列为案件风险防范第一责任人。董事会应当下设合规委员会或承担合规管理职责的专门委员会(以下简称专门委员会),专门委员会对董事会负责,根据董事会授权组织指导案防工作。专门委员会中应当至少有一名独立董事成员。专门委员会在案防方面的主要职责包括: (一)审议批准案防工作总体政策,推动案防管理体系建设;(二)明确高级管理层有关案防职责及权限,确保高级管理层采取必要措施有效监测、预警和处置案件风险; (三)提出案防工作整体要求,审议案防工作报告; (四)考核评估本机构案防工作有效性;
信息科技风险管理办法 第一章总则 第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章机构职责 第五条根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
大数据在金融行业的应用与发展展望 现如今,人们的生活中无不充斥着互联网的痕迹,越来越多的行为和事件被大数据记录又被大数据影响,金融行业因其安全性的重要更是与大数据技术息息相关。 金融业务对于数据应用的广泛性与质量要求 在互联网发展日新月异的时代背景下,人们的生活、工作、消费、活动的习惯与行为特点在被不断重塑,大量数据被留存记录,各行业对于数据的挖掘和使用有了适应时代发展的新特点,这在银行等金融机构的业务中尤为凸显。获客、信用风险控制、留存客户、触发客户消费是金融行业的几大痛点,而以集奥聚合(北京集奥聚合科技有限公司简称)为代表的大数据技术公司引领的大数据行业的发展正好满足了这些需求,有效克服了目前金融机构数据来源单一、覆盖率不足、数据挖掘程度不深等问题。 金融行业既涉及宏观国民经济的方方面面,又与微观社会主体的经济生活密切相关,中国是一个人口大国,也是社会活动多样性的代表性国家,金融机构为了在纷繁的条件下做出正确的商业判断越发需要依据海量的高质量数据进行分析,但这也与相关数据覆盖人群不足、信息孤岛尚未联通等社会大环境形成了相对矛盾。例如,在个人信用风险控制方面,过去金融机构主要依托从各金融机构上报的信贷类数据的集中管理者——人民银行征信中心调取相关数据对于个人
进行信用评价,但人民银行征信中心的数据并未对中国全部人口有实质性的广泛覆盖,甚至可以说只覆盖了偏少一部分有信贷、信用卡消费记录的人群,加之考虑到因互联网金融日益发展等因素而对金融产品需求愈发多样的人群,仅基于信贷类数据评价这些人群可能会误伤很多暂时还没有信贷纪录的中低收入人群,利用不同来源的“大数据”及相关技术(以下统称大数据)解决个人客户信用评价的全面性与客 观性问题的重要作用凸显出来。 有价值大数据汇聚具备的特点 有价值的大数据的汇聚具备以下特点,这也是金融业应用大数据时要考虑的关键: 一、数据的联通性。由于很多数据是基于不同渠道、场景和主键进行的汇聚,要把这些碎片化数据进行准确整合,需要有很强的ID MAPPING能力,数据的联通解决不同数据是否归属于同一主体的能力。问题举例,10条行为信息,究竟是10个不同主体产生的,还是1个人在10个不同渠道留下的,不同的判断会直接影响数据分析的结果。 二、数据的连续性。数据汇聚需要在“约定“的频率下持续不断、全面地进行才能产生集合价值。首先,数据连续性要求数据源本身具备稳定提供数据的能力、数据全面和质量可靠的能力。就完整和可靠而言,金融机构是公认的最完整和可靠的数据来源。就稳定性而言,
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
国内银行业金融机构概览 截至2011年底,我国银行业金融机构包括2家政策性银行及国家开发银行,5家大型商业银行,12家股份制商业银行,144家城市商业银行,212家农村商业银行,190家农村合作银行,2,265家农村信用社,1家邮政储蓄银行,4家金融资产管理公司,40家外资法人金融机构,66家信托公司,127家企业集团财务公司,18家金融租赁公司,4家货币经纪公司,14家汽车金融公司,4家消费金融公司,635家村镇银行,10家贷款公司以及46家农村资金互助社。我国银行业金融机构共有法人机构3,800家,从业人员319.8万人。 1、政策性银行 (1)国家开发银行 国开行,全称国家开发银行(China Development Bank),于1994年3月成立,直属国务院领导。目前在全国设有32家分行和4家代表处。十年来,开行认真贯彻国家宏观经济政策,发挥宏观调控职能,支持经济发展和经济结构战略性调整,在关系国家经济发展命脉的基础设施、基础产业和支柱产业重大项目及配套工程建设中,发挥长期融资领域主力银行作用。 (2)中国进出口银行 中国进出口银行成立于 1994 年,是直属国务院领导的、政府全资拥有的国家银行,其国际信用评级与国家主权评级一致。
中国进出口银行总部设在北京。截至2011年末,在国内设有21家营业性分支机构;在境外设有东南非代表处、巴黎代表处和圣彼得堡代表处;与1250多家银行的总分支机构建立了代理行关系。 中国进出口银行的主要职责是为扩大我国机电产品、成套设备和高新技术产品进出口,推动有比较优势的企业开展对外承包工程和境外投资,促进对外关系发展和国际经贸合作,提供金融服务。 (3)中国农业发展银行 中国农业发展银行是直属国务院领导的我国唯一的一家农业政策性银行,1994年11月挂牌成立。主要职责是按照国家的法律、法规和方针、政策,以国家信用为基础,筹集资金,承担国家规定的农业政策性金融业务,代理财政支农资金的拨付,为农业和农村经济发展服务。全系统共有30个省级分行、300多个二级分行和1800多个营业机构,服务网络遍布除西藏自治区外的中国大陆地区。 2、国有商业银行 指工、农、中、建、交5大行,即: 1)中国工商银行 2)中国农业银行 3)中国银行 4)中国建设银行
金融机构数据报送及使用操作手册 (银行版) 2014年9月
目录 第一章系统配置 (1) 1.1网络设置 (1) 1.2域名设置 (1) 1.3浏览器设置 (2) 1.4设置用户及权限 (6) 1.5访问测试并下载安装数据报送插件 (9) 第二章对外资产负债业务功能说明 (10) 2.1对外金融资产负债及交易数据报送 (10) 2.1.1数据在线填报 (11) 2.1.2数据上报 (13) 2.1.3查看已报送数据 (13) 2.1.4已报送数据修改 (14) 2.1.5已报送数据删除 (15) 2.1.6功能菜单介绍 (16) 2.2对外金融资产负债及交易数据查询 (18) 2.2.1核查结果数据查询 (18) 2.2.2接口报送情况查询 (19) 2.2.3数据查询 (19) 第三章个人外币现钞存取业务功能说明 (20) 3.1个人外币现钞存取数据报送 (20) 3.1.1数据在线填报 (21) 3.1.2数据上报 (22) 3.1.3查看已报送数据 (23) 3.1.4已报送数据修改 (24) 3.1.5已报送数据删除 (25) 3.1.6功能菜单介绍 (26) 3.2个人外币现钞存取数据查询 (27) 3.2.1接口数据报送校验查询 (27) 3.2.2数据查询 (28) 第四章常见问题处理 (29) 4.1数据报送插件下载与安装 (29) 4.2浏览器安全警告问题 (29) 4.3手动下载并安装数据报送插件的方法 (30) 4.4填报页面出现乱码问题 (31) 4.5EXCEL报表不能正常导入问题 (34) 4.6填报的数据无法上报问题 (35) 4.7WIN7系统修改HOSTS文件问题 (35) 4.8无法显示该网页问题 (36)
银行业金融机构数据 治理指引
银行业金融机构数据治理指引 (征求意见稿) 第一章总则 第一条(立法依据)为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。 第二条(适用范围)本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。 本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。 第三条(数据治理定义)数据治理是指通过建立组织架构,明确董事会、高级管理层、部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。 第四条(数据治理总体要求)银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。 第五条(数据治理原则)银行业金融机构数据治理应当遵循以下基本原则:
(一)全覆盖原则:覆盖数据的全生命周期;覆盖业务经营、风险管理和内部控制流程中的全部数据;覆盖内部数据和外部数据;覆盖所有分支机构和附属机构;覆盖监管数据。 (二)匹配性原则:数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。 (三)持续性原则:数据治理应当持续开展,建立长效机制。 (四)有效性原则:数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。 第六条(监管数据)银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。 法定代表人或主要负责人对监管数据质量承担最终责任。 第七条(依法监督)银行业监督管理机构依据本指引对银行业金融机构数据治理情况实施监管。 第二章数据治理架构 第八条(总体要求)银行业金融机构应当建立组织架构健全、职责边界清晰的数据治理架构,明确董事会、监事会、高级管理层和相关部门的职责分工,建立多层次、相互衔接的运行机制。
银行业金融机构授信管理制度 第一章总则 第一条为加强对银行客户信用风险管理,提高信贷管理水平和金融服务水平,根据银监会《商业银行授信工作指引》、《商业银行内部控制指引》以及人民银行《商业银行授权、授信管理暂行办法》、《商业银行实施统一授信制度指引》等法律法规的规定,以及银行的《内部控制指引》、《信贷审查委员会议事规则》关于授信的相关规定,结合银行实际情况,特制订本制度。 第二条本制度所称统一授信是指在银行对客户的风险和财务状况进行综合评价的基础上,对单一法人客户统一确定最高综合授信额度,实施集中统一控制客户信用风险的信贷管理制度。银行对客户提供的本外币贷款、承兑、贴现、信用证、国际结算项下贸易融资、担保等表内外信用余额之和不得超过最高综合授信额度,该授信额度可在授信期限内滚动使用。 第三条银行实施统一授信制度。统一授信所指“统一”,包括以下四个方面的统一: (一)授信主体的统一。即银行作为一个整体统一向客户提供授信。信贷审查委员会是按上会标准审核批准银行客户授信的最高权力机构。 (二)授信形式的统一。银行按照统一的标准识别和评价客户的整体信用风险。并将客户的授信风险总量控制在授信风险限额之内。 (三)不同币种授信的统一。将本币业务授信与外币业务授信置于同一授信额度之下。 (四)授信对象的统一。授信对象必须是符合银行授信条件的企业法人客户。 第四条银行在确定对法人客户的最高综合授信额度的同时,应根据风险程度获得相应的担保。有条件授信时,必须先落实条件后实施授信,条件未落实或条件变更,不得实施授信。 第五条银行建立统一的授信审批程序及执行程序。 (一)授信审批程序。 1.未达信贷审查委员会审议标准的,按业务部门发起授信申请、风险管控部授信审 查、总经理审批的流程执行; 2.达到信贷审查委员会审议标准的,按业务部门发起授信申请、风险管控部授信审查、信贷审查委员会审议、总经理审批的流程执行。 (二)授信执行程序。最高授信额度确定后,各种具体授信形式的发放应由各业务部门按银
个人信用信息基础数据库数据(金融机构)用户管理办法
个人信用信息基础数据库数据金融机构用户管理办法(暂行) 一总则 第一条为了保障个人信用信息基础数据库(以下简称“系统”)的数据安全,保证系统的正常运行,规范系统中各级用户的管理,制定本办法。 第二条征信服务中心负责系统的日常运行和维护。 第三条金融机构及其分支机构应分别指定专人负责系统用户管理、数据上报及信息查询。 第四条系统各级用户的权限划分、创建以及管理等应当严格遵守本办法的规定。 二用户种类及其权限 第五条系统采用多级用户体系,用户分为各级用户管理员和普通用户两种。 第六条金融机构的用户角色和权限。 (一)用户管理员:负责管理同级普通用户和下一级用户管理员,具体是:新建用户、修改用户资料和权限、查询用户信息、停用/启用用户、重置用户密码、下级机构权限维护。 (二)普通用户:分为信息查询员和数据上报员,分别负
责个人信用信息查询和对人民银行的数据上报。 1、信息查询员:单笔信用报告查询;修改登录密码;查看自己的基本资料和权限。 2、数据上报员:报文预处理;报文报送;报文上报情况查询;修改登录密码;查看自己的基本资料和权限。 三用户的职责 第七条金融机构的各级用户管理员应严格按照相关规定进行操作。不得随意增加或删除用户的权限,不得随意修改用户的基本信息。对创建的所有用户都应登记造册,以备征信服务中心检查。 第八条金融机构的数据上报员应按征信服务中心要求及时、准确、全面地上报本行的数据。 第九条信息查询员由金融机构负责个人贷款、贷记卡和准贷记卡审核、风险管理的业务和管理人员担任。 第十条金融机构要保存与查询目的相关的原始文档,人民银行征信管理部门有权对各行查询的合法、合规性进行检查。 第十一条金融机构是否有查询行为以个人信用信息基础数据库中的查询记录为准。 四用户的创建 第十二条各级用户的创建规则。 金融机构的总部级用户管理员负责创建总部的普通用户和直属下级机构的用户管理员,以此类推。
银行业金融机构董事(理事)和高级管理人员任职资格管理办法(征求意见稿) 第一章总则 第一条为进一步完善对银行业金融机构董事(理事)和高级管理人员任职资格的管理,促进银行业的合法、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国行政许可法》等法律、行政法规,制定本办法。 第二条本办法所称银行业金融机构(以下简称“金融机构”),是指在中华人民共和国境内设立的商业银行、农村合作银行、村镇银行、农村信用合作社、农村信用合作联社、外国银行分行等吸收公众存款的金融机构以及政策性银行。 在中华人民共和国境内设立的金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司、贷款公司、农村信用合作社联合社、省(自治区)农村信用社联合社、农村资金互助社、外资金融机构驻华代表机构以及经监管机构批准设立的其他金融机构的董事(理事)和高级管理人员的任职资格管理,适用本办法。 第三条本办法所称高级管理人员,是指金融机构总部及分支机构管理层中对该机构经营管理、风险控制有决策权或重要影响力的各类人员。 银行业金融机构董事(理事)和高级管理人员须经监管机构核准任职资格,具体人员范围按银监会行政许可规章以及《中华
人民共和国外资银行管理条例实施细则》相关规定执行。 第四条本办法所称任职资格管理,是指监管机构规定任职资格条件,核准和终止任职资格,监督金融机构加强对其董事(理事)和高级管理人员的任职管理,确保其董事(理事)和高级管理人员符合任职资格条件的全过程。 第五条本办法所称监管机构,是指国务院银行业监督管理机构(以下简称“银监会”)及其派出机构。 银监会及其派出机构在任职资格管理中的职责分工,按照银监会相关规定执行。 第六条金融机构应确保其董事(理事)和高级管理人员就任时和在任期间始终符合相应的任职资格条件,拥有相应的任职资格。 金融机构董事(理事)、高级管理人员在任期间出现不符合任职资格条件的情形的,金融机构应令其限期改正或停止其任职,并将相关情况报告监管机构。 第二章任职资格条件 第七条本办法所称任职资格条件,是指金融机构拟任、现任董事(理事)和高级管理人员在品行、声誉、知识、经验、能力、财务状况、独立性等方面应达到的监管要求。 第八条金融机构拟任、现任董事(理事)和高级管理人员的任职资格基本条件包括: (一)具有完全民事行为能力; (二)具有良好的守法合规记录;
银行业金融机构案件问责工作管理暂行办法 第一章总则 第一条为规范银行业金融机构案件问责工作,落实案件风险责任,促进案件风险防控,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本办法。 第二条中华人民共和国境内设立的各银行业金融机构案 件问责工作,适用本办法。 中华人民共和国境内设立的金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、外国银行分行以及经国务院银行业监督管理机构批准设立的其他金融机构案件问责工作参 照适用本办法。 第三条本办法所称案件是指银行业金融机构从业人员独 立实施或参与实施的,或外部人员实施的,侵犯银行业金融机构或客户资金或其他财产权益的,涉嫌触犯刑法,已由公安、司法机关立案侦查或按规定应当移送公安、司法机关立案查处的刑事犯罪案件。 银行业金融机构从业人员在案件中涉嫌犯罪或存在其他与
案件直接相关的违法违规行为的,适用本办法。 第四条存在下列情形之一的,属于重大、恶性案件: (一)涉案金额等值人民币一千万元(含)以上的; (二)性质恶劣,造成挤兑、区域性或系统性风险等重大社会不良影响的; (三)银行业监督管理机构认定的其他属于重大、恶性的案件。 第五条本办法所称案件问责是指银行业金融机构对案件责任人员实施责任追究的行为。 第六条本办法所称案件责任人员是指对案件发生负有责任的银行业金融机构从业人员,包括作案人员,相关违法违规行为的实施人或参与人以及对案件发生负有管理、领导、监督责任的人员。对案件发生负有管理、领导责任的人员是指不履行或未有效履行管理职责,导致有关环节内部控制失效,致使案件发生的银行业金融机构法人或分支机构的负责人或部门负责人。对案件发生负有监督责任的人员是指不履行或未有效履行监督、检查职责,应当发现而未能及时发现、报告案件及风险的人员。 第七条案件责任人员范围应当根据相关岗位和业务条线的职责内容、管理权限、履职情况等因素予以认定。
金融机构数据报送及使用操作手册 (互联网版) 2014年9月
目录 第一章系统配置 (3) 1.1浏览器设置 (3) 1.2设置用户及权限 (6) 1.3访问测试并下载安装数据报送插件 (9) 第二章对外资产负债业务功能说明 (11) 2.1数据报送 (11) 2.1.1数据在线填报 (12) 2.1.1数据上报 (14) 2.1.2查看已报送数据 (14) 2.1.3已报送数据修改 (15) 2.1.5已报送数据删除 (16) 2.1.6功能菜单介绍 (17) 2.2对外金融资产负债及交易数据查询 (19) 2.2.1核查结果数据查询 (19) 2.3外债数据报送 (20) 2.3.1新增变动 (20) 2.3.2删除变动 (20) 2.3.3修改变动 (21) 2.3.4变动查询 (21) 2.3.5新增签约 (22) 2.3.6删除签约 (22) 2.3.7修改签约 (23) 2.3.8签约查询 (23) 第三章常见问题处理 (25) 3.1数据报送插件下载与安装 (25) 3.2浏览器安全警告问题 (25) 3.3手动下载并安装数据报送插件的方法 (26) 3.4填报页面出现乱码问题 (27) 3.5EXCEL报表不能正常导入问题 (30) 3.6填报的数据无法上报问题 (31) 3.7地址无法访问问题 (31)
第一章系统配置 1.1浏览器设置 登录和使用本系统之前,首先需要对用户客户端的浏览器进行必要的设置。浏览器版本要求为IE6.0及以上,以下操作均以WINDOWS XP操作系统,浏览器IE8.0为例。(提示:如果您的操作系统是Win-Vista,Win-7或Win-2003,Win-2008,请使用系统管理员身份进行如下所述的设置操作。) (一)浏览器信任站点设置 1、打开IE浏览器,选择菜单“工具”,点击“Internet 选项->安全->站点”。打开信任站点设置界面进行如下设置工作,如图1.1-1所示: 图1.1-1 2、点击右下“默认级别(D)”按钮,设置受信任站点的安全级别为“低”。 3、点击“站点(S)”按钮,根据自身网络接入类型在可信站点维护窗口中添加信任站点,输入完成后确定保存设置并返回“Internet 选项”窗口。 信任站点列表 网络接入类型信任站点说明 互联网信任站点如果通过代理服务器访问,还
摘要:近年来,数据治理得到各行各业的普遍重视,国家和行业都发布了相关的标准和政策,通过相关文件明确数据治理的概念和体系,促进数据治理行业的发展。对相关文件进行解读,总结其中的异同之处,帮助人们了解与数据治理相关的管理趋势和应用的重点,同时,提出数据管理能力成熟度评估模型在银行业落地实施的建议,帮助银行更好地满足相关监管要求,提升数据管理能力的成熟度等级。 关键词:大数据 ; 数据质量 ; 数据治理 ; 数据管理能力成熟度评估模型 ; 数据文化 1 引言 为深化要素市场化配置改革,促进要素自主有序流动,提高要素配置效率,2020年3月,中共中央、国务院正式印发《关于构建更加完善的要素市场化配置体制机制的意见》,旨在充分发挥数据要素对其他要素效率的倍增作用,使大数据成为推动经济高质量发展的新动能。加强大数据采集、汇聚、挖掘、分析等关键技术的攻关力度,有效激发数据要素的资源潜力,建设多元共治的大数据治理体系,将提升产业数据管理、数据治理水平,充分挖掘数据要素资源的价值。现阶段,与大数据相关的理论,特别是与数据治理相关的理论仍有待提升。目前,国内更多的是以国际咨询公司的理论框架或者国际数据管理协会的数据管理知识体系为引导,但是这些理论几乎没有考虑国内数据行业发展的现状和特性,且理论的普及程度也有待提高,导致国内很多公司在数据管理方面的意识薄弱,管理方式各异,发展相对落后。2018年3月15日,中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会正式发布了国家标准《数据管理能力成熟度评估模型》(以下简称DCMM),该标准正式提出了符合中国特色的数据管理体系和成熟度等级定义。在对国内外相关理论、实践进行充分研究的基础上,结合国内数据行业的特征和发展需要,该标准制定了我国第一个数据管理能力成熟度评估模型,用来指导和规范一个组织的数据管理行为,促进我国大
《关于规范金融机构资产管理业务的指导意见》 (银发〔2018〕106号) 为规范金融机构资产管理业务,统一同类资产管理产品监管标准,有效防控金融风险,更好地服务实体经济,经国务院同意,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会、国家外汇管理局日前联合印发了《关于规范金融机构资产管理业务的指导意见》(银发〔2018〕106号,以下简称《意见》)。 《意见》根据党中央、国务院“服务实体经济、防控金融风险、深化金融改革”的总体要求,按照“坚决打好防范化解重大风险攻坚战”的决策部署,坚持严控风险的底线思维,坚持服务实体经济的根本目标,坚持宏观审慎管理与微观审慎监管相结合的监管理念,坚持有的放矢的问题导向,坚持积极稳妥审慎推进的基本思路,全面覆盖、统一规制各类金融机构的资产管理业务,实行公平的市场准入和监管,最大程度地消除监管套利空间,切实保护金融消费者合法权益。 《意见》按照产品类型统一监管标准,从募集方式和投资性质两个维度对资产管理产品进行分类,分别统一投资范围、杠杆约束、信息披露等要求。坚持产品和投资者匹配原则,加强投资者适当性管理,强化金融机构的勤勉尽责和信息披露义务。明确资产管理业务不得承诺保本保收益,打破刚性兑付。严格非标准化债权类资产投资要求,禁止资金池,防范影子银行风险和流动性风险。分类统一负债和分级杠杆要求,消除多层嵌套,抑制通道业务。加强监管协调,强化宏观审慎管理和功能监管。
《意见》坚持防范风险与有序规范相结合,合理设置过渡期,给予金融机构资产管理业务有序整改和转型时间,确保金融市场稳定运行。 下一步,各相关部门将按照职责分工,认真贯彻落实《意见》的各项要求。金融机构应按照《意见》的相关规定,依法合规开展资产管理业务。(完) 中国人民银行中国银行保险监督管理委员会中国证券监督管理委员会国家外汇管理局关于规范金融机构资产管理业务的指导意见 近年来,我国资产管理业务快速发展,在满足居民和企业投融资需求、改善社会融资结构等方面发挥了积极作用,但也存在部分业务发展不规范、多层嵌套、刚性兑付、规避金融监管和宏观调控等问题。按照党中央、国务院决策部署,为规范金融机构资产管理业务,统一同类资产管理产品监管标准,有效防控金融风险,引导社会资金流向实体经济,更好地支持经济结构调整和转型升级,经国务院同意,现提出以下意见: 一、规范金融机构资产管理业务主要遵循以下原则: (一)坚持严控风险的底线思维。把防范和化解资产管理业务风险放到更加重要的位置,减少存量风险,严防增量风险。 (二)坚持服务实体经济的根本目标。既充分发挥资产管理业务功能,切实服务实体经济投融资需求,又严格规范引导,避免资金脱实向虚在金融体系内部自我循环,防止产品过于复杂,加剧风险跨行业、跨市场、跨区域传递。 (三)坚持宏观审慎管理与微观审慎监管相结合、机构监管与功能监管相结合的监管理念。实现对各类机构开展资产管理业务的全面、统一覆盖,采取有效监管措施,加强金融消费者权益保护。
资料范本 本资料为word版本,可以直接编辑和打印,感谢您的下载 农村合作金融机构信息科技风险管理规划 地点:__________________ 时间:__________________ 说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容
附件 省农村合作金融机构 信息科技风险管理五年规划 二〇一二年三月五日
第一章引言 (3) 第二章全省农合机构信息科技风险管理现状 (5) 第一节信息科技风险管理主要成效 (5) 一、信息科技治理取得一定成效 (5) 二、信息科技风险管理策略构建取得一定成效 (6) 三、信息科技风险评估取得初步成效 (7) 四、信息系统安全等级保护取得初步进展 (7) 五、业务连续性管理初上轨道 (8) 第二节信息科技风险管理存在的问题 (8) 一、信息科技治理不够健全 (8) 二、信息科技风险管理策略不完善 (9) 三、风险控制层面的“三重控制”机制未有效构建 (10) 四、数据大集中系统安全等级定级偏低 (11) 五、业务连续性管理还比较薄弱 (11) 六、信息科技风险管理绩效体系尚未建立 (12) 第三章信息科技风险管理五年规划目标和实施路线 (12) 第一节信息科技风险管理五年规划总体目标 (13) 第二节信息科技风险管理五年规划实施路线 (14) 一、持续完善信息科技治理 (14) 二、逐步完善信息科技风险管理策略 (17) 三、构建信息科技风险控制层面的“三重控制” (20) 四、全面贯彻落实信息系统安全等级保护 (21) 五、持续完善业务连续性管理体系 (22) 六、加强分中心和法人联社的信息科技风险管理 (24) 七、探索建立信息科技风险管理绩效体系 (24) 第四章 2012年信息科技风险管理工作计划 (25) 一、进一步完善信息科技治理 (26) 二、初步建立信息科技风险管理策略 (27) 三、初步构建风险控制层面“三重控制” (29) 四、落实信息系统安全等级保护 (30) 五、初步建立业务连续性管理体系 (30) 六、落实信息科技风险隐患的整改工作 (32)
银行业金融机构市场准入、变更和退出 第一条机构筹建和开业 (一)金融机构的筹建和开业 1、审批权限:防城港银监分局负责受理并审查辖区银行业金融机构二级分行、支行和农村信用合作社县(市)联社及农村信用合作社的筹建,报广西银监局审批;核准经广西银监局批准筹建的上述机构的开业申请,抄报广西银监局,并负责颁发金融许可证;负责审批银行业金融机构支行以下机构、农村信用合作社和农村信用合作社县(市)联社分支机构和邮政储汇局营业网点的设立,并负责颁发金融许可证。 2、需上报的材料:银行业金融机构向防城港银监分局提交以下材料: (1)机构筹建申请报告; (2)银行业金融机构总行或省级联社或上级邮政局的批准文件; (3)机构筹建可行性研究报告(包括申请人基本情况、市场前景分析、业务发展规划、拟设机构的组织管理架构等); (4)筹建人员名单及主要负责人简历; (5)申请单位最近一年的财务报告、报表; (6)申请单位金融许可证复印件; (7)营业场所证明复印件; (8)银监分局要求的其他资料。 筹建完成后,申请开业需上报的材料: (1)开业请示; (2)机构组织结构及职能; (3)从业人员一览表; (4)营业场所安全合格证、消防合格证; (5)营业场所证明复印件; (6)内部控制制度; (7)行政、业务公章印模; (8)金融许可证复印件;
(9)高级管理人员核准文件。 (二)自助银行和自助服务设备的设立 1、设立自助服务设备 (1)审批权限:防城港银监分局负责对银行业金融机构自助服务设备的设立、变更进行备案。 (2)监管时效:银行业金融机构设置离行式单台自助服务设备,须提前20天报防城港银监分局备案,设置在行式单台自助服务设备和变更自助服务设备地址的提前15报防城港银监分局备案,防城港银监分局收到材料后进行审查备案。 2、设立离行式自助银行 (1)审批权限:防城港银监分局负责对辖区银行业金融机构二级分行筹建离行式自助银行进行初审查,报广西银监局审批;对分行以下机构筹建离行式自助银行进行审批。 (2)需上报的材料:银行业金融机构二级分行申请筹建离行式自助银行,须向防城港银监分局提交以下材料: a、申请报告:包括可行性报告、拟开设的业务种类、筹建方案和筹建负责人简历等; b、银行业金融机构上级行的批准文件; c、申请行近三年的资产负债情况、损益表; d、所归属分行或支行经营情况、负责人情况; e、自助银行的主要风险点及相应解决方案; f、有关自助银行的管理制度、操作规程; g、防城港银监分局要求的其他材料。 筹建工作完成后,向防城港银监分局申请开业须提交以下材料: a、营业场所证明复印件; b、当地公安、消防部门出具的安全、消防合格证明书; c、上级行科技部门的验收报告及计算机系统的测试报告; 3、防城港银监分局负责对银行业金融机构在行式自助银行进行备案。银行业金融机构设立在行式自助银行,须在开业前20天报防城港银监分局备案,备案材料为《商业银行设立在行式自助银行备案表》。 第二条金融机构迁址 (一)机构迁址 1、审批权限:防城港银监分局负责受理并审批辖区银行业金融机构二级分行及其以下分支机构和农村信用合作社县(市)联社和农村信用合作社及其分支机构和市邮政储蓄网点的迁址事项,其中:银行业金融机构二级分行的变更事项须报广西银监局备案。
银行业金融机构信息科技外包风险监管指引 第一章总则 第一条为规银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》等法律法规,制定本指引。 第二条在中华人民国境设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。 第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给
服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。 第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险: (一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展; (二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;
(三)信息泄露:包含客户信息在的银行业金融机构非公开数据被服务提供商非法获得或泄露; (四)服务水平下降:由于外包服务质量问题或外部协作效率低下,使得银行业金融机构信息科技服务水平下降。 第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。 第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。 第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第九条银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。
中国银行保险监督管理委员会关于印发银行业金融机构数 据治理指引的通知 银保监发〔2018〕22号 各银监局,机关各部门,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构数据治理指引》印发给你们,请遵照执行。 2018年5月21日(此件发至银监分局和地方法人银行业金融机构)
银行业金融机构数据治理指引 第一章总则 第一条为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。 第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。 本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。 第三条数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。 第四条银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。 第五条银行业金融机构数据治理应当遵循以下基本原则: (一)全覆盖原则。数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。
(二)匹配性原则。数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。 (三)持续性原则。数据治理应当持续开展,建立长效机制。 (四)有效性原则。数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。 第六条银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。 法定代表人或主要负责人对监管数据质量承担最终责任。 第七条银行业监督管理机构依据本指引对银行业金融机构数据治理情况实施监管。 第二章数据治理架构 第八条银行业金融机构应当建立组织架构健全、职责边界清晰的数据治理架构,明确董事会、监事会、高级管理层和相关部门的职责分工,建立多层次、相互衔接的运行机制。 第九条银行业金融机构董事会应当制定数据战略,审批或授权审批与数据治理相关的重大事项,督促高级管理层提升数据治理有效性,对数据治理承担最终责任。 第十条银行业金融机构监事会负责对董事会和高级管理层在数据治理方面的履职尽责情况进行监督评价。 第十一条银行业金融机构高级管理层负责建立数据治理体系,确保数据治理资源配置,制定和实施问责和激励机制,建立
银行业金融机构重要信息系统投产及变更管理规定 银监办发 High quality manuscripts are welcome to download
中国银监会办公厅关于印发《银行业金融机构重要信息系统投产及变更管理办法》的通知 (银监办发[2009]437号) 各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社: 为加强银行业金融机构重要信息系统投产及变更风险管理,保障银行业金融机构重要信息系统安全稳定运行,现将《银行业金融机构重要信息系统投产及变更管理办法》印发给你们,请遵照执行。请各银监局将本通知转发至辖内各银行业金融机构。 中国银行业监督管理委员会 二00九年十二月二十九日银行业金融机构重要信息系统投产及变更管理办法 第一章总则 第一条为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。 第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。 第三条本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。 第四条本办法所称的重要信息系统投产及变更主要指: (一)重要信息系统投产。 (二)支撑重要信息系统运行的机房和网络基础设施投产。 (三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。 (四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。 第二章组织管理