商业银行分支机构信息科技风险
快速巡查单
一、基本信息
二、巡查方法
现场巡查以访谈、实地查看为主,抽样查阅资料、安全测试为辅,其中抽样规则原则上定义为:
1.文档或记录类型的资料,如会议记录、演练记录等,抽样数以近三个月巡查项总数的5%为抽样基准,也可根据访谈情况做出判定;如出现小数点,以四舍五入取整数;如果计算出的抽样数小于2,则至少取2个样例,如抽样数大于5,则取5个样例;
2.设备类、系统类原则上抽样5台(套),同时注意样本分布结构;
3.如需对网点进行巡查,网点的巡查数量控制在3家之内,随机抽取。
三、巡查内容:
第一部分:组织架构
第二部分:机房管理
第三部分:运行管理
第四部分:业务连续性
基层银行业信息科技风险表现及防范对策 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]
基层银行业信息科技风险表现及防范对策 随着信息科技在银行业经营管理全过程的推广运用,银行对信息科技的依赖程度显着提高,在促进银行改进流程、加快发展的同时,银行业机构信息科技风险防范工作面临着新形势、新情况和新问题,信息科技风险事件凸现。加强基层银行业机构信息科技风险防范,对于维护银行业机构以及整个银行业体系的安全稳定至关重要。 一、当前银行业机构信息科技风险的主要表现 (一)数据大集中引发的风险 数据的集中直接带来了银行金融产品的升级和服务、管理手段的提高,但银行数据大集中后,可能带来的风险隐患也随之加大。一是不可抗力引发的风险。一旦出现突发的灾难事故,将导致系统性的业务停顿与客户流失,甚至会引起业务系统瘫痪,造成社会不稳定。二是系统安全维护工作不及时引发的危险。在数据大集中前,系统架构相对简单,原有的各地方数据中心均由技术人员负责辖内各系统的安全维护工作。由于他们对原系统涉及的各个环节比较熟悉,与系统软件开发商的联系较为密切,与区域内的网络运营商的协调能力较强,因此能迅速调动各种技术力量解决问题,对客户的响应时间较快。而数据集中后,虽然在管理上便于维护、升级,但由于数据集中后的系统的架构变得更加复杂,牵扯的各方面因素比原来大大增加,而且很多问题由于权限问题在市级分行层面漂统前置立韵无法得到很好的解决,往往需要向总行数据总中心反映,才能得到根本的解决,这在一定程度上削弱了现有数据中心技术人员应急抗灾能力和应变管理能力。三是外包风险。数据大集中后,对系统开发、网络管理、运行维护等的要求更加专业化了。 随着IT 外包服务的概念逐步被各银行业机构接受,各银行业机构开始尝试实施IT 服务外包,这既有利于银行降低运
农商行信息系统数据管理工作指引 第一条为了加强农商行(以下简称信用社)信息系统数据的管理,规范业务数据的生成、修改、提取、备份、恢复以及销毁等工作流程,提高业务数据的应用水平,结合工作实际,制定本指引。 第二条本指引所称数据,是指各信息系统因业务办理与系统管理所生成的电子信息,包括客户信息、账户信息、交易记录、系统配置参数及日志信息等内容。 第三条各级科技部门是数据管理的主管部门,履行以下职责: (一)负责数据管理工作的组织协调,制定数据管理规章制度及操作流程; (二)负责审批本级及辖内的数据生成、修改、提取申请,以及数据备份、恢复、销毁方案; (三)负责执行相关数据的生成、修改、提取工作以及数据的备份、恢复以及销毁工作; (四)负责收集、归档数据管理工作中所生成的各项纸质及电子文档; (五)负责本级及辖内数据管理过程中的风险防范工作。 第四条各级业务部门是数据的使用部门,履行以下职责: (一)负责提出业务数据生成、修改、提取申请; (二)负责对本级及辖内科技部门提供的数据进行验证; (三)负责数据使用过程中风险防范工作。 第五条业务数据的生成、修改、提取,应由业务部门发起申请;信息系统配置参数的修改、提取,应由科技部门发起申请。所有申请应由科技部门审批后执行。 第六条科技部门应当针对数据的重要性采取不同的数据备份及恢复策略,制定数据备份及恢复方案,保证信息系统的安全运行和业务连续。 第七条数据管理的各项操作应由双人执行,一人操作、一人监督。
第八条科技部门应保证各项数据管理操作的真实、准确。 第九条科技部门应妥善保管生成和备份的数据,保证数据安全不被超权限获取和随意泄露。 第十条科技部门数据管理的各项操作需有详细的操作步骤,涉及数据的修改和恢复操作还应有应急回退方案。 第十一条科技部门应建立专门的登记薄记录数据管理各项操作的相关信息。 第十二条数据交接时,应当办理交接手续并建立数据交接登记簿,登记簿应包含且不限于以下项:交接日期、接收部门名称、交接双方经办人、内容摘要、相关审批文件文号及名称等信息。 第十三条数据提取时应由申请部门指定专人通过专网或使用专用存储介质拷贝携带等方式提取,不得通过经由互联网的通讯工具、社交媒体等容易泄露信息的方式传递。 第十四条业务部门在使用数据过程中应当采取措施将数据使用控制在因工作需要而知悉的范围内,不外泄,不被篡改。对于不再使用的数据,业务部门应及时销毁。 第十五条科技部门应根据信息系统的运行情况进行数据销毁工作,保证备份数据不外泄,避免非授权用户利用残留数据恢复原始数据信息。 第十六条本指引由农商行联合社负责解释和修订。 第十七条各级科技部门应当参照本指引的规定制定本级的数据管理细则。 第十八条本指引自印发之日起施行。
作为商业银行发展的推动力量和关键支撑,信息科技既面临着前所未有的发展机遇,也面临着应对技术变革和业务创新带来的新挑战。 当前,随着我国的国民经济与社会发展步入第十二个五年规划阶段,银行业的改革发展也进入到一个十分重要的历史时期。作为商业银行发展的推动力量和关键支撑,信息科技既面临着前所未有的发展机遇,也面临着应对技术变革和业务创新带来的新挑战。 2011年7月,中国银监会下发了《银行业信息科技“十二五”发展规划监管指导意见》(以下简称《指导意见》),从信息科技治理、基础设施建设、应用体系建设、信息科技风险管理等方面,总结了商业银行“十一五”期间的信息科技建设成果,明确了“十二五”期间银行业信息科技的发展目标、指导原则、战略重点和重点任务。《指导意见》提出,商业银行要大力推进信息化建设,以科技进步和创新支持银行业可持续健康发展并不断提高国际竞争力,这是银行业应对挑战、提升整体综合实力的战略举措。《指导意见》特别强调商业银行应树立“科技引领”的理念,进一步增强信息科技的核心竞争力,促进信息科技与业务发展的深度融合,推进业务和产品创新、流程创新、管理创新、增强可持续发展能力,为社会公众提供丰富、安全和便捷的多样化金融服务。 为此,工商银行根据《指导意见》中的思路和建议,在总结“十一五”信息科技发展成果的基础上,分析了工商银行当前信息科技发展所面临的新形势、新任务,明确提出以“综合化”发展为突破,建设具有国际先进水平、更加安全稳定的信息科技平台,深化科技与业务融合,持续提升科技服务能力和创新能力,全力建设国际一流IT银行。 一、工商银行“十一五”信息科技建设硕果累累 “十一五”是工商银行发展史上具有重要意义的五年。在此期间,工商银行成功完成了股改上市,全面确立了现代金融企业制度,并紧紧抓住上市后的发展机遇,全力推进各项改革,调整经营结构,转变发展方式,改善质量效益,通过持续努力和稳健经营,发展成为全球市值、盈利、客户存款和品牌价值第一的上市银行,也成为以巴塞尔III最新标准来衡量的优良、健康的大型银行,迈入了世界领先大银行之列。 五年间,工商银行的信息科技工作在“科技引领”方针指导下,紧密结合全行经营管理与改革发展需要,充分发挥作为全行创新发展重要引擎和重要支点的作用,全面完成了“十一五”信息科技发展规划制定的各项目标和任务。 (一)加强自主研发与创新,推动全行发展战略的实施。 为满足经营结构调整、业务流程优化、产品服务创新和经营管理变革的需要,工商银行秉承“自主研发”原则,持续增强应用研发能力,启动并快速推进第四代核心系统自主研发,以实现“客户视图统一、核算相对独立、产品灵活配置、境外应用一体、管理信息集中、全面风险管理”为目标,打造具有国际先进水平的,具备灵活性、先进性、高性能、抗风险的应用架构体系,在应用研发领域取得了全面进展。 在提升客户服务水平方面,工商银行投产了个人、法人客户营销和统一星级评价系统,为实现客户分类营销和差异化服务奠定了基础;自主研发了信用卡系统,推出金融IC卡产品,成为国内同业金融IC卡产品的领军者;推出3G手机银行系统,成功实施电子银行应用重构,持续丰富网上银行、电话银行、手机银行等系统功能,进一步巩固了工商银行国内最优秀电子银行平台的地位。 在强化市场竞争方面,工商银行研发和全面推广了满足国际化发展要求的境外核心系统;成功推出了全球现金管理系统,实现了多渠道、高效率的境内外机构现金管理业务联动处理;金融市场、私人银行、投资银行、贵金属等新兴业务领域系统建设实现重大突破,推动相关业务实现跨越式发展。 在加强风险防范方面,工商银行自主研发了内部评级、市场风险管理、操作风险高级计量法等风险管理系统,有力地推动了全行风险管理水平的提升。
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
信息科技风险防控报告 一、风险防控工作的组织开展情况 我行面临的主要信息科技风险: 1.业务中断风险 保障业务连续性是我行信息科技工作中的最重要的部分。我行面临的首要的问题是信息系统建设的相对滞后跟不上业务高速发展的脚步。一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素,极易造成银行业务的中断。 2.数据安全风险 数据是我行的基础,我行要为客户提供一个可靠的环境确保数据资料的准确性和安全性。随着业务的发展,数据量不断增大,数据安全风险凸显。数据安全风险包括两方面:一是数据窃取,主要是数据遭到窃取或者恶意篡改,导致客户信息资料外泄,引发客户不满,引发法律风险问题;二是数据丢失,主要是受到自然灾害、房屋倒塌等突发事件造成的存储介质毁坏,导致存储介质中数据丢失。 3.电子银行与网络金融风险 电子银行风险主要是电子支付安全问题,包括ATM诈骗以及利用钓鱼、木马程序盗取客户的账号和密码等一些行为导致的客户资金的损失。网络安全是网
络金融风险的关键,一旦网络安全受到破坏,网络金融风险将一发而不可收。 4.系统漏洞风险 系统漏洞风险是银行信息系统开发缺陷被发现和利用的风险。系统漏洞风险在系统设计之初难以发现,随着系统的推广及运行,风险将逐渐暴露,一旦被人利用,会对我行造成极大影响。另外,系统的密码泄露和破解,也影响着系统的安全。 5.外包风险 外包风险主要是外包服务商能否长期稳定地为我行提供高质量的服务,能否及时响应并修复系统故障,确保外包业务连续性。我行如果过度依赖外包服务商,一旦出现突发情况,势必会影响我行业务持续开展。 二、风险防控工作采取的具体举措和成效 针对我行面临的主要的信息科技风险,我行在信息科技风险管理方面采取以下策略。 1.强化数据质量及安全管理 建立数据质量常态化管理机制,积累真实、准确、连续、完整的部和外部数据,确保外围管理系统数据应用质量要求,把控数据外泄风险。 上线数据库审计系统,对数据进行监控。能够实时记录数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、
商业银行信息科技风险管理指引目录 第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计 第十章外部审计 第十一章附则第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计第十章外部审计第十一章附则展开编辑本段第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 编辑本段第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人设立一个由来自高级管理层、信息科技(五)员对信息科技风险管理重要性的认识。. 部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向
商业银行信息科技风险动态监测规程 (征求意见稿) 第一章总则 第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。 第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章动态监测指标选取原则及分类
第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。 第七条监测指标选取遵循以下四个原则: (一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力; (二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况; (三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况; (四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。 第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。 第三章动态监测指标体系 第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
**农商行信息科技三年发展战略规划 随着经济全球化的发展和各商业银行为加速向现代商业银行转型步伐的加快,银行业的竞争更趋激烈。**农村商业银行面临前所未有的机遇和挑战。要大力推进金融服务创新,要为农业和农村经济的发展提供强有力支撑,要迎头赶上现代化银行发展的潮流,必须提供强有力的科技保障。为进一步提升未来我行的整体竞争力,根据我行发展规划纲要,结合全省农信科技信息化发展的实际需要,编制本规划。 一、**农商行未来三年信息化建设的指导思想、基本原则和主要目标 (一)、指导思想。 以邓小平理论和“三个代表”重要思想为指导,全面贯彻落实科学发展观。以银监部门《商业银行信息科技风险管理指引》和省联社科技科技信息考核的要求为纲领,围绕发展农村经济、服务“三农”,准确定位我行服务县域经济,立足成为**人自己的银行的方向,充分利用现代信息技术促进和保障我行改革与发展,推动我行业务创新,建立现代化银行经营、服务、管理和监督的技术保障体系与决策支持体系,全面提升我行的核心竞争能力。 (二)、基本原则 1、坚持持续发展原则。努力把握业务发展与科技建设之间
的内在联系与互动规律,使信息化建设与我行改革发展相适应,充分利用信息技术推动我行业务创新和流程再造,从组织与制度上保证业务和科技的协调发展。 2、坚持创新和推广相结合的原则。要深入实施IT治理战略,把加快新业务系统、新金融服务机具推广和增强自主创新能力作为信息化发展的战略基点,坚持开发与推广、引进、消化、吸收相结合,切实加强基础研究,重视原始性创新,不断提高自主创新能力。 3、坚持安全运营原则。以银监部门《商业银行科技信息风险管理指引》和省联社关于防范科技风险的要求为指导思想,要加大安全风险评估、科技信息内外部审计和监控指标体系建设力度,提高安全技术水平,提供安全、稳定的银行服务。 (三)、主要目标 **农商行未来三年信息化建设的主要目标为:逐步完善现代信息科技体系,实现业务品种多元化、服务个性化、渠道网络化、经营管理信息化和金融监管现代化,建立满足我行发展需要的科学的制度体系及安全防护体系,经营管理水平、服务质量和业务创新能力、竞争能力得到全面,在全省科技工作考核中名次明显提高。 二、**农商行信息化建设的方向和重点 (一)、加强科技治理,提高信息化管理水平。 1、对科技信息组织、科技人力资源合理配置,以服务为导
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
-------------------------------------------------------------------------------- 商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握a主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。 (七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
Commercial Banks ' Information Technology Chapter I General Provisions Article 1. Pursuant to the Law of the People 's Republic of China on Banking Regulation and Supervision, the Law of the People's Republic of China on Commercial Banks, the Regulations of the People's Republic of China on Administration of Foreign-funded Banks, and other applicable laws and regulations, the Guidelines on the Risk Management of Commercial Banks' Information Technology (hereinafter referred to as the Guidelines) is formulated. Article 2. The Guidelines apply to all the commercial banks legally incorporated within the territory of the People's Republic of China. The Guidelines may apply to other banking institutions including policy banks, rural cooperative banks, urban credit cooperatives, rural credit cooperatives, village banks, loan companies, financial asset management companies, trust and investment companies, finance firms, financial leasing companies, automobile financial companies and money brokers. Article 3. The term “information technology ” stated in the
商业银行信息科技风险现场检查指南
目录 第一部分概述 (12) 1. 指南说明 (13) 1.1 目的及适用范围 (13) 1.2 编写原则 (14) 1.3 指南框架 (15) 第二部分科技管理 (17) 2. 信息科技治理 (18) 2.1 董事会及高级管理层 (18) 检查项1 :董事会 (18) 检查项2 :信息科技管理委员会 (19) 检查项3 :首席信息官(CIO) (20) 2.2 信息科技部门 (21) 检查项1 :信息科技部门 (21) 检查项2 :信息科技战略规划 (23) 2.3 信息科技风险管理部门 (24) 检查项1 :信息科技风险管理部门 (24) 2.4 信息科技风险审计部门 (25) 检查项1 :信息科技风险审计部门 (25) 2.5 知识产权保护和信息披露 (26) 检查项1 :知识产权保护 (26) 检查项2 :信息披露 (26) 3. 信息科技风险管理 (28) 3.1 风险识别和评估 (28) 检查项1 :风险管理策略 (28) 检查项2 :风险识别与评估 (29) 3.2 风险防范和检测 (29) 检查项1 :风险防范措施 (29) 检查项2 :风险计量与检测 (30) 4. 信息安全管理 (32) 4.1 安全管理机制与管理组织 (32) 检查项1:信息分类和保护体系 (32) 检查项2:安全管理机制 (33) 检查项3:信息安全策略 (34) 检查项4:信息安全组织 (34) 4.2 安全管理制度 (35) 检查项1:规章制度 (35) 检查项2:制度合规 (36)
4.3 人员管理 (38) 检查项1:人员管理 (38) 4.4 安全评估报告 (39) 检查项1:安全评估报告 (39) 4.5 宣传、教育和培训 (39) 检查项1:宣传、教育和培训 (39) 5.系统开发、测试与维护 (41) 5.1开发管理 (41) 检查项1:管理架构 (41) 检查项2:制度建设 (43) 检查项3:项目控制体系 (44) 检查项4:系统开发的操作风险 (45) 检查项5:数据继承和迁移 (46) 5.2系统测试与上线 (47) 检查项1:系统测试 (47) 检查项2:系统验收 (49) 检查项3:投产上线 (49) 5.3系统下线 (50) 检查项1:系统下线 (50) 6. 系统运行管理 (52) 6.1 日常管理 (52) 检查项1:职责分离 (52) 检查项2:值班制度 (53) 检查项3:操作管理 (53) 检查项4:人员管理 (54) 6.2 访问控制策略 (55) 检查项1:物理访问控制策略 (55) 检查项2:逻辑访问控制策略 (56) 检查项3:账号及权限管理 (57) 检查项4:用户责任及终端管理 (58) 检查项5:远程接入的控制 (59) 6.3 日志管理 (60) 检查项1:审计日志检查 (60) 检查项2:日志信息的保护 (60) 检查项3:操作日志的检查 (61) 检查项4:错误日志的检查 (61) 6.4系统监控 (62) 检查项1:基础环境监控 (62) 检查项2:系统性能监控 (62) 检查项3:系统运行监控 (63) 检查项4:测评体系 (64) 6.5 事件管理 (65)
各农村银行、农村信用联社,省联社各部门、直属机构、办事处:为规范省联社科技信息中心内部管理,提高科技信息工作质量和效率,以高质量的服务能力保障全省综合业务网络系统安全、稳定、高效运行,省联社研究决定,在科技信息中心内部设立9个部门。)现将科技信息中心(以下简称“中心”内设部门及主要工作职责通知如下: 一、综合管理部主要工作职责: 1、负责中心的后期保障工作,建立并维护正常的办公秩序,负责中心员工的考勤管理; 2、负责中心公文、公函收发、起草、流转、归档;负责中心文字材料起草、汇总、审核工作;负责中心档案资料整理、归档、保管; 3、负责中心对外接待及外部联系工作;负责中心的会务工作; 4、负责全省信息系统建设及运行资金的统筹、核算、管理;负责中心的费用审核、核算和现金管理;负责中心的固定资产的管理、核算工作; 5、负责全省综合业务系统外围设备的测试及选型、招标的组织工作; 6、负责全省综合业务系统外围设备的技术支持服务、培训及运行管理的指导工作; 7、负责科技信息中心办公设备的招标采购;负责科技信息中心办公设备的招标采购及日常维护; 8、负责建立全省综合业务网络系统外围设备、科技信息中心办公设备台账。 二、软件开发部主要工作职责: 1、负责根据业务需求,分析制订开发方案,并组织成立项目小组; 2、负责应用技术的需求分析、软件总体设计和详细设计,并编写需求及设计文档; 3、协助相关部门编写测试案例并对软件进行测试工作; 4、协助编写软件的操作手册、操作流程、操作规范及开展培训工作; 5、负责整理技术开发文档;配合项目验收工作; 6、负责应用系统的版本管理。 三、主机系统部主要工作职责: 1、负责计算机主机系统及基础设施建设方案的拟定、实施(含:生;产、开发、测试、培训)
商业银行信息科技风险及防控策略研究 摘要:近年来,随着社会经济与信息技术不断发展,我国银行业展现出蓬勃的发展态势,随着大数据、云计算、移动互联网的高速发展,信息技术为商业银行业务拓展和创新提供有力支持,在为商业银行带来了巨大经济效益的同时,也提出更多、更大的挑战。因此,加强对商业银行信息科技风险的研究至关重要。本文将对信息科技风险管理的必要性以及商业银行信息科技风险主要特征进行分析和研究,并提出加强商业银行信息科技风险管理的有效对策,从而推动我国商业银行可持续、健康发展。 关键词:商业银行;信息科技风险;防控策略 前言:随着我国改革开放和经济全球化大潮,我国银行业发展突飞猛进,特别是信息技术在银行业中的广泛应用,极大的促进了金融产品的迅速发展。然而,先进的信息技术会更加暴露商业银行的风险,构成一定的威胁。为了能够有效规避风险,深入了解信息科技十分重要。 一、商业银行信息科技风险介绍 商业银行信息科技风险主要是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险。主要包含四个方面:其一,自然因素,例如:地震、台风等不可抗力影响;其二,系统风险,指信息系统内部软、硬件的缺陷造成的影响;其三,管理因素,指商业银行自身管理制度与组织结构等产生的影响;其四,人为因素,指工作人员违规或过失操作引发的风险。 二、信息科技风险管理的必要性 在金融危机的影响下,风险管理的重要性日益突出,特别是信息科技风险,越来越多受到金融界的关注。 (一)外在因素 随着银行业迅速发展,我国对商业银行信息科技风险管理提出了更高要求,明确要求商业银行将信息科技风险纳入全面风险管理体系。监管部门通过现场和非现场手段,不断加大监管力度,定期和不定期开展信息科技风险检查工作,针对信息科技的重点环节制定明确的监管计划,约束商业银行信息科技风险控制能
信息科技风险(Information Technology Risk) (一)信息科技治理(15分) 1.信息科技治理组织架构(8分) (1)是否确立董事会、高管层信息科技管理职责。 (2)是否建立完善的信息科技管理制度体系。 (3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。 (4)是否明确信息科技治理作为重要组成部分纳入公司治理。 评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。 (2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。 (3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。 (4)考察商业银行是否以正式制度(文件)明确信息科技
治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。 2.信息科技对业务发展的专业支持和匹配度(7分) (1)信息科技战略与业务发展战略的匹配度。 (2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。 (3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。 评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。 (2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。 (3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
XX银行信息科技风险管理策略 xx银行信息科技风险管理策略 随着信息科技与我行业务的深度融合~我行业务对信息系统的依赖性日益增强~防范信息科技风险的重要性凸显出来。我行深入分析信息科技管理工作~针对面临的信息科技风险~制定了信息科技风险管理策略。 一、我行面临的主要信息科技风险 1.业务中断风险 保障业务连续性是我行信息科技工作中的最重要的部分。我行面临的首要的问题是~信息系统建设严重滞后与业务发展。一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素~极易造成银行业务的中断。 2.数据安全风险 数据是我行的基础~我行要为客户提供一个可靠的环境确保数据资料的准确性和安全性。随着业务的发展~数据量不断增大~数据安全风险凸显。 数据安全风险包括两方面:一是数据窃取~主要是数据遭到窃取或者恶意篡改~导致客户信息资料外泄~引发客户不满~引发法律风险问题,二是数据丢失~主要是受到自然灾害、房屋倒塌等突发事件造成的存储介质毁坏~导致存储介质中数据丢失。 3.电子银行风险 电子银行银行风险主要是电子支付安全问题~包括ATM诈骗以及利用钓鱼网站、木马程序盗取客户的账号和密码等一些行为导致的客 1
户资金的损失。这类事件一旦发生~会严重影响我行声誉~处理不当会导致诉讼。 4.系统漏洞风险 系统漏洞风险是银行信息系统开发缺陷被发现和利用的风险。系统漏洞风险在系统设计之初难以发现~随着系统的推广及运行~风险逐渐暴露~一旦被人利用~会对我行造成极大影响。 5.IT外包风险 IT外包风险主要是外包服务商能否长期稳定地为我行提供高质量的服务~能否及时响应并修复系统故障~确保外包业务连续性。我行如果过度依赖外包服务商~一旦出现突发情况~势必会影响我行业务持续开展。 二、我行采取的信息科技风险管理策略 针对我行面临的主要的信息科技风险~我行在信息科技风险管理方面拟采取以下策略。 1.进一步完善信息科技风险管理制度 我行要进一步完善信息科技风险管理制度~进一步细化信息科技管理以及信息科技风险管理。重点做好业务连续性、灾备系统、外包管理、风险评估、内外部审计等五个方面制度的完善。 制度制定后~信息科技工作者要严格执行制度~或者提出合理化建议来修订制度~使制度成为一切工作的基础~真正给系统安全拉起一道不可逾越的防御线。 2.构建全面的信息科技风险监测和保障体系 2 逐步建立质量控制和测试体系~对信息系统的开发进行严格的风险论证和风险测试。对信息系统的运行状况进行全程监控~主干网络是否畅通、自助设备是否正常运行、数据库系统是否正常服务~是否有网络遭受外部非法入侵等必须纳入实时
新冠肺炎疫情的暴发在物理空间上拉开了社交的距离,给经济社会运行造成了重大影响,也为银行业金融服务供给主体带来巨大的挑战。为满足疫情防控与金融稳定的现实需要,保证金融服务不间断,银行业金融机构大力使用 5G、云计算、大数据、人工智能等新技术,加速推进金融服务向数字化的转型。农商行在普惠金融发展的过程中,更需要积极研究探索金融服务新模式,进一步提升普惠金融服务的覆盖面和便利度。 农商行数字化转型已成必然 数字经济是我国经济发展的大势所趋。近年来,以大数据、区块链、人工智能等新技术为代表的数字经济在不断发展中迸发出引领时代的巨大能量,已经成为经济发展的新动能和转型发展的主抓手。据信通院测算,2019年我国数字经济总量达到35.9万亿元,名义增长14.7%,显著高于当年GDP增速,占GDP比重超过三分之一,预计对GDP的贡献率为76.1%,相比2018年的67.9%有大幅增长。此次疫情进一步加速了全社会数字化进程,2020年5月,国家发展改革委联合145家单位启动“数字化转型伙伴行动”,为中小微企业推行普惠型“上云用数赋智”服务,旨在通过多方合力助力中小微企业形成数字经济新业态,数字经济无疑将成为我国高质量发展的有力支撑。
客户需求变化倒逼银行加速服务模式的数字变革。2020年突如其来的疫情对我国社会经济造成了严重影响,疫情中凸显的数字经济活力将加速数字化转型渗透到各行各业。同时,此次疫情加速了居民消费心理和习惯的改变,“宅经济”升温,线上化、移动化、智能化的服务需求将逐渐固化。面对企业生产经营业态、居民客户服务需求的变化,银行必须积极响应,运用数字化技术加速产品与服务创新,提供与线上需求相匹配的服务新模式。 数字化转型是农商行应对激烈竞争的必然选择。在数字化浪潮中,农商行受资产规模、地域限制、人才短缺、管理体制等多方制约,在金融科技应用上多处于“跟随”层面。近年来,大型银行金融服务重心不断下沉延伸,利用其资金、科技及多元化服务优势打入城乡结合部、农村和小微市场,同时以蚂蚁金服、京东金融为代表的金融科技公司利用其数据、平台优势也在不断抢夺农商行传统客户,使得农商行生存空间受到双重挤压。面对严峻的竞争环境,农商行应切实深化“以客户为中心”理念,充分抓住数字化转型的“窗口期”,加快提升市场竞争力。 数字化转型成为 普惠金融破局利器 近年来,我国普惠金融发展成效显著,重点领域金融服务获得感明显增强,普惠金融作为服务实体经济、服务人民生活的重要抓手作用得以体现。随着普惠金融实践的不断深入,传统服务模式在服务效率、成本、风控等方面的瓶颈日益暴露,普惠金融服务不均衡、不匹配、缺乏可持续性的问题依然存在,亟须以大数据、云