下载文档原格式
XXX银行2017年业务连续性计划实施报告尊敬的行领导:根据XXX银行重要业务连续性计划,我行在2017年度按照计划先后成功开展了三次模拟真实业务,贴近实战的应急演练。
演练检验了灾难备份系统的可用性,验证了灾难切换的及时性和有效性,提升我行对突发事件的协同处置能力,检验了业务连续性计划的可用性,也促使我们不断更新完善业务连续性计划,现将业务连续性实施情况汇报如下:一、基本情况(一)业务连续性计划为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断的重要业务,提高业务连续性管理能力,确保各项重要业务的连续性、高效性,我行于XXXX年制定了业务连续性计划。
该计划中明确了业务连续性组织架构及职责,明确了我行重要业务系统,确定了业务恢复优先次序,制定了重要业务恢复目标,包含了各类突发事件的应急预案,制定了业务连续性计划演练的内容、流程及频率。
(二)灾难备份系统建设情况我行于XXXX年XX月将核心业务系统托管于XXXXXX,同年XX 月在XXXXXX建设了同城灾备中心,对核心业务系统、柜面业务系统、IC卡系统实现了、二代支付系统实现了应用级灾难备份,达到第五级灾备水平,RP0实现数据零丢失,RTO达到小于4小时。
在XXX建立了数据级灾备对核心业务进行数据级备份,RPO小于等于24小时。
二、业务连续性计划实施情况业务连续性计划测试与演练包含应急执行小组应急处理的有效性,故障解决的准确性,进行生产系统灾难恢复后的正确性与运行效率检验,使用用灾备系统接管系统服务后的正确性与运行效率,外部资源的协调情况等。
由应急执行小组制定了演练方案,联合外包商由各成员按照演练计划、演练时间安排进行测试演练。
(一)二代支付系统应急切换演练为保障XXX银行信息系统安全、可靠、稳定运行,提高应对各类信息系统突发事件的能力, X月XX日组织开展了二代支付系统应急演练。
本次演练包括应用系统、网络系统等各类故障的应急处置。
(新版)信贷从业资格考试新业务题库(完整版)一、单选题1.根据《商业银行互联网贷款管理暂行办法》规定,商业银行()应对与合作机构的数据交互进行信息科技风险评估,并形成风险评估报告,确保不因合作而降低商业银行信息系统的安全性,确保业务连续性A、每半年B、每年C、每两年D、每三年答案:B2.以应收账款出质的,当事人应当订立书面合同,质权自()时设立。
A、信贷征信机构办理出质登记B、质押合同签订C、贷款合同签订D、发放贷款答案:A3.办理商业汇票的再贴现和转贴现时,应将汇票作成()。
A、委托收款背书B、转让背书C、质押背书D、再贴现背书答案:B4.村级集体经济组织的森林资源资产抵押,必须附有村民代表大会同意抵押的书面决议,并经本集体经济组织()以上成员或村民代表签名。
A、五分之四B、三分之二C、二分之一D、四分之三答案:B5.2019年8月LPR改革完善后,1年至5年期的贷款定价,怎么操作?A、银行自主选择参考的期限品种定价B、企业自主选择参考的品种定价C、按基准利率定价D、以上都不对答案:A6.应收账款质押登记由()办理。
A、质权人B、出质人C、征信中心D、商业银行答案:A7.依据《民法典》规定,当事人自知道或者应当知道撤销事由之日起()内、重大误解的当事人自知道或者应当知道撤销事由之日起()内没有行使撤销权,撤销权消灭。
A、六个月九十日B、一年九十日C、六个月六十日D、一年六十日答案:B8.银行业监督管理机构进行现场检查时,检查人员不得少于()人,并应当出示合法证件和检查通知书;否则银行业金融机构有权拒绝检查。
A、1B、2C、3D、4答案:B9.《反洗钱法》规定,履行反洗钱义务的机构及其工作人员依法提交(),受法律保护。
A、大额交易和可疑交易报告B、现金交易报告C、财务报表D、业务报告答案:A10.保证人与债权人可以在合同中约定保证期间,双方当事人未约定的,保证期间为主债务履行期届满之日起()。
A、3个月报B、6个月C、1年D、2年答案:B11.委托贷款业务的贷款人(受托人)()。
XX县信用联社关于对信息科技风险自评估工作的汇报X联社XX办事处:按照办事处《转发银监会办公厅关于落实银行业金融机构信息科技风险评价审计整改和开展信息科技风险自评估工作的通知》要求,我县联社迅速组成自评估调查小组,按照全面、系统的要求,认真进行自评估分析,现将情况汇报如下:﹙一﹚、提高认识,建立健全了信息系统安全风险防范体系。
随着电子化建设不断走向深入,信用社主要业务逐步依赖于计算机综合业务系统,随之而来的系统和网络安全已成为安全管理的关键环节和薄弱环节,尤其自二00六年五月底我县农村信用社顺利并入全X农信社通存通兑网络后,网络安全运行工作事关全县农村信用社改革,经营、管理大局。
我县联社从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义,正确处理了发展与安全的关系,一手抓电子化建设,一手抓风险防范。
截止目前,已经初步按照上级主管部门统一标准建立起较完善的网络和信息安全风险防范体系。
我们主要做到了以下几方面工作:一、加强制度建设,规范操作行为,我们从健全制度入手,先后修改完善了《XX县农村信用社综合业务网络系统柜员管理办法》、《XX县农村信用社综合业务网络系统业务授权管理办法》、《XX县农村信用社综合业务网络系统网点运行管理制度》、《XX县农村信用社综合业务网络系统设备管理制度》、《XX县农村信用社综合业务网络系统突发事件应急处置预案》、《XX县信用联社防范病毒管理制度》、《XX县信用联社机房管理制度》,修改制定了《XX县农村信用社综合业务网络系统安全运行管理处罚办法》等制度、规定,切实将我县农村信用社的网络安全管理责任落到实处。
二、加强硬件及网络环境建设,避免系统风险。
1、实现了内网与外网的严格的物理分离,内网主线路为光纤专线,备份线路为音频专线,有关内网用机保证了专机专用。
2、为每个网点制做了规范的地线,并为网络设备配备了专用机柜。
与综合业务网络系统有关的机房、办公室、营业网点都配备有消防器材。
XXX银行信息科技审计操作细则目录第一章总则 (1)第二章信息科技审计职责与权限 (1)第三章信息科技审计方法及内容 (2)第四章信息科技审计操作流程 (5)第五章附则 (6)第一章总则第一条为进一步明确XXX银行(以下简称本行)总行审计部对本行信息科技审计(以下简称IT审计)的职责,充分识别信息科技风险,完善控制措施,实现IT系统的可用性、安全性、完整性、有效性,监督审计全行的信息科技管控对各级监管政策法规的合规性,规范IT审计操作程序,持续提升工作效率,保障IT审计工作的指导性和规范性,依据《XXX银行内部审计章程》,特制定本细则。
第二条本细则为总行审计部对信息科技进行审计提供指导。
第二章信息科技审计职责与权限第三条总行审计部应设立专门的信息科技审计岗位,配备专业的信息科技审计人员,负责信息科技审计制度和流程的实施,执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
第四条信息科技审计的职责包括:(一)实施和调整审计计划,检查本行信息科技系统和内控机制的充分性和有效性。
(二)按照本行规章制度完成IT审计工作,在此基础上提出整改意见。
(三)检查整改意见是否得到落实。
(四)实施信息科技专项审计。
信息科技专项审计,是指对信息科技安全事故进行的调查、分析,或审计部门根据风险结果对认为必要的特殊事项进行的审计。
第五条根据业务性质、规模和复杂程度,信息科技应用情况以及信息科技风险状况,决定信息科技内部审计范围和频率,至少应每三年进行一次IT全面审计。
第六条在进行大规模系统开发时,总行审计部应派人参与,保证系统开发符合本银行信息科技风险管理标准。
第七条审计人员具有适当的权限调阅或查看行内系统或审计相关资料。
第三章信息科技审计方法及内容第八条信息科技审计项目实施过程中需要搜集大量的信息,掌握多方面的证据。
搜集和取证需要运用多种方法和工具。
采用的方法有:(一)访谈:访谈信息科技和有关业务部门相关人员,了解项目现状。
XXXX银行信息科技风险评估操作规程1.总则1.1.为规范XXXX银行信息科技风险评估工作,提高信息科技风险管理水平,根据监管要求及《XXXX银行信息科技风险管理办法》,制定本操作规程。
1.2.本规程所指信息科技风险是信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
1.3.本规程所指信息科技风险评估是对信息科技风险的风险辨识(包括分类)、风险分析和风险评价。
1.4.本规程是对风险评估计划、风险评估准备、风险识别、风险评价、风险分析及报告等关键环节的管理。
1.5.本规程适用于全行。
2.风险评估计划2.1总行市场与操作风险管理部制定信息科技风险评估计划,每年组织开展一次全面的信息科技风险评估。
2.2出现以下情况,应结合本单位以往风险评估情况,确定是否启动信息科技风险评估:(1)新系统上线或已有系统进行重大变更;(2)内部或同业出现重大信息科技事件;(3)信息科技审计中发现重大问题;(4)监管机构发布风险提示。
2.3分行市场与操作风险管理部门根据总行风险评估工作要求,结合本行实际情况制定风险评估计划,组织开展信息科技风险评估工作。
3.风险评估准备3.1.风险评估牵头部门确定风险评估目标。
评估目标包括:(1)满足监管要求;(2)满足我行业务持续发展在信息科技方面的需要;(3)识别现有信息技术及管理上的不足等。
3.2.风险评估牵头部门确定风险评估范围。
评估范围依据评估目标确定,包括:(1)信息资产,如物理、系统、网络、应用、数据等;(2)信息科技活动,如合规管理、开发管理、运维管理、外包管理等;(3)信息科技工作流程,如事件管理、配置管理、变更管理等。
3.3.风险评估牵头部门负责组建风险评估团队,授权风险评估团队开展风险评估工作。
3.4.风险评估团队制定风险评估计划书,明确风险评估实施的计划安排,包括评估工作内容、时间进度和各阶段成果清单等内容。
3.5.风险评估团队制定风险评估方案,明确风险评估依据、风险识别方法、信息收集方式、风险分析方法等。
XXXX银行信息科技风险管理办法总则为XXXX银行有效防范银行运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。
本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
机构职责根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责:遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致.评估信息科技及其风险管理工作的总体效果和效率.掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制.规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识.设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
信息科技外包服务水平协议一、协议概述本协议为与XXX(外包服务供应商)之间,就XXX(IT服务)所达成的服务水平协议。
本协议有效期为XXXX年XX月XX日至 XXXX年XX月XX日。
二、目的与目标本协议旨在确保XXX(外包服务供应商)提供的是济宁银行科技部和XXX(涉及的业务部门)可接受的且可达到的IT服务级别,并确保双方使用同样的标准来评价服务的质量。
本协议的目标是:➢对服务水平进行清晰、简明及可测量的描述;➢通过明确服务水平指标体系,以期提升的服务水平;三、服务协议内容1.服务范围(本协议涉及的外包服务)2.职责与要求明确银行和外包供应商各自的权利与义务和责任、包括项目递交物的验收、问题处理、变更管理、考核指标、处罚、可被审计、知识产权等。
(1)科技部的职责与要求(2)外包服务供应商的职责与要求3.服务评价指标及指标要求规定一系列定性和定量的绩效指标,用以评估外包服务商为银行及其相关客户提供服务是否充分,包括但不限于如下指标:1.客户支持的及时性;2.系统可用性;3.业务连续性和灾难的恢复;4.系统响应时间;5.系统吞吐量;6.用户使用数目等指标。
4.服务水平考核规定绩效考核的方式,包括但不限于:1.外包供应商依据服务水平协议提供月度或周度工作报告;2.与外包供应商进行定期(如每月)的工作小结会议,对问题及时跟进;3.与外包供应商管理层的定期(如每季)会议,讨论重大问题;4.银行对外包供应商的不定期现场访问和审计;5.银行对外包供应商进行年度表现的用户调查和评估。
6.内部或外部独立审计等5.服务水平违约处理规定外包供应商针对绩效不达标的情况的调整流程和整改措施。
(签章): XXX(外包供应商)(签章):日期:日期:。
商业银行业务连续性监管指引(征求意见稿)第一章总则第一条为加强商业银行风险管理,提高业务连续性管理能力,降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响,快速恢复被中断业务,保障银行机构有效履行社会责任,维护公众信心和银行业正常的运行秩序,根据《中华人民共和国银行业监督管理法》及《中华人民共和国商业银行法》制定本指引。
第二条在中华人民共和国境内设立的国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银行适用本指引。
中国银监会监管的其他金融机构参照本指引执行。
第三条本指引所称重要业务是指面向社会客户、涉及账务处理及处理时效性要求较高的业务,其运行服务的中断会给商业银行造成重大经济损失或声誉影响,会对公民、法人或组织的权益、公共利益甚至国家安全带来严重后果的业务。
第四条本指引所称突发事件是指因下述原因,导致商业银行重要业务异常或中断,产生不良影响或资金损失的事件,包括:(一)信息系统各类技术故障和配套设施故障;(二)自然灾害(如火灾、雷击、海啸等);(三)外部影响(如发生黑客攻击、第三方无法提供合作或服务等)。
第五条商业银行应根据突发事件造成的影响、损失程度和范围划分事件等级。
第六条本指引所称业务连续性是商业银行通过对突发事件的规划和响应,使重要业务得到有序、快速恢复,实现持续、稳定运行的能力。
第七条本指引所称业务连续性管理是商业银行为保证重要业务持续运行而建立的一整套管理机制、办法、制度、方案、标准和程序的有机整体。
第八条商业银行应建立有效的业务连续性管理体系,使重要业务在发生突发事件后能有序、快速恢复,消除或减少因重要业务中断造成的影响和损失,实现业务的持续运营。
第九条业务连续性管理的基本原则是:(一)社会责任原则:应以切实有效履行社会责任为业务连续性管理的重要目标。
(二)预防为主原则;应积极采取预防控制措施,提高重要业务所依赖关键资源的健壮度,提升风险防御能力,消除或降低业务运营中断发生的可能性。
XXXX银行
信息科技业务连续性评估报告
为全面了解XXXX银行信息科技业务连续性管理工作现状,科技信息部开展了信息科技业务连续性评估工作,现将评估情况汇报如下:
一、总体评价
为保障电子设备及网络的正常运转,XXXX银行建立了由突发事件应急领导组统一管理的应急管理体系。
全行生产网络采用联通+移动双网互为备份的方式接入,降低了网络的中断风险;电力采用市电+UPS应急电源双线接入的方式,并配备的发电机,保障了电力的不间断供应;全行所有在用软件资源均备份在总行FTP服务器,随时可下载安装使用,避免了软件崩溃带来的中断风险;各类业务必须的电子设备均在科技信息部配备了数量不等的备用设备,可随时更换使用;全行的安全软件由总行科技信息部统一升级和管理,确保所有计算机系统处于最安全的工作状态。
全行每季度根据应急预案进行应急演练,形成演练报告并上报科技信息部。
科技信息部每季度对全辖进行监督检查,确保演练的真实性和成效,切实减少业务中断风险。
二、管理体系建设
(一)组织管理
XXXX银行建立了由XXXX银行突发事件应急领导组统一领
导的应急管理体系,统一管理全行的业务连续性工作,下设办公室,办公室成员由各机构、部(室)、中心负责人组成,具体负责决定是否启动相对应的应急预案;研究拟定突发事件处置流程;组织指挥突发事件处置工作;协调、管理突发事件的信息报送工作;日常应急演练的督导和检查工作;以及突发事件处置工作的费用核算及效益分析,突发事件及处置工作对未来的影响评估,处置工作的经验教训等。
各营业网点结合自身实际,各自成立了突发事件应急领导小组,具体负责本机构的应急管理工作。
(二)制度建设
为了全面防范各类计算机及网络突发事件,切实做到在处理各类事件时有依可循,XXXX银行制订了一系列相关的制度,保证了处理问题的全面、快速。
1.制定了《XXXX银行网络与信息系统突发事件处置与报告管理办法》,明确了发生重大中断事件时,对事件定级、启动相应的应急预案、向上级有关部门报告及处置、事件解决、事件关闭及汇总等相关流程。
2.制定了《XXXX银行生产系统巡检管理办法》,规定了各机构对业务相关计算机及网络设备的日常巡查工作,发现问题及时上报,将设备中断风险处理在萌芽阶段。
3.制定了《XXXX银行发电机使用管理规定》,规定了发电机的日常使用和保养,确保在电力中断发生时提供可靠的应急保障。
4.制定了《XXXX银行计算机及网络安全应急预案》,全面规范了电力、网络、软件、病毒、硬件发生中断时的应急处理流程,为应急演练提供了可靠的依据。
(三)基础设施建设
为了保障全行网络及电力系统正常运行,XXXX银行于每年春季开展设备及线路的巡检工作。
巡检范围主要包括:UPS电源、电池组、防雷箱、发电机、设备间及柜台线路等,及时发现隐患并采取处理措施,确保网络及电力设备的安全。
同时,XXXX银行不断加强网络及电力基础设施更新换代工作,对于老旧坏损的设备,及时予以更换,切实保障全行各项业务可以正常开展。
(四)监督检查
XXXX银行按季对全行业务连续性工作开展情况进行监督检查,检查内容主要包括各网点应急预案制定情况,应急演练开展情况等,发现问题,对责任人严格按照要求进行处理,切实提高全员思想认识,提升全员应急处置能力。
(五)教育培训
XXXX银行每年对全辖计算机管理员进行业务连续性培训,并由计算机管理员对所在网点员工进行再培训,有效提升了全员应急处置能力。
三、应急预案建设
为规范全行的应急处理流程,科技信息部制定了《XXXX银
行计算机及网络安全应急预案》,包含银行的计算机系统风险、组织领导、营业网点电子设备故障的应急处理、电力电源故障的应急处理、网络设备及线路故障的应急处理、应用程序出现异常的应急处理和反病毒应急处置等七章,以图文结合的形式全面阐述了因电力、网络、软件、病毒、硬件等原因发生中断事件时的应急处理流程,为全行的应急演练工作提供了可靠的依据。
全辖所有网点在总行突发事件应急领导组及各自应急领导小组的领导下,根据各自网点的实际建设和人员配置情况,在总行应急预案的框架内制定自身的应急预案,并在实际的演练过程中不断修订和完善。
四、应急演练情况
根据总行统一要求,全行每季度根据应急预案开展一次应急演练工作,形成演练报告,留存影像资料,并根据演练中存在的问题形成演练总结并修订演练预案。
五、存在问题及整改工作
(一)部分网点负责人对信息科技演练工作重视程度不足,演练流于形式,不能有效提升员工应急处置能力,存在业务连续性风险。
(二)网点人员流动性大,尤其是计算机管理员变动频繁,工作交接流程不完善或者不开展,导致网点业务连续性工作不连续,成效低或者无成效。
六、意见与建议
(一)加强监督检查
科技信息部要按照监管标准、上级要求及全行业务连续性工作实际制定检查标准,定期对网点业务连续性工作进行检查,如实记录检查发现的问题,严格按照处罚标准进行处罚,同时监督指导网点进行整改,切实保障全行业务连续性工作落到实处、有效开展。
(二)加强教育培训
加强对全员业务连续性知识及技能的培训,进一步丰富培训内容,创新培训模式,确保有效提升全员应急处置能力,防范业务连续性风险。
XXXX银行科技信息部
2018年10月31日。
