信息科技风险(Information Technology Risk)(一)信息科技治理(15分)
1.信息科技治理组织架构(8分)
(1)是否确立董事会、高管层信息科技管理职责。
(2)是否建立完善的信息科技管理制度体系。
(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行是否以正式制度(文件)明确信息科技
治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。
2.信息科技对业务发展的专业支持和匹配度(7分)
(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。
评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
(二)信息科技风险管理(12分)
1.信息科技风险管理体系(6分)
(1)是否将信息科技风险纳入全面风险管理体系,建立完善的信息科技风险管理组织架构。
(2)是否建立信息科技风险管理策略和管理制度。
评分原则:(1)考察是否将信息科技风险纳入全面风险管理,明确风险管理部门统一负责信息科技风险管理。信息科技风险管理职责仍在信息科技部门的此项得分不超过3分。
(2)考察风险管理部门中是否配备一定数量专职信息科技风险管理人员,信息科技风险管理人员是否具备相关专业背景和技能。
(3)考察是否建立信息科技风险管理策略和管理制度,管理制度是否完善,覆盖是否全面。
2.信息科技风险管理日常运作(6分)
(1)信息科技风险评估流程和方法是否完善。
(2)是否建立常态化的风险识别和监测机制。
(3)信息科技风险评估结果是否得到合理运用。
评分原则:(1)考察是否建立信息科技风险识别、风险分析、风险处置等工作机制;信息科技风险评级和风险分析工作中是否开展业务影响分析工作,是否进行风险级别划分,并有风险级别
划分标准。
(2)是否建立信息科技风险监测关键风险点指标,风险监测指标是否定期评审、改进,风险监测结果是否向有关部门及高管层报告等。
(3)是否建立信息科技风险损失评估及处置机制。
(三)信息科技审计(10分)
1.信息科技风险监督体系(4分)
是否建立信息科技审计体系,以及信息科技审计体系的合理性。
评分原则:(1)商业银行是否将信息科技审计工作纳入内部审计部门工作范畴;商业银行内部审计制度是否纳入信息科技审计相关内容,包括审计依据、标准和方法等内容;是否定期开展信息科技审计活动;发生信息科技重大突发事件时,内审部门是否介入调查;是否对信息科技重大项目实施财务审计。
(2)考察信息科技内审工作独立性和汇报路线的合理性。
2.信息科技内外部审计(6分)
(1)信息科技审计覆盖率。(定量)
(2)信息科技审计整改率。(定量)
(3)信息科技专项审计占比。(定量)
评分原则:(1)考察近三年信息科技审计覆盖率,包括信息
科技内外审一级分支机构覆盖率及重要信息系统覆盖率。
【一级分支机构覆盖率】=【已开展全面信息科技审计的一级分支机构数】/【一级分支机构总数】*100%
【重要信息系统覆盖率】=【已开展信息科技审计的数据中心、重要信息系统、重大项目数】/【数据中心、重要信息系统、重大项目总数】*100%
(2)考察近两年信息科技内(外)审整改率。
【信息科技内(外)审整改率】=【信息科技内(外)审报告中发现问题已完成整改的问题数量】/【信息科技内(外)审报告中发现问题的总和】*100%
(3)考察近两年内(外)审工作中信息科技专项审计占比。
【信息科技专项审计占比】=【信息科技专项审计次数】/【全部审计次数】*100%
(四)信息安全管理(14分)
1.信息安全管理体系(8分)
(1)是否建立信息安全管理体系。
(2)信息安全管理体系的完整性。
(3)电子银行信息安全管理体系的完整性。
评分原则:(1)考察是否建立合理的信息安全管理组织架构及制度体系。
(2)考察信息安全管理体系是否完整,安全保障措施是否
完善。
物理安全:中心机房及重点区域是否有环境监测、巡检、报警等安全防控措施,环境监测覆盖范围是否完备等。
网络安全:是否制定完善的网络安全访问控制策略,是否定期进行网络安全漏洞扫描,是否有完备的网络边界策略等。
数据安全:是否有重要或敏感数据的定义标准和访问控制策略,是否制定数据备份和恢复策略,是否有生产数据提取、使用、销毁等环节的安全防护措施。
终端安全:是否有终端安全防控措施,桌面终端是否安装病毒防护及防火墙软件,病毒库是否定期更新,桌面终端移动介质使用管理,设备管理,行为审计等。
访问控制:是否建立物理和逻辑访问控制策略;中心机房等重要区域门禁系统认证方式及进出访问安全控制策略是否合理;重要信息系统逻辑访问控制策略是否完善,包括权限管理、密码策略等。
(3)电子银行信息安全管理体系的完整性:电子银行系统是否定期开展渗透性测试;是否有客户端安全防控措施;是否有强制双因素身份认证;是否有客户敏感信息防护措施等。
2.信息安全管理执行力(6分)
信息安全管理规定执行情况;当年发生的信息安全事件情况。
评分原则:(1)信息安全管理组织架构是否存在重大缺陷,
