农商行电子银行风险评估项目招标文件

无锡农村商业银行电子银行风险评估

项目招标文件

为提升电子银行业务系统的安全性，防范电子银行系统建设、运维以及与技术相关的关键业务运作的风险，整改电子银行银行系统安全隐患，有效提高金融信息化安全保障能力。我行决定对电子银行业务系统做全面的风险评估。为了确保项目建设的质量，依据《中华人民共和国招标投标法》和国家的有关规定，对该项目采用公开招标方式进行本次招标工作。

一、招标项目

1、招标文件编号：WRCB-2016-12-12-xx；

2、项目名称：无锡农村商业银行电子银行风险评估项目；

3、招标内容：电子银行业务系统风险评估；

4、项目实施地点：无锡农村商业银行；

5、项目工期要求：项目签订1月内；

6、投标截止时间：2016年12月19日下午17:00；

7、开标日期：招标方另行通知；

8、投标和开标地点：无锡农村商业银行；

9、本项目采购人：无锡农村商业银行；

10、投标方式：密封投标。

11、联系方式

地址：江苏省无锡市金融二街9号

邮政编码：214000

电话：

传真：

联系人：

二、投标人资格要求

1、在中华人民共和国境内注册、具有独立法人资格、有能力

提供招标项目要求的技术及服务，且具有良好的财务状况和商业信誉;

2、注册资金不少于500万元人民币；

3、投标人需具备丰富的国内银行业科技风险咨询、IT治理、

IT审计、信息安全咨询、安全评估等方面的经验，熟悉商业银行重要业务系统和管理流程，并具有多个国内银行业信息安全审计、咨询、评估方面的项目案例;

4、投标人需具有中国信息安全认证中心相关的信息安全风险

评估服务资质认证；

5、项目组成员必须（但不限于）具备以下资质：项目成员须

具有3年以上的商业银行科技风险咨询项目经验；至少具备CISSP、CISA、ISO27001LA等资质；负责过银行科技风险管理和信息安全评估项目；

以下要求需要提供相应证明复印件，包括但不限于以下文件：(1)企业法人营业执照副本复印件；

(2)税务登记证副本复印件；

(3)组织机构代码证复印件；

(4)投标人代表及法定代表人的有效身份证明；

(5)法定代表人授权书原件（投标代表是法定代表人无需）；

（6）服务对象、项目经理以及项目成员风险评估案例实施证明复印件；

投标人必须提交以上文件或证明的复印件，所有复印件应是有效、清晰，注明“与原件一致”并加盖投标人公章，否则无效。

三、招标项目内容和要求

1、投标方以书面的形式提供：机构介绍、主要业务领域，项

目组成员的名单和详细技术背景资料，包括：学历、项目

经验，技术职称，在本项目当中担任的职务; 项目建设实

施方案及建议；各项服务承诺，如售后服务体系、服务条

款、培训服务及其他优惠条件；项目投标价格等；

2、本项目的主要内容见附件;

3、投标人需提供承担过金融行业信息科技风险评估相关合同

证明复印件;

4、投标方提供详细的售后服务方案、投标人必须承诺从接到

招标书之日起，对从招标活动中获得的招标人相关资料承

担保密责任；

5、提供书面投标书二份（正本一份，副本一份）。

四、投标文件的递交

1、投标方应将投标文件用信封密封,并标明招标编号、投标项

目名称及正本或副本。

2、密封信封上注明“开标前不准启封”的字样。

3、招标方将拒收在投标截止时间后送达的投标文件。

4、招标方将拒收投标方通过电报、电子邮件或传真送达的投标文件。

无锡农村商业银行

二〇一六年十二月十二日

附件：

一、风险评估的对象

此次项目针对我行电子银行渠道业务系统。具体包括：新上线直销银行、互联网支付平台以及原有门户网银、手机银行、微信银行等业务系统。

二、风险评估的目的

1、通过本次风险评估找到与监管部门要求的差距，按照《商业银行科技风险指引》、《网上银行信息安全通用安全规范》、《电子银行业务管理办法》和《电子银行安全评估指引》等要求，对我行的电子银行业务系统在安全策略、内控制度、风险管理、系统安全、客户保护、电子银行业务运行连续性计划、电子银行业务运行应急计划、电子银行风险预警体系、其他重要安全环节和机制的管理等方面进行安全和管控能力的全面考察与评估。

2、对电子银行系统基础设施，根据风险分析和差异分析，提出整改方案与措施，完善内控管理制度及运维流程。

3、通过本次风险评估的项目知识转移（包括：方法论和测评技术），实现对评估知识、方法、技术和工具等的知识转移和团队培养。

三、电子银行风险评估内容

电子银行风险评估内容包括但不限于以下方面：

1、管理体系审核

通过对无锡农商行现有的安全管理体系进行审核，了解现有管理体系文档与相关国家和行业标准的符合情况。安全管理体系

的文档包括现有的安全管理策略文档、制度文档、流程文档、方案文档、规范文档、应急计划、连续性计划等。

2、病毒木马分析

病毒木马检测是风险评估中开展威胁分析的重要方法之一，能够切实发现信息系统遭受的网络攻击，实现网络攻击行为取证、攻击链还原等。

病毒木马检测主要通过对操作系统注册表、运行进程、文件目录等静态信息进行检查，并与网络监测相结合，综合分析判断主机系统关键位置是否存在病毒木马，并对病毒木马进行分析，查找病毒木马感染途径，查找风险源头。

3、专项日志分析

日志分析可以发现系统曾实际遭受过的威胁，是风险评估过程中威胁识别的重要方法之一。日志分析利用系统内产生的各种日志对可能存在的安全威胁进行收集分析，使管理者和工作人员能够掌握系统内切实存在的威胁行为，从而制定有针对性的防御措施，维护系统的安全性。日志分析的对象包括各类主机系统、网络设备、数据库、应用系统等。

4、渗透测试

渗透测试是指在获取用户授权后，通过真实模拟实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞。

（1）漏洞挖掘：漏洞范围覆盖到OWASP Top 10漏洞类型。覆盖

自研系统、中间件、WEB框架、文件上传组件等。

（2）漏洞跟踪：建立漏洞跟踪机制，关注CNNVD、CNVD、CVE、Wooyun、Sebug、Scap、Exploit-db、Freebuf等漏洞披露平台，及时检测无锡农商银行网站是否存在同类安全漏洞。。

5、安全漏洞扫描

安全扫描主要是通过评估工具以本地扫描的方式对评估范围内

的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。

6、网络架构分析

针对ATM机、营业网点、异地支行等接入过程中带来的病毒威胁，通过在网络边界采取病毒防护措施，将病毒扼杀的网络边界处，防止病毒传播进行内网。

7、安全配置核查

配置核查是通过现场人工核查的方式，对安全设备、应用系统、网络设备等基础设施的配置进行核查，分析现有安全配置是否满足安全防护的需求。

系统的网络设备和主机的配置核查应主要考虑以下几个方面：

（1）是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则；

（2）内外网之间、重要的网段之间是否进行了必要的隔离措施；路由器、交换机等网络设备的配置是否最优，是否配置了安全参数；

（3）安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最小，是否影响业务和系统的正常运行；

（4）主机服务器的安全配置策略以及防火墙、入侵检测等安全系统自身的保护机制是否实现；

商业银行信息科技风险管理解决方案

商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，09年3月份银监会正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样，是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设，在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下，国际银行业金融机构的信息科技风险有增大的趋势，国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前，国际上宣布实施新资本协议的国家和地区都按照新协议的要求，明确将操作风险纳入资本监管的范畴，而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求： 近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有： 2002年，美国国会发布了SOX《萨班斯[url=; 2004年9月30日，中国银监会发布了[url=; 2006年，银监会发布《电子银行安全评估指引》、《[url=;

中小银行信息科技管理中存在的问题及改进建议

中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展，信息科技与银行业务的深度融合，银行业的发展已经离不开信息技术的支持，信息科技已经成为当今银行业业务发展的核心支撑，其重要性不言而喻。然而，信息科技在退推动银行业快速发展的同时，随之而来的信息科技风险亦不容忽视，已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险，将会给银行经营带来巨大影响，甚至是造成银行业务停滞，影响百姓生活及社会稳定。笔者结合村镇银行自身发展，对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 （一）对信息科技风险认识不到位，管理体系不完善 以村镇银行为例，其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略，但缺乏与业务发展战略相一致的信息科技发展战略，同样也缺乏信息科技风险战略来指导信息科技风险管控工作，信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题，例如对信息科技风险了解的不够细致，对信息科技风险管理相对薄弱，信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次，信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度，但制度建设、人员管理、岗位设置缺少整体的风险管理概念，缺少完整的信息科技安全管理体系。

（二）科技投入水平普遍较低 目前，中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例，很大数量的村镇银行尚未自行开发业务系统，多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行，业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够，信息科技的投入占运营成本的比重较小，大多在2%以下，该资金份额难以完全满足业务系统运行的维护需要，导致村镇银行部分硬件投入不足，常用易损设备备份不足，一些重要设备达不到双机热备的要求，出现设备损坏无备用设备，无法及时更换，影响正常业务开展的问题。更有一部分硬件设备超寿命运行，做不到及时更换，给信息系统的后期维护带来较大的负担，在银行业务开展的同时也暴露出较大的信息科技风险。 （三）科技队伍建设严重滞后，人才储备不足 信息科技发展的核心是科技人才，银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言，信息科技人员的配比却严重偏低，人员配备严重不足，存在着较大的人员缺口，从这个角度来看，农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑，无法满足科技管理的整体要求。

从风险管理的视角探讨电子文件安全管理问题(标准版)

Enhance the initiative and predictability of work safety, take precautions, and comprehensively solve the problems of work safety. （安全管理） 单位：___________________ 姓名：___________________ 日期：___________________ 从风险管理的视角探讨电子文件安全管理问题(标准版)

从风险管理的视角探讨电子文件安全管理问 题(标准版) 导语：根据时代发展的要求，转变观念，开拓创新，统筹规划，增强对安全生产工作的主动性和预见性，做到未雨绸缪，综合解决安全生产问题。文档可用作电子存档或实体印刷，使用时请详细阅读条款。 如今，风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。①把风险管理与电子文件联系起来绝不是理论研究上的攀拉与附会，而是每一个与电子文件打交道的人，特别是文件、档案管理者无法回避的视角和观念。②基于上述两点考虑，笔者认为，从信息安全风险管理的视角来审视电子文件的安全管理问题是十分有意义，通过对风险管理与安全管理关系的认识，我们可以更加深入地了解到当前电子文件安全管理存在的问题，进一步认清电子文件安全管理工作存在的不足之处和改进方向。 一、风险管理与安全管理关系的认识 在分析电子文件安全管理的问题之前，我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系，首先，要对风险与安全有深刻的认识。在新华字典中，对风险的释义是“危险；遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威

最新商业银行操作风险评估

商业银行操作风险评 估

商业银行操作风险评估 ——基于EVT理论的CVaR模型* 摘要：近年来，操作风险的衡量呈现出模型化的趋势，本文通过极值理论（EVT）来构建操作风险的条件风险价值（CVaR）模型，以此来度量商业银行小概率，大损失特点的操作风险。并认为操作风险模型化的趋势应与加强操作风险管理有机结合起来。 关键词：操作风险；风险价值（VaR）；条件风险价值（CVaR）；极值理论（EVT） 中图分类号：F830.33 文献标识码：A 一、引言 随着金融衍生产品的不断创新,金融业电子化潮流和金融业的全球化竞争,各金融机构面临的操作风险呈不断上升的趋势。巴塞尔委员会（巴塞尔，2001）给出的一个关于操作风险的定义认为操作风险是“源于内部程序不完善、人为失误、系统故障或是外部事件所引发的直接或间接损失的风险”。目前，风险管理者们相信金融机构面临的风险中大约有30%来自操作风险。尽管如此，人们在数量方法度量这类风险方面所作的工作仍显得不足。 在操作风险的度量上，新巴塞尔资本协议给出了从简单到复杂的三种方法,即基本指标法、标准法和内部度量法。并提出银行最终可通过估计操作风险的 *本文得到了江苏省教育厅高校哲学社会科学基金（06SJB790025）和江苏省科技厅软科学项目 （BR2006505）的资助。

损失分布，采用方法估计和确定资本要求，使对监管资本的计算更加精确。尽管 VaR 和 CVaR 提出以后，有不少的计算方法出现，但它们都有各自的缺陷。因为几乎所有的传统方法采用的观测值都集中在分布中部，实际上，分布尾部才是VaR 和 CVaR 计算所最关心的。分布在尾部的点都是一些极少发生又具有显著影响的观测值，或者称为极值，而极值理论正是对这些极值提供统计分析的模型。 二、VaR 与CVaR 概述 2.1 VaR 的定义 VaR 是一种用规范的统计技术来全面综合地衡量风险的方法, 较其它主观 性、艺术性较强的传统风险管理方法能够更加准确地反映金融机构面临的风险状况，大大增加了风险管理系统的科学性。VaR 方法是用概率统计原理估计金融风险的方法，其英文全称是 Value-at-risk ，一般译为“风险价值”。其含义是指在未来一定时期内，在给定的概率置信水平α(通常比较大，一般在0.95~1之间)下，任何一种金融工具或投资组合所面临的潜在的最大损失。其数学定义为： ()()t P X VaR αα≤= 其中X 为某项金融资产在时刻 t 的负对数回报，当为正代表损失，为负时代表收益。置信水平为α(>0.9)。这样当我们已知损失的分布时， ()1 x VaR F αα-=- 1 x F -是x F 的反函数。VaR 关心市场风险，它是金融头寸风险的一种度量， 此度量用来评估或被管理委员会用来设置资本保证金，VaR 保证金融机构在一次灾难性的事件后不致于破产。 2.2 CVaR 的定义

2016年科技信息风险评估报告

XX农商银行关于科技信息 业务风险评估报告 根据《XXX农村信用社联合社关于印发XX农村信用社2015-2017年规划的通知》）及《XX银行2016年内控合规工作实施细则》的要求，风险合规部对我行科技信息部2016年度的相关业务进行了风险评估，现将评估情况情况报告如下： 一、总体情况 风险合规部于2016年12月1日至2016年12月5日对我行科技信息业务的风险状况进行了评估，主要从组织领导、制度管理、岗位管理、员工培训、安全设施等业务开展情况进行了检查，结合检查结果进行风险评估。 二、工作开展情况 （一）科技信息组织领导 通过查阅科技信息部考核办法和相关责任状，我行董事会设置了科技信息管理委员会，经营班子设置了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等领导组织，组织机构组建齐全。 （二）信息科技制度建设 通过查阅出台的信息科技制度、流程及办法，信息科技部组织制定了各项规章制度，并结合内部控制评价工作对相

关的科技管理制度和操作规程进行梳理和归类，及时修改相关制度办法，使其具有系统性、可操作性和全新性。 （三）信息科技管理部门及岗位 我行现已设立独立的科技管理工作部门并配有符合条件的科技人员，结合自身实际设立科技管理岗、主机系统维护岗、设备维护岗、设备保管岗、档案管理岗、风险控制及安全岗等必要的岗位，每个岗位配备2人以上操作维护人员，重要系统均配备A\B角，并定期轮换，制定相应的岗位职责。 （四）员工学习培训 通过查阅培训计划及资料、员工岗位轮换表、强制休假安排及审计报告，科技信息部年内组织开展了计算机知识的普及和应用轮训培训工作，严格落实上岗资格考试、岗位轮换和强制休假制度。 （五）设备管理和维护 通过查阅登记簿和检查记录，科技人员能够按照规定对计算机进行必要的设备日常监测、检查、记录，并及时掌握设备的运行状况。通过查阅运维综合管理平台，部门能够及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单，并对其认真审核后，及时提交相关部门处理；对营业网点上报的网络故障信息及时给予电话或现场指导。 （六）机房网络安全及消防设施

商业银行信贷风险管理理论概述.doc

商业银行信贷风险管理理论概述 一.信贷风险的定义: 1.信贷。 银行信贷是商业银行为保证贷款业务而从事的与之相关的经营活动,是商业银行的主要业务.银行信贷是商品货币关系的产物,是以偿还为条件,并且收取利息为获取报酬的借贷行为.它的运行方式为:吸收来自个体储户的存款,然后将之发放给信用可靠的贷款人.在这个过程中,银行向储户支付利息,贷款人向银行支付利息.银行通过利息的不同来获取收益.银行信贷具有聚集,分配社会资金,调节社会经济活动,反映和监督国民经济活动的职能. 2.信贷风险的含义。 风险在经济领域中,一般将之理解为在未来的一段时间内,损失的发生因为影响因素的大量性,无规则性和随机性而具有多种可能性或不确定性.商业银行在经营与信贷活动中因受多种因素的影响存在损失发生的可能性或不确定性,就是商业银行风险.信贷风险作为商业银行的主要风险,在广义上它指因客户违约引发的风险,在狭义上指银行不能如期收回贷款本金和利息的不确定性,也即银行在信贷活动中预期收益不能实现的可能性.(商业银行信贷风险管理—张淼) 3.信贷风险的特征。 （1）客观性。 只要银行经营信贷活动，就不可能完全规避信贷风险，信贷风险在信贷活动中是客观且肯定存在的。换句话说，没有信贷风险的信贷活动是不存咋的。 （2）隐蔽性。 信贷活动中各种影响因素的大量性、随机性和不确定性决定了信贷风险难以直接的、精确的被观察和度量。 （3)可控性。 虽然信贷风险具有隐蔽性，但银行可以通过一定的方法提前识别、计量、监测和控制。 二.信贷风险形成的原因. 从一般意义上考察,任何经济活动风险的存在都与其所处的自然环境,社会和政

治环境,经济形势的变化和人的行为等诸多因素的影响.银行信贷作为社会经济活动的组成部分,同样受到这些因素的影响.银行风险的形成原因是错综复杂的,既有客观原因,又有主观原因;既有外部原因,又有内部原因.这些因素的大量性,随机性,不确定性以及不同因素之间相互交错,使得信贷风险的评估与管理变得复杂化. 1.主要表现形式。 商业银行的信贷风险主要体现在巨额不良债权上。债权是指商业银行(债权人)按信用原则和交易准则，以贷款为形式、以契约承诺为载体，让渡信贷资金使用权给借款人(债务人)，并藉此拥有向借款人追索贷款本金和利息的一种经济权利。根据贷款契约的履行情况，商业银行的债权可分为正常债权和不良债权。就一笔贷款而言，如果该贷款能够按贷款契约规定的期限要求按时偿还本金和利息，那么该项债权就属于正常债权。否则，就属于不良债权范畴。“不良债权”是指按期很难收回或无法收回的贷款，即通常所说的呆账、坏账。(我国商业银行信贷风险形成原因分析—王红夏) 2.产生原因。 不良债权的产生主要来自于商业银行信贷经营管理水平低,其体现在以下方面：（1）银行对经营对象了解不深入,分析不透彻.信贷风险的产生与银行工作人员对贷款对象的了解程度有很大关系,在发放贷款前,没有对贷款对象进行深入调查,没有对其资产状况和偿还能力进行评估,就像对方贷款.这样做的后果是某些贷款人信用低,不具有偿还能力.而一些贷款单位管理水平低,经济效益差,导致其不具有偿还能力. （2)缺乏科学的可行性分析和项目评估.无论哪一种业务,事先都应进行可行性评估.对于银行来说,在贷款之前,应结合所掌握的资料进行科学的可行性评估.如果凭借决策者的主观经验进行决策贷款,无疑会产生信贷风险. （3)信息不灵.银行的任何一项决策,都应该建立在及时,可靠的信息上,并且贷款之后,也应跟踪调查贷款对象的最新信息,确保其具有偿还贷款的能力. （4）国家体制原因。我国的特殊的经济体制也会对银行的信贷风险的产生有一定影响.如行政干预,指令贷款会形成贷款风险.由于在计划经济下形成的政企不分的问题没有得到根本解决,银行的资金流向,投量的掌握在一定的程度上还政

商业银行信息科技风险动态监测规程

商业银行信息科技风险动态监测规程 （征求意见稿） 第一章总则 第一条为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规，制定本规程。 第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章动态监测指标选取原则及分类

第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。 第七条监测指标选取遵循以下四个原则： （一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力； （二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况； （三）敏感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况； （四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。 第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。 第三章动态监测指标体系 第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。

商业银行信息科技风险管理指引

商业银行信息科技风险管理指引目录 第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计 第十章外部审计 第十一章附则第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计第十章外部审计第十一章附则展开编辑本段第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 编辑本段第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人设立一个由来自高级管理层、信息科技（五）员对信息科技风险管理重要性的认识。． 部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向

计算机化系统风险评估报告1

计算机化系统风险评估1 风险评估小组成员 姓名职务部门

目录 1、目的 (3) 2、范围 (3) 3、风险评估工具 (3) 4、风险识别、评估、控制 (3) 5、分析的风险及评价的结果 (4) 6、风险评估结论 (13) 7、计算机化系统清单............................................................................................................... 错误！未定义书签。

1、目的 根据风险评估结果确定计算机化系统验证和数据完整性控制的程度。 2、范围 本风险评估适用于计算机化系统的风险评估。 3、风险评估工具 应用FMEA，识别潜在失败模式，对风险的严重性、发生率和可检测性进行评分。 4、风险识别、评估、控制 识别：根据计算机化系统在操作过程中可能发生的风险，识别风险点。 分析：根据算机化系统在操作过程中可能发生的风险，确定通过风险控制，避免危害发生，应用FMEA方式，从对影响产品质量的因素进行分析，对风险的严重性、发生率和可检测性进行确认。 评价：从风险的严重性、可能性、可检测性，确定各步骤失败影响，打分方式确认风险严重性，将严重性高的风险确认为关键点、控制点。 风险控制：根据风险评估得分，对风险等级高和中的风险需要追加风险控制措施来降低风险，对风险等级为低的，视为可接受风险。采取风险控制措施后，重新对风险点进行评估，评估其残余风险的风险等级，以确定最终的风险评估的结论。

5、分析的风险及评价的结果 序号失败描述失败原因 评价风险 接受 拟采取的措施 再评价风险 接受S P D RPN S P D RPN 1 计算机化系统供应 商不符合要求 供应商提供产品或服 务不能满足企业要求 5 4 3 60 否 1、对供应商提供的产品 或服务进行确认； 2、与供应商签订协议 5 2 1 10 是 2 人员不够专业操作人员不是专业人 员，不能正确完成对计 算机化系统的验证、使 用、维护、管理等方面 的工作 5 4 2 40 否 1、建立相应的SMP、 SOP； 2、对人员进行充分的培 训 5 2 1 10 是 3 计算机化系统操作 失误 企业未建立计算机化 系统操作规程 5 4 2 40 否 建立计算机化系统操作 规程 5 2 1 10 是

商业银行信用风险评估

商业银行信用风险评估 结合本文分析了商业银行内部信用风险评估体系在银行风险管理的地位和作用，内容摘要：对如何完善和发展内蒙古商业银行,我国商业银行在信用风险评估方法上存在的问题和现状的内部信用风险评估体系提出了几点建议。国内银行业面临着参与国际随着我国金融体制改革步伐的加快和金融业开放程度的提高， 我国商业银行必须借鉴国际上先进的信用风险管理在金融全球化的新形势下，竞争的挑战。经验，强化信用风险管理，开发适用的信用风险管理模型，适应《巴赛尔协议》新框架的需银行融资仍将是企业筹措资金的在今后很长一段时期，要。我国处于经济发展的初期阶段，深入研究我国商业银行银行体系面临的风险将是我国金融风险的主要构成因素。主要方式，从全局不仅是商业银行作为微观金融主体进行内部管理的自主行为，的信用风险管理问题，股市引发货币危机、上看也是防范商业银行的信用风险导致银行信用体系和支付体系崩溃，下面仅就如何构建商行内部信用风险管理评估体系谈谈自己的一点暴跌和金融危机的需要。浅见，仅供交流和探讨。风险管理信用风险关键字：内蒙古商业银行 一、引言次系统性银行危机。个国家先后爆发了112世纪初，全球有70年代末到2193自20 世纪年美国利率风暴年美国股市崩盘、1994尤其90年代以来频频爆发的金融危机——如198720071998年俄罗斯政府违约事件，特别是及中南美洲比索风暴、1997年亚洲金融危机、影响程度之大，年的全球金融风暴，波及范围之广，年春季开始的次贷危机最终演变为2008对全它们不仅使一国多年的经济发展成果毁于一旦，还危机到一国的经济稳定，史无前例。近年随着巴林银行和雷曼兄弟的倒闭让人们愈加的认识到银行球经济也产生了强大的冲击。信用风险管理的重要性。二、我国商业银行业信用风险评估方法现状分析 目前我国的信用分析和评估技术仍处于传统的比率分析阶段。银行机构主要使用计算贷款风险度的方法进行信用风险评估。信用风险的分析仍然是以单一投资项目、贷款和证券为主,衍生工具、表外资产的信用风险以及信用集中风险的评估尚属空白,更没有集多种技术于一体的动态量化的信用风险管理技术。其主要表现在以下几个方面: (一)信用风险衡量采用专家制度。我国商业银行信用风险衡量大多采用专家制度。但专家制度存在一定的缺陷和不足,在实际运用中没有引起重视。如专门信用分析人员不足、实施效果很不稳定、银行应对市场变化的能力较低、银行在贷款组合方面过度集中的问题进一步加剧等。 (二)信用风险评估中定量分析不够。从信用风险的识别、衡量方面看,我国商业银行信用风险管理定性分析多,定量分析少(尽管已经使用了一些定量分析方法,但仍存在着不完善的地方);静态分析多,动态分析少;局部分析多,全局分析少。以企业信用评级为例,从评级要素的设计看,多侧重财务指标分析(总分值达三十分以上),而忽略了财务信息的质量问题。众所周知我国企业财务信息质量不高已是不争的事实;忽视了企业发展前景在信用评级中的作用,如企业所在行业发展状况、市场预期状况仅占1分,这样得出的评级结果更多反映的是企业过去和现在的信用状况,而未能反映企业未来的资信质量。从评级时间看,对企业的信用评级每年进行一次,不利于银行及时了解企业的信用等级变化,不能为风险管理提供动态的信息。再从国内银行对贷款的风险度测量方法看,一个最主要的问题就是贷款风险度涉及因素的选择和风险系数的确定很大程度上受到主观因素的影响。贷款风险度是否受到或仅受到企业信用等级、贷款方式的影响,有实证研究结果表明,中国的商业银行资产质量与抵押、担保贷款风险系数确定的依据是这意味着贷款方式与贷款风险度并无直接关系。, 率无直接线性关系 什么?这些问题由于未得到解决,导致了贷款风险度的测量并不能真正反映贷款信用风险水平。此外,我国商业银行贷款风险度的测量关注的是某一笔贷款的信用风险,并没有从组合管理的角度对信用风险进行测定。一笔贷款对贷款组合的信用风险贡献度,即边际信用风险为多少?各笔贷款之间的风险度相关性如何?这些问题在贷款风险度的测量方法中都没有加以解决。

商业银行信息科技风险管理指引(银监发2009[1].19)

-------------------------------------------------------------------------------- 商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责： （一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 （二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握a主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。 （四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。 （五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 （六）在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。 （七）确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改。

《商业银行信息科技风险管理指引》WORD版

商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 （二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。

涉密项目保密风险评估及防控措施

涉密项目保密风险评估及防控措施

陕西华信智能建筑有限责任公司 工程部

目录 1、概述 (1) 风险评估的依据 (1) 评估的目的 (1) 2、常见风险评估及防控措施 (2) 参与涉密项目人员风险评估 (2) 可能存在的风险点 (2) 风险防控措施 (2) 涉密载体风险评估 (3) 可能存在的风险点 (3) 风险防控措施 (4) 涉密设备风险评估 (5) 可能存在的风险点 (5) 风险防控措施 (5) 涉密场所风险评估 (6) 可能存在的风险点 (6) 风险防控措施 (7) 3、涉密项目风险评估 (8) 招投标风险评估 (8) 可能存在的风险点 (8)

设计方案风险评估 (9) 可能存在的风险点 (9) 风险防控措施 (9) 分包方案使用风险评估 (10) 可能存在的风险点 (10) 风险控制措施 (10) 设备采购风险评估 (11) 可能存在的风险点 (11) 风险控制措施 (11) 现场实施风险评估 (12) 可能存在的风险点 (12) 风险防控措施 (12) 审查验收风险评估 (13) 可能存在的风险点 (13) 风险防控措施 (13) 项目材料移交风险评估 (14) 可能存在的风险点 (14) 风险防控措施 (14) 运行维护风险评估 (14) 可能存在的风险点 (14)

1、概述 风险评估依据 《中华人民共和国保守国家秘密法》 《涉密信息系统集成资质保密标准》 BMB17《涉及国家秘密的信息系统分级保护技术要求》 BMB20《涉及国家秘密的信息系统分级保护管理规范》 BMB23《涉及国家秘密的信息系统分级保护管理规范》 评估目的 涉密项目保密风险评估是涉密项目保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的风险防范控制措施。 近几年来，随着信息技术的飞速发展，现代办公设备逐渐走进了企业的日常工作，涉密项目的参与者和实施环境越来越复杂，保密工作面临着一种全新环境，同时所面临的保密形势日益严峻。 涉密项目保密风险评估，作为涉密项目，开展保密风险评估，能为项目部和公司保密机构准确把握涉密项目保密工作所面临的风险，进行重点防控提供科学依据。

商业银行理财客户风险评估问卷基本模版.doc

《商业银行理财客户风险评估问卷基本模版》编写说明 本次编制的《商业银行理财客户风险评估问卷基本模版》遵照 银监会的相关规定，结合各行实际情况，并综合考虑了客户使用的 易读性与便利性等因素，涵盖了客户财务状况、投资经验、投资风 格、投资目标和风险承受能力五大模块，对应 10 道问题； 10 道问题最高为 100 分，五个模块权重各占 20%；分值越高表示客户可承受的风险越高，依照客户风险承受能力由低到高（对应得分由低到高），客户依次被划分为保守型、稳健型、平衡型、成长型和进取型 五个类型，《商业银行理财客户风险评估问卷基本模版》依次列出了每一等级客户适合的产品类型。 根据各行实际，考虑操作可行性与客户便利性，建议评估有效 期限为一年，即每年重新对客户进行一次风险评估。 一、客户财务状况 该模块主要测试客户的财务状况：包含客户年龄、家庭年收入、 可用于投资的收入比例等内容。年龄位于 31-50 岁之间，家庭年收入较高、可用于投资的收入比例越高的客户，财务状况较为理想。 对应题目为： 1、2、3 对应分值合计为：20 二、客户投资经验 本部分主要测试客户的投资经验：通过客户从事风险投资（股 票、基金、外汇、金融衍生品等）的年限以及此前所投资产品的类

别和比例来判断客户的投资经验。客户从事风险投资的年限越长， 投资产品的种类越广，风险投资品所占比例越高的，投资经验越丰富。 对应题目为： 4.5 对应分值合计为：20 三、客户投资风格 本部分主要反映客户的的风险偏好：通过测试客户对产品可能出现亏损的容忍度、对投资收益的预期以及对不同收益方式的选择，反映出客户的风险偏好。 对应题目为： 6.7 对应分值合计为：20 四、投资目标 本部分主要测评客户的投资目标：包括客户对产品流动性的要 求以及预计投资周期等内容。 对应题目为： 8、9 对应分值合计为：20 五、客户风险承受能力 本部分通过测评客户可接受的投资亏损上限来直接测评客户的 风险承受能力。 对应题目为： 10 对应分值合计为：20 此次编订的《商业银行理财客户风险评估问卷基本模版》是中

构建商业银行信贷风险评估及预警体系

构建商业银行信贷风险评估及预警体 系

商业银行信贷风险评估及预警体系的构建 摘要随着金融全球化趋势及金融市场的波动性加剧各国金融机构受到了前所未有的信用风险挑战信贷风险成为金融机构和监管部门风险防范与控制的主要对象如何有效地防范银行的信贷风险已成为世界金融行业和学术界探讨的一个重要课题本文在对中国商业银行信贷业务进行调查研究的基础上分析商业银行信贷业务的现状指出其存在的问题并在全面深入分析其成因的基础上借鉴国外先进的信贷风险管理经验提出构建中国商业银行信贷风险评估和预警体系的思路 关键词信贷风险信贷风险评估体系预警体系信贷管理 近年来中国国民经济保持了持续、高速增长,而银行作为经济活动的主要媒介,如何在抓住机遇,加快发展的过程中规避和

防范金融风险已成为国内银行业不可回避的问题建立一套实用性较强又能与国际接轨的信贷预警模型及警管理机制对中国商业银行持续快速健康发展具有重要的现实意义 一、商业银行信贷风险的概念及形成的原因 商业银行信贷风险是由于不确定性因素使借款人不能按合同规定偿还银行贷款本息导致信贷资产预期收入遭受损失的可能性 商业银行的信贷风险产生的原因有许多方面如图1所示归纳起来主要表现为:(1)商业银行自身经营性原因例如银行信贷内部控制制度不完善缺乏科学的信贷管理与防范体系信贷资产质量监管制度与偿债的约束机制的执行不严格经营管理人员和经办人员缺乏职业道德等造成了信贷风险;(2)商业银行的信贷风险识别机制不健全没有对信贷风险准确全面的评估导致风险防控滞后;(3)信贷营销理念偏差盲目相信企业集团增大了信贷风险忧患;许多商业银行争抢大集团客户对企业集团盲目跟进对其多头授信、过度授信放宽了信贷条件和监控从成都市信贷统计数据看前10户商业银行贷款在全市各项贷款中的所占比例呈现逐年走高的态势末为28.4% 末31.5% 末为41.3%说明了各行的贷款投向高度集中增大了银行的信贷风险隐患(4)对国家经济产业及行业政策研

商业银行信息科技风险现场检查指南

商业银行信息科技风险现场检查指南

目录 第一部分概述 (12) 1. 指南说明 (13) 1.1 目的及适用范围 (13) 1.2 编写原则 (14) 1.3 指南框架 (15) 第二部分科技管理 (17) 2. 信息科技治理 (18) 2.1 董事会及高级管理层 (18) 检查项1 ：董事会 (18) 检查项2 ：信息科技管理委员会 (19) 检查项3 ：首席信息官（CIO） (20) 2.2 信息科技部门 (21) 检查项1 ：信息科技部门 (21) 检查项2 ：信息科技战略规划 (23) 2.3 信息科技风险管理部门 (24) 检查项1 ：信息科技风险管理部门 (24) 2.4 信息科技风险审计部门 (25) 检查项1 ：信息科技风险审计部门 (25) 2.5 知识产权保护和信息披露 (26) 检查项1 ：知识产权保护 (26) 检查项2 ：信息披露 (26) 3. 信息科技风险管理 (28) 3.1 风险识别和评估 (28) 检查项1 ：风险管理策略 (28) 检查项2 ：风险识别与评估 (29) 3.2 风险防范和检测 (29) 检查项1 ：风险防范措施 (29) 检查项2 ：风险计量与检测 (30) 4. 信息安全管理 (32) 4.1 安全管理机制与管理组织 (32) 检查项1：信息分类和保护体系 (32) 检查项2：安全管理机制 (33) 检查项3：信息安全策略 (34) 检查项4：信息安全组织 (34) 4.2 安全管理制度 (35) 检查项1：规章制度 (35) 检查项2：制度合规 (36)

4.3 人员管理 (38) 检查项1：人员管理 (38) 4.4 安全评估报告 (39) 检查项1：安全评估报告 (39) 4.5 宣传、教育和培训 (39) 检查项1：宣传、教育和培训 (39) 5.系统开发、测试与维护 (41) 5.1开发管理 (41) 检查项1：管理架构 (41) 检查项2：制度建设 (43) 检查项3：项目控制体系 (44) 检查项4：系统开发的操作风险 (45) 检查项5：数据继承和迁移 (46) 5.2系统测试与上线 (47) 检查项1：系统测试 (47) 检查项2：系统验收 (49) 检查项3：投产上线 (49) 5.3系统下线 (50) 检查项1：系统下线 (50) 6. 系统运行管理 (52) 6.1 日常管理 (52) 检查项1：职责分离 (52) 检查项2：值班制度 (53) 检查项3：操作管理 (53) 检查项4：人员管理 (54) 6.2 访问控制策略 (55) 检查项1：物理访问控制策略 (55) 检查项2：逻辑访问控制策略 (56) 检查项3：账号及权限管理 (57) 检查项4：用户责任及终端管理 (58) 检查项5：远程接入的控制 (59) 6.3 日志管理 (60) 检查项1：审计日志检查 (60) 检查项2：日志信息的保护 (60) 检查项3：操作日志的检查 (61) 检查项4：错误日志的检查 (61) 6.4系统监控 (62) 检查项1：基础环境监控 (62) 检查项2：系统性能监控 (62) 检查项3：系统运行监控 (63) 检查项4：测评体系 (64) 6.5 事件管理 (65)

商业银行信息科技风险管理指引英文版

Commercial Banks ' Information Technology Chapter I General Provisions Article 1. Pursuant to the Law of the People 's Republic of China on Banking Regulation and Supervision, the Law of the People's Republic of China on Commercial Banks, the Regulations of the People's Republic of China on Administration of Foreign-funded Banks, and other applicable laws and regulations, the Guidelines on the Risk Management of Commercial Banks' Information Technology (hereinafter referred to as the Guidelines) is formulated. Article 2. The Guidelines apply to all the commercial banks legally incorporated within the territory of the People's Republic of China. The Guidelines may apply to other banking institutions including policy banks, rural cooperative banks, urban credit cooperatives, rural credit cooperatives, village banks, loan companies, financial asset management companies, trust and investment companies, finance firms, financial leasing companies, automobile financial companies and money brokers. Article 3. The term “information technology ” stated in the