【金融保险】银行业信息科技风险监管现场检查手册
1
前言
信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的
重要手段。银行业对信息科技的高度依赖,决定了信息系统的安全性、可靠性和有效性对维系整个银行业的安全和金融体系的稳定具有至关重要的作用。
银监会党委对信息科技风险监管工作高度重视,刘明康主席多次召开专项工作会议并做出重要批示和指示,明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念,把信息科技风险纳入银行总体风险监管框架,切实加强制度建设和风险监控,确保银行业信息系统安全稳定。
在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的新形势下,银监会坚持“风险为本”的监管原则,提出了信息科技风险功能性监管的新思路,突出“制度先行”,完善监管框架,借鉴和吸收国际先进标准及业界最佳实践,不断丰富信息科技风险监管方式方法,制定了一系列的监管规范,结合奥运保障开展现场检查,并针对性地发出有关风险提示,建立非现场监管体系和监管评级体系,从而构建了信息科技风险监管的基础框架,全面展开信息科技风险的监管工作。
按照郭利根副主席提出的“集成资源,形成信息科技风险监管合力”和“搞好规划,全面加强信息科技风险监管制度建设”要求,银监会强化机制建设、优化资源配置,整合科技人力资源,集中全国银监会系统科技骨干力量,在北京成立了信息科技监管“专项工作组”,又在上海、深圳两地分别成立信息科技风险监管工作室,按照统一调度、统一指挥、统一培训的工作原则,制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举,形成了矩阵式的监管工作模式,快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。
《手册》的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、
天津、重庆、大连、云南、贵州银监局派出精锐技术骨干,参加《手册》编写工作;银监会各部门与各银监局提出了许多宝贵意见;上海银监局为编写工作提供了大量支持和保障工作。整个《手册》内容融合了银监系统内信息科技人员的经验和智慧,汇聚了银监会各部门与各银监局的宝贵意见和建议,应属于银监会系统及科技人员共同努力的成果和结晶。在此,向所有参与工作的单位和个人致以诚挚的谢意!
2
3
编写人员
林丽朱永扬怿卫飞李丹骆絮飞邹伟房世晖崔维琪朱斌冯业伟叶照乔昱瑞纪奀武齐兴利吴瑞麟张伟张惠芳李晓东陆阳陆翔陈云龙陈宏宇周嘉弘郝海峰杨中华崔晨盛于南游琨谭杨史文明何禹靖雪晶怿美东怿殿南刘楠李鹏李海波包龙殷有超
目录
第一部分概述 (2)
1. 银行信息科技风险及其监管 (2)
1.1 银行信息科技风险 (2)
1.2 银行信息科技风险特点 (2)
1.3 风险成因分析 (3)
1.4 信息科技风险监管意义 (4)
2. 现场检查一般流程 (5)
2.1 现场检查准备阶段 (5)
2.2 现场检查实施阶段 (7)
2.3 现场检查后续阶段 (8)
3. 常用检查方法 (9)
第二部分科技管理 (11)
4. 科技治理 (11)
4.1 董事会及高管层 (11)
检查项1 :董事会和高级管理层 (11)
4.2 信息科技工作的管理机构 (12)
检查项1 :全行信息科技工作的管理机构 (12)
4.3 信息科技部门 (13)
检查项1 :信息科技部门 (13)
4.4 信息科技战略规划 (15)
检查项1 :信息科技战略规划 (15)
4.5 信息科技风险管理部门 (15)
检查项1 :信息科技风险管理部门 (15)
4.6 信息科技风险审计 (16)
4
5
检查项1 :信息科技风险审计机制 (16)
4.7 知识产权保护 (17)
检查项1 :敉识产权制度 (17)
4.8 信息披露 (17)
检查项1 :信息披露 (17)
5. 连续性管理 (18)
5.1 信息系统连续性组织 (18)
检查项1:系统连续性管理组织 (18)
检查项2:系统连续性管理组织职责 (19)
检查项3:系统连续性计划编制、维护 (20)
检查项4:系统连续性计划编制、维护职责 (20)
检查项5:系统连续性计划执行组织 (20)
检查项6:系统连续性计划执行组织职责 (21)
检查项7:人员变动管理 (22)
5.2 信息系统连续性计划 (22)
检查项1:系统连续性计划 (22)
检查项2:测试及持续更新 (24)
检查项3:信息系统连续性计划管理 (25)
检查项4:系统连续性计划培训 (25)
检查项5:系统连续性计划审计 (25)
6. 应急管理 (26)
6.1 应急组织 (26)
检查项1:应急管理团队 (26)
检查项2:应急管理职责 (27)
检查项3:应急管理制度 (27)
6.2 应急预案 (27)
检查项1:应急预案制订 (27)
检查项2:应急预案内容 (28)
检查项3:应急预案更新 (29)
检查项4:外包服务应急 (29)
检查项5:应急培训 (29)
6.3 应急演练 (30)
检查项1:应急演练前 (30)
检查项2:应急演练过程 (30)
检查项3:应急演练后 (30)
6.4 应急响应 (31)
检查项1:应急响应流程 (31)
检查项3:应急事件报告 (32)
检查项4:与第三方沟通 (32)
检查项5 :向新闻媒体通报制度 (32)
检查项6:应急处置总结 (33)
6.5 应急保障 (33)
检查项1:人员保障 (33)
检查项2:物质保障 (33)
检查项3:技术保障 (34)
检查项4:沟通保障 (34)
6.6 持续改进 (34)
检查项1:应急事件评估、改进 (34)
检查项2:应急响应评估 (35)
检查项3:应急管理评估 (35)
检查项4:纳入全面风险管理机制 (35)
7. 信息系统安全管理 (35)
7.1 安全管理组织 (36)
检查项1:管理目标 (36)
6
检查项2:人员风险 (36)
7.2 安全管理制度 (37)
检查项1:规章制度 (37)
检查项2:制度合规 (38)
查项3:制度执行 (38)
检查项4:宣传和教育培训 (39)
检查项5:事件响应和处理 (39)
8. 外包管理 (40)
8.1 服务外包管理制度 (40)
检查项1:服务外包管理制度 (40)
检查项2:对重要外包项目评估 (41)
检查项3:外包安全保密措施 (41)
8.2 服务外包管理风险评估 (41)
检查项1:对服务外包商评估 (41)
检查项2:对服务外包商审查 (42)
8.3 服务外包审批 (42)
检查项1:服务外包审批流程 (42)
8.4 服务外包应急响应 (42)
检查项1:服务外包应急计划 (42)
检查项2:服务外包商联络机制 (43)
检查项3:服务外包应急演练 (43)
8.5 外包合同 (43)
检查项1:外包合同 (43)
检查项2:服务外包商访问权限 (44)
检查项3:外包服务法律风险 (44)
8.6 服务外包文档的完备性 (45)
检查项1:服务外包文档 (45)
7
9. 审计监督 (45)
9.1 内部审计 (45)
检查项1:信息科技审计制度 (45)
检查项2:内部审计的范围、频率 (46)
检查项3:审计质量控制 (46)
检查项4:审计结果的有效性和持续性 (47)
9.2 外部审计 (47)
检查项1:内部审计与外部审计的协调 (47)
10. 开发变更管理 (48)
10.1 开发管理 (48)
检查项1:制度建设 (48)
检查项2:管理架构 (49)
检查项3:项目控制体系 (49)
检查项4:系统开发的操作风险 (50)
10.2 系统测试与上线 (50)
检查项1:系统测试 (51)
检查项2:系统验收 (51)
检查项3:系统上线 (52)
10.3 系统升级变更 (52)
检查项1:制度建设 (52)
检查项2:管理架构 (53)
检查项3:测试体系 (53)
检查项4:紧急变更控制措施 (54)
10.4 系统下线 (54)
检查项1:制度和流程建设 (54)
检查项2:操作管理 (55)
11. 系统运行管理 (55)
8
11.1 日常运行管理 (55)
检查项1:运行部门和岗位设置 (55)
检查项2:信息科技部门人员管理 (55)
检查项3:信息科技部门人员培训 (56)
检查项4:系统用户的管理 (56)
检查项5:系统性能的监控 (56)
检查项6:信息系统配置的管理 (57)
检查项7:系统设置参数的更改 (57)
检查项8:设备和介质的生命周期管理 (57)
检查项9:日志管理 (57)
检查项10:问题管理 (58)
检查项11:服务台管理 (58)
检查项12:呼叫中心 (58)
检查项13:桌面管理 (59)
11.2 日常运行的监督 (59)
检查项1:规章制度及信息安全控制执行情况的检查 (59)
检查项2:运行报告 (59)
11.3 可靠性运行管理 (60)
检查项1:单点故障的排查 (60)
检查项2:信息系统漏洞导致业务失控的风险排查 (60)
检查项3:数据的管理 (60)
11.4 安全运行管理 (60)
检查项1:对已获敉的外部安全问题信息的反应 (61)
检查项2:信息安全事件的响应 (61)
检查项3:信息安全设备的完备性 (61)
检查项4:信息安全的管理工具 (61)
检查项5:病毒的检测和预防 (62)
9
11.5 保密运行管理 (62)
检查项1:数字签名和认敃的安全性 (62)
检查项2:口令的管理 (62)
检查项3:交易的验敃 (63)
检查项4:数据的加密 (63)
12. 灾难备份管理 (63)
12.1 灾难恢复的总体控制 (64)
检查项1:灾难恢复的规划 (64)
12.2 灾难恢复的组织机构 (64)
检查项1:灾难恢复的组织机构 (64)
检查项2:灾难恢复领导小组职责 (64)
检查项3:灾难恢复规划实施小组职责 (65)
检查项4:灾难恢复日常运行小组职责 (65)
12.3 灾难恢复的规划过程 (65)
检查项1:业务影响分析 (65)
检查项2:联络与通讯 (66)
检查项3:灾备系统中的外包风险 (67)
12.4 灾难恢复的实施过程 (67)
检查项1:灾难恢复策略的制定 (67)
检查项2:灾难恢复策略实现 (69)
检查项3:灾难恢复预案的实现 (69)
12.5 灾难恢复的维护更新过程 (70)
检查项1:教育、培训和演练 (70)
检查项2:灾难恢复的管理和持续更新 (70)
13. 数据管理 (71)
13.1 数据管理制度和岗位 (71)
检查项1: 数据管理的制度 (71)
10
11
检查项2 :数据管理的岗位 (72)
检查项1:数据备份策略 (72)
检查项2:数据恢复、抽检策略 (73)
13.3 数据存储介质及文档的管理 (74)
检查项1:介质管理 (74)
检查项2:介质的清理和销毁 (74)
检查项3:系统文档管理 (75)
14. 机房管理 (77)
14.1 物理环境/计算机机房业务连续性 (77)
检查项1:计算机机房运行管理 (77)
检查项2:计算机机房选址 (78)
检查项3:计算机机房基础设施有效性 (78)
检查项4:计算机机房日常维护 (80)
检查项5:机房功能分区 (80)
检查项6:应急预案及演练 (81)
14.2 物理环境/计算机机房安全 (81)
检查项1:物理环境/计算机机房安全管理 (81)
检查项2:计算机机房的环境安全管理 (82)
检查项3:计算机机房集中监控系统 (83)
检查项4:计算机机房安全区域访问控制 (83)
检查项5:机房设备安全 (84)
15. 网络通信 (85)
15.1 内控管理 (85)
检查项1:内控制度 (85)
检查项2:人员管理 (86)
检查项3:授权管理 (86)
检查项4:口令管理 (86)
检查项5:第三方管理 (87)
检查项6:服务外包 (87)
检查项7:文档管理 (87)
检查项8:审计和检查 (88)
检查项9:风险评估 (89)
检查项10:剩余风险控制 (89)
15.2 运行维护 (89)
检查项1:运行监控 (89)
检查项2:性能监控 (90)
检查项3:流量监控 (90)
检查项4:性能调优 (90)
检查项5:监控预警 (90)
检查项6:事件管理 (91)
检查项7:运行检查 (91)
15.3 网络变更管理 (92)
检查项1:变更计划 (92)
检查项2:变更审批 (92)
检查项3:配置和策略变更 (92)
检查项4:设备变更 (93)
检查项5:变更测试 (93)
15.4 网络服务连续性 (93)
检查项1:连续性计划 (93)
检查项2:业务影响分析 (94)
检查项3:应急管理 (94)
检查项4:容量管理 (94)
检查项5:冗余管理 (94)
检查项6:带外管理 (95)
12
13
检查项7:压力测试 (95)
检查项8:应急演练 (96)
检查项9:灾备要求 (96)
检查项10:服务中断的管理 (96)
15.5 网络安全 (96)
检查项1:结构安全 (96)
检查项2:物理安全 (97)
检查项3:传输安全 (98)
检查项4:访问控制 (98)
检查项5:接入安全 (99)
检查项6:网络边界安全 (100)
检查项7:入侵检测防范 (100)
检查项8:恶意代码防范 (101)
检查项9:网络设备防护 (101)
检查项10:网络安全测试 (103)
检查项11:安全检查 (103)
检查项12:安全审计日志 (103)
16. 主机设备 (104)
16.1 设备安全 (104)
检查项1:实体和环境安全 (104)
检查项2:可靠性及状态监控(硬件维护协议、版本升级、硬件的备件) (105)
检查项3:设备电磁防护 (105)
16.2 运行安全 (105)
检查项1:安全监控(主动防护,定期检测) (105)
检查项2:操作及维护 (106)
检查项3:恶意代码防护 (107)
检查项4:时钟同步 (107)
检查项5:电缆安全 (107)
检查项6:备份与故障恢复 (108)
17. 操作系统 (108)
17.1 操作系统日常维护 (108)
检查项1:日常维护管理 (108)
17.2 用户、密码设置及根系统管理 (109)
检查项1:root 用户及密码管理 (109)
检查项2:root 用户及密码设置 (110)
检查项3:root 登录失败记录管理 (111)
检查项4:su 命令失败记录管理 (111)
检查项5:定时保护管理 (111)
检查项6:root 是否只能在某设备上注册 (112)
检查项7:根文件系统自动清理设置管理 (112)
检查项8:其他特权用户管理 (112)
检查项9:用户UID 管理情况 (113)
检查项10:配置文件管理 (113)
检查项11:用户目录管理 (114)
17.3 主机文件系统安全 (114)
检查项1:文件系统目录权限配置管理 (114)
检查项2:参数“umask”配置管理 (115)
检查项3:应用目录权限配置管理 (115)
17.4 主机系统访问控制 (115)
检查项1:登录失败日志管理 (115)
检查项2:UNIX 通信服务管理 (116)
检查项3:NFS 目录共享管理 (116)
检查项4:HTTP 服务管理 (117)
检查项5:FTP 对主机的访问管理 (118)
14
15
检查项6:Telnet 网络服务管理 (118)
检查项7:远程访问控制策略管理 (119)
17.5 主机系统工作情况 (120)
检查项1:系统进程数量管理 (120)
检查项2:系统容量管理 (120)
检查项3:定时进程设置情况管理 (121)
检查项4:定时进程Cron 日志管理 (122)
17.6 HACMP 设置情况 (122)
检查项1:HACMP 维护切换管理 (122)
检查项2:其他高可靠性方案管理 (123)
17.7 Windows 系统安全策略设置是否合理 (124)
检查项1:信息安全政策管理 (124)
检查项2:安全选项设置管理 (124)
检查项3:日志策略设置管理 (125)
检查项4:硬盘分区格式管理 (126)
17.8 Windows 日常管理 (126)
检查项1:版本管理 (126)
检查项2:补丁管理 (126)
检查项3:软件管理 (126)
检查项4:登录密码、屏幕保护密码管理 (127)
检查项5:机器命名、工作组设置管理 (127)
检查项6:IP 地址管理 (127)
18. 数据库管理系统 (127)
检查项1:访问控制 (128)
检查项2:身份认敃 (128)
检查项3:数据安全 (129)
检查项4:网络安全 (129)
检查项5:审计策略 (130)
检查项6:备份和恢复 (130)
检查项7:性能管理 (130)
检查项8:连续性和应急管理 (131)
19. 第三方中间件产品 (132)
19.1 产品管理 (132)
检查项1:中间件产品准入 (132)
检查项2:中间件软件管理目录 (132)
检查项3:中间件产品与业务系统架构 (132)
19.2 运行管理 (133)
检查项1:维护流程和操作手册 (133)
检查项2:中间件产品配置管理 (133)
检查项3:中间件产品日志管理的程序 (133)
检查项4:中间件产品的性能监控 (133)
检查项5:中间件产品产生的事件和问题管理 (134)
检查项6:中间件产品的变更 (134)
19.3 安全管理 (134)
检查项1:中间件产品安全措施和认敃 (134)
检查项2:中间件产品的访问认敃机制 (135)
检查项3:中间件产品的管理控制台 (135)
检查项4:单点故障问题和负载均衡 (135)
19.4 灾备系统 (136)
检查项1:中间件产品应急处理预案 (136)
检查项2:中间件产品灾备系统 (136)
19.5 多应用中间件产品风险 (136)
检查项1:业务流程管理 (136)
检查项2:应用关联管理 (136)
16
17
检查项3:压力测试 (137)
19.6 数据库中间件产品风险 (137)
检查项1:数据库访问控制信息的保护 (137)
第四部分应用系统 (139)
20. 应用系统 (139)
20.1 应用系统管理 (139)
检查项1:应用系统管理制度 (139)
检查项2:应用系统分类保护 (139)
检查项3:重要应用系统应具有审计功能 (140)
检查项4:应用系统版本管理 (140)
检查项5:应用系统培训教育 (141)
20.2 应用系统安全 (141)
检查项1:终端用户管理 (141)
检查项2:访问控制 (142)
检查项3:保密机制 (142)
检查项4:数据完整性 (143)
检查项5:数据准确性 (143)
检查项6:监督制约分级授权 (144)
检查项7:日志管理机制 (144)
检查项8:备份、恢复机制 (145)
21. 电子银行 (146)
21.1 电子银行业务合规性 (146)
检查项1:电子银行业务合规性 (146)
21.2 电子银行风险管理组织体系及制度体系 (147)
检查项1:组织体系及制度体系 (147)
21.3 电子银行安全管理 (147)
检查项1:电子银行安全策略管理 (147)
检查项2:电子银行安全基础设施 (148)
检查项3:电子银行安全监控 (148)
检查项4:电子银行安全评估 (149)
21.4 电子银行可用性管理 (149)
检查项1:电子银行基础设施(网络设备、通讯线路、主机设备、软件平台) (149)
检查项2:电子银行性能容量管理 (149)
21.5 电子银行应急管理 (150)
检查项1:电子银行应急预案 (150)
检查项2:电子银行应急演练 (150)
22. 银行卡系统 (151)
22.1 银行卡系统管理 (151)
检查项1:银行卡系统容量的合理规划 (151)
检查项2:银行卡系统物理设备风险和故障处理 (151)
检查项3 :具有完备的银行卡系统应急预案并实施定期演练 (152)
检查项4:银行卡交易监控 (152)
检查项5:账户密码和交易数据的存储和传输 (153)
检查项6:技术外包服务商管理 (153)
22.2 终端设备 (154)
检查项1:自助银行机具和安装环境的物理安全 (154)
检查项2:自助银行机具的通信安全 (155)
检查项3:自助银行机具的巡查维护 (155)
检查项4:自助银行机具的安全装置 (155)
检查项5:自助银行业务操作流程(机具软件) (156)
检查项6:自助银行机具软件的维护和更新 (156)
检查项7:POS 机 (156)
22.3 自助银行监控 (157)
检查项1:自助银行设备日常运行的监控情况 (157)
18
19 检查项2:监控中心和监控设备 (157)
检查项3:自助银行监控发现问题的处置情况 (158)
检查项4:自助银行设施安全评估(信息科技方面) (158)
23. 重要应用系统信息流程及主要风险点 (158)
23.1 核心(综合)业务系统电子流程 (159)
23.2 ATM(CDM/CDS)业务处理流程及内控关键点 (160)
23.3 POS 业务处理流程及内控关键点 (164)
23.4 网上银行业务处理流程及内控关键点 (167)
23.5 电话银行业务处理流程及内控关键点 (173)
23.6 中间业务处理流程 (175)
23.7 外卡业务处理流程 (177)
现场检查通知书 (179)
商业银行信息科技监管评级定量和定性标准
信息科技风险(Information Technology Risk) (一)信息科技治理(15分) 1、信息科技治理组织架构(8分) (1)就是否确立董事会、高管层信息科技管理职责。 (2)就是否建立完善的信息科技管理制度体系。 (3)就是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。 (4)就是否明确信息科技治理作为重要组成部分纳入公司治理。 评分原则:(1)考察董事会、高管层的信息科技治理职责就是否完整,信息科技发展战略不经董事会审批,或者本年内董事会 会议不形成年度信息科技工作决议的此项最高得分4分。 (2)考察就是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度就是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。 (3)考察就是否明确信息科技管理、信息科技风险管理与信息科技风险监督的“三道防线”职责,“三道防线”部门设置就是否合规;就是否设立信息科技管理委员会,成员来自高管层、信息科技部门与主要业务部门,并定期向高管层汇报工作。 (4)考察商业银行就是否以正式制度(文件)明确信息科技治
理应作为重要组成部分纳入公司治理;就是否制定了信息科技治理运作效果考核指标并定期进行评价。 2、信息科技对业务发展的专业支持与匹配度(7分) (1)信息科技战略与业务发展战略的匹配度。 (2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。 (3)董事会、高管层等决策人员就是否具备足够的信息科技专业知识能力。 评分原则:(1)考察就是否建立明确、可实施的信息科技发展战略;就是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。 (2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平就是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。 (3)考察具有信息科技管理经验的高管人员在董事会、决策层就是否具有一定的占比;就是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官就是否具有一定的信息科技专业背景或从业经验。
金融科技的风险和监管 100分答案
金融科技的风险与监管 单选题(共1题,每题10分) 1 . 金融科技监管过程中,以下哪个国家没有采取沙箱监管模式?() ? A.美国 ? B.英国 ? C.新加坡 ? D.澳大利亚 我的答案: A 多选题(共2题,每题 10分) 1 . 以下属于“灰犀牛”风险隐患表现的有()。 ? A.影子银行 ? B.国有企业高杠杆 ? C.房地产泡沫 ? D.违法违规集资 我的答案: ABCD 2 . 金融科技存在的风险问题包括()。 ? A.金融科技使金融风险更具隐蔽性、传播速度更快、传播范围更广,增加了金融系统性风险 ? B.金融科技使传统金融“脱媒风险”加大 ? C.金融科技使技术风险更加突出 ? D.数据风险与信息安全风险相互交织 我的答案: ABCD 判断题(共7题,每题 10分) 1 . 金融科技业务发展有赖于先进的技术和交易平台系统,技术和交易平台系统选择失误可能给金融科技机构带来较大风险。 对错 我的答案:对 2 . 金融科技产品多以数字化形式存在,这意味着将其完全限制在一国境内在技术层面上具有较大难度,因此,国际协调就显得尤为重要,以避免金融科技活动和产品向监管更为薄弱的国家或地区转移。 对错 我的答案:对
3 . 从FinTech本身的金融属性来看,FinTech具有很强的风险特征。只有在风险可控前提下的发展,才能更有效地使技术服务于金融创新,使金融创新更好地服务于实体经济的发展。 对错 我的答案:对 4 . 在金融科技业务领域不存在信用风险。 对错 我的答案:错 5 . 金融科技发展使金融交易更加快捷、低成本,使资金供给能够绕开现有的商业银行体系,直接输送给资金需求方和融资者,完成资金体外循环,导致商业银行重要金融中介的地位相对降低,金融交易脱离现有金融管制的情况愈发严重。对错 我的答案:对 6 . 英国监管金融科技的主要特征是集中适度监管。 对错 我的答案:对 7 . 金融科技具有很多风险,所以我们不应该发展金融科技。 对错 我的答案:错
商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
中小银行信息科技管理中存在的问题及改进建议
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
2016年科技信息风险评估报告
XX农商银行关于科技信息 业务风险评估报告 根据《XXX农村信用社联合社关于印发XX农村信用社2015-2017年规划的通知》)及《XX银行2016年内控合规工作实施细则》的要求,风险合规部对我行科技信息部2016年度的相关业务进行了风险评估,现将评估情况情况报告如下: 一、总体情况 风险合规部于2016年12月1日至2016年12月5日对我行科技信息业务的风险状况进行了评估,主要从组织领导、制度管理、岗位管理、员工培训、安全设施等业务开展情况进行了检查,结合检查结果进行风险评估。 二、工作开展情况 (一)科技信息组织领导 通过查阅科技信息部考核办法和相关责任状,我行董事会设置了科技信息管理委员会,经营班子设置了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等领导组织,组织机构组建齐全。 (二)信息科技制度建设 通过查阅出台的信息科技制度、流程及办法,信息科技部组织制定了各项规章制度,并结合内部控制评价工作对相
关的科技管理制度和操作规程进行梳理和归类,及时修改相关制度办法,使其具有系统性、可操作性和全新性。 (三)信息科技管理部门及岗位 我行现已设立独立的科技管理工作部门并配有符合条件的科技人员,结合自身实际设立科技管理岗、主机系统维护岗、设备维护岗、设备保管岗、档案管理岗、风险控制及安全岗等必要的岗位,每个岗位配备2人以上操作维护人员,重要系统均配备A\B角,并定期轮换,制定相应的岗位职责。 (四)员工学习培训 通过查阅培训计划及资料、员工岗位轮换表、强制休假安排及审计报告,科技信息部年内组织开展了计算机知识的普及和应用轮训培训工作,严格落实上岗资格考试、岗位轮换和强制休假制度。 (五)设备管理和维护 通过查阅登记簿和检查记录,科技人员能够按照规定对计算机进行必要的设备日常监测、检查、记录,并及时掌握设备的运行状况。通过查阅运维综合管理平台,部门能够及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单,并对其认真审核后,及时提交相关部门处理;对营业网点上报的网络故障信息及时给予电话或现场指导。 (六)机房网络安全及消防设施
银行业金融机构信息科技风险非现场监管报表
银行业金融机构信息科技风险 非现场监管报表 (征求意见稿) 1 目录 第一部分年度报表 (1) I信息科技风险调查问卷 (1) Q-R-1 信息科技风险调查问卷 (1) II基本情况报表 (8) T-B-1 信息科技治理基本情况表 (8) T-B-2 信息科技风险管理情况表 (10) T-B-3 信息科技内外部审计与评估基本情况表 (12) T-B-4 应急管理基本情况表 (14) T-B-5 信息科技项目基本情况表 (15) T-B-6 灾备基本情况表 (16) T-B-7 外包基本情况表 (18) T-B-8 各类中心基本情况表 (19) T-B-9 数据中心及灾备中心机房基本情况表 (20) T-B-10 重要信息系统统计表 (21) T-B-11 网络基本情况表 (23) T-B-12 电子银行业务品种统计表 (24) T-B-13 电子银行业务量统计表 (25) 第二部分季度报表 (27) T-B-14 重要信息系统运行基本情况报表 (27) T-B-15 组织机构、人员重大变动表 (30) 第三部分报告 (31) R-R-1 信息化建设与信息科技风险管理年度报告 (31) 附录参考定义 (32) 2 填报须知 一、本报表作为银监会信息科技风险监管体系的重要组成部 分及信息科技风险识别、评估工作的基础和前提,旨在全面收集和监测银行业金融机构信息科技风险状况。
二、本报表主要适用于在中华人民共和国境内依法设立的政 策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、城市信用社、农村信用社、外资法人银行等银行业金融机构。 三、本报表是为针对信息科技风险而设的专门报表,银行业 金融机构应当对所填报数据的真实性负责。 四、本报表应由风险管理部门组织填报。 五、本报表分为年度报表、季度报表和报告。年度报表统计 周期为12个月,即上一年10月1日至本年度9月30日,报送截止时间为每年10月15日;季度报表报送时间为季后10日内;报告报送时间为自然年后40日内。 六、报表中未特别说明统计范围的,皆指全行范围。 七、填报过程中,对于需要特别说明的项目或问题,请在备 注栏中描述具体情况。 八、报送截止后,对于存在疑问的报表,监管人员可要求机 构提供详实材料予以核实或重报;如有必要,将发起现场检查,并以现场检查结果为准。 九、本报表附有术语参考定义,填报过程中可供参考。 1 第一部分年度报表 I信息科技风险调查问卷 Q-R-1 信息科技风险调查问卷 填报机构:填报人:责任人:填报日期:年月日
C18038N 金融科技的风险和监管多套答案100分
C18038N 金融科技的风险和监管参考答案 单选题(共1题,每题10分)倒计时:00:39:56 1 . 金融科技监管过程中,以下哪个国家没有采取沙箱监管模式?(a) A.美国 B.英国 C.新加坡 D.澳大利亚 多选题(共2题,每题10分) 1 . 以下属于“灰犀牛”风险隐患表现的有(abcd)。 A.影子银行 B.国有企业高杠杆 C.房地产泡沫 D.违法违规集资 2 . 金融科技存在的风险问题包括(abcd)。 A.金融科技使金融风险更具隐蔽性、传播速度更快、传播范围更广,增加了金融系统性风险 B.金融科技使传统金融“脱媒风险”加大 C.金融科技使技术风险更加突出 D.数据风险与信息安全风险相互交织 判断题(共7题,每题10分) 1 . 英国监管金融科技的主要特征是集中适度监管。 对错 2 . 金融科技业务发展有赖于先进的技术和交易平台系统,技术和交易平台系统选择失误可能给金融科技机构带来较大风险。 对错 3 . 金融科技产品多以数字化形式存在,这意味着将其完全限制在一国境内在技术层面上具有较大难度,因此,国际协调就显得尤为重要,以避免金融科技活动和产品向监管更为薄弱的国家或地区转移。 对错 4 . 金融科技发展使金融交易更加快捷、低成本,使资金供给能够绕开现有的商业银行体系,直接输送给资金需求方和融资者,完成资金体外循环,导致商业银行重要金融中介的地位相对降低,金融交易脱离现有金融管制的情况愈发严重。 对错 5 . 在金融科技业务领域不存在信用风险。 对错 6 . 金融科技具有很多风险,所以我们不应该发展金融科技。 对错 7 . 从FinTech本身的金融属性来看,FinTech具有很强的风险特征。只有在风险可控前提下的发展,才能更有效地使技术服务于金融创新,使金融创新更好地服务于实体经济的发展。对错
商业银行信息科技风险动态监测规程
商业银行信息科技风险动态监测规程 (征求意见稿) 第一章总则 第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。 第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章动态监测指标选取原则及分类
第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。 第七条监测指标选取遵循以下四个原则: (一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力; (二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况; (三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况; (四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。 第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。 第三章动态监测指标体系 第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引目录 第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计 第十章外部审计 第十一章附则第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计第十章外部审计第十一章附则展开编辑本段第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 编辑本段第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人设立一个由来自高级管理层、信息科技(五)员对信息科技风险管理重要性的认识。. 部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向
商业银行信息科技监管评级定量和定性标准
信息科技风险(Information Technology Risk) (一)信息科技治理(15分) 1.信息科技治理组织架构(8分) (1)是否确立董事会、高管层信息科技管理职责。 (2)是否建立完善的信息科技管理制度体系。 (3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。 (4)是否明确信息科技治理作为重要组成部分纳入公司治理。 评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。 (2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。 (3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。 (4)考察商业银行是否以正式制度(文件)明确信息科技
治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。 2.信息科技对业务发展的专业支持和匹配度(7分) (1)信息科技战略与业务发展战略的匹配度。 (2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。 (3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。 评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。 (2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。 (3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
互联网金融的风险与监管分析剖析
防灾科技学院 成人高等教育毕业论文 题目互联网金融的风险与监管分析 专业 层次 学号 答辩人张全东 指导教师 完成时间
互联网金融的风险与监管分析 防灾科技学院成人高等教育专升本(专科)****级*****专业 ***** 摘要:随着金融全球化和综合化发展趋势进一步增强,我国金融业已经进入互联网金融阶段。在这一阶段,随着互联网用户急剧增多,消费者的网络消费习惯逐渐形成,为互联网金融的发展提供了良好的外部条件。在2014 年,互联网金融被写入政府工作报告,显示出我国对互联网金融发展的重视。互联网金融快速发展,在满足实体经济发展、推进我国利率市场化、信息技术革新、普惠金融的发展等方面都发挥着积极作用。互联网金融对我国金融体系的完善有着重要的意义,与此同时,这一新生金融事物也存在许多问题,尤其是在对互联网金融监管问题的研究,更是显得尤其重要。基于此,本文重点分析了现阶段我国互联网金融风险监管过程中出现的问题并提出相应的解决措施。通过本文论述,以期对我国金融行业的健康稳定发展有一定的理论和实践指导意义。 关键词:互联网金融中国金融业影响风险监管
目录 一、绪论 (1) (一)研究背景 (1) (二)研究意义 (1) (三)文献综述 (2) 二、互联网金融理论概述 (3) (一)互联网金融 (3) (二)互联网金融的优势 (3) (三)互联网金融发展 (4) 三、互联网金融风险存在的原因分析 (5) (一)现有金融体制方面的不足 (5) (二)现实供需矛盾的存在 (5) (三)低成本高收益的盈利模式 (6) 四、互联网金融监管风险监管存在的问题 (6) (一)市场机制不完善 (6) (二)现行体制和社会主义经济体制不适应 (7) (三)政府监督体系不健全 (7) 五、完善互联网金融监管的措施和建议 (8) (一)进一步完善市场体系 (8) (二)创建互联网金融监督机构的行政管理机制 (9) (三)健全政府部门监督管理 (9) 六、互联网金融环境下实现中国金融的新发展 (11) (一)转变观念,认清互联网金融的价值 (11) (二)提高金融机构电子化 (11) (三)提高互联网金融的网络安全性 (12) 结论 (13) 参考文献 (14) 致谢 (15)
商业银行信息科技风险管理指引(银监发2009[1].19)
-------------------------------------------------------------------------------- 商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握a主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。 (七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
《商业银行信息科技风险管理指引》WORD版
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
信息科技风险管理规定
欢迎阅读信息科技风险管理办法 编制部门:科技信息部 版次号:A/0 生效日期:20160509
目录 修改记录 (3) 第一章总则 (3) 第二章机构职责 (4) 第三章信息科技风险管理 (10) 第四章 第五章 第六章 第七章 第八章 第九章 附件.
修改记录 第一条为有效防范公司运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我司各项业务安全、持续、稳健运行,根据《中华人民共和国互联网金融信息监督管理办法》、《互联网金融信息科技风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定
本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我司业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善 第二章机构职责 第五条根据我司信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国互联网金融协会(以下简称互金协会)相关监管要求。 (二)审查批准信息科技战略,确保其与公司的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风 对审 (八)每年审阅并向互金协会及其派出机构报送信息科技风险管理的年度报告。 (九)确保信息科技风险管理工作所需资金。 (十)确保公司所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南
目录 第一部分概述 (12) 1. 指南说明 (13) 1.1 目的及适用范围 (13) 1.2 编写原则 (14) 1.3 指南框架 (15) 第二部分科技管理 (17) 2. 信息科技治理 (18) 2.1 董事会及高级管理层 (18) 检查项1 :董事会 (18) 检查项2 :信息科技管理委员会 (19) 检查项3 :首席信息官(CIO) (20) 2.2 信息科技部门 (21) 检查项1 :信息科技部门 (21) 检查项2 :信息科技战略规划 (23) 2.3 信息科技风险管理部门 (24) 检查项1 :信息科技风险管理部门 (24) 2.4 信息科技风险审计部门 (25) 检查项1 :信息科技风险审计部门 (25) 2.5 知识产权保护和信息披露 (26) 检查项1 :知识产权保护 (26) 检查项2 :信息披露 (26) 3. 信息科技风险管理 (28) 3.1 风险识别和评估 (28) 检查项1 :风险管理策略 (28) 检查项2 :风险识别与评估 (29) 3.2 风险防范和检测 (29) 检查项1 :风险防范措施 (29) 检查项2 :风险计量与检测 (30) 4. 信息安全管理 (32) 4.1 安全管理机制与管理组织 (32) 检查项1:信息分类和保护体系 (32) 检查项2:安全管理机制 (33) 检查项3:信息安全策略 (34) 检查项4:信息安全组织 (34) 4.2 安全管理制度 (35) 检查项1:规章制度 (35) 检查项2:制度合规 (36)
4.3 人员管理 (38) 检查项1:人员管理 (38) 4.4 安全评估报告 (39) 检查项1:安全评估报告 (39) 4.5 宣传、教育和培训 (39) 检查项1:宣传、教育和培训 (39) 5.系统开发、测试与维护 (41) 5.1开发管理 (41) 检查项1:管理架构 (41) 检查项2:制度建设 (43) 检查项3:项目控制体系 (44) 检查项4:系统开发的操作风险 (45) 检查项5:数据继承和迁移 (46) 5.2系统测试与上线 (47) 检查项1:系统测试 (47) 检查项2:系统验收 (49) 检查项3:投产上线 (49) 5.3系统下线 (50) 检查项1:系统下线 (50) 6. 系统运行管理 (52) 6.1 日常管理 (52) 检查项1:职责分离 (52) 检查项2:值班制度 (53) 检查项3:操作管理 (53) 检查项4:人员管理 (54) 6.2 访问控制策略 (55) 检查项1:物理访问控制策略 (55) 检查项2:逻辑访问控制策略 (56) 检查项3:账号及权限管理 (57) 检查项4:用户责任及终端管理 (58) 检查项5:远程接入的控制 (59) 6.3 日志管理 (60) 检查项1:审计日志检查 (60) 检查项2:日志信息的保护 (60) 检查项3:操作日志的检查 (61) 检查项4:错误日志的检查 (61) 6.4系统监控 (62) 检查项1:基础环境监控 (62) 检查项2:系统性能监控 (62) 检查项3:系统运行监控 (63) 检查项4:测评体系 (64) 6.5 事件管理 (65)
商业银行信息科技风险管理指引英文版
Commercial Banks ' Information Technology Chapter I General Provisions Article 1. Pursuant to the Law of the People 's Republic of China on Banking Regulation and Supervision, the Law of the People's Republic of China on Commercial Banks, the Regulations of the People's Republic of China on Administration of Foreign-funded Banks, and other applicable laws and regulations, the Guidelines on the Risk Management of Commercial Banks' Information Technology (hereinafter referred to as the Guidelines) is formulated. Article 2. The Guidelines apply to all the commercial banks legally incorporated within the territory of the People's Republic of China. The Guidelines may apply to other banking institutions including policy banks, rural cooperative banks, urban credit cooperatives, rural credit cooperatives, village banks, loan companies, financial asset management companies, trust and investment companies, finance firms, financial leasing companies, automobile financial companies and money brokers. Article 3. The term “information technology ” stated in the
信息科技风险管理办法
XXXX银行信息科技风险管理办法 总则 为XXXX银行有效防范银行运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。 本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 机构职责 根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责: 遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。 确保信息科技风险管理工作所需资金。 确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。 确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。 及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。 配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。 履行信息科技风险管理其他相关工作。 我行应设立分管信息科技的副行级领导,直接向行长汇报,并参与决策。副行级领导的职责
金融科技的风险与监管100分
金融科技的风险与监管
返回上一级
单选题(共 1 题,每题 10 分)
1 . 金融科技监管过程中,以下哪个国家没有采取沙箱监管模式?()
?
A.美国
?
B.英国
?
C.新加坡
?
D.澳大利亚
我的答案: A
多选题(共 2 题,每题 10 分)
1 . 以下属于“灰犀牛”风险隐患表现的有()。
?
A.影子银行
?
B.国有企业高杠杆
?
C.房地产泡沫
?
D.违法违规集资
我的答案: ABCD
2 . 金融科技存在的风险问题包括()。
?
A.金融科技使金融风险更具隐蔽性、传播速度更快、传播范围更广,增加了金融系统性风险
?
B.金融科技使传统金融“脱媒风险”加大
?
C.金融科技使技术风险更加突出
?
D.数据风险与信息安全风险相互交织
我的答案: ABCD
判断题(共 7 题,每题 10 分)
1 . 金融科技产品多以数字化形式存在,这意味着将其完全限制在一国境内在技术层面上具有较大难度, 因此,国际协调就显得尤为重要,以避免金融科技活动和产品向监管更为薄弱的国家或地区转移。 对错
我的答案: 对
2 . 金融科技具有很多风险,所以我们不应该发展金融科技。 对错
我的答案: 错
3 . 在金融科技业务领域不存在信用风险。 对错
我的答案: 错
4 . 从 FinTech 本身的金融属性来看,FinTech 具有很强的风险特征。只有在风险可控前提下的发展,才 能更有效地使技术服务于金融创新,使金融创新更好地服务于实体经济的发展。 对错
我的答案: 对
5 . 金融科技发展使金融交易更加快捷、低成本,使资金供给能够绕开现有的商业银行体系,直接输送给 资金需求方和融资者,完成资金体外循环,导致商业银行重要金融中介的地位相对降低,金融交易脱离现 有金融管制的情况愈发严重。 对错
我的答案: 对
6 . 英国监管金融科技的主要特征是集中适度监管。 对错
我的答案: 对
7 . 金融科技业务发展有赖于先进的技术和交易平台系统,技术和交易平台系统选择失误可能给金融科技 机构带来较大风险。 对错
我的答案: 对
商业银行信息科技风险及防控策略研究
商业银行信息科技风险及防控策略研究 摘要:近年来,随着社会经济与信息技术不断发展,我国银行业展现出蓬勃的发展态势,随着大数据、云计算、移动互联网的高速发展,信息技术为商业银行业务拓展和创新提供有力支持,在为商业银行带来了巨大经济效益的同时,也提出更多、更大的挑战。因此,加强对商业银行信息科技风险的研究至关重要。本文将对信息科技风险管理的必要性以及商业银行信息科技风险主要特征进行分析和研究,并提出加强商业银行信息科技风险管理的有效对策,从而推动我国商业银行可持续、健康发展。 关键词:商业银行;信息科技风险;防控策略 前言:随着我国改革开放和经济全球化大潮,我国银行业发展突飞猛进,特别是信息技术在银行业中的广泛应用,极大的促进了金融产品的迅速发展。然而,先进的信息技术会更加暴露商业银行的风险,构成一定的威胁。为了能够有效规避风险,深入了解信息科技十分重要。 一、商业银行信息科技风险介绍 商业银行信息科技风险主要是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险。主要包含四个方面:其一,自然因素,例如:地震、台风等不可抗力影响;其二,系统风险,指信息系统内部软、硬件的缺陷造成的影响;其三,管理因素,指商业银行自身管理制度与组织结构等产生的影响;其四,人为因素,指工作人员违规或过失操作引发的风险。 二、信息科技风险管理的必要性 在金融危机的影响下,风险管理的重要性日益突出,特别是信息科技风险,越来越多受到金融界的关注。 (一)外在因素 随着银行业迅速发展,我国对商业银行信息科技风险管理提出了更高要求,明确要求商业银行将信息科技风险纳入全面风险管理体系。监管部门通过现场和非现场手段,不断加大监管力度,定期和不定期开展信息科技风险检查工作,针对信息科技的重点环节制定明确的监管计划,约束商业银行信息科技风险控制能