商业银行信息科技监管评级定量和定性标准
商业银行信息科技监管评级定量和定性标准
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1、信息科技治理组织架构(8分)(1)就是否确立董事会、高管层信息科技管理职责。
(2)就是否建立完善的信息科技管理制度体系。
(3)就是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)就是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责就是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察就是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度就是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察就是否明确信息科技管理、信息科技风险管理与信息科技风险监督的“三道防线”职责,“三道防线”部门设置就是否合规;就是否设立信息科技管理委员会,成员来自高管层、信息科技部门与主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行就是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;就是否制定了信息科技治理运作效果考核指标并定期进行评价。
2、信息科技对业务发展的专业支持与匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员就是否具备足够的信息科技专业知识能力。
评分原则:(1)考察就是否建立明确、可实施的信息科技发展战略;就是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平就是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层就是否具有一定的占比;就是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官就是否具有一定的信息科技专业背景或从业经验。
中国银监会关于印发商业银行监管评级内部指引的通知
中国银监会关于印发商业银行监管评级内部指引的通知【法规类别】银行类金融机构【发文字号】银监发[2014]32号【发布部门】中国银行业监督管理委员会【发布日期】2014.06.19【实施日期】2014.06.19【时效性】现行有效【效力级别】部门规范性文件中国银监会关于印发商业银行监管评级内部指引的通知(银监发[2014]32号)各银监局:现将《商业银行监管评级内部指引》印发给你们,请遵照执行。
中国银行业监督管理委员会2014年6月19日商业银行监管评级内部指引第一章总则第一条为加强商业银行风险监管,完善商业银行同质同类比较和差别监管模式,合理分配监管资源,根据《中华人民共和国商业银行法》、《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引所称商业银行是指在中华人民共和国境内依法设立的中资商业银行、外商独资银行和中外合资银行。
本指引适用于对上述商业银行法人机构的监管评级,但不适用于当年新设立的商业银行(农村商业银行除外)的监管评级。
监管机构可以依据本指引对当年新设立的商业银行进行试评级。
政策性银行、农村合作银行、农村信用社、村镇银行以及经银监会批准成立的其他金融机构的监管评级参照本指引执行。
第三条商业银行监管评级体系由监管评级要素体系、评级方法体系、评级操作规程体系和评级结果运用体系构成。
第二章评级要素及评级方法第四条商业银行监管评级要素共7项,分别为资本充足(C)、资产质量(A)、管理质量(M)、盈利状况(E)、流动性风险(L)、市场风险(S)和信息科技风险(I)。
第五条商业银行监管评级要素由定量和定性两类评级指标组成。
各监管评级要素的评价结果通过对评级指标的定量、定性评估,结合监管人员的专业判断综合得出。
第六条评级方法主要包含以下核心内容:(一)评级要素权重设置。
7项评级要素的标准权重分配如下:资本充足(15%)、资产质量(15%)、管理质量(20%)、盈利状况(10%)、流动性风险(20%)、市场风险(10%)和信息科技风险(10%)。
商业银行信息科技管理评级定量和定性规范标准
-`信息科技风险(Information Technology Risk )(一)信息科技治理(15 分)1.信息科技治理组织架构( 8 分)(1)能否确定董事会、高管层信息科技管理职责。
(2)能否成立完美的信息科技管理制度系统。
(3)能否成立完美合规的信息科技“三道防线”以及信息科技三道防线的实质运作。
(4)能否明确信息科技治理作为重要构成部分归入企业治理。
评分原则:(1)观察董事会、高管层的信息科技治理职责能否完好,信息科技发展战略不经董事会审批,或许今年内董事会会议不形成年度信息科技工作决策的此项最高得分 4 分。
(2)观察能否成立信息科技管理制度的草拟、公布、订正等工作流程,信息科技管理制度能否涵盖系统开发、项目管理、系统运转、信息安全、外担保理、业务连续性等领域。
(3)观察能否明确信息科技管理、信息科技风险管理和信息科技风险监察的“三道防线”职责,“三道防线”部门设置能否合规;能否建立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并按期向高管层报告工作。
(4)观察商业银行能否以正式制度(文件)明确信息科技治理应作为重要构成部分归入企业治理;能否拟订了信息科技治理运作成效查核指标并按期进行评论。
2. 信息科技对业务发展的专业支持和般配度(7 分)(1)信息科技战略与业务发展战略的般配度。
(2)信息科技人员、信息科技投入等与业务发展的般配度(定量)。
(3)董事会、高管层等决策人员能否具备足够的信息科技专业知识能力。
评分原则:(1)观察能否成立明确、可实行的信息科技发展战略;能否认期评论信息科技战略规划实行成效,成立信息科技战略与业务战略的协调一致体制。
(2)观察信息科技人员数目、信息科技人员占比、信息科技投入占比与商业银行发展水平能否般配,低于同质同类商业银行均匀值的此项酌情扣分;观察商业银行信息系统建设与业务发展的支撑与般配程度。
(3)观察拥有信息科技管理经验的高管人员在董事会、决策层能否拥有必定的占比;能否建立首席信息官,直接向行长报告,并参加重要决策,首席信息官能否拥有必定的信息科技专业背景或从业经验。
商业银行监管评级定量和定性评价标准(32附件2)
分数
50 8 8 8 10 8 8 60
40 不良贷款率 逾期90天以上贷款 与不良贷款比例 A:资产质量 15% 单一客户贷款集中 度/单一集团客户 授信集中度 全部关联度 拨备覆盖率 20%
不良贷款和其他不良资产的变动趋势 信用风险资产集中度
10
15%
5
25% 15% 25%
信用风险管理的政策、程序及其有效性 贷款风险分类制度的完善和有效 保证贷款和抵(质)押贷款及其管理状况 贷款以外其他表内外资产的风险管理状况 决策机制
监督机制 执行机制
15 10 5 15 10 4 6 8 6 6 10 10 10 20 5 5 50 12 12 12 7 7 60
发展战略、价值准则和社会责任 激励约束机制
M:管理质量 20% -
信息披露 内部控制环境 风险识别与评估 内部控制措施 数据质量管理 信息交流与反馈 监督评价与纠正
50
12 12 20 8 8 70 20 40 10 15 12 10 14 12 15 12 10
流动性比例 流动性覆盖率
30
利率风险敏感度 S:市场风险 10% 累计外汇敞口头寸 比例 50% 50%
市场风险管理框架 市场风险的识别、计量、监测和控制 市场风险管理其他要素
信息科技治理 信息科技风险管理 信息科技审计 信息安全管理 信息系统开发与测试 信息科技运行与维护 业务连续性管理 信息科技外包管理 重大关注事项
资产利润率 资本利润率 E:盈利状况 10% 成本收入比率 风险资产利润率 净息差 非利息收入比例
20% 20% 20% 15% 15% 10% 40 30% 35% 35%
盈利的真实性 盈利的稳定性 盈利的风险覆盖性 盈利的可持续性 财务管理的有效性
商业银行监管评级标准
商业银行监管评级标准
商业银行监管评级标准是一个综合性的评估体系,主要用于评估商业银行的风险状况和管理水平。
以下是对商业银行监管评级标准的详细介绍:
1.评级要素:商业银行监管评级要素包括资本充足、资产质量、公司治理与管理质量、盈利状况、流动性风险、市场风险、数据治理、信息科技风险和机构差异化要素。
这些要素涵盖了商业银行经营管理的各个方面,是评估商业银行风险状况的重要依据。
2.评级方法:商业银行监管评级方法主要包含评级要素权重设置、评级指标和评级要素得分等方面。
各监管评级要素的标准权重分配是:资本充足(15%)、资产质量(15%)、公司治理与管理质量(20%)、盈利状况(5%)、流动性风险(15%)、市场风险(10%)、数据治理(5%)、信息科技风险(10%)、机构差异化要素(5%)。
银保监会根据监管重点、银行业务复杂程度和风险特征具体设定和调整各评级要素权重。
3.评级级别:监管评级结果分为1-6级,其中,1级为最高级别,表示银行风险最小,管理最健全;6级为最低级别,表示银行存在的问题极度严峻,可能或已经发生信用危机。
评级结果为1-6级的,数值越大反映机构风险越大,需要越高程度的监管关注。
此外,如果银行无法正常经营,出现信用危机,严重影响银行消费者和其他客户合法权益及金融秩序稳定的,监管评级结果应为5级或6级。
其中,综合评级结果为5级和6级,表示银行为高风险机构。
总的来说,商业银行监管评级标准是银行业监管机构对商业银行实施风险监管的重要手段,有助于及时发现和处置商业银行的风险问题,保障银行业的稳健运行。
中国银监会关于印发商业银行监管评级内部指引的通知
中国银监会关于印发商业银行监管评级内部指引的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.06.19•【文号】银监发〔2014〕32号•【施行日期】2014.06.19•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国银监会关于印发商业银行监管评级内部指引的通知银监发〔2014〕32号各银监局:现将《商业银行监管评级内部指引》印发给你们,请遵照执行。
中国银行业监督管理委员会2014年6月19日商业银行监管评级内部指引第一章总则第一条为加强商业银行风险监管,完善商业银行同质同类比较和差别监管模式,合理分配监管资源,根据《中华人民共和国商业银行法》、《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引所称商业银行是指在中华人民共和国境内依法设立的中资商业银行、外商独资银行和中外合资银行。
本指引适用于对上述商业银行法人机构的监管评级,但不适用于当年新设立的商业银行(农村商业银行除外)的监管评级。
监管机构可以依据本指引对当年新设立的商业银行进行试评级。
政策性银行、农村合作银行、农村信用社、村镇银行以及经银监会批准成立的其他金融机构的监管评级参照本指引执行。
第三条商业银行监管评级体系由监管评级要素体系、评级方法体系、评级操作规程体系和评级结果运用体系构成。
第二章评级要素及评级方法第四条商业银行监管评级要素共7项,分别为资本充足(C)、资产质量(A)、管理质量(M)、盈利状况(E)、流动性风险(L)、市场风险(S)和信息科技风险(I)。
第五条商业银行监管评级要素由定量和定性两类评级指标组成。
各监管评级要素的评价结果通过对评级指标的定量、定性评估,结合监管人员的专业判断综合得出。
第六条评级方法主要包含以下核心内容:(一)评级要素权重设置。
7项评级要素的标准权重分配如下:资本充足(15%)、资产质量(15%)、管理质量(20%)、盈利状况(10%)、流动性风险(20%)、市场风险(10%)和信息科技风险(10%)。
商业银行信息科技监管评级定量和定性标准之欧阳语创编
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责。
(2)是否建立完善的信息科技管理制度体系。
(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。
2.信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。
评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
中国银保监会关于印发商业银行监管评级办法的通知-银保监发〔2021〕39号
中国银保监会关于印发商业银行监管评级办法的通知正文:----------------------------------------------------------------------------------------------------------------------------------------------------中国银保监会关于印发商业银行监管评级办法的通知银保监发〔2021〕39号各银保监局:现将《商业银行监管评级办法》印发给你们,请遵照执行。
中国银保监会2021年9月10日商业银行监管评级办法第一章总则第一条为加强商业银行风险监管,完善商业银行同质同类比较和差异化监管,合理分配监管资源,促进商业银行可持续健康发展,根据《中华人民共和国商业银行法》《中华人民共和国银行业监督管理法》等法律法规,制定本办法。
第二条本办法适用于对开业满一个完整会计年度以上的商业银行和农村合作银行、农村信用社、村镇银行的法人机构的监管评级,监管机构可依据本办法对当年新设立的银行进行试评级。
本办法所称商业银行,是指在中华人民共和国境内依法设立的中资商业银行、外商独资银行和中外合资银行。
本办法所称监管机构,是指中国银行保险监督管理委员会(以下简称银保监会)及其派出机构。
经银保监会批准设立的其他银行业金融机构的监管评级,参照本办法执行。
针对经银保监会批准设立的其他银行业金融机构出台的专项监管评级规则,在评级框架、时间和流程上应与本办法相关规定保持一致,开发银行和政策性银行监管评级规则另行规定。
第三条商业银行监管评级是指监管机构根据日常监管掌握的情况以及其他相关信息,按照本办法对商业银行的整体风险和管理状况作出评价判断的监管过程。
监管评级结果是实施差异化监管的基础。
第四条银保监会统筹组织商业银行监管评级工作,进行统一管理,规范操作流程,加强评级结果运用和质量管理。
银保监会及其派出机构按照本办法开展商业银行监管评级工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责。
(2)是否建立完善的信息科技管理制度体系。
(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。
2.信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。
评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
(二)信息科技风险管理(12分)1.信息科技风险管理体系(6分)(1)是否将信息科技风险纳入全面风险管理体系,建立完善的信息科技风险管理组织架构。
(2)是否建立信息科技风险管理策略和管理制度。
评分原则:(1)考察是否将信息科技风险纳入全面风险管理,明确风险管理部门统一负责信息科技风险管理。
信息科技风险管理职责仍在信息科技部门的此项得分不超过3分。
(2)考察风险管理部门中是否配备一定数量专职信息科技风险管理人员,信息科技风险管理人员是否具备相关专业背景和技能。
(3)考察是否建立信息科技风险管理策略和管理制度,管理制度是否完善,覆盖是否全面。
2.信息科技风险管理日常运作(6分)(1)信息科技风险评估流程和方法是否完善。
(2)是否建立常态化的风险识别和监测机制。
(3)信息科技风险评估结果是否得到合理运用。
评分原则:(1)考察是否建立信息科技风险识别、风险分析、风险处置等工作机制;信息科技风险评级和风险分析工作中是否开展业务影响分析工作,是否进行风险级别划分,并有风险级别划分标准。
(2)是否建立信息科技风险监测关键风险点指标,风险监测指标是否定期评审、改进,风险监测结果是否向有关部门及高管层报告等。
(3)是否建立信息科技风险损失评估及处置机制。
(三)信息科技审计(10分)1.信息科技风险监督体系(4分)是否建立信息科技审计体系,以及信息科技审计体系的合理性。
评分原则:(1)商业银行是否将信息科技审计工作纳入内部审计部门工作范畴;商业银行内部审计制度是否纳入信息科技审计相关内容,包括审计依据、标准和方法等内容;是否定期开展信息科技审计活动;发生信息科技重大突发事件时,内审部门是否介入调查;是否对信息科技重大项目实施财务审计。
(2)考察信息科技内审工作独立性和汇报路线的合理性。
2.信息科技内外部审计(6分)(1)信息科技审计覆盖率。
(定量)(2)信息科技审计整改率。
(定量)(3)信息科技专项审计占比。
(定量)评分原则:(1)考察近三年信息科技审计覆盖率,包括信息科技内外审一级分支机构覆盖率及重要信息系统覆盖率。
【一级分支机构覆盖率】=【已开展全面信息科技审计的一级分支机构数】/【一级分支机构总数】*100%【重要信息系统覆盖率】=【已开展信息科技审计的数据中心、重要信息系统、重大项目数】/【数据中心、重要信息系统、重大项目总数】*100%(2)考察近两年信息科技内(外)审整改率。
【信息科技内(外)审整改率】=【信息科技内(外)审报告中发现问题已完成整改的问题数量】/【信息科技内(外)审报告中发现问题的总和】*100%(3)考察近两年内(外)审工作中信息科技专项审计占比。
【信息科技专项审计占比】=【信息科技专项审计次数】/【全部审计次数】*100%(四)信息安全管理(14分)1.信息安全管理体系(8分)(1)是否建立信息安全管理体系。
(2)信息安全管理体系的完整性。
(3)电子银行信息安全管理体系的完整性。
评分原则:(1)考察是否建立合理的信息安全管理组织架构及制度体系。
(2)考察信息安全管理体系是否完整,安全保障措施是否完善。
物理安全:中心机房及重点区域是否有环境监测、巡检、报警等安全防控措施,环境监测覆盖范围是否完备等。
网络安全:是否制定完善的网络安全访问控制策略,是否定期进行网络安全漏洞扫描,是否有完备的网络边界策略等。
数据安全:是否有重要或敏感数据的定义标准和访问控制策略,是否制定数据备份和恢复策略,是否有生产数据提取、使用、销毁等环节的安全防护措施。
终端安全:是否有终端安全防控措施,桌面终端是否安装病毒防护及防火墙软件,病毒库是否定期更新,桌面终端移动介质使用管理,设备管理,行为审计等。
访问控制:是否建立物理和逻辑访问控制策略;中心机房等重要区域门禁系统认证方式及进出访问安全控制策略是否合理;重要信息系统逻辑访问控制策略是否完善,包括权限管理、密码策略等。
(3)电子银行信息安全管理体系的完整性:电子银行系统是否定期开展渗透性测试;是否有客户端安全防控措施;是否有强制双因素身份认证;是否有客户敏感信息防护措施等。
2.信息安全管理执行力(6分)信息安全管理规定执行情况;当年发生的信息安全事件情况。
评分原则:(1)信息安全管理组织架构是否存在重大缺陷,信息安全管理制度是否定期评价并修订完善;信息安全管理各项措施是否严格落实,执行过程中是否存在重大缺陷。
(2)当年发生的信息安全事情情况,事件发生次数可与同质同类机构平均值比较,并根据事件的负面影响程度进行酌情扣分。
(五)信息系统开发及测试(12分)1.信息科技项目管理体系(6分)是否有完善的信息科技项目管理组织和信息系统开发测试管理制度;是否有规范化的信息科技项目生命周期管理流程。
评分原则:(1)考察是否建立了规范的项目管理组织、制度和流程,明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评价等职责;项目管理组织架构严重缺失的此项最高2分。
(2)考察信息科技项目生命周期管理流程是否包括需求分析、设计、开发或外购、测试、试运行、部署、维护和退出等环节,系统开发方法是否与信息科技项目的规模、性质和复杂度相匹配。
2.项目管理过程中的风险控制(6分)(1)信息科技项目生命周期各重要环节是否开展风险管控。
(2)信息科技项目重点环节的风险管控情况。
评分原则:(1)考察信息科技风险管控是否涵盖信息科技项目生命周期各重要环节,如需求分析阶段是否有业务部门提出明确的风险控制要求,是否有应急恢复目标、灾难恢复目标、数据管理目标等要求,信息科技审计人员或信息安全人员是否参加项目阶段评审,风险管理组织是否开展阶段风险评估等。
(2)是否建立必要的安全隔离措施,包括生产系统与开发系统、测试系统的有效隔离,生产系统与开发系统、测试系统的管理职能相分离,应用程序开发和维护人员未经允许不可进入生产系统等。
(3)考察业务部门在信息系统开发及测试各阶段的参与度。
业务部门是否参与需求分析、测试、项目各阶段质量评审、用户验收测试、项目后评价等;已完成开发和测试环境的程序或系统配置变更应用到生产系统前是否经业务部门批准。
(4)考察重要信息系统源代码控制率(定量)。
【重要信息系统源代码控制率】=【机构拥有全部源代码且具备后续自主维护开发能力、外部机构人员未经授权不能访问系统源代码进行功能定制扩展的重要信息系统数】/【重要信息系统总数】*100%(六)信息科技运行及维护(15分)1.信息科技运行及维护管理体系(8分)是否建立信息科技运行维护管理体系。
评分原则:(1)考察是否有规范的信息科技运行及维护管理流程,并制定详尽的信息科技运行操作说明。
(2)信息科技运行及维护管理流程是否涵盖事件管理、问题管理、容量管理、变更管理、服务水平管理、可用性管理等。
(3)信息科技运行及维护管理体系是否定期评价并修订完善。
2.信息科技运行维护运作(7分)信息科技运行及维护管理各流程运作是否规范。
评分原则:(1)是否采用信息化管理平台等措施提高运行与维护管理效率,完善运行与维护管理流程。
(2)信息科技内部是否有岗位制约机制,如信息科技运行与系统开发和维护的分离等。
(3)是否有容量规划,重要信息系统性能和容量设置是否恰当,性能和容量变更机制是否合理。
(4)考察重要信息系统服务可用率(定量)。
【重要信息系统服务可用率】=【计划提供服务总时间-计划停止服务时间-非计划停止服务时间】/【计划提供服务总时间】*100%(5)考察核心业务系统交易成功率(定量)。
【核心业务系统交易成功率】=【核心业务系统生产交易成功笔数】/【核心业务系统生产交易总笔数】*100%(6)考察重要信息系统监控覆盖率(定量)。
【重要信息系统监控覆盖率】=【实施应用级监控的重要信息系统数】/【重要信息系统总数】*100%(七)业务连续性管理(12分)1.业务连续性管理体系(7分)(1)业务连续性管理组织架构是否健全;(2)是否开展业务影响分析,并制定业务连续性计划;业务连续性演练及改进情况;应急处置工作情况。
评分原则:(1)是否建立日常业务连续性管理组织,是否制定业务连续性管理政策和制度,业务连续性管理组织职责是否清晰完善。
(2)业务连续性管理相关参与部门设置是否合理;业务连续性管理主管部门为信息科技部门,且业务连续性管理组织不包含主要业务部门的此项得分不超过2分。
(3)是否完成所有重要业务影响分析,明确业务恢复优先级和恢复目标;是否制定所有重要业务的业务连续性计划,相关资源建设是否到位;是否定期开展业务连续性演练,并评估改进,是否对业务连续性管理工作进行审计;是否有健全的信息科技突发事件应急处置机制。