银行业金融机构信息科技风险非现场监管报表
中国银行业监督管理委员会关于进一步提高数据质量做好非现场监管工作的通知
中国银行业监督管理委员会关于进一步提高数据质量做好非现场监管工作的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2008.02.25•【文号】银监通[2008]10号•【施行日期】2008.02.25•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会关于进一步提高数据质量做好非现场监管工作的通知(银监通[2008]10号)各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,中国邮政储蓄银行,银监会直接监管的信托公司、财务公司、金融租赁公司:非现场监管信息系统于2007 年正式投入运行,经各方共同努力,已基本实现预计目标。
为进一步提高非现场监管报表数据质量,做好2008 年非现场监管工作,现将有关要求通知如下。
一、建立数据质量“四单制度”,规范数据质量管理流程建立以“提示单”、“警告单”、“现场检查单”和“处罚单”为核心的数据质量管理制度,细化监管要求,规范监管流程。
(一)针对数据中存在的问题,需要进一步核实情况时,向银行业金融机构发出“提示单”1.适用条件:针对非现场监管报表数据中存在问题和疑点,非现场监管人员在通过电话交流或现场走访等方式与银行业金融机构进行了解沟通后,仍认为需要对可能存在的问题进行提示或需要对有关问题进一步进行核实时,向银行业金融机构发出提示单。
2.格式内容:(1)提示单格式参见附件1。
(2)提示单要明确说明银行业金融机构非现场监管报表或相关管理中存在的问题或需要确认的内容。
(3)提示单要明确说明要求银行业金融机构提供的信息范围和内容,包括提供数据变动原因、数据管理制度、业务流程安排、自我检查情况或内部审计结果等。
(4)提示单要明确银行业金融机构反馈信息的时间和方式,如正式文件、讨论会议或约见会谈等。
3.使用方式:非现场监管人员以本部门(处、科)或本局(分局)办公室名义正式行文通知银行业金融机构,“提示单”作为附件。
中国银监会办公厅关于《银行业金融机构信息科技非现场监管报表》
中国银监会办公厅关于《银行业金融机构信息科技非现场监
管报表》报送有关事宜的通知
【法规类别】银行监管
【发文字号】银监办发[2010]21号
【发布部门】中国银行业监督管理委员会
【发布日期】2010.01.21
【实施日期】2010.01.21
【时效性】现行有效
【效力级别】XE0303
中国银监会办公厅关于《银行业金融机构信息科技非现场监管报表》报送有关事宜的通
知
(银监办发〔2010〕21号)
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
银监会办公厅于2009年12月印发了《银行业金融机构信息科技非现场监管报表》(银监办发〔2009〕399号,以下简称《报表》),要求各单位通过银监会信息科技非现场监管系统以电子方式报送该《报表》。
为做好信息科技非现场监管系统投产技术准备工作和信息科技非现场监管数据采集、审核及风险评估工作,现将有关事宜通知如下:(一)信息科技非现场监管系统设有管理员和监管员,管理员负责本局辖内(含银监分
局)用户管理和任务分配,监管员负责辖内银行业金融机构的报表审核及风险评估。
各银监局需指定管理员1名,并于2010年1月27日前以电子邮件形式将管理员信息,包括管理员姓名、单位(含处室信息)、工作电话(含区号)、手机、电子信箱等报信息中心联系人。
(二)各银监局要于2010年2月10日前完成《报表》的审核工作,2010年2月11日起报送系统将全部加锁,不再接受200。
银行业金融机构分支机构信息科技非现场监管报表
银行业金融机构分支机构信息科技非现场监管报表填报机构:联系人:联系方式:目录第一部分年度报表 (4)F-B-1 信息科技基本情况表 (4)F-B-1 填报说明 (9)F-B-2 各类机房情况表 (13)F-B-2 填报说明 (16)F-B-3 信息系统管理情况表 (18)F-B-3 填报说明 (26)F-B-4 业务连续性情况表 (29)F-B-4 填报说明 (30)F-B-5 网络管理情况表 (32)F-B-5 填报说明 (36)F-B-6 外包管理情况表 (38)F-B-6 填报说明 (41)第二部分实时报表 (43)F-A-1 信息科技组织、人员重大变动报告表 (43)F-A-1 填报说明 (43)F-A-2 信息科技重大突发事件报告表 (45)F-A-2 填报说明 (46)F-A-3 重大投产及变更报告表 (48)F-A-3 填报说明 (49)F-A-4 信息科技内外部审计情况报告表 (51)F-A-4 填报说明 (52)第三部分年度报告 (54)F-R-1 信息科技年度报告 (54)F-R-1 填报说明 (56)银行业金融机构分支机构信息科技非现场监管报表填报须知 (57)第一部分年度报表□报送空表F-B-1 信息科技基本情况表填报部门:填报人:联系电话:责任人:填表日期:最新精品资料整理推荐,更新于二〇二一年一月二十日2021年1月20日星期三07:10:36最新精品资料整理推荐,更新于二〇二一年一月二十日2021年1月20日星期三07:10:36最新精品资料整理推荐,更新于二〇二一年一月二十日2021年1月20日星期三07:10:36最新精品资料整理推荐,更新于二〇二一年一月二十日2021年1月20日星期三07:10:36附件:1、信息科技管理职能部门组织结构。
注:分支机构可报送信息科技管理职能部门的组织结构图,但需至少包含上述表格中的基本信息。
2、本年度已完成的信息科技内部审计报告。
中国银监会办公厅关于加强银行业金融机构信息科技风险监管的通知
中国银监会办公厅关于加强银行业金融机构信息科技风险监管的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2007.11.19•【文号】银监办通[2007]269号•【施行日期】2007.11.19•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银监会办公厅关于加强银行业金融机构信息科技风险监管的通知(银监办通〔2007〕269号)各银监局:近一段时间以来,一些商业银行包括第三方存管等计算机业务处理系统相继出现很多问题,妨碍了业务的正常开展,在社会上造成了一定的负面影响。
各银监局要认真学习贯彻今年银监会信息科技工作会议和银行业信息科技风险评价审计座谈会精神,狠抓落实工作,加强对辖内银行业金融机构信息科技风险的监管,以及内部信息科技风险的管理和预防工作,建立应急机制,防患于未然。
现将有关事项通知如下:一、加强组织领导,督促银行业金融机构落实信息科技风险管理责任制各局要加强对银行业金融机构的指导,督促其尽快健全信息科技风险管理组织架构和制度体系,明确董事会、高级管理层对信息科技管理的职责权限。
建立一把手负责制,并逐级落实信息科技风险管理责任制。
银行业金融机构要制定实施方案和具体措施,保证行内各机构和部门统一思想、统一认识、协调一致,严格报告制和值班制,把信息安全工作层层落到实处。
二、加强监督检查,防止重大信息科技安全事故的发生年底前,各局要督促辖内银行业金融机构开展一次信息科技风险自查活动,按照“安全第一,预防为主”的原则,及时排除各类隐患。
(一)审慎安排信息系统的重大变更和调整等工作。
在明年“两会”、奥运会等重大活动期间,银行业金融机构禁止安排新系统上线和重大系统变更等工作。
各项重大活动之前,对于业务量变化和技术资源需求必须提前开展充分的风险评估,合理安排资源,提出工作预案,严禁系统超载运行和带病运行。
解决安全问题和隐患时,要考虑周全,制定详细的工作计划和应急措施,防止出现新的安全隐患。
1104非现场监管报表制度发文公文正文
为准确反映银行业金融机构业务发展变化和实际风险状况,进一步优化监管统计报表,银监会对现有非现场监管报表进行了修订,制定了2017年非现场监管报表(详见附件),从2017年1月1日起正式施行。
现将填报工作有关事项通知如下。
一、报表内容调整(一)新增报表(基础类、业务类、支持发展类)1.新增《G34信贷资产转让业务情况表》。
反映银行业金融机构通过直接转让、信贷资产证券化、信贷资产收益权转让等方式进行信贷资产转让的情况。
2.新增《G51国别风险敞口及拨备统计表》。
按照《银行业金融机构国别风险管理指引》要求,反映银行业国别风险债权、债务敞口及相关拨备情况。
3.新增《S70科技金融和投贷联动统计监测表》。
该表由两个部分组成:表一反映银行业金融机构服务科技型企业的情况;表二反映银行业金融机构内部投贷联动和外部投贷联动业务情况。
(二)修改报表(基础类、业务类、支持发展类)1.修订《G06理财业务情况表》。
与“全国银行业理财信息登记系统”月度统计表进行整合,统一两张报表的样式和填报说明。
同时,修订产品端的销售渠道类型和资产负债端的资金投向项目。
2.修订《G31投资业务情况表》。
行项目中,增设“资产支持证券”项目,并进一步明确基金等部分项目含义。
列项目中,修改最终投向类型,缩小最终投向行业归属的填报范围,并增设产业投资基金、市场化债转股等附注项目。
3.修订《G21流动性期限缺口统计表》。
将项和项的名称分别修改为“投资债券和同业存单”和“发行债券和同业存单”。
4.修订《G11_Ⅰ资产质量五级分类情况表第Ⅰ部分:按行业分类的贷款(按贷款投向)》。
增设“买断其他票据类资产”项目,反映除买断式转贴现以外其他票据类资产的转让情况;按照《商业银行并购贷款风险管理指引》要求,增设并购贷款相关统计项目。
对应的分支机构报表GF11_I仅增设“买断其他票据类资产”项目。
5.修订《G01_Ⅶ贷款投向分行业情况表》、《G11_Ⅲ资产质量五级分类情况表第Ⅲ部分:按行业大类分类的贷款(按贷款投向)》和《G53_Ⅲ分地区情况表第Ⅲ部分:贷款行业情况简表》。
信息科技风险监管指标及风险评估体系v6.6
信息科技风险非现场监管指标及风险评估体系目录第一章总则 (1)1.1目的 (1)1.2适用范围 (3)第二章整体框架 (4)第三章固有风险指标 (6)3.1重要信息系统 (6)3.2数据中心运行与灾备 (7)3.3信息科技项目 (7)3.4信息科技服务外包 (8)3.5系统恢复及数据保护 (8)3.6监管关注度 (9)第四章控制有效性指标 (10)4.1信息科技治理 (10)4.2信息科技风险管理 (12)4.3信息科技审计 (13)4.4信息系统开发及测试 (14)4.5信息科技运行 (15)4.6灾难恢复与应急管理 (17)4.7信息科技服务外包 (18)4.8信息安全 (19)第五章信息科技风险评估 (23)5.1固有风险评估 (23)5.1.1评估方法 (23)5.1.2评估卡 (25)5.1.3固有风险评估结论 (26)5.2控制有效性评估 (29)5.2.1评估方法 (29)5.2.2评估卡 (31)5.2.3控制有效性评估结论 (32)5.3剩余风险评估 (35)5.4信息科技风险综合得分.......................................................................................错误!未定义书签。
5.5信息科技风险综合评估 (36)5.5.1综合风险评估卡 (36)5.5.2综合评估结论 (38)5.6撰写风险评估报告 (40)附件一固有风险指标 (41)附件二监管关注度指标 (45)附件三控制有效性指标 (46)第一章总则1.1目的为规范银行业金融机构信息科技风险非现场监管工作,建立有效的信息科技风险非现场监管指标及风险评估方法,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》和其他相关法律、法规,编制本体系。
本体系主要目的包括:1.建立一套相对完整、合理、开放的信息科技风险非现场监管指标及评估方法,以求尽量客观反映和评估银行业金融机构信息科技风险现状及管控水平,为各级监管部门全面开展信息科技风险非现场监管工作提供参考和指导。
银行业金融机构信息科技风险评估体系v9【银字 第51号】
信息科技风险评估指标
固有风险指标
控制有效性指标
固有风险水平
控制有效性 信息科技风险评估方法
信息科技综合风险水平
图 1:信息科技风险评估框架
上述框架主要由信息科技风险评估指标以及信息科技风险 评估方法两部分内容构成。
2.1 信息科技风险评估指标
信息科技风险评估指标(以下简称评估指标)是在监管工作 中定期或不定期使用的,具有可比性的,可反映机构信息科技现 状和风险水平的一系列判断结果、数值或比率。
评估指标分为固有风险维度和控制有效性维度。
~4~
固有风险维度由风险子领域、评估指标和参考评估标准三部 分组成。监管人员通过定量和定性分析,识别、评估机构信息科 技固有风险水平。
控制有效性维度包括控制子领域、评估指标和参考评估标准 三部分。监管人员通过定量和定性分析,评估机构信息科技控制 有效性。
本指南主要采用定量和定性两类指标对信息科技风险进行 分析。定量指标结果是一个正数,它有可能是某个正数区间范围 内的任何一个数值,指标得分根据指标结果区间给出。定性指标 结果基于报送数据、日常风险监测和现场检查掌握的情况,由监 管人员参照评估标准逐项评判,按照机构实际情况与标准的符合 程度给出指标得分。
信息科技非现场监管报表职责分工 模版
信息科技风险评 门□审计部门□合规部门□其他部门
3
估
本年度是否以开展信息科技风险评估:是□否□
……
数据提供部门 风险管理部 风险管理部
风险管理部
是否建立信息科技风险监测机制:是□否□ 实施信息科技风险监测机制
信息科技风险监 的是哪一个部门::□信息科技部门 □风险管理部门□审计部门□合规部
4
测
门□其他部门
……
信息科技风险管 信息科技风险管理制度定期修订:是□否□ 是否对风险评估方法和流 5
理持续改进 程、风险监测指标定期进行评审:是□否□
本年度信息安全培训员工参与率: 6 信息安全培训
信息安全培训通过人数:
% 本年度 人
风险管理部 风险管理部 信息技术部
编号 名称
附件索引
1
信息科技风险管理情况明细报告
理制度
部门□合规部门□其他部门
是否明确规定机构全面风险管理体系中包括信息科技风险管理:是□否□ 信
信息科技风险管 息科技风险管理职能是否体现在董事会和高管层职能中:是□否□ 信息科技
2
理职能
风险管理职能是否体现在风险管理委员会职能中:是□否□
……
组织开展信息科技风险评估的是哪一个部门:□信息科技部门 □风险管理部
T-B-6 数据(灾备)中心机房情况表报表填报部门:信息技术部
项目
明细项目
内容
备注
数据(灾备)中心机房名称: 产□同城灾备□异地灾备
1
机房
设计等级 投产日期 负责部门 主机房面积 机房变动情况
序号主要职能:□生 □A 类 □B 类 □C 类
本年度是否改造 本年度是否搬迁
平方米 □是 □C 否 □是 □否
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
银行业金融机构信息科技风险非现场监管报表(征求意见稿)1目录第一部分年度报表 (1)I信息科技风险调查问卷 (1)Q-R-1 信息科技风险调查问卷 (1)II基本情况报表 (8)T-B-1 信息科技治理基本情况表 (8)T-B-2 信息科技风险管理情况表 (10)T-B-3 信息科技内外部审计与评估基本情况表 (12)T-B-4 应急管理基本情况表 (14)T-B-5 信息科技项目基本情况表 (15)T-B-6 灾备基本情况表 (16)T-B-7 外包基本情况表 (18)T-B-8 各类中心基本情况表 (19)T-B-9 数据中心及灾备中心机房基本情况表 (20)T-B-10 重要信息系统统计表 (21)T-B-11 网络基本情况表 (23)T-B-12 电子银行业务品种统计表 (24)T-B-13 电子银行业务量统计表 (25)第二部分季度报表 (27)T-B-14 重要信息系统运行基本情况报表 (27)T-B-15 组织机构、人员重大变动表 (30)第三部分报告 (31)R-R-1 信息化建设与信息科技风险管理年度报告 (31)附录参考定义 (32)2填报须知一、本报表作为银监会信息科技风险监管体系的重要组成部分及信息科技风险识别、评估工作的基础和前提,旨在全面收集和监测银行业金融机构信息科技风险状况。
二、本报表主要适用于在中华人民共和国境内依法设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、城市信用社、农村信用社、外资法人银行等银行业金融机构。
三、本报表是为针对信息科技风险而设的专门报表,银行业金融机构应当对所填报数据的真实性负责。
四、本报表应由风险管理部门组织填报。
五、本报表分为年度报表、季度报表和报告。
年度报表统计周期为12个月,即上一年10月1日至本年度9月30日,报送截止时间为每年10月15日;季度报表报送时间为季后10日内;报告报送时间为自然年后40日内。
六、报表中未特别说明统计范围的,皆指全行范围。
七、填报过程中,对于需要特别说明的项目或问题,请在备注栏中描述具体情况。
八、报送截止后,对于存在疑问的报表,监管人员可要求机构提供详实材料予以核实或重报;如有必要,将发起现场检查,并以现场检查结果为准。
九、本报表附有术语参考定义,填报过程中可供参考。
1第一部分年度报表I信息科技风险调查问卷Q-R-1 信息科技风险调查问卷填报机构:填报人:责任人:填报日期:年月日编号项目填报说明内容单位备注1.信息科技风险管理Q0001对信息科技制度进行定期修订以信息科技制度修订发文为准□是□否N/A Q0002对信息科技规划定期评估并修改若对信息科技规划定期评估并修改,请回答是□是□否N/AQ0003制定了关键岗位轮岗计划并依照执行以轮岗计划和记录(接替岗位后工作至少一周)为准□是□否N/AQ0004规定在职人员定期参加信息安全及保密培训以相应人员参与的培训记录为准□是□否N/A 2.审计Q0005依据制定的审计计划、方案开展信息科技审计以相应批文为准□是□否N/AQ0006信息科技审计报告抄送风险管理部门以提交给风险管理部门的审计报告为准□是□否N/AQ0007与外部审计机构签署保密协议若所有的外部审计活动均与外部审计机构签署保密协议,请回答是□是□否N/AQ0008信息科技内部审计覆盖的比例请计算最近12个月信息科技内部审计的分支机构数与分支机构数的比值%3.重要信息系统Q0009发生核心业务系统替换或计划实施核心业务系统替换若最近12 个月发生核心系统的替换或未来12个月计划实施,请回答是□是□否N/AQ0010有多少家外部机构将系统或设备交由本机构托管如有其他机构(或银行)将其系统、设备或业务处理交由本机构管理(托管行为),请统计这些机构的数量个Q0011 交由外部机构托管的系统数请统计交由外部机构托管的系统数个Q0012与本机构发生数据交换的外联系统数量请统计所有与本机构发生数据交换的外联系统总数,以运行部门的记录或外部接口文件(EIF)记录为准个2Q0013生产环境中具有高耦合度的信息系统数若系统的耦合度高,单一系统出现故障时会导致其他多个系统无法正常运行,请分析和统计能导致此类情况的系统总数。
以系统结构图或内部逻辑接口文件(ILF)为准个Q0014仍在使__________用供应商已正式宣布停止支持的系统平台的重要信息系统数系统平台包括:操作系统、数据库、中间件、服务器等个Q0015核心业务系统中相互逻辑分离的数据库数例如,对公业务使用的数据库和对私业务使用的数据库是逻辑分离的,其中一个数据库失效不会影响另一个数据库的正常运行,就记作2 个相互逻辑分离的数据库个Q0016重要信息系统当前容量规划可满足业务发展需求的最少年数以容量规划文档为准年4.系统开发与测试Q0017项目实施部门定期向信息科技管理委员会提交重大项目进度报告以提交的进度报告为准□是□否N/AQ0018在重大项目各阶段均进行风险评估,并向项目管理组织沟通风险点,确定处置方案以各阶段风险评估报告记录为准□是□否N/A Q0019业务和系统需求等经业务部门和科技部门共同确认以需求、设计相关文档为准□是□否N/AQ0020将信息安全要求纳入系统设计以需求、设计相关文档为准。
信息安全要求主要包括数据安全、身份验证、权限管理等内容□是□否N/AQ0021系统投产前,准生产验证环境的软件与生产环境相同准生产验证环境的软件包括操作系统、数据库、中间件、应用程序。
以生产验证环境和生产环境的配置项清单为准□是□否N/AQ0022总行科技部门现行项目中,有独立质量保证人员参与的项目总数请统计目前分配有质量保证人员的项目总数个Q0023完成用户验收测试的项目数请统计最近12个月完成用户验收测试的项目数个Q0024用户验收测试(UAT)前已完成代码安全检查的项目数请统计最近12个月上线的信息系统在UAT前已完成代码安全检查工作的项目数个5.信息系统变更Q0025 建立变更的授权审批机制对信息系统变更进行分级,针对不同等级的信息系统变更明确相应的审批管理程序。
以相关变更授权审批制度为准□是□否N/A3Q0026所有涉及生产环境的变更,变更前有回退和应急方案在系统变更前,变_______更申请部门制订回退和应急方案。
以相关方案文档为准□是□否N/AQ0027涉及生产环境的变更由业务部门与科技部门共同审批以审批流程文档和审批人员清单为准□是□否N/AQ0028所有涉及生产环境的变更由独立人员进行复核以相关规定以及复核人员清单为准□是□否N/AQ0029所有变更都留有记录,并由内部审计人员或信息安全人员定期核查以变更记录和审查记录为准□是□否N/AQ0030 重要信息系统紧急变更数请统计最近12个月内重要信息系统紧急变更的次数。
以系统运行部门的记录为准次Q0031 涉及生产环境的变更数请统计最近12个月内涉及生产环境的变更总数(包括各信息科技生产部门的重要信息系统和非重要信息系统的变更)。
以系统运行部门的记录为准次Q0032未在测试环境中进行验证的变更数请统计最近12个月内未在测试环境中进行验证的变更数,以验证记录为准次6.信息系统运行Q0033系统运行、维护、开发人员的岗位相互完全分离且不存在兼岗以岗位清单和岗位职责定义为准□是□否N/A Q0034为所有关键岗位配备规范、准确的操作手册以指导运行人员操作以操作手册为准□是□否N/AQ0035运行人员对生产系统的操作由独立人员复核若运行人员对生产系统的操作有独立人员复合,请回答是□是□否N/AQ0036运行人员对生产系统的任何操作保留操作记录以操作记录文档和记录方法说明为准□是□否N/AQ0037对数据库均通过菜单、数据流操作若所有对数据库的操作均通过菜单、数据流,而非直接操作数据库,请回答是□是□否N/AQ0038批处理过程有专人监控,记录操作及执行情况,并处理异常事件若批处理过程有专人监控,记录操作及执行情况,并处理异常事件,请回答是□是□否N/AQ0039利用实时监控工具对系统运行环境、重要信息系统运行状况等进行监控以监控系统相关文档为准□是□否N/A Q0040实时监控工具具有自动4 納预警功。