银行业信息技术关键风险指标体系
中国银行业监督管理委员会关于印发《银行业金融机构信息系统风险管理指引》的通知
中国银行业监督管理委员会关于印发《银行业金融机构信息系统风险管理指引》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2006.08.07•【文号】银监发[2006]63号•【施行日期】2006.08.07•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文*注:本篇法规已被《中国银行业监督管理委员会关于印发<商业银行信息科技风险管理指引>的通知》(发布日期:2009年3月3日实施日期:2009年3月3日)废止中国银行业监督管理委员会关于印发《银行业金融机构信息系统风险管理指引》的通知(银监发[2006]63号)各银监局,各政策性银行、国有商业银行、股份制商业银行,各金融资产管理公司,各省(区、市)农村信用社联合社、国家邮政局邮政储汇局,银监会直接监管的信托投资公司、财务公司、金融租赁公司,中央国债登记结算公司,建银投资公司:现将《银行业金融机构信息系统风险管理指引》印发给你们,请认真执行。
请各银监局将本通知转发至辖内各银行业金融机构。
中国银行业监督管理委员会二00六年八月七日银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
银行业信息科技风险管理指引—(正式版)
银行业信息科技风险管理指引—(正式版)1. 引言本指引旨在为银行业提供信息科技风险管理的指导,以确保银行业能够有效管理和控制信息科技风险,保障金融系统的安全和稳定运行。
2. 信息科技风险概述信息科技风险是指由于信息系统的使用和依赖,银行面临的各种可能影响信息系统可用性、完整性和保密性的威胁。
3. 信息科技风险管理原则信息科技风险管理应遵循以下原则:- 风险识别与评估:银行应对信息科技风险进行全面的识别和评估,确定风险的严重性和可能造成的影响。
- 风险治理与控制:银行应制定相应的风险治理措施,并建立合理的风险控制机制。
- 持续监测与改进:银行应定期监测信息科技风险,及时进行改进和调整。
- 信息共享与合作:银行应与相关机构和其他银行共享风险信息,进行合作,共同应对信息科技风险。
4. 信息科技风险管理框架银行应建立完善的信息科技风险管理框架,包括以下几个方面:- 风险治理结构:银行应建立明确的信息科技风险治理结构,明确责任和职责。
- 风险识别与评估:银行应建立科学的信息科技风险识别和评估方法,及时识别并评估风险。
- 风险控制与防范:银行应制定有效的控制措施和防范措施,减少和防止信息科技风险的发生。
- 事件响应与恢复:银行应建立完善的事件响应和恢复机制,及时响应和恢复信息科技风险事件。
- 管理与监测:银行应建立健全的信息科技风险管理和监测体系,确保信息科技风险的有效管理。
5. 信息科技风险管理的实施银行应制定详细的信息科技风险管理方案,并根据实际情况进行有效的实施。
方案应包括风险识别、评估、控制、防范、监测和响应等内容。
6. 信息科技风险管理的监督与评估相关监管机构应对银行的信息科技风险管理进行定期监督和评估,提供指导和支持,确保信息科技风险得到有效管理。
7. 附则本指引自发布之日起生效,并适用于银行业的信息科技风险管理工作。
银行应根据本指引的要求,进行相应的风险管理工作。
以上内容仅为简要介绍,详细内容请参阅《银行业信息科技风险管理指引—(正式版)》全文。
《银行业重要信息系统突发事件应急管理规范》-银监办发[2008]53号
![《银行业重要信息系统突发事件应急管理规范》-银监办发[2008]53号](https://img.taocdn.com/s3/m/5662bcf1f90f76c661371abc.png)
银行业重要信息系统突发事件应急管理规范(试行)第一章 总 则第一条为规范银行业重要信息系统的突发事件应急管理,提高应对突发事件的综合管理水平和应急处置能力,有效防范银行业信息系统风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》以及相关法律法规,制定本规范。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社,外商独资银行、中外合资银行和外国银行分行适用本规范。
第三条银行业重要信息系统突发事件应对工作原则包括: (一)健全机制。
银行业金融机构应建立统一指挥、协调有序的应急管理机制,主动开展应急管理工作,定期演练和评价应急预案,持续改进本机构的应急预案和相关协调机制。
(二)明确职责。
银行业金融机构应明确本机构各部门在应急管理工作中的职责,以保障银行业金融机构业务连续性为目标,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。
(三)预防为主。
银行业金融机构应建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,并对风险指标动态、持续监测,减少重大突发事件发生的可能性。
(四)处置高效。
银行业金融机构应加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力、操作准确,降低突发事件可能造成的损失。
第四条以下术语适用于本规范:(一)本规范所称重要信息系统是指银行业金融机构支撑关键业务,其信息安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全的信息系统。
主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。
(二)本规范所称业务服务时段是指银行业金融机构重要信息系统所承载业务对客户提供服务的时间。
银行业信息技术安全风险和防范措施
监 控整个银行 网络、 系统以及运行状况 , 时发现 问 及 题, 并通过合理 的工作 流程控制 , 对有关系统和人员
发 出指令 , 解决问题 。 ( 加强 网络系统安全建设 , 三) 加强通过互联 网l 提
的投资。但在 目 前的银行信息安全建设中, 这方面的
投入还不是很 多, 整个安全的思路还局限在技术层面
・
复杂, 但从事实上来讲 , 真正确保的是信息, 要防范的 也是信息, 此, 因 防护源头是最重要的。 目 盲 依赖网络
9 ・ 2
维普资讯
安全是舍本取末。 ( 重视工具投资而忽视管理投资 三) 网络 的安全投 资不完全是安全产 品和工具 的投 资, 还应包括策略、 操作流程和应急处理机制等方面
关键词 : 银行业信息技术;安全风 险;防范措施
中图分类号 : 8 F3 文 献标识码 : A 文章编号 :6 4 3 1( 0 8 0 — 0 2 0 17 - 2 0 2 0 )3 0 9 - 2
作者简介 : 施东丽 (93 , , 17 一)女 内蒙古通辽人 , 建设银行 内蒙古分行经济师 , 主要研 究经济学。
但在目前的银行信息安全建设中这方面的投入还不是很多整个安全的思路还局限在技术层面四银行的应用软件很薄弱银行的应用软件是整个信息的载体软件的安全质量是非常重要的目前银行业的软件开发体系包括软件开发生命周期和项目管理体系比较注重功能速度和市场而较少优先考虑安全
维普资讯
J n2 0 u .0 8
银行业 信 息技术 安全 风 险 和 防范措 施
施 东丽
( 建设银行 内蒙古分行 , 内蒙古 呼和浩特 0 0 0 ) 10 0
摘 要: 随着信 息技术越来越 多地被应用于银行 的各 项业务, 银行 面临的信 息技术安全 隐患也在 日益增加 。互联
银行IT风险管理体系
07
结论和建议
研究结论
01
银行IT风险管理是银行业务发展的重要保障,需要建立完善的风险管 理体系。
02
当前银行IT风险管理存在一些问题,如风险意识不强、管理流程不规 范、技术手段落后等。
03
通过对银行IT风险管理体系的研究,发现该体系在组织架构、制度建 设、人员培训等方面存在不足。
04
银行IT风险管理体系的完善需要从多个方面入手,包括加强风险意识、 完善管理流程、提高技术手段等。
制定详细的实施方案,明确风险监控 和预警的目标、范围、资源投入等。
培训与推广
对相关人员进行培训和推广,确保他 们了解和掌握风险监控和预警的方法 和技能。
持续改进
根据实施效果和反馈,持续优化风险 监控和预警的机制和方法,提高其准 确性和有效性。
效果评估
定期对风险监控和预警的实施效果进 行评估,总结经验和教训,为后续工 作提供参考。
风险识别
通过定期的风险评估和监控,及时发现潜在的风险。
风险评估
对识别出的风险进行量化和定性评估,确定风险的大小和影响程 度。
风险处置
根据风险评估结果,采取相应的处置措施,如风险转移、风险规 避、风险降低等。
风险应对和处置的实施和效果评估
实施计划
制定详细的实施计划,明确各项措施的责任人和完成 时间。
风险预警的流程和标准
风险识别
通过风险监控工具和系 统日志分析,识别潜在
的风险和威胁。风险评估对识别出的风险进行评 估,确定风险的级别和
影响范围。
预警发布
根据风险评估结果,发 布预警信息,提醒相关
人员及时处理。
预警响应
对预警信息进行跟踪和 处理,及时消除风险和
银行业金融机构信息科技风险评估体系v9【银字 第51号】
信息科技风险评估指标
固有风险指标
控制有效性指标
固有风险水平
控制有效性 信息科技风险评估方法
信息科技综合风险水平
图 1:信息科技风险评估框架
上述框架主要由信息科技风险评估指标以及信息科技风险 评估方法两部分内容构成。
2.1 信息科技风险评估指标
信息科技风险评估指标(以下简称评估指标)是在监管工作 中定期或不定期使用的,具有可比性的,可反映机构信息科技现 状和风险水平的一系列判断结果、数值或比率。
评估指标分为固有风险维度和控制有效性维度。
~4~
固有风险维度由风险子领域、评估指标和参考评估标准三部 分组成。监管人员通过定量和定性分析,识别、评估机构信息科 技固有风险水平。
控制有效性维度包括控制子领域、评估指标和参考评估标准 三部分。监管人员通过定量和定性分析,评估机构信息科技控制 有效性。
本指南主要采用定量和定性两类指标对信息科技风险进行 分析。定量指标结果是一个正数,它有可能是某个正数区间范围 内的任何一个数值,指标得分根据指标结果区间给出。定性指标 结果基于报送数据、日常风险监测和现场检查掌握的情况,由监 管人员参照评估标准逐项评判,按照机构实际情况与标准的符合 程度给出指标得分。
银行有关信息科技的监管制度
银行有关信息科技的监管制度一、信息技术治理与合规管理1、银行应建立完善的信息技术治理体系,明确信息技术战略目标、组织架构、职责权限和工作流程。
2、银行应制定信息技术合规政策,确保业务活动符合相关法律法规和监管要求。
3、银行应定期对信息技术合规情况进行检查和评估,及时发现和整改违规行为。
二、信息技术风险管理1、银行应建立完善的信息技术风险管理体系,明确风险识别、评估、监控和控制流程。
2、银行应定期对信息系统进行安全漏洞扫描和风险评估,及时发现和修复潜在风险。
3、银行应制定应急预案,确保在发生信息技术风险事件时能够迅速响应和处置。
三、信息技术服务质量管理1、银行应建立完善的信息技术服务质量管理体系,确保为客户提供高效、稳定、安全的金融服务。
2、银行应制定信息技术服务标准和流程,对服务质量和效率进行持续改进。
3、银行应建立客户反馈机制,及时了解客户需求和意见,不断提升服务质量。
四、信息技术外包管理1、银行应明确信息技术外包的范围和策略,确保外包服务符合业务需求和监管要求。
2、银行应选择具有良好信誉和实力的外包服务商,签订明确的合同和协议,明确双方的权利和义务。
3、银行应对外包服务进行全程监控和管理,确保外包服务质量和安全。
五、信息技术安全管理1、银行应建立完善的信息技术安全管理体系,确保信息系统的机密性、完整性和可用性。
2、银行应采取多种安全措施,如访问控制、加密技术、防火墙等,防止未经授权的访问和数据泄露。
3、银行应定期进行安全漏洞扫描和风险评估,及时发现和修复潜在的安全隐患。
4、银行应制定安全应急预案,并定期进行演练,确保在发生安全事件时能够迅速响应和处置。
六、信息技术审计与监控1、银行应建立完善的信息技术审计与监控机制,确保信息系统的合规性和安全性。
2、银行应定期对信息系统进行审计和监控,及时发现和纠正违规行为。
3、银行应建立信息技术审计与监控报告制度,定期向监管部门报告相关信息。
七、信息技术培训与人员管理1、银行应建立完善的信息技术培训体系,提高员工的信息技术水平和安全意识。
6、银行业重要信息系统突发事件应急管理规范(试行)
银行业重要信息系统突发事件应急管理规范(试行)第一章总则第一条为规范银行业重要信息系统的突发事件应急管理,提高应对突发事件的综合管理水平和应急处置能力,有效防范银行业信息系统风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》以及相关法律法规,制定本规范。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社,外商独资银行、中外合资银行和外国银行分行适用本规范。
第三条银行业重要信息系统突发事件应对工作原则包括:(一)健全机制。
银行业金融机构应建立统一指挥、协调有序的应急管理机制,主动开展应急管理工作,定期演练和评价应急预案,持续改进本机构的应急预案和相关协调机制。
(二)明确职责。
银行业金融机构应明确本机构各部门在应急管理工作中的职责,以保障银行业金融机构业务连续性为目标,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。
(三)预防为主。
银行业金融机构应建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,并对风险指标动态、持续监测,减少重大突发事件发生的可能性。
(四)处置高效。
银行业金融机构应加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力、操作准确,降低突发事件可能造成的损失。
第四条以下术语适用于本规范:(一)本规范所称重要信息系统是指银行业金融机构支撑关键业务,其信息安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全的信息系统。
主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。
(二)本规范所称业务服务时段是指银行业金融机构重要信息系统所承载业务对客户提供服务的时间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
27
关键系统计划内的上线切换变更次数(频率)
一段时间内关键系统计划或实际变更次数(一段时间内关键系统计划或实际变更次数/总时间)
此指标用来反映当前关键系统的变更状况,应该对短期内经常变更的系统予以关注,使系统具有更高稳定性和可用性。关键系统指全行范围内的生产交易系统,关键系统定义以信息技术部为准。系统变更:指影响系统能力的变更,如系统新版本的上线,系统补丁更新等。
系统备份情况能够保证重要数据的完整性和安全性,监控该指标有利于监督各系统进行及时备份。关键系统定义同上。
序号
潜在关键风险指标名称
公式
指标描述
11
关键系统变更回退占比(比率)
一段时间内关键系统变更次数/一段时间内关键系统参数变更总次数
关键系统指全行范围内的生产交易系统,关键系统定义以信息技术部为准。关键系统变更的高质量成功实施更能够体现出对风险的控制效果。
15
系统事件平均处理时间
一段时间内事件的平均处理时间
系统事件指异常、报错、故障等。系统事件解决效率体现了系统维护工作的整体水平,监控该指标有助于了解系统维护工作的状态并采取适当的改进措施。
16
系统事件解决率
一段时间内已解决的事件总数/接收的事件总数量
系统事件指异常、报错、故障等。系统事件解决率体现了系统维护工作的整体水平,监控该指标有助于了解系统维护工作的状态并采取适当的改进措施。
17
关键系统的可用率
一段时间内关键系统正常运行时间/总运行时间
该指标反映了系统的可用性,可用性越高,系统越稳定。关键系统定义同上。
18
关键系统运行中断次数
一段时间内关键系统运行中断的次数
该指标反映了系统的可用性,可用性越高,系统越稳定。关键系统定义同上。
19
关键系统运行累计中断时间
一段时间内关键系统运行累计中断时间
中断指系统发生严重故障导致系统运行中止。关键系统定义同上。
20
关键系统交易成功率
一段时间内关键系统成功交易笔数/交易总比数
该指标可反映系统处理能力是否能满足当前的业务需求。关键系统定义同上。
序号
潜在关键风险指标名称
公式
指标描述
21
关键系统维护人员数量满足比率
关键系统维护人员总数/关键系统所需维护人员总数
25
合同金额前三位中第一名软件供应商的合同金额占比
合同金额前三位中第一名软件供应商的合同金额/合同金额前三位的软件供应商合同总金额
软件供应商的合同金额可以体现对软件供应商的依赖程度和供应商的集中度。合同金额极高的供应商也基本包括了关键业务的供应商。
26
合同金额前三位中第一名硬件供应商的合同金额占比
合同金额前三位中第一名硬件供应商的合同金额/合同金额前三位的硬件供应商合同总金额
一段时间内操作不当引发的安全事件数量
该指标监测因内部流程问题、操作不当引发的系统安全事件
37
无效用户访问权限清理频率
一段时间内清理无效系统用户的次数/总时间
无效系统用户指已无职责维护或使用系统的技术维护人员及长时间不登录系统的技术维护人员。对无效系统用户的定期清理可降低非授权范围内的用户登录系统修改重要数据的风险。
3
内存利用率超过阈值的系统数量占主要生产系统的比例
一段时间内内存占用率超过阈值的系统数量/主要生产系统
该指标可以监控主要生产系统的内存利用率,过高的利用率表明系统处理能力有待提升。
4
网络设备性能综合指标
网络设备的性能综合指标包括设备的CPU、内存、吞吐量等
设备性能指标是监控其是否稳定运行的关键
5
网络广域线路带宽平均利用率
广域网络线路使用带宽/线路总带宽
该指标有利于识别线路带宽是否满足业务增长的需要。如利用率过高则需要考虑进行扩容,如利用率过低则会造成资源的浪费。
6
系统监控覆盖率
一段时间内内有系统或人工监控措施的系统数量/总系统数量
系统监控覆盖率可显示处于当前条线管辖范围内的可监控系统占比,若该比率过低将不利于系统维护及重大错误的应急反应。
业务持续性管理能够识别威胁组织的潜在影响,并构建具有效响应和系统恢复能力的体系,监控该指标用于监督各系统定期组织进行应急演练。关键系统定义同上。
24
关键系统应急预案演练次数与预案总数的比率
一段时间内关键系统进行模拟或实战应急演练的次数/已设计的相关应急预案总数
应急响应预案能够针对威胁组织的潜在影响,构建具有效响应和系统恢复能力的体系,监控该指标用于监督预案的完备率并定期进行应急预案演练。
34
网络运营商的中断修复时间大于阈值的次数
一段时间内网络运营商的中断修复时间大于阈值的次数
监控该指标有利于对网络运营商的服务进行评价并督促其改进。
35
信息系统被恶意攻击引发的安全事件数量
一段时间内信息系统被恶意攻击引发的安全事件数量
该指标监测由外部恶意攻击引发的系统安全事件
36
操作不当引发的安全事件数量
监控该指标有利于对供应商支持服务情况进行分析,以便对其进行监督。
30
非关键系统维护人员数量满足比率
非关键系统维护人员总数/非关键系统维护人员总数
该指标反映了系统维护人员配备对于信息技术管理需求的满足情况,应防范人员混岗、多重权限带来的操作风险。关键系统定义同上。
31
网络运营商服务满意度
网络维护人员对网络运营服务的满意度
12
关键线路中断次数
一段时间内某网络运营商提供的网络线路中断次数
监控该指标有利于对网络运营商的服务进行评价并督促其改进。
13
关键线路累计中断时间
一段时间内某运营商提供的网络线路累计中断时间
监控该指标有利于对网络运营商的服务进行评价并督促其改进。
14
开发人员占比
本条线开发人员总数/本条线员工总数
该指标可反映开发人员是否满足系统开发需求,建议参考国际领先实践数据(从IT人员的整体结构上,开发人员占总的IT人员比例国际平均水平为44%)。开发人员指从事系统设计、编码、测试等具体项目实施的人员。
该指标反映了系统维护人员配备对于信息技术管理需求的满足情况,应防范人员混岗、多重权限带来的操作风险。关键系统定义同上。
22
机房UPS负载率
一段时间内机房内已使用UPS资源/机房可以提供的UPS资源总量
监控该指标有利于合理规划电力资源的使用。
23
关键系统应急预案演练次数
一段时间内关键系统进行模拟或实战应急演练的次数
网络工程师根据其服务进行打分。分数过低可考虑更换运营商。
32
灾难导致信息系统瘫痪的事件数量
一段时间内灾难导致信息系统瘫痪的事件数量
该指标监测由灾难导致信息系统瘫痪的事件
33
网络运营商的服务响应时间大于阈值的次数
一段时间内网络运营商的服务响应时间大于阈值的次数
监控该指标有利于对网络运营商的服务进行评价并督促其改进。
序号
潜在关键风险指标名称
公式
指标描述
1
员工流失率
一段期间内本条线流失的员工总数/期初本条线员工总数
流失包括因非本人过失与本银行解除劳动关系的情况及本行内调离本条线的情况
2
CPU利用率超过阈值的系统数量占主要生产系统的比例
一段时间内CPU占用率超过阈值的系统数量/主要生产系统
该指标可以监控主要生产系统运行阶段CPU的利用率,过高的利用率表明系统处理能力有待提升。
9
关键系统备份完备率
一段时间内内备份完整的关键系统数量/关键系统总数量
关键系统指全行范围内的生产交易系统,关键系统定义以信息技术部为准(同以下所指关键系统)。系统备份情况能够保证重要数据的完整性和安全性,监控该指标有利于监督各系统进行及时备份。
10
关键系统不符合备份ቤተ መጻሕፍቲ ባይዱ率标准的系统数量
关键系统不符合备份频率标准的系统数量
28
组织培训的人天数
一段时间内本条线组织培训的总天数*参加培训的总人数
该指标通过统计培训人天数来反映本条线的员工培训情况,培训在一定程度上能够提高员工的专业技能和服务质量,因此该指标从侧面体现了员工的资质水平。
序号
潜在关键风险指标名称
公式
指标描述
29
关键系统公司支持服务到位及时率
一段时间内关键系统供应商支持服务及时到位次数/供应商应支持到位的支持服务次数
7
面向客户的重要系统单点占比
存在单点设备的面向客户的重要系统数量/面向客户的重要系统数量
监控单点设备的系统占比可减少存在单点设备的系统运行风险。
8
关键设备供电可靠比率
拥有双路供电、UPS供电的关键设备数量/关键设备总数量
关键设备指核心网络设备、核心服务器。关键设备应有双路供电、并提供UPS供电,否则存在运行风险。