商业银行信息科技风险动态监测规程(征求意见稿)
商业银行信息科技风险动态监测指标
长度 12 12
备注
“tnt”: “100” } ] }
(三)投产变更成功率
字段 m
名称 投产变更实施总次数
类型 整型
m 次投产变更活动分别包含的
n
字符串
功能点总数
m 次投产变更活动分别的成功
ri
字符串
系数
m 次投产变更活动分别正常稳
ti
字符串
定运行的天数
投产变更活动中各个功能点的
kj
字符串
重要性权重
完整的报文示例如下所示:
POST /rest/risk/closedfishingwebsiterate HTTP/1.1 Content-Length: 421 Content-Type: application/json Host: ${host} Connection: Keep-Alive User-Agent: Apache-HttpClient/4.3.2 (java 1.5) {
}, {
“riskCode”: “1002”, “riskDate”: “2014-06-09”,
“tst”: “100”, “sost”: “100”, “uost”: “100”
第 5页
} ] }
(二)系统交易成功率字段名称源自snt系统成功交易量
tnt
系统交易总量
例:
类型 长整型 长整型
必填 是 是
第 7页
必填 是 是 是 是 是
是
长度 10 256 256 256 1024
1024
备注
各个数据 之间使用 逗号分隔 各个数据 之间使用 逗号分隔 各个数据 之间使用 逗号分隔 各个数据 之间使用 逗号分隔 各个数据 之间使用 逗号分隔, 1 表示部署 成功,0 表 示部署失 败
商业银行信息科技风险管理指引(银监发2009[1].19)
![商业银行信息科技风险管理指引(银监发2009[1].19)](https://img.taocdn.com/s3/m/23dd58669b6648d7c1c7460a.png)
--------------------------------------------------------------------------------商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握a主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南目录第一部分概述111. 指南说明111.1 目的及适用范围111.2 编写原则121.3 指南框架12第二部分科技管理132. 信息科技治理132.1 董事会及高级管理层14检查项1 :董事会14检查项2 :信息科技管理委员会14检查项3 :首席信息官(CIO)142.2 信息科技部门15检查项1 :信息科技部门15检查项2 :信息科技战略规划162.3 信息科技风险管理部门16检查项1 :信息科技风险管理部门162.4 信息科技风险审计部门17检查项1 :信息科技风险审计部门172.5知识产权保护和信息披露17检查项1 :知识产权保护17检查项2 :信息披露183. 信息科技风险管理183.1 风险识别和评估18检查项1 :风险管理策略18检查项2 :风险识别与评估183.2 风险防范和检测19检查项1 :风险防范措施19检查项2 :风险计量与检测194. 信息安全管理错误!未定义书签。
4.1 安全管理机制与管理组织错误!未定义书签。
检查项1:信息分类和保护体系错误!未定义书签。
检查项2:安全管理机制错误!未定义书签。
检查项3:信息安全策略错误!未定义书签。
检查项4:信息安全组织错误!未定义书签。
4.2 安全管理制度错误!未定义书签。
检查项1:规章制度错误!未定义书签。
检查项2:制度合规错误!未定义书签。
检查项3:制度执行错误!未定义书签。
4.3 人员管理错误!未定义书签。
检查项1:人员管理错误!未定义书签。
4.4 安全评估报告错误!未定义书签。
检查项1:安全评估报告错误!未定义书签。
4.5 宣传、教育和培训错误!未定义书签。
检查项1:宣传、教育和培训错误!未定义书签。
5.系统开发、测试与维护错误!未定义书签。
5.1开发管理错误!未定义书签。
检查项1:管理架构错误!未定义书签。
检查项2:制度建设错误!未定义书签。
检查项3:项目控制体系错误!未定义书签。
检查项4:系统开发的操作风险错误!未定义书签。
1.1 -XXXX银行信息科技风险评估操作规程
XXXX银行信息科技风险评估操作规程1.总则1.1.为规范XXXX银行信息科技风险评估工作,提高信息科技风险管理水平,根据监管要求及《XXXX银行信息科技风险管理办法》,制定本操作规程。
1.2.本规程所指信息科技风险是信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
1.3.本规程所指信息科技风险评估是对信息科技风险的风险辨识(包括分类)、风险分析和风险评价。
1.4.本规程是对风险评估计划、风险评估准备、风险识别、风险评价、风险分析及报告等关键环节的管理。
1.5.本规程适用于全行。
2.风险评估计划2.1总行市场与操作风险管理部制定信息科技风险评估计划,每年组织开展一次全面的信息科技风险评估。
2.2出现以下情况,应结合本单位以往风险评估情况,确定是否启动信息科技风险评估:(1)新系统上线或已有系统进行重大变更;(2)内部或同业出现重大信息科技事件;(3)信息科技审计中发现重大问题;(4)监管机构发布风险提示。
2.3分行市场与操作风险管理部门根据总行风险评估工作要求,结合本行实际情况制定风险评估计划,组织开展信息科技风险评估工作。
3.风险评估准备3.1.风险评估牵头部门确定风险评估目标。
评估目标包括:(1)满足监管要求;(2)满足我行业务持续发展在信息科技方面的需要;(3)识别现有信息技术及管理上的不足等。
3.2.风险评估牵头部门确定风险评估范围。
评估范围依据评估目标确定,包括:(1)信息资产,如物理、系统、网络、应用、数据等;(2)信息科技活动,如合规管理、开发管理、运维管理、外包管理等;(3)信息科技工作流程,如事件管理、配置管理、变更管理等。
3.3.风险评估牵头部门负责组建风险评估团队,授权风险评估团队开展风险评估工作。
3.4.风险评估团队制定风险评估计划书,明确风险评估实施的计划安排,包括评估工作内容、时间进度和各阶段成果清单等内容。
3.5.风险评估团队制定风险评估方案,明确风险评估依据、风险识别方法、信息收集方式、风险分析方法等。
《银行业金融机构信息科技外包风险管理指引》(征求意见稿)
银行业金融机构信息科技外包风险管理指引征求意见稿))(征求意见稿第一章总则第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包引发的风险,保持信息科技核心能力,促进银行业信息科技健康有序发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、省级农村信用社联合社、外商独资银行、中外合资银行适用本指引。
中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本指引执行。
第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
包括:系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等。
第四条本指引所称关联外包指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。
第五条信息科技的外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技创新及控制能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;(三)信息泄露:包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条本指引所称托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
商业银行信息科技风险动态监测规程(征求意见稿)..
商业银行信息科技风险动态监测规程(征求意见稿)第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。
第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。
第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。
第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。
第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。
政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。
第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。
第七条监测指标选取遵循以下四个原则:(一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力;(二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况;(三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况;(四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。
第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。
其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。
第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
商业银行信息科技风险管理指引—(正式版)
商业银行信息科技风险管理指引—(正式版) 商业银行信息科技风险管理指引正式版目录:第一章 \t引言\t\t1.1 背景\t\t1.2 目的和范围\t\t1.3 定义和缩写\t\t第二章 \t风险管理框架\t\t2.1 整体风险管理框架\t\t2.2 信息科技风险管理流程\t\t2.3 风险识别和评估\t\t\t2.3.1 内部控制要点\t\t\t2.3.2 外部环境因素\t\t\t2.3.3 风险识别和分级评估\t\t2.4 风险应对\t\t\t2.4.1 风险治理\t\t\t2.4.2 风险管理策略\t\t\t2.4.3 风险防范和控制\t\t\t2.4.4 风险监测和评价\t\t\t2.4.5 应急响应和恢复\t\t2.5 风险监管和报告\t\t第三章 \t信息科技风险管理要素\t\t3.1 组织结构和职责\t\t\t3.1.1 信息科技风险管理委员会\t \t\t3.1.2 风险管理部门\t\t\t3.1.3 内部稽核部门\t\t\t3.1.4 各业务部门\t\t3.2 信息科技风险管理框架\t\t\t3.2.1 风险管理政策和指导原则\t \t\t3.2.2 风险管理流程\t\t\t3.2.3 风险分类和评估\t\t\t3.2.4 风险应对和控制\t\t\t3.2.5 风险监测和报告\t\t3.3 信息科技风险管理工具\t \t\t3.3.1 风险管理信息系统\t \t\t3.3.2 风险评估和监测工具\t \t\t3.3.3 应急响应和恢复工具\t \t第四章 \t信息科技风险领域\t\t4.1 系统安全风险\t\t\t4.1.1 网络安全\t\t\t4.1.2 数据安全\t\t\t4.1.3 身份认证和访问控制\t \t4.2 业务连续性风险\t\t\t4.2.1 业务连续性规划\t\t\t4.2.2 冗余和备份机制\t\t\t4.2.3 业务恢复测试\t\t4.3 第三方风险\t\t\t4.3.1 第三方评估和监测\t \t\t4.3.2 合同和协议管理\t \t\t4.3.3 第三方准入控制\t \t4.4 IT项目风险管理\t\t\t4.4.1 项目风险评估\t\t\t4.4.2 项目管理流程\t\t\t4.4.3 项目监控和评估\t \t第五章 \t信息科技风险监管\t \t5.1 监管要求\t\t\t5.1.1 法律法规\t\t\t5.1.2 监管机构要求\t\t5.2 监管报告\t\t\t5.2.1 内部监测报告\t\t\t5.2.2 监管部门报告\t\t\t5.2.3 外部披露\t\t附件:附件1、信息科技风险评估工具附件3、第三方评估表格附件4、IT项目风险评估表格法律名词及注释:1.《商业银行法》商业银行法是指中国国家法律对商业银行的规范和管理的法律文件。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南目录第一部分概述121.指南说明131.1 目的及适用范围121.2 编写原则131.3 指南框架13第二部分科技管理142.信息科技治理182.1 董事会及高级管理层15检查项1 : 董事会18检查项2 : 信息科技管理委员会19检查项3 : 首席信息官(CIO)202.2 信息科技部门16检查项1 : 信息科技部门21检查项2 : 信息科技战略规划232.3 信息科技风险管理部门18检查项1 : 信息科技风险管理部门242.4 信息科技风险审计部门18检查项1 : 信息科技风险审计部门252.5知识产权保护和信息披露19检查项1 : 知识产权保护26检查项2 : 信息披露263.信息科技风险管理283.1 风险识别和评估20检查项1 : 风险管理策略28检查项2 : 风险识别与评估293.2 风险防范和检测20检查项1 : 风险防范措施29检查项2 : 风险计量与检测304.信息安全管理324.1 安全管理机制与管理组织错误!未定义书签。
检查项1: 信息分类和保护体系32检查项2: 安全管理机制33检查项3: 信息安全策略34检查项4: 信息安全组织344.2 安全管理制度错误!未定义书签。
检查项1: 规章制度35检查项2: 制度合规36检查项3: 制度执行374.3 人员管理错误!未定义书签。
检查项1: 人员管理384.4 安全评估报告错误!未定义书签。
检查项1: 安全评估报告394.5 宣传、教育和培训错误!未定义书签。
检查项1: 宣传、教育和培训395.系统开发、测试与维护错误!未定义书签。
5.1开发管理错误!未定义书签。
检查项1: 管理架构41检查项2: 制度建设43检查项3: 项目控制体系44检查项4: 系统开发的操作风险45 检查项5: 数据继承和迁移465.2系统测试与上线错误!未定义书签。
检查项1: 系统测试47检查项2: 系统验收49检查项3: 投产上线495.3系统下线错误!未定义书签。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行信息科技风险动态监测规程(征求意见稿)第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。
第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。
第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。
第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。
第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。
政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。
第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。
第七条监测指标选取遵循以下四个原则:(一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力;(二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况;(三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况;(四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。
第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。
其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。
第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
(一)系统可用率为信息系统实际提供服务时间与应提供服务时间之比,用于衡量信息系统对业务连续服务提供支撑的有效程度,系统可用率影响客户使用体验,并综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置等方面的管理能力。
(二)系统交易成功率为信息系统成功处理的交易量与处理交易总量之比,用于衡量信息系统正常响应业务请求的有效程度,综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面的管理能力。
(三)投产变更成功率为商业银行成功实施信息系统投产、变更数量与实施信息系统投产、变更总量之比,用于衡量商业银行投产变更管理的有效程度,综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。
第十条安全性指标用于衡量商业银行对安全威胁的抵御能力与安全事件的处置能力,包括假冒网站查封率、外部攻击变化率和信息安全事件数量。
(一)假冒网站查封率为已查封的假冒网站数量与已知的假冒网站数量之比,用于衡量商业银行对假冒网站的处置进展及其客户可能因假冒网站遭受欺诈威胁的程度,综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。
(二)外部攻击变化率为商业银行遭受外部攻击当期告警增加数量与上期告警数量之比,用于衡量商业银行外部攻击威胁的客观变化,综合反映商业银行信息系统外部风险的变化程度。
(三)信息安全事件数量为信息系统中断造成服务不可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事件次数、网络中断事件次数、基础设施不可用事件次数及其他安全事件次数之和,用于衡量商业银行在面对内外部安全威胁时,保持信息系统可用性、完整性、机密性的能力,综合反映商业银行信息安全现状。
第十一条规模性指标用于衡量商业银行主要电子渠道发展规模,反映商业银行主要电子渠道业务发展水平、电子渠道业务承受的压力及相关信息科技风险事件可能产生的社会负面影响程度,包括主要电子渠道交易变化率和主要电子渠道活跃用户、账户变化率。
(一)主要电子渠道交易变化率为商业银行全辖当期主要电子渠道交易量与上期主要电子渠道交易量之比,用于反映商业银行主要电子渠道交易规模总量及变化趋势。
(二)主要电子渠道活跃用户、账户变化率为商业银行全辖当期主要电子渠道活跃用户、账户数与上期主要电子渠道活跃用户、账户数之比,用于反映商业银行主要电子渠道活跃用户、账户总量及变化趋势。
第四章数据管理第十二条商业银行应建立与本规程相配套的信息科技风险动态监测工作机制和管理流程,准确、及时提供动态监测指标相关源数据。
第十三条商业银行应根据自身发展状况建立与本规程相适应的监测统计信息系统,按照动态监测指标的相关要求采集相关源数据,并能够根据计算模型按照机构、产品、系统等不同维度和统计周期生成监测数据。
第十四条信息科技风险动态监测指标源数据采集范围应涵盖商业银行全辖(总行及各级分支机构)和各类重要信息系统,采集数据要全面、真实。
第十五条商业银行应确保监测指标数据来源的连续性、一致性以及可追溯性,并至少存留最近三年历史数据。
第十六条商业银行应明确信息科技风险动态监测数据报送的归口管理部门,并对报送数据的真实性和有效性负责。
第十七条银监会及其派出机构应督促、指导商业银行逐步建立并完善相关工作机制和流程,开展动态监测信息系统建设,提高数据采集的自动化程度,减少数据生成过程中的人为干扰因素。
对于确需人工填报的环节,应在流程和系统设计中满足后续检查和审计的需要。
第十八条银监会及其派出机构信息科技监管部门负责审核商业银行报送的动态监测指标数据,并对报送数据质量进行考核。
第五章指标运用第十九条商业银行应将信息科技风险动态监测指标纳入全行风险监测体系,建立信息科技风险动态监测指标分析预警模型,持续跟踪信息科技风险动态监测指标变化趋势,形成书面报告,定期向商业银行董事会和高管层报告。
第二十条商业银行董事会和高管层应定期审查信息科技风险动态监测报告,运用检查、监督、考核等手段督促相关部门采取有效措施实施整改。
第二十一条商业银行信息科技部门应根据动态监测指标结果,对本机构信息系统进行综合评价,并将评价结果与商业银行信息科技发展规划相结合。
第二十二条商业银行信息科技部门应持续跟踪动态监测指标及其变化趋势,重点关注指标数值或变化趋势存在异常的监测指标,深入分析指标异常的原因,采取相应的应急处置措施,并将处置方案和工作进度及时报送商业银行风险管理部门、银监会或其派出机构。
第二十三条银监会及其派出机构信息科技监管部门应明确信息科技风险动态监测工作岗位,制定人员岗位职责。
第二十四条银监会及其派出机构信息科技监管部门应建立分析预警模型,按照区域分布、机构类别、单家机构等不同维度对信息科技风险动态监测指标进行分类监测,定期形成风险分析报告,对于发现的突出共性风险问题,要开展行业通报。
第二十五条银监会及其派出机构信息科技监管部门可根据单家机构动态监测指标监测情况,采取约谈、现场检查等途径对相关情况进行核实,并通过风险提示、监管会谈等方式将风险监测结果及时通报商业银行,督促其采取有效措施,做好风险防范和整改工作。
对于监测中发现的重大信息科技风险隐患,信息科技监管部门应及时通报机构监管部门,并可视情况采取联合监管行动。
第二十六条银监会及其派出机构信息科技监管部门应将动态风险监测指标分析结果作为商业银行年度信息科技监管评级的参考信息。
第二十七条银监会信息科技监管部门建立信息科技风险动态监测工作的激励考核机制,定期发布行业基准参考值,对指标领先的机构树立标杆,总结良好实践并予以推广。
第六章附则第二十八条附件是本规程的组成部分,规定了信息科技风险动态监测指标口径说明。
第二十九条本规程由银监会负责修订和解释。
第三十条本规程自年月起试行。
附件:1、商业银行信息科技风险动态监测指标一览表2、商业银行信息科技风险动态监测指标口径说明附件1商业银行信息科技风险动态监测指标一览表附件2商业银行信息科技风险动态监测指标口径说明一、系统可用率● 指标的属性:稳定性指标。
● 指标风险含义:系统可用率[Available time rate of a system, ATR]用于衡量商业银行信息系统提供连续服务的能力。
系统可用率综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置、变更管理等方面能力以及客户对商业银行提供连续服务能力的感受。
ATR 较低时,说明商业银行信息系统提供连续服务能力不足,可能导致系统稳定性降低、产生声誉风险等风险隐患。
系统可用率包括十个重要信息系统的可用率指标,分别是:核心业务、综合前置、银行卡、网上银行、电话银行、手机银行、大额实时支付前置、小额批量支付前置、第三方存管、国际结算系统。
● ATR 计算公式:%100)111(⨯=-=-=∑∑LTSP i AOR ×i ABR ×i UD LTSP i AOR ×i ABR ×i PD ATR ni m i● ATR 相关释义:1.计划停止服务时间[Planned downtime, PD]:系统在监测周期内因变更、演练、维护等计划性事件及日间、夜间模式切换等日常操作造成的停止服务时间。
注:若一次计划性停止服务时间超出了计划,则超出部分时间计入意外停止服务时间。
2.意外停止服务时间[Unexpected downtime, UD]:系统在监测周期内因系统故障、内部操作失误、外部入侵、自然灾害等意外性事件造成的停止服务时间。
3.提供服务总时间[The lasting time of service providing, LTSP]:系统在监测统计期内理论上可提供服务时间之和。
如核心业务系统为24小时交易系统,监测统计期为30天,则该系统提供服务总时间为24×30×60分钟。
4.停止服务:系统中任一应用模块(子系统)在应提供服务时段出现服务不可用。
5.业务受影响比例[Affected business rate, ABR]:受影响业务类型数量占所有业务类型数量的比例。
由商业银行自行确定比例的计算原则,可以按照同期交易量、交易金额、用户登录数量等因素来计算业务受影响比例,也可以应用模块(子系统)数量比例来计算。
业务受影响比例计算原则由商业银行自行确定后,原则上一年内不得更改计算原则。
6.机构受影响机构比例[Affected organization rate, AOR]:受影响网点数量与全部网点数量的比值。
如全行集中式服务受到影响,AOR数值为1。
7.公式中i代表监测周期内第i次发生的计划和意外停止服务,m代表监测周期内计划停止服务发生总次数,n代表监测周期内意外停止服务发生总次数。