商业银行信息科技风险动态监测规程
商业银行信息科技风险管理指引(2009)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
商业银行信息科技风险管理指引中国银行业监督管理委员会
【发布单位】中国银行业监督管理委员会【发布文号】【发布日期】2009-06-01【生效日期】2009-06-01【失效日期】【所属类别】政策参考【文件来源】中国银行业监督管理委员会商业银行信息科技风险管理指引中国银行业监督管理委员会第一章总则第一条第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
?第二条第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
?政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
?第三条第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
?第四条第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理??第六条第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
?第七条第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
?(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南目录第一部分概述 (21)1. 指南说明 (22)1.1 目的及适用范围 (22)1.2 编写原则 (23)1.3 指南框架 (24)第二部分科技管理 (26)2. 信息科技治理 (27)2.1 董事会及高级管理层 (27)检查项1 :董事会 (27)检查项2 :信息科技管理委员会 (28)检查项3 :首席信息官(CIO) (29)2.2 信息科技部门 (30)检查项1 :信息科技部门 (30)检查项2 :信息科技战略规划 (32)2.3 信息科技风险管理部门 (33)检查项1 :信息科技风险管理部门 (33)2.4 信息科技风险审计部门 (34)检查项1 :信息科技风险审计部门 (34)2.5 知识产权保护和信息披露 (35)检查项1 :知识产权保护 (35)检查项2 :信息披露 (35)3. 信息科技风险管理 (37)3.1 风险识别和评估 (37)检查项1 :风险管理策略 (37)检查项2 :风险识别与评估 (38)3.2 风险防范和检测 (38)检查项1 :风险防范措施 (38)检查项2 :风险计量与检测 (39)4. 信息安全管理 (41)4.1 安全管理机制与管理组织 (41)检查项1:信息分类和保护体系 (41)检查项2:安全管理机制 (42)检查项3:信息安全策略 (43)检查项4:信息安全组织 (43)4.2 安全管理制度 (44)检查项1:规章制度 (44)检查项2:制度合规 (45)检查项3:制度执行 (46)4.3 人员管理 (47)检查项1:人员管理 (47)4.4 安全评估报告 (48)检查项1:安全评估报告 (48)4.5 宣传、教育和培训 (48)检查项1:宣传、教育和培训 (48)5.系统开发、测试与维护 (50)5.1开发管理 (50)检查项1:管理架构 (50)检查项2:制度建设 (52)检查项3:项目控制体系 (53)检查项4:系统开发的操作风险 (54)检查项5:数据继承和迁移 (55)5.2系统测试与上线 (56)检查项1:系统测试 (56)检查项2:系统验收 (58)检查项3:投产上线 (58)5.3系统下线 (59)检查项1:系统下线 (59)6. 系统运行管理 (61)6.1 日常管理 (61)检查项1:职责分离 (61)检查项2:值班制度 (62)检查项3:操作管理 (62)检查项4:人员管理 (63)6.2 访问控制策略 (64)检查项1:物理访问控制策略 (64)检查项2:逻辑访问控制策略 (65)检查项3:账号及权限管理 (66)检查项4:用户责任及终端管理 (67)检查项5:远程接入的控制 (68)6.3 日志管理 (69)检查项1:审计日志检查 (69)检查项2:日志信息的保护 (69)检查项3:操作日志的检查 (70)检查项4:错误日志的检查 (70)6.4系统监控 (71)检查项1:基础环境监控 (71)检查项2:系统性能监控 (71)检查项3:系统运行监控 (72)检查项4:测评体系 (73)6.5 事件管理 (74)检查项1:事件报告流程 (74)检查项2:事件管理和改进 (75)检查项3:服务台管理 (76)6.6问题管理 (76)检查项1:事件分析和问题生成 (77)检查项2:台账管理 (77)检查项3:问题处置 (77)6.7 容量管理 (78)检查项1:容量规划 (78)检查项2:容量监测 (79)检查项3:容量变更 (79)6.8 变更管理 (80)检查项1:变更的流程 (81)检查项2:变更的评估 (81)检查项3:变更的授权 (82)检查项4:变更的执行 (82)检查项5:紧急变更 (83)检查项6:重大变更 (83)7. 业务连续性管理 (85)7.1 业务连续性管理组织 (86)检查项1:董事会及高管层的职责 (86)检查项2:业务连续性管理组织的建立 (87)检查项3:业务连续性管理组织职责 (88)7.2 IT服务连续性管理 (89)检查项1:IT服务连续性计划的组织保障 (89)检查项2:风险评估及业务影响分析 (90)检查项3:IT服务连续性计划的制定 (90)检查项4:IT服务连续性计划的测试与维护 (91)检查项5:IT服务连续性计划审计 (92)检查项6:IT服务连续性相关领域的控制 (93)8. 应急管理 (94)8.1 应急组织 (94)检查项1:应急管理团队 (94)检查项2:应急管理职责 (95)检查项3:应急管理制度 (95)8.2 应急预案 (96)检查项1:应急预案制订 (96)检查项2:应急预案内容 (96)检查项3:应急预案更新 (98)检查项4:外包服务应急 (98)检查项5:应急预案培训 (99)8.3 应急保障 (99)检查项1:人员保障 (99)检查项2:物质保障 (99)检查项3:技术保障 (100)检查项4:沟通保障 (100)8.4 应急演练 (101)检查项1:应急演练的计划 (101)检查项2:应急演练的实施 (101)检查项3:应急演练的总结 (102)8.5 应急响应 (103)检查项1:应急响应流程 (103)检查项2:全程记录处置过程 (103)检查项3:应急事件报告 (104)检查项4:与第三方沟通 (104)检查项5:向新闻媒体通报制度 (105)检查项6:应急处置总结 (105)8.6 持续改进 (106)检查项1:应急事件评估 (106)检查项2:应急响应评估 (106)检查项3:应急管理改进 (107)9. 灾难恢复管理 (108)9.1 灾难恢复组织架构 (108)检查项1:灾难恢复相关组织架构 (108)9.2 灾难恢复策略 (110)检查项1:总体控制 (110)检查项2:灾难恢复策略 (110)检查项3:灾难备份策略 (112)检查项4:外包风险 (113)9.3 灾难恢复预案 (114)检查项1:灾难恢复预案 (114)检查项2:联络与通讯 (115)检查项3:教育、培训和演练 (116)9.4评估和维护更新 (116)检查项1:灾备策略的评估和维护更新 (116)检查项2:灾难恢复预案的评估和维护更新 (117)10. 数据管理 (118)10.1 数据管理制度和岗位 (118)检查项1: 数据管理制度 (118)检查项2 :数据管理岗位 (119)10.2 数据备份、恢复策略 (119)检查项1:数据备份、转储策略 (119)检查项2:数据恢复、抽检策略 (120)10.3数据存储介质管理 (121)检查项1:介质管理 (121)检查项2:介质的清理和销毁 (122)11. 外包管理 (123)11.1外包管理制度 (123)检查项1:外包管理制度 (123)检查项2:外包审批流程 (123)检查项3:外包协议 (124)检查项4:服务水平协议 (124)检查项5:外包安全保密措施 (125)检查项6:外包文档管理 (125)11.2外包评估和监督 (126)检查项1:外包服务商的评估 (126)检查项2:外包项目的监督管理 (126)12. 内部审计 (128)12.1 内部审计管理 (128)检查项1:内部审计部门、岗位、人员和职责 (128)检查项2:内部审计制度和办法 (128)12.2 内部审计要求 (129)检查项1:内部审计范围和频率 (129)检查项2:内部审计结果的有效性 (129)13. 外部审计 (131)13.1 外部审计资质 (131)检查项1:外部审计机构的资质 (131)13.2 外部审计要求 (131)检查项1:商业银行配合外部审计情况 (131)检查项2:外部审计有效性 (132)检查项3:外审过程中的保密要求 (132)第三部分基础设施 (134)14. 计算机机房 (135)14.1计算机机房建设 (135)检查项1:计算机机房选址 (135)检查项2:机房功能分区 (136)检查项3:计算机机房基础设施建设 (136)检查项4:计算机机房的环境要求 (139)检查项5:计算机机房日常维护 (140)14.2计算机机房管理 (141)检查项1:计算机机房安全管理 (141)检查项2:计算机机房集中监控系统 (142)检查项3:计算机机房安全区域访问控制 (143)检查项4:计算机机房运行管理 (144)14.3机房设备管理 (145)检查项1:机房设备的环境安全 (145)15. 网络通讯 (146)15.1 内控管理 (146)检查项1:内控制度 (146)检查项2:人员管理 (147)检查项3:访问控制 (147)检查项4:日志管理 (148)检查项5:第三方管理 (149)检查项6:服务外包 (150)检查项7:文档管理 (150)检查项8:风险评估 (151)15.2 网络运行维护 (152)检查项1:运行监控 (152)检查项2:性能监控 (152)检查项3:流量监控 (153)检查项4:监控预警 (153)检查项5:性能调优 (153)检查项6:事件管理 (154)检查项7:运行检查 (154)15.3 网络变更管理 (155)检查项1:变更发起 (155)检查项2:变更计划 (156)检查项3:变更测试 (156)检查项4:变更审批 (156)检查项5:变更实施 (157)15.4 网络服务可用性 (158)检查项1:容量管理 (158)检查项2:冗余管理 (158)检查项3:带外管理 (159)检查项4:压力测试 (160)检查项5:应急管理 (160)15.5 网络安全技术 (160)检查项1:结构安全 (160)检查项2:物理安全 (162)检查项3:传输安全 (162)检查项4:访问控制 (163)检查项5:接入安全 (164)检查项6:网络边界安全 (165)检查项7:入侵检测防范 (166)检查项8:恶意代码防范 (167)检查项9:网络设备防护 (167)检查项10:网络安全测试 (169)检查项11:安全审计日志 (170)检查项12:安全检查 (171)16. 操作系统 (172)16.1账号及密码管理 (172)检查项1:管理制度 (172)检查项2:账号、密码管理 (172)检查项3:账号、密码管理检查 (174)16.2系统访问控制 (174)检查项1:访问控制策略 (174)检查项2:用户登录行为管理 (175)检查项3:登录失败日志管理 (175)检查项4:最小化访问 (176)16.3远程接入管理 (177)检查项1:远程管理制度 (177)检查项2:远程维护管理 (178)检查项3:远程维护审查 (178)16.4日常维护 (179)检查项1:系统性能监控 (179)检查项2:补丁及漏洞管理 (179)检查项3:日常维护管理 (180)检查项4:系统备份和故障恢复 (181)检查项5:病毒及恶意代码管理 (181)检查项6:定时进程设置管理 (182)检查项7:系统审计功能 (182)17. 数据库管理系统 (184)17.1访问控制 (184)检查项1:身份认证 (184)检查项2:授权控制 (185)检查项3:远程访问 (186)检查项4:安全参数设置 (187)17.2日常管理 (187)检查项1:数据安全 (187)检查项2:审计功能 (188)检查项3:性能管理 (189)检查项4:补丁升级 (190)17.3连续性管理 (190)检查项1:备份和恢复 (190)检查项2:连续性和应急管理 (191)18. 第三方中间件 (193)18.1 产品管理 (193)检查项1:中间件测试 (193)检查项2:中间件管理 (193)检查项3:中间件与业务系统架构 (194)18.2 运行管理 (194)检查项1:维护流程和操作手册 (194)检查项2:中间件配置管理 (194)检查项3:中间件日志管理的程序 (195)检查项4:中间件的性能监控 (195)检查项5:中间件产生的事件和问题管理 (196)检查项6:中间件的变更 (196)检查项7:单点故障问题和负载均衡 (196)检查项8:压力测试 (197)第四部分应用系统 (198)19. 应用系统 (199)19.1 应用系统管理 (199)检查项1:业务管理办法与操作流程 (199)检查项2:重要应用系统评估 (199)检查项3:应用系统版本管理 (200)检查项4:应用系统培训教育 (201)19.2 应用系统操作 (201)检查项1:终端用户管理 (201)检查项2:访问控制与授权管理 (202)检查项3:数据保密处理 (203)检查项4:数据完整性处理 (204)检查项5:数据准确性处理 (204)检查项6:日志管理机制 (205)检查项7:备份、恢复机制 (206)检查项8:文档资料管理 (207)检查项9:内部审计的参与 (208)20. 电子银行 (209)20.1 电子银行业务合规性 (209)检查项1:电子银行业务合规性 (209)20.2 电子银行风险管理体系 (210)检查项1:电子银行风险管理体系 (210)20.3 电子银行安全管理 (211)检查项1:电子银行安全策略管理 (211)检查项2:电子银行安全措施 (212)检查项3:电子银行安全监控 (213)检查项4:电子银行安全评估 (213)20.4 电子银行可用性管理 (214)检查项1:电子银行基础设施 (214)检查项2:电子银行性能监测和评估 (215)20.5 电子银行应急管理 (215)检查项1:电子银行应急预案 (215)检查项2:电子银行应急演练 (216)21. 银行卡系统 (217)21.1 银行卡系统管理 (217)检查项1:银行卡系统容量的合理规划 (217)检查项2:银行卡系统物理设备风险和故障处理 (218)检查项3:银行卡交易监控 (218)检查项4:账户密码和交易数据的存储和传输 (219)检查项5:银行卡系统应急预案 (220)21.2 终端设备 (221)检查项1:自助银行机具和安装环境的物理安全 (221)检查项2:自助银行机具的通信安全 (221)检查项3:自助银行机具的安全装置 (222)检查项4:自助银行业务操作流程(机具软件) (222)检查项5:自助银行机具的巡查维护 (223)检查项6:POS机 (223)21.3 自助银行监控 (224)检查项1:自助银行设备日常运行的监控情况 (224)检查项2:监控中心和监控设备 (224)检查项3:自助银行监控发现问题的处置情况 (225)检查项4:自助银行设施安全评估(信息科技方面) (225)22. 第三方存管系统 (226)22.1 管理架构和职责 (226)检查项1:管理架构与岗位职责分工 (226)22.2 系统功能 (226)检查项1:系统功能 (226)22.3 系统一般安全与账户处理 (227)检查项1:账户冲正处理 (227)检查项2:网络访问控制与病毒防范 (227)22.4 数据交换 (228)检查项1:数据交换安全性 (228)22.5 运行维护 (229)检查项1:运行维护安全性 (229)22.6 系统备份 (229)检查项1:系统备份安全性 (229)22.7 应急恢复与事故处理 (230)检查项1:应急恢复与事故处理流程 (230)22.8 系统测试 (230)检查项1:系统测试 (230)22.9 临时派出柜台 (231)检查项1:系统派出柜台安全性 (231)附录 (232)23. 常用检查方法 (233)23.1 问卷与函证 (233)23.2 访谈 (234)23.3 查阅 (235)23.4 观察 (236)23.5 测试 (236)26.6 分析性复核 (239)26.7 评审 (240)24. 主要网络设备常用操作 (241)24.1 Cisco设备常用操作 (241)交换机 (241)路由器 (242)防火墙 (243)24.2 H3C设备常用操作 (244)交换机 (244)路由器 (246)防火墙 (247)25. 主要操作系统常用操作 (249)25.1 AIX系统检查常用操作 (249)25.2 HP/UX系统检查常用操作 (264)25.3 Solaris系统检查常用操作 (270)25.4 Windows系统检查常用操作 (272)26. 主要数据库管理系统常用操作 (282)26.1 DB2 系统检查常用操作 (282)26.2 Sybase 系统检查常用操作 (283)26.3 Oracle 系统检查常用操作 (284)26.4 Informix 系统检查常用操作 (286)26.5 SQL SERVER系统检查常用操作 (289)第一部分概述1. 指南说明1.1 目的及适用范围信息科技与银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。
商业银行信息科技风险管理指引中国银行业监督管理委员会
【发布单位】中国银行业监督管理委员会【发布文号】【发布日期】2009-06-01【生效日期】2009-06-01【失效日期】【所属类别】政策参考【文件来源】中国银行业监督管理委员会商业银行信息科技风险管理指引中国银行业监督管理委员会第一章总则第一条第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
?第二条第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
?政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
?第三条第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
?第四条第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理??第六条第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
?第七条第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
?(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
商业银行信息科技风险管理指引WORD版
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
商业银行的科技风险管理
在发现重大科技风险或突发事件时,及时提交临时报告。
报告审查
建立报告审查机制,对提交的报告进行审核,确保信息的准确性 和完整性。
风险报告内容与格式
风险描述
详细描述风险事件的性质、原 因、影响范围和潜在损失。
风险评估结果
包括风险等级、影响程度、可 能造成的损失等方面的评估结 果。
基本情况
包括风险事件的发生时间、地 点、涉及业务领域等基本信息 。
详细描述
2019年,某知名商业银行遭受了大规模的网络攻击,攻击者利用该银行内部系 统的安全漏洞,窃取了大量客户的个人信息和交易数据,给银行和客户造成了 重大损失。
案例二:数据泄露事件
总结词
数据泄露事件是指商业银行在处理客户信息时因管理不善或技术故障导致客户信 息外泄的风险。
详细描述
2020年,某商业银行因为系统故障导致客户信息泄露,涉及上百万客户的姓名、 身份证号、银行卡号等敏感信息,引起了社会广泛关注和监管部门的高度重视。
确定评估范围和对象
明确需要评估的科技系统和业务 流程,确定评估的重点和目标。
制定风险管理计划
根据风险评估结果和排序,制定 相应的风险管理计划,包括风险 预警、应急处置等方面的措施。
03
商业银行科技风险的防范与 控制
风险防范措施
建立完善的风险管理体系
提升技术防范能力
商业银行应建立健全的风险管理体系,明 确科技风险的管理目标、原则和流程,确 保科技风险得到有效控制。
风险识别方法
风险清单法
通过列举商业银行科技系统中可能存 在的风险点,形成风险清单,以便全 面了解和掌握潜在风险。
流程图法
通过对商业银行科技系统的业务流程 进行绘制和分析,找出可能存在的风 险环节和问题点。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二) 审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制.(四) 规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南商业银行信息科技风险现场检查指南商业银行信息科技风险现场检查指南目录第一部分概述 (21)1. 指南说明 (22)1.1 目的及适用范围 (22)1.2 编写原则 (23)1.3 指南框架 (24)第二部分科技管理 (26)2. 信息科技治理 (27)2.1 董事会及高级管理层 (27)检查项1 :董事会 (27)检查项2 :信息科技管理委员会 (28)检查项3 :首席信息官(CIO) (29)2.2 信息科技部门 (30)检查项1 :信息科技部门 (30)检查项2 :信息科技战略规划 (32)2.3 信息科技风险管理部门 (33)检查项1 :信息科技风险管理部门 (33)2.4 信息科技风险审计部门 (34)检查项1 :信息科技风险审计部门 (34)2.5 知识产权保护和信息披露 (35)检查项1 :知识产权保护 (35)检查项2 :信息披露 (35)3. 信息科技风险管理 (37)3.1 风险识别和评估 (37)检查项1 :风险管理策略 (37)检查项2 :风险识别与评估 (38)3.2 风险防范和检测 (38)检查项1 :风险防范措施 (38)检查项2 :风险计量与检测 (39) 4. 信息安全管理 (41)4.1 安全管理机制与管理组织 (41) 检查项1:信息分类和保护体系 (41) 检查项2:安全管理机制 (42)检查项3:信息安全策略 (43)检查项4:信息安全组织 (43)4.2 安全管理制度 (44)检查项1:规章制度 (44)检查项2:制度合规 (45)检查项3:制度执行 (46)4.3 人员管理 (47)检查项1:人员管理 (47)4.4 安全评估报告 (48)检查项1:安全评估报告 (48)4.5 宣传、教育和培训 (48)检查项1:宣传、教育和培训 (48) 5.系统开发、测试与维护 (50)5.1开发管理 (50)检查项1:管理架构 (50)检查项2:制度建设 (52)检查项3:项目控制体系 (53)检查项4:系统开发的操作风险 (54) 检查项5:数据继承和迁移 (55) 5.2系统测试与上线 (56)检查项1:系统测试 (56)检查项2:系统验收 (58)检查项3:投产上线 (58)5.3系统下线 (59)检查项1:系统下线 (59)6. 系统运行管理 (61)6.1 日常管理 (61)检查项1:职责分离 (61)检查项2:值班制度 (62)检查项3:操作管理 (62)检查项4:人员管理 (63)6.2 访问控制策略 (64)检查项1:物理访问控制策略 (64) 检查项2:逻辑访问控制策略 (65) 检查项3:账号及权限管理 (66)检查项4:用户责任及终端管理 (67) 检查项5:远程接入的控制 (68) 6.3 日志管理 (69)检查项1:审计日志检查 (69)检查项2:日志信息的保护 (69)检查项3:操作日志的检查 (70)检查项4:错误日志的检查 (70) 6.4系统监控 (71)检查项1:基础环境监控 (71)检查项2:系统性能监控 (71)检查项3:系统运行监控 (72)检查项4:测评体系 (73)6.5 事件管理 (74)检查项1:事件报告流程 (74)检查项2:事件管理和改进 (75)检查项3:服务台管理 (76)6.6问题管理 (76)检查项1:事件分析和问题生成 (77)检查项2:台账管理 (77)检查项3:问题处置 (77)6.7 容量管理 (78)检查项1:容量规划 (78)检查项2:容量监测 (79)检查项3:容量变更 (79)6.8 变更管理 (80)检查项1:变更的流程 (81)检查项2:变更的评估 (81)检查项3:变更的授权 (82)检查项4:变更的执行 (82)检查项5:紧急变更 (83)检查项6:重大变更 (83)7. 业务连续性管理 (85)7.1 业务连续性管理组织 (86)检查项1:董事会及高管层的职责 (86)检查项2:业务连续性管理组织的建立 (87)检查项3:业务连续性管理组织职责 (88)7.2 IT服务连续性管理 (89)检查项1:IT服务连续性计划的组织保障 (89) 检查项2:风险评估及业务影响分析 (90)检查项3:IT服务连续性计划的制定 (90)检查项4:IT服务连续性计划的测试与维护 (91) 检查项5:IT服务连续性计划审计 (92)检查项6:IT服务连续性相关领域的控制 (93) 8. 应急管理 (94)8.1 应急组织 (94)检查项1:应急管理团队 (94)检查项2:应急管理职责 (95)检查项3:应急管理制度 (95)8.2 应急预案 (96)检查项1:应急预案制订 (96)检查项2:应急预案内容 (96)检查项3:应急预案更新 (98)检查项4:外包服务应急 (98)检查项5:应急预案培训 (99)8.3 应急保障 (99)检查项1:人员保障 (99)检查项2:物质保障 (99)检查项3:技术保障 (100)检查项4:沟通保障 (100)8.4 应急演练 (101)检查项1:应急演练的计划 (101)检查项2:应急演练的实施 (101)检查项3:应急演练的总结 (102)8.5 应急响应 (103)检查项1:应急响应流程 (103)检查项2:全程记录处置过程 (103)检查项3:应急事件报告 (104)检查项4:与第三方沟通 (104)检查项5:向新闻媒体通报制度 (105) 检查项6:应急处置总结 (105)8.6 持续改进 (106)检查项1:应急事件评估 (106)检查项2:应急响应评估 (106)检查项3:应急管理改进 (107)9. 灾难恢复管理 (108)9.1 灾难恢复组织架构 (108)检查项1:灾难恢复相关组织架构 (108) 9.2 灾难恢复策略 (110)检查项1:总体控制 (110)检查项2:灾难恢复策略 (110)检查项3:灾难备份策略 (112)检查项4:外包风险 (113)9.3 灾难恢复预案 (114)检查项1:灾难恢复预案 (114)检查项2:联络与通讯 (115)检查项3:教育、培训和演练 (116)9.4评估和维护更新 (116)检查项1:灾备策略的评估和维护更新 (116)检查项2:灾难恢复预案的评估和维护更新 (117) 10. 数据管理 (118)10.1 数据管理制度和岗位 (118)检查项1: 数据管理制度 (118)检查项2 :数据管理岗位 (119)10.2 数据备份、恢复策略 (119)检查项1:数据备份、转储策略 (119)检查项2:数据恢复、抽检策略 (120)10.3数据存储介质管理 (121)检查项1:介质管理 (121)检查项2:介质的清理和销毁 (122)11. 外包管理 (123)11.1外包管理制度 (123)检查项1:外包管理制度 (123)检查项2:外包审批流程 (123)检查项3:外包协议 (124)检查项4:服务水平协议 (124)检查项5:外包安全保密措施 (125)检查项6:外包文档管理 (125)11.2外包评估和监督 (126)检查项1:外包服务商的评估 (126)检查项2:外包项目的监督管理 (126)12. 内部审计 (128)12.1 内部审计管理 (128)检查项1:内部审计部门、岗位、人员和职责 (128) 检查项2:内部审计制度和办法 (128)12.2 内部审计要求 (129)检查项1:内部审计范围和频率 (129)检查项2:内部审计结果的有效性 (129)13. 外部审计 (131)13.1 外部审计资质 (131)检查项1:外部审计机构的资质 (131)13.2 外部审计要求 (131)检查项1:商业银行配合外部审计情况 (131)检查项2:外部审计有效性 (132)检查项3:外审过程中的保密要求 (132)第三部分基础设施 (134)14. 计算机机房 (135)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行信息科技风险动态监测规程(征求意见稿)第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。
第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。
第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。
第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。
第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。
政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。
第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。
第七条监测指标选取遵循以下四个原则:(一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力;(二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况;(三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况;(四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。
第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。
其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。
第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
(一)系统可用率为信息系统实际提供服务时间与应提供服务时间之比,用于衡量信息系统对业务连续服务提供支撑的有效程度,系统可用率影响客户使用体验,并综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置等方面的管理能力。
(二)系统交易成功率为信息系统成功处理的交易量与处理交易总量之比,用于衡量信息系统正常响应业务请求的有效程度,综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面的管理能力。
(三)投产变更成功率为商业银行成功实施信息系统投产、变更数量与实施信息系统投产、变更总量之比,用于衡量商业银行投产变更管理的有效程度,综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。
第十条安全性指标用于衡量商业银行对安全威胁的抵御能力与安全事件的处置能力,包括假冒网站查封率、外部攻击变化率和信息安全事件数量。
(一)假冒网站查封率为已查封的假冒网站数量与已知的假冒网站数量之比,用于衡量商业银行对假冒网站的处置进展及其客户可能因假冒网站遭受欺诈威胁的程度,综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。
(二)外部攻击变化率为商业银行遭受外部攻击当期告警增加数量与上期告警数量之比,用于衡量商业银行外部攻击威胁的客观变化,综合反映商业银行信息系统外部风险的变化程度。
(三)信息安全事件数量为信息系统中断造成服务不可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事件次数、网络中断事件次数、基础设施不可用事件次数及其他安全事件次数之和,用于衡量商业银行在面对内外部安全威胁时,保持信息系统可用性、完整性、机密性的能力,综合反映商业银行信息安全现状。
第十一条规模性指标用于衡量商业银行主要电子渠道发展规模,反映商业银行主要电子渠道业务发展水平、电子渠道业务承受的压力及相关信息科技风险事件可能产生的社会负面影响程度,包括主要电子渠道交易变化率和主要电子渠道活跃用户、账户变化率。
(一)主要电子渠道交易变化率为商业银行全辖当期主要电子渠道交易量与上期主要电子渠道交易量之比,用于反映商业银行主要电子渠道交易规模总量及变化趋势。
(二)主要电子渠道活跃用户、账户变化率为商业银行全辖当期主要电子渠道活跃用户、账户数与上期主要电子渠道活跃用户、账户数之比,用于反映商业银行主要电子渠道活跃用户、账户总量及变化趋势。
第四章数据管理第十二条商业银行应建立与本规程相配套的信息科技风险动态监测工作机制和管理流程,准确、及时提供动态监测指标相关源数据。
第十三条商业银行应根据自身发展状况建立与本规程相适应的监测统计信息系统,按照动态监测指标的相关要求采集相关源数据,并能够根据计算模型按照机构、产品、系统等不同维度和统计周期生成监测数据。
第十四条信息科技风险动态监测指标源数据采集范围应涵盖商业银行全辖(总行及各级分支机构)和各类重要信息系统,采集数据要全面、真实。
第十五条商业银行应确保监测指标数据来源的连续性、一致性以及可追溯性,并至少存留最近三年历史数据。
第十六条商业银行应明确信息科技风险动态监测数据报送的归口管理部门,并对报送数据的真实性和有效性负责。
第十七条银监会及其派出机构应督促、指导商业银行逐步建立并完善相关工作机制和流程,开展动态监测信息系统建设,提高数据采集的自动化程度,减少数据生成过程中的人为干扰因素。
对于确需人工填报的环节,应在流程和系统设计中满足后续检查和审计的需要。
第十八条银监会及其派出机构信息科技监管部门负责审核商业银行报送的动态监测指标数据,并对报送数据质量进行考核。
第五章指标运用第十九条商业银行应将信息科技风险动态监测指标纳入全行风险监测体系,建立信息科技风险动态监测指标分析预警模型,持续跟踪信息科技风险动态监测指标变化趋势,形成书面报告,定期向商业银行董事会和高管层报告。
第二十条商业银行董事会和高管层应定期审查信息科技风险动态监测报告,运用检查、监督、考核等手段督促相关部门采取有效措施实施整改。
第二十一条商业银行信息科技部门应根据动态监测指标结果,对本机构信息系统进行综合评价,并将评价结果与商业银行信息科技发展规划相结合。
第二十二条商业银行信息科技部门应持续跟踪动态监测指标及其变化趋势,重点关注指标数值或变化趋势存在异常的监测指标,深入分析指标异常的原因,采取相应的应急处置措施,并将处置方案和工作进度及时报送商业银行风险管理部门、银监会或其派出机构。
第二十三条银监会及其派出机构信息科技监管部门应明确信息科技风险动态监测工作岗位,制定人员岗位职责。
第二十四条银监会及其派出机构信息科技监管部门应建立分析预警模型,按照区域分布、机构类别、单家机构等不同维度对信息科技风险动态监测指标进行分类监测,定期形成风险分析报告,对于发现的突出共性风险问题,要开展行业通报。
第二十五条银监会及其派出机构信息科技监管部门可根据单家机构动态监测指标监测情况,采取约谈、现场检查等途径对相关情况进行核实,并通过风险提示、监管会谈等方式将风险监测结果及时通报商业银行,督促其采取有效措施,做好风险防范和整改工作。
对于监测中发现的重大信息科技风险隐患,信息科技监管部门应及时通报机构监管部门,并可视情况采取联合监管行动。
第二十六条银监会及其派出机构信息科技监管部门应将动态风险监测指标分析结果作为商业银行年度信息科技监管评级的参考信息。
第二十七条银监会信息科技监管部门建立信息科技风险动态监测工作的激励考核机制,定期发布行业基准参考值,对指标领先的机构树立标杆,总结良好实践并予以推广。
第六章附则第二十八条附件是本规程的组成部分,规定了信息科技风险动态监测指标口径说明。
第二十九条本规程由银监会负责修订和解释。
第三十条本规程自年月起试行。
附件:1、商业银行信息科技风险动态监测指标一览表2、商业银行信息科技风险动态监测指标口径说明附件1商业银行信息科技风险动态监测指标一览表附件2商业银行信息科技风险动态监测指标口径说明一、系统可用率●指标的属性:稳定性指标。
●指标风险含义:系统可用率[Available time rate of a system, ATR]用于衡量商业银行信息系统提供连续服务的能力。
系统可用率综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置、变更管理等方面能力以及客户对商业银行提供连续服务能力的感受。
ATR较低时,说明商业银行信息系统提供连续服务能力不足,可能导致系统稳定性降低、产生声誉风险等风险隐患。
系统可用率包括十个重要信息系统的可用率指标,分别是:核心业务、综合前置、银行卡、网上银行、电话银行、手机银行、大额实时支付前置、小额批量支付前置、第三方存管、国际结算系统。
●ATR计算公式:●ATR相关释义:1.计划停止服务时间[Planned downtime, PD]:系统在监测周期内因变更、演练、维护等计划性事件及日间、夜间模式切换等日常操作造成的停止服务时间。
注:若一次计划性停止服务时间超出了计划,则超出部分时间计入意外停止服务时间。
2.意外停止服务时间[Unexpected downtime, UD]:系统在监测周期内因系统故障、内部操作失误、外部入侵、自然灾害等意外性事件造成的停止服务时间。
3.提供服务总时间[The lasting time of service providing, LTSP]:系统在监测统计期内理论上可提供服务时间之和。
如核心业务系统为24小时交易系统,监测统计期为30天,则该系统提供服务总时间为24×30×60分钟。
4.停止服务:系统中任一应用模块(子系统)在应提供服务时段出现服务不可用。
5.业务受影响比例[Affected business rate, ABR]:受影响业务类型数量占所有业务类型数量的比例。
由商业银行自行确定比例的计算原则,可以按照同期交易量、交易金额、用户登录数量等因素来计算业务受影响比例,也可以应用模块(子系统)数量比例来计算。
业务受影响比例计算原则由商业银行自行确定后,原则上一年内不得更改计算原则。
6.机构受影响机构比例[Affected organization rate, AOR]:受影响网点数量与全部网点数量的比值。
如全行集中式服务受到影响,AOR数值为1。
7.公式中i代表监测周期内第i次发生的计划和意外停止服务,m代表监测周期内计划停止服务发生总次数,n代表监测周期内意外停止服务发生总次数。
8.计算公式中的时间单位均为分钟。
ATR监测的相关信息系统定义:1.核心业务系统核心业务系统是指支撑商业银行发展、运作和管理金融产品和服务的重要信息系统,一般指商业银行处理客户信息、存款产品、支付服务的信息系统。