XXXX银行信息科技业务连续性评估报告

XXX银行2017年业务连续性计划实施报告尊敬的行领导:根据XXX银行重要业务连续性计划，我行在2017年度按照计划先后成功开展了三次模拟真实业务，贴近实战的应急演练。

演练检验了灾难备份系统的可用性，验证了灾难切换的及时性和有效性，提升我行对突发事件的协同处置能力，检验了业务连续性计划的可用性，也促使我们不断更新完善业务连续性计划，现将业务连续性实施情况汇报如下：一、基本情况（一）业务连续性计划为降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断的重要业务，提高业务连续性管理能力，确保各项重要业务的连续性、高效性，我行于XXXX年制定了业务连续性计划。

该计划中明确了业务连续性组织架构及职责，明确了我行重要业务系统，确定了业务恢复优先次序，制定了重要业务恢复目标，包含了各类突发事件的应急预案，制定了业务连续性计划演练的内容、流程及频率。

（二）灾难备份系统建设情况我行于XXXX年XX月将核心业务系统托管于XXXXXX，同年XX 月在XXXXXX建设了同城灾备中心，对核心业务系统、柜面业务系统、IC卡系统实现了、二代支付系统实现了应用级灾难备份，达到第五级灾备水平，RP0实现数据零丢失，RTO达到小于4小时。

在XXX建立了数据级灾备对核心业务进行数据级备份，RPO小于等于24小时。

二、业务连续性计划实施情况业务连续性计划测试与演练包含应急执行小组应急处理的有效性，故障解决的准确性，进行生产系统灾难恢复后的正确性与运行效率检验，使用用灾备系统接管系统服务后的正确性与运行效率，外部资源的协调情况等。

由应急执行小组制定了演练方案，联合外包商由各成员按照演练计划、演练时间安排进行测试演练。

（一）二代支付系统应急切换演练为保障XXX银行信息系统安全、可靠、稳定运行，提高应对各类信息系统突发事件的能力， X月XX日组织开展了二代支付系统应急演练。

本次演练包括应用系统、网络系统等各类故障的应急处置。

（新版）信贷从业资格考试新业务题库（完整版）一、单选题1.根据《商业银行互联网贷款管理暂行办法》规定,商业银行()应对与合作机构的数据交互进行信息科技风险评估,并形成风险评估报告,确保不因合作而降低商业银行信息系统的安全性,确保业务连续性A、每半年B、每年C、每两年D、每三年答案：B2.以应收账款出质的,当事人应当订立书面合同,质权自()时设立。

A、信贷征信机构办理出质登记B、质押合同签订C、贷款合同签订D、发放贷款答案：A3.办理商业汇票的再贴现和转贴现时,应将汇票作成()。

A、委托收款背书B、转让背书C、质押背书D、再贴现背书答案：B4.村级集体经济组织的森林资源资产抵押,必须附有村民代表大会同意抵押的书面决议,并经本集体经济组织()以上成员或村民代表签名。

A、五分之四B、三分之二C、二分之一D、四分之三答案：B5.2019年8月LPR改革完善后,1年至5年期的贷款定价,怎么操作?A、银行自主选择参考的期限品种定价B、企业自主选择参考的品种定价C、按基准利率定价D、以上都不对答案：A6.应收账款质押登记由()办理。

A、质权人B、出质人C、征信中心D、商业银行答案：A7.依据《民法典》规定,当事人自知道或者应当知道撤销事由之日起()内、重大误解的当事人自知道或者应当知道撤销事由之日起()内没有行使撤销权,撤销权消灭。

A、六个月九十日B、一年九十日C、六个月六十日D、一年六十日答案：B8.银行业监督管理机构进行现场检查时,检查人员不得少于()人,并应当出示合法证件和检查通知书;否则银行业金融机构有权拒绝检查。

A、1B、2C、3D、4答案：B9.《反洗钱法》规定,履行反洗钱义务的机构及其工作人员依法提交(),受法律保护。

A、大额交易和可疑交易报告B、现金交易报告C、财务报表D、业务报告答案：A10.保证人与债权人可以在合同中约定保证期间,双方当事人未约定的,保证期间为主债务履行期届满之日起()。

A、3个月报B、6个月C、1年D、2年答案：B11.委托贷款业务的贷款人(受托人)()。

XX县信用联社关于对信息科技风险自评估工作的汇报X联社XX办事处:按照办事处《转发银监会办公厅关于落实银行业金融机构信息科技风险评价审计整改和开展信息科技风险自评估工作的通知》要求,我县联社迅速组成自评估调查小组,按照全面、系统的要求,认真进行自评估分析,现将情况汇报如下:﹙一﹚、提高认识，建立健全了信息系统安全风险防范体系。

随着电子化建设不断走向深入，信用社主要业务逐步依赖于计算机综合业务系统，随之而来的系统和网络安全已成为安全管理的关键环节和薄弱环节，尤其自二00六年五月底我县农村信用社顺利并入全X农信社通存通兑网络后，网络安全运行工作事关全县农村信用社改革，经营、管理大局。

我县联社从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义，正确处理了发展与安全的关系，一手抓电子化建设，一手抓风险防范。

截止目前，已经初步按照上级主管部门统一标准建立起较完善的网络和信息安全风险防范体系。

我们主要做到了以下几方面工作:一、加强制度建设，规范操作行为,我们从健全制度入手,先后修改完善了《XX县农村信用社综合业务网络系统柜员管理办法》、《XX县农村信用社综合业务网络系统业务授权管理办法》、《XX县农村信用社综合业务网络系统网点运行管理制度》、《XX县农村信用社综合业务网络系统设备管理制度》、《XX县农村信用社综合业务网络系统突发事件应急处置预案》、《XX县信用联社防范病毒管理制度》、《XX县信用联社机房管理制度》，修改制定了《XX县农村信用社综合业务网络系统安全运行管理处罚办法》等制度、规定，切实将我县农村信用社的网络安全管理责任落到实处。

二、加强硬件及网络环境建设，避免系统风险。

1、实现了内网与外网的严格的物理分离，内网主线路为光纤专线，备份线路为音频专线，有关内网用机保证了专机专用。

2、为每个网点制做了规范的地线，并为网络设备配备了专用机柜。

与综合业务网络系统有关的机房、办公室、营业网点都配备有消防器材。

XXX银行信息科技审计操作细则目录第一章总则 (1)第二章信息科技审计职责与权限 (1)第三章信息科技审计方法及内容 (2)第四章信息科技审计操作流程 (5)第五章附则 (6)第一章总则第一条为进一步明确XXX银行（以下简称本行）总行审计部对本行信息科技审计（以下简称IT审计）的职责，充分识别信息科技风险，完善控制措施，实现IT系统的可用性、安全性、完整性、有效性，监督审计全行的信息科技管控对各级监管政策法规的合规性,规范IT审计操作程序，持续提升工作效率，保障IT审计工作的指导性和规范性，依据《XXX银行内部审计章程》，特制定本细则。

第二条本细则为总行审计部对信息科技进行审计提供指导。

第二章信息科技审计职责与权限第三条总行审计部应设立专门的信息科技审计岗位，配备专业的信息科技审计人员，负责信息科技审计制度和流程的实施，执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。

第四条信息科技审计的职责包括：（一）实施和调整审计计划，检查本行信息科技系统和内控机制的充分性和有效性。

（二）按照本行规章制度完成IT审计工作，在此基础上提出整改意见。

（三）检查整改意见是否得到落实。

（四）实施信息科技专项审计。

信息科技专项审计，是指对信息科技安全事故进行的调查、分析，或审计部门根据风险结果对认为必要的特殊事项进行的审计。

第五条根据业务性质、规模和复杂程度，信息科技应用情况以及信息科技风险状况，决定信息科技内部审计范围和频率，至少应每三年进行一次IT全面审计。

第六条在进行大规模系统开发时，总行审计部应派人参与，保证系统开发符合本银行信息科技风险管理标准。

第七条审计人员具有适当的权限调阅或查看行内系统或审计相关资料。

第三章信息科技审计方法及内容第八条信息科技审计项目实施过程中需要搜集大量的信息，掌握多方面的证据。

搜集和取证需要运用多种方法和工具。

采用的方法有：（一）访谈：访谈信息科技和有关业务部门相关人员，了解项目现状。

XXXX银行信息科技风险评估操作规程1.总则1.1.为规范XXXX银行信息科技风险评估工作，提高信息科技风险管理水平，根据监管要求及《XXXX银行信息科技风险管理办法》，制定本操作规程。

1.2.本规程所指信息科技风险是信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

1.3.本规程所指信息科技风险评估是对信息科技风险的风险辨识（包括分类）、风险分析和风险评价。

1.4.本规程是对风险评估计划、风险评估准备、风险识别、风险评价、风险分析及报告等关键环节的管理。

1.5.本规程适用于全行。

2.风险评估计划2.1总行市场与操作风险管理部制定信息科技风险评估计划，每年组织开展一次全面的信息科技风险评估。

2.2出现以下情况，应结合本单位以往风险评估情况，确定是否启动信息科技风险评估：（1）新系统上线或已有系统进行重大变更；（2）内部或同业出现重大信息科技事件；（3）信息科技审计中发现重大问题；（4）监管机构发布风险提示。

2.3分行市场与操作风险管理部门根据总行风险评估工作要求，结合本行实际情况制定风险评估计划，组织开展信息科技风险评估工作。

3.风险评估准备3.1.风险评估牵头部门确定风险评估目标。

评估目标包括：（1）满足监管要求；（2）满足我行业务持续发展在信息科技方面的需要；（3）识别现有信息技术及管理上的不足等。

3.2.风险评估牵头部门确定风险评估范围。

评估范围依据评估目标确定，包括：（1）信息资产，如物理、系统、网络、应用、数据等；（2）信息科技活动，如合规管理、开发管理、运维管理、外包管理等；（3）信息科技工作流程，如事件管理、配置管理、变更管理等。

3.3.风险评估牵头部门负责组建风险评估团队，授权风险评估团队开展风险评估工作。

3.4.风险评估团队制定风险评估计划书，明确风险评估实施的计划安排，包括评估工作内容、时间进度和各阶段成果清单等内容。

3.5.风险评估团队制定风险评估方案，明确风险评估依据、风险识别方法、信息收集方式、风险分析方法等。

XXXX银行信息科技风险管理办法总则为XXXX银行有效防范银行运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我行各项业务安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》，以及国家信息安全相关要求和有关法律法规，制定本管理办法。

本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在我行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

本管理办法所称信息科技风险，是指信息科技在我行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

信息科技风险管理的目标是通过建立有效的机制，实现对我行信息科技风险的识别、计量、监测和控制，促进我行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平,增强核心竞争力和可持续发展能力。

机构职责根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人，负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责：遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致.评估信息科技及其风险管理工作的总体效果和效率.掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制.规范职业道德行为和廉洁标准,增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识.设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。