商业银行信息科技监管评级定量和定性标准-精选版
商业银行信息科技监管评级定量和定性标准
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1、信息科技治理组织架构(8分)(1)就是否确立董事会、高管层信息科技管理职责。
(2)就是否建立完善的信息科技管理制度体系。
(3)就是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)就是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责就是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察就是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度就是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察就是否明确信息科技管理、信息科技风险管理与信息科技风险监督的“三道防线”职责,“三道防线”部门设置就是否合规;就是否设立信息科技管理委员会,成员来自高管层、信息科技部门与主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行就是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;就是否制定了信息科技治理运作效果考核指标并定期进行评价。
2、信息科技对业务发展的专业支持与匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员就是否具备足够的信息科技专业知识能力。
评分原则:(1)考察就是否建立明确、可实施的信息科技发展战略;就是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平就是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层就是否具有一定的占比;就是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官就是否具有一定的信息科技专业背景或从业经验。
商业银行信息科技监管评级定量和定性标准
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责.(2)是否建立完善的信息科技管理制度体系。
(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线"部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作.(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价.2.信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度.(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力.评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度.(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
商业银行监管评级定量和定性评价标准(32附件2)
分数
50 8 8 8 10 8 8 60
40 不良贷款率 逾期90天以上贷款 与不良贷款比例 A:资产质量 15% 单一客户贷款集中 度/单一集团客户 授信集中度 全部关联度 拨备覆盖率 20%
不良贷款和其他不良资产的变动趋势 信用风险资产集中度
10
15%
5
25% 15% 25%
信用风险管理的政策、程序及其有效性 贷款风险分类制度的完善和有效 保证贷款和抵(质)押贷款及其管理状况 贷款以外其他表内外资产的风险管理状况 决策机制
监督机制 执行机制
15 10 5 15 10 4 6 8 6 6 10 10 10 20 5 5 50 12 12 12 7 7 60
发展战略、价值准则和社会责任 激励约束机制
M:管理质量 20% -
信息披露 内部控制环境 风险识别与评估 内部控制措施 数据质量管理 信息交流与反馈 监督评价与纠正
50
12 12 20 8 8 70 20 40 10 15 12 10 14 12 15 12 10
流动性比例 流动性覆盖率
30
利率风险敏感度 S:市场风险 10% 累计外汇敞口头寸 比例 50% 50%
市场风险管理框架 市场风险的识别、计量、监测和控制 市场风险管理其他要素
信息科技治理 信息科技风险管理 信息科技审计 信息安全管理 信息系统开发与测试 信息科技运行与维护 业务连续性管理 信息科技外包管理 重大关注事项
资产利润率 资本利润率 E:盈利状况 10% 成本收入比率 风险资产利润率 净息差 非利息收入比例
20% 20% 20% 15% 15% 10% 40 30% 35% 35%
盈利的真实性 盈利的稳定性 盈利的风险覆盖性 盈利的可持续性 财务管理的有效性
商业银行监管评级定量和定性评价标准之欧阳理创编
附件1商业银行监管评级定量和定性评价标准一、资本充足(Capital Adequacy)(一)定量指标(50分)1.资本充足率(40%)高于最低监管要求的1.2倍:100分;最低监管要求的1倍至1.2倍:60分至100分;最低监管要求的0.6倍至1倍:0分至60分;低于最低监管要求的0.6倍:0分。
2.一级资本充足率(20%)高于最低监管要求的1.2倍:100分;最低监管要求的1倍至1.2倍:60至100分;最低监管要求的0.6倍至1倍:0分至60分;低于最低监管要求的0.6倍:0分。
3.核心一级资本充足率(10%)高于最低监管要求的1.2倍:100分;最低监管要求的1倍至1.2倍:60分至100分;最低监管要求的0.6倍至1倍:0分至60分;低于最低监管要求的0.6倍:0分。
4.杠杆率(30%)高于最低监管要求的1.4倍:100分;最低监管要求的1倍至1.4倍:60至100分;最低监管要求的0.6倍至1倍:0分至60分;低于最低监管要求的0.6倍:0分。
注:(1)资本充足状况各定量指标采用每年的季度算术平均值作为评级依据。
季度指标逐步恶化的银行,应综合分析风险趋势,在原评分基础上酌情扣分。
(2)资本充足率监管要求,包括最低资本要求、储备资本和逆周期资本要求、系统重要性银行附加资本要求以及第二支柱资本要求。
(3)资本充足状况各定量指标,在《商业银行资本管理办法(试行)》有关监管标准的实施过渡期,由银监会确定每年的最低监管要求;过渡期结束后,根据银监会相关制度办法确定最低监管要求。
此外,银监会可以根据监管需要,适时调整针对某类银行的最低监管要求。
(4)各指标上下限指标均包含本数,下同。
(5)区间数值按照线性法折算实际得分,下同。
(6)资本充足率低于最低监管要求的银行,其综合评级结果原则上不应高于3级。
(二)定性因素(50分)1.银行资本质量和构成(8分)主要考察资本的质量,资本构成的稳定性、市场价值及其流动性。
实用文库汇编之商业银行监管评级定量和定性评价标准
*作者:座殿角*作品编号48877446331144215458创作日期:2020年12月20日实用文库汇编之附件1商业银行监管评级定量和定性评价标准一、资本充足(Capital Adequacy) (5)(一)定量指标(50分) (5)1.资本充足率(40%) (5)2.一级资本充足率(20%) (5)3.核心一级资本充足率(10%) (5)4.杠杆率(30%) (6)(二)定性因素(50分) (7)1.银行资本质量和构成(8分) (7)2.银行整体财务状况及对资本的影响(8分) (8)3.银行资产质量及拨备计提情况(8分) (8)4.银行资本补充能力(10分) (9)5.银行资本管理情况(8分) (10)6.银行监管资本的风险覆盖和风险评估情况(8分) (12)二、资产质量(Asset Quality) (14)(一)定量指标(40分) (14)1.不良贷款率(20%) (14)2.逾期90天以上贷款与不良贷款比例(15%) (14)3.单一客户贷款集中度/单一集团客户授信集中度(25%) (15)4.全部关联度(15%) (15)5.拨备覆盖率(25%) (16)(二)定性因素(60分) (16)1.不良贷款和其他不良资产的变动趋势(10分) (16)2.信用风险资产集中度(5分) (17)3.信用风险管理的政策、程序及其有效性(15分) (18)4.贷款风险分类制度的完善和有效(10分) (19)5.保证贷款和抵(质)押贷款及其管理状况(5分) (21)6.贷款以外其他表内外资产的风险管理状况(15分) (22)三、管理质量(Management Quality) (23)(一)银行公司治理(40分) (23)1.决策机制(10分) (23)2.监督机制(4分) (25)3.执行机制(6分) (25)4.发展战略、价值准则和社会责任(8分) (26)5.激励约束机制(6分) (27)6.信息披露(6分) (29)(二)内部控制(60分) (30)1.内部控制环境(10分) (30)2.风险识别与评估(10分) (32)3.内部控制措施(10分) (34)4.数据质量管理(20分) (35)5.信息交流与反馈(5分) (37)6.监督评价与纠正(5分) (39)四、盈利状况(Earnings) (41)(一)定量指标(50分) (41)1.资产利润率(20%) (41)2.资本利润率(20%) (41)3.成本收入比率(20%) (41)4.风险资产利润率(15%) (42)5.净息差(15%) (42)6.非利息收入比例(10%) (42)(二)定性因素(50分) (43)1.盈利的真实性(12分) (43)2.盈利的稳定性(12分) (43)3.盈利的风险覆盖性(12分) (44)4.盈利的可持续性(7分) (45)5.财务管理的有效性(7分) (45)五、流动性风险(Liquidity Risk) (47)(一)定量指标(40分) (47)1.存贷比(30%) (47)2.流动性比例(35%) (47)3.流动性覆盖率(35%) (47)(二)定性因素(60分) (48)1.流动性管理治理结构(12分) (48)2.流动性风险管理策略、政策和程序(12分) (49)3.流动性风险识别、计量、监测和控制(20分) (50)4.流动性风险管理信息系统(8分) (53)5.流动性风险管理的其他要素(8分) (54)六、市场风险(Sensitivity To Market Risk) (55)(一)定量指标(30分) (55)1.利率风险敏感度(50%) (55)2.累计外汇敞口头寸比例(50%) (55)(二)定性指标(70分) (56)1.市场风险管理框架(20分) (56)2.市场风险的识别、计量、监测和控制(40分) (57)3.市场风险管理其他要素(10分) (59)七.信息科技风险(Information Technology Risk) (61)(一)信息科技治理(15分) (61)1.信息科技治理组织架构(8分) (61)2.信息科技对业务发展的专业支持和匹配度(7分) (62)(二)信息科技风险管理(12分) (63)1.信息科技风险管理体系(6分) (63)2.信息科技风险管理日常运作(6分) (64)(三)信息科技审计(10分) (65)1.信息科技风险监督体系(4分) (65)2.信息科技内外部审计(6分) (65)(四)信息安全管理(14分) (67)1.信息安全管理体系(8分) (67)2.信息安全管理执行力(6分) (68)(五)信息系统开发及测试(12分) (69)1.信息科技项目管理体系(6分) (69)2.项目管理过程中的风险控制(6分) (70)(六)信息科技运行及维护(15分) (71)作者:座殿角作品编号48877446331144215458创作日期:2020年12月20日1.信息科技运行及维护管理体系(8分) (71)2.信息科技运行维护运作(7分) (72)(七)业务连续性管理(12分) (73)1.业务连续性管理体系(7分) (73)2.业务连续性管理日常运作效果(5分) (74)(八)信息科技外包管理(10分) (74)1.外包管理组织架构和外包战略(2分) (74)2.信息科技外包管理(4分) (75)3.跨境及非驻场外包管理(2分) (76)4.重点外包服务机构管理(2分) (77)(九)信息科技监管重大关注事项 (77)1.信息科技治理结构重大变化 (77)2.重要信息系统突发事件 (78)3.涉及信息科技的案件 (78)4.存在严重违反相关信息科技监管法规制度的行为 (78)5.现场检查发现的重大风险隐患 (78)一、资本充足(Capital Adequacy)(一)定量指标(50分)1.资本充足率(40%)高于最低监管要求的1.2倍:100分;最低监管要求的1倍至1.2倍:60分至100分;最低监管要求的0.6倍至1倍:0分至60分;低于最低监管要求的0.6倍:0分。
商业银行信息科技监管评级定量和定性标准之欧阳语创编
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责。
(2)是否建立完善的信息科技管理制度体系。
(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。
2.信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。
评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
商业银行监管评级定量和定性评价标准之欧阳育创编
附件1商业银行监管评级定量和定性评价标准一、资本充足(Capital Adequacy)6(一)定量指标(50分)61.资本充足率(40%)62.一级资本充足率(20%)63.核心一级资本充足率(10%)64.杠杆率(30%)7(二)定性因素(50分)81.银行资本质量和构成(8分)82.银行整体财务状况及对资本的影响(8分)83.银行资产质量及拨备计提情况(8分)94.银行资本补充能力(10分)95.银行资本管理情况(8分)106.银行监管资本的风险覆盖和风险评估情况(8分)11二、资产质量(Asset Quality)12(一)定量指标(40分)121.不良贷款率(20%)122.逾期90天以上贷款与不良贷款比例(15%)123.单一客户贷款集中度/单一集团客户授信集中度(25%)134.全部关联度(15%)135.拨备覆盖率(25%)14(二)定性因素(60分)141.不良贷款和其他不良资产的变动趋势(10分)142.信用风险资产集中度(5分)153.信用风险管理的政策、程序及其有效性(15分)154.贷款风险分类制度的完善和有效(10分)165.保证贷款和抵(质)押贷款及其管理状况(5分)176.贷款以外其他表内外资产的风险管理状况(15分)18三、管理质量(Management Quality)19(一)银行公司治理(40分)191.决策机制(10分)192.监督机制(4分)203.执行机制(6分)204.发展战略、价值准则和社会责任(8分)215.激励约束机制(6分)226.信息披露(6分)24(二)内部控制(60分)241.内部控制环境(10分)242.风险识别与评估(10分)263.内部控制措施(10分)274.数据质量管理(20分)285.信息交流与反馈(5分)306.监督评价与纠正(5分)31四、盈利状况(Earnings)32(一)定量指标(50分)321.资产利润率(20%)322.资本利润率(20%)323.成本收入比率(20%)324.风险资产利润率(15%)335.净息差(15%)336.非利息收入比例(10%)33(二)定性因素(50分)331.盈利的真实性(12分)332.盈利的稳定性(12分)343.盈利的风险覆盖性(12分)354.盈利的可持续性(7分)355.财务管理的有效性(7分)35五、流动性风险(Liquidity Risk)36(一)定量指标(40分)361.存贷比(30%)362.流动性比例(35%)363.流动性覆盖率(35%)37(二)定性因素(60分)371.流动性管理治理结构(12分)372.流动性风险管理策略、政策和程序(12分)383.流动性风险识别、计量、监测和控制(20分)394.流动性风险管理信息系统(8分)415.流动性风险管理的其他要素(8分)41六、市场风险(Sensitivity To Market Risk)42(一)定量指标(30分)421.利率风险敏感度(50%)422.累计外汇敞口头寸比例(50%)42(二)定性指标(70分)431.市场风险管理框架(20分)432.市场风险的识别、计量、监测和控制(40分)443.市场风险管理其他要素(10分)45七.信息科技风险(Information Technology Risk)46(一)信息科技治理(15分)461.信息科技治理组织架构(8分)462.信息科技对业务发展的专业支持和匹配度(7分)47(二)信息科技风险管理(12分)481.信息科技风险管理体系(6分)482.信息科技风险管理日常运作(6分)48(三)信息科技审计(10分)491.信息科技风险监督体系(4分)492.信息科技内外部审计(6分)50(四)信息安全管理(14分)511.信息安全管理体系(8分)512.信息安全管理执行力(6分)52(五)信息系统开发及测试(12分)521.信息科技项目管理体系(6分)522.项目管理过程中的风险控制(6分)53(六)信息科技运行及维护(15分)541.信息科技运行及维护管理体系(8分)542.信息科技运行维护运作(7分)54(七)业务连续性管理(12分)551.业务连续性管理体系(7分)552.业务连续性管理日常运作效果(5分)56(八)信息科技外包管理(10分)571.外包管理组织架构和外包战略(2分)572.信息科技外包管理(4分)573.跨境及非驻场外包管理(2分)584.重点外包服务机构管理(2分)58(九)信息科技监管重大关注事项591.信息科技治理结构重大变化592.重要信息系统突发事件593.涉及信息科技的案件594.存在严重违反相关信息科技监管法规制度的行为595.现场检查发现的重大风险隐患60一、资本充足(Capital Adequacy)(一)定量指标(50分)1.资本充足率(40%)高于最低监管要求的1.2倍:100分;最低监管要求的1倍至1.2倍:60分至100分;最低监管要求的0.6倍至1倍:0分至60分;低于最低监管要求的0.6倍:0分。
商业银行信息科技监管评级定量及定性标准
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责。
(2)是否建立完善的信息科技管理制度体系。
(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。
2.信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。
评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息科技风险(Information Technology Risk(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责。
(2)是否建立完善的信息科技管理制度体系。
(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。
2.信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。
评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
(二)信息科技风险管理(12分)1.信息科技风险管理体系(6分)(1)是否将信息科技风险纳入全面风险管理体系,建立完善的信息科技风险管理组织架构。
(2)是否建立信息科技风险管理策略和管理制度。
评分原则:(1)考察是否将信息科技风险纳入全面风险管理,明确风险管理部门统一负责信息科技风险管理。
信息科技风险管理职责仍在信息科技部门的此项得分不超过3分。
(2)考察风险管理部门中是否配备一定数量专职信息科技风险管理人员,信息科技风险管理人员是否具备相关专业背景和技能。
(3)考察是否建立信息科技风险管理策略和管理制度,管理制度是否完善,覆盖是否全面。
2.信息科技风险管理日常运作(6分)(1)信息科技风险评估流程和方法是否完善。
(2)是否建立常态化的风险识别和监测机制。
(3)信息科技风险评估结果是否得到合理运用。
评分原则:(1)考察是否建立信息科技风险识别、风险分析、风险处置等工作机制;信息科技风险评级和风险分析工作中是否开展业务影响分析工作,是否进行风险级别划分,并有风险级别划分标准。
(2)是否建立信息科技风险监测关键风险点指标,风险监测指标是否定期评审、改进,风险监测结果是否向有关部门及高管层报告等。
(3)是否建立信息科技风险损失评估及处置机制。
(三)信息科技审计(10分)1.信息科技风险监督体系(4分)是否建立信息科技审计体系,以及信息科技审计体系的合理性。
评分原则:(1)商业银行是否将信息科技审计工作纳入内部审计部门工作范畴;商业银行内部审计制度是否纳入信息科技审计相关内容,包括审计依据、标准和方法等内容;是否定期开展信息科技审计活动;发生信息科技重大突发事件时,内审部门是否介入调查;是否对信息科技重大项目实施财务审计。
(2)考察信息科技内审工作独立性和汇报路线的合理性。
2.信息科技内外部审计(6分)(1)信息科技审计覆盖率。
(定量)(2)信息科技审计整改率。
(定量)(3)信息科技专项审计占比。
(定量)评分原则:(1)考察近三年信息科技审计覆盖率,包括信息科技内外审一级分支机构覆盖率及重要信息系统覆盖率。
【一级分支机构覆盖率】=【已开展全面信息科技审计的一级分支机构数】/【一级分支机构总数】*100%【重要信息系统覆盖率】=【已开展信息科技审计的数据中心、重要信息系统、重大项目数】/【数据中心、重要信息系统、重大项目总数】*100%(2)考察近两年信息科技内(外)审整改率。
【信息科技内(外)审整改率】=【信息科技内(外)审报告中发现问题已完成整改的问题数量】/【信息科技内(外)审报告中发现问题的总和】*100%(3)考察近两年内(外)审工作中信息科技专项审计占比。
【信息科技专项审计占比】=【信息科技专项审计次数】/ 【全部审计次数】*100%(四)信息安全管理(14分)1.信息安全管理体系(8分)(1)是否建立信息安全管理体系。
(2)信息安全管理体系的完整性。
(3)电子银行信息安全管理体系的完整性。
评分原则:(1)考察是否建立合理的信息安全管理组织架构及制度体系。
(2)考察信息安全管理体系是否完整,安全保障措施是否完善。
物理安全:中心机房及重点区域是否有环境监测、巡检、报警等安全防控措施,环境监测覆盖范围是否完备等。
网络安全:是否制定完善的网络安全访问控制策略,是否定期进行网络安全漏洞扫描,是否有完备的网络边界策略等。
数据安全:是否有重要或敏感数据的定义标准和访问控制策略,是否制定数据备份和恢复策略,是否有生产数据提取、使用、销毁等环节的安全防护措施。
终端安全:是否有终端安全防控措施,桌面终端是否安装病毒防护及防火墙软件,病毒库是否定期更新,桌面终端移动介质使用管理,设备管理,行为审计等。
访问控制:是否建立物理和逻辑访问控制策略;中心机房等重要区域门禁系统认证方式及进出访问安全控制策略是否合理;重要信息系统逻辑访问控制策略是否完善,包括权限管理、密码策略等。
(3)电子银行信息安全管理体系的完整性:电子银行系统是否定期开展渗透性测试;是否有客户端安全防控措施;是否有强制双因素身份认证;是否有客户敏感信息防护措施等。
2.信息安全管理执行力(6分)信息安全管理规定执行情况;当年发生的信息安全事件情况。
评分原则:(1)信息安全管理组织架构是否存在重大缺陷,信息安全管理制度是否定期评价并修订完善;信息安全管理各项措施是否严格落实,执行过程中是否存在重大缺陷。
(2)当年发生的信息安全事情情况,事件发生次数可与同质同类机构平均值比较,并根据事件的负面影响程度进行酌情扣分。
(五)信息系统开发及测试(12分)1.信息科技项目管理体系(6分)是否有完善的信息科技项目管理组织和信息系统开发测试管理制度;是否有规范化的信息科技项目生命周期管理流程。
评分原则:(1)考察是否建立了规范的项目管理组织、制度和流程,明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评价等职责;项目管理组织架构严重缺失的此项最高2分。
(2)考察信息科技项目生命周期管理流程是否包括需求分析、设计、开发或外购、测试、试运行、部署、维护和退出等环节,系统开发方法是否与信息科技项目的规模、性质和复杂度相匹配。
2.项目管理过程中的风险控制(6分)(1)信息科技项目生命周期各重要环节是否开展风险管控。
(2)信息科技项目重点环节的风险管控情况。
评分原则:(1)考察信息科技风险管控是否涵盖信息科技项目生命周期各重要环节,如需求分析阶段是否有业务部门提出明确的风险控制要求,是否有应急恢复目标、灾难恢复目标、数据管理目标等要求,信息科技审计人员或信息安全人员是否参加项目阶段评审,风险管理组织是否开展阶段风险评估等。
(2)是否建立必要的安全隔离措施,包括生产系统与开发系统、测试系统的有效隔离,生产系统与开发系统、测试系统的管理职能相分离,应用程序开发和维护人员未经允许不可进入生产系统等。
(3)考察业务部门在信息系统开发及测试各阶段的参与度。
业务部门是否参与需求分析、测试、项目各阶段质量评审、用户验收测试、项目后评价等;已完成开发和测试环境的程序或系统配置变更应用到生产系统前是否经业务部门批准。
(4)考察重要信息系统源代码控制率(定量)。
【重要信息系统源代码控制率】=【机构拥有全部源代码且具备后续自主维护开发能力、外部机构人员未经授权不能访问系统源代码进行功能定制扩展的重要信息系统数】/【重要信息系统总数】*100% (六)信息科技运行及维护(15分)1.信息科技运行及维护管理体系(8分)是否建立信息科技运行维护管理体系。
评分原则:(1)考察是否有规范的信息科技运行及维护管理流程,并制定详尽的信息科技运行操作说明。
(2)信息科技运行及维护管理流程是否涵盖事件管理、问题管理、容量管理、变更管理、服务水平管理、可用性管理等。
(3)信息科技运行及维护管理体系是否定期评价并修订完善。
2.信息科技运行维护运作(7分)信息科技运行及维护管理各流程运作是否规范。
评分原则:(1)是否采用信息化管理平台等措施提高运行与维护管理效率,完善运行与维护管理流程。
(2)信息科技内部是否有岗位制约机制,如信息科技运行与系统开发和维护的分离等。
(3)是否有容量规划,重要信息系统性能和容量设置是否恰当,性能和容量变更机制是否合理。
(4)考察重要信息系统服务可用率(定量)。
【重要信息系统服务可用率】=【计划提供服务总时间-计划停止服务时间-非计划停止服务时间】/【计划提供服务总时间】*100% (5)考察核心业务系统交易成功率(定量)。
【核心业务系统交易成功率】=【核心业务系统生产交易成功笔数】/【核心业务系统生产交易总笔数】*100%(6)考察重要信息系统监控覆盖率(定量)。
【重要信息系统监控覆盖率】=【实施应用级监控的重要信息系统数】/【重要信息系统总数】*100%(七)业务连续性管理(12分)1.业务连续性管理体系(7分)(1)业务连续性管理组织架构是否健全;(2)是否开展业务影响分析,并制定业务连续性计划;业务连续性演练及改进情况;应急处置工作情况。
评分原则:(1)是否建立日常业务连续性管理组织,是否制定业务连续性管理政策和制度,业务连续性管理组织职责是否清晰完善。
(2)业务连续性管理相关参与部门设置是否合理;业务连续性管理主管部门为信息科技部门,且业务连续性管理组织不包含主要业务部门的此项得分不超过2分。
(3)是否完成所有重要业务影响分析,明确业务恢复优先级和恢复目标;是否制定所有重要业务的业务连续性计划,相关资源建设是否到位;是否定期开展业务连续性演练,并评估改进,是否对业务连续性管理工作进行审计;是否有健全的信息科技突发事件应急处置机制。