商业银行信息科技风险动态监测规程(征求意见稿)..

商业银行信息科技风险动态监测规程（征求意见稿）第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规，制定本规程。

第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。

第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。

第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。

第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。

政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。

第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。

第七条监测指标选取遵循以下四个原则：（一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力；（二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况；（三）敏感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况；（四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。

第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。

其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。

第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。

中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.07.01•【文号】银监办发[2014]187号•【施行日期】2014.07.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知银监办发[2014]187号各银监局、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：根据《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号，以下简称《指引》），为保护银行业金融机构关键基础设施和信息安全，防范银行业信息科技外包集中度风险，守住不发生系统性、全局性风险的底线，现就加强银行业金融机构信息科技非驻场集中式外包行为监管工作通知如下：一、本通知所称非驻场集中式外包是指外包服务商不在银行业金融机构提供现场服务，或外包的关键基础设施和信息系统不在银行业金融机构产权场所，由银行业金融机构以租用设施或购买服务资源的方式获得，主要由外包服务商运维，并且外包服务商同时为3家（含）以上银行业金融机构或其他机构提供服务的外包方式。

信息科技非驻场集中式外包服务商分为银行类机构和社会类机构两类，银行类机构是指依法设立的由银监会监管的银行业金融机构，其他属于社会类机构。

二、银行业金融机构应当对非驻场集中式外包服务商开展全面、深入的尽职调查，除《指引》要求的尽职调查内容以外，对社会类机构和提供外包服务未满3年的银行类机构应当重点调查如下内容：（一）外包服务商对本机构与其他机构的设施、系统和数据是否有明确、清晰的边界；（二）外包服务商是否有管理制度和技术措施保障本机构数据的完整性和保密性；（三）外包服务商对涉及本机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限；（四）外包服务商是否拥有或可能拥有业务系统的最高管理权限，外包服务商是否拥有或可能拥有业务系统的访问权限，是否能够浏览、获取客户敏感信息；（五）外包服务商是否有完善的灾难恢复设施和应急管理体系，对关键基础设施和信息系统运行是否有业务连续性安排；（六）外包服务商是否知晓并遵从了银行业相关监管法规要求。

商业银行信息科技风险管理指引引言当前，信息技术在商业银行中的应用已经成为一个不可避免的趋势。

随着信息技术的广泛应用，商业银行信息系统也逐渐成为商业银行运营的核心系统。

信息系统的故障或者安全问题都将对银行业务的正常运转产生严重影响，甚至会威胁到商业银行的稳定和客户的资产安全。

因此，商业银行必须高度重视信息科技风险管理，制定并执行科学的风险管理政策和措施，全面加强信息科技风险的防范和控制，保障银行系统的正常运转和客户资产的安全。

一、商业银行信息科技风险管理的概念和意义商业银行信息科技风险管理是指商业银行对信息系统在建设、运行、维护中存在的各种风险进行预防、识别、评估、监控、控制和处理的过程。

包括各种技术性、管理性、组织性等原因导致的风险。

商业银行信息科技风险管理的意义在于，其可以保证银行系统的安全运行，防止因为信息技术问题而导致的不可预测的经济损失或者声誉损失，并且提高了银行运营的效率和客户满意度。

二、商业银行信息科技风险管理的基本原则1.全面风险管理商业银行信息科技风险管理必须全面、系统、科学，覆盖银行信息系统存在的所有风险和所有环节，从建设、运维、数据安全、人为操作等方面全面进行防范和控制。

2.风险评估与分类商业银行应该对系统中可能存在的风险进行评估，建立风险分类模型，并对不同等级的风险实施不同的管理控制措施。

例如，对高风险的风险点要进行重点防范和控制。

3.合理的防范和控制措施商业银行应该在原则上坚持从源头上预防风险，同时合理安排多重的防护和控制措施，做到及时发现并应对风险事件。

4.风险应急预案的制定商业银行应该针对系统存在的风险，制定相应的风险应急预案，以便在风险事件发生时可以快速、有效地控制和处理风险事件。

5.科学、全面的监控手段商业银行应该通过建立全面、科学的监控系统来及时发现和预防风险。

同时，应该制定合理的监控指标和阈值，建立预警机制，及时发现风险事件的动态变化，以便对其进行及时的调整和应对。

XXXX银行信息科技风险评估操作规程1.总则1.1.为规范XXXX银行信息科技风险评估工作，提高信息科技风险管理水平，根据监管要求及《XXXX银行信息科技风险管理办法》，制定本操作规程。

1.2.本规程所指信息科技风险是信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

1.3.本规程所指信息科技风险评估是对信息科技风险的风险辨识（包括分类）、风险分析和风险评价。

1.4.本规程是对风险评估计划、风险评估准备、风险识别、风险评价、风险分析及报告等关键环节的管理。

1.5.本规程适用于全行。

2.风险评估计划2.1总行市场与操作风险管理部制定信息科技风险评估计划，每年组织开展一次全面的信息科技风险评估。

2.2出现以下情况，应结合本单位以往风险评估情况，确定是否启动信息科技风险评估：（1）新系统上线或已有系统进行重大变更；（2）内部或同业出现重大信息科技事件；（3）信息科技审计中发现重大问题；（4）监管机构发布风险提示。

2.3分行市场与操作风险管理部门根据总行风险评估工作要求，结合本行实际情况制定风险评估计划，组织开展信息科技风险评估工作。

3.风险评估准备3.1.风险评估牵头部门确定风险评估目标。

评估目标包括：（1）满足监管要求；（2）满足我行业务持续发展在信息科技方面的需要；（3）识别现有信息技术及管理上的不足等。

3.2.风险评估牵头部门确定风险评估范围。

评估范围依据评估目标确定，包括：（1）信息资产，如物理、系统、网络、应用、数据等；（2）信息科技活动，如合规管理、开发管理、运维管理、外包管理等；（3）信息科技工作流程，如事件管理、配置管理、变更管理等。

3.3.风险评估牵头部门负责组建风险评估团队，授权风险评估团队开展风险评估工作。

3.4.风险评估团队制定风险评估计划书，明确风险评估实施的计划安排，包括评估工作内容、时间进度和各阶段成果清单等内容。

3.5.风险评估团队制定风险评估方案，明确风险评估依据、风险识别方法、信息收集方式、风险分析方法等。

银行业金融机构信息科技外包风险管理指引征求意见稿))(征求意见稿第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包引发的风险，保持信息科技核心能力，促进银行业信息科技健康有序发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、省级农村信用社联合社、外商独资银行、中外合资银行适用本指引。

中国银行业监督管理委员会（以下简称中国银监会）监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。

包括：系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等。

第四条本指引所称关联外包指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。

第五条信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技创新及控制能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

（五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

2024年中级银行从业资格之中级风险管理真题精选附答案单选题（共45题）1、下列有关风险管理流程的说法，正确的是（）。

A.风险计量的目的在于帮助银行了解自身面临的风险及风险的严重程度，为下一步的风险计量和防控打好基础B.风险监测是在风险识别的基础上，对风险发生的可能性、风险将导致的后果及严重程度进行充分的分析和评估，从而确定风险水平的过程C.建立功能强大、动态／交互式的风险监测和报告系统直接体现了商业银行的风险管理水平和研究／开发能力D.风险控制可以分为事前控制、事中控制和事后控制【答案】 C2、商业银行应对信息科技风险管理进行内部审计，至少应每（）进行一次全面审计。

A.1年B.2年C.3年D.5年【答案】 C3、风险事件：为增强交易对手信用风险资本监管的有效性，推动商业银行提升衍生工具风险管理能力，银监会于2016年11月28日对外公布《衍生工具交易对手违约风险资产计量规则(征求意见稿)》，要求商业银行将交易对手信用风险管理纳入全面风险管理框架。

A.计量交易对手信用风险加权资产前，需要先获得交易对手信用风险暴露数据B.交易所交易的衍生产品存在交易对手信用风险C.场外衍生品交易指的是在交易所以外的市场进行的金融衍生品交易D.交易对手信用风险是指由于交易对手在交易最终结算前违约而造成经济损失的风险【答案】 B4、公司／机构存款人对商业银行的信用和利率水平一般者高度敏感，通过(?)，来评估商业银行的风险水平，并据此调整存款额度和去向。

A.金融知识和经营B.商业银行的地理位置C.服务质量和产品种类D.监测商业银行发行的债券和票据在二级市场交易价格的变化?【答案】 D5、材料题风险事件：A.宣传富国银行“以客户为核心”的价值理念B.将部分涉事员工调岗C.增强对客户和公众的透明度D.良好处理与媒体的关系【答案】 B6、下列关于VaR的说法中，错误的是()。

A.均值VaR是以均值为基准测度风险的B.零值VaR是以初始价值为基准测度风险的，度量的是资产价值的相对损失C.VaR的计算涉及置信水平与持有期D.计算VaR值的基本方法是方差-协方差法、历史模型法、蒙特卡洛模拟法【答案】 B7、下列关于三种计算风险价值方法的优缺点分析中，错误的是（）。

商业银行信息科技风险监管讲座尊敬的各位领导、同事们：大家好！我今天非常荣幸能够在这里给大家做一个关于商业银行信息科技风险监管的讲座。

信息科技在现代化的金融业中发挥着越来越重要的作用，但与此同时，信息科技也带来了各种各样的风险。

为了保障金融体系的稳定与安全，监管部门需要高度关注和规范商业银行在信息科技方面的运营与风险控制。

下面，我将从几个方面为大家介绍商业银行信息科技风险监管的重要性和要点。

首先，现代商业银行依赖信息科技系统进行日常运营和业务处理，这使得银行的风险暴露面越来越大。

信息系统的安全漏洞、黑客攻击、数据泄露等风险都有可能导致银行的资金损失和声誉受损。

因此，监管部门需要确保商业银行建立和维护一套完善的信息科技风险管理框架，包括制定风险策略、建立风险感知机制、加强内部控制等，以保障银行的业务安全和可持续发展。

其次，商业银行的信息科技风险监管还涉及到数据隐私保护和合规性要求。

商业银行作为金融机构，处理大量的客户敏感信息和交易数据，这些信息的泄露和滥用将对银行的声誉和客户信任造成极大的影响。

监管部门需要确保银行建立和落实数据隐私保护和合规性要求的制度和措施，包括加密技术应用、访问控制、数据备份等，以确保客户的隐私和数据安全。

第三，商业银行的信息科技风险监管需要与时俱进。

随着技术的不断发展和金融业务的创新，新的信息科技风险也在不断涌现。

监管部门需要紧跟科技的发展，及时了解新的风险，并制定相应的监管政策和指导意见。

同时，商业银行也需要加强内部的风险管理能力，培养专业的信息科技人才，引入先进的技术和工具，建立和维护一个安全稳定的信息科技系统。

最后，商业银行的信息科技风险监管需要强化合作与沟通。

信息科技风险监管涉及多个部门和多个层级的合作与配合，监管部门需要与商业银行建立起良好的沟通与合作机制，共同制定风险管理的政策与措施，及时共享信息和风险情报，加强对商业银行的监督与指导。

总之，商业银行信息科技风险监管是维护金融系统稳定和保护客户利益的重要工作。