商业银行信息科技风险动态监测规程(征求意见稿)
XX银行信息科技风险自评估操作规程
XX银行信息科技风险自评估操作规程第一章总则第一条为加强信息科技风险管理,规范信息科技风险自评估行为,参照《商业银行信息科技风险监管指引》等有关法律法规,制定本规程。
第二条本规程所称自评估系指本行针对评估内容,通过自我检视的方式对工作落实情况作出客观评价,防控风险隐患,逐步实现自我完善的过程。
包括信息科技部、稽核部和风险管理部自评估。
第三条本行信息科技风险自评估应坚持客观公正、全面详实、过程连贯的原则。
各分行、总行营业部,本行附属机构参照本规程执行。
第二章职责分工第四条风险管理部是信息科技风险自评估的归口管理部门,主要职责包括:(一)负责全行信息科技风险自评估工作的统筹和管理;(二)负责按要求向高级管理层及董事会风险管理委员会报送自评估报告;(三)负责监督信息科技自评估问题的整改落实;(四)负责向监管机构报送本行风险自评估情况;(五)负责信息科技风险评估工作的档案管理;(六)负责信息科技治理和信息科技风险管理的填报与整理工作;(七)负责董事会风险管理委员会和高级管理层要求的其他自评估事项。
第五条信息科技部是信息科技风险自评估报告(表)填报工作的牵头部门,主要职责包括:(一)负责信息科技风险自评估报告(表)的汇总收集工作;(二)负责信息科技风险自评估报告(表)的初步填报结果的审核和报送工作;(三)负责信息安全、应用系统开发、测试和维护、信息科技运行、业务连续性管理的整理与填报工作;(四)负责持续改善本行信息科技管理水平,落实整改措施;(五)负责信息科技风险自评估其他工作。
第六条稽核部是信息科技风险自评估内部审计部门,主要职责包括:(一)负责外包和内外部审计的整理与填报工作;(二)负责信息科技自评估相关整改措施落实情况审计工作。
第三章评估内容第七条信息科技风险自评估的主要内容包括但不限于信息科技治理、信息科技风险管理、信息安全、应用系统开发、测试和维护、信息科技运行、业务连续性管理、外包和内外部审计等。
商业银行信息科技风险动态监测规程(征求意见稿)
商业银行信息科技风险动态监测规程(征求意见稿)第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。
第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。
第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。
第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。
第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。
政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。
第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。
第七条监测指标选取遵循以下四个原则:(一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力;(二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况;(三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况;(四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。
第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。
其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。
第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
村镇银行信息科技风险管理办法
村镇银行信息科技风险管理办法村镇银行信息科技风险管理办法(征求意见稿)第一章总则第一条为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据《商业银行信息科技风险管理指引》等有关法律、法规,制定本办法。
第二条信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。
第二章信息科技风险管理组织架构第三条信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的权限和职责:(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。
第三章信息科技风险具体控制要求第五条信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
包括以下风险点:(一)缺少信息系统风险管理策略;(二)自然灾害、运行环境变化;(三)信息系统相关规章制度、技术规范、操作规程不完善;(四)信息安全标准化工作不符合国家相关规定;(五)缺乏信息安全风险评估机制;(六)数据中心机房物理安全;(七)使用盗版软件及自有成果的知识产权保护;(八)电子设备自身运行;(九)主机与网络运行;(十)网络安全;(十一)密码安全;(十二)数据加密安全;(十三)信息系统配置参数管理;(十四)数据管理;(十五)突发事件响应;(十六)信息系统故障导致影响银行信誉;(十七)网上银行安全。
银行业信息科技风险管理指引—(正式版)
银行业信息科技风险管理指引—(正式版)1. 引言本指引旨在为银行业提供信息科技风险管理的指导,以确保银行业能够有效管理和控制信息科技风险,保障金融系统的安全和稳定运行。
2. 信息科技风险概述信息科技风险是指由于信息系统的使用和依赖,银行面临的各种可能影响信息系统可用性、完整性和保密性的威胁。
3. 信息科技风险管理原则信息科技风险管理应遵循以下原则:- 风险识别与评估:银行应对信息科技风险进行全面的识别和评估,确定风险的严重性和可能造成的影响。
- 风险治理与控制:银行应制定相应的风险治理措施,并建立合理的风险控制机制。
- 持续监测与改进:银行应定期监测信息科技风险,及时进行改进和调整。
- 信息共享与合作:银行应与相关机构和其他银行共享风险信息,进行合作,共同应对信息科技风险。
4. 信息科技风险管理框架银行应建立完善的信息科技风险管理框架,包括以下几个方面:- 风险治理结构:银行应建立明确的信息科技风险治理结构,明确责任和职责。
- 风险识别与评估:银行应建立科学的信息科技风险识别和评估方法,及时识别并评估风险。
- 风险控制与防范:银行应制定有效的控制措施和防范措施,减少和防止信息科技风险的发生。
- 事件响应与恢复:银行应建立完善的事件响应和恢复机制,及时响应和恢复信息科技风险事件。
- 管理与监测:银行应建立健全的信息科技风险管理和监测体系,确保信息科技风险的有效管理。
5. 信息科技风险管理的实施银行应制定详细的信息科技风险管理方案,并根据实际情况进行有效的实施。
方案应包括风险识别、评估、控制、防范、监测和响应等内容。
6. 信息科技风险管理的监督与评估相关监管机构应对银行的信息科技风险管理进行定期监督和评估,提供指导和支持,确保信息科技风险得到有效管理。
7. 附则本指引自发布之日起生效,并适用于银行业的信息科技风险管理工作。
银行应根据本指引的要求,进行相应的风险管理工作。
以上内容仅为简要介绍,详细内容请参阅《银行业信息科技风险管理指引—(正式版)》全文。
1.1 -XXXX银行信息科技风险评估操作规程
XXXX银行信息科技风险评估操作规程1.总则1.1.为规范XXXX银行信息科技风险评估工作,提高信息科技风险管理水平,根据监管要求及《XXXX银行信息科技风险管理办法》,制定本操作规程。
1.2.本规程所指信息科技风险是信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
1.3.本规程所指信息科技风险评估是对信息科技风险的风险辨识(包括分类)、风险分析和风险评价。
1.4.本规程是对风险评估计划、风险评估准备、风险识别、风险评价、风险分析及报告等关键环节的管理。
1.5.本规程适用于全行。
2.风险评估计划2.1总行市场与操作风险管理部制定信息科技风险评估计划,每年组织开展一次全面的信息科技风险评估。
2.2出现以下情况,应结合本单位以往风险评估情况,确定是否启动信息科技风险评估:(1)新系统上线或已有系统进行重大变更;(2)内部或同业出现重大信息科技事件;(3)信息科技审计中发现重大问题;(4)监管机构发布风险提示。
2.3分行市场与操作风险管理部门根据总行风险评估工作要求,结合本行实际情况制定风险评估计划,组织开展信息科技风险评估工作。
3.风险评估准备3.1.风险评估牵头部门确定风险评估目标。
评估目标包括:(1)满足监管要求;(2)满足我行业务持续发展在信息科技方面的需要;(3)识别现有信息技术及管理上的不足等。
3.2.风险评估牵头部门确定风险评估范围。
评估范围依据评估目标确定,包括:(1)信息资产,如物理、系统、网络、应用、数据等;(2)信息科技活动,如合规管理、开发管理、运维管理、外包管理等;(3)信息科技工作流程,如事件管理、配置管理、变更管理等。
3.3.风险评估牵头部门负责组建风险评估团队,授权风险评估团队开展风险评估工作。
3.4.风险评估团队制定风险评估计划书,明确风险评估实施的计划安排,包括评估工作内容、时间进度和各阶段成果清单等内容。
3.5.风险评估团队制定风险评估方案,明确风险评估依据、风险识别方法、信息收集方式、风险分析方法等。
《银行业金融机构信息科技外包风险管理指引》(征求意见稿)
银行业金融机构信息科技外包风险管理指引征求意见稿))(征求意见稿第一章总则第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包引发的风险,保持信息科技核心能力,促进银行业信息科技健康有序发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、省级农村信用社联合社、外商独资银行、中外合资银行适用本指引。
中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本指引执行。
第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
包括:系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等。
第四条本指引所称关联外包指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。
第五条信息科技的外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技创新及控制能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;(三)信息泄露:包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条本指引所称托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
银监发[2009]19号-商业银行信息科技风险管理系统指引
![银监发[2009]19号-商业银行信息科技风险管理系统指引](https://img.taocdn.com/s3/m/67b1b06f03d8ce2f006623a3.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
商业银行信息科技风险动态监测规程(征求意见稿)..
商业银行信息科技风险动态监测规程(征求意见稿)第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。
第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。
第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。
第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。
第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。
政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。
第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。
第七条监测指标选取遵循以下四个原则:(一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力;(二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况;(三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况;(四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。
第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。
其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。
第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行信息科技风险动态监测规程(征求意见稿)第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。
第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。
第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。
第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。
第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。
政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。
第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。
第七条监测指标选取遵循以下四个原则:(一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力;(二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况;(三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况;(四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。
第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。
其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。
第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
(一)系统可用率为信息系统实际提供服务时间与应提供服务时间之比,用于衡量信息系统对业务连续服务提供支撑的有效程度,系统可用率影响客户使用体验,并综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置等方面的管理能力。
(二)系统交易成功率为信息系统成功处理的交易量与处理交易总量之比,用于衡量信息系统正常响应业务请求的有效程度,综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面的管理能力。
(三)投产变更成功率为商业银行成功实施信息系统投产、变更数量与实施信息系统投产、变更总量之比,用于衡量商业银行投产变更管理的有效程度,综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。
第十条安全性指标用于衡量商业银行对安全威胁的抵御能力与安全事件的处置能力,包括假冒网站查封率、外部攻击变化率和信息安全事件数量。
(一)假冒网站查封率为已查封的假冒网站数量与已知的假冒网站数量之比,用于衡量商业银行对假冒网站的处置进展及其客户可能因假冒网站遭受欺诈威胁的程度,综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。
(二)外部攻击变化率为商业银行遭受外部攻击当期告警增加数量与上期告警数量之比,用于衡量商业银行外部攻击威胁的客观变化,综合反映商业银行信息系统外部风险的变化程度。
(三)信息安全事件数量为信息系统中断造成服务不可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事件次数、网络中断事件次数、基础设施不可用事件次数及其他安全事件次数之和,用于衡量商业银行在面对内外部安全威胁时,保持信息系统可用性、完整性、机密性的能力,综合反映商业银行信息安全现状。
第十一条规模性指标用于衡量商业银行主要电子渠道发展规模,反映商业银行主要电子渠道业务发展水平、电子渠道业务承受的压力及相关信息科技风险事件可能产生的社会负面影响程度,包括主要电子渠道交易变化率和主要电子渠道活跃用户、账户变化率。
(一)主要电子渠道交易变化率为商业银行全辖当期主要电子渠道交易量与上期主要电子渠道交易量之比,用于反映商业银行主要电子渠道交易规模总量及变化趋势。
(二)主要电子渠道活跃用户、账户变化率为商业银行全辖当期主要电子渠道活跃用户、账户数与上期主要电子渠道活跃用户、账户数之比,用于反映商业银行主要电子渠道活跃用户、账户总量及变化趋势。
第四章数据管理第十二条商业银行应建立与本规程相配套的信息科技风险动态监测工作机制和管理流程,准确、及时提供动态监测指标相关源数据。
第十三条商业银行应根据自身发展状况建立与本规程相适应的监测统计信息系统,按照动态监测指标的相关要求采集相关源数据,并能够根据计算模型按照机构、产品、系统等不同维度和统计周期生成监测数据。
第十四条信息科技风险动态监测指标源数据采集范围应涵盖商业银行全辖(总行及各级分支机构)和各类重要信息系统,采集数据要全面、真实。
第十五条商业银行应确保监测指标数据来源的连续性、一致性以及可追溯性,并至少存留最近三年历史数据。
第十六条商业银行应明确信息科技风险动态监测数据报送的归口管理部门,并对报送数据的真实性和有效性负责。
第十七条银监会及其派出机构应督促、指导商业银行逐步建立并完善相关工作机制和流程,开展动态监测信息系统建设,提高数据采集的自动化程度,减少数据生成过程中的人为干扰因素。
对于确需人工填报的环节,应在流程和系统设计中满足后续检查和审计的需要。
第十八条银监会及其派出机构信息科技监管部门负责审核商业银行报送的动态监测指标数据,并对报送数据质量进行考核。
第五章指标运用第十九条商业银行应将信息科技风险动态监测指标纳入全行风险监测体系,建立信息科技风险动态监测指标分析预警模型,持续跟踪信息科技风险动态监测指标变化趋势,形成书面报告,定期向商业银行董事会和高管层报告。
第二十条商业银行董事会和高管层应定期审查信息科技风险动态监测报告,运用检查、监督、考核等手段督促相关部门采取有效措施实施整改。
第二十一条商业银行信息科技部门应根据动态监测指标结果,对本机构信息系统进行综合评价,并将评价结果与商业银行信息科技发展规划相结合。
第二十二条商业银行信息科技部门应持续跟踪动态监测指标及其变化趋势,重点关注指标数值或变化趋势存在异常的监测指标,深入分析指标异常的原因,采取相应的应急处置措施,并将处置方案和工作进度及时报送商业银行风险管理部门、银监会或其派出机构。
第二十三条银监会及其派出机构信息科技监管部门应明确信息科技风险动态监测工作岗位,制定人员岗位职责。
第二十四条银监会及其派出机构信息科技监管部门应建立分析预警模型,按照区域分布、机构类别、单家机构等不同维度对信息科技风险动态监测指标进行分类监测,定期形成风险分析报告,对于发现的突出共性风险问题,要开展行业通报。
第二十五条银监会及其派出机构信息科技监管部门可根据单家机构动态监测指标监测情况,采取约谈、现场检查等途径对相关情况进行核实,并通过风险提示、监管会谈等方式将风险监测结果及时通报商业银行,督促其采取有效措施,做好风险防范和整改工作。
对于监测中发现的重大信息科技风险隐患,信息科技监管部门应及时通报机构监管部门,并可视情况采取联合监管行动。
第二十六条银监会及其派出机构信息科技监管部门应将动态风险监测指标分析结果作为商业银行年度信息科技监管评级的参考信息。
第二十七条银监会信息科技监管部门建立信息科技风险动态监测工作的激励考核机制,定期发布行业基准参考值,对指标领先的机构树立标杆,总结良好实践并予以推广。
第六章附则第二十八条附件是本规程的组成部分,规定了信息科技风险动态监测指标口径说明。
第二十九条本规程由银监会负责修订和解释。
第三十条本规程自年月起试行。
附件:1、商业银行信息科技风险动态监测指标一览表2、商业银行信息科技风险动态监测指标口径说明附件1商业银行信息科技风险动态监测指标一览表一级监测指标二级监测指标三级监测指标系统可用率[ATR]核心业务系统可用率无综合前置系统可用率银行卡系统可用率网上银行系统可用率电话银行系统可用率手机银行系统可用率大额实时支付前置系统可用率小额批量支付前置系统可用率第三方存管系统可用率国际结算系统可用率系统交易成功率[TSR] 核心业务系统交易成功率账务类交易成功率非账务类交易成功率综合前置系统交易成功率大额实时支付渠道交易成功率小额批量支付渠道交易成功率ATM渠道交易成功率POS渠道交易成功率代收缴费渠道交易成功率第三方存管渠道交易成功率银行卡系统交易成功率电话银行渠道交易成功率手机银行渠道交易成功率ATM渠道交易成功率POS渠道交易成功率网上银行系统交易成功率银联渠道交易成功率超级网银渠道交易成功率大额实时支付渠道交易成功率小额批量支付渠道交易成功率第三方支付渠道交易成功率电话银行系统交易成功率无手机银行交易成功率无投产变更成功率[DCSR] 投产、变更成功实施数量无投产、变更实施总数量无假冒网站查封率[CFWR] 假冒网站已查封数量无假冒网站发现数量无外部攻击变化率当期外部攻击次数当期入侵监测系统告警数[EACCR] 当期入侵保护系统告警数上期外部攻击次数上期入侵监测系统告警数上期入侵保护系统告警数安全事件数量[ISE] 信息系统中断造成服务不可用次数核心业务系统服务不可用次数综合前置系统服务不可用次数银行卡系统服务不可用次数网上银行系统服务不可用次数电话银行系统服务不可用次数手机银行系统服务不可用次数大额实时支付系统服务不可用次数小额批量支付系统服务不可用次数ATM前置系统服务不可用次数POS前置系统服务不可用次数柜面系统服务不可用次数信贷系统服务不可用次数个贷系统服务不可用次数基金系统服务不可用次数债券系统服务不可用次数第三方存管系统服务不可用次数第三方支付系统服务不可用次数国际结算系统服务不可用次数违规操作事件次数无病毒爆发事件次数无自然灾害事件次数无网络中断事件次数无基础设施不可用事件次数无其他安全事件次数无主要电子渠道交易变化率[MECTCR] 当期主要电子渠道交易量网上银行交易量电话银行交易量手机银行交易量大额实时支付交易量ATM交易量POS交易量上期主要电子渠道交易量网上银行交易量电话银行交易量手机银行交易量大额实时支付交易量ATM交易量POS交易量网上银行交易量主要电子渠道活跃用户、账户变化率[MEAUAR] 当期主要电子渠道活跃用户、账户数网上银行活跃用户数电话银行活跃用户数手机银行活跃用户数大额实时支付渠道活跃账户数小额批量支付渠道活跃账户数ATM活跃账户数POS活跃账户数上期主要电子渠道活跃用户、账户数网上银行活跃用户数电话银行活跃用户数手机银行活跃用户数大额实时支付渠道活跃账户数小额批量支付渠道活跃账户数ATM活跃账户数POS活跃账户数附件2商业银行信息科技风险动态监测指标口径说明一、系统可用率●指标的属性:稳定性指标。