银行业金融机构分支机构信息科技非现场监管报表.docx
《银行业金融机构分支机构信息科技非现场监管报表.docx》由会员分享,可在线阅读,更多相关《银行业金融机构分支机构信息科技非现场监管报表.docx(38页珍藏版)》请在冰点文库上搜索。
银行业金融机构分支机构信息科技非现场监管报表
银行业金融机构分支机构信息科技非现场监管报表
填报机构:
联系人:
联系方式:
第一部分年度报表
□报送空表
F-B-1信息科技基本情况表
填报部门:
填报人:
联系:
责任人:
填表日期:
项目
容
备注
信息科技管理职能
分管行领导:
信息科技管理职能部门名称:
信息科技管理职能部门工作报告路线:
□总行直属□向分支机构主管领导报告□其他
部门负责人:
手机:
信息科技正式员工数:
(人)
是否设立专职信息安全岗位:
〇是岗位人数(人)〇否
信息科技风险管理职能
是否明确信息科技风险管理职能(岗位):
〇是职能部门(岗位)名称:
〇否
本机构信息科技风险管理职能部门(岗位)人数:
(人),其中具有IT专业背景的人数:
(人)
本年度是否已开展信息科技风险评估或安全检查:
〇已开展项目数量:
(个)〇未开展
信息科技风险评估或安全检查执行部门:
□总行风险管理职能部门□本机构风险管理职能部门
□总行信息科技管理职能部门□本机构信息科技管理职能部门
□其他:
信息科技部审计职能
本年度是否已开展(或接受)信息科技部审计:
〇已开展项目数量:
(个)〇未开展
本年度信息科技部审计性质:
□信息科技全面审计□信息科技专项审计□综合性部审计覆盖信息科技相关领域
本年度信息科技部审计执行部门:
□总行部审计部门□总行直属区域性审计部门
□本机构部审计职能部门□其他
基本情况
规模:
资产规模:
本年度:
(亿元)同比增减:
(%)
网点规模:
本年度:
(个)同比增减:
(%)
投入:
总投入:
本年度:
(万元)同比增减:
(%)
信息科技投入:
本年度:
(万元)同比增减:
(%)
信息科技投入占比:
本年度:
(%)同比增减:
(%)
人力:
全辖员工总数:
本年度:
(人)同比增减:
(%)
全辖信息科技员工数:
本年度:
(人)同比增减:
(%)
信息科技员工占比:
本年度:
(%)同比增减:
(%)
业务:
账户总数:
本年度:
(户)同比增减:
(%)
在行式ATM:
本年度:
(台)同比增减:
(%)
离行式ATM:
本年度:
(台)同比增减:
(%)
POS:
本年度:
(台)同比增减:
(%)
其中POS:
本年度:
(台)同比增减:
(%)
附件:
1、信息科技管理职能部门组织结构。
部门名称
职能隶属关系
序号
下设科室(岗位)名称
人数
职责描述(200汉字以)
□总行直属
□分支机构部专职部门
□隶属于分支机构其他部门
□其他
1
…
N
注:
分支机构可报送信息科技管理职能部门的组织结构图,但需至少包含上述表格中的基本信息。
2、本年度已完成的信息科技部审计报告。
3、本年度已完成的信息科技风险评估或信息安全检查报告
F-B-1填报说明
【信息科技管理职能】是指分支机构信息科技管理组织、人员等基本情况。
【信息科技管理职能部门工作报告路线】是指信息科技管理职能部门的主要工作报告路线。
【信息安全岗位】信息安全岗位是指分支机构信息科技管理职能部门设专职负责信息安全管理、信息安全检查等岗位。
以分支机构人力资源部门岗位职责定义为准。
【具有IT专业背景】是指具有3年以上信息科技专职工作经历,或具有本科以上信息技术、通信相关专业学历,或1年以上信息科技管理进修(培训)脱产学习经历。
【信息科技风险管理职能】是指分支机构信息科技风险管理组织和工作执行情况。
【是否明确信息科技风险管理职能(岗位)】是指分支机构明确有独立于信息科技部门的信息科技风险管理职能部门(岗位)。
【本年度是否已开展信息科技风险评估或安全检查】是指分支机构本年度已完成信息科技风险评估、信息安全检查、渗透性测试的情况。
以相关报告是否已发布或是否已报送上级机构作为风险评估工作是否完成的判断标准。
【信息科技风险评估或安全检查执行部门】是指组织实施信息科技风险评估、信息安全检查或渗透性测试的部门。
【本年度已完成的信息科技风险评估或信息安全检查报告】是指分支机构本年度已完成信息科技风险评估、信息安全评测等项目并出具正式评估报告,应将相关评估报告以附件形式向监管机构报送。
【信息科技部审计职能】是指分支机构信息科技部审计组织和工作执行情况。
【总行直属区域性审计部门】是指隶属于总行或相关职能部门,并负责对某地理区域多家一级分支机构实施部审计的总行部门。
【信息科技全面审计】是指由部审计职能部门实施的覆盖信息科技各项活动的审计,包括但不限于《商业银行信息科技风险管理指引》中各专业领域。
【信息科技专项部审计】是指部审计职能部门实施的针对信息科技特定领域的审计。
例如:
信息科技外包风险审计。
【综合性部审计覆盖信息科技相关领域】是指部审计职能部门实施的涉及信息科技工作的综合性审计过程中,审计容涉及信息科技相关领域。
【本年度是否已开展(或接受)信息科技部审计】是指本机构自行组织实施信息科技部审计,或接受总行或审职能部门的审计。
以审报告发布与否作为审项目是否完成的判断标准。
【本年度已完成的信息科技部审计报告】是指分支机构本年度已完成信息科技部审计项目并出具正式审计报告,应将审计报告以附件形式向监管机构报送。
【资产规模】是指分支机构全辖拥有或者控制的现有总资产额或者固定资产额。
此项数据以向银监会分支机构非现场监管信息系统报送数据为准。
【网点规模】是指分支机构下设经营性网点总数。
以持有金融许可证为统计依据。
【总投入】是指分支机构全辖为全年的经营活动、投资活动和筹资活动投入的自筹或上级行划拨资金。
其中:
1、经营活动投入资金主要包括:
支付的利息/手续费及佣金、支付给职工以及为职工支付的资金、支付的各项税费、支付的租金及物业管理费、购买存货等其他与经营活动相关的资金;
2、投资活动投入资金主要包括:
购建固定资产、无形资产和其他资产支付的资金、增加在建工程所支付的资金等;
3、筹资活动投入的资金主要包括:
支付债券的利息等。
计算公式:
总投入=经营活动投入+投资活动投入+筹资活动投入。
【信息科技投入】是指分支机构为全年的各类信息科技经营管理活动、项目建设等投入的自筹或总行划拨资金。
计算公式:
信息科技投入=基础设施投入+电子设备采购投入+软件采购投入+系统开发项目投入+系统运营费用+信息科技人力资源费用+研究咨询项目费用+其他信息科技投入。
【全辖员工总数】是指分支机构全辖员工总人数,含正式和非正式员工总数。
以分支机构人力资源部门的统计口径和数据为准。
【正式员工】是指按照国家劳动合同法规定,与机构建立劳动关系,并订立劳动合同(合同期限在一年以上)的员工。
【非正式员工】是相对正式员工而言,非正式员工未与机构直接签订正式劳动合同或确定正式的劳动关系。
非正式员工一般包括临时工、兼职人员、特别聘用人员与顾问人员等,但不包括外包人员。
计算公式:
全辖员工总数=正式员工总数+非正式员工总数。
【全辖正式科技员工数】是指分支机构全辖围承担信息科技岗位职责的正式员工总数。
以分支机构人力资源部门的统计口径和数据为准。
【信息科技员工占比】是指本机构全辖信息科技正式员工在全体员工中的比重。
计算公式:
信息科技员工占比=信息科技正式员工数/分支机构全辖员工总数×100%。
【账户总数】统计分支机构辖开办的公司账户、个人银行账户总数。
【公司账户】特指除已销户账户外的所有以企业身份办理的账户总数。
【个人账户】特指除已销户账户外的所有以个人身份办理的账户总数。
计算公式:
账户总数=公司账户数+个人账户数。
【离行式ATM】特指布放在银行网点之外的自动存款、取款、或存取款一体ATM设备。
【在行式ATM】特指布放在银行网点之的自动存款、取款、或存取款一体ATM设备。
【POS】即销售终端(Point of Sale)是一种多功能终端,安装在银行卡或信用卡的特约商户和受理网点中与计算机联成网络,就能实现电子资金自动转帐,它具有支持消费、预授权、余额查询和转帐等功能(本项统计POS总量,含POS在)。
【POS】是指具有刷卡(POS)功能的、手机设备,用户可利用此类设备完成各种如转账还款、账单缴费等银行柜面业务。
□报送空表
F-B-2各类机房情况表
填报部门:
填报人:
联系:
责任人:
填表日期:
序号
项目
容
备注
1
基本情况
机房类型:
○生产机房○同城灾备机房○异地灾备机房
地址:
投产日期:
年月日
主机房面积:
(平米)
设计等级:
○A类○B类○C类○其他
年检容:
□安防系统通过年检:
○是○否
□消防系统通过年检:
○是○否
□其他
运维情况:
○自主运维○部分外包○整体外包
供电情况
双路市电接入:
○是○否
双路市电来自不同变电所:
○是○否
发电机/发电车:
□自有发电机□自有发电车□租用发电机□租用发电车□未配备
发电机启动时间:
(秒)
发电机油料储备可用时间:
(小时)
UPS电池满载可用时间:
(小时)
UPS系统容量设计:
(KVA)
UPS实际负载峰值:
(KVA)
UPS配置模式:
○存在单点○不存在单点
空调
类型:
□精密空调□普通空调□其他
空调配置模式:
○有冗余○没有冗余
门禁
是否配备24小时安保人员:
○是○否
安保人员所属部门:
门禁设备是否配备:
○是○否门禁记录保存时间:
(月)
门禁类型:
□IC卡□指纹□虹膜□其他
监控
监控记录保存时间:
(月)
监控围:
□温度□湿度□防水□防磁□防雷□防鼠□消防□安防□空调□UPS□发电机
□配电□机房门禁□逃生通道□其他
报警方式:
□声音□高亮□短信□□□其他
消防
灭火剂类型:
□水□二氧化碳□七氟丙烷□烟烙尽□其他
机房其他情况
是否具备防水措施:
○是○否
是否具备防雷设施:
○是○否
是否具备电磁屏蔽:
○是○否
人工巡检频度:
(次/天)
……
F-B-2填报说明
【机房类型】生产机房:
指分支机构用于放置生产系统服务器、前置机、网络通信设备以及其他用于支持营运的设备,用来对分支机构辖区的业务、客户和管理等信息进行存储、处理和维护的场所;
灾备机房:
指分支机构为保障业务连续性,用来接替生产机房运行或者存放生产机房数据备份介质的机房;
同城灾备机房:
指与生产机房位于同一地理区域的灾备机房,一般距离数十公里,可防火灾、建筑物破坏、电力或通信系统中断等事件;
异地灾备机房:
指与生产机房位于不同地理区域的灾备机房,一般距离数百公里,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。
【主机房面积】机房的主体部分,用来放置服务器、网络设备的功能区。
【设计等级】参见《电子信息系统机房设计规》(GB50174-2008)。
【年检】指具有专业资质的单位对待检测系统的各项指标、性能进行的检测。
如有其他年检系统,请在【其他】处填写年检系统名称以及是否通过年检。
【发电机/发电车】自有:
指发电机/发电车的所有权归机构。
租用:
指发电机/发电车的所有权不归机构,机构向其他单位租用发电机/发电车,包括发电机由机构所在办公楼物业提供的情况。
未配备:
指发电机和发电车均未配备的情况。
【发电机启动时间】指发电机手动或自动启动至正常运行的时间。
【UPS实际负载峰值】指UPS运行时实际负载的最大值。
【UPS配置模式】存在单点:
指存在部分重要信息系统仅由UPS单机、单总线等方式供电的情况。
不存在单点:
指不存在重要信息系统仅由单机、单总线等方式供电的情况。
【门禁】指对中心机房出入口、通道进行电子管控的设备。
控制方式主要包括IC卡、密码锁、指纹、虹膜、掌纹、面部特征识别等方式。
【门禁记录保存时间】指门禁系统实际保存进出记录的最短时间。
【监控记录保存时间】指监控设备实际保存监控记录的最短时间。
【报警方式】指机房监控监测到异常时的响应方式,包括声音提示、高亮显示、短信通知、通知、通知等。
【灭火剂类型】参见《电子信息系统机房设计规》(GB50174-2008)。
【电磁屏蔽】指用导电材料减少交变电磁场向指定区域的穿透。
【人工巡检频度】指工作人员每日对机房进行日常巡检的平均次数。
□报送空表
F-B-3信息系统管理情况表
填报部门:
填报人:
联系:
责任人:
填表日期:
项目
容
备注
重要信息系统情况
序号
系统名称
系统类型
采用的高可用技术
系统的软硬件情况
本年度因故障导致停机或切换备机次数、时长
本年度计划停机或切换备机次数
备注
1
○总行重要信息系统在分行的延伸
○分行独立运维的重要特色业务系统
○双机热备
○双机冷备
○负载均衡
○存在单点
○其它
服务器品牌型号
操作系统名称及版本
数据库名称及版本
次
小时
次
…
变更管理
制度制定:
□总行统一制定□本机构自行制定□未制定
审批流程:
变更过程:
□事先制定操作方案□事先制定回退方案□事先备份
□保存操作记录□变更后签字确认□其它
复核方式:
□无复核或安全审查□业务部门复核验证□风险管理部门复核审查
□信息安全人员安全审查□审部门对生产变更记录定期审计□其它
总行发起的对分支机构生产运行有影响的变更次数:
次,其中紧急变更次数:
次
本分行发起的重要信息系统变更次数:
次,其中,紧急变更:
次
系统变更:
次
数据变更:
次
事件管理
制度制定:
□总行统一制定□本机构自行制定□未制定
生产事件分级描述(必要时提交附件):
服务请求事件是否登记:
○是○否
生产事件是否登记:
○是○否
生产事件上报路线:
值班人员配备情况:
○配备,7x24小时,○配备,非7x24小时,○未配备
工作时间值班人数:
非工作时间值班人数:
值班人员有无非正式人员:
○有○没有
是否外包:
○是○否
是否专职:
○是○否
本年度分行信息系统发生的告警或通知事件总数:
次
问题管理机制:
○未建立○已建立,简述方式:
操作管理
科技运维岗配备的资料:
□设备及系统的运维操作手册
□设备及系统的应急处理手册
□服务对象及技术支持的通讯录
运行文档管理:
□建立运维文档生命周期管理流程
□配备文档管理员岗位
□运行操作文档经经验丰富的开发和运维人员共同审核后正式发布,运行操作文档成为运维人员培训的主要容
□建立文档变更流程保持运行操作文档与生产系统同步更新
□重要信息系统与运行操作文档保持一对一关系
备份管理
制度制定:
□总行制定□分支机构制定□未制定
备份介质存放:
□机房建筑□同城网点□异地
重要信息系统备份策略
序号
系统名称
备份频度
备份介质类型
存放环境
保存时间
备份数据可用性验证
1
□磁带
□光盘
□磁盘
□其他
□普通储柜
□保险箱
□其他
月
○未验证过
○不定期
○定期
频度:
次/年
…
本年度在真实生产环境中进行数据恢复的次数:
次
网络设备配置信息的备份覆盖率:
%
网络设备配置信息备份方式:
备份频度:
次/年
开发管理
分行是否有开发职责:
○是○否
开发模式:
○部分外包○全部外包○不外包
开发人员独立性:
○与运行人员职责分离○未与运行人员职责分离
开发环境与生产环境独立:
○物理隔离○逻辑隔离○未隔离
数据和信息管理
系统管理员密码管理:
□一次性密码令牌□密码信封□双人分段保管□密码管理系统
□定期修改□其他措施:
系统操作员密码管理:
□一事一申请□一次性密码令牌□定期修改□密码系统生成
其他措施:
数据使用人员密码管理和权限管理:
□指定部门统一管理
__________________________行业金融机□定期强制修改□人员变动、离职后注销
□存在多人共享账号密码现象
□其他措施:
是否具备生产数据提取使用和销毁流程:
○是○否
概要描述分支机构本地系统保存了哪些客户敏感信息:
客户敏感信息管理:
分行ATM机具是否留存有客户账号或密码等敏感信息:
○是,客户敏感信息存储位置:
客户敏感信息存储方式:
□明文存储□部分信息加密存储□全部加密存储
○否
分行电子渠道前置机是否在本地留存有客户账号或密码等敏感信息:
○是,客户敏感信息存储位置:
客户敏感信息存储方式:
□明文存储□部分信息加密存储□全部加密存储
○否
本地特色业务系统是否在本地留存有客户账号或密码等敏感信息:
○是,客户账号或密码等敏感信息存储位置:
客户敏感信息存储方式:
□明文存储□部分信息加密存储
□全部加密存储
客户敏感信息可接触人员:
□前台操作人员□系统运维人员
□系统管理员□其他:
○否
计算机报废后存储介质是否销毁:
○否○自行销毁,销毁方式:
○由外部机构销毁,机构名称:
人员变动时办公用计算机磁盘信息是否清理:
○是○否
存储介质保修维护时是否允许维护人员带出行外:
○是○否
对移动存储设备采取技术控制手段:
分行是否配备消磁机:
○是○否
F-B-3填报说明
【重要信息系统】包括:
1总行定义的重要信息系统在分行的延伸,如前置机等;2由分支机构负责运行维护的重要特色系统,不包括部署在总行的重要信息系统。
【高可用技术】指确保信息系统能够正常发挥其应有功能的能力,免受事件、变更、例行维护等因素影响的技术,如:
虚拟化、集群、负载均衡、双机热备、双机冷备、硬件冗余等技术。
【变更】指任何可能影响信息科技服务连续运行的信息系统变动事件。
【变更管理】变更管理的主要目标是完成有益的变更,同时最小化对IT服务的中断。
变更管理的围包括所有的信息科技服务、配置项、流程、文档等,负责控制所有变更的生命周期的流程。
【紧急变更】指必须尽快引入的变更。
通常需建立特定的流程来处理紧急变更。
【系统变更】指对信息系统软硬件和参数、网络设施和机房基础设施的变更。
【数据变更】指对数据库或数据文件容进行的变更。
【事件】事件通常表示任何信息科技服务、配置项或监视工具产生的告警或通知,指对信息科技服务管理或配置项有重大意义的状态变化。
事件通常需要运行人员介入并采取行动。
【事件管理】负责管理事件生命周期的流程。
事件管理是IT运营的主要活动之一。
【生产事件】指由生产系统引发的问题导致告警或通知等事件。
【服务请求】指功能方面的问题或请求,包括状态查询、口令重置、数据库提取等请求。
【生产用户】指需要登录生产环境或者在生产系统中进行读和/或写操作的用户。
【数据备份策略】指包括数据类型、备份周期(含定期备份(日、周、月)和非定期备份(如变更前备份))、备份容等。
【备份频度】备份频度指对生产数据进行一次完整可恢复备份的最小周期。
【备份介质及数据的可用性验证】备份介质及数据的可用性验证指验证备份介质上的数据是否可用、准确,验证方法包括在测试环境中把备份数据恢复至系统中,检查恢复是否成功,容是否正确等。
【开发人员】指进行信息系统开发和测试的科技人员,包括正式行员与外包人员。
【运行人员】指对信息系统进行运行状态的监控、每日批量处理等工作的技术人员。
【系统管理员】指管理维护操作系统、应用系统、数据库系统和网络系统等信息系统的科技人员。
【客户敏感信息】是指涉及客户身份、账户和交易的信息。
【数据使用人员】指分支机构业务部门或科技部门中能够批量访问客户信息、交易信息等生产数据的员工。
【存储介质销毁】指销毁计算机中的存储介质,如对硬盘进行粉碎等。
□报送空表
F-B-4业务连续性情况表
填报部门:
填报人:
联系:
责任人:
填表日期:
项目
容
备注
应急与业务连续性的基本情况
业务连续性制度制定:
□总行制定□分支机构□未制定
业务连续性组织架构:
○未建立○已建立,包含部门:
业务连续性牵头部门:
信息科技应急处置组织架构:
○未建立○已建立,包含部门:
应急预案的制定与演练情况
序号
应急预案名称
本年度应急演练次数
最后一次应急演练日期
演练结果及发现的问题
是否保存演练记录
1
…
突发事件分级管理情况
突发事件分级
○未建立
○已建立
序号
突发事件部级别名称
划分标准
本年度发生次数
1
…
F-B-4填报说明
【业务连续性制度制定】如总行与分支机构分别制定了业务连续性制度,复选总行制定和分支机构制定选项。
【应急预案名称】按现有的应急预案逐项列出,包括分支机构执行总行的应急预案及分支机构自行制定的应急预案。
【演练结果及发现的问题】简要描述该预案最后一次应急演练结果、发现的主要问题及处理情况。
【突发事件】是指重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的,影响业务持续开展,需要釆取应急处置措施应对的事件。
【突发事件分级】指机构对突发事件依照其影响围、持续时间及所影响业务的性质等因素所进行的分级。
各机构可在遵循监管要求情况下根据机构自身管理要求进行分级标准的制定和突发事件分级管理。
突发事件部级别名称依据机构制定的部分级制度,按照级别逐级列出。
【划分标准】指机构制定的突发事件分级具体划分标准。
【本年度发生次数】统计本年度该级别突发事件发生次数。
□报送空表
F-B-5网络管理情况表
填报部门:
填报人:
联系:
责任人:
填表日期:
项目
容
备注
网络安全域划分
序号
名称
用途
可访问哪些网络域
可被哪些网络域访问
隔离措施
远程接入
1
□防火墙
□入侵检测系统(IDS)
□入侵防御系统(IPS)
□访问控制列表(ACL)
□虚拟局域网(VLAN)
□其他
□不允许
□互联网
□VPN
□无线网络
□拨入
□其他
……
网络边界控制
安全边界
控制措施
生产网与办公网边界
□物理隔离 □异构防火墙□热备防火墙□单防火墙□入侵检测系统(IDS)□入侵防御系统(IPS)□访问控制列表(ACL)□恶意代码过滤□其他
生产网与外联网边界
□物理隔离 □异构防火墙□热备防火墙□单防火墙□入侵检测系统(IDS)□入侵防御系统(IPS)□访问控制列表(ACL)□恶意代码过滤□其他
办公网与互联网边界
□物理隔离 □异构防火墙□热备防火墙□单防火墙□入侵检测系统(IDS)□入侵防御系统(IPS)□访问控制列表(ACL)□恶意代码过滤□其他
核心网络设备
设备名称
序号
采取