银行业金融机构分支机构信息科技非现场监管报表.docx
《银行业金融机构分支机构信息科技非现场监管报表.docx》由会员分享,可在线阅读,更多相关《银行业金融机构分支机构信息科技非现场监管报表.docx(42页珍藏版)》请在冰点文库上搜索。
银行业金融机构分支机构信息科技非现场监管报表
银行业金融机构分支机构信息科技
非现场监管报表
填报W)联系人联系方式
第一部分年度报表4
F-B-1信息科技基本情况表4
F-B-1填报说明8
F-B-2各类机房情况表12
F-B-2填报说明15
F-B-3信息系统管理情况表17
F-B-3填报说明25
F-B-4业务连续性情况表27
F-B-4填报说明29
F-B-5网络管理情况表29
F-B-5填报说明33
F-B-6外包管理情况表34
F-B-6填报说明37
第二部分实时报表38
F-A-1信息科技组织、人员重大变动报告表38
F-A-1填报说明39
F-A-2信息科技重大突发事件报告表40
F-A-2填报说明41
F-A-3重大投产及变更报告表42
F-A-3填报说明44
F-A-4信息科技內外部审计情况报告表44
F-A-4填报说明46
第三部分年度报告47
F-R-1信息科技年度报告47
F-R-1WK说明49
银行业金融机构分支机构信息科技非现场监管报表填报须知50
第一部分年度报表
□报送空表
F-B-1信息科技基本情况表
填报部门:
填报人:
联系:
责任人:
填表日期:
项目
内容
备注
信息科技管理职能
分管行领导XX:
信息科技管理职能部门名称:
信息科技管理职能部门工作报告路线:
□总行直属□向分支机构主管领导报告□其他部门负责人XX:
手机:
信息科技正式员工数:
(人)
是否设立专职信息安全岗位:
O是岗位人数(人)o否
信息科技风险管理职
是否明确信息科技风险管理职能(岗位):
O是职能部门(岗位)名称:
O否
本机构信息科技风险管理职能部门(岗位)人数:
(人),其中具有IT专业背景的人数:
(人)
本年度是否已开展佶息科技风险评估或安全检查:
O已开展项目数星:
(个)o未开展
佶息科技风险评估或安全检查执行部门:
□总行风险管理职能部门□本机构风险管理职能部门
□总行信息科技管理职能部门匚本机构信息科技管理职能部门
□其他:
信息科技内部审计职
fig
本年康是否已开展(或接受)信息科技内部审计:
O已开展项目数星:
(个)O未开展
本年度信息科技内部审计性质:
□信息科技全面审计□信息科技专项审计匚综合性内部审计覆盖信息科技相关领域
本年度信息科技内部审计执行部门:
□总行内部审计部门□总行直属区域性审计部门
匚本机构内部审计职能部门□其他
基本情况
规模:
资产规模:
本年度:
(亿元)同比增减:
(%)
网点规模:
本年度:
(个)同比增减:
(%)
投入:
总投入:
本年度:
(万兀)同比增减:
(%)
信息科技投入:
本年度:
(万兀)同比增减:
(%)
信息科技投入占比:
本年度:
(%)同比增减:
(%)
人力:
全辖员工总数:
本年度:
(人)同比增减:
(%)
全辖信息科技员工数:
本年度:
(人)同比增减:
(%)
信息科技员工占比:
本年度:
(%)同比增减:
(%)
业务:
账户总数:
本年度:
(户)同比增减:
(%)
在行式ATM:
本年度:
(台)同比增减:
(%)
离行式ATM:
本年度:
(台)同比增减:
(%)
POS:
本年度:
(台)同比增减:
(%)
其中POS:
本年度:
(台)同比增减:
(%)
附件:
1、信息科技管理职能部门组织结构。
部门名称
职能隶属关系
序号
下设科室(岗位)名称
人数
职责描述(200汉字以内)
□总行
□分支机构内部专职部
门
匚隶属于分支机构其他
部门
□其他
1
•••
N
注:
分支机构可报送信息科技管理职能部门的组织结构图.但需至少包含上述表格中的基本信息。
2、本年度已完成的信息科技内部审计报告。
3、本年度已完成的信息科技风险评估或信息安全检查报告
F・B-:
L填报说明
【信息科技管理职能】是指分支机构信息科技管理组织、人员等基本情况。
【信息科技管理职能部门工作报告路线】是指信息科技管理职能部门的主要工作报告路线。
【信息安全岗位】信息安全岗位是指分支机构信息科技管理职能部门内设专职负责信息安全管理、信息安全检查等岗位。
以分支机构人力资源部门岗位职责走义为准。
【具有IT专业背景】是指具有3年以上信息科技专职工作经历,或具有本科以上信息技术、通信相关专业学历,或1年以上信息科技管理进修(培训)脱产学习经历。
【信息科技风险管理职能】是指分支机构信息科技风险管理组织和工作执行情况。
【是否明确信息科技风险管理职能(岗位)]是指分支机构明确有独立于信息科技部门的信息科技风险管理职能部门(岗位\
[本年度是否已开展信息科技风险评估或安全检查]是指分支机构本年度已完成信息科技风险评估、信息安全检查、渗透性测试的情况。
以相关报告是否已发布或是否已报送上级机构作为风险评估工作是否完成的判断标准。
[信息科技风险评估或安全检查执行部门]是指组织实施信息科技风险评估、信息安全检查或渗透性测试的部门。
【本年度已完成的信息科技风险评估或信息安全检查报告】是指分支机构本年度内已完成信息科技风险评估、信息安全评测等项目并出具正式评估报告,应将相关评估报告以附件形式向监管机构报送。
【信息科技内部审计职能】是指分支机构信息科技内部审计组织和工作执行情况。
【总行直属区域性审计部门】是指隶属于总行或相关职能部门,并负责对某地理区域内多家一级分支机构实施内部审计的总行部门。
【信息科技全面审计】是指由内部审计职能部门实施的覆盖信息科技各项活动的审计,包括但不限于《商业银行信息科技风险管理指引》中各专业领域。
【信息科技专项内部审计】是指内部审计职能部门实施的针对信息科技特定领域的审计。
例如:
信息科技外包风险审计。
【综合性内部审计覆盖信息科技相关领域】是指内部审计职能部门实施的涉及信息科技工作的综合性审计过程中,审计内容涉及信息科技相关领域。
【本年度是否已开展(或接受)信息科技内部审计】是指本机构自行组织实施信息科技内部审计,或接受总行或内审职能部门的审计。
以内审报告
发布与否作为内审项目是否完成的判断标准。
【本年度已完成的信息科技内部审计扌侵告】是扌旨分支机构本年度内已完成信息科技内部审计项目并出具正式审计扌侵告r应将审计报告以附件形式向监管机构报送。
【资产规模】是指分支机构全脚有或者控制的现有总资产额或者固走资产额。
此项数据以向银监会分支机构非现场监管信息系统报送数据为准。
【网点规模】是指分支机构下设经营性网点总数。
以持有金融许可证为统计依据。
【总投入】是指分支机构全辖为全年的经营活动、投资活动和筹资活动投入的自筹或上级行划拨资金。
其中:
1、经营活动投入资金主要包括:
支付的利息/手续费及佣金、支付给职工以及为职工支付的资金、支付的各项税费、支付的租金及物业管理费、购
买存货等其他与经营活动相关的资金;
2、投资活动投入资金主要包括:
购建固定资产、无形资产和其他资产支付的资金、增加在建工程所支付的资金等;
3、筹资活动投入的资金主要包括:
支付债券的利息等。
计算公式:
总投入二经营活动投入十投资活动投入十筹资活动投入。
【信息科技投入】是指分支机构为全年的各类信息科技经营管理活动、项目建设等投入的自筹或总行划拨资金。
计算公式:
信息科技投入二基础设施投入十电子设备采购投入十软件采购投入十系统开发项目投入十系统运营费用+信息科技人力资源费用十研究咨询项目费用+其他信息科技投入。
【全辖员工总数】是指分支机构全辖员工总人数,含正式和非正式员工总数。
以分支机构人力资源部门的统计口径和数据为准。
【正式员工】是指按
照国家劳动合同法规定,与机构建立劳动关系,并订立劳动合同(合同期限在一年以上)的员工。
【非正式员工】是相对正式员工而言,非正式员工未与机构直接签订正式劳动合同或确定正式的劳动关系。
非正式员工一般包括临时工、兼职人员、特别聘用人员与顾问人员等,但不包括外包人员。
计算公式:
全辖员工总数=正式员工总数+非正式员工总数。
【全辖正式科技员工数】是指分支机构全辖X围内承担信息科技岗位职责的正式员工总数。
以分支机构人力资源部门的统计口径和数据为准。
[信息科技员工占比】是指本机构全辖信息科技正式员工在全体员工中的比重。
计算公式:
信息科技员工占比二信息科技正式员工数/分支机构全辖员工总数xlOO%0
【账户总数】统计分支机构辖内开办的公司账户、个人银行账户总数。
【公司账户】特指除已销户账户外的所有以企业身份办理的账户总数。
【个人账户】特指除已销户账户外的所有以个人身份办理的账户总数。
计算公式:
账户总数二公司账户数+个人账户数。
【离行式ATM】特指布放在银行网点之外的自动存款、取款、或存取款一体ATM设备。
【在行式ATM】特指布放在银行网点之内的自动存款、取款、或存取款一体ATM设备。
【POS】即销售终端(PointofSale)是一种多功能终端,安装在银行卡或信用卡的特约商户和受理网点中与计算机联成网络,就能实现电子资金自动转帐,它具有支持i肖费、预授权、余额查询和转帐等功能(本项统计POS总呈,含POS在内1
【POS】是指具有刷卡(POS)功能的、手机设备,用户可利用此类设备完成各种如转账还款、账单缴费等银行柜面业勢。
□报送空表
F-B-2各类机房情况表
填报部门:
填报人:
联系:
责任人:
填表日期:
序号
项目
内容
备注
机房类型:
。
生产机房
O同城灾备机房£
:
异地灾备机房
地址:
投产日期:
年月日
主机房面积:
(平米)
1
基本情况
设计等级:
。
A类oB类
°C类。
其他
年检内容:
匚安防系统
通过年检:
O是
。
否
□消防系统
通过年检:
。
是
。
否
□其他
运维情况:
。
自主运维。
部分外包。
整体外包
供电情况
双路市电接入:
。
是。
否
双路市电来自不同变电所:
。
是。
否
发电机/发电车:
□自有发电机□自有发电车□租用发电机□租用发电车匚未配备
发电机启动时间:
(秒)
发电机油料储备可用时间:
(小时)
UPS电池满载可用时间:
(小时)
UPS系统容呈设计:
(KVA)
UPS实际负载峰值:
(KVA)
UPS配置模式:
。
存在单点。
不存在单点
空调
类型:
匚精密空调□普通空调□其他
空调配置模式:
。
有冗余。
没有冗余
门禁
是否配备24小时安保人员:
。
是。
否
安保人员所属部门:
门禁设备是否配备:
。
是
门禁类型:
me卡二指纹
。
否门禁记录保存时间:
(月)
□ffli□其他
监控记录保存时间:
(月)
监控X围:
□温度□湿度□防水□防磁□防雷匚防鼠□消防匚安防□空调oUPS匚发电机
监控
□配电□机房门禁□逃生通道□其他
报警方式:
□声音□高兄
□短信□□□其他
消防
灭火剂类型:
□水□一氧化碳□七氟丙烷匚烟烙尽□其他
是否具备防水措施:
。
是。
否
是否具备防雷设施:
。
是。
否
机房其他情况
是否具备电磁屏蔽:
。
是。
否
人工巡检频度:
(次/天)
F・B・2填报说明
【机房类型】生产机房:
指分支机构用于放置生产系统服务器、前置机、网络通信设备以及其他用于支持营运的设备,用来对分支机构辖区内的业务、客户和管理等信息进行存储、处理和维护的场所;
备份介质的机房;
灾备机房:
指分支机构为保瞳业务连续性r用来接替生产机房运行或者存放生产机房娄
同城灾备机房:
指与生产机房位于同一地理区域的灾备机房r—般距离数十公里,可防x火灾、建筑物破坏、电力或通信系统中断等事件;异地灾备机房:
指与生产机房位于不同地理区域的灾备机房,一般距离数百公里,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。
【主机房面积】机房的主体部分r用来放置服务器、网络设备的功能区。
【设计等级】参见《电子信息系统机^设计规X》(GB50174-2008X
【年检】指具有专业资质的单位对待检测系统的各项指标、性能进行的检测。
如有其他年检系统,请在【具他】处填写年检系统名称以及是否通过
【发电机/发电车】自有:
指发电机/发电车的所有权归机构。
租用:
指发电机/发电车的所有权不归机构,机构向其他单位租用发电木几/发电车,包括发电机由机构所在办公楼物业提供的情况。
未配备:
指发电机和发电车均未配备的情况。
【发电机启动时间】指发电机手动或自动启动至正常运行的时间。
[UPS实际负载峰值]指UPS运行时实际负载的最大值。
[UPS配置模式]存在单点:
指存在部分重要信息系统仅由UPS单机、单总线等方式供电的情况。
不存在单点:
指不存在重要信息系统仅由单机、单总线等方式供电的情况。
【门禁】指对中心机房出入口、通道进行电子管控的设备。
控制方式主要包括IC卡、密码锁、指纹、虹膜、掌纹、面部特征识别等方式。
【门禁记录保存时间】指门禁系统实际保存进出记录的最短时间。
【监控记录保存时间】指监控设备实际保存监控记录的最短时间。
【报警方式】指机房内监控监测到异常时的响应方式,包括声音提示、高亮显示、短信通知、通知、通知等。
【灭火列类型】参见《电子信息系统机房设计规X》(GB50174-20081
【电磁屏蔽】指用导电材料减少交变电磁场向指走区域的穿透。
【人工巡检频度】指工作人员每日对机房进行日常巡检的平均次数。
□报送空表
F-B-3信息系统管理情况表
填报部门:
填报人:
联系:
责任人:
填表日期:
项目
内容
备注
系
本年度因故
本年度戕
序
统
系统类型
采用的高可用技术
系统的软硬件情况
障导致停机
内停机或切
备注
g
名
或切换备机
换备机次数
称
次数、时长
重要信息系统情况
。
总行重
O双机躺
服务器品牌型号
要信息系
。
双机冷备
次
1
统在分行
。
负载均衡
操作系统名称及版本
小时
次
的延伸
。
存在单点
。
分行独
。
其它
数据库名称及版本
立运维的
重要特色
业务系统
•••
变更管理
制度制走:
□总行统一制走□本机构自行制走n未制走
审批擁:
变更过程:
□事先制定操作方案□事先制走回退方案□事先备份
匚保存操作记录=3变更后签字确认口其它
复核方式:
□无复核或安全审查□业务部门复核验证□风险管理部门复核审查
□信息安全人员安全审查□内审部门对生产变更记录走期审计□其它
总行发起的对分支机构生产运行有影响的变更次数:
次,具中紧急变更次数:
次本分行发起的重要信息系统变更次数:
次,其中,紧急变更:
次
系统变更:
次
数据变更:
次
剽牛管理
制度制走:
□总行统一制走n本机构自行制走匚未制走
生产事件分级描述(必要时提交附件):
服务请求事件是否登记:
。
是。
否
生产事件是否登记:
。
是。
否
生产事件上报路线:
值班人员配备情况:
。
配备,7x24小时,。
配备,非7x24小时,。
未配备
工作时间值班人数:
非工作时间值班人数:
值班人员有无非正式人员:
。
有。
没有
是否外包:
。
是。
否
是否专职:
。
是。
否
本年度分行信息系统发生的告警或通知事件总数:
次
问题管理机制:
。
未建立。
已建立,简述方式:
操作管理
科技运维岗配备的资料:
□设备及系统的运维操作手册
=3设备及系统的应急处理手册
匚服勢对象及技术支持的通讯录
运行文档管理:
□建立运维文档生命周期管理流程
□配备文档管理员岗位
□运行操作文档经经验丰畠的开发和运维人员共同审核后正式发布,运行操作文
档成为运维人员培训的主要内容
=3建立文档变更流程保持运行操作文档与生产系统同步更新二重要信息系统与运行操作文档保持一对一关系
备份管理
制度制定:
□总行制定□分支机构制走□未制定
备份介质存放:
□机房建筑内□同城网点匚异地
重要信
息系统备份策
略
序
a
系统
名称
备份频度
备份介质类型
存放环境
保存时间
备份数据可用
性卷正
1
□瞬
□光盘
□磁盘
□其他
口普通储柜
□保险箱
□其他
月
O未验证过。
不走期
O走期
频度:
次/年
•••
本年庚在真实生产环境中逬行哋恢复的次数:
次网络设备配置信息的备份覆盖率:
%
网络设备配置信息备份方式:
备份频度:
次/年
开发管理
分行是否有开发职责:
C是。
否
开发模式:
C部分外包。
全部外包。
不外包
开发人员独立性:
。
与运行人员职责分离。
未与运行人员职责分离
开发环境与生产环境独立:
。
物理隔离。
逻辑隔离O未隔离
数据和信息管理
糸统管理员密码管理:
□—次性密码令牌□密码信封□双人分段保管□密码管理糸统
□走期修改匚其他措施:
系统操作员密码管理:
□—事一申请□—次性密码令牌□定期修改匚密码系统生成
其他措施:
数据使用人员密码管理和权限管理:
□指走部门统一管理
□走期强制修改匚人员变动、离职后注销
□存在多人共享账号密码现象
□其他措施:
是否具备生产数据提取使用和销毁流程:
。
是。
否
概要描述分支机构本地糸统保存了哪些客户敏感信息:
客户敏感信息管理:
分行ATM机具是否留存有客户账号或密码等敏感信息:
。
是,客户敏感信息存储位置:
客户敏感信息存储方式:
□明文存储□部分信息加密存储匚全部加密存储
o否
分行电子渠道刖置机是否在本地留存有客户账号或密码等敏感信息:
。
是,客户敏感信息存储位置:
客户敏感信息存储方式:
□明文存储□部分信息加密存储匚全部加密存储
。
否
本地特色业务糸统是否在本地留存有客户账号或密码等敏感信息:
。
是,客户账号或密码等敏感信息存储位置:
客户敏感信息存储方式:
□明文存储□部分信息加密存储
□全部加密存储
客户敏感信息可接触人员:
□刖台操作人员匚系统运维人员
□系统管理员□其他:
O否
计算机报废后存储介质是否销毁:
。
否。
自行销毁,销毁方式:
。
由外部机构销毁,机构名称:
人员变动时办公用计算机磁盘信息是否清理:
。
是O否
存储介质保修维护时是否允许维护人员带出行外:
。
是。
否
对移动存储设备采取技术控制手段:
分行是否配备消磁机:
。
是。
否
F・B-3填报说明
【重要信息系统】包括:
1总行走义的重要信息系统在分行的延伸,如前置机等;2由分支机构负责运行维护的重要持色系统,不包括部署在总行的重要信息系统。
【高可用技术】指确保信息系统能够正常发挥其应有功能的能力,免受事件、变更、例行维护等因素影响的技术,如:
虚拟化、集群、负载均衡、双机热备、双机冷备、硬件冗余等技术。
【变更】指任何可能影响信息科技服务连续运行的信息系统变动事件。
【变更管理】变更管理的主要目标是完成有益的变更,同时最小化对IT服勢的中断。
变更管理的X围包括所有的信息科技服务、配置项、流程、文档等,负责控制所有变更的生命周期的流程。
【紧急变更】指必须尽快引入的变更。
通常需建立特走的流程来处理紧急变更。
【系统变更]指对信息系统软硬件和参数、网络设施^机房基础设施的变更。
变更]指对数据库或数据文件内容逬行的变更。
[事件】事件通常表示任^可信息科技服务、配置项或监视工具产生的告警或通知r指对信息科技服务管理或配置项有重大意义的状态变化。
事件通常需要运行人员介入并采取行动。
【事件管理】负责管理事件生命周期的流程。
事件管理是IT运营的主要活动之一。
【生产事件】指由生产系统引发的问题导致告警或通知等事件。
库提取等请求。
【服务请求】指功能方面的问题或请求,包括状态查询、口令重置、
【生产用户]指需要登录生产环境或者在生产系统中进行读和/或写操作的用户。
备份策略】指包括数据类型、备份周期(含走期备份(日、周、月)和非走期备份(如变更前备份))、备份内容等。
恢复至系统中,检查恢复是否成功,内容是否正确等。
【开发人员]指进行信息系统开发和测试的科技人员,包括正式行员与外包人员。
【运行人员]指对信息系统逬行运行状态的监控、每日批量处理等工作的技术人员。
【客户敏感信息】是指涉及客户身份、账户和交易的信息。
【存储介质销毁]指销毁计算机中的存储介质,如对硬盘进行粉碎等。
□报送空表
F-B-4业务连续性情况表
填报部门:
填报人:
联系:
责任人:
填表日期:
项目
内容
备注
应急与业务连续性的基本情况
业务连续性制度制走:
□总行制走□分支机构匚未制定
\|]/务i车续件纟目织架构:
。
未律立。
已萍▽,包含部门:
业务连续性牵头部门:
信息科技应急处置组织架构:
C未建立。
已建立,包含部门:
应急预案的制定与演练情况
序号
应急预亲名称
本年度应急
演练次数
霸一次应
急演练日期
演练结果及发现的问题
是否保存
演练记录
1
•••
突发事件分级管理情况
突发事
件分级
。
未律立
序号
突发事件内部
级别名称
划分标准
本年度发
生次数
1
•••
F-B-4填报说明
【业务连续性制度制走】如总行与分支机构分别制走了业勢连续性制度,复选总行制定和分支机构制定选项。
【应急预案名称】按现有的应急预案逐项列出,包括分支机构执行总行的应急预案及分支机构自行制走的应急预案。
【演练结果及发现的问题】简要描述该预案最后一次应急演练结果、发现的主要问题及处理情况。
[突发事件]是指重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的.影响业务持续开展,需要釆取应急处置措施应对的事件。
【突发事件分级】指机构对突发事件依照具影响x围、持续时间及所影响业务的性质等因素所进行的分级。
各机构可在遵循监管要求情况下根据机构自身管理要求逬行分级标准的制走和突发事件分级管理。
突发事件内部级别名称依据机构制走的内部分级制度,按照级别逐级列出。
【划分标准】指机构制走的突发事彳牛分级具体划分标准。
【本年度发生次数]统计本年度该级别突发事件发生次数。
□报送空表
F・B・5网络管理情况表
填报部门:
填报人:
联系:
责任人:
填表日期:
顶目
内容
备注
网络安全域划分
序号
名称
用途
可访问哪些网络域
可被哪些网络域访问
隔离措施
远程接入
1
□防