商业银行信息科技监管评级定量和定性标准样本Word格式.docx
《商业银行信息科技监管评级定量和定性标准样本Word格式.docx》由会员分享,可在线阅读,更多相关《商业银行信息科技监管评级定量和定性标准样本Word格式.docx(10页珍藏版)》请在冰点文库上搜索。
(3)董事会、高管层等决策人员与否具备足够信息科技专业知识能力。
(1)考察与否建立明确、可实行信息科技发展战略;
与否定期评价信息科技战略规划实行效果,建立信息科技战略与业务战略协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平与否匹配,低于同质同类商业银行平均值此项酌情扣分;
考察商业银行信息系统建设与业务发展支撑与匹配限度。
(3)考察具备信息科技管理经验高管人员在董事会、决策层与否具备一定占比;
与否设立首席信息官,直接向行长报告,并参加重大决策,首席信息官与否具备一定信息科技专业背景或从业经验。
(二)信息科技风险管理(12分)
1.信息科技风险管理体系(6分)
(1)与否将信息科技风险纳入全面风险管理体系,建立完善信息科技风险管理组织架构。
(2)与否建立信息科技风险管理方略和管理制度。
(1)考察与否将信息科技风险纳入全面风险管理,明确风险管理部门统一负责信息科技风险管理。
信息科技风险管理职责仍在信息科技部门此项得分不超过3分。
(2)考察风险管理部门中与否配备一定数量专职信息科技风险管理人员,信息科技风险管理人员与否具备有关专业背景和技能。
(3)考察与否建立信息科技风险管理方略和管理制度,管理制度与否完善,覆盖与否全面。
2.信息科技风险管理寻常运作(6分)
(1)信息科技风险评估流程和办法与否完善。
(2)与否建立常态化风险辨认和监测机制。
(3)信息科技风险评估成果与否得到合理运用。
(1)考察与否建立信息科技风险辨认、风险分析、风险处置等工作机制;
信息科技风险评级和风险分析工作中与否开展业务影响分析工作,与否进行风险级别划分,并有风险级别划分原则。
(2)与否建立信息科技风险监测核心风险点指标,风险监测指标与否定期评审、改进,风险监测成果与否向关于部门及高管层报告等。
(3)与否建立信息科技风险损失评估及处置机制。
(三)信息科技审计(10分)
1.信息科技风险监督体系(4分)
与否建立信息科技审计体系,以及信息科技审计体系合理性。
(1)商业银行与否将信息科技审计工作纳入内部审计部门工作范畴;
商业银行内部审计制度与否纳入信息科技审计有关内容,涉及审计根据、原则和办法等内容;
与否定期开展信息科技审计活动;
发生信息科技重大突发事件时,内审部门与否介入调查;
与否对信息科技重大项目实行财务审计。
(2)考察信息科技内审工作独立性和报告路线合理性。
2.信息科技内外部审计(6分)
(1)信息科技审计覆盖率。
(定量)
(2)信息科技审计整治率。
(3)信息科技专项审计占比。
(1)考察近三年信息科技审计覆盖率,涉及信息科技内外审一级分支机构覆盖率及重要信息系统覆盖率。
【一级分支机构覆盖率】=【已开展全面信息科技审计一级分支机构数】/【一级分支机构总数】*100%
【重要信息系统覆盖率】=【已开展信息科技审计数据中心、重要信息系统、重大项目数】/【数据中心、重要信息系统、重大项目总数】*100%
(2)考察近两年信息科技内(外)审整治率。
【信息科技内(外)审整治率】=【信息科技内(外)审报告中发现问题已完毕整治问题数量】/【信息科技内(外)审报告中发现问题总和】*100%
(3)考察近两年内(外)审工作中信息科技专项审计占比。
【信息科技专项审计占比】=【信息科技专项审计次数】/【所有审计次数】*100%
(四)信息安全管理(14分)
1.信息安全管理体系(8分)
(1)与否建立信息安全管理体系。
(2)信息安全管理体系完整性。
(3)电子银行信息安全管理体系完整性。
(1)考察与否建立合理信息安全管理组织架构及制度体系。
(2)考察信息安全管理体系与否完整,安全保障办法与否完善。
物理安全:
中心机房及重点区域与否有环境监测、巡检、报警等安全防控办法,环境监测覆盖范畴与否完备等。
网络安全:
与否制定完善网络安全访问控制方略,与否定期进行网络安全漏洞扫描,与否有完备网络边界方略等。
数据安全:
与否有重要或敏感数据定义原则和访问控制方略,与否制定数据备份和恢复方略,与否有生产数据提取、使用、销毁等环节安全防护办法。
终端安全:
与否有终端安全防控办法,桌面终端与否安装病毒防护及防火墙软件,病毒库与否定期更新,桌面终端移动介质使用管理,设备管理,行为审计等。
访问控制:
与否建立物理和逻辑访问控制方略;
中心机房等重要区域门禁系统认证方式及进出访问安全控制方略与否合理;
重要信息系统逻辑访问控制方略与否完善,涉及权限管理、密码方略等。
(3)电子银行信息安全管理体系完整性:
电子银行系统与否定期开展渗入性测试;
与否有客户端安全防控办法;
与否有强制双因素身份认证;
与否有客户敏感信息防护办法等。
2.信息安全管理执行力(6分)
信息安全管理规定执行状况;
当年发生信息安全事件状况。
(1)信息安全管理组织架构与否存在重大缺陷,信息安全管理制度与否定期评价并修订完善;
信息安全管理各项办法与否严格贯彻,执行过程中与否存在重大缺陷。
(2)当年发生信息安全事情状况,事件发生次数可与同质同类机构平均值比较,并依照事件负面影响限度进行酌情扣分。
(五)信息系统开发及测试(12分)
1.信息科技项目管理体系(6分)
与否有完善信息科技项目管理组织和信息系统开发测试管理制度;
与否有规范化信息科技项目生命周期管理流程。
(1)考察与否建立了规范项目管理组织、制度和流程,明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评价等职责;
项目管理组织架构严重缺失此项最高2分。
(2)考察信息科技项目生命周期管理流程与否涉及需求分析、设计、开发或外购、测试、试运营、布置、维护和退出等环节,系统开发办法与否与信息科技项目规模、性质和复杂度相匹配。
2.项目管理过程中风险控制(6分)
(1)信息科技项目生命周期各重要环节与否开展风险管控。
(2)信息科技项目重点环节风险管控状况。
(1)考察信息科技风险管控与否涵盖信息科技项目生命周期各重要环节,如需求分析阶段与否有业务部门提出明确风险控制规定,与否有应急恢复目的、劫难恢复目的、数据管理目的等规定,信息科技审计人员或信息安全人员与否参加项目阶段评审,风险管理组织与否开展阶段风险评估等。
(2)与否建立必要安全隔离办法,涉及生产系统与开发系统、测试系统有效隔离,生产系统与开发系统、测试系统管理职能相分离,应用程序开发和维护人员未经容许不可进入生产系统等。
(3)考察业务部门在信息系统开发及测试各阶段参加度。
业务部门与否参加需求分析、测试、项目各阶段质量评审、顾客验收测试、项目后评价等;
已完毕开发和测试环境程序或系统配备变更应用到生产系统前与否经业务部门批准。
(4)考察重要信息系统源代码控制率(定量)。
【重要信息系统源代码控制率】=【机构拥有所有源代码且具备后续自主维护开发能力、外部机构人员XX不能访问系统源代码进行功能定制扩展重要信息系统数】/【重要信息系统总数】*100%
(六)信息科技运营及维护(15分)
1.信息科技运营及维护管理体系(8分)
与否建立信息科技运营维护管理体系。
(1)考察与否有规范信息科技运营及维护管理流程,并制定详尽信息科技运营操作阐明。
(2)信息科技运营及维护管理流程与否涵盖事件管理、问题管理、容量管理、变更管理、服务水平管理、可用性管理等。
(3)信息科技运营及维护管理体系与否定期评价并修订完善。
2.信息科技运营维护运作(7分)
信息科技运营及维护管理各流程运作与否规范。
(1)与否采用信息化管理平台等办法提高运营与维护管理效率,完善运营与维护管理流程。
(2)信息科技内部与否有岗位制约机制,如信息科技运营与系统开发和维护分离等。
(3)与否有容量规划,重要信息系统性能和容量设立与否恰当,性能和容量变更机制与否合理。
(4)考察重要信息系统服务可用率(定量)。
【重要信息系统服务可用率】=【筹划提供服务总时间-筹划停止服务时间-非筹划停止服务时间】/【筹划提供服务总时间】*100%
(5)考察核心业务系统交易成功率(定量)。
【核心业务系统交易成功率】=【核心业务系统生产交易成功笔数】/【核心业务系统生产交易总笔数】*100%
(6)考察重要信息系统监控覆盖率(定量)。
【重要信息系统监控覆盖率】=【实行应用级监控重要信息系统数】/【重要信息系统总数】*100%
(七)业务持续性管理(12分)
1.业务持续性管理体系(7分)
(1)业务持续性管理组织架构与否健全;
(2)与否开展业务影响分析,并制定业务持续性筹划;
业务持续性演习及改进状况;
应急处置工作状况。
(1)与否建立寻常业务持续性管理组织,与否制定业务持续性管理政策和制度,业务持续性管理组织职责与否清晰完善。
(2)业务持续性管理有关参加部门设立与否合理;
业务持续性管理主管部门为信息科技部门,且业务持续性管理组织不包括重要业务部门此项得分不超过2分。
(3)与否完毕所有重要业务影响分析,明确业务恢复优先级和恢复目的;
与否制定所有重要业务业务持续性筹划,有关资源建设与否到位;
与否定期开展业务持续性演习,并评估改进,与否对业务持续性管理工作进行审计;
与否有健全信息科技突发事件应急处置机制。
2.业务持续性管理寻常运作效果(5分)
(1)业务持续性资源建设与否与业务发展匹配;
(2)重要信息系统灾备覆盖率。
(1)考察信息科技基本设施与否满足当前及将来几年业务发展需要,数据中心、灾备中心建设与否符合有关监管规定;
(2)考察重要信息系统灾备覆盖率指标。
【重要信息系统灾备覆盖率】=【纳入同城/异地灾备、灾备级别为应用级/数据级且演习评估成果为真实接管生产重要信息系统数】/【重要信息系统总数】*100%
(八)信息科技外包管理(10分)
1.外包管理组织架构和外包战略(2分)
与否建立清晰、合理信息科技外包管理组织架构,与否制定外包战略。
评分原则:
(1)考察与否建立清晰外包管理组织架构;
与否明确高管层、信息科技外包管理主管部门和执行部门风险管理职责;
信息科技外包风险管理部门和审计部门与否定期开展信息科技外包风险管理评估和审计工作。
(2)与否制定与自身规模、市场地位相适应外包战略;
与否有针对性地获取或提高管理及技术能力,减少对服务提供商依赖。
2.信息科技外包管理(4分)
(1)与否开展外包风险评估及外包服务商尽职调查。
(2)外包合同内容与否完整。
(3)外包服务监督与评价。
(1)考察外包项目立项前与否进行风险评估;
与否有合理外包服务商准入原则;
重要服务提供商与否开展尽职调查。
(2)与否订立外包合同,外包合同内容与否涉及对外包服务商必要约束条款。
(3)与否对外包服务过程进行持续监控,对外包服务商进行评价,督促不断提高外包服务水平;
与否建立恰当应急预案,应对外包服务商也许浮现重大缺失。
3.跨境及非驻场外包管理(2分)
(1)跨境外包风险管理。
(2)非驻场外包服务风险管理机制建设及执行效果。
(1)存在跨境外包服务,考察外包过程中与否充分考虑跨境外包带来国别风险,风险处置办法与否恰当。
(2)存在非驻场外包服务,与否建立非驻场外包服务内部控制及风险管理原则和机制,在信息安全、知识产权保护、质量监控、法律合规等方面与否有对服务提供商风险管理规定。
4.重点外包服务机构管理(2分)
(1)重点外包服务商认定。
(2)对重点外包服务商管理规定。
(1)与否制定重点外包服务商认定原则,建立明确重点外包服务商清单,与否对重点外包服务商组织架构、服务管理体系、技术服务能力、资质等进行考察和跟踪。
(2)与否对重点外包服务商风险管理、年度审计工作提出明确规定。
(九)信息科技监管重大关注事项
1.信息科技治理构造重大变化
浮现信息科技管理组织架构、信息科技高管层和科技部门负责人异常调节、信息科技战略重大变动等状况,对商业银行产生不利影响,视负面影响状况,每种扣3-5分。
本指标最高扣10分。
2.重要信息系统突发事件
发生一起《银行业重要信息系统突发事件应急管理规范(试行)》(银监办发〔〕53号)定义特别重大或重大突发事件,或两起(含)以上较大突发事件,且认定商业银行在突发事件中负有管理责任,评级最高为三级。
3.涉及信息科技案件
发生涉及信息科技案件,视认定商业银行责任和案件负面舆情影响,每起案件扣5-10分,最高扣20分。
4.存在严重违背有关信息科技监管法规制度行为
对于在遵守信息科技监管有关规章制度方面存在重大问题商业银行,如在评级年度内因信息科技事件受到20万元以上监管惩罚,评级成果最高为4级。
5.现场检查发现重大风险隐患
本年度现场检查工作中发现重要信息系统、基本设施等存在重大风险隐患,也许对商业银行业务正常开展导致重大影响,评级最高为三级。
升级会员 