【文章內(nèi)容簡(jiǎn)介】 息科技風(fēng)險(xiǎn)管理指引 》 ?要點(diǎn)： ? 業(yè)務(wù)連續(xù)性管理 ? 制定業(yè)務(wù)連續(xù)性規(guī)劃，確保在出現(xiàn)無(wú)法預(yù)見(jiàn)的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)。 ? 業(yè)務(wù)影響分析：人員、系統(tǒng)或其他資產(chǎn)的故障或缺失，信息丟失、戰(zhàn)爭(zhēng)、臺(tái)風(fēng)、地震 ? 采取雙機(jī)熱備、制定應(yīng)急計(jì)劃、購(gòu)買商業(yè)保險(xiǎn) 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 ?要點(diǎn)： ? 項(xiàng)目開(kāi)發(fā)、測(cè)試管理 ? 開(kāi)發(fā)環(huán)境和生產(chǎn)環(huán)境物理隔離 ? 禁止開(kāi)發(fā)和維護(hù)人員隨意進(jìn)入生產(chǎn)系統(tǒng) ? 組織開(kāi)展系統(tǒng)上線后評(píng)價(jià) ? 外包管理 ? 重要外包報(bào)告 ? 外包風(fēng)險(xiǎn)評(píng)估 ? 服務(wù)水平協(xié)議 ? 安全保密要求（包含敏感客戶信息） ? 應(yīng)急措施 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 ?要點(diǎn)： ? 系統(tǒng)運(yùn)行管理 ? 制定詳細(xì)的運(yùn)行操作說(shuō)明 ? 系統(tǒng)運(yùn)行監(jiān)控 ? 容量規(guī)劃 ? 變更管理 ? 事件管理 ? 信息安全管理 ? 安全策略（物理安全 、 人員安全、訪問(wèn)控制、數(shù)據(jù)加密等） ? 活動(dòng)日志保存（交易日志、系統(tǒng)日志） 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》 ? 作用： ? 規(guī)范并促進(jìn)了銀行業(yè)金融機(jī)構(gòu)做好重要信息系統(tǒng)突發(fā)事件應(yīng)急管理，提高對(duì)突發(fā)事件的綜合管理能力和應(yīng)急處置能力。 ? 主要概念 ? 重要信息系統(tǒng)：指支撐銀行業(yè)金融機(jī)構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織權(quán)益或社會(huì)秩序和公共利益，甚至影響國(guó)家安全的信息系統(tǒng) ? 要點(diǎn)： ? 明確定義了董事會(huì)及高管層、風(fēng)險(xiǎn)管理部門、信息科技管理部門和業(yè)務(wù)管理部門在突發(fā)事件中的職責(zé)要求，明確了應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急執(zhí)行小組、應(yīng)急保障小組的職責(zé)分工 ? 對(duì)突發(fā)事件進(jìn)行分級(jí)定義，將突發(fā)事件按照影響范圍和持續(xù)時(shí)間分為特別重大突發(fā)事件（兩個(gè)以上省業(yè)務(wù)中斷超過(guò) 3小時(shí)或一個(gè)省超過(guò) 6小時(shí)） 、重大突發(fā)事件（兩個(gè)以上省業(yè)務(wù)中斷半小時(shí)或一個(gè)省超 3小時(shí)） 、 交大突發(fā)事件（一個(gè)省業(yè)務(wù)中斷超半小時(shí) ） 三個(gè)級(jí)別 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》 ? 要點(diǎn)： ? 要求銀行機(jī)構(gòu)建立信息科技風(fēng)險(xiǎn)防范體系，制定信息系統(tǒng) RTO（ 最短恢復(fù)時(shí)間目標(biāo)）、 RPO（ 最近恢復(fù)點(diǎn)目標(biāo)）指標(biāo) 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》 正常處理 初始響應(yīng) 激活 恢復(fù)流程 積壓業(yè)務(wù) 正常處理 最近備份 備份 備份 恢復(fù)結(jié)束 目標(biāo)恢復(fù)點(diǎn) 事件 在成功恢復(fù)之前， 數(shù)據(jù)可能會(huì)遺失、 損壞、或無(wú)法獲取 目標(biāo)恢復(fù)階段（ RTO） 處理間隙：位于損 壞點(diǎn)與恢復(fù)正常處理 之間的滯后時(shí)間段 災(zāi)難聲明 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》 ? 要點(diǎn)： ? 對(duì)信息科技風(fēng)險(xiǎn)識(shí)別、評(píng)估、監(jiān)測(cè)、預(yù)警的各個(gè)環(huán)節(jié)提出了具體要求 ? 對(duì)銀行機(jī)構(gòu)制定應(yīng)急預(yù)案、開(kāi)展應(yīng)急演練、應(yīng)急響應(yīng)及報(bào)告機(jī)制、日常應(yīng)急保障等應(yīng)急管理內(nèi)容提出了具體要求。 重要突發(fā)事件發(fā)生后 60分鐘內(nèi)將情況報(bào)監(jiān)管部門、 12小時(shí)內(nèi)提交正式報(bào)告、一級(jí)事件每?jī)尚r(shí)報(bào)告進(jìn)展 《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》 ?概念 ? 重要信息系統(tǒng)：指支撐銀行業(yè)金融機(jī)構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織權(quán)益或社會(huì)秩序和公共利益，甚至影響國(guó)家安全的信息系統(tǒng) ? 投產(chǎn)和變更內(nèi)容 ： 支撐重要信息系統(tǒng)運(yùn)行的機(jī)房、網(wǎng)絡(luò)設(shè)施投產(chǎn)、機(jī)房場(chǎng)地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。 ?要點(diǎn) ? 加強(qiáng)和規(guī)范銀行機(jī)構(gòu)信息系統(tǒng)投產(chǎn)和變更管理，避免系統(tǒng)投產(chǎn)或變更過(guò)程造成業(yè)務(wù)中斷或數(shù)據(jù)丟失情況 ? 重要信息系統(tǒng)投產(chǎn)前至少 20個(gè)工作日、變更前至少 10個(gè)工作日向監(jiān)管部門報(bào)告，實(shí)施后 1個(gè)月內(nèi)提交投產(chǎn)或變更情況報(bào)告 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 ? 概念 ? 數(shù)據(jù)中心：生產(chǎn)中心和災(zāi)備中心 ? 災(zāi)備中心：商業(yè)銀行為保障業(yè)務(wù)連續(xù)性，在生產(chǎn)中心故障、聽(tīng)短或癱瘓后，能夠接替生產(chǎn)中心運(yùn)行，具備專用場(chǎng)所、進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運(yùn)行的組織。 ? 同城災(zāi)備中心：同一地理區(qū)域，一般距離數(shù)十公里，可防火災(zāi)、建筑物破壞、電力或通信中斷 ? 異地災(zāi)備中心：不同地理區(qū)域、距離數(shù)百公里以上，不會(huì)同是面臨地震、臺(tái)風(fēng)、洪水等同類災(zāi)難風(fēng)險(xiǎn)。 ? 要求： ? 總資產(chǎn) 1千億元人民幣且跨省經(jīng)營(yíng)的法人銀行及省級(jí)農(nóng)信社要建立異地災(zāi)備中心，災(zāi)難恢復(fù)等級(jí)達(dá)到 5級(jí)以上，其他法人銀行應(yīng)設(shè)立同城災(zāi)備中心并實(shí)現(xiàn)數(shù)據(jù)異地備份，災(zāi)難恢復(fù)等級(jí)達(dá)到 4級(jí)以上。 ? 正式運(yùn)營(yíng)前至少 20個(gè)工作日向監(jiān)管部門報(bào)告，變更數(shù)據(jù)中心場(chǎng)所要提前 2月報(bào)告 ? 對(duì)數(shù)據(jù)中心選址、基本配置提出明確要求 ? 災(zāi)難恢復(fù)等級(jí)達(dá)到 5級(jí) ? 災(zāi)難恢復(fù)等級(jí)達(dá)到 5級(jí)：數(shù)據(jù)實(shí)施備份， 4級(jí)：數(shù)據(jù)定期備份 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 ?災(zāi)難恢復(fù)等級(jí)達(dá)到 4級(jí)：電子傳輸及完整設(shè)備支持，數(shù)據(jù)定期備份 ?災(zāi)難恢復(fù)等級(jí)達(dá)到 5級(jí)：實(shí)時(shí)數(shù)據(jù)傳輸及完整設(shè)備支持，數(shù)據(jù)實(shí)施備份 ?災(zāi)難恢復(fù)等級(jí)達(dá)到 5級(jí)：數(shù)據(jù)零丟失和遠(yuǎn)程集群支持。 《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問(wèn)責(zé)方案》 ?要點(diǎn) ? 要求法人銀行機(jī)構(gòu)簽署信息系統(tǒng)安全保障責(zé)任書，明確高管人員對(duì)信息系統(tǒng)安全保障的管理責(zé)任 ? 對(duì)管理失職造成不良后果的，追究責(zé)任 《 銀行業(yè)金融機(jī)構(gòu)信息科技非現(xiàn)場(chǎng)監(jiān)管報(bào)表 》 ? 要點(diǎn)： ? 明確信息科技風(fēng)險(xiǎn)部門為報(bào)送責(zé)任部門 ? 包括 1份年度報(bào)告、 14張年度報(bào)表、 6張季度報(bào)表、 7張實(shí)時(shí)報(bào)表 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南 》 ?要點(diǎn) ? 明確了商業(yè)銀行目前主要的信息科技風(fēng)險(xiǎn)領(lǐng)域、主要風(fēng)險(xiǎn)點(diǎn)，闡明了檢查思路和主要方法，幫助檢查人員明確檢查目標(biāo)，從而提高信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查的有效性和針對(duì)性，提升現(xiàn)場(chǎng)檢查質(zhì)量。 ? 提供評(píng)價(jià)銀行信息科技風(fēng)險(xiǎn)管理各領(lǐng)域狀況的參考標(biāo)準(zhǔn)，并提出了具體的檢查要求和步驟，進(jìn)一步規(guī)范了信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查的程序、手段和行為，是銀監(jiān)會(huì)及各級(jí)派出機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)檢查工作的一個(gè)重要參考依據(jù)和檢查指導(dǎo)工具。 ? 指明商業(yè)銀行信息科技風(fēng)險(xiǎn)防控的重點(diǎn)領(lǐng)域、方向和關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，提出了風(fēng)險(xiǎn)識(shí)別、預(yù)警和控制的具體手段，商業(yè)銀行可以充分借鑒《指南》內(nèi)的信息科技風(fēng)險(xiǎn)防控原則和指導(dǎo)思想，應(yīng)用到銀行信息科技建設(shè)和管理實(shí)踐中，成為指導(dǎo)銀行全面開(kāi)展科技風(fēng)險(xiǎn)防控、提升管理能力的有力武器。 四、 信息科技風(fēng)險(xiǎn)監(jiān)管架構(gòu) 信息科技風(fēng)險(xiǎn)監(jiān)管體系 信息科技風(fēng)險(xiǎn) 監(jiān)管年度計(jì)劃 數(shù)據(jù)采集 與審核 信息科技風(fēng)險(xiǎn) 分析與評(píng)估 信息科技風(fēng)險(xiǎn) 現(xiàn)場(chǎng)檢查 信息科技 風(fēng)險(xiǎn)監(jiān)測(cè) 風(fēng)險(xiǎn)提示、 預(yù)警 及應(yīng)急處理 年度信息科技 監(jiān)管評(píng)級(jí) 年度信息科技 監(jiān)管報(bào)告 體系概述 — 總體框架 固有風(fēng)險(xiǎn) 控制有效性 = 剩余風(fēng)險(xiǎn) 固有風(fēng)險(xiǎn)指標(biāo) 控制有效性指標(biāo) 信息科技綜合風(fēng)險(xiǎn)水平 信息科技風(fēng)險(xiǎn)評(píng)估指標(biāo) 固有風(fēng)險(xiǎn)水平 控制有效性 風(fēng)險(xiǎn)評(píng)估流程方法 體系概述 — 剩余風(fēng)險(xiǎn)綜合分析矩陣 剩余風(fēng)險(xiǎn) 控制有效性 強(qiáng) 中強(qiáng) 中弱 弱 固有風(fēng)險(xiǎn) 高 三級(jí) 四級(jí) 五級(jí) 六級(jí) 中高 二級(jí) 三級(jí) 四級(jí)