【文章內(nèi)容簡介】 隨意進(jìn)入生產(chǎn)系統(tǒng)? 組織開展系統(tǒng)上線后評價(jià)167。 外包管理? 重要外包報(bào)告? 外包風(fēng)險(xiǎn)評估? 服務(wù)水平協(xié)議? 安全保密要求（包含敏感客戶信息）? 應(yīng)急措施 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》v要點(diǎn)：167。 系統(tǒng)運(yùn)行管理? 制定詳細(xì)的運(yùn)行操作說明? 系統(tǒng)運(yùn)行監(jiān)控? 容量規(guī)劃? 變更管理? 事件管理167。 信息安全管理? 安全策略（物理安全 、 人員安全、訪問控制、數(shù)據(jù)加密等）? 活動日志保存（交易日志、系統(tǒng)日志） 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 》 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》v 作用：167。 規(guī)范并促進(jìn)了銀行業(yè)金融機(jī)構(gòu)做好重要信息系統(tǒng)突發(fā)事件應(yīng)急管理，提高對突發(fā)事件的綜合管理能力和應(yīng)急處置能力。 v 主要概念167。 重要信息系統(tǒng)：指支撐銀行業(yè)金融機(jī)構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織權(quán)益或社會秩序和公共利益，甚至影響國家安全的信息系統(tǒng) v 要點(diǎn)：167。 明確定義了董事會及高管層、風(fēng)險(xiǎn)管理部門、信息科技管理部門和業(yè)務(wù)管理部門在突發(fā)事件中的職責(zé)要求，明確了應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急執(zhí)行小組、應(yīng)急保障小組的職責(zé)分工 167。 對突發(fā)事件進(jìn)行分級定義，將突發(fā)事件按照影響范圍和持續(xù)時(shí)間分為特別重大突發(fā)事件（兩個以上省業(yè)務(wù)中斷超過 3小時(shí)或一個省超過 6小時(shí)） 、 重大突發(fā)事件（兩個以上省業(yè)務(wù)中斷半小時(shí)或一個省超 3小時(shí)） 、 交大突發(fā)事件（一個省業(yè)務(wù)中斷超半小時(shí) ） 三個級別 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》v 要點(diǎn)：167。 要求銀行機(jī)構(gòu)建立信息科技風(fēng)險(xiǎn)防范體系，制定信息系統(tǒng) RTO（ 最短恢復(fù)時(shí)間目標(biāo)）、 RPO（ 最近恢復(fù)點(diǎn)目標(biāo)）指標(biāo) 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》正常處理 初始響應(yīng) 激活 恢復(fù)流程 積壓業(yè)務(wù) 正常處理最近備份備份 備份恢復(fù)結(jié)束目標(biāo)恢復(fù)點(diǎn)事件 在成功恢復(fù)之前，數(shù)據(jù)可能會遺失、損壞、或無法獲取目標(biāo)恢復(fù)階段（ RTO） 處理間隙：位于損壞點(diǎn)與恢復(fù)正常處理之間的滯后時(shí)間段災(zāi)難聲明 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》v 要點(diǎn)：167。 對信息科技風(fēng)險(xiǎn)識別、評估、監(jiān)測、預(yù)警的各個環(huán)節(jié)提出了具體要求167。 對銀行機(jī)構(gòu)制定應(yīng)急預(yù)案、開展應(yīng)急演練、應(yīng)急響應(yīng)及報(bào)告機(jī)制、日常應(yīng)急保障等應(yīng)急管理內(nèi)容提出了具體要求。 重要突發(fā)事件發(fā)生后 60分鐘內(nèi)將情況報(bào)監(jiān)管部門、 12小時(shí)內(nèi)提交正式報(bào)告、一級事件每兩小時(shí)報(bào)告進(jìn)展 《 銀 行 業(yè) 重要信息系 統(tǒng) 投 產(chǎn) 與 變 更管理 辦 法》v 概念167。 重要信息系統(tǒng)：指支撐銀行業(yè)金融機(jī)構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織權(quán)益或社會秩序和公共利益，甚至影響國家安全的信息系統(tǒng) 167。 投產(chǎn)和變更內(nèi)容 ： 支撐重要信息系統(tǒng)運(yùn)行的機(jī)房、網(wǎng)絡(luò)設(shè)施投產(chǎn)、機(jī)房場地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。v 要點(diǎn)167。 加強(qiáng)和規(guī)范銀行機(jī)構(gòu)信息系統(tǒng)投產(chǎn)和變更管理，避免系統(tǒng)投產(chǎn)或變更過程造成業(yè)務(wù)中斷或數(shù)據(jù)丟失情況167。 重要信息系統(tǒng)投產(chǎn)前至少 20個工作日、變更前至少 10個工作日向監(jiān)管部門報(bào)告，實(shí)施后 1個月內(nèi)提交投產(chǎn)或變更情況報(bào)告 《商 業(yè)銀 行數(shù)據(jù)中心 監(jiān) 管指引》v 概念167。 數(shù)據(jù)中心：生產(chǎn)中心和災(zāi)備中心167。 災(zāi)備中心：商業(yè)銀行為保障業(yè)務(wù)連續(xù)性，在生產(chǎn)中心故障、聽短或癱瘓后，能夠接替生產(chǎn)中心運(yùn)行，具備專用場所、進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運(yùn)行的組織。167。 同城災(zāi)備中心：同一地理區(qū)域，一般距離數(shù)十公里，可防火災(zāi)、建筑物破壞、電力或通信中斷167。 異地災(zāi)備中心：不同地理區(qū)域、距離數(shù)百公里以上，不會同是面臨地震、臺風(fēng)、洪水等同類災(zāi)難風(fēng)險(xiǎn)。v 要求：167。 總資產(chǎn) 1千億元人民幣且跨省經(jīng)營的法人銀行及省級農(nóng)信社要建立異地災(zāi)備中心，災(zāi)難恢復(fù)等級達(dá)到 5級以上，其他法人銀行應(yīng)設(shè)立同城災(zāi)備中心并實(shí)現(xiàn)數(shù)據(jù)異地備份，災(zāi)難恢復(fù)等級達(dá)到 4級以上。167。 正式運(yùn)營前至少 20個工作日向監(jiān)管部門報(bào)告，變更數(shù)據(jù)中心場所要提前 2月報(bào)告 167。 對數(shù)據(jù)中心選址、基本配置提出明確要求 167。 災(zāi)難恢復(fù)等級達(dá)到 5級v 災(zāi)難恢復(fù)等級達(dá)到 5級：數(shù)據(jù)實(shí)施備份， 4級：數(shù)據(jù)定期備份 《商 業(yè)銀 行數(shù)據(jù)中心 監(jiān) 管指引》v 災(zāi)難恢復(fù)等級達(dá)到 4級：電子傳輸及完整設(shè)備支持，數(shù)據(jù)定期備份v 災(zāi)難恢復(fù)等級達(dá)到 5級：實(shí)時(shí)數(shù)據(jù)傳輸及完整設(shè)備支持，數(shù)據(jù)實(shí)施備份v 災(zāi)難恢復(fù)等級達(dá)到 5級：數(shù)據(jù)零丟失和遠(yuǎn)程集群支持。 《 銀 行 業(yè) 金融機(jī)構(gòu)信息系 統(tǒng) 安全保障 問責(zé) 方案》v要點(diǎn)167。 要求法人銀行機(jī)構(gòu)簽署信息系統(tǒng)安全保障責(zé)任書，明確高管人員對信息系統(tǒng)安全保障的管理責(zé)任167。 對管理失職造成不良后果的，追究責(zé)任 《 銀行業(yè)金融機(jī)構(gòu)信息科技非現(xiàn)場監(jiān)管報(bào)表 》v 要點(diǎn)：167。 明確信息科技風(fēng)險(xiǎn)部門為報(bào)送責(zé)任部門167。 包括 1份年度報(bào)告、 14張年度報(bào)表、 6張季度報(bào)表、 7張實(shí)時(shí)報(bào)表 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場檢查指南 》v要點(diǎn)167。 明確了商業(yè)銀行目前主要的信息科技風(fēng)險(xiǎn)領(lǐng)域、主要風(fēng)險(xiǎn)點(diǎn)，闡明了檢查思路和主要方法，幫助檢查人員明確檢查目標(biāo)，從而提高信息科技風(fēng)險(xiǎn)現(xiàn)場檢查的有效性和針對性，提升現(xiàn)場檢查質(zhì)量。167。 提供評價(jià)銀行信息科技風(fēng)險(xiǎn)管理各領(lǐng)域狀況的參考標(biāo)準(zhǔn)，并提出了具體的檢查要求和步驟，進(jìn)一步規(guī)范了信息科技風(fēng)險(xiǎn)現(xiàn)場檢查的程序、手段和行為，是銀監(jiān)會及各級派出機(jī)構(gòu)實(shí)施現(xiàn)場檢查工作的一個重要參考依據(jù)和檢查指導(dǎo)工具。167。 指明商業(yè)銀行信息科技風(fēng)險(xiǎn)防控的重點(diǎn)領(lǐng)域、方向和關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，提出了風(fēng)險(xiǎn)識別、預(yù)警和控制的具體手段，商業(yè)銀行可以充分借鑒《指南》內(nèi)的信息科技風(fēng)險(xiǎn)防控原則和指導(dǎo)思想，應(yīng)用到銀行信息科技建設(shè)和管理實(shí)踐中，成為指導(dǎo)銀行全面開展科技風(fēng)險(xiǎn)防控、提升管理能力的有力武器。 四、 信息科技風(fēng)險(xiǎn)監(jiān)管架構(gòu)信息科技風(fēng)險(xiǎn)監(jiān)管體系信息科技風(fēng)險(xiǎn)監(jiān)管年度計(jì)劃數(shù)據(jù)采集與審核信息科技風(fēng)險(xiǎn)分析與評估信息科技風(fēng)險(xiǎn)現(xiàn)場檢查信息科技風(fēng)險(xiǎn)監(jiān)測風(fēng)險(xiǎn)提示、預(yù)警及應(yīng)急處理年度信息科技監(jiān)管評級年度信息科技監(jiān)管報(bào)告體系概述 — 總體框架固有風(fēng)險(xiǎn) 控制有效性 = 剩余風(fēng)險(xiǎn)固有風(fēng)險(xiǎn)指標(biāo) 控制有效性指標(biāo)信息科技綜合風(fēng)險(xiǎn)水平信息科技風(fēng)險(xiǎn)評估指標(biāo)固有風(fēng)險(xiǎn)水平 控制有效性風(fēng)險(xiǎn)評估流程方法體系概述 — 剩余風(fēng)險(xiǎn)綜合分析矩陣剩余 風(fēng)險(xiǎn) 控制有效性強(qiáng) 中 強(qiáng) 中弱 弱固有風(fēng)險(xiǎn)高 三 級 四 級 五 級 六 級中高 二 級 三 級 四 級 五 級中低 一 級 二 級 三 級 四 級低 一 級 一 級 二 級 三 級體