【正文】 理？ ? 網(wǎng)絡(luò)管理？ ? 數(shù)據(jù)安全？ 評估指標(biāo) 定量指標(biāo) 74個(gè) 固有風(fēng)險(xiǎn)： 23個(gè) 監(jiān)管關(guān)注度： 9個(gè) 控制有效性： 42個(gè) 定性指標(biāo) 90個(gè) 固有風(fēng)險(xiǎn)： 10個(gè) (手工 2個(gè) ) 控制有效性： 80個(gè) (手工 8個(gè) ) 固有風(fēng)險(xiǎn)： 33個(gè) 監(jiān)管關(guān)注度： 9個(gè) 控制有效性： 122個(gè) 指標(biāo)合計(jì) 164個(gè) 基本思想 自動(dòng)化 自動(dòng)抽得指標(biāo)結(jié)果、自動(dòng)評分、自動(dòng)匯總、自動(dòng)分級 靈活性 標(biāo)準(zhǔn)化 審核標(biāo)準(zhǔn)規(guī)范化、評分規(guī)則標(biāo)準(zhǔn)化、參數(shù)標(biāo)準(zhǔn)化 得分可調(diào)整、結(jié)果可調(diào)整、參數(shù)調(diào)節(jié)因子 評估流程 綜合風(fēng)險(xiǎn)水平 非現(xiàn)場監(jiān)管報(bào)表 監(jiān)管人員評判調(diào)整指標(biāo)得分 系統(tǒng)自動(dòng)生成指標(biāo)得分 監(jiān)管關(guān)注度調(diào)節(jié)因子 固有風(fēng)險(xiǎn)分級結(jié)果 控制有效性分級結(jié)果 生成 后續(xù)監(jiān)管工作 參數(shù)值 監(jiān)管關(guān)注度調(diào)節(jié)因子 固有風(fēng)險(xiǎn)分級結(jié)果 控制有效性分級結(jié)果 抽取 評估打分表示例 指標(biāo)分值及意義 固有風(fēng)險(xiǎn) 5分制，分值越高，固有風(fēng)險(xiǎn)越高 控制有效性 監(jiān)管關(guān)注度 5分制，分值越高，關(guān)注度越高 5分制，分值越高，控制有效性越強(qiáng) 參數(shù)表 參數(shù)值 參數(shù)值 =行業(yè)基準(zhǔn)值 參數(shù) 調(diào)節(jié)因子 行業(yè)基準(zhǔn)值 ： 行業(yè)平均值 或 手工設(shè)定 的經(jīng)驗(yàn)值 參數(shù)調(diào)節(jié)因子： 用于 調(diào)整 行業(yè) 基準(zhǔn) 值的 因子 ，可根據(jù)評估結(jié)果進(jìn)行手動(dòng)調(diào)節(jié) 行業(yè)平均值 ：大、中、小，劃分標(biāo)準(zhǔn)可調(diào)整 ：政策性銀行、國有商業(yè)銀行及 郵政儲(chǔ)蓄銀行 、股份制商業(yè)銀行、城市商業(yè)銀行及城市信用社、省聯(lián)社及農(nóng)村商業(yè)銀行、農(nóng)村合作銀行及 農(nóng)村 信用社、外資法人商業(yè)銀行 行業(yè)平均值 使用行業(yè)固定值時(shí)，調(diào)節(jié)因子通常設(shè)為 1； 固有風(fēng)險(xiǎn)指標(biāo)的參數(shù)調(diào)節(jié)因子設(shè)為 ，平均值相當(dāng)于得 70分（中低上限）； 監(jiān)管關(guān)注度指標(biāo)的調(diào)節(jié)因子設(shè)為 ，平均值相當(dāng)于得 75分（監(jiān)管關(guān)注度調(diào)節(jié)因子 ）； 控制有效的指標(biāo)的調(diào)節(jié)因子為 ，平均值得 70分（中弱上限）。 ? 信息科技風(fēng)險(xiǎn)歷史記錄。信息科技支持能力應(yīng)與機(jī)構(gòu)規(guī)模相適應(yīng)，并在一定時(shí)期內(nèi)能夠持續(xù)滿足對網(wǎng)點(diǎn)規(guī)模增長的需求） ? 業(yè)務(wù)量。如：境外外包商，外包商采用非授權(quán)工具提供服務(wù)，外包商常駐機(jī)構(gòu)與其內(nèi)部員工共同進(jìn)行現(xiàn)場作業(yè)等。 ? 外包商完全位于境外或。 指標(biāo)體系 — 固有風(fēng)險(xiǎn)指標(biāo) 信息科技服務(wù) 外包 子領(lǐng)域 風(fēng)險(xiǎn)成因 信息科技服務(wù)外包 ? 外包人員變動(dòng)導(dǎo)致外包服務(wù)持續(xù)性受影響，導(dǎo)致服務(wù)質(zhì)量下降、進(jìn)度拖延等可能性。 ? 項(xiàng)目規(guī)模及復(fù)雜度難以駕馭。 ? 外部機(jī)構(gòu)擁有或分享本機(jī)構(gòu)生產(chǎn)數(shù)據(jù)的控制權(quán)，例如：監(jiān)管要求、審計(jì)需要、外包等。例如，基于數(shù)據(jù)倉庫技術(shù)的商業(yè)智能系統(tǒng)的運(yùn)用。 ? 仍在使用已過時(shí)或缺乏廠商技術(shù)支持的系統(tǒng)恢復(fù)設(shè)施或技術(shù)。本機(jī)構(gòu)系統(tǒng)恢復(fù)設(shè)施的失效可能影響對方的系統(tǒng)恢復(fù)，增加本機(jī)構(gòu)在經(jīng)濟(jì)責(zé)任、法律及聲譽(yù)等方面的風(fēng)險(xiǎn)。 ? 公共基礎(chǔ)設(shè)施（電力、電信、交通、機(jī)房建筑等）服務(wù)中斷、異常，對機(jī)構(gòu)業(yè)務(wù)持續(xù)運(yùn)行產(chǎn)生不利影響。 指標(biāo)體系 — 固有風(fēng)險(xiǎn)指標(biāo) 數(shù)據(jù)中心運(yùn)行 與 災(zāi)備子領(lǐng)域 風(fēng)險(xiǎn)成因 數(shù)據(jù)中心運(yùn)行 與 災(zāi)備 ? 數(shù)據(jù)中心的重大變動(dòng)對信息科技正常運(yùn)行產(chǎn)生不利影響。 ? 重要信息系統(tǒng)復(fù)雜程度高，存在安全性和完整性問題。 體系概述 — 數(shù)據(jù)關(guān)系 風(fēng)險(xiǎn)評估指標(biāo) 非現(xiàn)場監(jiān)管報(bào)表 其 他 監(jiān) 管 干 預(yù) 現(xiàn)場檢查結(jié)果 風(fēng)險(xiǎn) 評估 監(jiān)管評級 現(xiàn)場檢查 結(jié)果 指標(biāo)體系 — 固有風(fēng)險(xiǎn)指標(biāo) 重要 信息系統(tǒng) 數(shù)據(jù)中心運(yùn)行 與 災(zāi)備 信息科技項(xiàng)目 信息科技 服務(wù)外包 系統(tǒng)恢復(fù)及 數(shù)據(jù)保護(hù) 監(jiān)管關(guān)注度 信息科技 固有風(fēng)險(xiǎn)指標(biāo) 固有風(fēng)險(xiǎn) 子領(lǐng)域 指標(biāo)體系 — 固有風(fēng)險(xiǎn)指標(biāo) 重要 信息系統(tǒng)子領(lǐng)域 風(fēng)險(xiǎn)成因 重要 信息系統(tǒng) ? 核心業(yè)務(wù)系統(tǒng)替換后影響未消除，導(dǎo)致業(yè)務(wù)無法正常運(yùn)行。 【 控制有效性 】 是指機(jī)構(gòu)所采用的信息科技風(fēng)險(xiǎn)控制措施的設(shè)計(jì)與執(zhí)行效果滿足監(jiān)管機(jī)構(gòu)和信息科技風(fēng)險(xiǎn)管理要求的程度。 【 信息科技固有風(fēng)險(xiǎn) 】 是固有風(fēng)險(xiǎn)的重要組成部分，特指機(jī)構(gòu)在運(yùn)用信息技術(shù)的運(yùn)用過程中所面對的固有風(fēng)險(xiǎn)。 ? 指明商業(yè)銀行信息科技風(fēng)險(xiǎn)防控的重點(diǎn)領(lǐng)域、方向和關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，提出了風(fēng)險(xiǎn)識別、預(yù)警和控制的具體手段，商業(yè)銀行可以充分借鑒《指南》內(nèi)的信息科技風(fēng)險(xiǎn)防控原則和指導(dǎo)思想，應(yīng)用到銀行信息科技建設(shè)和管理實(shí)踐中，成為指導(dǎo)銀行全面開展科技風(fēng)險(xiǎn)防控、提升管理能力的有力武器。 《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問責(zé)方案》 ?要點(diǎn) ? 要求法人銀行機(jī)構(gòu)簽署信息系統(tǒng)安全保障責(zé)任書，明確高管人員對信息系統(tǒng)安全保障的管理責(zé)任 ? 對管理失職造成不良后果的，追究責(zé)任 《 銀行業(yè)金融機(jī)構(gòu)信息科技非現(xiàn)場監(jiān)管報(bào)表 》 ? 要點(diǎn)： ? 明確信息科技風(fēng)險(xiǎn)部門為報(bào)送責(zé)任部門 ? 包括 1份年度報(bào)告、 14張年度報(bào)表、 6張季度報(bào)表、 7張實(shí)時(shí)報(bào)表 《 商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場檢查指南 》 ?要點(diǎn) ? 明確了商業(yè)銀行目前主要的信息科技風(fēng)險(xiǎn)領(lǐng)域、主要風(fēng)險(xiǎn)點(diǎn)，闡明了檢查思路和主要方法，幫助檢查人員明確檢查目標(biāo)，從而提高信息科技風(fēng)險(xiǎn)現(xiàn)場檢查的有效性和針對性，提升現(xiàn)場檢查質(zhì)量。 ? 要求： ? 總資產(chǎn) 1千億元人民幣且跨省經(jīng)營的法人銀行及省級農(nóng)信社要建立異地災(zāi)備中心，災(zāi)難恢復(fù)等級達(dá)到 5級以上，其他法人銀行應(yīng)設(shè)立同城災(zāi)備中心并實(shí)現(xiàn)數(shù)據(jù)異地備份，災(zāi)難恢復(fù)等級達(dá)到 4級以上。 ?要點(diǎn) ? 加強(qiáng)和規(guī)范銀行機(jī)構(gòu)信息系統(tǒng)投產(chǎn)和變更管理，避免系統(tǒng)投產(chǎn)或變更過程造成業(yè)務(wù)中斷或數(shù)據(jù)丟失情況 ? 重要信息系統(tǒng)投產(chǎn)前至少 20個(gè)工作日、變更前至少 10個(gè)工作日向監(jiān)管部門報(bào)告，實(shí)施后 1個(gè)月內(nèi)提交投產(chǎn)或變更情況報(bào)告 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 ? 概念 ? 數(shù)據(jù)中心：生產(chǎn)中心和災(zāi)備中心 ? 災(zāi)備中心：商業(yè)銀行為保障業(yè)務(wù)連續(xù)性，在生產(chǎn)中心故障、聽短或癱瘓后，能夠接替生產(chǎn)中心運(yùn)行，具備專用場所、進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運(yùn)行的組織。 ? 主要概念 ? 重要信息系統(tǒng)：指支撐銀行業(yè)金融機(jī)構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織權(quán)益或社會(huì)秩序和公共利益，甚至影響國家安全的信息系統(tǒng) ? 要點(diǎn)： ? 明確定義了董事會(huì)及高管層、風(fēng)險(xiǎn)管理部門、信息科技管理部門和業(yè)務(wù)管理部門在突發(fā)事件中的職責(zé)要求，明確了應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急執(zhí)行小組、應(yīng)急保障小組的職責(zé)分工 ? 對突發(fā)事件進(jìn)行分級定義，將突發(fā)事件按照影響范圍和持續(xù)時(shí)間分為特別重大突發(fā)事件（兩個(gè)以上省業(yè)務(wù)中斷超過 3小時(shí)或一個(gè)省超過 6小時(shí)） 、重大突發(fā)事件（兩個(gè)以上省業(yè)務(wù)中斷半小時(shí)或一個(gè)省超 3小時(shí)） 、 交大突發(fā)事件（一個(gè)省業(yè)務(wù)中斷超半小時(shí) ） 三個(gè)級別 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行） 》 ? 要點(diǎn)： ? 要求銀行機(jī)構(gòu)建立信息科技風(fēng)險(xiǎn)防范體系，制定信息系統(tǒng) RTO（ 最短恢復(fù)時(shí)間目標(biāo)）、 RPO（ 最近恢復(fù)點(diǎn)目標(biāo)）指標(biāo) 《 銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試