1、信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责。(2)是否建立完善的信息科技管理制度体系。(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。(4)是否明确信息科技治理作为重要组成部分纳入公司治理。评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系
2、统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。2.信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。(3)董事会、高管层等决策人
3、员是否具备足够的信息科技专业知识能力。评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。(二)信息科技风险管理(12分)1.信息科技风险管理体系(
4、6分)(1)是否将信息科技风险纳入全面风险管理体系,建立完善的信息科技风险管理组织架构。(2)是否建立信息科技风险管理策略和管理制度。评分原则:(1)考察是否将信息科技风险纳入全面风险管理,明确风险管理部门统一负责信息科技风险管理。信息科技风险管理职责仍在信息科技部门的此项得分不超过3分。(2)考察风险管理部门中是否配备一定数量专职信息科技风险管理人员,信息科技风险管理人员是否具备相关专业背景和技能。(3)考察是否建立信息科技风险管理策略和管理制度,管理制度是否完善,覆盖是否全面。2.信息科技风险管理日常运作(6分)(1)信息科技风险评估流程和方法是否完善。(2)是否建立常态化的风险识别和监测
5、机制。(3)信息科技风险评估结果是否得到合理运用。评分原则:(1)考察是否建立信息科技风险识别、风险分析、风险处置等工作机制;信息科技风险评级和风险分析工作中是否开展业务影响分析工作,是否进行风险级别划分,并有风险级别划分标准。(2)是否建立信息科技风险监测关键风险点指标,风险监测指标是否定期评审、改进,风险监测结果是否向有关部门及高管层报告等。(3)是否建立信息科技风险损失评估及处置机制。(三)信息科技审计(10分)1.信息科技风险监督体系(4分)是否建立信息科技审计体系,以及信息科技审计体系的合理性。评分原则:(1)商业银行是否将信息科技审计工作纳入内部审计部门工作范畴;商业银行内部审计制
6、度是否纳入信息科技审计相关内容,包括审计依据、标准和方法等内容;是否定期开展信息科技审计活动;发生信息科技重大突发事件时,内审部门是否介入调查;是否对信息科技重大项目实施财务审计。(2)考察信息科技内审工作独立性和汇报路线的合理性。2.信息科技内外部审计(6分)(1)信息科技审计覆盖率。(定量)(2)信息科技审计整改率。(定量)(3)信息科技专项审计占比。(定量)评分原则:(1)考察近三年信息科技审计覆盖率,包括信息科技内外审一级分支机构覆盖率及重要信息系统覆盖率。【一级分支机构覆盖率】=【已开展全面信息科技审计的一级分支机构数】/【一级分支机构总数】*100%【重要信息系统覆盖率】=【已开展
7、信息科技审计的数据中心、重要信息系统、重大项目数】/【数据中心、重要信息系统、重大项目总数】*100%(2)考察近两年信息科技内(外)审整改率。【信息科技内(外)审整改率】=【信息科技内(外)审报告中发现问题已完成整改的问题数量】/【信息科技内(外)审报告中发现问题的总和】*100%(3)考察近两年内(外)审工作中信息科技专项审计占比。【信息科技专项审计占比】=【信息科技专项审计次数】/【全部审计次数】*100%(四)信息安全管理(14分)1.信息安全管理体系(8分)(1)是否建立信息安全管理体系。(2)信息安全管理体系的完整性。(3)电子银行信息安全管理体系的完整性。评分原则:(1)考察是否
8、建立合理的信息安全管理组织架构及制度体系。(2)考察信息安全管理体系是否完整,安全保障措施是否完善。物理安全:中心机房及重点区域是否有环境监测、巡检、报警等安全防控措施,环境监测覆盖范围是否完备等。网络安全:是否制定完善的网络安全访问控制策略,是否定期进行网络安全漏洞扫描,是否有完备的网络边界策略等。数据安全:是否有重要或敏感数据的定义标准和访问控制策略,是否制定数据备份和恢复策略,是否有生产数据提取、使用、销毁等环节的安全防护措施。终端安全:是否有终端安全防控措施,桌面终端是否安装病毒防护及防火墙软件,病毒库是否定期更新,桌面终端移动介质使用管理,设备管理,行为审计等。访问控制:是否建立物理
9、和逻辑访问控制策略;中心机房等重要区域门禁系统认证方式及进出访问安全控制策略是否合理;重要信息系统逻辑访问控制策略是否完善,包括权限管理、密码策略等。(3)电子银行信息安全管理体系的完整性:电子银行系统是否定期开展渗透性测试;是否有客户端安全防控措施;是否有强制双因素身份认证;是否有客户敏感信息防护措施等。2.信息安全管理执行力(6分)信息安全管理规定执行情况;当年发生的信息安全事件情况。评分原则:(1)信息安全管理组织架构是否存在重大缺陷,信息安全管理制度是否定期评价并修订完善;信息安全管理各项措施是否严格落实,执行过程中是否存在重大缺陷。(2)当年发生的信息安全事情情况,事件发生次数可与同
10、质同类机构平均值比较,并根据事件的负面影响程度进行酌情扣分。(五)信息系统开发及测试(12分)1.信息科技项目管理体系(6分)是否有完善的信息科技项目管理组织和信息系统开发测试管理制度;是否有规范化的信息科技项目生命周期管理流程。评分原则:(1)考察是否建立了规范的项目管理组织、制度和流程,明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评价等职责;项目管理组织架构严重缺失的此项最高2分。(2)考察信息科技项目生命周期管理流程是否包括需求分析、设计、开发或外购、测试、试运行、部署、维护和退出等环节,系统开发方法是否与信息科技项目的规模、性质和复杂度相匹配。2.项目管理过程中的风险控
11、制(6分)(1)信息科技项目生命周期各重要环节是否开展风险管控。(2)信息科技项目重点环节的风险管控情况。评分原则:(1)考察信息科技风险管控是否涵盖信息科技项目生命周期各重要环节,如需求分析阶段是否有业务部门提出明确的风险控制要求,是否有应急恢复目标、灾难恢复目标、数据管理目标等要求,信息科技审计人员或信息安全人员是否参加项目阶段评审,风险管理组织是否开展阶段风险评估等。(2)是否建立必要的安全隔离措施,包括生产系统与开发系统、测试系统的有效隔离,生产系统与开发系统、测试系统的管理职能相分离,应用程序开发和维护人员未经允许不可进入生产系统等。(3)考察业务部门在信息系统开发及测试各阶段的参与
12、度。业务部门是否参与需求分析、测试、项目各阶段质量评审、用户验收测试、项目后评价等;已完成开发和测试环境的程序或系统配置变更应用到生产系统前是否经业务部门批准。(4)考察重要信息系统源代码控制率(定量)。【重要信息系统源代码控制率】=【机构拥有全部源代码且具备后续自主维护开发能力、外部机构人员未经授权不能访问系统源代码进行功能定制扩展的重要信息系统数】/【重要信息系统总数】*100%(六)信息科技运行及维护(15分)1.信息科技运行及维护管理体系(8分)是否建立信息科技运行维护管理体系。评分原则:(1)考察是否有规范的信息科技运行及维护管理流程,并制定详尽的信息科技运行操作说明。(2)信息科技
13、运行及维护管理流程是否涵盖事件管理、问题管理、容量管理、变更管理、服务水平管理、可用性管理等。(3)信息科技运行及维护管理体系是否定期评价并修订完善。2.信息科技运行维护运作(7分)信息科技运行及维护管理各流程运作是否规范。评分原则:(1)是否采用信息化管理平台等措施提高运行与维护管理效率,完善运行与维护管理流程。(2)信息科技内部是否有岗位制约机制,如信息科技运行与系统开发和维护的分离等。(3)是否有容量规划,重要信息系统性能和容量设置是否恰当,性能和容量变更机制是否合理。(4)考察重要信息系统服务可用率(定量)。【重要信息系统服务可用率】=【计划提供服务总时间-计划停止服务时间-非计划停止
14、服务时间】/【计划提供服务总时间】*100%(5)考察核心业务系统交易成功率(定量)。【核心业务系统交易成功率】=【核心业务系统生产交易成功笔数】/【核心业务系统生产交易总笔数】*100%(6)考察重要信息系统监控覆盖率(定量)。【重要信息系统监控覆盖率】=【实施应用级监控的重要信息系统数】/【重要信息系统总数】*100%(七)业务连续性管理(12分)1.业务连续性管理体系(7分)(1)业务连续性管理组织架构是否健全;(2)是否开展业务影响分析,并制定业务连续性计划;业务连续性演练及改进情况;应急处置工作情况。评分原则:(1)是否建立日常业务连续性管理组织,是否制定业务连续性管理政策和制度,业
15、务连续性管理组织职责是否清晰完善。(2)业务连续性管理相关参与部门设置是否合理;业务连续性管理主管部门为信息科技部门,且业务连续性管理组织不包含主要业务部门的此项得分不超过2分。(3)是否完成所有重要业务影响分析,明确业务恢复优先级和恢复目标;是否制定所有重要业务的业务连续性计划,相关资源建设是否到位;是否定期开展业务连续性演练,并评估改进,是否对业务连续性管理工作进行审计;是否有健全的信息科技突发事件应急处置机制。2.业务连续性管理日常运作效果(5分)(1)业务连续性资源建设是否与业务发展匹配;(2)重要信息系统灾备覆盖率。(定量)评分原则:(1)考察信息科技基础设施是否满足当前及未来几年业
16、务发展需要,数据中心、灾备中心建设是否符合相关监管要求;(2)考察重要信息系统灾备覆盖率指标。【重要信息系统灾备覆盖率】=【纳入同城/异地灾备、灾备级别为应用级/数据级且演练评估结果为真实接管生产的重要信息系统数】/【重要信息系统总数】*100%(八)信息科技外包管理(10分)1.外包管理组织架构和外包战略(2分)是否建立清晰、合理的信息科技外包管理组织架构,是否制定外包战略。评分原则:(1)考察是否建立清晰的外包管理组织架构;是否明确高管层、信息科技外包管理主管部门和执行部门的风险管理职责;信息科技外包风险管理部门和审计部门是否定期开展信息科技外包风险管理的评估和审计工作。(2)是否制定与自
17、身规模、市场地位相适应的外包战略;是否有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。2.信息科技外包管理(4分)(1)是否开展外包风险评估及外包服务商尽职调查。(2)外包合同内容是否完整。(3)外包服务监督与评价。评分原则:(1)考察外包项目立项前是否进行风险评估;是否有合理的外包服务商准入标准;重要的服务提供商是否开展尽职调查。(2)是否签订外包合同,外包合同内容是否包括对外包服务商的必要约束条款。(3)是否对外包服务过程进行持续监控,对外包服务商进行评价,督促不断提升外包服务水平;是否建立恰当的应急预案,应对外包服务商可能出现的重大缺失。3.跨境及非驻场外包管理(2分)(1)
18、跨境外包风险管理。(2)非驻场外包服务的风险管理机制建设及执行效果。评分原则:(1)存在跨境外包服务的,考察外包过程中是否充分考虑跨境外包带来的国别风险,风险处置措施是否恰当。(2)存在非驻场外包服务的,是否建立非驻场外包服务的内部控制及风险管理标准和机制,在信息安全、知识产权保护、质量监控、法律合规等方面是否有对服务提供商的风险管理要求。4.重点外包服务机构管理(2分)(1)重点外包服务商的认定。(2)对重点外包服务商的管理要求。评分原则:(1)是否制定重点外包服务商认定标准,建立明确的重点外包服务商清单,是否对重点外包服务商的组织架构、服务管理体系、技术服务能力、资质等进行考察和跟踪。(2
19、)是否对重点外包服务商的风险管理、年度审计工作提出明确要求。(九)信息科技监管重大关注事项1.信息科技治理结构重大变化出现信息科技管理组织架构、信息科技高管层和科技部门负责人异常调整、信息科技战略重大变动等情况,对商业银行产生不利影响的,视负面影响情况,每种扣3-5分。本指标最高扣10分。2.重要信息系统突发事件发生一起银行业重要信息系统突发事件应急管理规范(试行)(银监办发200853号)定义的特别重大或重大突发事件,或两起(含)以上较大突发事件的,且认定商业银行在突发事件中负有管理责任,评级最高为三级。3.涉及信息科技的案件发生涉及信息科技案件的,视认定的商业银行责任和案件负面舆情影响,每起案件扣5-10分,最高扣20分。4.存在严重违反相关信息科技监管法规制度的行为对于在遵守信息科技监管相关规章制度方面存在重大问题的商业银行,如在评级年度内因信息科技事件受到20万元以上的监管处罚,评级结果最高为4级。5.现场检查发现的重大风险隐患本年度现场检查工作中发现重要信息系统、基础设施等存在的重大风险隐患,可能对商业银行业务正常开展造成重大影响的,评级最高为三级。