银监会信息科技风险监管报表及监管评级

银行业金融机构信息科技风险监管报表及监管评级-1-序言银监会成立以来，伴随着我国银行业的迅猛发展，信息科技已成为银行业金融机构取得竞争优势和实现经营战略的重要手段。为降低运行成本，提高运营效率和业务创新能力，多数银行已完成由分布式业务处理模式向统一帐务信息和客户信息的大集中处理模式的改造。在此背景下，系统的高度集中也带来了风险的集中，银行因主机或网络故障等造成的业务中断时有发生，信息系统的安全性、可靠性和连续性已直接影响到银行业的安全和金融体系的稳定。为此，刘明康主席在不同场合多次作出重要指示，要把信息科技风险纳入银行业总体风险监管框架，切实加强制度建设和风险监控，确保银行业信息系统安全稳定。自2006年以来，在“管法人、管风险、管内控、提高透明度”的监管理念指导下，银监会陆续颁布了《银行业金融机构信息科技风险管理指引》、《电子银行业务管理办法》和《银行业重要信息系统突发事件应急管理规范》等多部监管法规，标志着我国银行业信息科技风险监管工作已全面展开。在取得上述进展的同时，我们应清醒地认识到信息科技监管工作所面对的困难还很多，监管能力与监管目标之间还存在一定的差距，监管架构尚未完全建立，监管工作可以说是任重而道远。今年，为确保奥运期间银行信息系统安全、连续运行，银监会信息中心按照“集成资源，形成信息科技风险监管合力”的原则，大胆进行机制创新，集中银监会系统内科技骨干力量，在北京、上海、深圳成立了信息科技风险监管工作室。经过集中培训后，工作室对上述三地的银行机构进行了为期二个月的信息科技风险调研和检查，并通过风险提示的方式督促其实施风险防控，使银行抵御信息科技风险的整体水平有了较大提升，迈出了信息科技监管工作实质性的一步。值得肯定的是，深圳银监局不仅为工银行业金融机构信息科技风险监管报表及监管评级-2-作室提供了良好的工作环境，还开创性地组织工作室的人员编写了《银行业金融机构信息科技风险监管报表及监管评级》，为探索建立信息科技监管架构进行了有益的尝试。《银行业金融机构信息科技风险监管报表及监管评级》立足国内银行业信息科技现状，借鉴了COBIT、ITIL等有关IT风险管理和审计的国际标准，突出对关键风险点的揭示，具有较好的实用性和前瞻性。该书包括“信息科技风险监管报表”和“信息科技监管评级”两个部分。“信息科技风险监管报表”围绕银监会信息科技风险管理指引的监管内容设计，重点收集银行业金融机构信息科技治理、风险管理策略、项目管理、运行管理、网络安全、业务连续性和内外部审计等信息，为监管人员分析、识别信息科技风险提供有力依据并以此驱动现场检查；“信息科技监管评级”借鉴了CAMEL评级的构造模式和工作模式，将信息科技的主要监管要求指标化、分值化、评级化，系统地评价银行信息科技的治理水平和风险管理能力。相对于银监会整体监管水平，信息科技监管工作刚刚起步，经验不足，书中的错误和遗漏在所难免，希望大家能够谅解并给予鼓励。最后，我谨向全体编写人员以及提供支持的各银监局表示衷心的感谢，也向多次提供修改意见的香港金管局和商业银行的有关专家一并表达诚挚的谢意。银行业金融机构信息科技风险监管报表及监管评级-3-《银行业金融机构信息科技风险监管报表及监管评级》主编：林丽熊涛编委：银监会信息中心李丹骆絮飞深圳银监局邹伟匡景炜陈晓欢张强上海银监局徐卫飞江苏银监局（盐城银监分局）殷有超安徽银监局朱斌青海银监局周长宏重庆银监局李鹏宁波银监局陈敏西藏银监局傅继忠海南银监局朱江广西银监局林霖湖南银监局（常德银监分局）庞二梅甘肃银监局席斌山东银监局（维坊银监分局）王丽颖广东银监局单慧敏梁启华厦门银监局曾武祥陕西银监局（渭南银监分局）贺燕新疆银监局齐民银行业金融机构信息科技风险监管报表及监管评级-4-目录第一部分信息科技风险监管报表第一章基础报表..............................................................1表一：信息科技治理情况报表..............................................................................................................1表二：信息科技风险管理情况报表......................................................................................................4表三：基础设施情况报表....................................................................................................................11表四：应用系统开发测试维护情况报表.............................................................................................13表五：网络情况报表............................................................................................................................17表六：信息科技运行情况报表............................................................................................................21表七：电子银行情况报表....................................................................................................................26表八：业务连续性管理情况报表........................................................................................................31表九：外包管理情况报表....................................................................................................................36表十：外包合同情况报表....................................................................................................................37表十一：内部审计情况报表................................................................................................................38表十二：外部审计情况报表................................................................................................................40第二章临时报表.............................................................41表一：信息系统案件报表....................................................................................................................41表二：重要系统停止服务报表............................................................................................................42表三：重要业务系统变更报表............................................................................................................43第二部分信息科技监管评级第一章信息科技监管评级体系.................................................451.监管内容：信息科技治理（100分，权重占10%）...................................................................472.监管内容：信息科技风险管理（100分，权重占10%）...........................................................50银行业金融机构信息科技风险监管报表及监管评级-5-3.监管内容：信息安全（100分，权重占15%）...........................................................................554.监管内容：应用系统开发、测试和维护（100分，权重占15%）...........................................625.监管内容：信息科技运行（100分，权重占15%）...................................................................676.监管内容：业务连续性管理（100分，权重占20%）...............................................................717.监管内容：外包（100分，权重占5%）.....................................................................................748.监管内容：审计（100分，权重占10%）...................................................................................759.附加：重大风险事件罚则...............................................................................................................8010.综合评级级别定义表.......................................................................................................................82第二章信息科技监管评级操作手册.............................................831.信息科技监管评级表.......................................................................................................................832.信息科技监管评级工作底表................................................................................