考點(diǎn)7:監(jiān)管要求
(一)信息科技治理
1. 信息科技治理組織結(jié)構(gòu)
(1)明確董事會(huì)���、高管層的信息科技治理職責(zé);信息科技發(fā)展戰(zhàn)略須經(jīng)董事會(huì)審批,年度信息科技工作決議須經(jīng)董事會(huì)會(huì)議形成��。
(2)建立信息科技管理制度的起草、發(fā)布�、修訂等工作流程,信息科技管理制度須涵蓋系統(tǒng)開發(fā)�����、項(xiàng)目管理���、系統(tǒng)運(yùn)行���、信息安全��、外包管理���、業(yè)務(wù)連續(xù)性等領(lǐng)域;建立完善的信息科技管理制度體系�����。
(3)明確信息科技管理����、信息科技風(fēng)險(xiǎn)管理和信息科技風(fēng)險(xiǎn)監(jiān)督的“三道防線”職責(zé)���,“三道防線”部門設(shè)置合理;
設(shè)立信息科技管理委員會(huì)�,成員來自高管層、信息科技部門和主要業(yè)務(wù)部門�,并定期向高管層匯報(bào)工作;確立信息科技問責(zé)機(jī)制、重大信息科技事項(xiàng)決策機(jī)制和信息科技風(fēng)險(xiǎn)通報(bào)機(jī)制等;建立完善合規(guī)的信息科技“三道防線”以及信息科技三道防線的實(shí)際運(yùn)作��。
(4)以正式制度(文件)明確信息科技治理作為重要組成部分納入公司治理;制定信息科技治理運(yùn)作效果考核指標(biāo)并定期進(jìn)行評(píng)價(jià);建立信息科技風(fēng)險(xiǎn)損失評(píng)估和處置機(jī)制��,由風(fēng)險(xiǎn)管理部門評(píng)估信息科技風(fēng)險(xiǎn)并計(jì)提信息科技風(fēng)險(xiǎn)撥備��。
2. 信息科技對(duì)業(yè)務(wù)發(fā)展的專業(yè)支持和匹配度
(1)建立明確����、可實(shí)施的信息科技發(fā)展戰(zhàn)略;定期評(píng)價(jià)信息科技戰(zhàn)略規(guī)劃實(shí)施效果,建立信息科技戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的協(xié)調(diào)一致機(jī)制����。
(2)信息科技人員數(shù)量、信息科技人員占比�����、信息科技投入占比與商業(yè)銀行發(fā)展水平匹配���。
(3)具有信息科技管理經(jīng)驗(yàn)的高管人員在董事會(huì)���、決策層具有一定的占比;設(shè)立首席信息官�,直接向行長(zhǎng)匯報(bào)�����,并參與重大決策�����,首席信息官具有一定的信息科技專業(yè)背景或從業(yè)經(jīng)驗(yàn)�����。
(4)信息科技預(yù)算占銀行年度預(yù)算的比例符合業(yè)務(wù)���、信息科技發(fā)展要求。
(二)信息科技風(fēng)險(xiǎn)管理
1. 信息科技風(fēng)險(xiǎn)管理體系
(1)將信息科技風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理�����,明確風(fēng)險(xiǎn)管理部門統(tǒng)一負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理���。
(2)建立完善的信息科技風(fēng)險(xiǎn)管理組織架構(gòu);風(fēng)險(xiǎn)管理部門中配備一定數(shù)量專職信息科技風(fēng)險(xiǎn)管理人員��,信息科技風(fēng)險(xiǎn)管理人員應(yīng)具備相關(guān)專業(yè)背景和技能�。
(3)建立信息科技風(fēng)險(xiǎn)管理策略和管理制度,信息科技風(fēng)險(xiǎn)管理制度應(yīng)完善��,覆蓋全面�。
【判斷題】應(yīng)將信息科技風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理,明確風(fēng)險(xiǎn)管理部門統(tǒng)一負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理���。
A.正確 B.錯(cuò)誤
答案:A
解析:按規(guī)定�,應(yīng)將信息科技風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理�,明確風(fēng)險(xiǎn)管理部門統(tǒng)一負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理。
2. 信息科技風(fēng)險(xiǎn)管理日常運(yùn)作
(1)風(fēng)險(xiǎn)管理部門科技風(fēng)險(xiǎn)管理崗有效開展相關(guān)工作或?qū)萍硷L(fēng)險(xiǎn)管理效果明顯;建立信息科技風(fēng)險(xiǎn)識(shí)別���、風(fēng)險(xiǎn)分析��、風(fēng)險(xiǎn)處置等工作機(jī)制;信息科技風(fēng)險(xiǎn)評(píng)級(jí)和風(fēng)險(xiǎn)分析工作中應(yīng)開展業(yè)務(wù)影響分析���,進(jìn)行風(fēng)險(xiǎn)級(jí)別劃分,并有風(fēng)險(xiǎn)級(jí)別劃分標(biāo)準(zhǔn)�。
(2)建立信息科技風(fēng)險(xiǎn)監(jiān)測(cè)關(guān)鍵風(fēng)險(xiǎn)點(diǎn)指標(biāo),風(fēng)險(xiǎn)監(jiān)測(cè)指標(biāo)應(yīng)定期評(píng)審����、改進(jìn)���,風(fēng)險(xiǎn)監(jiān)測(cè)結(jié)果應(yīng)向有關(guān)部門及高管層報(bào)告。
(3)信息科技風(fēng)險(xiǎn)評(píng)估流程和方法應(yīng)完善���,風(fēng)險(xiǎn)識(shí)別和檢測(cè)機(jī)制常態(tài)化���。
(4)建立信息科技風(fēng)險(xiǎn)損失評(píng)估及處置機(jī)制。
(三)信息安全管理
1. 信息安全管理體系
(1)建立合理的信息安全管理組織架構(gòu)及制度體系��。
(2)信息安全管理體系完整�,信息安全管理策略覆蓋全面。
(3)電子銀行信息安全管理體系完整�����。
2. 信息安全管理執(zhí)行力
(1)信息安全管理組織架構(gòu)無重大缺陷�,信息安全管理制度定期評(píng)價(jià)并修訂完善;信息安全管理各項(xiàng)措施嚴(yán)格落實(shí),執(zhí)行過程中無重大缺陷;定期開展信息安全評(píng)估��,評(píng)估全面;定期對(duì)互聯(lián)網(wǎng)交易系統(tǒng)開展安全評(píng)估��。
(2)建立信息安全違規(guī)問責(zé)制度����,并根據(jù)當(dāng)年發(fā)生的信息安全事件情況進(jìn)行問責(zé);按計(jì)劃開展信息安全檢查。
(四)信息系統(tǒng)開發(fā)及測(cè)試
1. 信息科技項(xiàng)目管理體系
(1)建立規(guī)范的項(xiàng)目管理組織���、制度和流程�����,明確需求管理���、開發(fā)管理、質(zhì)量保障���、問題管理��、版本管理�、項(xiàng)目后評(píng)價(jià)等職責(zé);為項(xiàng)目團(tuán)隊(duì)提供充足的人力資源配備�����,建立有效的激勵(lì)機(jī)制;具備項(xiàng)目創(chuàng)新能力�����。
(2)有規(guī)范化的信息科技項(xiàng)目生命周期管理流程�����,包括需求分析、設(shè)計(jì)����、開發(fā)或外購、測(cè)試�����、試運(yùn)行�、部署、維護(hù)和退出等環(huán)節(jié)��,系統(tǒng)開發(fā)方法與信息科技項(xiàng)目的規(guī)模�、性質(zhì)和復(fù)雜度相匹配。
2. 項(xiàng)目管理過程中的風(fēng)險(xiǎn)控制
(1)信息科技風(fēng)險(xiǎn)管控涵蓋信息科技項(xiàng)目生命周期各重要環(huán)節(jié)�����。
(2)建立必要的安全隔離措施����。
(3)業(yè)務(wù)部門應(yīng)全程參與信息系統(tǒng)開發(fā)及測(cè)試的全過程;已完成開發(fā)和測(cè)試環(huán)境的程序或系統(tǒng)配置變更應(yīng)用到生產(chǎn)系統(tǒng)前應(yīng)經(jīng)業(yè)務(wù)部門批準(zhǔn)�����。
(五)信息科技運(yùn)行及維護(hù)
1. 信息科技運(yùn)行及維護(hù)管理體系
(1)有規(guī)范的信息科技運(yùn)行及維護(hù)管理流程,并制定 詳盡的信息科技運(yùn)行操作說明����。
(2)信息科技運(yùn)行及維護(hù)管理流程應(yīng)涵蓋事件管理、 問題管理��、容量管理�、變更管理、服務(wù)水平管理�、可用性管理等。
(3)信息科技運(yùn)行及維護(hù)管理體系應(yīng)定期評(píng)價(jià)并修訂�����。
2. 信息科技運(yùn)行維護(hù)運(yùn)作
(1)采用信息化管理平臺(tái)等措施提高運(yùn)行與維護(hù)管理 效率�,完善運(yùn)行與維護(hù)管理流程。
(2)信息科技內(nèi)部有崗位制約機(jī)制�。
(3)有容量規(guī)劃,核心網(wǎng)絡(luò)�、重要信息系統(tǒng)、數(shù)據(jù)庫 性能和容量設(shè)置恰當(dāng)�����,性能和容量變更機(jī)制合理。
(4)重點(diǎn)關(guān)注重要信息系統(tǒng)服務(wù)可用率��、重點(diǎn)核心業(yè)務(wù)系統(tǒng)交易成功率和重要信息系統(tǒng)監(jiān)控覆蓋率等定量指標(biāo)�����。
(六)業(yè)務(wù)連續(xù)性管理
1. 業(yè)務(wù)連續(xù)性管理體系
(1)建立日常業(yè)務(wù)連續(xù)性管理組織�����,制定業(yè)務(wù)連續(xù)性管理政策和制度�,業(yè)務(wù)連續(xù)性組織架構(gòu)健全,職責(zé)清晰完善�����。
(2)業(yè)務(wù)連續(xù)性管理相關(guān)參與部門設(shè)置合理�。
(3)完成所有重要業(yè)務(wù)影響分析;明確業(yè)務(wù)恢復(fù)優(yōu)先級(jí)和恢復(fù)目標(biāo);制訂所有重要業(yè)務(wù)的業(yè)務(wù)連續(xù)性計(jì)劃,相關(guān)資源建設(shè)到位;定期開展業(yè)務(wù)連續(xù)性演練�����,并評(píng)估改進(jìn)���,對(duì)業(yè)務(wù)連續(xù)性管理工作進(jìn)行審計(jì);有健全的信息科技突發(fā)事件應(yīng)急處置機(jī)制����。
2. 業(yè)務(wù)連續(xù)性管理日常運(yùn)作效果
(1)信息科技基礎(chǔ)設(shè)施滿足當(dāng)前及未來幾年業(yè)務(wù)發(fā)展需要��,數(shù)據(jù)中心��、災(zāi)備中心建設(shè)符合相關(guān)監(jiān)管要求���。
(2)重點(diǎn)關(guān)注重要信息系統(tǒng)災(zāi)備覆蓋率指標(biāo)��。
(七)信息科技外包管理
1. 外包管理組織架構(gòu)和外包戰(zhàn)略
(1)建立清晰���、合理的外包管理組織架構(gòu);明確高 管層、信息科技外包管理主管部門和執(zhí)行部門的風(fēng)險(xiǎn)管理職責(zé);信息科技外包風(fēng)險(xiǎn)管理部門和審計(jì)部門定期開展信息科技外包風(fēng)險(xiǎn)管理的評(píng)估和審計(jì)工作���。
(2)制定與自身規(guī)模��、市場(chǎng)地位相適應(yīng)的外包戰(zhàn)略;有針對(duì)性地獲取或提升管理及技術(shù)能力��,降低對(duì)服務(wù)提供商的依賴����。
2. 信息科技外包管理
(1)外包項(xiàng)目立項(xiàng)前進(jìn)行風(fēng)險(xiǎn)評(píng)估;外包供應(yīng)商評(píng)價(jià)標(biāo)準(zhǔn)、流程�、準(zhǔn)入機(jī)制完善,有合理的外包服務(wù)商準(zhǔn)入標(biāo)準(zhǔn);對(duì)重要的服務(wù)提供商開展盡職調(diào)查����。
(2)簽訂外包合同,外包合同內(nèi)容包括對(duì)外包服務(wù)商的必要約束條款����。
(3)對(duì)外包服務(wù)過程進(jìn)行持續(xù)監(jiān)控,對(duì)外包服務(wù)商進(jìn)行評(píng)價(jià)�,督促不斷提升外包服務(wù)水平;定期對(duì)外包項(xiàng)目、重要外包商進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,定期對(duì)重要外包商進(jìn)行現(xiàn)場(chǎng)檢查或參與外包聯(lián)合檢查;建立恰當(dāng)���、完善的應(yīng)急預(yù)案�,應(yīng)對(duì)外包服務(wù)商可能出現(xiàn)的重大缺失���。
3. 跨境及非駐場(chǎng)外包管理
(1)存在跨境外包服務(wù)的��,外包過程中應(yīng)充分考慮跨境外包帶來的國(guó)別風(fēng)險(xiǎn)�,風(fēng)險(xiǎn)處置措施恰當(dāng)。
(2)存在非駐場(chǎng)外包服務(wù)的����,應(yīng)建立非駐場(chǎng)外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和機(jī)制,在信息安全���、知識(shí)產(chǎn)權(quán)保護(hù)、質(zhì)量監(jiān)控�����、法律合規(guī)等方面加強(qiáng)對(duì)服務(wù)提供商的風(fēng)險(xiǎn)管理���。
4. 重點(diǎn)外包服務(wù)機(jī)構(gòu)管理
(1)制定重點(diǎn)外包服務(wù)商認(rèn)定標(biāo)準(zhǔn)�����,建立明確的重點(diǎn)外包服務(wù)商清單�,對(duì)重點(diǎn)外包服務(wù)商的組織架構(gòu)�、服務(wù)管理體系、技術(shù)服務(wù)能力�����、資質(zhì)等進(jìn)行考察和跟蹤。
(2)對(duì)重點(diǎn)外包服務(wù)商的風(fēng)險(xiǎn)管理���、年度審計(jì)工作提出明確要求�。
(八)信息科技審計(jì)
1. 信息科技風(fēng)險(xiǎn)監(jiān)督體系
(1)建立合理的信息科技審計(jì)體系�,將信息科技審計(jì) 工作納入內(nèi)部審計(jì)部門工作范疇。
(2)信息科技內(nèi)審工作應(yīng)保持獨(dú)立性��,匯報(bào)路線合理����。
2. 信息科技內(nèi)外部審計(jì)
(1)近三年信息科技審計(jì)覆蓋率。
(2)近兩年信息科技內(nèi)(外)審整改率����。
(3)近兩年內(nèi)(外)審工作中信息科技專項(xiàng)審計(jì)占比。
(九)重大監(jiān)管關(guān)注事項(xiàng)
信息科技監(jiān)管人員可依據(jù)商業(yè)銀行信息科技治理結(jié)構(gòu)重大變化��、重要信息重大突發(fā)事件����、涉及信息科技的案件情況、現(xiàn)場(chǎng)檢查發(fā)現(xiàn)重大風(fēng)險(xiǎn)隱患等監(jiān)管關(guān)注事項(xiàng)���,對(duì)照信息科技管理的監(jiān)管要求進(jìn)行調(diào)整��。
