銀行業(yè)金融機構(gòu)信息科技風(fēng)險非現(xiàn)場監(jiān)管報表

1、精選優(yōu)質(zhì)文檔-傾情為你奉上銀行業(yè)金融機構(gòu)信息科技風(fēng)險非現(xiàn)場監(jiān)管報表（征求意見稿）1目 錄第一部分年度報表.1I信息科技風(fēng)險調(diào)查問卷.1Q-R-1 信息科技風(fēng)險調(diào)查問卷.1II基本情況報表.8T-B-1 信息科技治理基本情況表.8T-B-2 信息科技風(fēng)險管理情況表.10T-B-3 信息科技內(nèi)外部審計與評估基本情況表.12T-B-4 應(yīng)急管理基本情況表.14T-B-5 信息科技項目基本情況表.15T-B-6 災(zāi)備基本情況表.16T-B-7 外包基本情況表.18T-B-8 各類中心基本情況表.19T-B-9 數(shù)據(jù)中心及災(zāi)備中心機房基本情況表.20T-B-10 重要信息系統(tǒng)統(tǒng)計表.21T-B-11 網(wǎng)

2、絡(luò)基本情況表.23T-B-12 電子銀行業(yè)務(wù)品種統(tǒng)計表.24T-B-13 電子銀行業(yè)務(wù)量統(tǒng)計表.25第二部分季度報表.27T-B-14 重要信息系統(tǒng)運行基本情況報表.27T-B-15 組織機構(gòu)、人員重大變動表.30第三部分報告.31R-R-1 信息化建設(shè)與信息科技風(fēng)險管理年度報告.31附錄參考定義.322填報須知一、本報表作為銀監(jiān)會信息科技風(fēng)險監(jiān)管體系的重要組成部分及信息科技風(fēng)險識別、評估工作的基礎(chǔ)和前提，旨在全面收集和監(jiān)測銀行業(yè)金融機構(gòu)信息科技風(fēng)險狀況。二、本報表主要適用于在中華人民共和國境內(nèi)依法設(shè)立的政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合

3、作銀行、城市信用社、農(nóng)村信用社、外資法人銀行等銀行業(yè)金融機構(gòu)。三、本報表是為針對信息科技風(fēng)險而設(shè)的專門報表，銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對所填報數(shù)據(jù)的真實性負(fù)責(zé)。四、本報表應(yīng)由風(fēng)險管理部門組織填報。五、本報表分為年度報表、季度報表和報告。年度報表統(tǒng)計周期為12個月，即上一年10月1日至本年度9月30日，報送截止時間為每年10月15日；季度報表報送時間為季后10日內(nèi)；報告報送時間為自然年后40日內(nèi)。六、報表中未特別說明統(tǒng)計范圍的，皆指全行范圍。七、填報過程中，對于需要特別說明的項目或問題，請在備注欄中描述具體情況。八、報送截止后，對于存在疑問的報表，監(jiān)管人員可要求機構(gòu)提供詳實材料予以核實或重報；如有必要，

4、將發(fā)起現(xiàn)場檢查，并以現(xiàn)場檢查結(jié)果為準(zhǔn)。九、本報表附有術(shù)語參考定義，填報過程中可供參考。1第一部分年度報表I信息科技風(fēng)險調(diào)查問卷Q-R-1 信息科技風(fēng)險調(diào)查問卷填報機構(gòu)： 填報人： 責(zé)任人： 填報日期： 年 月 日編號 項目 填報說明 內(nèi)容 單位 備注1.信息科技風(fēng)險管理Q0001對信息科技制度進(jìn)行定期修訂以信息科技制度修訂發(fā)文為準(zhǔn)是否 N/AQ0002對信息科技規(guī)劃定期評估并修改若對信息科技規(guī)劃定期評估并修改，請回答是是否 N/AQ0003制定了關(guān)鍵崗位輪崗計劃并依照執(zhí)行以輪崗計劃和記錄（接替崗位后工作至少一周）為準(zhǔn)是否 N/AQ0004規(guī)定在職人員定期參加信息安全及保密培訓(xùn)以相應(yīng)人員參與的培

5、訓(xùn)記錄為準(zhǔn)是否 N/A2.審計Q0005依據(jù)制定的審計計劃、方案開展信息科技審計以相應(yīng)批文為準(zhǔn)是否 N/AQ0006信息科技審計報告抄送風(fēng)險管理部門以提交給風(fēng)險管理部門的審計報告為準(zhǔn)是否 N/AQ0007與外部審計機構(gòu)簽署保密協(xié)議若所有的外部審計活動均與外部審計機構(gòu)簽署保密協(xié)議，請回答是是否 N/AQ0008信息科技內(nèi)部審計覆蓋的比例請計算最近12個月信息科技內(nèi)部審計的分支機構(gòu)數(shù)與分支機構(gòu)數(shù)的比值%3.重要信息系統(tǒng)Q0009發(fā)生核心業(yè)務(wù)系統(tǒng)替換或計劃實施核心業(yè)務(wù)系統(tǒng)替換若最近 12 個月發(fā)生核心系統(tǒng)的替換或未來12個月計劃實施，請回答是是否 N/AQ0010有多少家外部機構(gòu)將系統(tǒng)或設(shè)備交由本機

6、構(gòu)托管如有其他機構(gòu)（或銀行）將其系統(tǒng)、設(shè)備或業(yè)務(wù)處理交由本機構(gòu)管理（托管行為），請統(tǒng)計這些機構(gòu)的數(shù)量個Q0011 交由外部機構(gòu)托管的系統(tǒng)數(shù)請統(tǒng)計交由外部機構(gòu)托管的系統(tǒng)數(shù)個Q0012與本機構(gòu)發(fā)生數(shù)據(jù)交換的外聯(lián)系統(tǒng)數(shù)量請統(tǒng)計所有與本機構(gòu)發(fā)生數(shù)據(jù)交換的外聯(lián)系統(tǒng)總數(shù)，以運行部門的記錄或外部接口文件（EIF）記錄為準(zhǔn)個2Q0013生產(chǎn)環(huán)境中具有高耦合度的信息系統(tǒng)數(shù)若系統(tǒng)的耦合度高，單一系統(tǒng)出現(xiàn)故障時會導(dǎo)致其他多個系統(tǒng)無法正常運行，請分析和統(tǒng)計能導(dǎo)致此類情況的系統(tǒng)總數(shù)。以系統(tǒng)結(jié)構(gòu)圖或內(nèi)部邏輯接口文件（ILF）為準(zhǔn)個Q0014仍在使_用供應(yīng)商已正式宣布停止支持的系統(tǒng)平臺的重要信息系統(tǒng)數(shù)系統(tǒng)平臺包括：操作系統(tǒng)

7、、數(shù)據(jù)庫、中間件、服務(wù)器等個Q0015核心業(yè)務(wù)系統(tǒng)中相互邏輯分離的數(shù)據(jù)庫數(shù)例如，對公業(yè)務(wù)使用的數(shù)據(jù)庫和對私業(yè)務(wù)使用的數(shù)據(jù)庫是邏輯分離的，其中一個數(shù)據(jù)庫失效不會影響另一個數(shù)據(jù)庫的正常運行，就記作2 個相互邏輯分離的數(shù)據(jù)庫個Q0016重要信息系統(tǒng)當(dāng)前容量規(guī)劃可滿足業(yè)務(wù)發(fā)展需求的最少年數(shù)以容量規(guī)劃文檔為準(zhǔn)年4.系統(tǒng)開發(fā)與測試Q0017項目實施部門定期向信息科技管理委員會提交重大項目進(jìn)度報告以提交的進(jìn)度報告為準(zhǔn)是否 N/AQ0018在重大項目各階段均進(jìn)行風(fēng)險評估，并向項目管理組織溝通風(fēng)險點，確定處置方案以各階段風(fēng)險評估報告記錄為準(zhǔn)是否 N/AQ0019業(yè)務(wù)和系統(tǒng)需求等經(jīng)業(yè)務(wù)部門和科技部門共同確認(rèn)以需求

8、、設(shè)計相關(guān)文檔為準(zhǔn)是否 N/AQ0020將信息安全要求納入系統(tǒng)設(shè)計以需求、設(shè)計相關(guān)文檔為準(zhǔn)。信息安全要求主要包括數(shù)據(jù)安全、身份驗證、權(quán)限管理等內(nèi)容是否 N/AQ0021系統(tǒng)投產(chǎn)前，準(zhǔn)生產(chǎn)驗證環(huán)境的軟件與生產(chǎn)環(huán)境相同準(zhǔn)生產(chǎn)驗證環(huán)境的軟件包括操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用程序。以生產(chǎn)驗證環(huán)境和生產(chǎn)環(huán)境的配置項清單為準(zhǔn)是否 N/AQ0022總行科技部門現(xiàn)行項目中，有獨立質(zhì)量保證人員參與的項目總數(shù)請統(tǒng)計目前分配有質(zhì)量保證人員的項目總數(shù)個Q0023完成用戶驗收測試的項目數(shù)請統(tǒng)計最近12個月完成用戶驗收測試的項目數(shù)個Q0024用戶驗收測試（UAT）前已完成代碼安全檢查的項目數(shù)請統(tǒng)計最近12個月上線的信息系

9、統(tǒng)在UAT前已完成代碼安全檢查工作的項目數(shù)個5.信息系統(tǒng)變更Q0025 建立變更的授權(quán)審批機制對信息系統(tǒng)變更進(jìn)行分級，針對不同等級的信息系統(tǒng)變更明確相應(yīng)的審批管理程序。以相關(guān)變更授權(quán)審批制度為準(zhǔn)是否 N/A3Q0026所有涉及生產(chǎn)環(huán)境的變更，變更前有回退和應(yīng)急方案在系統(tǒng)變更前，變_更申請部門制訂回退和應(yīng)急方案。以相關(guān)方案文檔為準(zhǔn)是否 N/AQ0027涉及生產(chǎn)環(huán)境的變更由業(yè)務(wù)部門與科技部門共同審批以審批流程文檔和審批人員清單為準(zhǔn)是否 N/AQ0028所有涉及生產(chǎn)環(huán)境的變更由獨立人員進(jìn)行復(fù)核以相關(guān)規(guī)定以及復(fù)核人員清單為準(zhǔn)是否 N/AQ0029所有變更都留有記錄，并由內(nèi)部審計人員或信息安全人員定期核

10、查以變更記錄和審查記錄為準(zhǔn)是否 N/AQ0030 重要信息系統(tǒng)緊急變更數(shù)請統(tǒng)計最近12個月內(nèi)重要信息系統(tǒng)緊急變更的次數(shù)。以系統(tǒng)運行部門的記錄為準(zhǔn)次Q0031 涉及生產(chǎn)環(huán)境的變更數(shù)請統(tǒng)計最近12個月內(nèi)涉及生產(chǎn)環(huán)境的變更總數(shù)（包括各信息科技生產(chǎn)部門的重要信息系統(tǒng)和非重要信息系統(tǒng)的變更）。以系統(tǒng)運行部門的記錄為準(zhǔn)次Q0032未在測試環(huán)境中進(jìn)行驗證的變更數(shù)請統(tǒng)計最近12個月內(nèi)未在測試環(huán)境中進(jìn)行驗證的變更數(shù)，以驗證記錄為準(zhǔn)次6.信息系統(tǒng)運行Q0033系統(tǒng)運行、維護(hù)、開發(fā)人員的崗位相互完全分離且不存在兼崗以崗位清單和崗位職責(zé)定義為準(zhǔn)是否 N/AQ0034為所有關(guān)鍵崗位配備規(guī)范、準(zhǔn)確的操作手冊以指導(dǎo)運行人員操作以操作手冊為準(zhǔn)是否 N/AQ0035運行人員對生產(chǎn)系統(tǒng)的操作由獨立人員復(fù)核若運行人員對生產(chǎn)系統(tǒng)的操作有獨立人員復(fù)合，請回答是是否 N/AQ0036運行人員對生產(chǎn)系統(tǒng)的任何操作保留操作記錄以操作記錄文檔和記錄方法說明為準(zhǔn)是否 N/AQ0037對數(shù)據(jù)庫均通過菜單、數(shù)據(jù)流操作若所有對數(shù)據(jù)庫的操作均通過菜單、數(shù)據(jù)流，而非直接操作數(shù)據(jù)庫