商業銀行資訊科技風險動態監測規程徵求意見稿

商業銀行資訊科技風險動態監測規程

（徵求意見稿）

第一章總則

第一條為加強商業銀行資訊科技風險監管的及時性和前瞻性，實現對商業銀行資訊科技風險的持續和動態監測，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》以及其他相關法律法規，制定本規程。

第二條資訊科技風險動態監測是針對商業銀行資訊科技活動中的重點風險領域，通過選取關鍵風險指標，持續開展風險監測，動態跟蹤風險趨勢、前瞻研判風險態勢並及時採取監管措施的過程。

第三條資訊科技風險動態監測遵循分級負責、屬地監管、重在法人、風險為本的原則。

第四條資訊科技風險動態監測體系由監測指標、監測資料管理、指標運用及監測工作流程組成。

第五條本規程適用於在中華人民共和國境內依法設立的商業銀行，包括中資商業銀行、外資獨資商業銀行和中外合資銀行。

政策性銀行、農村信用社、農村合作銀行、村鎮銀行以及經銀監會及其派出機構批准成立的其他銀行業金融機構參照執行。

第二章動態監測指標選取原則及分類

第六條資訊科技風險動態監測指標由商業銀行資訊科技基礎執行資料經採集、加工、計算形成，綜合反映了商業銀行資訊科技風險水平及風險管控能力。

第七條監測指標選取遵循以下四個原則：

（一）代表性：能夠反映商業銀行資訊科技風險水平和控制效果，體現資訊科技對業務的支撐能力；

（二）綜合性：能夠涵蓋商業銀行資訊科技風險存在的主要環節，反映資訊系統多種要素的風險狀況；

（三）敏感性：能夠通過指標波動直接體現商業銀行資訊科技風險水平的變化情況；

（四）可獲取性：能夠通過商業銀行資訊系統直接獲取或通過定量計算間接獲取，具備明確、可靠的資料**。

第八條商業銀行資訊科技風險動態監測指標分為穩定性指標、安全性指標和規模性指標三類。其中穩定性指標、安全性指標直接反映商業銀行資訊科技風險狀況，規模性指標主要反映資訊科技對業務的支撐能力，間接反映商業銀行資訊科技風險狀況。

第三章動態監測指標體系

第九條穩定性指標表示商業銀行資訊系統對業務提供支援和滿足業務需求的有效、可靠程度，包括系統可用率、系統交易成功率、投產變更成功率等。

（一）系統可用率為資訊系統實際提供服務時間與應提供服務時間之比，用於衡量資訊系統對業務連續服務提供支撐的有效程度，系統可用率影響客戶使用體驗，並綜合反映商業銀行在系統設計、運維管理、基礎設施配套、應急處置等方面的管理能力。

（二）系統交易成功率為資訊系統成功處理的交易量與處理交易總量之比，用於衡量資訊系統正常響應業務請求的有效程度，綜合反映商業銀行在系統設計、軟體開發、運維管理、基礎設施配套等方面的管理能力。

（三）投產變更成功率為商業銀行成功實施資訊系統投產、變更數量與實施資訊系統投產、變更總量之比，用於衡量商業銀行投產變更管理的有效程度，綜合反映商業銀行在軟體開發、執行維護、應急處置、專案及變更管理等方面能力。

第十條安全性指標用於衡量商業銀行對安全威脅的抵禦能力與安全事件的處置能力，包括假冒**查封率、外部攻擊變化率和資訊保安事件數量。

（一）假冒**查封率為已查封的假冒**數量與已知的假冒**數量之比，用於衡量商業銀行對假冒**的處置進展及其客戶可能因假冒**遭受欺詐威脅的程度，綜合反映商業銀行處置假冒**的積極性與承擔社會責任的意識。

（二）外部攻擊變化率為商業銀行遭受外部攻擊當期告警增加數量與上期告警數量之比，用於衡量商業銀行外部攻擊威脅的客觀變化，綜合反映商業銀行資訊系統外部風險的變化程度。

（三）資訊保安事件數量為資訊系統中斷造成服務不可用次數、違規操作事件次數、病毒爆發事件次數、自然災害事件次數、網路中斷事件次數、基礎設施不可用事件次數及其他安全事件次數之和，用於衡量商業銀行在面對內外部安全威脅時，保持資訊系統可用性、完整性、機密性的能力，綜合反映商業銀行資訊保安現狀。

第十一條規模性指標用於衡量商業銀行主要電子渠道發展規模，反映商業銀行主要電子渠道業務發展水平、電子渠道業務承受的壓力及相關資訊科技風險事件可能產生的社會負面影響程度，包括主要電子渠道交易變化率和主要電子渠道活躍使用者、賬戶變化率。

（一）主要電子渠道交易變化率為商業銀行全轄當期主要電子渠道交易量與上期主要電子渠道交易量之比，用於反映商業銀行主要電子渠道交易規模總量及變化趨勢。

（二）主要電子渠道活躍使用者、賬戶變化率為商業銀行全轄當期主要電子渠道活躍使用者、賬戶數與上期主要電子渠道活躍使用者、賬戶數之比，用於反映商業銀行主要電子渠道活躍使用者、賬戶總量及變化趨勢。

第四章資料管理

第十二條商業銀行應建立與本規程相配套的資訊科技風險動態監測工作機制和管理流程，準確、及時提供動態監測指標相關源資料。

第十三條商業銀行應根據自身發展狀況建立與本規程相適應的監測統計資訊系統，按照動態監測指標的相關要求採集相關源資料，並能夠根據計算模型按照機構、產品、系統等不同維度和統計週期生成監測資料。

第十四條資訊科技風險動態監測指標源資料採集範圍應涵蓋商業銀行全轄（總行及各級分支機構）和各類重要資訊系統，採集資料要全面、真實。

第十五條商業銀行應確保監測指標資料**的連續性、一致性以及可追溯性，並至少存留最近三年歷史資料。

第十六條商業銀行應明確資訊科技風險動態監測資料報送的歸口管理部門，並對報送資料的真實性和有效性負責。

第十七條銀監會及其派出機構應督促、指導商業銀行逐步建立並完善相關工作機制和流程，開展動態監測資訊系統建設，提高資料採集的自動化程度，減少資料生成過程中的人為干擾因素。對於確需人工填報的環節，應在流程和系統設計中滿足後續檢查和審計的需要。

第十八條銀監會及其派出機構資訊科技監管部門負責審核商業銀行報送的動態監測指標資料，並對報送資料質量進行考核。

第五章指標運用

第十九條商業銀行應將資訊科技風險動態監測指標納入全行風險監測體系，建立資訊科技風險動態監測指標分析預警模型，持續跟蹤資訊科技風險動態監測指標變化趨勢，形成書面報告，定期向商業銀行董事會和高管層報告。

第二十條商業銀行董事會和高管層應定期審查資訊科技風險動態監測報告，運用檢查、監督、考核等手段督促相關部門採取有效措施實施整改。

第二十一條商業銀行資訊科技部門應根據動態監測指標結果，對本機構資訊系統進行綜合評價，並將評價結果與商業銀行資訊科技發展規劃相結合。

第二十二條商業銀行資訊科技部門應持續跟蹤動態監測指標及其變化趨勢，重點關注指標數值或變化趨勢存在異常的監測指標，深入分析指標異常的原因，採取相應的應急處置措施，並將處置方案和工作進度及時報送商業銀行風險管理部門、銀監會或其派出機構。

第二十三條銀監會及其派出機構資訊科技監管部門應明確資訊科技風險動態監測工作崗位，制定人員崗位職責。

第二十四條銀監會及其派出機構資訊科技監管部門應建立分析預警模型，按照區域分布、機構類別、單家機構等不同維度對資訊科技風險動態監測指標進行分類監測，定期形成風險分析報告，對於發現的突出共性風險問題，要開展行業通報。

第二十五條銀監會及其派出機構資訊科技監管部門可根據單家機構動態監測指標監測情況，採取約談、現場檢查等途徑對相關情況進行核實，並通過風險提示、監管會談等方式將風險監測結果及時通報商業銀行，督促其採取有效措施，做好風險防範和整改工作。對於監測中發現的重大資訊科技風險隱患，資訊科技監管部門應及時通報機構監管部門，並可視情況採取聯合監管行動。

第二十六條。

第二十七條銀監會資訊科技監管部門建立資訊科技風險動態監測工作的激勵考核機制，定期發布行業基準參考值，對指標領先的機構樹立標桿，總結良好實踐並予以推廣。

第六章附則

第二十八條附件是本規程的組成部分，規定了資訊科技風險動態監測指標口徑說明。

第二十九條本規程由銀監會負責修訂和解釋。

第三十條本規程自年月起試行。

附件：1、商業銀行資訊科技風險動態監測指標一覽表

2、商業銀行資訊科技風險動態監測指標口徑說明

附件1商業銀行資訊科技風險動態監測指標一覽表附件2

商業銀行資訊科技風險動態監測規程徵求意見稿

城市商業銀行合規風險管理

商業銀行合規風險管理實務之一制度梳理

對農村商業銀行合規風險管理機制的思考

商業銀行資訊科技風險動態監測規程 徵求意見稿

城市商業銀行合規風險管理

商業銀行合規風險管理實務之一制度梳理

對農村商業銀行合規風險管理機制的思考

相關推薦

商業銀行資訊科技風險動態監測規程徵求意見稿