第一篇：XXXX銀行信息科技業(yè)務(wù)連續(xù)性評估報告

XXXX銀行

信息科技業(yè)務(wù)連續(xù)性評估報告

為全面了解XXXX銀行信息科技業(yè)務(wù)連續(xù)性管理工作現(xiàn)狀，科技信息部開展了信息科技業(yè)務(wù)連續(xù)性評估工作，現(xiàn)將評估情況匯報如下：

一、總體評價

為保障電子設(shè)備及網(wǎng)絡(luò)的正常運轉(zhuǎn)，XXXX銀行建立了由突發(fā)事件應(yīng)急領(lǐng)導(dǎo)組統(tǒng)一管理的應(yīng)急管理體系。全行生產(chǎn)網(wǎng)絡(luò)采用聯(lián)通+移動雙網(wǎng)互為備份的方式接入，降低了網(wǎng)絡(luò)的中斷風(fēng)險；電力采用市電+UPS應(yīng)急電源雙線接入的方式，并配備的發(fā)電機，保障了電力的不間斷供應(yīng)；全行所有在用軟件資源均備份在總行FTP服務(wù)器，隨時可下載安裝使用，避免了軟件崩潰帶來的中斷風(fēng)險；各類業(yè)務(wù)必須的電子設(shè)備均在科技信息部配備了數(shù)量不等的備用設(shè)備，可隨時更換使用；全行的安全軟件由總行科技信息部統(tǒng)一升級和管理，確保所有計算機系統(tǒng)處于最安全的工作狀態(tài)。

全行每季度根據(jù)應(yīng)急預(yù)案進行應(yīng)急演練，形成演練報告并上報科技信息部?？萍夹畔⒉棵考径葘θ犨M行監(jiān)督檢查，確保演練的真實性和成效，切實減少業(yè)務(wù)中斷風(fēng)險。

二、管理體系建設(shè)

（一）組織管理

XXXX銀行建立了由XXXX銀行突發(fā)事件應(yīng)急領(lǐng)導(dǎo)組統(tǒng)一領(lǐng)導(dǎo)的應(yīng)急管理體系，統(tǒng)一管理全行的業(yè)務(wù)連續(xù)性工作，下設(shè)辦公室，辦公室成員由各機構(gòu)、部(室)、中心負(fù)責(zé)人組成，具體負(fù)責(zé)決定是否啟動相對應(yīng)的應(yīng)急預(yù)案；研究擬定突發(fā)事件處置流程；組織指揮突發(fā)事件處置工作；協(xié)調(diào)、管理突發(fā)事件的信息報送工作；日常應(yīng)急演練的督導(dǎo)和檢查工作；以及突發(fā)事件處置工作的費用核算及效益分析，突發(fā)事件及處置工作對未來的影響評估，處置工作的經(jīng)驗教訓(xùn)等。

各營業(yè)網(wǎng)點結(jié)合自身實際，各自成立了突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組，具體負(fù)責(zé)本機構(gòu)的應(yīng)急管理工作。

（二）制度建設(shè)

為了全面防范各類計算機及網(wǎng)絡(luò)突發(fā)事件，切實做到在處理各類事件時有依可循，XXXX銀行制訂了一系列相關(guān)的制度，保證了處理問題的全面、快速。

1.制定了《XXXX銀行網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件處置與報告管理辦法》，明確了發(fā)生重大中斷事件時，對事件定級、啟動相應(yīng)的應(yīng)急預(yù)案、向上級有關(guān)部門報告及處置、事件解決、事件關(guān)閉及匯總等相關(guān)流程。

2.制定了《XXXX銀行生產(chǎn)系統(tǒng)巡檢管理辦法》，規(guī)定了各機構(gòu)對業(yè)務(wù)相關(guān)計算機及網(wǎng)絡(luò)設(shè)備的日常巡查工作，發(fā)現(xiàn)問題及時上報，將設(shè)備中斷風(fēng)險處理在萌芽階段。

3.制定了《XXXX銀行發(fā)電機使用管理規(guī)定》，規(guī)定了發(fā)電機的日常使用和保養(yǎng)，確保在電力中斷發(fā)生時提供可靠的應(yīng)急保障。4.制定了《XXXX銀行計算機及網(wǎng)絡(luò)安全應(yīng)急預(yù)案》，全面規(guī)范了電力、網(wǎng)絡(luò)、軟件、病毒、硬件發(fā)生中斷時的應(yīng)急處理流程，為應(yīng)急演練提供了可靠的依據(jù)。

（三）基礎(chǔ)設(shè)施建設(shè)

為了保障全行網(wǎng)絡(luò)及電力系統(tǒng)正常運行，XXXX銀行于每年春季開展設(shè)備及線路的巡檢工作。巡檢范圍主要包括：UPS電源、電池組、防雷箱、發(fā)電機、設(shè)備間及柜臺線路等，及時發(fā)現(xiàn)隱患并采取處理措施，確保網(wǎng)絡(luò)及電力設(shè)備的安全。

同時，XXXX銀行不斷加強網(wǎng)絡(luò)及電力基礎(chǔ)設(shè)施更新?lián)Q代工作，對于老舊壞損的設(shè)備，及時予以更換，切實保障全行各項業(yè)務(wù)可以正常開展。

（四）監(jiān)督檢查

XXXX銀行按季對全行業(yè)務(wù)連續(xù)性工作開展情況進行監(jiān)督檢查，檢查內(nèi)容主要包括各網(wǎng)點應(yīng)急預(yù)案制定情況，應(yīng)急演練開展情況等，發(fā)現(xiàn)問題，對責(zé)任人嚴(yán)格按照要求進行處理，切實提高全員思想認(rèn)識，提升全員應(yīng)急處置能力。

（五）教育培訓(xùn)

XXXX銀行每年對全轄計算機管理員進行業(yè)務(wù)連續(xù)性培訓(xùn)，并由計算機管理員對所在網(wǎng)點員工進行再培訓(xùn)，有效提升了全員應(yīng)急處置能力。

三、應(yīng)急預(yù)案建設(shè)

為規(guī)范全行的應(yīng)急處理流程，科技信息部制定了《XXXX銀行計算機及網(wǎng)絡(luò)安全應(yīng)急預(yù)案》，包含銀行的計算機系統(tǒng)風(fēng)險、組織領(lǐng)導(dǎo)、營業(yè)網(wǎng)點電子設(shè)備故障的應(yīng)急處理、電力電源故障的應(yīng)急處理、網(wǎng)絡(luò)設(shè)備及線路故障的應(yīng)急處理、應(yīng)用程序出現(xiàn)異常的應(yīng)急處理和反病毒應(yīng)急處置等七章，以圖文結(jié)合的形式全面闡述了因電力、網(wǎng)絡(luò)、軟件、病毒、硬件等原因發(fā)生中斷事件時的應(yīng)急處理流程，為全行的應(yīng)急演練工作提供了可靠的依據(jù)。

全轄所有網(wǎng)點在總行突發(fā)事件應(yīng)急領(lǐng)導(dǎo)組及各自應(yīng)急領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，根據(jù)各自網(wǎng)點的實際建設(shè)和人員配置情況，在總行應(yīng)急預(yù)案的框架內(nèi)制定自身的應(yīng)急預(yù)案，并在實際的演練過程中不斷修訂和完善。

四、應(yīng)急演練情況

根據(jù)總行統(tǒng)一要求，全行每季度根據(jù)應(yīng)急預(yù)案開展一次應(yīng)急演練工作，形成演練報告，留存影像資料，并根據(jù)演練中存在的問題形成演練總結(jié)并修訂演練預(yù)案。

五、存在問題及整改工作

（一）部分網(wǎng)點負(fù)責(zé)人對信息科技演練工作重視程度不足，演練流于形式，不能有效提升員工應(yīng)急處置能力，存在業(yè)務(wù)連續(xù)性風(fēng)險。

（二）網(wǎng)點人員流動性大，尤其是計算機管理員變動頻繁，工作交接流程不完善或者不開展，導(dǎo)致網(wǎng)點業(yè)務(wù)連續(xù)性工作不連續(xù)，成效低或者無成效。

六、意見與建議

（一）加強監(jiān)督檢查

科技信息部要按照監(jiān)管標(biāo)準(zhǔn)、上級要求及全行業(yè)務(wù)連續(xù)性工作實際制定檢查標(biāo)準(zhǔn)，定期對網(wǎng)點業(yè)務(wù)連續(xù)性工作進行檢查，如實記錄檢查發(fā)現(xiàn)的問題，嚴(yán)格按照處罰標(biāo)準(zhǔn)進行處罰，同時監(jiān)督指導(dǎo)網(wǎng)點進行整改，切實保障全行業(yè)務(wù)連續(xù)性工作落到實處、有效開展。

（二）加強教育培訓(xùn)

加強對全員業(yè)務(wù)連續(xù)性知識及技能的培訓(xùn)，進一步豐富培訓(xùn)內(nèi)容，創(chuàng)新培訓(xùn)模式，確保有效提升全員應(yīng)急處置能力，防范業(yè)務(wù)連續(xù)性風(fēng)險。

XXXX銀行科技信息部 2018年10月31日

第二篇：某行2015業(yè)務(wù)連續(xù)性報告

撫順某銀行關(guān)于2015年 業(yè)務(wù)連續(xù)性評估報告

各支行（部）、分理處：

為全面了解我行業(yè)務(wù)連續(xù)性管理工作現(xiàn)狀，鞏固當(dāng)前業(yè)務(wù)連續(xù)性管理成果，及時總結(jié)上一相關(guān)工作的開展情況，經(jīng)董事會審議通過，現(xiàn)將我行2015業(yè)務(wù)連續(xù)性工作自評估報告下發(fā)給你們，請組織學(xué)習(xí)：

根據(jù)監(jiān)管機構(gòu)及省聯(lián)社相關(guān)的通知要求，我行開展了“2015年業(yè)務(wù)連續(xù)性管理評估”的工作，現(xiàn)將自我評估情況匯報如下：

一、總體評價

我行重視業(yè)務(wù)連續(xù)性的管理，堅持預(yù)防為主，建立預(yù)防、預(yù)警機制，將日常管理與應(yīng)急處置有效結(jié)合。完善業(yè)務(wù)連續(xù)性管理日常組織構(gòu)架，建立業(yè)務(wù)連續(xù)性管理工作責(zé)任人制度，從而保證業(yè)務(wù)連續(xù)性管理各項工作的順利進行。

各網(wǎng)點內(nèi)控合規(guī)部作為各網(wǎng)點業(yè)務(wù)連續(xù)性管理牽頭部門負(fù)責(zé)組織落實轄內(nèi)各項業(yè)務(wù)連續(xù)性管理工作，協(xié)同運營財務(wù)管理部、電子銀行部、綜合部、稽核監(jiān)保部等各網(wǎng)點業(yè)務(wù)連續(xù)性管理的主要關(guān)聯(lián)部門共同完成此次自我評估工作。

二、管理體系建設(shè)

為進一步完善我行業(yè)務(wù)連續(xù)性管理組織體系，確保業(yè)務(wù)連續(xù)性管理工作的高效開展，根據(jù)相關(guān)規(guī)定，建立完整的組織管理體系，明確業(yè)務(wù)業(yè)務(wù)連續(xù)性管理的牽頭部門及各部門職責(zé)，明確應(yīng)急處置組織架構(gòu)。

三、預(yù)案建設(shè)及演練情況

我行注重應(yīng)急預(yù)案的建設(shè)，要求各牽頭部門不斷完善應(yīng)急預(yù)案，提高預(yù)案的可操作性，并指導(dǎo)和組織本條線開展應(yīng)急演練，切實提高突發(fā)事件處置能力。

各牽頭部門按照總各網(wǎng)點緊急突發(fā)事件處置和管理的相關(guān)要求，對照本條線應(yīng)急預(yù)案進行梳理，不斷完善預(yù)案體系，明確相關(guān)部門和人員的責(zé)任，進一步提高應(yīng)急預(yù)案的完備性、合理性及可操作性。各網(wǎng)點下屬各單位重視預(yù)案演練工作，在牽頭部門的指導(dǎo)和組織下開展各項應(yīng)急演練工作，確保各項演練目標(biāo)的有效實現(xiàn)，逐步提高我行應(yīng)急處置工作能力和水平。

1、各單位嚴(yán)格按照總各網(wǎng)點緊急重大事項報告制度要求和報告流程，對于符合各網(wǎng)點強調(diào)的緊急重大事項報告范圍的，一經(jīng)發(fā)現(xiàn)，應(yīng)立即向各網(wǎng)點辦公室及相關(guān)管理部門、單位負(fù)責(zé)人雙線報告，不得遲報、瞞報。

2、各網(wǎng)點辦公室做好網(wǎng)絡(luò)輿情的監(jiān)測和處置工作，對可能引發(fā)銀行業(yè)系統(tǒng)性、區(qū)域性風(fēng)險和社會不穩(wěn)定事件的信息加強預(yù)警和分析，及時按應(yīng)急預(yù)案要求報告并采取有效措施，避免負(fù)面信息進一步擴散，將負(fù)面影響降到最低。

在每重要活動如“兩會期間”、“金融知識進萬家活動”期間，我行均按照銀監(jiān)局及省聯(lián)社的要求，提前做好各項服務(wù)保障應(yīng)急預(yù)案。

3、進一步加強各網(wǎng)點服務(wù)投訴的管理工作。各網(wǎng)點相關(guān)部門加強對柜員和大堂經(jīng)理進行優(yōu)質(zhì)服務(wù)專項培訓(xùn)，規(guī)范了服務(wù)投訴處理的方式方法和工作流程，并做好服務(wù)投訴處理的演練工作。

4、各網(wǎng)點業(yè)務(wù)營運部根據(jù)總行要求，逐步完善營運業(yè)務(wù)的各項預(yù)案和準(zhǔn)備工作，針對各種物理和人為的突發(fā)事件，進一步加強對營運人員的應(yīng)急培訓(xùn)和全面演練工作，保證業(yè)務(wù)的連續(xù)性，并做好客戶安撫、媒體應(yīng)對等相關(guān)全面工作。

5、各網(wǎng)點科技及安全人員嚴(yán)格落實信息系統(tǒng)運行、維護及應(yīng)急處置等各項管理制度，對網(wǎng)點網(wǎng)絡(luò)、操作終端設(shè)備、備份線路、UPS系統(tǒng)等運行中存在的故障和隱患進行嚴(yán)密排查，并及時予以排除，確保我行系統(tǒng)安全穩(wěn)定運行及應(yīng)急情況下持續(xù)運行。

6、稽核部持續(xù)加強各網(wǎng)點防火、防盜、防搶等突發(fā)惡性事件應(yīng)急預(yù)案的培訓(xùn)和演練工作，每季度至少保持一次以上的“防搶劫、防盜竊，防詐騙，保護金融資產(chǎn)安全”的“三防一?！毖菥毤跋腊踩R培訓(xùn)，各單位演練力求接近實戰(zhàn)，提高各單位應(yīng)對和處置能力。同時，各網(wǎng)點安保部結(jié)合演練的實際情況，逐步完善和優(yōu)化安保方面的應(yīng)急預(yù)案。

7、各網(wǎng)點各部門按各網(wǎng)點各項應(yīng)急預(yù)案的管理要求，層層落實，并根據(jù)各部門及各支行的實際情況，制定具體的預(yù)案措施并落實專人負(fù)責(zé)，按照各項預(yù)案進行操作和演練，并做好相關(guān)書面記錄和報告，根據(jù)實際操作情況，加強信息交流和反饋，對各項預(yù)案提出意見和建議。

2016年3月16日

第三篇：銀行信息安全評估報告

信息安全評估報告

XXXX銀行：

根據(jù)《商業(yè)銀行信息科技風(fēng)險管理指引》要求，信息科技管理部門應(yīng)定期向總行提交本行信息安全評估報告，結(jié)合我行2020信息安全管理情況，現(xiàn)將本信息安全評估情況報告如下：

一、評估目標(biāo)

信息安全評估的主要目標(biāo)是通過自評估工作，發(fā)現(xiàn)我行信息系統(tǒng)當(dāng)前面臨的主要安全問題，邊檢查邊整改，確保信息系統(tǒng)的安全。

二、評估依據(jù)、范圍和方法

(一)評估依據(jù)：《商業(yè)銀行信息科技風(fēng)險管理指引》及省聯(lián)社相關(guān)制度辦法。

(二)評估范圍：全行信息系統(tǒng)的安全制度管理、安全組織管理、資產(chǎn)管理、人員管理、物理與環(huán)境管理、通信與運營管理、訪問控制管理、安全事故管理及合規(guī)性管理等方面。

(三)評估方法：采用自評估方法。

三、項目評估

(一)安全制度管理。制定了《信息系統(tǒng)安全運行管理辦法》《信息安全策略》《信息安全工作管理辦法》《信息系統(tǒng)設(shè)備管理辦法》《信息系統(tǒng)網(wǎng)絡(luò)設(shè)備用戶管理辦法》等一系列制度辦法，明確了職責(zé)范圍、工作流程，規(guī)范了信息系統(tǒng)生產(chǎn)運行安全工作。

評估結(jié)論：制定了切合實際的信息系統(tǒng)安全制度。

(二)信息安全組織管理。成立了信息科技管理委員會、信息系統(tǒng)及網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組、業(yè)務(wù)連續(xù)性管理委員會及相關(guān)工作領(lǐng)導(dǎo)小組，制定了相關(guān)職責(zé)均按要求履行。

評估結(jié)論：成立了相關(guān)委員會并履行職責(zé)。

(三)資產(chǎn)管理。截止2020年11月底，全行共有計算機886臺、UPS 87臺、發(fā)電機78臺、ATM機28臺、CRS機58臺、3G路由器77臺、4G路由器5臺、高拍儀臺216臺、掃描153儀臺，均按部門按機構(gòu)建立有電子臺賬，專人管理，按照“誰使用誰負(fù)責(zé)”的原則負(fù)責(zé)設(shè)備安全。定期安排對所有設(shè)備的使用進行安全檢查，及時進行維修，排出隱患。

評估結(jié)論：有專人管理有臺賬，仍需加強日常維護管理。

(四)人員安全管理。一是各崗位的人員具有相應(yīng)的專業(yè)知識和技能。二是重要崗位采取下列風(fēng)險防范措施：驗證個人信息，審核信息科技員工的道德品行，確保其具備相應(yīng)的職業(yè)操守。三是確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。四是評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發(fā)生變化后及時變更相關(guān)信息。五是明確其崗位權(quán)限。

評估結(jié)論：配備有專職信息科技人員，但人員配備不足，專業(yè)勝任能力有待提高，對關(guān)鍵崗位人員流失帶來的風(fēng)險缺乏有效應(yīng)對措施。

(五)物理與環(huán)境安全管理。設(shè)立有物理安全保護區(qū)域，如計算機中心機房、放置網(wǎng)絡(luò)設(shè)備的專用機房或標(biāo)準(zhǔn)化機柜等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職責(zé)，配置了網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。內(nèi)部網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等均由省聯(lián)社按照級別進行了控制。

評估結(jié)論：有物理與環(huán)境安全防護措施，但仍然存在使用U盤等移動介質(zhì)帶來的病毒感染風(fēng)險和安全風(fēng)險。

(六)通信與運營管理。截止2020年11月末我行生產(chǎn)業(yè)務(wù)租用電信公司SDH線路77條連接市中心機房，線路帶寬4M，總行營業(yè)部直連市中心機房,生產(chǎn)備用線路租用聯(lián)通公司3G SIM卡77個連接市中心無線鏈路業(yè)務(wù)路由，OA業(yè)務(wù)租用移動公司MSTP線路77條連接市中心機房，帶寬50M，總行營業(yè)部直連市中心機房帶，生產(chǎn)業(yè)務(wù)市中心機房2條MSTP 線路連接省中心機房運營商分別為電信公司和聯(lián)通公司,線路帶寬20M。OA業(yè)務(wù)市中心機房2條MSTP線路連接省中心機房運營商分別為電信公司和移動公司，線路帶寬20M。核心路由、核心交換、無線鏈路業(yè)務(wù)路由均在市中心機房。

評估結(jié)論：生產(chǎn)網(wǎng)主線路穩(wěn)定，業(yè)務(wù)辦理流暢。但備用線路存在山區(qū)網(wǎng)絡(luò)信號差、不穩(wěn)定現(xiàn)象，亟需更換4G及以上路由器。

(七)訪問控制管理。登陸所有系統(tǒng)均采用個人用戶名、密碼及柜員卡登陸，用戶名實行終身制，一人一卡，卡隨人走，并要求定期修改密碼。用戶調(diào)動到新的工作崗位或離開我行時，在系統(tǒng)中及時檢查、更新或注銷用戶身份。

評估結(jié)論：系統(tǒng)用戶訪問控制制度完善，在實際操作中需加強與綜合部的溝通，及時將調(diào)整人員做系統(tǒng)變更。

(八)系統(tǒng)開發(fā)與維護管理。除省聯(lián)社托管系統(tǒng)外，我行無自建系統(tǒng)。現(xiàn)有的系統(tǒng)全部由省聯(lián)社開發(fā)、測試和運維。

評估結(jié)論：無自建系統(tǒng)，本行不涉及。

(九)信息安全事故管理。建立有應(yīng)急預(yù)案及應(yīng)急處置報告制度，各級機構(gòu)及時響應(yīng)信息系統(tǒng)運行事故，逐級向相關(guān)的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。省聯(lián)社建立有專門處理問題的服務(wù)電話，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進行調(diào)查和解決。

評估結(jié)論：我行的信息系統(tǒng)從未發(fā)生不安全事故，但仍需不斷提升應(yīng)急處置能力和風(fēng)險防范能力，杜絕不安全事故的發(fā)生。

(十)合規(guī)性管理。指定了風(fēng)險管理部專人負(fù)責(zé)信息科技風(fēng)險管理，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風(fēng)險等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實施持續(xù)信息科技風(fēng)險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。

評估結(jié)論：我行信息系統(tǒng)安全管理均按上級監(jiān)管部門和管理部門相關(guān)制度執(zhí)行，合規(guī)到位。

三、評估總結(jié)

通過以上對信息系統(tǒng)安全的自查自評，總的來看，我行的信息系統(tǒng)安全體系較為完善，但仍然存在一定的風(fēng)險和隱患。比如來自不可控互聯(lián)網(wǎng)的外部攻擊威脅和內(nèi)部人員的操作風(fēng)險等。一是要進一步加強員工信息安全意識教育，嚴(yán)格網(wǎng)絡(luò)與信息安全管理制度，提高網(wǎng)絡(luò)安全及信息安全工作的主動性和自覺性，增強對安全防范意識和處置能力。二是要加快信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)，通過安全設(shè)施與管理相結(jié)合，使安全風(fēng)險可控，杜絕不安全事故的發(fā)生。

信息管理部

第四篇：第十四期法律知識點(信息科技、業(yè)務(wù)連續(xù)性、外包風(fēng)險管理)

法律法規(guī)知識點匯編

（第十四期）

目 錄

※商業(yè)銀行信息科技風(fēng)險管理指引…………………1

※商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引……………………3

※銀行業(yè)金融機構(gòu)外包風(fēng)險管理指引…………… 7

2014年9月24日

商業(yè)銀行信息科技風(fēng)險管理指引

※信息科技風(fēng)險：是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風(fēng)險。(第4條)多選題：信息科技風(fēng)險，是指信息科技在商業(yè)銀行運用過程中，由于下列哪些情形產(chǎn)生的操作、法律和聲譽等風(fēng)險？（ABCD）

A.自然因素 B.人為因素 C.技術(shù)漏洞 D.管理缺陷 ※信息科技風(fēng)險管理的第一責(zé)任人：商業(yè)銀行法定代表人是本機構(gòu)信息科技風(fēng)險管理的第一責(zé)任人，負(fù)責(zé)組織本指引貫徹落實。（第6條）

判斷題：商業(yè)銀行董事會是信息科技風(fēng)險管理的第一責(zé)任人。（×）

※信息科技風(fēng)險管理策略：商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險管理策略，包括但不限于下述領(lǐng)域：(一)信息分級與保護。(二)信息系統(tǒng)開發(fā)、測試和維護。(三)信息科技運行和維護。(四)訪問控制。(五)物理安全。(六)人員安全。(七)業(yè)務(wù)連續(xù)性計劃與應(yīng)急處臵。(第15條)多選題：商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險管理策略，包括但不限于以下哪些領(lǐng)域？（ABCD）

A.信息分級與保護 B.信息科技運行和維護 C.物理安全 D.業(yè)務(wù)連續(xù)性計劃與應(yīng)急處臵 ※崗位制約：商業(yè)銀行應(yīng)將信息科技運行與系統(tǒng)開發(fā)和維護

分離，確保信息科技部門內(nèi)部的崗位制約；對數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。(第41條)單選題：商業(yè)銀行應(yīng)將（A）分離，確保信息科技部門內(nèi)部的崗位制約；對數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。

A.信息科技運行與系統(tǒng)開發(fā)和維護 B.系統(tǒng)管理和網(wǎng)絡(luò) C.數(shù)據(jù)庫管理系統(tǒng)和網(wǎng)絡(luò) D.硬件管理和軟件管理

※大規(guī)模系統(tǒng)開發(fā)的部門參與：商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風(fēng)險管理部門和內(nèi)部審計部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風(fēng)險管理標(biāo)準(zhǔn)。(第66條)單選題：商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風(fēng)險管理部門和(A)參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風(fēng)險管理標(biāo)準(zhǔn)。

A.內(nèi)部審計部 B.財務(wù)部 C.業(yè)務(wù)部 D.監(jiān)察部

商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引

※業(yè)務(wù)連續(xù)性管理定義：是指商業(yè)銀行為有效應(yīng)對重要業(yè)務(wù)運營中斷事件，建設(shè)應(yīng)急響應(yīng)、恢復(fù)機制和管理能力框架，保障重要業(yè)務(wù)持續(xù)運營的一整套管理過程，包括策略、組織架構(gòu)、方法、標(biāo)準(zhǔn)和程序。（第2條）

※重要業(yè)務(wù)運營中斷事件：是指因下述原因?qū)е滦畔⑾到y(tǒng)服務(wù)異常、重要業(yè)務(wù)停止運營的事件。主要包括：(一)信息技術(shù)故障：信息系統(tǒng)技術(shù)故障、配套設(shè)施故障；(二)外部服務(wù)中斷：第三方無法合作或提供服務(wù)等；(三)人為破壞：黑客攻擊、恐怖襲擊等；(四)自然災(zāi)害：火災(zāi)、雷擊、海嘯、地震、重大疫情等。（第4條）

※業(yè)務(wù)連續(xù)性管理承擔(dān)最終責(zé)任：董(理)事會是商業(yè)銀行業(yè)務(wù)連續(xù)性生管理的決策機構(gòu)，對業(yè)務(wù)連續(xù)性管理承擔(dān)最終責(zé)任。（第10條）

※業(yè)務(wù)連續(xù)性管理的部門職責(zé)：商業(yè)銀行應(yīng)當(dāng)明確業(yè)務(wù)連續(xù)性管理執(zhí)行部門，包括業(yè)務(wù)條線部門與信息科技部門。業(yè)務(wù)條線部門負(fù)責(zé)風(fēng)險評估、業(yè)務(wù)影響分析，確定重要業(yè)務(wù)恢復(fù)目標(biāo)和恢復(fù)策略，負(fù)責(zé)業(yè)務(wù)條線重要業(yè)務(wù)應(yīng)急響應(yīng)與恢復(fù)；信息科技部門負(fù)責(zé)信息技術(shù)應(yīng)急響應(yīng)與恢復(fù)。(第14條)多選題：商業(yè)銀行應(yīng)當(dāng)明確業(yè)務(wù)連續(xù)性管理執(zhí)行部門，包括業(yè)務(wù)條線部門與信息科技部門。業(yè)務(wù)條線部門負(fù)責(zé)(ABCD)，負(fù)責(zé)業(yè)務(wù)條線重要業(yè)務(wù)應(yīng)急響應(yīng)與恢復(fù)。

A.風(fēng)險評估 B.業(yè)務(wù)影響分析

C.確定重要業(yè)務(wù)恢復(fù)目標(biāo)和策略 D.負(fù)責(zé)重要業(yè)務(wù)應(yīng)急響應(yīng)與恢復(fù)

※重要業(yè)務(wù)恢復(fù)時間：原則上，重要業(yè)務(wù)恢復(fù)時間目標(biāo)不得大于4小時，重要業(yè)務(wù)恢復(fù)點目標(biāo)不得大于半小時。(第25條)單選題：根據(jù)業(yè)務(wù)連續(xù)性管理要求，原則上重要業(yè)務(wù)恢復(fù)時間目標(biāo)不得大于(A)。

A.4小時 B.2小時 C.1小時 D.0.5小時 ※業(yè)務(wù)連續(xù)性計劃演練頻率：商業(yè)銀行應(yīng)當(dāng)至少每三年對全部重要業(yè)務(wù)開展一次業(yè)務(wù)連續(xù)性計劃演練。在重大業(yè)務(wù)活動、重大社會活動等關(guān)鍵時點，或在關(guān)鍵資源發(fā)生重大變化之前，也應(yīng)當(dāng)開展業(yè)務(wù)連續(xù)性計劃的專項演練。（第49條）

單選題：商業(yè)銀行應(yīng)當(dāng)至少每（D）對全部重要業(yè)務(wù)開展一次業(yè)務(wù)連續(xù)性計劃演練。

A.半年 B.一年 C.二年 D.三年 ※新產(chǎn)品開發(fā)的業(yè)務(wù)連續(xù)性管理：商業(yè)銀行在開發(fā)新業(yè)務(wù)產(chǎn)品時，應(yīng)當(dāng)同步考慮是否將其納入業(yè)務(wù)連續(xù)性管理范疇。對納入業(yè)務(wù)連續(xù)性管理的，應(yīng)當(dāng)在上線前制定業(yè)務(wù)連續(xù)性計劃并實施演練。(第56條)單選題：商業(yè)銀行在開發(fā)新業(yè)務(wù)產(chǎn)品時，應(yīng)當(dāng)同步考慮是否將其納入業(yè)務(wù)連續(xù)性管理范疇。對納入業(yè)務(wù)連續(xù)性管理的，應(yīng)當(dāng)在(A)制定業(yè)務(wù)連續(xù)性計劃并實施演練。

A.上線前 B.上線中 C.上線后 D.維護時 ※運營中斷事件分級（節(jié)選）：銀監(jiān)會及其派出機構(gòu)對銀行業(yè)運營中斷事件進行分級。當(dāng)運營中斷事件同時滿足多個級別的定級條件時，按最高級別確定事件等級。(一)特別重大運營中斷事件(Ⅰ級)1.重要信息系統(tǒng)服務(wù)中斷，或重要數(shù)據(jù)損毀、丟失、泄露，造成經(jīng)濟秩序混亂或重大經(jīng)濟損失等特別嚴(yán)重?fù)p害的事件； 2.在業(yè)務(wù)服務(wù)時段導(dǎo)致一個(含)以上省的多家金融機構(gòu)業(yè)務(wù)無法正常開展達(dá)3個小時(含)以上的事件；

3．在業(yè)務(wù)服務(wù)時段導(dǎo)致單家金融機構(gòu)兩個(含)以上省業(yè)務(wù)無法正常開展達(dá)3個小時(含)以上，或一個省業(yè)務(wù)無法正常開展達(dá)6個小時(含)以上的事件；

4.業(yè)務(wù)服務(wù)時段以外，故障或事件救治未果、可能產(chǎn)生上述1至3類事件的事件。

(二)重大運營中斷事件(Ⅱ級)1.重要信息系統(tǒng)服務(wù)中斷，或重要數(shù)據(jù)損毀、丟失、泄露，對銀行或客戶利益造成嚴(yán)重?fù)p害的事件；

2.在業(yè)務(wù)服務(wù)時段導(dǎo)致一個(含)以上省的多家金融機構(gòu)業(yè)務(wù)無法正常開展達(dá)半個小時(含)以上的事件；

3.在業(yè)務(wù)服務(wù)時段導(dǎo)致單家金融機構(gòu)兩個(含)以上省業(yè)務(wù)無法正常開展達(dá)半個小時(含)以上，或一個省業(yè)務(wù)無法正常開展達(dá)3個小時(含)以上的事件；

4.業(yè)務(wù)服務(wù)時段以外，故障或事件救治未果、可能產(chǎn)生上述

1至3類事件的事件。

(三)較大運營中斷事件(Ⅲ級)1.重要信息系統(tǒng)服務(wù)中斷，或重要數(shù)據(jù)損毀、丟失、泄露，對銀行或客戶利益造成較大損害的事件；

2.在業(yè)務(wù)服務(wù)時段導(dǎo)致一個省(自治區(qū)、直轄市)業(yè)務(wù)無法正常開展達(dá)半個小時(含)以上的事件；

3.業(yè)務(wù)服務(wù)時段以外，故障或事件救治未果、可能產(chǎn)生上述1至2類事件的事件。(第79條)多選題：下列屬于銀行業(yè)特別重大運營中斷事件(Ⅰ級)的是（ABCD）

A.重要信息系統(tǒng)服務(wù)中斷造成特別嚴(yán)重經(jīng)濟損失的。B.在業(yè)務(wù)服務(wù)時段導(dǎo)致一個(含)以上省的多家金融機構(gòu)業(yè)務(wù)無法正常開展達(dá)3個小時(含)以上的。

C.在業(yè)務(wù)服務(wù)時段導(dǎo)致單家金融機構(gòu)兩個以上省業(yè)務(wù)無法正常開展達(dá)3個小時(含)以上。

D.在業(yè)務(wù)服務(wù)時段導(dǎo)致單家金融機構(gòu)一個省(自治區(qū)、直轄市)業(yè)務(wù)無法正常開展達(dá)6個小時(含)以上的事件。

※運營中斷報告：按照屬地監(jiān)管原則，銀監(jiān)機構(gòu)在商業(yè)銀行運營中斷事件發(fā)生后2小時內(nèi)，將事件及處臵情況上報銀監(jiān)會處臵工作小組。（第80條）

判斷題：按照屬地監(jiān)管原則，銀監(jiān)機構(gòu)在商業(yè)銀行運營中斷事件發(fā)生后2小時內(nèi)，應(yīng)將事件及處臵情況上報銀監(jiān)會處臵工作小組。（√）

銀行業(yè)金融機構(gòu)外包風(fēng)險管理指引

※適用范圍：外包是指銀行業(yè)金融機構(gòu)將原來由自身負(fù)責(zé)處理的某些業(yè)務(wù)活動委托給服務(wù)提供商進行持續(xù)處理的行為。(第3條)單選題：《銀行業(yè)金融機構(gòu)外包風(fēng)險管理指引》中的外包指銀行業(yè)金融機構(gòu)將原來由自身負(fù)責(zé)處理的某些業(yè)務(wù)活動委托給（B）進行持續(xù)處理的行為。

A.服務(wù)制造商 B.服務(wù)提供商 C.服務(wù)銷售商 D.服務(wù)維修商 ※外包活動的最終責(zé)任主體：銀行業(yè)金融機構(gòu)的董事會和高級管理層應(yīng)當(dāng)承擔(dān)外包活動的最終責(zé)任。(第4條)單選題：銀行業(yè)金融機構(gòu)的董事會和（C）應(yīng)當(dāng)承擔(dān)外包活動的最終責(zé)任。

A.社員代表大會 B.監(jiān)事會 C.高級管理層 D.外包管理團隊 ※關(guān)聯(lián)關(guān)系調(diào)查：銀行業(yè)金融機構(gòu)的外包活動涉及多個服務(wù)提供商時，應(yīng)當(dāng)對這些服務(wù)提供商進行關(guān)聯(lián)關(guān)系的調(diào)查。(第13條)。

單選題：銀行業(yè)金融機構(gòu)的外包活動涉及多個服務(wù)提供商時，應(yīng)當(dāng)對這些服務(wù)提供商進行（D）的調(diào)查。

A.管理能力 B.盈利能力 C.技術(shù)實力 D.關(guān)聯(lián)關(guān)系 ※不宜外包的職能：銀行業(yè)金融機構(gòu)的戰(zhàn)略管理、核心管理以及內(nèi)部審計等職能不宜外包。(第7條)

多選題：銀行業(yè)金融機構(gòu)下列哪些職能不宜外包（ABC）A.戰(zhàn)略管理 B.核心管理 C.內(nèi)部審計 D.績效系統(tǒng) ※外包服務(wù)提供商承諾事項：銀行業(yè)金融機構(gòu)在外包合同中應(yīng)當(dāng)要求外包服務(wù)提供商承諾以下事項：

（一）定期通報外包活動的有關(guān)事項；

（二）及時通報外包活動的突發(fā)性事件；

（三）配合銀行業(yè)金融機構(gòu)接受銀行業(yè)監(jiān)督管理機構(gòu)的檢查；

（四）保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時，銀行業(yè)金融機構(gòu)有權(quán)隨時終止外包合同；

（五）不得以銀行業(yè)金融機構(gòu)的名義開展活動；

（六）銀行業(yè)金融機構(gòu)認(rèn)為應(yīng)當(dāng)承諾的其他事項。（第16條）

多選題：銀行業(yè)金融機構(gòu)在外包合同中應(yīng)當(dāng)要求外包服務(wù)提供商承諾以下事項（ABCD）

A.定期通報外包活動的有關(guān)事項

B.配合銀行業(yè)金融機構(gòu)接受銀行業(yè)監(jiān)督管理機構(gòu)的檢查 C.保障客戶信息的安全性

D.不得以銀行業(yè)金融機構(gòu)的名義開展活動

※不得轉(zhuǎn)包：銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在合同中約定服務(wù)提供商不得將外包活動轉(zhuǎn)包或變相轉(zhuǎn)包。（第18條）

判斷題：銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在合同中約定服務(wù)提供商不得將外包活動轉(zhuǎn)包或變相轉(zhuǎn)包。（√）

第五篇：北京分行2014年業(yè)務(wù)連續(xù)性`管理自我評估報告(通用版)

北京分行關(guān)于2014年業(yè)務(wù)連續(xù)性自我評估

報告

為全面了解我行業(yè)務(wù)連續(xù)性管理工作現(xiàn)狀，根據(jù)總行的通知要求，北京分行開展了“2014年業(yè)務(wù)連續(xù)性管理評估”的工作，現(xiàn)將自我評估情況匯報如下：

一、總體評價

北京分行重視業(yè)務(wù)連續(xù)性的管理，堅持預(yù)防為主，建立預(yù)防、預(yù)警機制，將日常管理與應(yīng)急處置有效結(jié)合。完善業(yè)務(wù)連續(xù)性管理日常組織構(gòu)架，建立業(yè)務(wù)連續(xù)性管理工作責(zé)任人制度，從而保證業(yè)務(wù)連續(xù)性管理各項工作的順利進行。

分行內(nèi)控合規(guī)部作為分行業(yè)務(wù)連續(xù)性管理牽頭部門負(fù)責(zé)組織落實轄內(nèi)各項業(yè)務(wù)連續(xù)性管理工作，協(xié)同業(yè)務(wù)營運部、信息科技部、辦公室、保衛(wèi)部等分行業(yè)務(wù)連續(xù)性管理的主要管理部門共同完成此次自我評估工作。

二、管理體系建設(shè)

為進一步完善我行業(yè)務(wù)連續(xù)性管理組織體系，確保業(yè)務(wù)連續(xù)性管理工作的高效開展，根據(jù)《 銀行業(yè)務(wù)連續(xù)性管理辦法（試行）》（行辦?2012?376號）、《關(guān)于建立業(yè)務(wù)連續(xù)性管理工作責(zé)任人制度的通知》（行辦?2013?57號）有關(guān)要求，分行制定了《北京分行業(yè)務(wù)連續(xù)性管理實施細(xì)則（試行）》、《北京分行業(yè)務(wù)連續(xù)性管理工作責(zé)任分工》等相關(guān)規(guī)定，建立完整的組織管理體系，明確業(yè)務(wù)業(yè)務(wù)連續(xù)性管理的牽頭部門及各部門職責(zé)，明確應(yīng)急處置組織架構(gòu)。

三、預(yù)案建設(shè)及演練情況

北京分行注重應(yīng)急預(yù)案的建設(shè)，要求各牽頭部門不斷完善應(yīng)急預(yù)案，提高預(yù)案的可操作性，并指導(dǎo)和組織本條線開展應(yīng)急演練，切實提高突發(fā)事件處置能力。

各牽頭部門按照總分行緊急突發(fā)事件處置和管理的相關(guān)要求，對照本條線應(yīng)急預(yù)案進行梳理，不斷完善預(yù)案體系，明確相關(guān)部門和人員的責(zé)任，進一步提高應(yīng)急預(yù)案的完備性、合理性及可操作性。

分行下屬各單位重視預(yù)案演練工作，在牽頭部門的指導(dǎo)和組織下開展各項應(yīng)急演練工作，確保各項演練目標(biāo)的有效實現(xiàn)，逐步提高我行應(yīng)急處置工作能力和水平。

1、各單位嚴(yán)格按照總分行緊急重大事項報告制度要求和報告流程，對于符合分行強調(diào)的緊急重大事項報告范圍的，一經(jīng)發(fā)現(xiàn)，應(yīng)立即向分行辦公室及相關(guān)管理部門、單位負(fù)責(zé)人雙線報告，不得遲報、瞞報。

2、分行辦公室做好網(wǎng)絡(luò)輿情的監(jiān)測和處置工作，對可能引發(fā)銀行業(yè)系統(tǒng)性、區(qū)域性風(fēng)險和社會不穩(wěn)定事件的信息加強預(yù)警和分析，及時按應(yīng)急預(yù)案要求報告并采取有效措施，避免負(fù)面信息進一步擴散，將負(fù)面影響降到最低。

在2014年北京重大的活動如“兩會期間及315”、“金融知識進萬家活動”期間、“亞太經(jīng)濟合作組織會議”期間，北京分行均按照銀監(jiān)局的要求，提前做好各項服務(wù)保障應(yīng)急預(yù)案。

3、進一步加強分行服務(wù)投訴的管理工作。分行相關(guān)部門加強對柜員和大堂經(jīng)理進行優(yōu)質(zhì)服務(wù)專項培訓(xùn)，規(guī)范了服務(wù)投訴處理的方式方法和工作流程，并做好服務(wù)投訴處理的演練工作。

4、分行業(yè)務(wù)營運部根據(jù)總行要求，逐步完善營運業(yè)務(wù)的各項預(yù)案和準(zhǔn)備工作，針對各種物理和人為的突發(fā)事件，進一步加強對營運人員的應(yīng)急培訓(xùn)和全面演練工作，保證業(yè)務(wù)的連續(xù)性，并做好客戶安撫、媒體應(yīng)對等相關(guān)全面工作。

2014年9月13日，北京分行配合總行完成異地災(zāi)備切換演練。

5、分行科技部嚴(yán)格落實信息系統(tǒng)運行、維護及應(yīng)急處置等各項管理制度，對生產(chǎn)系統(tǒng)、災(zāi)備系統(tǒng)、分行數(shù)據(jù)庫、網(wǎng)絡(luò)切換在運行中存在的故障和隱患進行嚴(yán)密排查，并及時予以排除，確保我行系統(tǒng)安全穩(wěn)定運行及應(yīng)急情況下持續(xù)運行。

2014年，完成“IT機房基礎(chǔ)設(shè)施應(yīng)急演練”、“核心網(wǎng)絡(luò)系統(tǒng)應(yīng)急切換演練”、“網(wǎng)絡(luò)安全系統(tǒng)應(yīng)急切換演練”等的專項演練工作。

6、分行安全保衛(wèi)部持續(xù)加強各單位防火、防盜、防搶等突發(fā)惡性事件應(yīng)急預(yù)案的培訓(xùn)和演練工作，每季度至少保持一次以上的“防搶劫、防盜竊，防詐騙，保護金融資產(chǎn)安全”的“三防一?！毖菥毤跋腊踩R培訓(xùn)，各單位演練力求接近實戰(zhàn)，提高各單位應(yīng)對和處置能力。同時，分行安保部結(jié)合演練的實際情況，逐步完善和優(yōu)化安保方面的應(yīng)急預(yù)案。

7、分行各部門及各支行按分行各項應(yīng)急預(yù)案的管理要求，層層落實，并根據(jù)各部門及各支行的實際情況，制定具體的預(yù)案措施并落實專人負(fù)責(zé)，按照各項預(yù)案牽頭部門的要求進行操作和演練，并做好相關(guān)書面記錄和報告，根據(jù)實際操作情況，加強信息交流和反饋，對各項預(yù)案提出意見和建議。

四、應(yīng)急資源建設(shè)

北京分行高度重視同城災(zāi)備系統(tǒng)建設(shè)工作，根據(jù)《北京銀監(jiān)局關(guān)于推進轄內(nèi)商業(yè)銀行分支機構(gòu)分行級同城災(zāi)備系統(tǒng)建設(shè)的通知》（京銀監(jiān)發(fā)?2014?142號）要求，結(jié)合我行實際情況，制定了《渤海銀行北京分行同城災(zāi)備中心建設(shè)方案》，按照要求向北京市銀監(jiān)局、總行上報。

五、存在問題及后續(xù)工作

六、意見與建議