银行金融业信息科技风险监管现场检查手册

前言信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。银行业对信息科技的高度依赖，决定了信息系统的安全性、可靠性和有效性对维系整个银行业的安全和金融体系的稳定具有至关重要的作用。银监会党委对信息科技风险监管工作高度重视，刘明康主席多次召开专项工作会议并做 m o 出重要批示和指示，明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念，把信息科技风险纳入银行总体风险监管框架，切实加强制 c . 5 度建设和风险监控，确保银行业信息系统安全稳定。在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的 b u 新形势下，银监会坚持“风险为本”的监管原则，提出了信息科技风险功能性监管的新思路，突出“制度先行”，完善监管框架，借鉴和吸收国际先进标准及业界最佳实践，不断丰富信息 h t i g 科技风险监管方式方法，制定了一系列的监管规范，结合奥运保障开展现场检查，并针对性地发出有关风险提示，建立非现场监管体系和监管评级体系，从而构建了信息科技风险监管的基础框架，全面展开信息科技风险的监管工作。按照郭利根副主席提出的“集成资源，形成信息科技风险监管合力”和“搞好规划，全面加强信息科技风险监管制度建设”要求，银监会强化机制建设、优化资源配置，整合科技人力资源，集中全国银监会系统科技骨干力量，在北京成立了信息科技监管“专项工作组”，又在上海、深圳两地分别成立信息科技风险监管工作室，按照统一调度、统一指挥、统一培训的工作原则，制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举，形成了矩阵式的监管工作模式，快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。《手册》的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、 1 天津、重庆、大连、云南、贵州银监局派出精锐技术骨干，参加《手册》编写工作；银监会各部门与各银监局提出了许多宝贵意见；上海银监局为编写工作提供了大量支持和保障工作。整个《手册》内容融合了银监系统内信息科技人员的经验和智慧，汇聚了银监会各部门与各银监局的宝贵意见和建议，应属于银监会系统及科技人员共同努力的成果和结晶。在此，向所有参与工作的单位和个人致以诚挚的谢意！ h t i g c . 5 m o b u 2 编写人员林丽朱永扬徐卫飞李丹骆絮飞邹伟房世晖崔维琪朱斌冯业伟叶照乔昱瑞纪奀武齐兴利吴瑞麟张伟张惠芳李晓东陆阳陆翔陈云龙陈宏宇周嘉弘郝海峰杨中华崔晨盛于南游琨谭杨史文明何禹靖雪晶徐美东徐殿南刘楠李鹏李海波包龙殷有超 h t i g 3 b u c . 5 m o 目录第一部分概述............................................. 2 1. 银行信息科技风险及其监管 ............................... 2 1.1 银行信息科技风险 ................................................................2 1.2 银行信息科技风险特点 ............................................................2 1.3 风险成因分析 ....................................................................3 m o 1.4 信息科技风险监管意义 ............................................................4 2. 现场检查一般流程 ....................................... 5 c . 5 2.1 现场检查准备阶段 ................................................................5 2.2 现场检查实施阶段 ................................................................7 b u 2.3 现场检查后续阶段 ................................................................8 3. 常用检查方法 ........................................... 9 第二部分科技管理....................................... 11 4. 科技治理 .............................................. 11 h t i g 4.1 董事会及高管层 .................................................................11 检查项 1 ：董事会和高级管理层............................................................................................11 4.2 信息科技工作的管理机构 .........................................................12 检查项 1 ：全行信息科技工作的管理机构 .............................................................................12 4.3 信息科技部门 ...................................................................13 检查项 1 ：信息科技部门.......................................................................................................13 4.4 信息科技战略规划 ...............................................................15 检查项 1 ：信息科技战略规划................................................................................................15 4.5 信息科技风险管理部门 ...........................................................15 检查项 1 ：信息科技风险管理部门 ........................................................................................15 4.6 信息科技风险审计 ...............................................................16 4 检查项 1 ：信息科技风险审计机制 ........................................................................................16 4.7 知识产权保护 ...................................................................17 检查项 1 ：知识产权制度.......................................................................................................17 4.8 信息披露 .......................................................................17 检查项 1 ：信息披露 ..............................................................................................................17 5. 连续性管理 ............................................ 18 5.1 信息系统连续性组织 .............................................................18 检查项 1：系统连续性管理组织..............................................................................................18 检查项 2：系统连续性管理组织职责 ......................................................................................19 m o 检查项 3：系统连续性计划编制、维护...................................................................................20 c . 5 检查项 4：系统连续性计划编制、维护职责 ...........................................................................20 检查项 5：系统连续性计划执行组织 ......................................................................................20 检查项 6：系统连续性计划执行组织职责 .............................