商业银行信息科技风险动态监测规程(征求意见稿)
商业银行信息科技风险动态监测规程
令狐采学
(征求意见稿)
第一章总则
第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。
第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。
第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。
第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。
第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。
政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。
第二章动态监测指标选取原则及分类
第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。
第七条监测指标选取遵循以下四个原则:
(一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力;
(二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况;
(三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况;
(四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。
第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。
第三章动态监测指标体系
第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
(一)系统可用率为信息系统实际提供服务时间与应提供服务时间之比,用于衡量信息系统对业务连续服务提供支撑的有效程度,系统可用率影响客户使用体验,并综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置等方面的管理能力。
(二)系统交易成功率为信息系统成功处理的交易量与处理交易总量之比,用于衡量信息系统正常响应业务请求的有效程度,综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面的管理能力。
(三)投产变更成功率为商业银行成功实施信息系统投产、变更数量与实施信息系统投产、变更总量之比,用于衡量商业银行投产变更管理的有效程度,综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。
第十条安全性指标用于衡量商业银行对安全威胁的抵御能力与安全事件的处置能力,包括假冒网站查封率、外部攻击变化率和信息安全事件数量。
(一)假冒网站查封率为已查封的假冒网站数量与已知的假冒网站数量之比,用于衡量商业银行对假冒网站的处置进展及其客户可能因假冒网站遭受欺诈威胁的程度,综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。
(二)外部攻击变化率为商业银行遭受外部攻击当期告警增加数量与上期告警数量之比,用于衡量商业银行外部攻击威胁的客观变化,综合反映商业银行信息系统外部风险的变化程度。
(三)信息安全事件数量为信息系统中断造成服务不可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事件次数、网络中断事件次数、基础设施不可用事件次数及其他安全事件次数之和,用于衡量商业银行在面对内外部安全威胁时,保持信息系统可用性、完整性、机密性的能力,综合反映商业银行信息安全现状。
第十一条规模性指标用于衡量商业银行主要电子渠道发展规模,反映商业银行主要电子渠道业务发展水平、电子渠道业务承受的压力及相关信息科技风险事件可能产生的社会负面影响程度,包括主要电子渠道交易变化率和主要电子渠道活跃用户、账户变化率。
(一)主要电子渠道交易变化率为商业银行全辖当期主要电子渠道交易量与上期主要电子渠道交易量之比,用于反映商业银行主要电子渠道交易规模总量及变化趋势。
(二)主要电子渠道活跃用户、账户变化率为商业银行全辖当期主要电子渠道活跃用户、账户数与上期主要电子渠道活跃用户、账户数之比,用于反映商业银行主要电子渠道活跃用户、账户总量及变化趋势。
第四章数据管理
第十二条商业银行应建立与本规程相配套的信息科技风险动态监测工作机制和管理流程,准确、及时提供动态监测指标相关源数据。
第十三条商业银行应根据自身发展状况建立与本规程相适应的监测统计信息系统,按照动态监测指标的相关要求采集相关源数据,并能够根据计算模型按照机构、产品、系统等不同维度和统计周期生成监测数据。
第十四条信息科技风险动态监测指标源数据采集范围应涵盖商业银行全辖(总行及各级分支机构)和各类重要信息系统,采集数据要全面、真实。
第十五条商业银行应确保监测指标数据来源的连续性、一致性以及可追溯性,并至少存留最近三年历史数据。
第十六条商业银行应明确信息科技风险动态监测数据报送的归口管理部门,并对报送数据的真实性和有效性负责。
第十七条银监会及其派出机构应督促、指导商业银行逐步建立并完善相关工作机制和流程,开展动态监测信息系统建设,提高数据采集的自动化程度,减少数据生成过程中的人为干扰因素。对于确需人工填报的环节,应在流程和系统设计中满足后续检查和审计的需要。
第十八条银监会及其派出机构信息科技监管部门负责审核商业银行报送的动态监测指标数据,并对报送数据质量进行考核。
第五章指标运用
第十九条商业银行应将信息科技风险动态监测指标纳入全行风险监测体系,建立信息科技风险动态监测指标分析预警模型,持续跟踪信息科技风险动态监测指标变化趋势,形成书面报告,定期向商业银行董事会和高管层报告。
第二十条商业银行董事会和高管层应定期审查信息科技风险动态监测报告,运用检查、监督、考核等手段督促相关部门采取有效措施实施整改。
第二十一条商业银行信息科技部门应根据动态监测指标结果,对本机构信息系统进行综合评价,并将评价结果与商业银行信息科技发展规划相结合。
第二十二条商业银行信息科技部门应持续跟踪动态监测指标及其变化趋势,重点关注指标数值或变化趋势存在异常的监测指标,深入分析指标异常的原因,采取相应的应急处置措施,并将处置方案和工作进度及时报送商业银行风险管理部门、银监会或其派出机构。
第二十三条银监会及其派出机构信息科技监管部门应明确信息科技风险动态监测工作岗位,制定人员岗位职责。
第二十四条银监会及其派出机构信息科技监管部门应建立分析预警模型,按照区域分布、机构类别、单家机构等不同维度对信息科技风险动态监测指标进行分类监测,定期形成风险分析报告,对于发现的突出共性风险问题,要开展行业通报。
第二十五条银监会及其派出机构信息科技监管部门可根据单家机构动态监测指标监测情况,采取约谈、现场检查等途径对相关情况进行核实,并通过风险提示、监管会谈等方式将风险监测结果及时通报商业银行,督促其采取有效措施,做好风险防范和整改工作。对于监测中发现的重大信息科技风险隐患,信息科技监管部门应及时通报机构监管部门,并可视情况采取联合监管行动。
第二十六条银监会及其派出机构信息科技监管部门应将动态风险监测指标分析结果作为商业银行年度信息科技监管评级的参考信息。
第二十七条银监会信息科技监管部门建立信息科技风险动态监测工作的激励考核机制,定期发布行业基准参考值,对指标领先的机构树立标杆,总结良好实践并予以推广。
第六章附则
第二十八条附件是本规程的组成部分,规定了信息科技风险动态监测指标口径说明。
第二十九条本规程由银监会负责修订和解释。
第三十条本规程自年月起试行。
附件:1、商业银行信息科技风险动态监测指标一览表
2、商业银行信息科技风险动态监测指标口径说明
附件1
商业银行信息科技风险动态监测指标一览表
商业银行信息科技风险动态监测指标口径说明
一、系统可用率
●指标的属性:稳定性指标。
●指标风险含义:
系统可用率[Available time rate of a system, ATR]用于衡量商业银行信息系统提供连续服务的能力。系统可用率综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置、变更管
理等方面能力以及客户对商业银行提供连续服务能力的感受。ATR较低时,说明商业银行信息系统提供连续服务能力不足,可能导致系统稳定性降低、产生声誉风险等风险隐患。
系统可用率包括十个重要信息系统的可用率指标,分别是:核心业务、综合前置、银行卡、网上银行、电话银行、手机银行、大额实时支付前置、小额批量支付前置、第三方存管、国际结算系统。
●ATR计算公式:
●ATR相关释义:
1.计划停止服务时间[Planned downtime, PD]:系统在监测周期内因变更、演练、维护等计划性事件及日间、夜间模式切换等日常操作造成的停止服务时间。注:若一次计划性停止服务时间超出了计划,则超出部分时间计入意外停止服务时间。
2.意外停止服务时间[Unexpected downtime, UD]:系统在监测周期内因系统故障、内部操作失误、外部入侵、自然灾害等意外性事件造成的停止服务时间。
3.提供服务总时间[The lasting time of service providing, LTSP]:系统在监测统计期内理论上可提供服务时间之和。如核心业务系统为24小时交易系统,监测统计期为30天,则该系统提供服务总时间为24×30×60分钟。
4.停止服务:系统中任一应用模块(子系统)在应提供服务时段出现服务不可用。
5.业务受影响比例[Affected business rate, ABR]:受影响业务类型数量占所有业务类型数量的比例。由商业银行自行确定比例的计算原则,可以按照同期交易量、交易金额、用户登录数量等因素来计算业务受影响比例,也可以应用模块(子系统)数量比例来计算。业务受影响比例计算原则由商业银行自行确定后,原则上一年内不得更改计算原则。
6.机构受影响机构比例[Affected organization rate, AOR]:受影响网点数量与全部网点数量的比值。如全行集中式服务受到影响,AOR数值为1。
7.公式中i代表监测周期内第i次发生的计划和意外停止服务,m代表监测周期内计划停止服务发生总次数,n代表监测周期内意外停止服务发生总次数。
8.计算公式中的时间单位均为分钟。
ATR监测的相关信息系统定义:
1.核心业务系统
核心业务系统是指支撑商业银行发展、运作和管理金融产品和服务的重要信息系统,一般指商业银行处理客户信息、存款产品、支付服务的信息系统。
2.综合前置系统
综合前置系统是指通过总线技术连接前置机与后台核心之间的存储转发系统,主要实现不同业务系统间协议转换、交易路由连接、报文转发、应用预处理等功能。
3.银行卡系统
银行卡系统是指商业银行处理银行卡业务的信息系统,支持持卡人通过多种交易渠道办理取现、消费、转账等业务,并提供账户、卡片管理、账户核算、财务管理、综合统计等功能,一般包含借记卡与信用卡应用模块。
4.网上银行系统
网上银行系统是指商业银行通过互联网等公众网络基础设施,向客户提供账务查询、转账、账务管理、资金划拨、网上支付等金融服务的信息系统。
5.电话银行系统
电话银行系统是指商业银行基于固定电话运营商的基础设施,向使用电话终端的客户提供账户查询、转账、代缴费、业务咨询等金融服务的信息系统。
6.手机银行系统
手机银行系统是指商业银行基于移动网络运营商的基础设施,向使用智能手机终端的客户提供账户查询、转账、代缴费等金融服务的信息系统。
7.大额实时支付系统前置系统
大额实时支付系统前置是指商业银行通过人民银行大额实时支付系统,承接转发大额实时支付报文的前置系统。
8.小额批量支付系统前置系统
小额批量支付系统前置是指商业银行通过人民银行小额批量支付系统应用,承接转发小额批量支付报文的前置系统。
9.第三方存管系统
第三方存管系统是指商业银行用于处理证券行业第三方存管业务的信息系统,主要提供合作方管理、协议管理、结算和出入资金管理等功能。
10.国际结算系统
国际结算系统是指商业银行处理外汇、国际贸易融资、结售汇等国际业务的平台。主要实现信用证、托收代收、保函、贸易融资、光票托收、账务清算、报文处理、风险控制以及国际收支申报信息自动收集等功能。
二、系统交易成功率
●指标的属性:稳定性指标。
●指标风险含义:
系统交易成功率[System transaction successfulrate, TSR]用于衡量商业银行信息系统正常响应业务请求的有效程度,综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面能力。TSR过低可能引起账务差错,造成经济损失,影响商业银行对外服务质量和效率,降低柜员、客户体验感受,进而导致客户流失,经济效益和品牌声誉下降。TSR由六个二级指标、十七
个三级指标组成。
●TSR计算公式:
●TSR相关释义:
1. 系统交易:指一笔业务在信息系统中自发起、处理、返回的过程,分为账务性和非账务性交易。账务性交易是指涉及账户资金余额发生变动的交易(例如:存款、取款、转账汇款等),非账务性交易是指账户资金余额不发生变动的交易(例如:开户、销户、查询等)。
2. 系统成功交易量[The amount of successful system transactions, AOSST]:接到交易请求后,能够按照程序设计返回处理结果的交易笔数。当某笔交易出现交易返回超时,或因数据库死锁等技术故障导致失败时,此笔交易才被视为失败交易。
3. 系统交易总量[The amount of system transactions, AOST]:该类交易总笔数之和。
注:部分查询交易若暂时没有交易记录,可暂时不统计交易量。
●TSR二级、三级指标定义:
1. TSR包括六个二级指标,分别为核心业务系统交易成功率、综合前置系统交易成功率、银行卡系统交易成功率、网上银行系统交易成功率、电话银行系统交易成功率和手机银行系统交易成功率。
2. 二级指标核心业务系统交易成功率下设两个三级指标,账务类交易成功率与非账务类交易成功率。
3. 二级指标综合前置系统交易成功率下设六个三级指标:大额实时支付渠道交易成功率、小额批量支付渠道交易成功率、ATM渠道交易成功率、POS渠道交易成功率、代收缴费渠道交易成功率、第三方存管渠道交易成功率。
4. 二级指标银行卡系统交易成功率下设四个三级指标:电话银行渠道交易成功率、手机银行渠道交易成功率、ATM渠道交易成功率、POS渠道交易成功率。
注:银行卡交易成功率,统计银行卡系统(含借记卡、信用卡、外汇卡、收单等应用模块)中所有的交易。三级指标不区分卡的类别及发卡行,只统计在银行卡系统(含借记卡、信用卡、外汇卡、收单等应用模块)中由不同渠道发起的交易成功率,若借记卡、信用卡、外汇卡等应用模块分开且属于独立部门管理的商业银行,在上报三级指标时,需分开进行统计并标注所属类别。
5. 二级指标网上银行系统交易成功率下设五个三级指标:银联渠道交易成功率、超级网银渠道交易成功率、大额实时支付渠道交易成功率、小额批量支付渠道交易成功率、第三方支付渠道(不含银联)交易成功率。
6. 二级指标电话银行系统交易成功率不设三级指标。
7. 二级指标手机银行系统交易成功率不设三级指标。
三、投产变更成功率
●指标的属性:稳定性指标。
●指标风险含义:
投产变更成功率[Deployment and change successful rate, DCSR]用于计算商业银行信息系统投产、变更活动实施后的成功比率,用于衡量商业银行投产变更管理的有效程度,综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。DCSR值低表示商业银行在软件开发、运行维护、应急处置、项目及变更管理方面存在技术风险或管理缺陷。
●DCSR计算公式:
●DCSR相关释义:
投产及变更:为达到正式生产运行或试运行的目标而进行的活动。包括:
(1)将已完成技术开发的信息系统项目发布到生产系统;
(2)信息系统的应用版本在生产环境的部署、升级、调整;
(3)对机房设备设施、网络、存储、营业终端、基础软件等的安装部署、升级、扩容、迁移、拆除、维护;
(4)无法通过信息系统业务操作界面,而采用技术手段对业务数据、配置文件、配置参数的修改。
●DCSR二级指标定义:
1. 投产、变更成功实施数量[The amount of successful
deployments and changes, SDC]:成功实施投产、变更活动的数量之和。成功实施的投产、变更活动指实施投产变更活动后,生产系统运行正常,五日内未发生任何影响商业银行安全、稳定运营的事件,且未启动应急回退预案的投产、变更活动。
2. 投产、变更实施总数量[The amount of deployments and changes,DC]:监测周期内实施投产、变更数量之和。
●监测范围:
商业银行全辖所有信息系统。
四、假冒网站查封率
●指标的属性:安全性指标。
●指标风险含义:
假冒网站查封率[Closed fishingwebsites rate, CFWR]反映假冒网站被查封的比例,用于衡量商业银行处理假冒网站的进度及其客户可能因假冒网站遭受欺诈威胁的程度,综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。CFWR值低,说明可能存在较多可以访问的假冒网站,增大用户被盗窃用户名和密码的风险,受骗客户数将上升,导致客户资金损失事件发生概率增大。
●CFWR计算公式:
●CFWR二级指标定义:
1. 假冒网站已查封数量[The amount ofclosed fishingwebsites, CFW]:商业银行当月向官方发出请求且被查封的假冒网站数量。
2. 假冒网站数量[The amount of fishingwebsites, AOFW]:当月商业银行通过自主发现、外部举报等渠道获取的数量。
五、外部攻击变化率
●指标的属性:安全性指标。
●指标风险含义:
外部攻击变化率[External attack case change rate, EACCR]反映近两个监测周期商业银行网络被黑客攻击的程度,用于衡量商业银行遭受外部攻击威胁的客观变化。当EACCR值大于0时,说明受攻击次数增多,被侵入可能性增加,内部网络的安全性受到影响的概率增加。当EACCR值超过20%时,说明外部攻击次数增长快,网络安全形势趋于严峻,安全防护压力增大,一旦防护措施不当,将给商业银行网站、内部网络及其他应用系统带来安全威胁。
●EACCR计算公式:
●EACCR相关释义:
外部攻击是指通过互联网对商业银行信息系统进行的攻击,攻击数量以商业银行全辖当期入侵检测系统告警数[The amountofintrusion detectionsystem warnings this period, IDSWP]、当
期入侵保护系统告警数[The amountofintrusion protectionsystemnumber of warnings this period, IPSWP])、上期入侵检测系统告警数[The amountofintrusion detectionsystemwarnings last period, IDSWLP]、上期入侵保护系统告警数[The amountofintrusion protectionsystemnumber of warnings last period, IPSWLP]作为基础数据,通过计算监测周期外部攻击次数来反映商业银行信息系统受外部关注程度。
●EACCR二级、三级指标定义
1. EACCR包括两个二级指标,分别为当期外部攻击次数和上期外部攻击次数。
2. 二级指标当期外部攻击次数包含两个三级指标,分别为商业银行全辖当期入侵检测系统告警数[IDSWP]与当期入侵保护系统告警数[IPSWP],计算方式为[IDSWP]与[IPSWP]之和。
3. 二级指标上期外部攻击次数包含两个三级指标,分别为商业银行全辖上期入侵检测系统告警数[IDSWLP]与上期入侵保护系统告警数[IPSWLP],计算方式为[IDSWLP]与[IPSWLP]之和。
●监测范围:
商业银行全辖入侵检测系统(IDS)和入侵保护系统(IPS)。
六、信息安全事件数量
●指标的属性:安全性指标。