OIQSA0014 A - HSF要求及HS风险评估指引
电子银行安全评估指引
《电子银行安全评估指引》第一章 总则 第一条为促进电子银行业务的健康发展,保证电子银行业务安全性评估的客观性、及时性、全面性和有效性,依据《中华人民共和国银行业监督管理法》、《中华人民共和国金融机构法》等法律法规和《电子银行业务管理办法》等监管规章,制定本指引。 第二条电子银行的安全评估,是指对开展电子银行业务的金融机构在电子银行管理过程中的电子银行安全策略、内控制度、系统安全、客户保护等方面,进行的安全测试和风险管理能力等的综合安全考察与评价。 第三条在中华人民共和国境内开展电子银行业务的金融机构以及利用境内的电子银行系统向境外提供电子银行服务的金融机构,都应定期对电子银行安全进行评估。 第四条开展电子银行业务的金融机构可以利用外部专业化的评估机构对电子银行安全进行评估,也可以利用内部独立于电子银行业务运营管理部门的评估部门进行电子银行安全评估。 第五条金融机构的电子银行安全评估工作应纳入金融机构风险管理的总体框架,由金融机构的风险管理委员会或相关机构直接负责。 第六条金融机构的电子银行安全评估应接受中国银行业监督管理委员会(以下简称中国银监会)的监督指导。
第二章安全评估机构 第七条承担金融机构电子银行安全评估工作的机构,可以是外部专业化服务机构,也可以是金融机构内部具备相应条件的相对独立部门。 第八条外部机构从事电子银行安全评估,应具备以下条件: (一)具有较为完善的开展电子银行安全评估业务的管理制度和操作规程; (二)制定了系统全面的内部评估手册或评估指导文件,内容应至少包括评估程序、评估方法和依据、评估标准等; (三)拥有与电子银行安全评估相关的各类专业人才,了解国际和中国相关行业的行业标准; (四)其他从事电子银行安全评估应当具备的条件。 第九条金融机构内部部门从事电子银行安全评估,除应具备第八条规定的有关条件外,还应具备以下条件: (一)从事电子银行安全评估的部门必须独立于电子银行业务系统开发部门和运营部门; (二)从事电子银行安全评估的部门未直接参与过有关电子银行设备的选购工作。 第十条中国银监会负责电子银行安全评估机构资格认定工作。电子银行安全评估机构资格认定工作,每年组织一次。 电子银行安全评估机构在从事金融机构电子银行安全评估业务之前,应向中国银监会申请对其资格进行认定。
2016年科技信息风险评估报告
XX农商银行关于科技信息 业务风险评估报告 根据《XXX农村信用社联合社关于印发XX农村信用社2015-2017年规划的通知》)及《XX银行2016年内控合规工作实施细则》的要求,风险合规部对我行科技信息部2016年度的相关业务进行了风险评估,现将评估情况情况报告如下: 一、总体情况 风险合规部于2016年12月1日至2016年12月5日对我行科技信息业务的风险状况进行了评估,主要从组织领导、制度管理、岗位管理、员工培训、安全设施等业务开展情况进行了检查,结合检查结果进行风险评估。 二、工作开展情况 (一)科技信息组织领导 通过查阅科技信息部考核办法和相关责任状,我行董事会设置了科技信息管理委员会,经营班子设置了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等领导组织,组织机构组建齐全。 (二)信息科技制度建设 通过查阅出台的信息科技制度、流程及办法,信息科技部组织制定了各项规章制度,并结合内部控制评价工作对相
关的科技管理制度和操作规程进行梳理和归类,及时修改相关制度办法,使其具有系统性、可操作性和全新性。 (三)信息科技管理部门及岗位 我行现已设立独立的科技管理工作部门并配有符合条件的科技人员,结合自身实际设立科技管理岗、主机系统维护岗、设备维护岗、设备保管岗、档案管理岗、风险控制及安全岗等必要的岗位,每个岗位配备2人以上操作维护人员,重要系统均配备A\B角,并定期轮换,制定相应的岗位职责。 (四)员工学习培训 通过查阅培训计划及资料、员工岗位轮换表、强制休假安排及审计报告,科技信息部年内组织开展了计算机知识的普及和应用轮训培训工作,严格落实上岗资格考试、岗位轮换和强制休假制度。 (五)设备管理和维护 通过查阅登记簿和检查记录,科技人员能够按照规定对计算机进行必要的设备日常监测、检查、记录,并及时掌握设备的运行状况。通过查阅运维综合管理平台,部门能够及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单,并对其认真审核后,及时提交相关部门处理;对营业网点上报的网络故障信息及时给予电话或现场指导。 (六)机房网络安全及消防设施
银行业金融机构稳健性现场评估办法
ⅩⅩ区银行业金融机构稳健性现场评估办法(征求意 见稿) 第一章总则 第一条为加强辖区银行业金融机构风险监测与评估,及早发现影响辖区银行业金融机构稳健性运行的苗头性、倾向性问题,防范和化解系统性金融风险,维护辖区金融稳定,根据《中华人民共和国人民银行法》、《中华人民共和国商业银行法》、《ⅩⅩ区金融业风险监测评估工作指引》以及中国人民银行相关规章制度等,制定本办法。 第二条本办法所称现场评估,是指人民银行ⅩⅩ区内各分支机构在对银行业金融机构非现场监测评估的基础上,通过调查问卷、现场访谈、调阅资料、数据核对等多种方式,从风险管理体系建设及执行、经营审慎性、公司治理、管理层素质及合规性、核心指标稳健性等方面,对银行业金融机构的稳健性作出定性和定量判断的行为。 第三条现场评估工作应遵循因地制宜、客观全面、公平公正、合理有效的原则。 第二章现场评估内容
第四条根据《ⅩⅩ区银行业金融机构现场评估实施方案》,银行业金融机构现场评估内容主要包括以下几个方面:㈠风险管理体系建设及执行有效性。主要从信用风险管理、市场风险管理、操作风险管理、流动性风险管理、声誉风险管理、应急管理、风险管理部门独立性及人员配置、发展战略、业务模式、规模扩张、网点布局、新发放贷款投向、存贷款平滑度、短期融资依赖度、贷款集中行业和客户景气度等方面进行评估。 ㈡公司治理、管理层素质及合规性。 ㈢资本、人员及系统稳定性。 ㈣核心指标稳健性。主要从资本充足性、安全性、流动性、盈利性和管理水平等方面进行评估。 第三章现场评估程序 第五条现场评估程序分为评估准备、评估实施和评估报告及结果处理三个阶段。 第一节评估准备 第六条银行业金融机构应于每年2月最后一个工作日前向所在地人民银行报送上一年度的《金融稳定评估指标
CSR风险评估方案
1 目的 为及时识别、监控公司潜在风险及其发生概率,确定公司风险承受能力及限度,认定该等风险所可能带来的损失,制订本制度。 2 定义 本办法中所指风险是与公司生产经营、发展战略有关的各类风险,包括战略环境风险、程序风险(业务运作风险、财务风险、授权风险、信息与技术风险以及综合风险)和战略决策信息风险。 3 适用范围 本办法适用于公司以及公司下属各业务部门、子公司,要求每一位员工均应该具有风险意识。具体负责组织实施单位为发展战略部。 4风险评估管理组织体系结构及职责 4.1 公司设立风险评估及管理小组,为公司风险管理领导机构,负责评估公司各类风险,协助经理决策,消除危机,转嫁风险,以使公司获取生存发展的机会。 4.2 公司各职能部门与业务部门、下属子公司应当在本办法的框架下制订各自的风险评估管理办法,设立专人与发展战略部风险评估及管理小组沟通信息,汇报各自在运作过程中所出现的风险及其可能的解决方案。 4.3 内部其他部门协助综合管理部审核公司风险,为风险监控部门,在其进行内审工作过程中所发现的各类风险应及时通报综合管理部研讨、评估该等风险,综合管理部与其他部门密切合作,审核、监控并管理风险。 4.4 综合管理部负责组织评估各类业务部门的财务、运作风险,并对该等风险提出具体的管理方案。 4.5 经营财务部负责评估公司金融财务风险及公司经营管理风险状况,并向发展战略部通报提交有关风险评估文档。 4.6 各业务部门、下属子公司及具体项目运作小组负责评估本单元(或项目)的财务风险、运作风险及其他综合风险,向综合管理部提交有关风险评估文档。 4.7 工程部及技术中心就公司整体产品的技术性风险、技术创新风险及技术管理中所存在的各类风险进行评估,提交相应文档至发展战略部。 4.8 综合管理部汇总各职能部门及业务部门、下属子公司、具体项目小组的风险评估文档,展开相应的评估研究,向总经理及总经办公会提交风险评估报告及相应的防范措施。4.9风险评估CSR组织架构图见附件一
商业银行信息科技监管评级定量和定性标准
信息科技风险(Information Technology Risk) (一)信息科技治理(15分) 1.信息科技治理组织架构(8分) (1)是否确立董事会、高管层信息科技管理职责。 (2)是否建立完善的信息科技管理制度体系。 (3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。 (4)是否明确信息科技治理作为重要组成部分纳入公司治理。 评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。 (2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。 (3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。 (4)考察商业银行是否以正式制度(文件)明确信息科技
治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。 2.信息科技对业务发展的专业支持和匹配度(7分) (1)信息科技战略与业务发展战略的匹配度。 (2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。 (3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。 评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。 (2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。 (3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
中国银监会关于印发《商业银行信息科技风险管理指引》的通知
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产一2 一 生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务- 3 一 部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的墓础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。 (八)每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。
电子银行业务管理办法
电子银行业务管理办法
附件二十九上海农村商业银行企业网上银行通知存款业务作业指导书 附件1: 永兴沪农商村镇银行电子银行业务管理办法 (2015年2月修订) 目录 第一章总则 (4) 第二章管理职责 (8) 第三章基本规定 (10) 第四章柜员管理 (21) 第五章参数管理 (22) 第六章移动数字证书管理 (23) 第七章个人网上银行业务 (24) 第八章企业网上银行业务 (25) 第九章电子银行业务特殊处理 (26) 第十章客户投诉及咨询业务 (27) 第十一章门户网站管理 (28) 第十二章自助机具管理 (30) 第十三章移动终端业务管理 (32) 第十四章短信业务管理 (33) (35)
第十六章业务检查 (36) 第十七章电子银行售后服务 (38) 第十八章电子银行客户教育 (39) 第十九章突发事件应急处理 (40) 第二十章附则 (43)
第一章总则 第一条为加强永兴沪农商村镇银行电子 银行业务管理,规范业务处理行为,防范风险发生,促进电子银行业务健康、持续、快速发展,根据《中华人民共和国商业银行法》、《中华人民共和国电子签名法》、《电子银行业务管理办法》、《电子支付指引》、《网上银行系统信息安全规范》、《人民币银行结算账户管理办法》、《支付结算办法》以及监管部门有关规定、规范性文件和相关业务制度,制定本办法。 第二条本办法所称永兴沪农商村镇银行(以下简称“村镇银行”)是经监管机构依据有关法律、法规批准,由上海农商银行(以下简称“主发起行”)和其他境内非金融机构企业法人或境内自然人共同出资并由上海农商 银行控股,主要为县(市)区域内的“三农”及中小企业提供金融服务的银行业金融机构;村镇银行管理部是主发起行设立的,负责管理和推动村镇银行业务发展,指导村镇银行建立健全业务制度、防范各类风险的职能部门;村镇银行管理分部是主发起行村镇银行管理部
安全风险评估报告(终)
安全风险评估 编制单位:项目部编制人: 审批人: 编制时间: 颁布时间: 中铁*****局集团路桥有限公司
一、编制依据 1、《公路桥梁和隧道工程施工安全风险评估指南》(试行)交质监发【2011】217号; 2、交通部颂发的《公路工程标准施工招标文件(2009年版)》、现行《公路工程技术标准》、现行《公路隧道施工技术规范》、现行《公路工程施工安全技术规程》等相关规范; 3、《公路施工手册》、现行《工程建设标准强制性条文·公路工程部分》; 4、现场踏勘调查、搜集的实地资料; 5、我单位在类似工程中的施工经验和相关工程的技术总结、工法成果等。 6、依据以上文件、规范、标准及工程实地勘察情况,结合我公司现有技术装备、施工能力、管理水平,以及多年从事复杂地形地质条件隧道施工的丰富经验,并针对本工程施工特点,以“保质量、保工期、保安全、创精品”为目标,编制本梅岭隧道施工安全总体风险评估报告。 二、工程概况 (三)、公路设计技术标准 1、公路等级: 2、隧道设计行车速度:80km/h; 3、隧道建筑限界: 4、洞内路面设计荷载: 5、行车方式:双向行车;
6、通风方式:机械通风; 7、隧道防水等级: (四)、桥梁设计技术标准 1、设计基准期: 2、设计荷载: 3、地震动峰值:根据《中国地震动峰值加速度区划图》(GB18306-2001)场地地震动峰加速度(a)<0.05g,对应于地震基本烈度﹤6度。按6度设防; 4、桥面全宽: 5、斜交角: (五)、工程地质概况 1、地层岩性 根据区域地质、野外工程地质调查与测绘和钻孔揭露资料,并结合室内试验结果,隧址区地层可划分为第四系松散堆积物(Q4)和奥陶系新岭组(O3x)基岩。 (1)第四系松散堆积物(Q4) 第四系残、坡积层(Q4e1+d1):主要由灰色、黄灰色角砾石(含碎石、块石)混低液限粘土、低液限粘土混角砾石、低液限粘土组成,分布于山坡、山谷及基岩区表层,工程性质较差。 (2)奥陶系新岭组(O3x) 奥陶系新岭组(O3x):主要由灰、黄灰色砂岩和灰绿色、灰黑色页岩组成,其中分布有石英岩脉,工程性质相对较好。 2、地质构造和地震动参数 隧址区位于绩溪复背斜的西北翼。由于该地区经历了多次构造运动,岩层状况和地质构造尤为复杂。
GY农村商业银行电子银行业务风险管理办法
GY农村商业银行电子银行业务风险管理办法(试行) 第一章总则 第一条为加强GY市农村信用合作联社(简称“我联社”,下同)电子银行(含网上银行、 手机银行、电话银行等,下同)业务的风险管理,保障客户及银行的合法权益,促进电子 银行业务的健康有序发展,根据《中华人民共和国电子签名法》、《电子银行业务管理办法》、 《电子银行安全评估指引》、《电子支付指引(第一号)》、《商业银行信息科技风险管理指引》 等信息安全的有关法律法规,制定本办法。 第二条我联社电子银行风险管理的目标是通过建立有效的机制,实现对电子银行风险的 识别、计量、监测和控制,促进电子银行安全、持续、稳健运行,推动业务创新,提高信 息技术使用水平,增强核心竞争力和可持续发展能力。 第三条电子银行风险管理的内容包括业务风险管理和信息安全风险管理。电子银行业务的风险主要 体现为:操作风险、信息科技风险、法律风险、信誉风险以及信用风险、市场风险。 电子银行业务信用风险、市场风险的管理应遵守我联社现行各项风险管理制度。 本办法重点规范操作风险、信息科技风险、法律风险、信誉风险的管理。 第四条我联社实行电子银行年度评估制度,重大事件报告制度。对重大事件,按事件性质和专项制度规定及时向监管部门报告。 第五条我联社由监察稽核部对电子银行系统的运行状况进行定期审计。 第二章风险管理的组织机构与职责 第六条合规与风险管理委员会负责制定电子银行风险管理政策、监控风险管理政策执行情况、确定全社电子银行风险管理活动目标、审批电子银行风险管理的重大事项、协调监察稽核部、安全保卫部、合规部、银行卡部、信息科技部、会计结算部等相关业务管理部门之间的操作风险管理缝隙,建立涵盖全社范围电子银行各项活动的风险管理系统。 第七条电子银行业务风险管理纳入我联社风险管理体系。合规与风险管理委员会负责制订与完善风险管理制度及实施细则,组织开展电子银行业务自律监管、安全评估,有效识别、监测、控制和评估电子银行业务风险,及时向上级部门或监管部门报告风险信息和处理情况。 第八条银行卡部是电子银行业务的主管部门,主要职责有:贯彻落实电子银行监管的各项规定与政策;拟定电子银行管理、运营的各项规章制度;配合辖内营业网点提供客户服务,组织开展电子银行业务的市场调研工作;负责提出电子银行业务更新、升级需求,并组织相关测试和培训;落实电子银行风险管理政策及内控要求,确保电子银行业务运行的连续性和安全性。 第九条会计结算部负责制定会计核算规章制度,确保电子银行业务严格按照国家会计
风险评估方法和标准
恒鑫集团风险评估管理规定 一、概述 恒鑫铜业集团有限公司(以下简称“公司”)风险评估就是对公司目标实现产生负面影响的因素进行判断的过程。风险评估主要包括风险识别和风险分析两个方面。 二、风险评估的范围 按照公司内控体系阶段性建设计划,公司风险评估现阶段的范围是:公司层面风险和业务层面风险,业务层面风险主要针对关键业务流程的风险进行评估。 三、风险评估的基本程序和方法 公司风险评估主要经过确立风险管理理念和风险接受程度、目标制定、风险识别、风险分析和风险反应等五个基本程序来进行。 1、确立风险管理理念和风险接受程度 确立公司风险管理理念和风险接受程度是公司进行风险评估的基础。 (1)风险管理理念 公司风险管理理念是公司如何认知整个经营过程(从战略制定和实施到企业日常活动)中的风险为特征的公司共有的信念和态度。公司的风险管理理念反映出公司的价值,影响公司文化和经营风格,也会影响应用公司风险管理要素的方式,包括识别风险的方式、可接受的风险种类以及如何进行风险管理。 公司坚持“诚信、创新、业绩、和谐、安全”的核心经营管理理念,集中体现了公司经营管理决策和行为的价值取向,也反映出了公司实行稳健的风险管理理念。 (2)风险接受程度 风险接受程度是指公司在追求目标实现过程中愿意接受的风险程度。它反映了企业风险管理理念,反过来又影响企业文化和经营风格。在制定企业战略时要对风险接受程度加以考虑,同时,公司的风险接受程度选择也应与制定的公司战略相一致。一般来讲,风险接受程度分为三类:“高”、“中”或“低”。公司从定性角度考虑风险接受程度,整体上讲,公司把风险接受程度确定为“低”类,即公司在经营管理过程中,采取谨慎的风险管理态度,可以接受较低程度的风险发生。 2、目标制定 目标制定是风险识别、风险分析和风险对策的前提。公司必须首先制定目标,
银行信息科技风险防控报告
信息科技风险防控报告 一、风险防控工作的组织开展情况 我行面临的主要信息科技风险: 1.业务中断风险 保障业务连续性是我行信息科技工作中的最重要的部分。我行面临的首要的问题是信息系统建设的相对滞后跟不上业务高速发展的脚步。一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素,极易造成银行业务的中断。 2.数据安全风险 数据是我行的基础,我行要为客户提供一个可靠的环境确保数据资料的准确性和安全性。随着业务的发展,数据量不断增大,数据安全风险凸显。数据安全风险包括两方面:一是数据窃取,主要是数据遭到窃取或者恶意篡改,导致客户信息资料外泄,引发客户不满,引发法律风险问题;二是数据丢失,主要是受到自然灾害、房屋倒塌等突发事件造成的存储介质毁坏,导致存储介质中数据丢失。 3.电子银行与网络金融风险 电子银行风险主要是电子支付安全问题,包括ATM诈骗以及利用钓鱼、木马程序盗取客户的账号和密码等一些行为导致的客户资金的损失。网络安全是网
络金融风险的关键,一旦网络安全受到破坏,网络金融风险将一发而不可收。 4.系统漏洞风险 系统漏洞风险是银行信息系统开发缺陷被发现和利用的风险。系统漏洞风险在系统设计之初难以发现,随着系统的推广及运行,风险将逐渐暴露,一旦被人利用,会对我行造成极大影响。另外,系统的密码泄露和破解,也影响着系统的安全。 5.外包风险 外包风险主要是外包服务商能否长期稳定地为我行提供高质量的服务,能否及时响应并修复系统故障,确保外包业务连续性。我行如果过度依赖外包服务商,一旦出现突发情况,势必会影响我行业务持续开展。 二、风险防控工作采取的具体举措和成效 针对我行面临的主要的信息科技风险,我行在信息科技风险管理方面采取以下策略。 1.强化数据质量及安全管理 建立数据质量常态化管理机制,积累真实、准确、连续、完整的部和外部数据,确保外围管理系统数据应用质量要求,把控数据外泄风险。 上线数据库审计系统,对数据进行监控。能够实时记录数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、
网上银行安全与隐私保护管理办法及策略
网上银行安全与隐私保护管理办法及策略 一、网上银行业务风险管理体系及主要内容 依据中国银监会《内部控制评价办法》、《电子银行业务管理办法》、《电子银行安全评估指引》的要求,本行网上银行业务风险管理的主要内涵包括以下方面内容: (一)网上银行业务风险管理的主要内容 根据网上银行业务的自身特点,结合本行实际情况,本行的网上银行业务风险体系的构成包括: 1制定明确的网上银行业务风险管理政策 ·本行网上银行业务风险涉及的范围和领域; ·本行网上银行业务风险控制的目标和能够承担的风险水平; ·网上银行业务风险管理的组织结构、权限结构和责任机制; ·网上银行业务风险的识别、计量、监测和控制程序; ·网上银行业务风险的报告体系; ·网上银行业务风险管理信息系统 ·内部控制和外部审计; ·网上银行业务风险资本的分配; ·对重大网上银行业务风险情况的应急处理方案。 2网上银行业务风险的识别、计量、监测和控制程序 传统银行所面临的各类风险如信用风险、流动性风险、利率风险
和市场风险等,这些在网上银行业务中仍然存在,但是其表现形式上则有所变化,对网上银行业务风险进行全面的识别目前还存在一定的困难,还需要不断摸索规律、积累经验,因此本行将努力引入有效的方法来识别网上银行业务的风险,同时逐步根据新资本协议的要求来计量和监测网上银行业务风险: ·加强对防范网上银行业务风险的规章制度建设; ·加强对业务合规性的控制; ·加强对员工管理,防范道德风险; ·完善信息系统,提高通过技术手段防范网上银行业务风险的能力;·研究和引入有效的定性或定量的计量和评估网上银行业务风险的模式或方法; ·制定应急准备; 3实行对网上银行业务风险管理的独立的内、外部审计 内、外部审计应包括:本行组织结构、所有业务和管理管理流程、人员的工作状况、各部门的运行情况、人事变动、客户投拆、系统运行状况等各个环节。 (二)网上银行业务风险管理职能的分布 1董事会 ·承担对网上银行业务风险管理实施监控的最终责任,确保本行有效地识别、计量、监测和控制业务所承担的各类风险,包括:
科技信息风险评估报告
科技信息风险评估 报告
XX农商银行关于科技信息 业务风险评估报告 根据《XXX农村信用社联合社关于印发XX农村信用社 - 规划的通知》)及《XX银行内控合规工作实施细则》的要求,风险合规部对我行科技信息部的相关业务进行了风险评估,现将评估情况情况报告如下: 一、总体情况 风险合规部于 12月1日至 12月5日对我行科技信息业务的风险状况进行了评估,主要从组织领导、制度管理、岗位管理、员工培训、安全设施等业务开展情况进行了检查,结合检查结果进行风险评估。 二、工作开展情况 (一)科技信息组织领导 经过查阅科技信息部考核办法和相关责任状,我行董事会设置了科技信息管理委员会,经营班子设置了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等领导组织,组织机构组建齐全。 (二)信息科技制度建设 经过查阅出台的信息科技制度、流程及办法,信息科技部组织制定了各项规章制度,并结合内部控制评价工作对相关的科技管理制度和操作规程进行梳理和归类,及时修改相关制度办法,
使其具有系统性、可操作性和全新性。 (三)信息科技管理部门及岗位 我行现已设立独立的科技管理工作部门并配有符合条件的科技人员,结合自身实际设立科技管理岗、主机系统维护岗、设备维护岗、设备保管岗、档案管理岗、风险控制及安全岗等必要的岗位,每个岗位配备2人以上操作维护人员,重要系统均配备A\B角,并定期轮换,制定相应的岗位职责。 (四)员工学习培训 经过查阅培训计划及资料、员工岗位轮换表、强制休假安排及审计报告,科技信息部年内组织开展了计算机知识的普及和应用轮训培训工作,严格落实上岗资格考试、岗位轮换和强制休假制度。 (五)设备管理和维护 经过查阅登记簿和检查记录,科技人员能够按照规定对计算机进行必要的设备日常监测、检查、记录,并及时掌握设备的运行状况。经过查阅运维综合管理平台,部门能够及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单,并对其认真审核后,及时提交相关部门处理;对营业网点上报的网络故障信息及时给予电话或现场指导。 (六)机房网络安全及消防设施 经过查看网络机房现场,安置地点无有害气体和有放腐蚀、易燃易爆物体,而且避开强磁场、震动电源、噪音及潮湿的环
某银行信息科技风险识别与评估管理办法
某银行信息科技风险识别与评估管理办法 第一章总则 第一条为规范信息科技风险评估工作,提高某银行信息科技风险管理水平,促进我行业务安全、持续、稳健发展,根据国家信息安全法律、法规及银行业信息科技监管要求及《某银行信息科技风险管理策略》,结合我行风险管理实际情况,特制定本办法。 第二条本办法属于信息科技风险类“管理办法”,适用于某银行信息科技工作全过程的风险评估。风险评估对象包括信息科技组织、管理过程和信息资产。 第三条信息科技风险,是指信息科技在合规管理、支持业务创新和业务运营过程中,由于管理流程及资源缺失或不足、人为因素和技术漏洞产生的操作、法律、声誉等风险。 第四条信息科技风险评估是指在信息科技风险事件发生之前或之后(但还没有结束),该事件给信息系统的研发、生产等各个方面造成的影响和损失的可能性进行量化评估的工作。 第五条本办法所指的信息科技风险类型及来源包括但不限于以下内容: (一) 信息科技总体风险是指信息科技在策略、制度、物理环境、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。 (二) 信息系统风险是指信息系统在规划、研发、建设、运行、维护、监控及下线过程中由于技术和管理缺陷产生的风险。 (三) 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。 (四) 运行维护风险是指信息系统在运行与维护过程中访问管理、操作管理、变更管理、机房管理和事件管理等环节产生的风险。 (五) 外包风险是指本行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。 第六条信息科技风险评估是识别、计量、评价信息科技风险的活动,旨在客观反映信息科技对我行发展战略的支撑程度。 第七条风险评估应遵循“全面覆盖、突出重点、持续跟进”的原则。 第八条总行、一级分行的信息科技风险评估(含自评估)工作应遵照本办法执行。 第二章角色分工 第九条风险评估可由总行信息科技管理委员会或一级分行发起,承担机构是风险管理部,风险管理部负责组建风险评估实施团队。风险评估实施团队由管理层、相关业务和技术骨干等人员组成,评估工作角色分为:评估管理人员、评估人员、评估分析人员。 (一)评估管理人员由风险管理部信息科技风险管理岗担任,负责组织、管理、监督风险评估任务,包括: 1. 制定风险评估任务计划 2. 设计风险评估方案 3. 审核风险评估报告 4. 确认风险处置建议 5. 跟踪风险评估任务进度 6. 控制风险评估任务质量 (二)评估人员负责按照风险评估任务要求,收集并提供信息和证据,如
公司风险评估管理办法
公司风险评估管理办法 第一章总则 第一条为及时识别、监控公司潜在风险及其发生概率,确定公司风险承受能力及限度,认定该等风险所可能带来的损失,制订本办法。 第二条本办法中所指风险是与公司投资发展战略有关的各类风险,包括战略环境风险、程序风险(业务运作风险、财务风险、授权风险、信息与技术风险以及综合风险)和战略决策信息风险。 第三条本办法适用于公司以及公司下属各业务单元、子公司,要求每一位员工均应该具有风险意识。具体负责组织实施单位为发展战略部。 第二章风险评估管理组织体系结构 第四条公司发展战略部设立风险评估及管理小组,为公司风险管理领导机构,负责评估公司各类风险,协助总裁决策,消除危机,转嫁风险,以使公司获取生存发展的机会。 第五条公司各职能部门与业务单元、下属子公司应当在本办法的框
架下制订各自的风险评估管理办法,设立专人与发展战略部风险评估及管理小组沟通信息,汇报各自在运作过程中所出现的风险及其可能的解决方案。 第六条内部审计部门协助发展战略部审核公司风险,为风险审计监控部门,在其进行内审工作过程中所发现的各类风险应及时通报发展战略部从战略上研讨、评估该等风险,发展战略部与内部审计部密切合作,审核、监控并管理风险。 第七条发展战略部负责评估管理公司战略环境风险、决策风险及各类业务单元的财务、运作风险,并对该等风险提出具体的管理方案。 第八条经营财务部负责评估公司金融财务风险及公司经营管理风险状况,并向发展战略部通报提交有关风险评估文档。 第九条各业务单元、下属子公司及具体项目运作小组负责评估本单元(或项目)的财务风险、运作风险及其他综合风险,向发展战略部提交有关风险评估文档。 第十条技术管理部及首信研究院就公司整体发展战略的技术性风险、技术创新风险及技术管理中所存在的各类风险进行评估,提交相应文档至发展战略部。
网上银行安全与隐私保护管理办法及策略
网上银行安全与隐私保护管理办法及策略一、网上银行业务风险管理体系及主要内容 依据中国银监会《内部控制评价办法》、《电子银行业务管理办法》、《电子银行安全评估指引》得要求,本行网上银行业务风险管理得主要内涵包括以下方面内容: (一)网上银行业务风险管理得主要内容 根据网上银行业务得自身特点,结合本行实际情况,本行得网上银行业务风险体系得构成包括: 1制定明确得网上银行业务风险管理政策 ·本行网上银行业务风险涉及得范围与领域; ·本行网上银行业务风险控制得目标与能够承担得风险水平; ·网上银行业务风险管理得组织结构、权限结构与责任机制; ·网上银行业务风险得识别、计量、监测与控制程序; ·网上银行业务风险得报告体系; ·网上银行业务风险管理信息系统 ·内部控制与外部审计; ·网上银行业务风险资本得分配; ·对重大网上银行业务风险情况得应急处理方案。 2网上银行业务风险得识别、计量、监测与控制程序 传统银行所面临得各类风险如信用风险、流动性风险、利率风险与市场风险等,这些在网上银行业务中仍然存在,但就是其表现形式上则有所变化,对网上银行业务风险进行全面得识别目前还存在一定
得困难,还需要不断摸索规律、积累经验,因此本行将努力引入有效得方法来识别网上银行业务得风险,同时逐步根据新资本协议得要求来计量与监测网上银行业务风险: ·加强对防范网上银行业务风险得规章制度建设; ·加强对业务合规性得控制; ·加强对员工管理,防范道德风险; ·完善信息系统,提高通过技术手段防范网上银行业务风险得能力; ·研究与引入有效得定性或定量得计量与评估网上银行业务风险得模式或方法; ·制定应急准备; 3实行对网上银行业务风险管理得独立得内、外部审计 内、外部审计应包括:本行组织结构、所有业务与管理管理流程、人员得工作状况、各部门得运行情况、人事变动、客户投拆、系统运行状况等各个环节。 (二)网上银行业务风险管理职能得分布 1董事会 ·承担对网上银行业务风险管理实施监控得最终责任,确保本行有效地识别、计量、监测与控制业务所承担得各类风险,包括:
商业银行风险评估标准[详]
附件13: 商业银行风险评估标准 一、全面风险管理框架的评估 1、商业银行应当建立完善的全面风险管理框架,全面、有效实施风险管理。全面风险管理框架应当包括以下要素: (1)有效的董事会和高级管理层监督。 (2)适当的政策、程序和限额。 (3)全面、及时的识别、计量、监测、缓释和控制风险。 (4)良好的管理信息系统。 (5)全面的内部控制。 2、商业银行董事会和高级管理层对全面风险管理框架的有效性负主要责任,根据风险承受能力和经营战略确定风险偏好,并确保银行各项限额与风险偏好保持一致。 3、商业银行董事会和高级管理层应具备全面风险管理所需的知识和管理经验,熟悉主要业务条线特别是新业务领域的运营情况和主要风险,确保风险政策和控制措施有效落实。 商业银行董事会和高级管理层应充分了解风险计量、风险加总的主要假设和局限性,确保管理决策信息充分可靠。 4、商业银行董事会和高级管理层应当持续关注银行的风险状况,并要求风险管理部门及时报告风险集中和违反风险限额等事项。
5、商业银行董事会和高级管理层应当清晰确定业务部门和风险管理部门的职责划分和报告路线,并确保风险管理部门的独立性。 6、商业银行应当完善与自身发展战略、经营目标和财务状况相适应的全面风险管理政策及流程,针对主要风险设定风险限额,确保限额与资本水平、资产、收益及总体风险水平相匹配。风险政策、流程和限额应确保实现以下目标: (1)完善全行层面和单个业务条线层面的风险管理功能,确保全面及时地识别、计量、监测、缓释和控制信贷、投资、交易、证券化、表外等重要业务的风险。 (2)确保风险管理流程能够充分识别主要风险暴露的经济实质,包括声誉风险和估值不确定性等。 (3)确保各层次风险管理职能的独立性,清晰界定银行各业务职能部门和风险管理部门的风险管理职责。 (4)确保清晰的报告职责和报告线路,便于各级管理层及时掌握违反内部头寸限额情况,并根据设定程序采取措施。 (5)确保对新业务、新产品的风险管理和控制。业务开办前,应召集风险管理、内部控制和业务条线等部门对新业务、新产品进行评估,以确保银行事先具备足够的风险管控能力。 (6)建立定期评估和更新机制,确保风险政策、流程和限额的合理性。 7、商业银行应当建立与全面风险管理相适应的管理信息系统体系,相关管理信息系统应具备以下主要功能:
银行信息科技风险防控报告
信息科技风险防控报告 一、风险防控工作得组织开展情况 我行面临得主要信息科技风险: 1、业务中断风险 保障业务连续性就是我行信息科技工作中得最重要得部分。我行面临得首要得问题就是信息系统建设得相对滞后跟不上业务高速发展得脚步。一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素,极易造成银行业务得中断。 2、数据安全风险 数据就是我行得基础,我行要为客户提供一个可靠得环境确保数据资料得准确性与安全性。随着业务得发展,数据量不断增大,数据安全风险凸显. 数据安全风险包括两方面:一就是数据窃取,主要就是数据遭到窃取或者恶意篡改,导致客户信息资料外泄,引发客户不满,引发法律风险问题;二就是数据丢失,主要就是受到自然灾害、房屋倒塌等突发事件造成得存储介质毁坏,导致存储介质中数据丢失。 3、电子银行与网络金融风险 电子银行风险主要就是电子支付安全问题,包括ATM诈骗以及利用钓鱼网站、木马程序盗取客户得账号与密码等一些行为导致得客户资金得损失。网络安
全就是网络金融风险得关键,一旦网络安全受到破坏,网络金融风险将一发而不可收。 4、系统漏洞风险 系统漏洞风险就是银行信息系统开发缺陷被发现与利用得风险。系统漏洞风险在系统设计之初难以发现,随着系统得推广及运行,风险将逐渐暴露,一旦被人利用,会对我行造成极大影响。另外,系统得密码泄露与破解,也影响着系统得安全. 5、外包风险 外包风险主要就是外包服务商能否长期稳定地为我行提供高质量得服务,能否及时响应并修复系统故障,确保外包业务连续性。我行如果过度依赖外包服务商,一旦出现突发情况,势必会影响我行业务持续开展。 二、风险防控工作采取得具体举措与成效 针对我行面临得主要得信息科技风险,我行在信息科技风险管理方面采取以下策略。 1、强化数据质量及安全管理 建立数据质量常态化管理机制,积累真实、准确、连续、完整得内部与外部数据,确保外围管理系统数据应用质量要求,把控数据外泄风险. 上线数据库审计系统,对数据进行监控。能够实时记录数据库活动,对数据库操作进行细粒度审计得合规性管理,对数据库遭受到得风险行为进行告警,通
工商银行八大措施确保电子银行业务安全可靠
工商银行八大措施确保电子银行业务安全可靠 记者周萃记者日前从中国工商银行获悉,该行已经为认真贯彻落实《电子银行业务管理办法》进行了周密的准备。工商银行有关部门负责人表示,该行将在认真贯彻落实这一办法的基础上,根据电子银行业务环境和运行方式变化,对原有风险管理制度、规则和程序进行必要和适当的修正,并以此为契机进一步确保该行电子银行业务的安全性和风险可控性。 据介绍,为规范电子银行业务发展,强化电子银行风险监管,银监会最近颁布了《电子银行业务管理办法》并将于2006年3月1日正式实施,这是继《电子签名法》、《电子支付指引》之后,我国又一部规范电子银行业务的重要规章。工商银行有关部门负责人告诉记者,《电子银行业务管理办法》明确界定了电子银行概念和范围,规范了业务开办条件与审批手续,强化了电子银行风险管理要求,提高了监管效能,为促进电子银行的健康有序发展创造了良好的外部监管环境。 工商银行认真贯彻落实《电子银行业务管理办法》所采取的具体措施主要有以下八个方面:首先是按照办法对电子银行风险管理的具体规定,采取审慎的风险管理措施,根据电子银行业务的特性,加强制度和系统的建设与检查,将电子银行业务风险纳入风险管理的总体框架中;其次是根据电子银行业务的运营特点,建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系;第三是强化对电子银行业务所面临的战略风险、信誉风险、运营风险、法律风险、信用风险和市场风险的管理,并设立相应的管理机构,明确管理职能,完善授权机制建设,有效识别、评估、监测和控制各种风险,切实提高电子银行业务风险管理能力;第四是以可靠的信息技术提高系统设计开发水平和相关设施保障能力,在物理控制和软件控制两个方面建立对非法进入和假冒电子银行活动的甄别、处理和报告机制;第五是保证电子交易数据的安全性、保密性、完整性、真实性和不可否认性;第六是保证所有的电子银行交易都有清晰的跟踪记录,并且采用适当的技术和措施按照法定的期限保存这些数据;第七是采取有效措施识别客户真实身份,明确客户的权利义务;第八,中国工商银行还将按照《电子银行业务管理办法》规定的标准,聘请具有相当资质的外部专业化机构对电子银行实施安全评估,进一步确保电子银行运行的安全性和风险可控性。 这位负责人还介绍说,作为国内首家获批可以开办网上银行业务的商业银行,经过六年的发展,目前工商银行已经搭建起由网上银行、电话银行、手机银行和自助银行四大渠道支撑的电子银行服务体系,树立了以”金融e通道”为主品牌,”金融@家”、”工行财e通”、”95588”为子品牌的电子银行品牌体系,并先后推出适合企业、个人客户金融服务需求的20多类、200多项产品功能,形成集资金管理、收费缴费、金融理财、电子商务和营销服务功能于一体的综合金融服务平台。同时,工商银行始终坚持创新发展和科技领先战略,通过成功实施”网站整合工程”与”一体化电话银行工程”,实现了网上银行与电话银行产品统一研发、运营和推广,集约化经营水平取得突破性的进展。 截至2005年底,网上银行企业、个人客户数量分别达到32万户、1485万户,电话银
银行信息科技外包风险评估工作实施方案
ⅩⅩ银行信息科技外包风险评估工作实施方案 为深入了解和掌握信息科技外包风险状况,促进信息科技外包健康发展,有力推动信息科技外包风险管理长效机制建设。根据《银行业金融机构信息科技外包风险监管指引》、《河南银监局办公室转发中国银监会办公厅关于开展信息 科技外包风险专项治理工作的通知》(豫银监办发〔2013〕109号)要求,我行决定对信息科技外包进行风险评估。现结合我行信息科技外包实际,特制定本实施方案。 一、评估的背景和目标 (一)开展信息科技外包风险评估的背景。目前个别银行由于信息科技项目外包,银行疏于管控,缺乏有效控制,外包机构技术保障不足,造成客户信息泄露,资金安全面临风险。另外,外包服务中断,易形成数据丢失风险。为控制风险,我行拟通过有步骤地、循序渐进地推进信息科技外包风险评估,全面识别目前面临的主要风险和潜在风险,针对不同环节出现的风险和风险程度及时采取措施,有效防控风险,构建科学的风险管理机制。 (二)开展信息科技外包风险评估的意义。通过开展信息科技外包风险评估,可以从制度、流程、协议等方面查找并发现我行主要外包项目存在的缺陷和不足,并通过完善制度、优化流程、修改协议等措施,提高我行信息科技外包
整体风险防控能力。 (三)评估目标。1、清查信息科技外包领域已发生的各类风险事件,收集损失数据,深入分析导致风险事件发生的内外部原因。2、以风险为导向,全面排查信息科技外包项目运行中存在的各类风险隐患,查找风险管理中存在的各种问题。3、在定性定量分析风险事件和损失、风险隐患、风险管理情况的基础上,判断未来内外部环境改变后风险变化趋势,多角度、系统性地提出整改意见,建立健全风险控制机制,强化风险防范,促进业务优化和发展。 二、评估对象及范围 结合《河南银监局办公室转发中国银监会办公厅关于开展信息科技外包风险专项治理工作的通知》(豫银监办发〔2013〕109号)要求及我行信息科技外包实际,本次外包风险评估仅限科技信息部、运营管理部、授信管理部、计划财务部、小微信贷事业部以及电子银行部6个部门业务系统外包活动。 (一)评估对象。涉及外包项目的系统主要有综合业务系统、财务和信贷管理系统、微小企业贷款管理系统。 (二)评估范围。一是风险事件及损失评估。收集范围为2012年1月1日至2013年6月30 日信息科技外包项目发生的风险事件和损失。主要为:操作风险事件及损失、外包供应商违约事件及损失等。二是风险隐患评估。包括: