銀行業(yè)金融機構信息科技風險非現場監(jiān)管報表

1、精選優(yōu)質文檔-傾情為你奉上銀行業(yè)金融機構信息科技風險非現場監(jiān)管報表（征求意見稿）1目 錄第一部分年度報表.1I信息科技風險調查問卷.1Q-R-1 信息科技風險調查問卷.1II基本情況報表.8T-B-1 信息科技治理基本情況表.8T-B-2 信息科技風險管理情況表.10T-B-3 信息科技內外部審計與評估基本情況表.12T-B-4 應急管理基本情況表.14T-B-5 信息科技項目基本情況表.15T-B-6 災備基本情況表.16T-B-7 外包基本情況表.18T-B-8 各類中心基本情況表.19T-B-9 數據中心及災備中心機房基本情況表.20T-B-10 重要信息系統(tǒng)統(tǒng)計表.21T-B-11 網

2、絡基本情況表.23T-B-12 電子銀行業(yè)務品種統(tǒng)計表.24T-B-13 電子銀行業(yè)務量統(tǒng)計表.25第二部分季度報表.27T-B-14 重要信息系統(tǒng)運行基本情況報表.27T-B-15 組織機構、人員重大變動表.30第三部分報告.31R-R-1 信息化建設與信息科技風險管理年度報告.31附錄參考定義.322填報須知一、本報表作為銀監(jiān)會信息科技風險監(jiān)管體系的重要組成部分及信息科技風險識別、評估工作的基礎和前提，旨在全面收集和監(jiān)測銀行業(yè)金融機構信息科技風險狀況。二、本報表主要適用于在中華人民共和國境內依法設立的政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、城市商業(yè)銀行、農村商業(yè)銀行、農村合

3、作銀行、城市信用社、農村信用社、外資法人銀行等銀行業(yè)金融機構。三、本報表是為針對信息科技風險而設的專門報表，銀行業(yè)金融機構應當對所填報數據的真實性負責。四、本報表應由風險管理部門組織填報。五、本報表分為年度報表、季度報表和報告。年度報表統(tǒng)計周期為12個月，即上一年10月1日至本年度9月30日，報送截止時間為每年10月15日；季度報表報送時間為季后10日內；報告報送時間為自然年后40日內。六、報表中未特別說明統(tǒng)計范圍的，皆指全行范圍。七、填報過程中，對于需要特別說明的項目或問題，請在備注欄中描述具體情況。八、報送截止后，對于存在疑問的報表，監(jiān)管人員可要求機構提供詳實材料予以核實或重報；如有必要，

4、將發(fā)起現場檢查，并以現場檢查結果為準。九、本報表附有術語參考定義，填報過程中可供參考。1第一部分年度報表I信息科技風險調查問卷Q-R-1 信息科技風險調查問卷填報機構： 填報人： 責任人： 填報日期： 年 月 日編號 項目 填報說明 內容 單位 備注1.信息科技風險管理Q0001對信息科技制度進行定期修訂以信息科技制度修訂發(fā)文為準是否 N/AQ0002對信息科技規(guī)劃定期評估并修改若對信息科技規(guī)劃定期評估并修改，請回答是是否 N/AQ0003制定了關鍵崗位輪崗計劃并依照執(zhí)行以輪崗計劃和記錄（接替崗位后工作至少一周）為準是否 N/AQ0004規(guī)定在職人員定期參加信息安全及保密培訓以相應人員參與的培

5、訓記錄為準是否 N/A2.審計Q0005依據制定的審計計劃、方案開展信息科技審計以相應批文為準是否 N/AQ0006信息科技審計報告抄送風險管理部門以提交給風險管理部門的審計報告為準是否 N/AQ0007與外部審計機構簽署保密協(xié)議若所有的外部審計活動均與外部審計機構簽署保密協(xié)議，請回答是是否 N/AQ0008信息科技內部審計覆蓋的比例請計算最近12個月信息科技內部審計的分支機構數與分支機構數的比值%3.重要信息系統(tǒng)Q0009發(fā)生核心業(yè)務系統(tǒng)替換或計劃實施核心業(yè)務系統(tǒng)替換若最近 12 個月發(fā)生核心系統(tǒng)的替換或未來12個月計劃實施，請回答是是否 N/AQ0010有多少家外部機構將系統(tǒng)或設備交由本機

6、構托管如有其他機構（或銀行）將其系統(tǒng)、設備或業(yè)務處理交由本機構管理（托管行為），請統(tǒng)計這些機構的數量個Q0011 交由外部機構托管的系統(tǒng)數請統(tǒng)計交由外部機構托管的系統(tǒng)數個Q0012與本機構發(fā)生數據交換的外聯(lián)系統(tǒng)數量請統(tǒng)計所有與本機構發(fā)生數據交換的外聯(lián)系統(tǒng)總數，以運行部門的記錄或外部接口文件（EIF）記錄為準個2Q0013生產環(huán)境中具有高耦合度的信息系統(tǒng)數若系統(tǒng)的耦合度高，單一系統(tǒng)出現故障時會導致其他多個系統(tǒng)無法正常運行，請分析和統(tǒng)計能導致此類情況的系統(tǒng)總數。以系統(tǒng)結構圖或內部邏輯接口文件（ILF）為準個Q0014仍在使_用供應商已正式宣布停止支持的系統(tǒng)平臺的重要信息系統(tǒng)數系統(tǒng)平臺包括：操作系統(tǒng)

7、、數據庫、中間件、服務器等個Q0015核心業(yè)務系統(tǒng)中相互邏輯分離的數據庫數例如，對公業(yè)務使用的數據庫和對私業(yè)務使用的數據庫是邏輯分離的，其中一個數據庫失效不會影響另一個數據庫的正常運行，就記作2 個相互邏輯分離的數據庫個Q0016重要信息系統(tǒng)當前容量規(guī)劃可滿足業(yè)務發(fā)展需求的最少年數以容量規(guī)劃文檔為準年4.系統(tǒng)開發(fā)與測試Q0017項目實施部門定期向信息科技管理委員會提交重大項目進度報告以提交的進度報告為準是否 N/AQ0018在重大項目各階段均進行風險評估，并向項目管理組織溝通風險點，確定處置方案以各階段風險評估報告記錄為準是否 N/AQ0019業(yè)務和系統(tǒng)需求等經業(yè)務部門和科技部門共同確認以需求

8、、設計相關文檔為準是否 N/AQ0020將信息安全要求納入系統(tǒng)設計以需求、設計相關文檔為準。信息安全要求主要包括數據安全、身份驗證、權限管理等內容是否 N/AQ0021系統(tǒng)投產前，準生產驗證環(huán)境的軟件與生產環(huán)境相同準生產驗證環(huán)境的軟件包括操作系統(tǒng)、數據庫、中間件、應用程序。以生產驗證環(huán)境和生產環(huán)境的配置項清單為準是否 N/AQ0022總行科技部門現行項目中，有獨立質量保證人員參與的項目總數請統(tǒng)計目前分配有質量保證人員的項目總數個Q0023完成用戶驗收測試的項目數請統(tǒng)計最近12個月完成用戶驗收測試的項目數個Q0024用戶驗收測試（UAT）前已完成代碼安全檢查的項目數請統(tǒng)計最近12個月上線的信息系

9、統(tǒng)在UAT前已完成代碼安全檢查工作的項目數個5.信息系統(tǒng)變更Q0025 建立變更的授權審批機制對信息系統(tǒng)變更進行分級，針對不同等級的信息系統(tǒng)變更明確相應的審批管理程序。以相關變更授權審批制度為準是否 N/A3Q0026所有涉及生產環(huán)境的變更，變更前有回退和應急方案在系統(tǒng)變更前，變_更申請部門制訂回退和應急方案。以相關方案文檔為準是否 N/AQ0027涉及生產環(huán)境的變更由業(yè)務部門與科技部門共同審批以審批流程文檔和審批人員清單為準是否 N/AQ0028所有涉及生產環(huán)境的變更由獨立人員進行復核以相關規(guī)定以及復核人員清單為準是否 N/AQ0029所有變更都留有記錄，并由內部審計人員或信息安全人員定期核

10、查以變更記錄和審查記錄為準是否 N/AQ0030 重要信息系統(tǒng)緊急變更數請統(tǒng)計最近12個月內重要信息系統(tǒng)緊急變更的次數。以系統(tǒng)運行部門的記錄為準次Q0031 涉及生產環(huán)境的變更數請統(tǒng)計最近12個月內涉及生產環(huán)境的變更總數（包括各信息科技生產部門的重要信息系統(tǒng)和非重要信息系統(tǒng)的變更）。以系統(tǒng)運行部門的記錄為準次Q0032未在測試環(huán)境中進行驗證的變更數請統(tǒng)計最近12個月內未在測試環(huán)境中進行驗證的變更數，以驗證記錄為準次6.信息系統(tǒng)運行Q0033系統(tǒng)運行、維護、開發(fā)人員的崗位相互完全分離且不存在兼崗以崗位清單和崗位職責定義為準是否 N/AQ0034為所有關鍵崗位配備規(guī)范、準確的操作手冊以指導運行人員操作以操作手冊為準是否 N/AQ0035運行人員對生產系統(tǒng)的操作由獨立人員復核若運行人員對生產系統(tǒng)的操作有獨立人員復合，請回答是是否 N/AQ0036運行人員對生產系統(tǒng)的任何操作保留操作記錄以操作記錄文檔和記錄方法說明為準是否 N/AQ0037對數據庫均通過菜單、數據流操作若所有對數據庫的操作均通過菜單、數據流，而非直接操作數據庫