商業(yè)銀行信息科技風(fēng)險動態(tài)監(jiān)測規(guī)程(征求意見稿)

1、商業(yè)銀行信息科技風(fēng)險動態(tài)監(jiān)測規(guī)程（征求意見稿）第一章 總則第一條 為加強(qiáng)商業(yè)銀行信息科技風(fēng)險監(jiān)管的及時性和前瞻性，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險的持續(xù)和動態(tài)監(jiān)測，根據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法、中華人民共和國商業(yè)銀行法以及其他相關(guān)法律法規(guī)，制定本規(guī)程。第二條 信息科技風(fēng)險動態(tài)監(jiān)測是針對商業(yè)銀行信息科技活動中的重點(diǎn)風(fēng)險領(lǐng)域，通過選取關(guān)鍵風(fēng)險指標(biāo)，持續(xù)開展風(fēng)險監(jiān)測，動態(tài)跟蹤風(fēng)險趨勢、前瞻研判風(fēng)險態(tài)勢并及時采取監(jiān)管措施的過程。第三條 信息科技風(fēng)險動態(tài)監(jiān)測遵循分級負(fù)責(zé)、屬地監(jiān)管、重在法人、風(fēng)險為本的原則。第四條 信息科技風(fēng)險動態(tài)監(jiān)測體系由監(jiān)測指標(biāo)、監(jiān)測數(shù)據(jù)管理、指標(biāo)運(yùn)用及監(jiān)測工作流程組成。第五條 本規(guī)

2、程適用于在中華人民共和國境內(nèi)依法設(shè)立的商業(yè)銀行，包括中資商業(yè)銀行、外資獨(dú)資商業(yè)銀行和中外合資銀行。政策性銀行、農(nóng)村信用社、農(nóng)村合作銀行、村鎮(zhèn)銀行以及經(jīng)銀監(jiān)會及其派出機(jī)構(gòu)批準(zhǔn)成立的其他銀行業(yè)金融機(jī)構(gòu)參照執(zhí)行。第二章 動態(tài)監(jiān)測指標(biāo)選取原則及分類第六條 信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)由商業(yè)銀行信息科技基礎(chǔ)運(yùn)行數(shù)據(jù)經(jīng)采集、加工、計算形成，綜合反映了商業(yè)銀行信息科技風(fēng)險水平及風(fēng)險管控能力。第七條 監(jiān)測指標(biāo)選取遵循以下四個原則：（一）代表性：能夠反映商業(yè)銀行信息科技風(fēng)險水平和控制效果，體現(xiàn)信息科技對業(yè)務(wù)的支撐能力；（二）綜合性：能夠涵蓋商業(yè)銀行信息科技風(fēng)險存在的主要環(huán)節(jié)，反映信息系統(tǒng)多種要素的風(fēng)險狀況；（三）敏

3、感性：能夠通過指標(biāo)波動直接體現(xiàn)商業(yè)銀行信息科技風(fēng)險水平的變化情況；（四）可獲取性：能夠通過商業(yè)銀行信息系統(tǒng)直接獲取或通過定量計算間接獲取，具備明確、可靠的數(shù)據(jù)來源。第八條 商業(yè)銀行信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)分為穩(wěn)定性指標(biāo)、安全性指標(biāo)和規(guī)模性指標(biāo)三類。其中穩(wěn)定性指標(biāo)、安全性指標(biāo)直接反映商業(yè)銀行信息科技風(fēng)險狀況，規(guī)模性指標(biāo)主要反映信息科技對業(yè)務(wù)的支撐能力，間接反映商業(yè)銀行信息科技風(fēng)險狀況。第三章 動態(tài)監(jiān)測指標(biāo)體系第九條 穩(wěn)定性指標(biāo)表示商業(yè)銀行信息系統(tǒng)對業(yè)務(wù)提供支持和滿足業(yè)務(wù)需求的有效、可靠程度，包括系統(tǒng)可用率、系統(tǒng)交易成功率、投產(chǎn)變更成功率等。（一）系統(tǒng)可用率為信息系統(tǒng)實(shí)際提供服務(wù)時間與應(yīng)提供服務(wù)時

4、間之比，用于衡量信息系統(tǒng)對業(yè)務(wù)連續(xù)服務(wù)提供支撐的有效程度，系統(tǒng)可用率影響客戶使用體驗(yàn)，并綜合反映商業(yè)銀行在系統(tǒng)設(shè)計、運(yùn)維管理、基礎(chǔ)設(shè)施配套、應(yīng)急處置等方面的管理能力。（二）系統(tǒng)交易成功率為信息系統(tǒng)成功處理的交易量與處理交易總量之比，用于衡量信息系統(tǒng)正常響應(yīng)業(yè)務(wù)請求的有效程度，綜合反映商業(yè)銀行在系統(tǒng)設(shè)計、軟件開發(fā)、運(yùn)維管理、基礎(chǔ)設(shè)施配套等方面的管理能力。（三）投產(chǎn)變更成功率為商業(yè)銀行成功實(shí)施信息系統(tǒng)投產(chǎn)、變更數(shù)量與實(shí)施信息系統(tǒng)投產(chǎn)、變更總量之比，用于衡量商業(yè)銀行投產(chǎn)變更管理的有效程度，綜合反映商業(yè)銀行在軟件開發(fā)、運(yùn)行維護(hù)、應(yīng)急處置、項(xiàng)目及變更管理等方面能力。第十條 安全性指標(biāo)用于衡量商業(yè)銀行對安

5、全威脅的抵御能力與安全事件的處置能力，包括假冒網(wǎng)站查封率、外部攻擊變化率和信息安全事件數(shù)量。（一）假冒網(wǎng)站查封率為已查封的假冒網(wǎng)站數(shù)量與已知的假冒網(wǎng)站數(shù)量之比，用于衡量商業(yè)銀行對假冒網(wǎng)站的處置進(jìn)展及其客戶可能因假冒網(wǎng)站遭受欺詐威脅的程度，綜合反映商業(yè)銀行處置假冒網(wǎng)站的積極性與承擔(dān)社會責(zé)任的意識。（二）外部攻擊變化率為商業(yè)銀行遭受外部攻擊當(dāng)期告警增加數(shù)量與上期告警數(shù)量之比，用于衡量商業(yè)銀行外部攻擊威脅的客觀變化，綜合反映商業(yè)銀行信息系統(tǒng)外部風(fēng)險的變化程度。（三）信息安全事件數(shù)量為信息系統(tǒng)中斷造成服務(wù)不可用次數(shù)、違規(guī)操作事件次數(shù)、病毒爆發(fā)事件次數(shù)、自然災(zāi)害事件次數(shù)、網(wǎng)絡(luò)中斷事件次數(shù)、基礎(chǔ)設(shè)施不可用

6、事件次數(shù)及其他安全事件次數(shù)之和，用于衡量商業(yè)銀行在面對內(nèi)外部安全威脅時，保持信息系統(tǒng)可用性、完整性、機(jī)密性的能力，綜合反映商業(yè)銀行信息安全現(xiàn)狀。 第十一條 規(guī)模性指標(biāo)用于衡量商業(yè)銀行主要電子渠道發(fā)展規(guī)模，反映商業(yè)銀行主要電子渠道業(yè)務(wù)發(fā)展水平、電子渠道業(yè)務(wù)承受的壓力及相關(guān)信息科技風(fēng)險事件可能產(chǎn)生的社會負(fù)面影響程度，包括主要電子渠道交易變化率和主要電子渠道活躍用戶、賬戶變化率。（一）主要電子渠道交易變化率為商業(yè)銀行全轄當(dāng)期主要電子渠道交易量與上期主要電子渠道交易量之比，用于反映商業(yè)銀行主要電子渠道交易規(guī)?？偭考白兓厔?。（二）主要電子渠道活躍用戶、賬戶變化率為商業(yè)銀行全轄當(dāng)期主要電子渠道活躍用戶、

7、賬戶數(shù)與上期主要電子渠道活躍用戶、賬戶數(shù)之比，用于反映商業(yè)銀行主要電子渠道活躍用戶、賬戶總量及變化趨勢。第四章 數(shù)據(jù)管理第十二條 商業(yè)銀行應(yīng)建立與本規(guī)程相配套的信息科技風(fēng)險動態(tài)監(jiān)測工作機(jī)制和管理流程，準(zhǔn)確、及時提供動態(tài)監(jiān)測指標(biāo)相關(guān)源數(shù)據(jù)。第十三條 商業(yè)銀行應(yīng)根據(jù)自身發(fā)展?fàn)顩r建立與本規(guī)程相適應(yīng)的監(jiān)測統(tǒng)計信息系統(tǒng)，按照動態(tài)監(jiān)測指標(biāo)的相關(guān)要求采集相關(guān)源數(shù)據(jù)，并能夠根據(jù)計算模型按照機(jī)構(gòu)、產(chǎn)品、系統(tǒng)等不同維度和統(tǒng)計周期生成監(jiān)測數(shù)據(jù)。第十四條 信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)源數(shù)據(jù)采集范圍應(yīng)涵蓋商業(yè)銀行全轄（總行及各級分支機(jī)構(gòu)）和各類重要信息系統(tǒng)，采集數(shù)據(jù)要全面、真實(shí)。 第十五條 商業(yè)銀行應(yīng)確保監(jiān)測指標(biāo)數(shù)據(jù)來源的

8、連續(xù)性、一致性以及可追溯性，并至少存留最近三年歷史數(shù)據(jù)。 第十六條 商業(yè)銀行應(yīng)明確信息科技風(fēng)險動態(tài)監(jiān)測數(shù)據(jù)報送的歸口管理部門，并對報送數(shù)據(jù)的真實(shí)性和有效性負(fù)責(zé)。 第十七條 銀監(jiān)會及其派出機(jī)構(gòu)應(yīng)督促、指導(dǎo)商業(yè)銀行逐步建立并完善相關(guān)工作機(jī)制和流程，開展動態(tài)監(jiān)測信息系統(tǒng)建設(shè)，提高數(shù)據(jù)采集的自動化程度，減少數(shù)據(jù)生成過程中的人為干擾因素。對于確需人工填報的環(huán)節(jié)，應(yīng)在流程和系統(tǒng)設(shè)計中滿足后續(xù)檢查和審計的需要。第十八條 銀監(jiān)會及其派出機(jī)構(gòu)信息科技監(jiān)管部門負(fù)責(zé)審核商業(yè)銀行報送的動態(tài)監(jiān)測指標(biāo)數(shù)據(jù)，并對報送數(shù)據(jù)質(zhì)量進(jìn)行考核。第五章 指標(biāo)運(yùn)用第十九條 商業(yè)銀行應(yīng)將信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)納入全行風(fēng)險監(jiān)測體系，建立信

9、息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)分析預(yù)警模型，持續(xù)跟蹤信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)變化趨勢，形成書面報告，定期向商業(yè)銀行董事會和高管層報告。第二十條 商業(yè)銀行董事會和高管層應(yīng)定期審查信息科技風(fēng)險動態(tài)監(jiān)測報告，運(yùn)用檢查、監(jiān)督、考核等手段督促相關(guān)部門采取有效措施實(shí)施整改。 第二十一條 商業(yè)銀行信息科技部門應(yīng)根據(jù)動態(tài)監(jiān)測指標(biāo)結(jié)果，對本機(jī)構(gòu)信息系統(tǒng)進(jìn)行綜合評價，并將評價結(jié)果與商業(yè)銀行信息科技發(fā)展規(guī)劃相結(jié)合。第二十二條 商業(yè)銀行信息科技部門應(yīng)持續(xù)跟蹤動態(tài)監(jiān)測指標(biāo)及其變化趨勢，重點(diǎn)關(guān)注指標(biāo)數(shù)值或變化趨勢存在異常的監(jiān)測指標(biāo)，深入分析指標(biāo)異常的原因，采取相應(yīng)的應(yīng)急處置措施，并將處置方案和工作進(jìn)度及時報送商業(yè)銀行風(fēng)險管理部門

10、、銀監(jiān)會或其派出機(jī)構(gòu)。第二十三條 銀監(jiān)會及其派出機(jī)構(gòu)信息科技監(jiān)管部門應(yīng)明確信息科技風(fēng)險動態(tài)監(jiān)測工作崗位，制定人員崗位職責(zé)。第二十四條 銀監(jiān)會及其派出機(jī)構(gòu)信息科技監(jiān)管部門應(yīng)建立分析預(yù)警模型，按照區(qū)域分布、機(jī)構(gòu)類別、單家機(jī)構(gòu)等不同維度對信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)進(jìn)行分類監(jiān)測，定期形成風(fēng)險分析報告，對于發(fā)現(xiàn)的突出共性風(fēng)險問題，要開展行業(yè)通報。第二十五條 銀監(jiān)會及其派出機(jī)構(gòu)信息科技監(jiān)管部門可根據(jù)單家機(jī)構(gòu)動態(tài)監(jiān)測指標(biāo)監(jiān)測情況，采取約談、現(xiàn)場檢查等途徑對相關(guān)情況進(jìn)行核實(shí)，并通過風(fēng)險提示、監(jiān)管會談等方式將風(fēng)險監(jiān)測結(jié)果及時通報商業(yè)銀行，督促其采取有效措施，做好風(fēng)險防范和整改工作。對于監(jiān)測中發(fā)現(xiàn)的重大信息科技風(fēng)險

11、隱患，信息科技監(jiān)管部門應(yīng)及時通報機(jī)構(gòu)監(jiān)管部門，并可視情況采取聯(lián)合監(jiān)管行動。第二十六條 銀監(jiān)會及其派出機(jī)構(gòu)信息科技監(jiān)管部門應(yīng)將動態(tài)風(fēng)險監(jiān)測指標(biāo)分析結(jié)果作為商業(yè)銀行年度信息科技監(jiān)管評級的參考信息。 第二十七條 銀監(jiān)會信息科技監(jiān)管部門建立信息科技風(fēng)險動態(tài)監(jiān)測工作的激勵考核機(jī)制，定期發(fā)布行業(yè)基準(zhǔn)參考值，對指標(biāo)領(lǐng)先的機(jī)構(gòu)樹立標(biāo)桿，總結(jié)良好實(shí)踐并予以推廣。第六章 附則第二十八條 附件是本規(guī)程的組成部分，規(guī)定了信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)口徑說明。第二十九條本規(guī)程由銀監(jiān)會負(fù)責(zé)修訂和解釋。第三十條 本規(guī)程自 年 月起試行。附件：1、商業(yè)銀行信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)一覽表 2、商業(yè)銀行信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)口徑說

12、明附件1商業(yè)銀行信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)一覽表一級監(jiān)測指標(biāo)二級監(jiān)測指標(biāo)三級監(jiān)測指標(biāo)系統(tǒng)可用率ATR核心業(yè)務(wù)系統(tǒng)可用率無綜合前置系統(tǒng)可用率銀行卡系統(tǒng)可用率網(wǎng)上銀行系統(tǒng)可用率電話銀行系統(tǒng)可用率手機(jī)銀行系統(tǒng)可用率大額實(shí)時支付前置系統(tǒng)可用率小額批量支付前置系統(tǒng)可用率第三方存管系統(tǒng)可用率國際結(jié)算系統(tǒng)可用率系統(tǒng)交易成功率TSR核心業(yè)務(wù)系統(tǒng)交易成功率賬務(wù)類交易成功率非賬務(wù)類交易成功率綜合前置系統(tǒng)交易成功率大額實(shí)時支付渠道交易成功率小額批量支付渠道交易成功率ATM渠道交易成功率POS渠道交易成功率代收繳費(fèi)渠道交易成功率第三方存管渠道交易成功率銀行卡系統(tǒng)交易成功率電話銀行渠道交易成功率手機(jī)銀行渠道交易成功率AT

13、M渠道交易成功率POS渠道交易成功率網(wǎng)上銀行系統(tǒng)交易成功率銀聯(lián)渠道交易成功率超級網(wǎng)銀渠道交易成功率大額實(shí)時支付渠道交易成功率小額批量支付渠道交易成功率第三方支付渠道交易成功率電話銀行系統(tǒng)交易成功率無手機(jī)銀行交易成功率無投產(chǎn)變更成功率DCSR投產(chǎn)、變更成功實(shí)施數(shù)量無投產(chǎn)、變更實(shí)施總數(shù)量無假冒網(wǎng)站查封率CFWR假冒網(wǎng)站已查封數(shù)量無假冒網(wǎng)站發(fā)現(xiàn)數(shù)量無外部攻擊變化率EACCR當(dāng)期外部攻擊次數(shù)當(dāng)期入侵監(jiān)測系統(tǒng)告警數(shù)當(dāng)期入侵保護(hù)系統(tǒng)告警數(shù)上期外部攻擊次數(shù)上期入侵監(jiān)測系統(tǒng)告警數(shù)上期入侵保護(hù)系統(tǒng)告警數(shù)安全事件數(shù)量ISE信息系統(tǒng)中斷造成服務(wù)不可用次數(shù)核心業(yè)務(wù)系統(tǒng)服務(wù)不可用次數(shù)綜合前置系統(tǒng)服務(wù)不可用次數(shù)銀行卡系統(tǒng)

14、服務(wù)不可用次數(shù)網(wǎng)上銀行系統(tǒng)服務(wù)不可用次數(shù)電話銀行系統(tǒng)服務(wù)不可用次數(shù)手機(jī)銀行系統(tǒng)服務(wù)不可用次數(shù)大額實(shí)時支付系統(tǒng)服務(wù)不可用次數(shù)小額批量支付系統(tǒng)服務(wù)不可用次數(shù)ATM前置系統(tǒng)服務(wù)不可用次數(shù)POS前置系統(tǒng)服務(wù)不可用次數(shù)柜面系統(tǒng)服務(wù)不可用次數(shù)信貸系統(tǒng)服務(wù)不可用次數(shù)個貸系統(tǒng)服務(wù)不可用次數(shù)基金系統(tǒng)服務(wù)不可用次數(shù)債券系統(tǒng)服務(wù)不可用次數(shù)第三方存管系統(tǒng)服務(wù)不可用次數(shù)第三方支付系統(tǒng)服務(wù)不可用次數(shù)國際結(jié)算系統(tǒng)服務(wù)不可用次數(shù)違規(guī)操作事件次數(shù)無病毒爆發(fā)事件次數(shù)無自然災(zāi)害事件次數(shù)無網(wǎng)絡(luò)中斷事件次數(shù)無基礎(chǔ)設(shè)施不可用事件次數(shù)無其他安全事件次數(shù)無主要電子渠道交易變化率MECTCR當(dāng)期主要電子渠道交易量網(wǎng)上銀行交易量電話銀行交易量手

15、機(jī)銀行交易量大額實(shí)時支付交易量ATM交易量POS交易量上期主要電子渠道交易量網(wǎng)上銀行交易量電話銀行交易量手機(jī)銀行交易量大額實(shí)時支付交易量ATM交易量POS交易量網(wǎng)上銀行交易量主要電子渠道活躍用戶、賬戶變化率 MEAUAR當(dāng)期主要電子渠道活躍用戶、賬戶數(shù)網(wǎng)上銀行活躍用戶數(shù)電話銀行活躍用戶數(shù)手機(jī)銀行活躍用戶數(shù)大額實(shí)時支付渠道活躍賬戶數(shù)小額批量支付渠道活躍賬戶數(shù)ATM活躍賬戶數(shù)POS活躍賬戶數(shù)上期主要電子渠道活躍用戶、賬戶數(shù)網(wǎng)上銀行活躍用戶數(shù)電話銀行活躍用戶數(shù)手機(jī)銀行活躍用戶數(shù)大額實(shí)時支付渠道活躍賬戶數(shù)小額批量支付渠道活躍賬戶數(shù)ATM活躍賬戶數(shù)POS活躍賬戶數(shù)附件2 商業(yè)銀行信息科技風(fēng)險動態(tài)監(jiān)測指標(biāo)

16、口徑說明一、系統(tǒng)可用率l 指標(biāo)的屬性：穩(wěn)定性指標(biāo)。l 指標(biāo)風(fēng)險含義:系統(tǒng)可用率Available time rate of a system, ATR用于衡量商業(yè)銀行信息系統(tǒng)提供連續(xù)服務(wù)的能力。系統(tǒng)可用率綜合反映商業(yè)銀行在系統(tǒng)設(shè)計、運(yùn)維管理、基礎(chǔ)設(shè)施配套、應(yīng)急處置、變更管理等方面能力以及客戶對商業(yè)銀行提供連續(xù)服務(wù)能力的感受。ATR較低時，說明商業(yè)銀行信息系統(tǒng)提供連續(xù)服務(wù)能力不足，可能導(dǎo)致系統(tǒng)穩(wěn)定性降低、產(chǎn)生聲譽(yù)風(fēng)險等風(fēng)險隱患。系統(tǒng)可用率包括十個重要信息系統(tǒng)的可用率指標(biāo)，分別是：核心業(yè)務(wù)、綜合前置、銀行卡、網(wǎng)上銀行、電話銀行、手機(jī)銀行、大額實(shí)時支付前置、小額批量支付前置、第三方存管、國際結(jié)算系統(tǒng)

17、。l ATR計算公式：l ATR相關(guān)釋義：1.計劃停止服務(wù)時間Planned downtime, PD：系統(tǒng)在監(jiān)測周期內(nèi)因變更、演練、維護(hù)等計劃性事件及日間、夜間模式切換等日常操作造成的停止服務(wù)時間。注：若一次計劃性停止服務(wù)時間超出了計劃，則超出部分時間計入意外停止服務(wù)時間。2.意外停止服務(wù)時間Unexpected downtime, UD：系統(tǒng)在監(jiān)測周期內(nèi)因系統(tǒng)故障、內(nèi)部操作失誤、外部入侵、自然災(zāi)害等意外性事件造成的停止服務(wù)時間。3.提供服務(wù)總時間The lasting time of service providing, LTSP：系統(tǒng)在監(jiān)測統(tǒng)計期內(nèi)理論上可提供服務(wù)時間之和。如核心業(yè)務(wù)系統(tǒng)

18、為24小時交易系統(tǒng)，監(jiān)測統(tǒng)計期為30天，則該系統(tǒng)提供服務(wù)總時間為24×30×60分鐘。4.停止服務(wù)：系統(tǒng)中任一應(yīng)用模塊（子系統(tǒng)）在應(yīng)提供服務(wù)時段出現(xiàn)服務(wù)不可用。5.業(yè)務(wù)受影響比例Affected business rate, ABR：受影響業(yè)務(wù)類型數(shù)量占所有業(yè)務(wù)類型數(shù)量的比例。由商業(yè)銀行自行確定比例的計算原則，可以按照同期交易量、交易金額、用戶登錄數(shù)量等因素來計算業(yè)務(wù)受影響比例，也可以應(yīng)用模塊（子系統(tǒng)）數(shù)量比例來計算。業(yè)務(wù)受影響比例計算原則由商業(yè)銀行自行確定后，原則上一年內(nèi)不得更改計算原則。6.機(jī)構(gòu)受影響機(jī)構(gòu)比例Affected organization rate, AOR

19、：受影響網(wǎng)點(diǎn)數(shù)量與全部網(wǎng)點(diǎn)數(shù)量的比值。如全行集中式服務(wù)受到影響，AOR數(shù)值為1。7.公式中 i代表監(jiān)測周期內(nèi)第i次發(fā)生的計劃和意外停止服務(wù)，m代表監(jiān)測周期內(nèi)計劃停止服務(wù)發(fā)生總次數(shù)，n代表監(jiān)測周期內(nèi)意外停止服務(wù)發(fā)生總次數(shù)。8.計算公式中的時間單位均為分鐘。l ATR監(jiān)測的相關(guān)信息系統(tǒng)定義：1.核心業(yè)務(wù)系統(tǒng) 核心業(yè)務(wù)系統(tǒng)是指支撐商業(yè)銀行發(fā)展、運(yùn)作和管理金融產(chǎn)品和服務(wù)的重要信息系統(tǒng)，一般指商業(yè)銀行處理客戶信息、存款產(chǎn)品、支付服務(wù)的信息系統(tǒng)。2.綜合前置系統(tǒng)綜合前置系統(tǒng)是指通過總線技術(shù)連接前置機(jī)與后臺核心之間的存儲轉(zhuǎn)發(fā)系統(tǒng)，主要實(shí)現(xiàn)不同業(yè)務(wù)系統(tǒng)間協(xié)議轉(zhuǎn)換、交易路由連接、報文轉(zhuǎn)發(fā)、應(yīng)用預(yù)處理等功能。3.

20、銀行卡系統(tǒng)銀行卡系統(tǒng)是指商業(yè)銀行處理銀行卡業(yè)務(wù)的信息系統(tǒng)，支持持卡人通過多種交易渠道辦理取現(xiàn)、消費(fèi)、轉(zhuǎn)賬等業(yè)務(wù)，并提供賬戶、卡片管理、賬戶核算、財務(wù)管理、綜合統(tǒng)計等功能，一般包含借記卡與信用卡應(yīng)用模塊。4.網(wǎng)上銀行系統(tǒng) 網(wǎng)上銀行系統(tǒng)是指商業(yè)銀行通過互聯(lián)網(wǎng)等公眾網(wǎng)絡(luò)基礎(chǔ)設(shè)施，向客戶提供賬務(wù)查詢、轉(zhuǎn)賬、賬務(wù)管理、資金劃撥、網(wǎng)上支付等金融服務(wù)的信息系統(tǒng)。5.電話銀行系統(tǒng)電話銀行系統(tǒng)是指商業(yè)銀行基于固定電話運(yùn)營商的基礎(chǔ)設(shè)施，向使用電話終端的客戶提供賬戶查詢、轉(zhuǎn)賬、代繳費(fèi)、業(yè)務(wù)咨詢等金融服務(wù)的信息系統(tǒng)。6.手機(jī)銀行系統(tǒng)手機(jī)銀行系統(tǒng)是指商業(yè)銀行基于移動網(wǎng)絡(luò)運(yùn)營商的基礎(chǔ)設(shè)施，向使用智能手機(jī)終端的客戶提供賬戶

21、查詢、轉(zhuǎn)賬、代繳費(fèi)等金融服務(wù)的信息系統(tǒng)。7.大額實(shí)時支付系統(tǒng)前置系統(tǒng) 大額實(shí)時支付系統(tǒng)前置是指商業(yè)銀行通過人民銀行大額實(shí)時支付系統(tǒng)，承接轉(zhuǎn)發(fā)大額實(shí)時支付報文的前置系統(tǒng)。8.小額批量支付系統(tǒng)前置系統(tǒng) 小額批量支付系統(tǒng)前置是指商業(yè)銀行通過人民銀行小額批量支付系統(tǒng)應(yīng)用，承接轉(zhuǎn)發(fā)小額批量支付報文的前置系統(tǒng)。9.第三方存管系統(tǒng) 第三方存管系統(tǒng)是指商業(yè)銀行用于處理證券行業(yè)第三方存管業(yè)務(wù)的信息系統(tǒng)，主要提供合作方管理、協(xié)議管理、結(jié)算和出入資金管理等功能。10.國際結(jié)算系統(tǒng)國際結(jié)算系統(tǒng)是指商業(yè)銀行處理外匯、國際貿(mào)易融資、結(jié)售匯等國際業(yè)務(wù)的平臺。主要實(shí)現(xiàn)信用證、托收代收、保函、貿(mào)易融資、光票托收、賬務(wù)清算、報文

22、處理、風(fēng)險控制以及國際收支申報信息自動收集等功能。二、系統(tǒng)交易成功率l 指標(biāo)的屬性：穩(wěn)定性指標(biāo)。l 指標(biāo)風(fēng)險含義：系統(tǒng)交易成功率System transaction successful rate, TSR用于衡量商業(yè)銀行信息系統(tǒng)正常響應(yīng)業(yè)務(wù)請求的有效程度，綜合反映商業(yè)銀行在系統(tǒng)設(shè)計、軟件開發(fā)、運(yùn)維管理、基礎(chǔ)設(shè)施配套等方面能力。TSR過低可能引起賬務(wù)差錯，造成經(jīng)濟(jì)損失，影響商業(yè)銀行對外服務(wù)質(zhì)量和效率，降低柜員、客戶體驗(yàn)感受，進(jìn)而導(dǎo)致客戶流失，經(jīng)濟(jì)效益和品牌聲譽(yù)下降。TSR由六個二級指標(biāo)、十七個三級指標(biāo)組成。l TSR計算公式：l TSR相關(guān)釋義：1. 系統(tǒng)交易：指一筆業(yè)務(wù)在信息系統(tǒng)中自發(fā)起、處

23、理、返回的過程，分為賬務(wù)性和非賬務(wù)性交易。賬務(wù)性交易是指涉及賬戶資金余額發(fā)生變動的交易（例如：存款、取款、轉(zhuǎn)賬匯款等），非賬務(wù)性交易是指賬戶資金余額不發(fā)生變動的交易（例如：開戶、銷戶、查詢等）。2. 系統(tǒng)成功交易量The amount of successful system transactions, AOSST：接到交易請求后，能夠按照程序設(shè)計返回處理結(jié)果的交易筆數(shù)。當(dāng)某筆交易出現(xiàn)交易返回超時，或因數(shù)據(jù)庫死鎖等技術(shù)故障導(dǎo)致失敗時，此筆交易才被視為失敗交易。3. 系統(tǒng)交易總量The amount of system transactions, AOST：該類交易總筆數(shù)之和。注：部分查詢交易若

24、暫時沒有交易記錄，可暫時不統(tǒng)計交易量。l TSR二級、三級指標(biāo)定義：1. TSR包括六個二級指標(biāo)，分別為核心業(yè)務(wù)系統(tǒng)交易成功率、綜合前置系統(tǒng)交易成功率、銀行卡系統(tǒng)交易成功率、網(wǎng)上銀行系統(tǒng)交易成功率、電話銀行系統(tǒng)交易成功率和手機(jī)銀行系統(tǒng)交易成功率。2. 二級指標(biāo)核心業(yè)務(wù)系統(tǒng)交易成功率下設(shè)兩個三級指標(biāo)，賬務(wù)類交易成功率與非賬務(wù)類交易成功率。3. 二級指標(biāo)綜合前置系統(tǒng)交易成功率下設(shè)六個三級指標(biāo)：大額實(shí)時支付渠道交易成功率、小額批量支付渠道交易成功率、ATM渠道交易成功率、POS渠道交易成功率、代收繳費(fèi)渠道交易成功率、第三方存管渠道交易成功率。4. 二級指標(biāo)銀行卡系統(tǒng)交易成功率下設(shè)四個三級指標(biāo)：電話銀

25、行渠道交易成功率、手機(jī)銀行渠道交易成功率、ATM渠道交易成功率、POS渠道交易成功率。注：銀行卡交易成功率，統(tǒng)計銀行卡系統(tǒng)（含借記卡、信用卡、外匯卡、收單等應(yīng)用模塊）中所有的交易。三級指標(biāo)不區(qū)分卡的類別及發(fā)卡行，只統(tǒng)計在銀行卡系統(tǒng)（含借記卡、信用卡、外匯卡、收單等應(yīng)用模塊）中由不同渠道發(fā)起的交易成功率，若借記卡、信用卡、外匯卡等應(yīng)用模塊分開且屬于獨(dú)立部門管理的商業(yè)銀行，在上報三級指標(biāo)時，需分開進(jìn)行統(tǒng)計并標(biāo)注所屬類別。5. 二級指標(biāo)網(wǎng)上銀行系統(tǒng)交易成功率下設(shè)五個三級指標(biāo)：銀聯(lián)渠道交易成功率、超級網(wǎng)銀渠道交易成功率、大額實(shí)時支付渠道交易成功率、小額批量支付渠道交易成功率、第三方支付渠道（不含銀聯(lián)）

26、交易成功率。6. 二級指標(biāo)電話銀行系統(tǒng)交易成功率不設(shè)三級指標(biāo)。7. 二級指標(biāo)手機(jī)銀行系統(tǒng)交易成功率不設(shè)三級指標(biāo)。三、投產(chǎn)變更成功率l 指標(biāo)的屬性：穩(wěn)定性指標(biāo)。l 指標(biāo)風(fēng)險含義：投產(chǎn)變更成功率Deployment and change successful rate, DCSR用于計算商業(yè)銀行信息系統(tǒng)投產(chǎn)、變更活動實(shí)施后的成功比率，用于衡量商業(yè)銀行投產(chǎn)變更管理的有效程度，綜合反映商業(yè)銀行在軟件開發(fā)、運(yùn)行維護(hù)、應(yīng)急處置、項(xiàng)目及變更管理等方面能力。DCSR值低表示商業(yè)銀行在軟件開發(fā)、運(yùn)行維護(hù)、應(yīng)急處置、項(xiàng)目及變更管理方面存在技術(shù)風(fēng)險或管理缺陷。l DCSR計算公式:l DCSR相關(guān)釋義：投產(chǎn)及變更：

27、為達(dá)到正式生產(chǎn)運(yùn)行或試運(yùn)行的目標(biāo)而進(jìn)行的活動。包括：（1）將已完成技術(shù)開發(fā)的信息系統(tǒng)項(xiàng)目發(fā)布到生產(chǎn)系統(tǒng)；（2）信息系統(tǒng)的應(yīng)用版本在生產(chǎn)環(huán)境的部署、升級、調(diào)整；（3）對機(jī)房設(shè)備設(shè)施、網(wǎng)絡(luò)、存儲、營業(yè)終端、基礎(chǔ)軟件等的安裝部署、升級、擴(kuò)容、遷移、拆除、維護(hù)；（4）無法通過信息系統(tǒng)業(yè)務(wù)操作界面，而采用技術(shù)手段對業(yè)務(wù)數(shù)據(jù)、配置文件、配置參數(shù)的修改。l DCSR二級指標(biāo)定義：1. 投產(chǎn)、變更成功實(shí)施數(shù)量The amount of successful deployments and changes, SDC：成功實(shí)施投產(chǎn)、變更活動的數(shù)量之和。成功實(shí)施的投產(chǎn)、變更活動指實(shí)施投產(chǎn)變更活動后，生產(chǎn)系統(tǒng)運(yùn)行正常

28、，五日內(nèi)未發(fā)生任何影響商業(yè)銀行安全、穩(wěn)定運(yùn)營的事件，且未啟動應(yīng)急回退預(yù)案的投產(chǎn)、變更活動。2. 投產(chǎn)、變更實(shí)施總數(shù)量The amount of deployments and changes，DC：監(jiān)測周期內(nèi)實(shí)施投產(chǎn)、變更數(shù)量之和。l 監(jiān)測范圍：商業(yè)銀行全轄所有信息系統(tǒng)。四、假冒網(wǎng)站查封率l 指標(biāo)的屬性：安全性指標(biāo)。l 指標(biāo)風(fēng)險含義：假冒網(wǎng)站查封率Closed fishing websites rate, CFWR反映假冒網(wǎng)站被查封的比例，用于衡量商業(yè)銀行處理假冒網(wǎng)站的進(jìn)度及其客戶可能因假冒網(wǎng)站遭受欺詐威脅的程度，綜合反映商業(yè)銀行處置假冒網(wǎng)站的積極性與承擔(dān)社會責(zé)任的意識。CFWR值低，說明可能

29、存在較多可以訪問的假冒網(wǎng)站，增大用戶被盜竊用戶名和密碼的風(fēng)險，受騙客戶數(shù)將上升，導(dǎo)致客戶資金損失事件發(fā)生概率增大。l CFWR計算公式：l CFWR二級指標(biāo)定義：1. 假冒網(wǎng)站已查封數(shù)量The amount of closed fishing websites, CFW：商業(yè)銀行當(dāng)月向官方發(fā)出請求且被查封的假冒網(wǎng)站數(shù)量。2. 假冒網(wǎng)站數(shù)量The amount of fishing websites, AOFW：當(dāng)月商業(yè)銀行通過自主發(fā)現(xiàn)、外部舉報等渠道獲取的數(shù)量。五、外部攻擊變化率l 指標(biāo)的屬性：安全性指標(biāo)。l 指標(biāo)風(fēng)險含義：外部攻擊變化率External attack case change

30、rate, EACCR反映近兩個監(jiān)測周期商業(yè)銀行網(wǎng)絡(luò)被黑客攻擊的程度，用于衡量商業(yè)銀行遭受外部攻擊威脅的客觀變化。當(dāng)EACCR值大于0時，說明受攻擊次數(shù)增多，被侵入可能性增加，內(nèi)部網(wǎng)絡(luò)的安全性受到影響的概率增加。當(dāng)EACCR值超過20%時，說明外部攻擊次數(shù)增長快，網(wǎng)絡(luò)安全形勢趨于嚴(yán)峻，安全防護(hù)壓力增大，一旦防護(hù)措施不當(dāng)，將給商業(yè)銀行網(wǎng)站、內(nèi)部網(wǎng)絡(luò)及其他應(yīng)用系統(tǒng)帶來安全威脅。l EACCR計算公式：l EACCR相關(guān)釋義：外部攻擊是指通過互聯(lián)網(wǎng)對商業(yè)銀行信息系統(tǒng)進(jìn)行的攻擊，攻擊數(shù)量以商業(yè)銀行全轄當(dāng)期入侵檢測系統(tǒng)告警數(shù)The amount of intrusion detection system

31、 warnings this period, IDSWP、當(dāng)期入侵保護(hù)系統(tǒng)告警數(shù)The amount of intrusion protection system number of warnings this period, IPSWP）、上期入侵檢測系統(tǒng)告警數(shù)The amount of intrusion detection system warnings last period, IDSWLP、上期入侵保護(hù)系統(tǒng)告警數(shù)The amount of intrusion protection system number of warnings last period, IPSWLP作為基礎(chǔ)數(shù)據(jù)，

32、通過計算監(jiān)測周期外部攻擊次數(shù)來反映商業(yè)銀行信息系統(tǒng)受外部關(guān)注程度。l EACCR二級、三級指標(biāo)定義1. EACCR包括兩個二級指標(biāo)，分別為當(dāng)期外部攻擊次數(shù)和上期外部攻擊次數(shù)。2. 二級指標(biāo)當(dāng)期外部攻擊次數(shù)包含兩個三級指標(biāo)，分別為商業(yè)銀行全轄當(dāng)期入侵檢測系統(tǒng)告警數(shù)IDSWP與當(dāng)期入侵保護(hù)系統(tǒng)告警數(shù)IPSWP，計算方式為IDSWP與IPSWP之和。3. 二級指標(biāo)上期外部攻擊次數(shù)包含兩個三級指標(biāo)，分別為商業(yè)銀行全轄上期入侵檢測系統(tǒng)告警數(shù)IDSWLP與上期入侵保護(hù)系統(tǒng)告警數(shù)IPSWLP，計算方式為IDSWLP與IPSWLP之和。l 監(jiān)測范圍：商業(yè)銀行全轄入侵檢測系統(tǒng)（IDS）和入侵保護(hù)系統(tǒng)（IPS）。

33、六、信息安全事件數(shù)量l 指標(biāo)的屬性：安全性指標(biāo)。l 指標(biāo)風(fēng)險含義：信息安全事件數(shù)量The amount of information security events, ISE用來衡量商業(yè)銀行信息科技體系面對來自內(nèi)外部安全威脅時，保持信息系統(tǒng)可用性、完整性、機(jī)密性的能力，綜合反映商業(yè)銀行信息安全現(xiàn)狀。ISE過大或增長過快，表示可能面臨大面積業(yè)務(wù)無法辦理、賬務(wù)混亂、延遲入賬，或信息系統(tǒng)重要數(shù)據(jù)及核心技術(shù)資料損毀、丟失、泄露、被篡改等風(fēng)險。l ISE計算公式：l ISE二級、三級指標(biāo)定義：1. ISE包括七個二級指標(biāo)，分別為信息系統(tǒng)中斷造成服務(wù)不可用次數(shù)、違規(guī)操作事件次數(shù)、病毒爆發(fā)事件次數(shù)、自然災(zāi)害

34、事件次數(shù)、網(wǎng)絡(luò)中斷事件次數(shù)、基礎(chǔ)設(shè)施不可用事件次數(shù)（不含網(wǎng)絡(luò)）、其他安全事件次數(shù)。2. 信息系統(tǒng)中斷造成服務(wù)不可用次數(shù)信息系統(tǒng)中斷造成服務(wù)不可用次數(shù)Service unavailable times caused by system interrupt, SUTSI指信息系統(tǒng)在服務(wù)時段由于軟硬件故障等非預(yù)期因素導(dǎo)致停止服務(wù)5分鐘以上的次數(shù)，由十八個三級監(jiān)測指標(biāo)組成，分別為核心業(yè)務(wù)、綜合前置、銀行卡、網(wǎng)上銀行、電話銀行、手機(jī)銀行、大額實(shí)時支付、小額批量支付、ATM 前置、POS 前置、柜面系統(tǒng)、信貸、個貸、基金、債券、第三方存管、第三方支付（不含銀聯(lián)）、國際結(jié)算系統(tǒng)中斷造成服務(wù)不可用次數(shù)。3.

35、違規(guī)操作事件次數(shù)違規(guī)操作事件次數(shù)Illegal operation times, IOT指商業(yè)銀行內(nèi)部人員有意或無意未按既定流程、制度、規(guī)范要求等進(jìn)行違規(guī)操作，造成信息系統(tǒng)可用性、完整性或機(jī)密性受到破壞的事件次數(shù)。4. 病毒爆發(fā)事件次數(shù)病毒爆發(fā)事件次數(shù)Virus outbreak times, VOT指由于計算機(jī)病毒、蠕蟲、特洛伊木馬等有害程序造成信息系統(tǒng)可用性、完整性或機(jī)密性受到破壞的事件次數(shù)。5. 自然災(zāi)害事件次數(shù)自然災(zāi)害事件次數(shù)Natural disaster times，NDT指由于水災(zāi)、臺風(fēng)、地震、雷擊、火災(zāi)等不可抗力對信息系統(tǒng)造成直接物理破壞，或通過基礎(chǔ)設(shè)施、人員等因素間接影響，導(dǎo)

36、致信息系統(tǒng)正常對外服務(wù)中斷事件次數(shù)。6. 網(wǎng)絡(luò)中斷事件次數(shù)網(wǎng)絡(luò)中斷事件次數(shù)Network interrupt times, NIT指由于商業(yè)銀行內(nèi)部或外部原因?qū)е鹿歉删W(wǎng)絡(luò)中斷5分鐘以上的事件次數(shù)。7. 基礎(chǔ)設(shè)施不可用事件次數(shù)（不含網(wǎng)絡(luò)）基礎(chǔ)設(shè)施不可用事件次數(shù)Infrastructure unavailable times, IUT指由于機(jī)房供電、空調(diào)、防火等基礎(chǔ)設(shè)施（不含網(wǎng)絡(luò)）出現(xiàn)不可用或造成信息系統(tǒng)正常對外服務(wù)中斷5分鐘以上的事件次數(shù)。8. 其他安全事件次數(shù)其他安全事件Others，OTH次數(shù)指除以上原因以外造成信息系統(tǒng)可用性、完整性或機(jī)密性受到破壞的事件次數(shù)。注：監(jiān)測指標(biāo)按照單次信息安全事

37、件發(fā)生時最初原因進(jìn)行統(tǒng)計。七、主要電子渠道交易變化率l 指標(biāo)的屬性：規(guī)模性指標(biāo)l 指標(biāo)風(fēng)險含義：主要電子渠道交易變化率The amount of main electronic channel transactions change rate , MECTCR用于衡量商業(yè)銀行主要電子渠道（網(wǎng)上銀行、電話銀行、手機(jī)銀行系統(tǒng)，大額實(shí)時支付、小額批量支付、ATM、POS）交易規(guī)?？偭考白兓厔荨０▋蓚€二級指標(biāo)，分別為商業(yè)銀行全轄當(dāng)期主要電子渠道交易量The amount of main electronic channel transactions this period,MECTP、上期主要電子

38、渠道交易量The amount of main electronic channel transactions last period,MECTLP。l MECTCR計算公式：l MECTCR相關(guān)釋義：主要電子渠道：指商業(yè)銀行通過信息網(wǎng)絡(luò)等電子媒介提供金融服務(wù)的一種方式，包括網(wǎng)上銀行、電話銀行、手機(jī)銀行系統(tǒng)，大額實(shí)時支付、小額批量支付、ATM、POS交易渠道。l MECTCR二級、三級指標(biāo)定義：1. MECTCR包括兩個二級指標(biāo)，分別為當(dāng)期主要電子渠道交易量與上期主要電子渠道交易量，統(tǒng)計范圍包含賬務(wù)及非賬務(wù)交易筆數(shù)，但不包含批量處理筆數(shù)。2. 兩個二級指標(biāo)均由以下七個三級指標(biāo)組成，分別是網(wǎng)上銀行交易量The amount of online bank transactions, OBT、電話銀行交易量The amount of telephone bank transactions, TBT、手機(jī)銀行交易量The amount of mobile bank transactions, MPBT、大額實(shí)時支付交易量The amount of HVPS transactions, HVPST、小額批量支付交易量The amount of BEPS transactions, BEPST、ATM交易量The amount of ATM transact