商業(yè)銀行信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測規(guī)程

1、商業(yè)銀行信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測規(guī)程（征求意見稿）第一章總則第一條為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管的及時(shí)性和前瞻 性，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險(xiǎn)的持續(xù)和動(dòng)態(tài)監(jiān)測，根據(jù)中 華人民共和國銀行業(yè)監(jiān)督管理法、中華人民共和國商業(yè)銀行 法以及其他相關(guān)法律法規(guī)，制定本規(guī)程。第二條信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測是針對商業(yè)銀行信息科技活 動(dòng)中的重點(diǎn)風(fēng)險(xiǎn)領(lǐng)域，通過選取關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，持續(xù)開展風(fēng)險(xiǎn)監(jiān) 測，動(dòng)態(tài)跟蹤風(fēng)險(xiǎn)趨勢、前瞻研判風(fēng)險(xiǎn)態(tài)勢并及時(shí)采取監(jiān)管措施 的過程。第三條信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測遵循分級負(fù)責(zé)、屬地監(jiān)管、 重在法人、風(fēng)險(xiǎn)為本的原則。第四條信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測體系由監(jiān)測指標(biāo)、監(jiān)測數(shù)據(jù) 管理、指標(biāo)運(yùn)用及監(jiān)測工作流程組成。第五條

2、 本規(guī)程適用于在中華人民共和國境內(nèi)依法設(shè)立的商 業(yè)銀行，包括中資商業(yè)銀行、外資獨(dú)資商業(yè)銀行和中外合資銀行。政策性銀行、農(nóng)村信用社、農(nóng)村合作銀行、村鎮(zhèn)銀行以及經(jīng) 銀監(jiān)會(huì)及其派出機(jī)構(gòu)批準(zhǔn)成立的其他銀行業(yè)金融機(jī)構(gòu)參照執(zhí)行。第二章動(dòng)態(tài)監(jiān)測指標(biāo)選取原則及分類第六條 信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)由商業(yè)銀行信息科技 基礎(chǔ)運(yùn)行數(shù)據(jù)經(jīng)采集、加工、計(jì)算形成，綜合反映了商業(yè)銀行信 息科技風(fēng)險(xiǎn)水平及風(fēng)險(xiǎn)管控能力。第七條 監(jiān)測指標(biāo)選取遵循以下四個(gè)原則：（一）代表性：能夠反映商業(yè)銀行信息科技風(fēng)險(xiǎn)水平和控制 效果，體現(xiàn)信息科技對業(yè)務(wù)的支撐能力；（二）綜合性：能夠涵蓋商業(yè)銀行信息科技風(fēng)險(xiǎn)存在的主要 環(huán)節(jié)，反映信息系統(tǒng)多種要素的風(fēng)

3、險(xiǎn)狀況；（三）敏感性：能夠通過指標(biāo)波動(dòng)直接體現(xiàn)商業(yè)銀行信息科 技風(fēng)險(xiǎn)水平的變化情況；（四）可獲取性：能夠通過商業(yè)銀行信息系統(tǒng)直接獲取或通 過定量計(jì)算間接獲取，具備明確、可靠的數(shù)據(jù)來源。第八條商業(yè)銀行信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)分為穩(wěn)定性 指標(biāo)、安全性指標(biāo)和規(guī)模性指標(biāo)三類。其中穩(wěn)定性指標(biāo)、安全性 指標(biāo)直接反映商業(yè)銀行信息科技風(fēng)險(xiǎn)狀況，規(guī)模性指標(biāo)主要反映 信息科技對業(yè)務(wù)的支撐能力，間接反映商業(yè)銀行信息科技風(fēng)險(xiǎn)狀 況。第三章動(dòng)態(tài)監(jiān)測指標(biāo)體系第九條穩(wěn)定性指標(biāo)表示商業(yè)銀行信息系統(tǒng)對業(yè)務(wù)提供支持和滿足業(yè)務(wù)需求的有效、可靠程度，包括系統(tǒng)可用率、系統(tǒng)交易 成功率、投產(chǎn)變更成功率等。（一）系統(tǒng)可用率為信息系統(tǒng)實(shí)際提

4、供服務(wù)時(shí)間與應(yīng)提供服 務(wù)時(shí)間之比，用于衡量信息系統(tǒng)對業(yè)務(wù)連續(xù)服務(wù)提供支撐的有效 程度，系統(tǒng)可用率影響客戶使用體驗(yàn)，并綜合反映商業(yè)銀行在系 統(tǒng)設(shè)計(jì)、運(yùn)維管理、基礎(chǔ)設(shè)施配套、應(yīng)急處置等方面的管理能力。（二）系統(tǒng)交易成功率為信息系統(tǒng)成功處理的交易量與處理 交易總量之比，用于衡量信息系統(tǒng)正常響應(yīng)業(yè)務(wù)請求的有效程 度，綜合反映商業(yè)銀行在系統(tǒng)設(shè)計(jì)、軟件開發(fā)、運(yùn)維管理、基礎(chǔ) 設(shè)施配套等方面的管理能力。（三）投產(chǎn)變更成功率為商業(yè)銀行成功實(shí)施信息系統(tǒng)投產(chǎn)、 變更數(shù)量與實(shí)施信息系統(tǒng)投產(chǎn)、變更總量之比，用于衡量商業(yè)銀 行投產(chǎn)變更管理的有效程度，綜合反映商業(yè)銀行在軟件開發(fā)、運(yùn) 行維護(hù)、應(yīng)急處置、項(xiàng)目及變更管理等方面能

5、力。第十條安全性指標(biāo)用于衡量商業(yè)銀行對安全威脅的抵御能 力與安全事件的處置能力，包括假冒網(wǎng)站查封率、外部攻擊變化 率和信息安全事件數(shù)量。（一）假冒網(wǎng)站查封率為已查封的假冒網(wǎng)站數(shù)量與已知的假 冒網(wǎng)站數(shù)量之比，用于衡量商業(yè)銀行對假冒網(wǎng)站的處置進(jìn)展及其 客戶可能因假冒網(wǎng)站遭受欺詐威脅的程度，綜合反映商業(yè)銀行處 置假冒網(wǎng)站的積極性與承擔(dān)社會(huì)責(zé)任的意識(shí)。（二）外部攻擊變化率為商業(yè)銀行遭受外部攻擊當(dāng)期告警增 加數(shù)量與上期告警數(shù)量之比，用于衡量商業(yè)銀行外部攻擊威脅的 客觀變化，綜合反映商業(yè)銀行信息系統(tǒng)外部風(fēng)險(xiǎn)的變化程度。（三）信息安全事件數(shù)量為信息系統(tǒng)中斷造成服務(wù)不可用次 數(shù)、違規(guī)操作事件次數(shù)、病毒爆發(fā)事件

6、次數(shù)、自然災(zāi)害事件次數(shù)、 網(wǎng)絡(luò)中斷事件次數(shù)、基礎(chǔ)設(shè)施不可用事件次數(shù)及其他安全事件次 數(shù)之和，用于衡量商業(yè)銀行在面對內(nèi)外部安全威脅時(shí)，保持信息 系統(tǒng)可用性、完整性、機(jī)密性的能力，綜合反映商業(yè)銀行信息安 全現(xiàn)狀。第十一條 規(guī)模性指標(biāo)用于衡量商業(yè)銀行主要電子渠道發(fā)展 規(guī)模，反映商業(yè)銀行主要電子渠道業(yè)務(wù)發(fā)展水平、電子渠道業(yè)務(wù) 承受的壓力及相關(guān)信息科技風(fēng)險(xiǎn)事件可能產(chǎn)生的社會(huì)負(fù)面影響 程度，包括主要電子渠道交易變化率和主要電子渠道活躍用戶、 賬戶變化率。（一）主要電子渠道交易變化率為商業(yè)銀行全轄當(dāng)期主要電 子渠道交易量與上期主要電子渠道交易量之比，用于反映商業(yè)銀 行主要電子渠道交易規(guī)?？偭考白兓厔?。（二

7、）主要電子渠道活躍用戶、賬戶變化率為商業(yè)銀行全轄 當(dāng)期主要電子渠道活躍用戶、賬戶數(shù)與上期主要電子渠道活躍用 戶、賬戶數(shù)之比，用于反映商業(yè)銀行主要電子渠道活躍用戶、賬 戶總量及變化趨勢。第四章數(shù)據(jù)管理第十二條商業(yè)銀行應(yīng)建立與本規(guī)程相配套的信息科技風(fēng)險(xiǎn) 動(dòng)態(tài)監(jiān)測工作機(jī)制和管理流程，準(zhǔn)確、及時(shí)提供動(dòng)態(tài)監(jiān)測指標(biāo)相 關(guān)源數(shù)據(jù)。第十三條商業(yè)銀行應(yīng)根據(jù)自身發(fā)展?fàn)顩r建立與本規(guī)程相適 應(yīng)的監(jiān)測統(tǒng)計(jì)信息系統(tǒng)，按照動(dòng)態(tài)監(jiān)測指標(biāo)的相關(guān)要求采集相關(guān) 源數(shù)據(jù)，并能夠根據(jù)計(jì)算模型按照機(jī)構(gòu)、產(chǎn)品、系統(tǒng)等不同維度 和統(tǒng)計(jì)周期生成監(jiān)測數(shù)據(jù)。第十四條信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)源數(shù)據(jù)采集范圍應(yīng)涵 蓋商業(yè)銀行全轄（總行及各級分支機(jī)構(gòu)）和

8、各類重要信息系統(tǒng)， 采集數(shù)據(jù)要全面、真實(shí)。第十五條商業(yè)銀行應(yīng)確保監(jiān)測指標(biāo)數(shù)據(jù)來源的連續(xù)性、一 致性以及可追溯性，并至少存留最近三年歷史數(shù)據(jù)。第十六條商業(yè)銀行應(yīng)明確信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測數(shù)據(jù)報(bào)送 的歸口管理部門，并對報(bào)送數(shù)據(jù)的真實(shí)性和有效性負(fù)責(zé)。第十七條 銀監(jiān)會(huì)及其派出機(jī)構(gòu)應(yīng)督促、指導(dǎo)商業(yè)銀行逐步 建立并完善相關(guān)工作機(jī)制和流程，開展動(dòng)態(tài)監(jiān)測信息系統(tǒng)建設(shè)， 提高數(shù)據(jù)采集的自動(dòng)化程度，減少數(shù)據(jù)生成過程中的人為干擾因 素。對于確需人工填報(bào)的環(huán)節(jié)，應(yīng)在流程和系統(tǒng)設(shè)計(jì)中滿足后續(xù) 檢查和審計(jì)的需要。第十八條 銀監(jiān)會(huì)及其派出機(jī)構(gòu)信息科技監(jiān)管部門負(fù)責(zé)審核 商業(yè)銀行報(bào)送的動(dòng)態(tài)監(jiān)測指標(biāo)數(shù)據(jù)，并對報(bào)送數(shù)據(jù)質(zhì)量進(jìn)行考 核

9、。第五章指標(biāo)運(yùn)用第十九條商業(yè)銀行應(yīng)將信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)納入全 行風(fēng)險(xiǎn)監(jiān)測體系，建立信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)分析預(yù)警模 型，持續(xù)跟蹤信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)變化趨勢，形成書面報(bào) 告，定期向商業(yè)銀行董事會(huì)和高管層報(bào)告。第二十條商業(yè)銀行董事會(huì)和高管層應(yīng)定期審查信息科技風(fēng) 險(xiǎn)動(dòng)態(tài)監(jiān)測報(bào)告，運(yùn)用檢查、監(jiān)督、考核等手段督促相關(guān)部門采 取有效措施實(shí)施整改。第二十一條商業(yè)銀行信息科技部門應(yīng)根據(jù)動(dòng)態(tài)監(jiān)測指標(biāo)結(jié) 果，對本機(jī)構(gòu)信息系統(tǒng)進(jìn)行綜合評價(jià)，并將評價(jià)結(jié)果與商業(yè)銀行 信息科技發(fā)展規(guī)劃相結(jié)合。第二十二條商業(yè)銀行信息科技部門應(yīng)持續(xù)跟蹤動(dòng)態(tài)監(jiān)測指 標(biāo)及其變化趨勢，重點(diǎn)關(guān)注指標(biāo)數(shù)值或變化趨勢存在異常的監(jiān)測 指標(biāo)，

10、深入分析指標(biāo)異常的原因，采取相應(yīng)的應(yīng)急處置措施，并 將處置方案和工作進(jìn)度及時(shí)報(bào)送商業(yè)銀行風(fēng)險(xiǎn)管理部門、銀監(jiān)會(huì) 或其派出機(jī)構(gòu)。第二十三條銀監(jiān)會(huì)及其派出機(jī)構(gòu)信息科技監(jiān)管部門應(yīng)明確 信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測工作崗位，制定人員崗位職責(zé)。第二十四條銀監(jiān)會(huì)及其派出機(jī)構(gòu)信息科技監(jiān)管部門應(yīng)建立 分析預(yù)警模型，按照區(qū)域分布、機(jī)構(gòu)類別、單家機(jī)構(gòu)等不同維度 對信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)進(jìn)行分類監(jiān)測，定期形成風(fēng)險(xiǎn)分析 報(bào)告，對于發(fā)現(xiàn)的突出共性風(fēng)險(xiǎn)問題，要開展行業(yè)通報(bào)。第二十五條 銀監(jiān)會(huì)及其派出機(jī)構(gòu)信息科技監(jiān)管部門可根據(jù) 單家機(jī)構(gòu)動(dòng)態(tài)監(jiān)測指標(biāo)監(jiān)測情況，采取約談、現(xiàn)場檢查等途徑對 相關(guān)情況進(jìn)行核實(shí)，并通過風(fēng)險(xiǎn)提示、監(jiān)管會(huì)談等方

11、式將風(fēng)險(xiǎn)監(jiān) 測結(jié)果及時(shí)通報(bào)商業(yè)銀行，督促其采取有效措施，做好風(fēng)險(xiǎn)防范 和整改工作。對于監(jiān)測中發(fā)現(xiàn)的重大信息科技風(fēng)險(xiǎn)隱患，信息科 技監(jiān)管部門應(yīng)及時(shí)通報(bào)機(jī)構(gòu)監(jiān)管部門，并可視情況采取聯(lián)合監(jiān)管 行動(dòng)。第二十六條 銀監(jiān)會(huì)及其派出機(jī)構(gòu)信息科技監(jiān)管部門應(yīng)將動(dòng) 態(tài)風(fēng)險(xiǎn)監(jiān)測指標(biāo)分析結(jié)果作為商業(yè)銀行年度信息科技監(jiān)管評級 的參考信息。第二十七條銀監(jiān)會(huì)信息科技監(jiān)管部門建立信息科技風(fēng)險(xiǎn)動(dòng) 態(tài)監(jiān)測工作的激勵(lì)考核機(jī)制，定期發(fā)布行業(yè)基準(zhǔn)參考值，對指標(biāo) 領(lǐng)先的機(jī)構(gòu)樹立標(biāo)桿，總結(jié)良好實(shí)踐并予以推廣。第六章附則第二十八條 附件是本規(guī)程的組成部分，規(guī)定了信息科技風(fēng) 險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)口徑說明。第二十九條本規(guī)程由銀監(jiān)會(huì)負(fù)責(zé)修訂和解釋。第三

12、十條 本規(guī)程自 年 月起試行。附件：1、商業(yè)銀行信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)一覽表2、商業(yè)銀行信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)口徑說明一級監(jiān)測指標(biāo)二級監(jiān)測指標(biāo)三級監(jiān)測指標(biāo)系統(tǒng)可用率ATR核心業(yè)務(wù)系統(tǒng)可用率無綜合前置系統(tǒng)可用率銀行卡系統(tǒng)可用率網(wǎng)上銀行系統(tǒng)可用率電話銀行系統(tǒng)可用率手機(jī)銀行系統(tǒng)可用率大額實(shí)時(shí)支付前置系統(tǒng)可用率小額批量支付前置系統(tǒng)可用率第三方存管系統(tǒng)可用率國際結(jié)算系統(tǒng)可用率系統(tǒng)交易成功率 TSR核心業(yè)務(wù)系統(tǒng)交易成功率賬務(wù)類交易成功率非賬務(wù)類交易成功率綜合前置系統(tǒng)交易成功率大額實(shí)時(shí)支付渠道交易成功 率小額批量支付渠道交易成功 率人丁乂渠道交易成功率POS渠道交易成功率代收繳費(fèi)渠道交易成功率第三方存管

13、渠道交易成功率銀行卡系統(tǒng)交易成功率電話銀行渠道交易成功率手機(jī)銀行渠道交易成功率人丁乂渠道交易成功率POS渠道交易成功率網(wǎng)上銀行系統(tǒng)交易成功率銀聯(lián)渠道交易成功率超級網(wǎng)銀渠道交易成功率大額實(shí)時(shí)支付渠道交易成功 率小額批量支付渠道交易成功 率第三方支付渠道交易成功率電話銀行系統(tǒng)交易成功率無手機(jī)銀行交易成功率無投產(chǎn)變更成功率 DCSR投產(chǎn)、變更成功實(shí)施數(shù)量無投產(chǎn)、變更實(shí)施總數(shù)量無假冒網(wǎng)站查封率 CFWR假冒網(wǎng)站已查封數(shù)量無假冒網(wǎng)站發(fā)現(xiàn)數(shù)量無外部攻擊變化率當(dāng)期外部攻擊次數(shù)當(dāng)期入侵監(jiān)測系統(tǒng)告警數(shù)EACCR當(dāng)期入侵保護(hù)系統(tǒng)告警數(shù)上期外部攻擊次數(shù)上期入侵監(jiān)測系統(tǒng)告警數(shù)上期入侵保護(hù)系統(tǒng)告警數(shù)安全事件數(shù)量15&#

14、163;信息系統(tǒng)中斷造成服務(wù)不可用次數(shù)核心業(yè)務(wù)系統(tǒng)服務(wù)不可用次 數(shù)綜合前置系統(tǒng)服務(wù)不可用次 數(shù)銀行卡系統(tǒng)服務(wù)不可用次數(shù)網(wǎng)上銀行系統(tǒng)服務(wù)不可用次 數(shù)電話銀行系統(tǒng)服務(wù)不可用次 數(shù)手機(jī)銀行系統(tǒng)服務(wù)不可用次 數(shù)大額實(shí)時(shí)支付系統(tǒng)服務(wù)不可 用次數(shù)小額批量支付系統(tǒng)服務(wù)不可 用次數(shù)ATM前置系統(tǒng)服務(wù)不可用次 數(shù)POS前置系統(tǒng)服務(wù)不可用次 數(shù)柜面系統(tǒng)服務(wù)不可用次數(shù)信貸系統(tǒng)服務(wù)不可用次數(shù)個(gè)貸系統(tǒng)服務(wù)不可用次數(shù)基金系統(tǒng)服務(wù)不可用次數(shù)債券系統(tǒng)服務(wù)不可用次數(shù)第三方存管系統(tǒng)服務(wù)不可用 次數(shù)第三方支付系統(tǒng)服務(wù)不可用 次數(shù)國際結(jié)算系統(tǒng)服務(wù)不可用次 數(shù)違規(guī)操作事件次數(shù)無病毒爆發(fā)事件次數(shù)無自然災(zāi)害事件次數(shù)無網(wǎng)絡(luò)中斷事件次數(shù)無基礎(chǔ)

15、設(shè)施不可用事件次數(shù)無其他安全事件次數(shù)無主要電子渠道交易 變化率MECTCR當(dāng)期主要電子渠道交易量網(wǎng)上銀行交易量電話銀行交易量手機(jī)銀行交易量大額實(shí)時(shí)支付交易量ATM交易量POS交易量上期主要電子渠道交易量網(wǎng)上銀行交易量電話銀行交易量手機(jī)銀行交易量大額實(shí)時(shí)支付交易量ATM交易量POS交易量網(wǎng)上銀行交易量主要電子渠道活躍 用戶、賬戶變化率 MEAUAR當(dāng)期主要電子渠道活躍用戶、賬戶數(shù)網(wǎng)上銀行活躍用戶數(shù)電話銀行活躍用戶數(shù)手機(jī)銀行活躍用戶數(shù)大額實(shí)時(shí)支付渠道活躍賬戶 數(shù)小額批量支付渠道活躍賬戶 數(shù)ATM活躍賬戶數(shù)POS活躍賬戶數(shù)上期主要電子渠道活躍用戶、賬戶數(shù)網(wǎng)上銀行活躍用戶數(shù)電話銀行活躍用戶數(shù)手機(jī)銀行活

16、躍用戶數(shù)大額實(shí)時(shí)支付渠道活躍賬戶 數(shù)小額批量支付渠道活躍賬戶 數(shù)ATM活躍賬戶數(shù)POS活躍賬戶數(shù)附件2商業(yè)銀行信息科技風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測指標(biāo)口徑說明一、系統(tǒng)可用率 指標(biāo)的屬性：穩(wěn)定性指標(biāo)。 指標(biāo)風(fēng)險(xiǎn)含義：系統(tǒng)可用率Available time rate of a system, ATR用于衡量商 業(yè)銀行信息系統(tǒng)提供連續(xù)服務(wù)的能力。系統(tǒng)可用率綜合反映商業(yè) 銀行在系統(tǒng)設(shè)計(jì)、運(yùn)維管理、基礎(chǔ)設(shè)施配套、應(yīng)急處置、變更管 理等方面能力以及客戶對商業(yè)銀行提供連續(xù)服務(wù)能力的感受。 ATR較低時(shí)，說明商業(yè)銀行信息系統(tǒng)提供連續(xù)服務(wù)能力不足，可 能導(dǎo)致系統(tǒng)穩(wěn)定性降低、產(chǎn)生聲譽(yù)風(fēng)險(xiǎn)等風(fēng)險(xiǎn)隱患。系統(tǒng)可用率包括十個(gè)重要信息系統(tǒng)

17、的可用率指標(biāo)，分別是： 核心業(yè)務(wù)、綜合前置、銀行卡、網(wǎng)上銀行、電話銀行、手機(jī)銀行、 大額實(shí)時(shí)支付前置、小額批量支付前置、第三方存管、國際結(jié)算 系統(tǒng)。 ATR計(jì)算公式： ATR相關(guān)釋義：1 .計(jì)劃停止服務(wù)時(shí)間Planned downtime, PD：系統(tǒng)在監(jiān)測周 期內(nèi)因變更、演練、維護(hù)等計(jì)劃性事件及日間、夜間模式切換等 日常操作造成的停止服務(wù)時(shí)間。注：若一次計(jì)劃性停止服務(wù)時(shí)間 超出了計(jì)劃，則超出部分時(shí)間計(jì)入意外停止服務(wù)時(shí)間。2 .意外停止服務(wù)時(shí)間Unexpected downtime, UD:系統(tǒng)在監(jiān) 測周期內(nèi)因系統(tǒng)故障、內(nèi)部操作失誤、外部入侵、自然災(zāi)害等意 外性事件造成的停止服務(wù)時(shí)間。3 .提

18、供服務(wù)總時(shí)間The lasting time of service providing, LTSP：系統(tǒng)在監(jiān)測統(tǒng)計(jì)期內(nèi)理論上可提供服務(wù)時(shí)間之和。如核 心業(yè)務(wù)系統(tǒng)為24小時(shí)交易系統(tǒng)，監(jiān)測統(tǒng)計(jì)期為30天，則該系統(tǒng) 提供服務(wù)總時(shí)間為24X30X60分鐘。4 .停止服務(wù)：系統(tǒng)中任一應(yīng)用模塊（子系統(tǒng)）在應(yīng)提供服務(wù) 時(shí)段出現(xiàn)服務(wù)不可用。5 .業(yè)務(wù)受影響比例Affected business rate, ABR：受影響業(yè)務(wù) 類型數(shù)量占所有業(yè)務(wù)類型數(shù)量的比例。由商業(yè)銀行自行確定比例 的計(jì)算原則，可以按照同期交易量、交易金額、用戶登錄數(shù)量等 因素來計(jì)算業(yè)務(wù)受影響比例，也可以應(yīng)用模塊（子系統(tǒng)）數(shù)量比 例來計(jì)算。業(yè)

19、務(wù)受影響比例計(jì)算原則由商業(yè)銀行自行確定后，原 則上一年內(nèi)不得更改計(jì)算原則。6 .機(jī)構(gòu)受影響機(jī)構(gòu)比例Affected organization rate, AOR：受 影響網(wǎng)點(diǎn)數(shù)量與全部網(wǎng)點(diǎn)數(shù)量的比值。如全行集中式服務(wù)受到影 響，AOR數(shù)值為1。7 .公式中i代表監(jiān)測周期內(nèi)第i次發(fā)生的計(jì)劃和意外停止服 務(wù)，m代表監(jiān)測周期內(nèi)計(jì)劃停止服務(wù)發(fā)生總次數(shù)，n代表監(jiān)測周 期內(nèi)意外停止服務(wù)發(fā)生總次數(shù)。8 .計(jì)算公式中的時(shí)間單位均為分鐘。ATR監(jiān)測的相關(guān)信息、系統(tǒng)定義：1 .核心業(yè)務(wù)系統(tǒng)核心業(yè)務(wù)系統(tǒng)是指支撐商業(yè)銀行發(fā)展、運(yùn)作和管理金融產(chǎn)品 和服務(wù)的重要信息系統(tǒng)，一般指商業(yè)銀行處理客戶信息、存款產(chǎn) 品、支付服務(wù)的

20、信息系統(tǒng)。2 .綜合前置系統(tǒng)綜合前置系統(tǒng)是指通過總線技術(shù)連接前置機(jī)與后臺(tái)核心之 間的存儲(chǔ)轉(zhuǎn)發(fā)系統(tǒng)，主要實(shí)現(xiàn)不同業(yè)務(wù)系統(tǒng)間協(xié)議轉(zhuǎn)換、交易路 由連接、報(bào)文轉(zhuǎn)發(fā)、應(yīng)用預(yù)處理等功能。3 .銀行卡系統(tǒng)銀行卡系統(tǒng)是指商業(yè)銀行處理銀行卡業(yè)務(wù)的信息系統(tǒng)，支持 持卡人通過多種交易渠道辦理取現(xiàn)、消費(fèi)、轉(zhuǎn)賬等業(yè)務(wù)，并提供 賬戶、卡片管理、賬戶核算、財(cái)務(wù)管理、綜合統(tǒng)計(jì)等功能，一般 包含借記卡與信用卡應(yīng)用模塊。4 .網(wǎng)上銀行系統(tǒng)網(wǎng)上銀行系統(tǒng)是指商業(yè)銀行通過互聯(lián)網(wǎng)等公眾網(wǎng)絡(luò)基礎(chǔ)設(shè) 施，向客戶提供賬務(wù)查詢、轉(zhuǎn)賬、賬務(wù)管理、資金劃撥、網(wǎng)上支 付等金融服務(wù)的信息系統(tǒng)。5 .電話銀行系統(tǒng)電話銀行系統(tǒng)是指商業(yè)銀行基于固定電話運(yùn)營商

21、的基礎(chǔ)設(shè) 施，向使用電話終端的客戶提供賬戶查詢、轉(zhuǎn)賬、代繳費(fèi)、業(yè)務(wù) 咨詢等金融服務(wù)的信息系統(tǒng)。6 .手機(jī)銀行系統(tǒng)手機(jī)銀行系統(tǒng)是指商業(yè)銀行基于移動(dòng)網(wǎng)絡(luò)運(yùn)營商的基礎(chǔ)設(shè) 施，向使用智能手機(jī)終端的客戶提供賬戶查詢、轉(zhuǎn)賬、代繳費(fèi)等 金融服務(wù)的信息系統(tǒng)。7 .大額實(shí)時(shí)支付系統(tǒng)前置系統(tǒng)大額實(shí)時(shí)支付系統(tǒng)前置是指商業(yè)銀行通過人民銀行大額實(shí) 時(shí)支付系統(tǒng)，承接轉(zhuǎn)發(fā)大額實(shí)時(shí)支付報(bào)文的前置系統(tǒng)。8 .小額批量支付系統(tǒng)前置系統(tǒng)小額批量支付系統(tǒng)前置是指商業(yè)銀行通過人民銀行小額批 量支付系統(tǒng)應(yīng)用，承接轉(zhuǎn)發(fā)小額批量支付報(bào)文的前置系統(tǒng)。9 .第三方存管系統(tǒng)第三方存管系統(tǒng)是指商業(yè)銀行用于處理證券行業(yè)第三方存 管業(yè)務(wù)的信息、系統(tǒng)，主

22、要提供合作方管理、協(xié)議管理、結(jié)算和出 入資金管理等功能。10 .國際結(jié)算系統(tǒng)國際結(jié)算系統(tǒng)是指商業(yè)銀行處理外匯、國際貿(mào)易融資、結(jié)售 匯等國際業(yè)務(wù)的平臺(tái)。主要實(shí)現(xiàn)信用證、托收代收、保函、貿(mào)易 融資、光票托收、賬務(wù)清算、報(bào)文處理、風(fēng)險(xiǎn)控制以及國際收支 申報(bào)信息自動(dòng)收集等功能。二、系統(tǒng)交易成功率 指標(biāo)的屬性：穩(wěn)定性指標(biāo)。 指標(biāo)風(fēng)險(xiǎn)含義：系統(tǒng)交易成功率System transaction successful rate, TSR用于 衡量商業(yè)銀行信息、系統(tǒng)正常響應(yīng)業(yè)務(wù)請求的有效程度，綜合反映 商業(yè)銀行在系統(tǒng)設(shè)計(jì)、軟件開發(fā)、運(yùn)維管理、基礎(chǔ)設(shè)施配套等方 面能力。TSR過低可能引起賬務(wù)差錯(cuò)，造成經(jīng)濟(jì)損失，影響

23、商業(yè) 銀行對外服務(wù)質(zhì)量和效率，降低柜員、客戶體驗(yàn)感受，進(jìn)而導(dǎo)致 客戶流失，經(jīng)濟(jì)效益和品牌聲譽(yù)下降。TSR由六個(gè)二級指標(biāo)、十 七個(gè)三級指標(biāo)組成。 TSR計(jì)算公式： TSR相關(guān)釋義：1 .系統(tǒng)交易：指一筆業(yè)務(wù)在信息系統(tǒng)中自發(fā)起、處理、返 回的過程，分為賬務(wù)性和非賬務(wù)性交易。賬務(wù)性交易是指涉及賬 戶資金余額發(fā)生變動(dòng)的交易（例如：存款、取款、轉(zhuǎn)賬匯款等） 非賬務(wù)性交易是指賬戶資金余額不發(fā)生變動(dòng)的交易（例如：開戶、 銷戶、查詢等）。2 .系統(tǒng)成功交易量The amount of successful system transactions,八055。：接到交易請求后，能夠按照程序設(shè)計(jì)返回 處理結(jié)果的交易

24、筆數(shù)。當(dāng)某筆交易出現(xiàn)交易返回超時(shí)，或因數(shù)據(jù) 庫死鎖等技術(shù)故障導(dǎo)致失敗時(shí)，此筆交易才被視為失敗交易。3 .系統(tǒng)交易總量The amount of system transactions, AOST： 該類交易總筆數(shù)之和。注：部分查詢交易若暫時(shí)沒有交易記錄，可暫時(shí)不統(tǒng)計(jì)交易 量。 TSR二級、三級指標(biāo)定義：1 . TSR包括六個(gè)二級指標(biāo)，分別為核心業(yè)務(wù)系統(tǒng)交易成功 率、綜合前置系統(tǒng)交易成功率、銀行卡系統(tǒng)交易成功率、網(wǎng)上銀 行系統(tǒng)交易成功率、電話銀行系統(tǒng)交易成功率和手機(jī)銀行系統(tǒng)交易成功率。2 .二級指標(biāo)核心業(yè)務(wù)系統(tǒng)交易成功率下設(shè)兩個(gè)三級指標(biāo)， 賬務(wù)類交易成功率與非賬務(wù)類交易成功率。3 .二級指標(biāo)綜合

25、前置系統(tǒng)交易成功率下設(shè)六個(gè)三級指標(biāo)： 大額實(shí)時(shí)支付渠道交易成功率、小額批量支付渠道交易成功率、 ATM渠道交易成功率、POS渠道交易成功率、代收繳費(fèi)渠道交 易成功率、第三方存管渠道交易成功率。4 .二級指標(biāo)銀行卡系統(tǒng)交易成功率下設(shè)四個(gè)三級指標(biāo)：電 話銀行渠道交易成功率、手機(jī)銀行渠道交易成功率、ATM渠道 交易成功率、POS渠道交易成功率。注：銀行卡交易成功率，統(tǒng)計(jì)銀行卡系統(tǒng)（含借記卡、信用 卡、外匯卡、收單等應(yīng)用模塊）中所有的交易。三級指標(biāo)不區(qū)分 卡的類別及發(fā)卡行，只統(tǒng)計(jì)在銀行卡系統(tǒng)（含借記卡、信用卡、 外匯卡、收單等應(yīng)用模塊）中由不同渠道發(fā)起的交易成功率，若 借記卡、信用卡、外匯卡等應(yīng)用模塊

26、分開且屬于獨(dú)立部門管理的 商業(yè)銀行，在上報(bào)三級指標(biāo)時(shí)，需分開進(jìn)行統(tǒng)計(jì)并標(biāo)注所屬類別。5 .二級指標(biāo)網(wǎng)上銀行系統(tǒng)交易成功率下設(shè)五個(gè)三級指標(biāo)： 銀聯(lián)渠道交易成功率、超級網(wǎng)銀渠道交易成功率、大額實(shí)時(shí)支付 渠道交易成功率、小額批量支付渠道交易成功率、第三方支付渠 道（不含銀聯(lián)）交易成功率。6 .二級指標(biāo)電話銀行系統(tǒng)交易成功率不設(shè)三級指標(biāo)。7 .二級指標(biāo)手機(jī)銀行系統(tǒng)交易成功率不設(shè)三級指標(biāo)。三、投產(chǎn)變更成功率 指標(biāo)的屬性：穩(wěn)定性指標(biāo)。 指標(biāo)風(fēng)險(xiǎn)含義：投產(chǎn)變更成功率Deployment and change successful rate, DCSR用于計(jì)算商業(yè)銀行信息、系統(tǒng)投產(chǎn)、變更活動(dòng)實(shí)施后的成功 比率

27、，用于衡量商業(yè)銀行投產(chǎn)變更管理的有效程度，綜合反映商 業(yè)銀行在軟件開發(fā)、運(yùn)行維護(hù)、應(yīng)急處置、項(xiàng)目及變更管理等方 面能力。DCSR值低表示商業(yè)銀行在軟件開發(fā)、運(yùn)行維護(hù)、應(yīng)急 處置、項(xiàng)目及變更管理方面存在技術(shù)風(fēng)險(xiǎn)或管理缺陷。 DCSR計(jì)算公式： DCSR相關(guān)釋義：投產(chǎn)及變更：為達(dá)到正式生產(chǎn)運(yùn)行或試運(yùn)行的目標(biāo)而進(jìn)行的 活動(dòng)。包括：（1）將已完成技術(shù)開發(fā)的信息系統(tǒng)項(xiàng)目發(fā)布到生產(chǎn)系統(tǒng)；（2）信息、系統(tǒng)的應(yīng)用版本在生產(chǎn)環(huán)境的部署、升級、調(diào)整；（3）對機(jī)房設(shè)備設(shè)施、網(wǎng)絡(luò)、存儲(chǔ)、營業(yè)終端、基礎(chǔ)軟件 等的安裝部署、升級、擴(kuò)容、遷移、拆除、維護(hù)；（4）無法通過信息、系統(tǒng)業(yè)務(wù)操作界面，而采用技術(shù)手段對 業(yè)務(wù)數(shù)據(jù)、配

28、置文件、配置參數(shù)的修改。 DCSR二級指標(biāo)定義：1 .投產(chǎn)、變更成功實(shí)施數(shù)量The amount of successful deployments and changes, SDC：成功實(shí)施投產(chǎn)、變更活動(dòng)的數(shù)量 之和。成功實(shí)施的投產(chǎn)、變更活動(dòng)指實(shí)施投產(chǎn)變更活動(dòng)后，生產(chǎn)系統(tǒng)運(yùn)行正常，五日內(nèi)未發(fā)生任何影響商業(yè)銀行安全、穩(wěn)定運(yùn)營 的事件，且未啟動(dòng)應(yīng)急回退預(yù)案的投產(chǎn)、變更活動(dòng)。2 .投產(chǎn)、變更實(shí)施總數(shù)量The amount of deployments and changes，DC：監(jiān)測周期內(nèi)實(shí)施投產(chǎn)、變更數(shù)量之和。 監(jiān)測范圍：商業(yè)銀行全轄所有信息系統(tǒng)。、假冒網(wǎng)站查封率 指標(biāo)的屬性：安全性指標(biāo)。 指

29、標(biāo)風(fēng)險(xiǎn)含義：假冒網(wǎng)站查封率Closed fishing websites rate, CFWR反映假 冒網(wǎng)站被查封的比例，用于衡量商業(yè)銀行處理假冒網(wǎng)站的進(jìn)度及 其客戶可能因假冒網(wǎng)站遭受欺詐威脅的程度，綜合反映商業(yè)銀行 處置假冒網(wǎng)站的積極性與承擔(dān)社會(huì)責(zé)任的意識(shí)。CFWR值低，說 明可能存在較多可以訪問的假冒網(wǎng)站，增大用戶被盜竊用戶名和 密碼的風(fēng)險(xiǎn)，受騙客戶數(shù)將上升，導(dǎo)致客戶資金損失事件發(fā)生概 率增大。 CFWR計(jì)算公式： CFWR二級指標(biāo)定義：1 .假冒網(wǎng)站已查封數(shù)量The amount of closed fishing websites, CFW：商業(yè)銀行當(dāng)月向官方發(fā)出請求且被查封的假冒網(wǎng)站

30、數(shù)量。2 .假冒網(wǎng)站數(shù)量The amount of fishing websites, AOFW:當(dāng)月商 業(yè)銀行通過自主發(fā)現(xiàn)、外部舉報(bào)等渠道獲取的數(shù)量。五、外部攻擊變化率 指標(biāo)的屬性：安全性指標(biāo)。 指標(biāo)風(fēng)險(xiǎn)含義：外部攻擊變化率External attack case change rate, EACCR 映近兩個(gè)監(jiān)測周期商業(yè)銀行網(wǎng)絡(luò)被黑客攻擊的程度，用于衡量商 業(yè)銀行遭受外部攻擊威脅的客觀變化。當(dāng)EACCR值大于0時(shí)， 說明受攻擊次數(shù)增多，被侵入可能性增加，內(nèi)部網(wǎng)絡(luò)的安全性受 到影響的概率增加。當(dāng)EACCR值超過20%時(shí)，說明外部攻擊次 數(shù)增長快，網(wǎng)絡(luò)安全形勢趨于嚴(yán)峻，安全防護(hù)壓力增大，一旦防

31、 護(hù)措施不當(dāng)，將給商業(yè)銀行網(wǎng)站、內(nèi)部網(wǎng)絡(luò)及其他應(yīng)用系統(tǒng)帶來 安全威脅。 EACCR計(jì)算公式： EACCR相關(guān)釋義：外部攻擊是指通過互聯(lián)網(wǎng)對商業(yè)銀行信息系統(tǒng)進(jìn)行的攻 擊，攻擊數(shù)量以商業(yè)銀行全轄當(dāng)期入侵檢測系統(tǒng)告警數(shù)The amount of intrusion detection system warnings this period, IDSWP、當(dāng)期入侵保護(hù)系統(tǒng)告警數(shù)The amount of intrusion protection system number of warnings this period, IPSWP）、上期入 侵檢測系統(tǒng)告警數(shù)The amount of intrusi

32、on detection system warnings last period, IDSWLP、上期入侵保護(hù)系統(tǒng)告警數(shù)The amount of intrusion protection system number of warnings last period, IPSWLP作為基礎(chǔ)數(shù)據(jù)，通過計(jì)算監(jiān)測周期外部攻擊次數(shù) 來反映商業(yè)銀行信息、系統(tǒng)受外部關(guān)注程度。 EACCR二級、三級指標(biāo)定義1 . EACCR包括兩個(gè)二級指標(biāo)，分別為當(dāng)期外部攻擊次數(shù)和上期外部攻擊次數(shù)。2 .二級指標(biāo)當(dāng)期外部攻擊次數(shù)包含兩個(gè)三級指標(biāo)，分別為 商業(yè)銀行全轄當(dāng)期入侵檢測系統(tǒng)告警數(shù)IDSWP與當(dāng)期入侵保護(hù) 系統(tǒng)告警數(shù)I

33、PSWP，計(jì)算方式為IDSWP與IPSWP之和。3 .二級指標(biāo)上期外部攻擊次數(shù)包含兩個(gè)三級指標(biāo)，分別為 商業(yè)銀行全轄上期入侵檢測系統(tǒng)告警數(shù)IDSWLP與上期入侵保 護(hù)系統(tǒng)告警數(shù)IPSWLP，計(jì)算方式為IDSWLP與IPSWLP之和。 監(jiān)測范圍：商業(yè)銀行全轄入侵檢測系統(tǒng)（IDS）和入侵保護(hù)系統(tǒng)（IPS）。六、信息安全事件數(shù)量 指標(biāo)的屬性：安全性指標(biāo)。 指標(biāo)風(fēng)險(xiǎn)含義：信息安全事件數(shù)量The amount of information security events, ISE用來衡量商業(yè)銀行信息科技體系面對來自內(nèi)外部安全威脅 時(shí)，保持信息、系統(tǒng)可用性、完整性、機(jī)密性的能力，綜合反映商 業(yè)銀行信息安全

34、現(xiàn)狀。ISE過大或增長過快，表示可能面臨大面 積業(yè)務(wù)無法辦理、賬務(wù)混亂、延遲入賬，或信息系統(tǒng)重要數(shù)據(jù)及 核心技術(shù)資料損毀、丟失、泄露、被篡改等風(fēng)險(xiǎn)。 ISE計(jì)算公式： ISE二級、三級指標(biāo)定義：1 . ISE包括七個(gè)二級指標(biāo)，分別為信息、系統(tǒng)中斷造成服務(wù)不可用次數(shù)、違規(guī)操作事件次數(shù)、病毒爆發(fā)事件次數(shù)、自然災(zāi)害事 件次數(shù)、網(wǎng)絡(luò)中斷事件次數(shù)、基礎(chǔ)設(shè)施不可用事件次數(shù)（不含網(wǎng) 絡(luò)）、其他安全事件次數(shù)。2 .信息、系統(tǒng)中斷造成服務(wù)不可用次數(shù)信息、系統(tǒng)中斷造成服務(wù)不可用次數(shù)Service unavailable times caused by system interrupt, SUTSI指信息、系統(tǒng)在服

35、務(wù)時(shí)段由于軟 硬件故障等非預(yù)期因素導(dǎo)致停止服務(wù)5分鐘以上的次數(shù)，由十八 個(gè)三級監(jiān)測指標(biāo)組成，分別為核心業(yè)務(wù)、綜合前置、銀行卡、網(wǎng) 上銀行、電話銀行、手機(jī)銀行、大額實(shí)時(shí)支付、小額批量支付、 ATM前置、POS前置、柜面系統(tǒng)、信貸、個(gè)貸、基金、債券、 第三方存管、第三方支付（不含銀聯(lián)）、國際結(jié)算系統(tǒng)中斷造成 服務(wù)不可用次數(shù)。3 .違規(guī)操作事件次數(shù)違規(guī)操作事件次數(shù)Illegal operation times, IOT指商業(yè)銀行 內(nèi)部人員有意或無意未按既定流程、制度、規(guī)范要求等進(jìn)行違規(guī) 操作，造成信息系統(tǒng)可用性、完整性或機(jī)密性受到破壞的事件次 數(shù)。4 .病毒爆發(fā)事件次數(shù)病毒爆發(fā)事件次數(shù)Virus o

36、utbreak times, VOT指由于計(jì)算機(jī) 病毒、蠕蟲、特洛伊木馬等有害程序造成信息系統(tǒng)可用性、完整 性或機(jī)密性受到破壞的事件次數(shù)。5 .自然災(zāi)害事件次數(shù)自然災(zāi)害事件次數(shù)Natural disaster times，NDT指由于水災(zāi)、 臺(tái)風(fēng)、地震、雷擊、火災(zāi)等不可抗力對信息系統(tǒng)造成直接物理破 壞，或通過基礎(chǔ)設(shè)施、人員等因素間接影響，導(dǎo)致信息、系統(tǒng)正常 對外服務(wù)中斷事件次數(shù)。6 .網(wǎng)絡(luò)中斷事件次數(shù)網(wǎng)絡(luò)中斷事件次數(shù)Network interrupt times, NIT指由于商業(yè) 銀行內(nèi)部或外部原因?qū)е鹿歉删W(wǎng)絡(luò)中斷5分鐘以上的事件次數(shù)。7 .基礎(chǔ)設(shè)施不可用事件次數(shù)（不含網(wǎng)絡(luò)）基礎(chǔ)設(shè)施不可用事

37、件次數(shù)Infrastructure unavailable times, IUT指由于機(jī)房供電、空調(diào)、防火等基礎(chǔ)設(shè)施（不含網(wǎng)絡(luò)）出現(xiàn) 不可用或造成信息系統(tǒng)正常對外服務(wù)中斷5分鐘以上的事件次 數(shù)。8 .其他安全事件次數(shù)其他安全事件Others，OTH次數(shù)指除以上原因以外造成信息 系統(tǒng)可用性、完整性或機(jī)密性受到破壞的事件次數(shù)。注：監(jiān)測指標(biāo)按照單次信息安全事件發(fā)生時(shí)最初原因進(jìn)行統(tǒng) 計(jì)。七、主要電子渠道交易變化率指標(biāo)的屬性：規(guī)模性指標(biāo)指標(biāo)風(fēng)險(xiǎn)含義：主要電子渠道交易變化率The amount of main electronic channel transactions change rate , ME

38、CTCR用于衡量商業(yè)銀行主 要電子渠道（網(wǎng)上銀行、電話銀行、手機(jī)銀行系統(tǒng)，大額實(shí)時(shí)支 付、小額批量支付、ATM、POS）交易規(guī)?？偭考白兓厔?。包 括兩個(gè)二級指標(biāo)，分別為商業(yè)銀行全轄當(dāng)期主要電子渠道交易量 The amount of main electronic channel transactions this period,MECTP、上期主要電子渠道交易量The amount of main electronic channel transactions last period,MECTLP。 MECTCR計(jì)算公式： MECTCR相關(guān)釋義：主要電子渠道：指商業(yè)銀行通過信息、網(wǎng)絡(luò)等電子媒

39、介提供金 融服務(wù)的一種方式，包括網(wǎng)上銀行、電話銀行、手機(jī)銀行系統(tǒng)， 大額實(shí)時(shí)支付、小額批量支付、ATM、POS交易渠道。 MECTCR二級、三級指標(biāo)定義：1 . MECTCR包括兩個(gè)二級指標(biāo)，分別為當(dāng)期主要電子渠道 交易量與上期主要電子渠道交易量，統(tǒng)計(jì)范圍包含賬務(wù)及非賬務(wù) 交易筆數(shù)，但不包含批量處理筆數(shù)。2 .兩個(gè)二級指標(biāo)均由以下七個(gè)三級指標(biāo)組成，分別是網(wǎng)上 銀行交易量The amount of online bank transactions, OBT、電話銀 行交易量The amount of telephone bank transactions, TBT、手機(jī) 銀行交易量The amount of mobile bank transactions, MPBT、大額 實(shí)時(shí)支付交易量The amount of HVPS transactions, HVPST、小額 批量支付交易量The amount of BEPS transactions, BEPST、ATM 交易量The amount of ATM