商业银行信息科技风险动态监测规程(征求意见稿).doc

word文档整理分享 PAGE 参考资料 商业银行信息科技风险动态监测规程 （征求意见稿） 第一章 总则 第一条 为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规，制定本规程。 第二条 信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条 信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条 信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条 本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章 动态监测指标选取原则及分类 第六条 信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。 第七条 监测指标选取遵循以下四个原则： （一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力； （二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况； （三）敏感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况； （四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。 第八条 商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。 第三章 动态监测指标体系 第九条 稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。 （一）系统可用率为信息系统实际提供服务时间与应提供服务时间之比，用于衡量信息系统对业务连续服务提供支撑的有效程度，系统可用率影响客户使用体验，并综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置等方面的管理能力。 （二）系统交易成功率为信息系统成功处理的交易量与处理交易总量之比，用于衡量信息系统正常响应业务请求的有效程度，综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面的管理能力。 （三）投产变更成功率为商业银行成功实施信息系统投产、变更数量与实施信息系统投产、变更总量之比，用于衡量商业银行投产变更管理的有效程度，综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。 第十条 安全性指标用于衡量商业银行对安全威胁的抵御能力与安全事件的处置能力，包括假冒网站查封率、外部攻击变化率和信息安全事件数量。 （一）假冒网站查封率为已查封的假冒网站数量与已知的假冒网站数量之比，用于衡量商业银行对假冒网站的处置进展及其客户可能因假冒网站遭受欺诈威胁的程度，综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。 （二）外部攻击变化率为商业银行遭受外部攻击当期告警增加数量与上期告警数量之比，用于衡量商业银行外部攻击威胁的客观变化，综合反映商业银行信息系统外部风险的变化程度。 （三）信息安全事件数量为信息系统中断造成服务不可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事件次数、网络中断事件次数、基础设施不可用事件次数及其他安全事件次数之和，用于衡量商业银行在面对内外部安全威胁时，保持信息系统可用性、完整性、机密性的能力，综合反映商业银行信息安全现状。 第十一条 规模性指标用于衡量商业银行主要电子渠道发展规模，反映商业银行主要电子渠道业务发展水平、电子渠道业务承受的压力及相关信息科技风险事件可能产生的社会负面影响程度，包括主要电子渠道交易变化率和主要电子渠道活跃用户、账户变化率。 （一）主要电子渠道交易变化率为商业银行全辖当期主要电子渠道交易量与上期主要电子渠道交易量之比，用于反映商业银行主要电子渠道交易规模总量及变化趋势。 （二）主要电子渠道活跃用户、账户变化率为商业银行全辖当期主要电子渠道活跃用户、账户数与上期主要电子渠道活跃用户、账户数之比，用于反映商业银行主要电子渠道活跃用户、账户总量及变化趋势。 第四章 数据管理 第十二条 商业银行应建立与本规程相配套的信息科技风险动态监测工作机制和管理流程，准确、及时提供动态监测指标相关源数据。