法人银行业金融机构信息科技监管达标路线图试行.docx
- 文档编号:18334845
- 上传时间:2023-08-15
- 格式:DOCX
- 页数:170
- 大小:59.14KB
法人银行业金融机构信息科技监管达标路线图试行.docx
《法人银行业金融机构信息科技监管达标路线图试行.docx》由会员分享,可在线阅读,更多相关《法人银行业金融机构信息科技监管达标路线图试行.docx(170页珍藏版)》请在冰点文库上搜索。
法人银行业金融机构信息科技监管达标路线图试行
法人银行业金融机构
信息科技监管达标路线图
(试行)
浙江银监局
二〇一〇年十一月
前言
伴随着我国银行业的迅猛发展,信息科技已成为商业银行进行业务创新和实现经营战略的重要手段,信息系统的安全性、可靠性和连续性已经直接影响到银行业的安全和金融体系的稳定。
为了统一思想认识,明确目标和监管要求,2010年4月下旬,局领导在浙江银监局辖内法人机构信息科技监管联席会议总结上提出制定我局辖内法人机构监管达标路线图的要求。
监管达标路线图详细指明商业银行达到银监会信息科技风险监管目标和要求需要完成的路径和步骤,是今后一定时期内指导辖内法人银行开展信息科技风险管理工作的标准和行动指南。
监管达标路线图以银监会发布的各项信息科技监管制度和管理办法为基础准绳,以银监会信息科技风险评估体系的控制有效性指标为立足点,为机构建立了明确的标杆和要求,指明了努力的方向,对于提高辖内中小法人银行信息科技风险管理建设的组织性、计划性和有效性将起到重要的作用。
为制定科学合理、可操作性强、符合机构自身发展需求的路线图,路线图的设计由商业银行为主,充分发挥银行的主观能动性,由监管部门把关,保证路线图设计不偏离监管部门的要求,结合商业银行的实际情况,设计一条科学合理的路线图。
路线图的设计思路:
路线图分为文字和表格两大部分,文字部分概括性的描述各自领域内满足初级、中级和高级分别需要达到的要求和目标;表格部分以银监会信息科技风险评级指标为基础,分别提出每个指标对应初级、中级、高级的具体要求和结果文档。
路线图的实现不是一朝一夕之功。
辖内每家机构要根据路线图的要求,自评估后明确自身所处的位置,结合自身的实际情况,确定年度的和长期的达标的工作内容,加强监管达标路线图的执行和落实。
在辖内法人商业银行有了明确的达标计划和步骤以后,每年监管部门要同机构一起分析路线图的完成情况、分析存在的差距与不足,共同制定年度的工作计划,稳步推进辖内法人银行机构提高信息科技风险管理水平。
一、信息科技治理
初级要求:
1.制度中明确董(理)事会信息科技风险管理的职责。
2.设立信息科技管理委员会,成员由高级管理层、信息科技部门和主要业务部门的代表组成。
3.内审部门应当设立专门的岗位,负责信息科技内部审计。
4.由独立于信息科技的部门承担信息科技风险管理责任。
5.根据业务发展状况制定全行层面的信息科技战略规划及相应的IT预算投入,规划内容全面,由董(理)事会审批通过。
6.做好科技人才队伍建设和培养计划,识别定义关键的信息科技岗位。
7.建立信息科技管理制度,规范信息科技管理。
中级要求:
1.制度中明确董(理)事会信息科技风险管理的职责,并建立相关履职措施。
2.应采取适当措施,履行信息科技管理委员会职责。
3.设立首席信息官,可以由高管层兼任。
4.应采取适当措施,确保内部审计部门履行信息科技审计职责。
5.应采取适当措施,确保由独立于信息科技的部门履行信息科技风险管理职责。
6.根据业务发展状况制定全行层面的信息科技战略规划,规划内容全面,应采取适当措施确保信息科技战略符合全行业务发展战略,并由信息科技管理委员会审批通过。
7.做好科技人才队伍建设和培养计划,建立信息科技人才激励制度,识别定义关键的信息科技岗位,并采取适当措施防范关键岗位风险。
8.建立较为完善的信息科技管理制度,规范信息科技管理。
高级要求:
1.建立恰当的履职机制,确保董(理)事会能充分履行信息科技风险管理职责。
2.应建立完善的机制,确保信息科技管理委员会能够充分履职。
3.应当建立相关制度,确保首席信息官能够充分履职。
4.应建立常态化的信息科技审计机制,确保内部审计部门能够充分履行信息科技审计职责。
5.应建立常态化的信息科技风险管理机制,确保独立于信息科技的风险管理部门能够充分履行信息科技风险管理职责。
6.应建立完善的机制,确保信息科技战略规划内容全面,并符合全行业务发展战略。
7.应建立完善的科技人才队伍建设和培养机制,建立完善的信息科技人才激励制度,识别定义关键的信息科技岗位,并采取恰当措施防范关键岗位风险。
8.建立完善的信息科技管理制度,规范信息科技管理。
各指标具体控制要求:
子领域
关键控制目标
编码
指标
指标描述
级别
目标与要求
结果文档
信息科技治理(GO)
信息科技治理职责
GO.01
董(理)事会信息科技风险管理职责明确
银行的董(理)事会是治理结构中的重要部分,其职责应当包括以下内容:
1.批准重大业务战略和信息科技战略规划;2.确定风险管理策略、容忍度,包括信息科技风险管理容忍度(例如,可容忍的最大停机时间、可接受的最大损失金额等);3.及时向监管机构报告本机构重大信息科技事件;4.审阅信息科技审计报告及信息科技风险评估报告;5.监督信息科技内外审计整改的落实。
6.在良好的公司治理基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。
加强信息科技专业队伍的建设,建立人才激励机制。
初级
董(理)事会职责中应包含以下内容:
1.贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银监会监管要求;
2.审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致;
3.了解主要的信息科技风险,包括信息科技建设风险、运行风险、信息安全风险等;
4.建立职责明确、报告关系清晰的信息科技治理组织结构;
5.督促内部审计部门进行信息科技风险管理审计;
6.确保信息科技风险管理工作所需资金;
7.确保及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,并按相关预案快速响应;
8.确保相关职能部门配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
董(理)事会职责说明
中级
董(理)事会职责中应包含以下内容:
1.审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
授权相关部门评估信息科技及其风险管理工作的总体效果和效率;
2.掌握主要的信息科技风险,确定可接受的风险级别,确保主要风险能够被识别、监测和控制;
3.规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识;
4.建立分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。
加强信息科技专业队伍的建设,建立人才激励机制;
5.确保内部审计部门进行独立有效的信息科技风险管理审计;
6.确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训;
7.确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。
董(理)事会职责说明
高级
董(理)事会职责中应包含以下内容:
1.确保内部审计部门进行独立有效的信息科技风险管理审计,并审阅信息科技审计报告;
2.每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。
3.督促制定预算执行考核办法;
4.董(理)事会设置中要求至少配备有一名有信息科技背景的人员;
5.审批信息科技业务连续性规划,明确全行信息科技风险管理策略和风险容忍度指标。
董(理)事会职责说明
GO.02
董(理)事会信息科技风险管理职责落实
银行董(理)事会应当明确其承担的信息科技风险管理职责,并履行其职责。
1.根据《指引》董(理)事会设立信息科技管理委员会,由来自高级管理层、信息科技部门和主要业务部门的代表组成,负责信息科技战略规划制定、重大项目的审批、制定基本的IT风险管理政策,听取风险评估报告和监督风险政策执行情况,负责监督各项职责的落实,定期向董(理)事会和高级管理层汇报有关情况等。
初级
1.落实GO.01初级要求;
2.成立由来自高层、信息科技部门和主要业务部门组成的信息科技管理委员会,负责每年向董(理)事会或高级管理层汇报信息科技战略规划执行、信息科技预算和实际支出、信息科技的整体状况等,委员会会议每年不得少于一次;
董(理)事会批准的战略规划
了解信息科技风险管理情况的记录
听取审计情况报告的记录
信息科技管理委员会工作职责
信息科技管理委员会开展工作情况记录
治理架构图及说明
信息科技预算及审批记录
信息科技制度流程学习、考试相关记录科技岗位交接培训记录
科技风险评估记录;
科技风险评估问题跟踪记录;
信息安全监控记录
中级
1.落实GO.01中级要求;
2.信息科技管理委员会会议每年不得少于两次;
信息科技总体风险评估报告
审计报告
经董(理)事会审批的信息科技业务连续性规划方案
信息科技风险意识教育的资料和记录
信息科技相关部门和岗位职责说明
高级
1.落实GO.01高级要求;
2.信息科技管理委员会根据需要定期召开会议,每年不得少于四次;
3.建立相互独立的信息科技管理、信息科技风险管理和信息科技审计等部门;
重要信息科技应急预案
信息科技风险意识教育制度信息科技人才激励制度
信息科技审计制度
信息科技审计报告及董(理)事会审阅记录
信息科技风险管理年报及董(理)事会审阅记录
董(理)事会对监管及整改意见的审阅记录
数据中心设立董(理)事会审议记录
董(理)事会对数据中心基本管理制度的审阅记录
GO.03
设立首席信息官(CIO),直接向行长汇报,参与重大决策
银行应当设立首席信息官(CIO),直接向行长汇报,参与重大决策。
首席信息官是商业银行负责信息科技管理的高级管理人员,对本行信息科技总体管理负责。
1.根据《商业银行首席信息官管理办法》(征求意见稿)的要求,建立规范的信息官制度和流程,明确信息官的职责。
初级
参照首席信息官,明确信息科技分管行长职责。
信息科技分管行长职责
中级
设立首席信息官岗位(可以兼任),明确首席信息官职责。
首席信息官提名与任命管理办法
首席信息官岗位职责说明
高级
产生符合银监会任职条件的首席信息官;严格按照银监会有关规定,规范并完善首席信息官有关制度,为首席信息官有效履职提供必要条件。
首席信息官岗位职责说明
首席信息官绩效考核办法
首席信息官年度工作计划
首席信息官述职报告
首席信息官绩效考核情况报告
首席信息官参与的重大会议纪要
GO.04
内部审计部门设立专门岗位负责信息科技内部审计
应当由内审部门设立专门的岗位负责信息科技内部审计,信息科技审计应当包括:
落实信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
初级
应当在内审部门设立岗位负责信息科技内部审计,信息科技审计人员至少不得少于2人。
审计部门组织架构图
审计部门及岗位职责说明
审计部门人员岗位分工说明
中级
同初级
同初级
高级
1.应建立完善的信息科技审计组织架构,确保审计部门能充分履行信息科技审计职责;
2.专职信息科技风险审计人员数量原则上按照科技人员数量的5%配备;
3.信息科技风险审计人员应当具备相应的专业从业资格。
信息科技审计人员背景资料
信息科技审计制度
GO.05
设立信息科技风险管理部门
应当由独立于信息科技的部门承担信息科技风险管理责任,该部门负责协调制定有关信息科技风险管理策略,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
初级
应在信息科技部门外设立信息科技风险管理部门,负责信息科技风险的监督和报告;
信息科技风险管理部门组织架构
信息科技风险管理部门及岗位职责说明
信息科技风险管理部门人员岗位分工说明
中级
应在信息科技部门外设立信息科技风险管理部门,负责开展信息科技风险的识别、评估、监督和报告。
同上
高级
1.应在信息科技部门外建立信息科技风险管理部门,负责信息科技风险的识别、评估、计量、监测、控制和报告。
应建立完善的信息科技风险管理组织架构,确保能充分履行信息科技风险管理工作。
同上
信息科技战略及规划
GO.06
建立与总体业务规划一致的信息科技战略规划
信息科技战略由信息科技管理委员会负责制定,信息科技战略规划应当符合机构总体业务规划,并维持稳定、安全的信息科技环境。
信息科技战略规划由信息科技管理委员会负责制定。
初级
1.信息科技战略规划及预算应经信息科技管理委员会审议;
2.信息科技战略规划及预算应报董(理)事会审批。
经董(理)事会审批的信息科技战略规划
经董(理)事会审批的信息科技预算
信息科技管理委员会审议的记录
中级
1.信息科技管理委员会应督促职能部门执行信息科技战略规划;
2.信息科技管理委员会应督促职能部门根据战略规划制定信息科技年度建设计划,并审议批准。
3.信息科技预算结构上得到优化,重视对人员培训的投入
信息科技年度建设计划
信息科技管理委员会审议信息科技年度建设计划的记录
信息科技预算明细
高级
1.信息科技管理委员会应适时对战略规划的执行情况进行评估,确保符合银行总体业务发展战略和风险管理策略;
2.信息科技管理委员会应根据评估情况,督促修订信息科技战略规划;
3.信息科技预算适应业务需要,适当超前。
信息科技战略规划执行情况评估报告
GO.07
信息科技战略规划内容全面,有效支撑业务规划
作为信息科技治理的一部分工作,银行应当制定全面的信息科技战略规划,以支撑业务的发展。
1.信息科技战略规划内容全面,包括信息科技战略目标、信息科技风险管理规划、信息科技治理规划、信息科技架构规划、信息科技项目(或信息系统)规划。
初级
信息科技战略规划内容应包括以下内容:
(1)信息科技战略目标;
(2)信息科技治理规划;
(3)信息科技架构规划;
(4)信息科技项目(或信息系统)规划等内容。
战略目标
治理规划
架构规划
信息系统规划
中级
信息科技战略规划内容应包括信息科技风险管理规划。
风险管理规划
高级
同中级
同中级
信息科技治理运作
GO.08
董(理)事会和管理层对信息科技风险管理的关注和支持
董(理)事会和管理层应当保持对信息科技风险管理的支持和关注。
1.建立科学合理的信息科技风险管理的考核指标
初级
相关部门每年应将信息科技风险管理情况报告董(理)事会或高级管理层。
报董(理)事会或高级管理层信息科技风险管理情况报告
中级
应建立信息科技风险管理考核指标,指标应包括信息科技开发、运行、和内控管理等信息科技风险管理相关内容。
信息科技风险管理考核指标
高级
应建立信息科技风险管理考核指标,指标从科技、风险、审计三道防线出发,建立全面的信息科技风险管理考核体系和指标。
信息科技风险管理考核制度
GO.09
信息科技治理组织结构合理有效
银行应当设置合理的信息科技治理组织结构,使科技决策、科技管理、风险、审计等定位明确。
初级
1.应设立信息科技管理委员会;
2.应设立部门负责信息科技管理工作;
3.应设立信息科技风险管理岗位负责信息科技风险管理工作;
4.应设立信息科技审计岗位负责信息科技审计工作。
组织架构图及说明
信息科技管理委员会工作职责说明
信息科技管理部门或岗位职责说明
信息科技风险管理岗位职责说明
信息科技审计岗位职责说明
中级
1.应设立首席信息官;
2.应设立独立的信息科技部门;
3.应在风险管理部门内设立信息科技风险管理岗位负责信息科技风险管理工作;
4.应在审计部门内设立信息科技审计岗位负责信息科技审计工作。
5.实行总、分行两级安全管理,成立总行计算机安全管理领导小组,明确了各级分支机构的安全责任。
首席信息官职责说明
信息科技管理部门和岗位职责说明
高级
1.应设立信息科技管理委员会,并确保充分履职。
2.应设立首席信息官,并确保充分履职;
3.应设立信息科技风险管理部门负责信息科技风险管理工作,并建立健全信息科技风险管理机制,确保信息科技风险部门能充分履职;
4.应设立信息科技审计部门负责信息科技审计工作,并建立健全信息科技审计机制,确保信息科技审计部门能充分履职;
5.建立完善计算机安全组织架构,在科技部门成立专门的信息安全管理部门。
首席信息官参与的重大会议纪要
信息科技风险管理部门年度工作计划
信息科技风险管理部门和岗位职责说明
信息科技审计部门和岗位职责说明
信息科技审计部门年度工作计划
GO.10
软件正版化
银行应按照知识产权相关法律法规,制定软件正版化策略和制度,使所有员工充分理解并遵照执行;确保购买和使用合法的软硬件产品,禁止侵权盗版。
初级
1.指定专人或部门,对银行内采购、安装、使用商业软件进行管理;
2.搜集安装软件的信息并统计;
3.制定软件正版化计划和相应管理办法。
软件正版化情况概要
软件正版化管理办法
中级
1.制定软件正版化策略和制度;
2.对员工进行软件正版化教育;
3.确保行内的所有商业软件的合法和有效性,加强对软件授权的管理,采取一定措施防止非法软件的安装。
软件正版化策略
软件正版化培训计划/记录
高级
1.建立软件授权和使用清单,对购买软件的生命周期进行有效管理;
2.建立对免费和开源软件的管理,所有软件授权经过法律部门审核;
3.采取强制性措施禁止非法软件或非授权软件的安装。
软件授权和使用控制表
法律部门对软件授权的审核记录
科技队伍建设
GO.11
配置足够信息科技人员
银行应当配备足够的信息科技人员,以支持银行业务的发展和信息系统运行。
1.根据《治理指导意见》(征求意见稿)第十八条,国有商业银行和股份制商业银行信息科技人员总数与员工总人数的比例原则上不低于2.5%,城市商业银行和其他地方法人机构这一比例原则上不低于3%,至少不得少于3人。
初级
1.银行应当配备足够的信息科技人员,以支持银行业务的发展和信息系统运行,信息科技人员至少不得少于3人;
2.应建立与业务相适应的信息科技管理部门。
人员统计表;信息科技管理部门职责说明;信息科技岗位职责说明;信息科技人员和岗位说明。
中级
1.应当配备足够的信息科技人员,以支持银行业务的发展和信息系统运行。
股份制商业银行、城市商业银行和省联社信息科技人员总数与员工总人数的比例原则上不低于3%;
2.应建立独立的信息科技部门,应至少设立软件开发、运行维护等内设部门。
人员统计表
信息科技管理部门职责说明
信息科技岗位职责说明
信息科技人员和岗位说明。
高级
应建立独立的信息科技部门,应将信息科技运行与系统开发、维护分离,确保信息科技部门内部的岗位制约,并确保信息科技部门能充分履职。
人员统计表
信息科技管理部门职责说明
信息科技岗位职责说明
信息科技人员和岗位说明
信息科技业务操作流程及岗位相互牵制、分离情况说明
GO.12
明确信息科技关键岗位
1.银行应当识别并明确信息科技关键岗位。
初级
应梳理本行的信息科技岗位,界定具体的关键岗位。
信息科技关键岗位列表
中级
制定对关键岗位的相关管理制度,包括对关键岗位设置AB角,并实施强制休假或岗位轮换制度。
关键岗位管理制度
信息科技关键岗位说明
信息科技关键岗位人员与岗位对照表
强制休假或岗位轮换实施记录
高级
1.建立关键岗位上岗和离职的管理流程,并严格执行,不相容岗位不得兼岗。
2.应评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。
3.制定信息科技关键岗位任职资格标准
关键岗位人员评估说明
信息科技关键岗位任职资格标准
GO.13
组织在岗人员定期参加信息安全培训
1.银行应当组织在岗人员定期参加信息安全培训,提升在岗人员的信息安全意识。
初级
应当组织相关人员参加信息安全培训,提升专业人员的信息安全技能和意识,每年至少一次组织在岗人员参加信息安全培训
信息安全培训记录(培训通知及签到单)
中级
1.每年根据各在岗人员岗位性质制定信息安全培训计划,确保覆盖所有在岗员工,形式可采用会议、通知、风险提示、考试、专题培训等,留存培训记录。
2.每年应制定培训计划对专业人员进行信息安全培训,提升专业人员的信息安全技能和意识。
信息安全教育和培训的年度计划
高级
1.应建立对员工进行信息安全培训的制度,形成信息安全教育和培训的常态化机制。
2.建立信息安全培训考试制度,将信息安全知识考试与相关员工上岗、竞聘、考核等挂钩,提升在岗人员的信息安全意识。
信息安全培训及考试制度
考核通知和结果通报
GO.14
信息科技人员稳定情况
银行应当保证信息科技人员的稳定。
1.根据《治理指导意见》(征求意见稿)第五十二条,商业银行应建立一套包括职位晋升、薪酬晋级在内的信息科技激励机制,激励机制应与信息科技运行效率、风险控制目标等相联系,保证科技队伍的稳定。
初级
对信息科技岗位进行标准化,运用岗位分析、岗位评价,设计合理的级别体系。
岗位职务说明书
中级
1.应建立一套信息科技激励机制,充分调动信息科技人员的积极性和创造性,激励机制应与信息科技系统建设、运行效率、风险控制目标等相联系,引导员工重视个人技能的增长,保证科技队伍的稳定;
2.应建立信息科技问责机制,对不履行职责或违反信息科技管理制度人员进行问责和惩处。
薪酬考核制度
信息科技激励制度
信息科技问责制度
高级
1.应建立一套完善的包括职位晋升、薪酬晋级在内的信息科技激励机制,充分调动信息科技人员的积极性和创造性,激励机制应与信息科技系统建设、运行效率、风险控制目标等相联系,保证科技队伍的稳定。
2.每年对信息科技人员补充、岗位调整情况进行分析,评估现有激励机制对科技队伍稳定的实际效果。
人员新增需求计划表
二、信息科技风险管理
初级要求:
1、在信息科技部门之外,设立或指派一个特定部门负责信息科技风险管理,并配备专职的信息科技风险管理人员。
在信息科技部门内至少指定一名专职人员负责内控和风险防范。
并要求具有与岗位相当的专业知识能力、一定的从业经验和良好的职业操守。
2、信息科技风险管理部门根据《指引》第十五条要求基本建立风险管理策略。
3、信息科技风险管理部门建立信息资产的分类分级标准,识别建立和维护信息资产清单,确定各类信息资产中的关键资产,锁定评估对象。
4、应当建立信息科技风险监测机制,确定监测范围、监测内容和频率。
5、信息科技队伍建设:
银行应当配备足够的信息科技人员,以支持银行业务的发展和信息系统运行。
并梳理本行的信息科技岗位,界定具体的关键岗位。
同时运用岗位分析、岗位评价等,设计合理的级别体系。
中级要求:
1、信息科技风险管理部门应建立完善的信息科技风险管理策略,并对其适用性进行评估、进行必要修订。
初步明确本行信息科技风险管理对象、内容、过程和方法,组织架构中各部门的职责及相互关系。
2、对重要信息资产建立风险评估制度。
对重要信息资产建立风险评估制度,在重要信息系统投产或变更时履行风险评估手续。
制定关键风险指标体系,运用关键指标建立对信息科技风险的定量计量和监测。
3、信息科技队伍建设:
应当配备足够的信息科技人员,以支持银行业务的发展和信息系统运行。
股份制商业银行、城市商业银行和省联社和这一比例原则上不低于3%;制定对关键岗位的相关管理制度。
根据信息科技人员特点,建立合理的职位晋升和薪酬考核机制,引导员工重视个人技能的增长。
高级要求:
1、信息科技风险管理人员应具备相应的从业资格,通过IT风险管理、信息安全等专业资格考试并获得相应证书
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 法人 银行业 金融机构 信息 科技 监管 达标 路线图 试行