商业银行监管评级定量和定性评价标准 下载本文

*100%

(5)考察核心业务系统交易成功率(定量)。

【核心业务系统交易成功率】=【核心业务系统生产交易成功笔数】/【核心业务系统生产交易总笔数】*100%

(6)考察重要信息系统监控覆盖率(定量)。

【重要信息系统监控覆盖率】=【实施应用级监控的重要信息系统数】/【重要信息系统总数】*100%

(七)业务连续性管理(12分) 1.业务连续性管理体系(7分)

(1)业务连续性管理组织架构是否健全;

(2)是否开展业务影响分析,并制定业务连续性计划;业务连续性演练及改进情况;应急处置工作情况。

评分原则:(1)是否建立日常业务连续性管理组织,是否制定业务连续性管理政策和制度,业务连续性管理组织职责是否清晰完善。

(2)业务连续性管理相关参与部门设置是否合理;业务连续性管理主管部门为信息科技部门,且业务连续性管理组织不包含主要业务部门的此项得分不超过2分。

(3)是否完成所有重要业务影响分析,明确业务恢复优先级和恢复目标;是否制定所有重要业务的业务连续性计划,相关资源建设是否到位;是否定期开展业务连续性演练,并评估改进,

是否对业务连续性管理工作进行审计;是否有健全的信息科技突发事件应急处置机制。

2.业务连续性管理日常运作效果(5分) (1)业务连续性资源建设是否与业务发展匹配; (2)重要信息系统灾备覆盖率。(定量)

评分原则:(1)考察信息科技基础设施是否满足当前及未来几年业务发展需要,数据中心、灾备中心建设是否符合相关监管要求;

(2)考察重要信息系统灾备覆盖率指标。

【重要信息系统灾备覆盖率】=【纳入同城/异地灾备、灾备级别为应用级/数据级且演练评估结果为真实接管生产的重要信息系统数】/【重要信息系统总数】*100%

(八)信息科技外包管理(10分) 1.外包管理组织架构和外包战略(2分)

是否建立清晰、合理的信息科技外包管理组织架构,是否制定外包战略。

评分原则:(1)考察是否建立清晰的外包管理组织架构;是否明确高管层、信息科技外包管理主管部门和执行部门的风险管理职责;信息科技外包风险管理部门和审计部门是否定期开展信息科技外包风险管理的评估和审计工作。

(2)是否制定与自身规模、市场地位相适应的外包战略;是否有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。

2.信息科技外包管理(4分)

(1)是否开展外包风险评估及外包服务商尽职调查。 (2)外包合同内容是否完整。 (3)外包服务监督与评价。

评分原则:(1)考察外包项目立项前是否进行风险评估;是否有合理的外包服务商准入标准;重要的服务提供商是否开展尽职调查。

(2)是否签订外包合同,外包合同内容是否包括对外包服务商的必要约束条款。

(3)是否对外包服务过程进行持续监控,对外包服务商进行评价,督促不断提升外包服务水平;是否建立恰当的应急预案,应对外包服务商可能出现的重大缺失。

3.跨境及非驻场外包管理(2分) (1)跨境外包风险管理。

(2)非驻场外包服务的风险管理机制建设及执行效果。 评分原则:(1)存在跨境外包服务的,考察外包过程中是否充分考虑跨境外包带来的国别风险,风险处置措施是否恰当。

(2)存在非驻场外包服务的,是否建立非驻场外包服务的内部控制及风险管理标准和机制,在信息安全、知识产权保护、质量监控、法律合规等方面是否有对服务提供商的风险管理要求。

4.重点外包服务机构管理(2分) (1)重点外包服务商的认定。 (2)对重点外包服务商的管理要求。

评分原则:(1)是否制定重点外包服务商认定标准,建立明确的重点外包服务商清单,是否对重点外包服务商的组织架构、服务管理体系、技术服务能力、资质等进行考察和跟踪。

(2)是否对重点外包服务商的风险管理、年度审计工作提出明确要求。

(九)信息科技监管重大关注事项 1.信息科技治理结构重大变化

出现信息科技管理组织架构、信息科技高管层和科技部门负责人异常调整、信息科技战略重大变动等情况,对商业银行产生不利影响的,视负面影响情况,每种扣3-5分。本指标最高扣10分。