考点7:监管要求
(一)信息科技治理
1. 信息科技治理组织结构
(1)明确董事会、高管层的信息科技治理职责;信息科技发展战略须经董事会审批,年度信息科技工作决议须经董事会会议形成。
(2)建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度须涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域;建立完善的信息科技管理制度体系。
(3)明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置合理;
设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作;确立信息科技问责机制、重大信息科技事项决策机制和信息科技风险通报机制等;建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)以正式制度(文件)明确信息科技治理作为重要组成部分纳入公司治理;制定信息科技治理运作效果考核指标并定期进行评价;建立信息科技风险损失评估和处置机制,由风险管理部门评估信息科技风险并计提信息科技风险拨备。
2. 信息科技对业务发展的专业支持和匹配度
(1)建立明确、可实施的信息科技发展战略;定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平匹配。
(3)具有信息科技管理经验的高管人员在董事会、决策层具有一定的占比;设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官具有一定的信息科技专业背景或从业经验。
(4)信息科技预算占银行年度预算的比例符合业务、信息科技发展要求。
(二)信息科技风险管理
1. 信息科技风险管理体系
(1)将信息科技风险纳入全面风险管理,明确风险管理部门统一负责信息科技风险管理。
(2)建立完善的信息科技风险管理组织架构;风险管理部门中配备一定数量专职信息科技风险管理人员,信息科技风险管理人员应具备相关专业背景和技能。
(3)建立信息科技风险管理策略和管理制度,信息科技风险管理制度应完善,覆盖全面。
【判断题】应将信息科技风险纳入全面风险管理,明确风险管理部门统一负责信息科技风险管理。
A.正确 B.错误
答案:A
解析:按规定,应将信息科技风险纳入全面风险管理,明确风险管理部门统一负责信息科技风险管理。
2. 信息科技风险管理日常运作
(1)风险管理部门科技风险管理岗有效开展相关工作或对科技风险管理效果明显;建立信息科技风险识别、风险分析、风险处置等工作机制;信息科技风险评级和风险分析工作中应开展业务影响分析,进行风险级别划分,并有风险级别划分标准。
(2)建立信息科技风险监测关键风险点指标,风险监测指标应定期评审、改进,风险监测结果应向有关部门及高管层报告。
(3)信息科技风险评估流程和方法应完善,风险识别和检测机制常态化。
(4)建立信息科技风险损失评估及处置机制。
(三)信息安全管理
1. 信息安全管理体系
(1)建立合理的信息安全管理组织架构及制度体系。
(2)信息安全管理体系完整,信息安全管理策略覆盖全面。
(3)电子银行信息安全管理体系完整。
2. 信息安全管理执行力
(1)信息安全管理组织架构无重大缺陷,信息安全管理制度定期评价并修订完善;信息安全管理各项措施严格落实,执行过程中无重大缺陷;定期开展信息安全评估,评估全面;定期对互联网交易系统开展安全评估。
(2)建立信息安全违规问责制度,并根据当年发生的信息安全事件情况进行问责;按计划开展信息安全检查。
(四)信息系统开发及测试
1. 信息科技项目管理体系
(1)建立规范的项目管理组织、制度和流程,明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评价等职责;为项目团队提供充足的人力资源配备,建立有效的激励机制;具备项目创新能力。
(2)有规范化的信息科技项目生命周期管理流程,包括需求分析、设计、开发或外购、测试、试运行、部署、维护和退出等环节,系统开发方法与信息科技项目的规模、性质和复杂度相匹配。
2. 项目管理过程中的风险控制
(1)信息科技风险管控涵盖信息科技项目生命周期各重要环节。
(2)建立必要的安全隔离措施。
(3)业务部门应全程参与信息系统开发及测试的全过程;已完成开发和测试环境的程序或系统配置变更应用到生产系统前应经业务部门批准。
(五)信息科技运行及维护
1. 信息科技运行及维护管理体系
(1)有规范的信息科技运行及维护管理流程,并制定 详尽的信息科技运行操作说明。
(2)信息科技运行及维护管理流程应涵盖事件管理、 问题管理、容量管理、变更管理、服务水平管理、可用性管理等。
(3)信息科技运行及维护管理体系应定期评价并修订。
2. 信息科技运行维护运作
(1)采用信息化管理平台等措施提高运行与维护管理 效率,完善运行与维护管理流程。
(2)信息科技内部有岗位制约机制。
(3)有容量规划,核心网络、重要信息系统、数据库 性能和容量设置恰当,性能和容量变更机制合理。
(4)重点关注重要信息系统服务可用率、重点核心业务系统交易成功率和重要信息系统监控覆盖率等定量指标。
(六)业务连续性管理
1. 业务连续性管理体系
(1)建立日常业务连续性管理组织,制定业务连续性管理政策和制度,业务连续性组织架构健全,职责清晰完善。
(2)业务连续性管理相关参与部门设置合理。
(3)完成所有重要业务影响分析;明确业务恢复优先级和恢复目标;制订所有重要业务的业务连续性计划,相关资源建设到位;定期开展业务连续性演练,并评估改进,对业务连续性管理工作进行审计;有健全的信息科技突发事件应急处置机制。
2. 业务连续性管理日常运作效果
(1)信息科技基础设施满足当前及未来几年业务发展需要,数据中心、灾备中心建设符合相关监管要求。
(2)重点关注重要信息系统灾备覆盖率指标。
(七)信息科技外包管理
1. 外包管理组织架构和外包战略
(1)建立清晰、合理的外包管理组织架构;明确高 管层、信息科技外包管理主管部门和执行部门的风险管理职责;信息科技外包风险管理部门和审计部门定期开展信息科技外包风险管理的评估和审计工作。
(2)制定与自身规模、市场地位相适应的外包战略;有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
2. 信息科技外包管理
(1)外包项目立项前进行风险评估;外包供应商评价标准、流程、准入机制完善,有合理的外包服务商准入标准;对重要的服务提供商开展尽职调查。
(2)签订外包合同,外包合同内容包括对外包服务商的必要约束条款。
(3)对外包服务过程进行持续监控,对外包服务商进行评价,督促不断提升外包服务水平;定期对外包项目、重要外包商进行风险评估,定期对重要外包商进行现场检查或参与外包联合检查;建立恰当、完善的应急预案,应对外包服务商可能出现的重大缺失。
3. 跨境及非驻场外包管理
(1)存在跨境外包服务的,外包过程中应充分考虑跨境外包带来的国别风险,风险处置措施恰当。
(2)存在非驻场外包服务的,应建立非驻场外包服务的内部控制及风险管理标准和机制,在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。
4. 重点外包服务机构管理
(1)制定重点外包服务商认定标准,建立明确的重点外包服务商清单,对重点外包服务商的组织架构、服务管理体系、技术服务能力、资质等进行考察和跟踪。
(2)对重点外包服务商的风险管理、年度审计工作提出明确要求。
(八)信息科技审计
1. 信息科技风险监督体系
(1)建立合理的信息科技审计体系,将信息科技审计 工作纳入内部审计部门工作范畴。
(2)信息科技内审工作应保持独立性,汇报路线合理。
2. 信息科技内外部审计
(1)近三年信息科技审计覆盖率。
(2)近两年信息科技内(外)审整改率。
(3)近两年内(外)审工作中信息科技专项审计占比。
(九)重大监管关注事项
信息科技监管人员可依据商业银行信息科技治理结构重大变化、重要信息重大突发事件、涉及信息科技的案件情况、现场检查发现重大风险隐患等监管关注事项,对照信息科技管理的监管要求进行调整。
试题来源:[银行从业2019年银行从业《银行管理(中级)》考试题库 】 |
一级建造师二级建造师消防工程师造价工程师土建职称公路检测工程师建筑八大员注册建筑师二级造价师监理工程师咨询工程师房地产估价师 城乡规划师结构工程师岩土工程师安全工程师设备监理师环境影响评价土地登记代理公路造价师公路监理师化工工程师暖通工程师给排水工程师计量工程师
执业药师执业医师卫生资格考试卫生高级职称护士资格证初级护师主管护师住院医师临床执业医师临床助理医师中医执业医师中医助理医师中西医医师中西医助理口腔执业医师口腔助理医师公共卫生医师公卫助理医师实践技能内科主治医师外科主治医师中医内科主治儿科主治医师妇产科医师西药士/师中药士/师临床检验技师临床医学理论中医理论