银行业金融机构信息科技风险非现场监管报表.doc

银行业金融机构信息科技风险非现场监管报表（征求意见稿）1目 录第一部分年度报表.1I信息科技风险调查问卷.1Q-R-1 信息科技风险调查问卷.1II基本情况报表.8T-B-1 信息科技治理基本情况表.8T-B-2 信息科技风险管理情况表.10T-B-3 信息科技内外部审计与评估基本情况表.12T-B-4 应急管理基本情况表.14T-B-5 信息科技项目基本情况表.15T-B-6 灾备基本情况表.16T-B-7 外包基本情况表.18T-B-8 各类中心基本情况表.19T-B-9 数据中心及灾备中心机房基本情况表.20T-B-10 重要信息系统统计表.21T-B-11 网络基本情况表.23T-B-12 电子银行业务品种统计表.24T-B-13 电子银行业务量统计表.25第二部分季度报表.27T-B-14 重要信息系统运行基本情况报表.27T-B-15 组织机构、人员重大变动表.30第三部分报告.31R-R-1 信息化建设与信息科技风险管理年度报告.31附录参考定义.322填报须知一、本报表作为银监会信息科技风险监管体系的重要组成部分及信息科技风险识别、评估工作的基础和前提，旨在全面收集和监测银行业金融机构信息科技风险状况。二、本报表主要适用于在中华人民共和国境内依法设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、城市信用社、农村信用社、外资法人银行等银行业金融机构。三、本报表是为针对信息科技风险而设的专门报表，银行业金融机构应当对所填报数据的真实性负责。四、本报表应由风险管理部门组织填报。五、本报表分为年度报表、季度报表和报告。年度报表统计周期为12个月，即上一年10月1日至本年度9月30日，报送截止时间为每年10月15日；季度报表报送时间为季后10日内；报告报送时间为自然年后40日内。六、报表中未特别说明统计范围的，皆指全行范围。七、填报过程中，对于需要特别说明的项目或问题，请在备注栏中描述具体情况。八、报送截止后，对于存在疑问的报表，监管人员可要求机构提供详实材料予以核实或重报；如有必要，将发起现场检查，并以现场检查结果为准。九、本报表附有术语参考定义，填报过程中可供参考。1第一部分年度报表I信息科技风险调查问卷Q-R-1 信息科技风险调查问卷填报机构： 填报人： 责任人： 填报日期： 年 月 日编号 项目 填报说明 内容 单位 备注1.信息科技风险管理Q0001对信息科技制度进行定期修订以信息科技制度修订发文为准是否 N/AQ0002对信息科技规划定期评估并修改若对信息科技规划定期评估并修改，请回答是是否 N/AQ0003制定了关键岗位轮岗计划并依照执行以轮岗计划和记录（接替岗位后工作至少一周）为准是否 N/AQ0004规定在职人员定期参加信息安全及保密培训以相应人员参与的培训记录为准是否 N/A2.审计Q0005依据制定的审计计划、方案开展信息科技审计以相应批文为准是否 N/AQ0006信息科技审计报告抄送风险管理部门以提交给风险管理部门的审计报告为准是否 N/AQ0007与外部审计机构签署保密协议若所有的外部审计活动均与外部审计机构签署保密协议，请回答是是否 N/AQ0008信息科技内部审计覆盖的比例请计算最近12个月信息科技内部审计的分支机构数与分支机构数的比值%3.重要信息系统Q0009发生核心业务系统替换或计划实施核心业务系统替换若最近 12 个月发生核心系统的替换或未来12个月计划实施，请回答是是否 N/AQ0010有多少家外部机构将系统或设备交由本机构托管如有其他机构（或银行）将其系统、设备或业务处理交由本机构管理（托管行为），请统计这些机构的数量个Q0011 交由外部机构托管的系统数请统计交由外部机构托管的系统数个Q0012与本机构发生数据交换的外联系统数量请统计所有与本机构发生数据交换的外联系统总数，以运行部门的记录或外部接口文件（EIF）记录为准个2Q0013生产环境中具有高耦合度的信息系统数若系统的耦合度高，单一系统出现故障时会导致其他多个系统无法正常运行，请分析和统计能导致此类情况的系统总数。以系统结构图或内部逻辑接口文件（ILF）为准个Q0014仍在使_用供应商已正式宣布停止支持的系统平台的重要信息系统数系统平台包括：操作系统、数据库、中间件、服务器等个Q0015核心业务系统中相互逻辑分离的数据库数例如，对公业务使用的数据库和对私业务使用的数据库是逻辑分离的，其中一个数据库失效不会影响另一个数据库的正常运行，就记作2 个相互逻辑分离的数据库个Q0016重要信息系统当前容量规划可满足业务发展需求的最少年数以容量规划文档为准年4.系统开发与测试Q0017项目实施部门定期向信息科技管理委员会提交重大项目进度报告以提交的进度报告为准是否 N/AQ0018在重大项目各阶段均进行风险评估，并向项目管理组织沟通风险点，确定处置方案以各阶段风险评估报告记录为准是否 N/AQ0019业务和系统需求等经业务部门和科技部门共同确认以需求、设计相关文档为准是否 N/AQ0020将信息安全要求纳入系统设计以需求、设计相关文档为准。信息安全要求主要包括数据安全、身份验证、权限管理等内容是否 N/AQ0021系统投产前，准生产验证环境的软件与生产环境相同准生产验证环境的软件包括操作系统、数据库、中间件、应用程序。以生产验证环境和生产环境的配置项清单为准是否 N/AQ0022总行科技部门现行项目中，有独立质量保证人员参与的项目总数请统计目前分配有质量保证人员的项目总数个Q0023完成用户验收测试的项目数请统计最近12个月完成用户验收测试的项目数个Q0024用户验收测试（UAT）前已完成代码安全检查的项目数请统计最近12个月上线的信息系统在UAT前已完成代码安全检查工作的项目数个5.信息系统变更Q0025 建立变更的授权审批机制对信息系统变更进行分级，针对不同等级的信息系统变更明确相应的审批管理程序。以相关变更授权审批制度为准是否 N/A3Q0026所有涉及生产环境的变更，变更前有回退和应急方案在系统变更前，变_更申请部门制订回退和应急方案。以相关方案文档为准是否 N/AQ0027涉及生产环境的变更由业务部门与科技部门共同审批以审批流程文档和审批人员清单为准是否 N/AQ0028所有涉及生产环境的变更由独立人员进行复核以相关规定以及复核人员清单为准是否 N/AQ0029所有变更都留有记录，并由内部审计人员或信息安全人员定期核查以变更记录和审查记录为准是否 N/AQ0030 重要信息系统紧急变更数请统计最近12个月内重要信息系统紧急变更的次数。以系统运行部门的记录为准次Q0031 涉及生产环境的变更数请统计最近12个月内涉及生产环境的变更总数（包括各信息科技生产部门的重要信息系统和非重要信息系统的变更）。以系统运行部门的记录为准次Q0032未在测试环境中进行验证的变更数请统计最近12个月内未在测试环境中进行验证的变更数，以验证记录为准次6.信息系统运行Q0033系统运行、维护、开发人员的岗位相互完全分离且不存在兼岗以岗位清单和岗位职责定义为准是否 N/AQ0034为所有关键岗位配备规范、准确的操作手册以指导运行人员操作以操作手册为准是否 N/AQ0035运行人员对生产系统的操作由独立人员复核若运行人员对生产系统的操作有独立人员复合，请回答是是否 N/AQ0036运行人员对生产系统的任何操作保留操作记录以操作记录文档和记录方法说明为准是否 N/AQ0037对数据库均通过菜单、数据流操作若所有对数据库的操作均通过菜单、数据流，而非