银行业金融机构信息科技风险非现场监管报表

1、银行业金融机构信息科技风险非现场监管报表（征求意见稿）1目录第一部分年度报表 1I信息科技风险调查问卷 1Q-R-1 信息科技风险调查问卷 1II 基本情况报表 8T-B-1 信息科技治理基本情况表 8T-B-2 信息科技风险管理情况表 10T-B-3 信息科技内外部审计与评估基本情况表 12T-B-4 应急管理基本情况表 14T-B-5 信息科技项目基本情况表 15T-B-6 灾备基本情况表 16T-B-7 外包基本情况表 18T-B-8 各类中心基本情况表 19T-B-9 数据中心及灾备中心机房基本情况表 20T-B-10 重要信息系统统计表 21T-B-11 网络基本情况表 23T-B-

2、12 电子银行业务品种统计表 24T-B-13 电子银行业务量统计表 25第二部分季度报表 27T-B-14 重要信息系统运行基本情况报表 27T-B-15 组织机构、人员重大变动表 30第三部分报告 31R-R-1 信息化建设与信息科技风险管理年度报告 31附录参考定义 322填报须知一、本报表作为银监会信息科技风险监管体系的重要组成部 分及信息科技风险识别、 评估工作的基础和前提， 旨在全面收集 和监测银行业金融机构信息科技风险状况。二、本报表主要适用于在中华人民共和国境内依法设立的政 策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城 市商业银行、农村商业银行、农村合作银行、城市信

3、用社、农村 信用社、外资法人银行等银行业金融机构。三、本报表是为针对信息科技风险而设的专门报表，银行业 金融机构应当对所填报数据的真实性负责。四、本报表应由风险管理部门组织填报。五、本报表分为年度报表、季度报表和报告。年度报表统计 周期为12个月，即上一年 10月1日至本年度 9月30日，报送截止时 间为每年 10月 15日；季度报表报送时间为季后 10日内；报告报送 时间为自然年后 40日内。六、报表中未特别说明统计范围的，皆指全行范围。七、填报过程中，对于需要特别说明的项目或问题，请在备 注栏中描述具体情况。八、报送截止后，对于存在疑问的报表，监管人员可要求机 构提供详实材料予以核实或重报

4、；如有必要，将发起现场检查， 并以现场检查结果为准。九、本报表附有术语参考定义，填报过程中可供参考。1第一部分年度报表I信息科技风险调查问卷Q-R-1 信息科技风险调查问卷填报机构： 填报人： 责任人： 填报日期： 年 月 日编号 项目 填报说明 内容 单位 备注1. 信息科技风险管理Q0001 对信息科技制度进行定期 修订 以信息科技制度修订发文为准是否Q0002 对信息科技规划定期评估 并修改 若对信息科技规划定期评估并修 改，请回答是 是否 N/AQ0003 制定了关键岗位轮岗计划 并依照执行 以轮岗计划和记录（接替岗位后工 作至少一周）为准 是否 N/AQ0004 规定在职人员定期参加

5、信 息安全及保密培训 以相应人员参与的培训记录为准是否2. 审计 Q0005 依据制定的审计计划、方案 开展信息科技审计 以相应批文为准是否 N/AQ0006 信息科技审计报告抄送风 险管理部门 以提交给风险管理部门的审计报 告为准 是否 N/AQ0007 与外部审计机构签署保密 协议 若所有的外部审计活动均与外部 审计机构签署保密协议，请回答是 是否 N/AQ0008 信息科技内部审计覆盖的 比例N/AN/A请计算最近 12 个月信息科技内部 审计的分支机构数与分支机构数的比值%3. 重要信息系统Q0009 发生核心业务系统替换或 计划实施核心业务系统替 换若最近 12 个月发生核心系统的替

6、 换或未来 12个月计划实施，请回 答是是否 N/AQ0010 有多少家外部机构将系统 或设备交由本机构托管 如有其他机构（或银行）将其系统、 设备或业务处理交由本机构管理 （托管行为），请统计这些机构的 数量 个Q0011 交由外部机构托管的系统 数 请统计交由外部机构托管的系统 数 个Q0012 与本机构发生数据交换的 外联系统数量 请统计所有与本机构发生数据交 换的外联系统总数，以运行部门的 记录或外部接口文件（ EIF ）记录 为准 个2Q0013 生产环境中具有高耦合度 的信息系统数 若系统的耦合度高，单一系统出现 故障时会导致其他多个系统无法 正常运行，请分析和统计能导致此 类情况

7、的系统总数。以系统结构图 或内部逻辑接口文件（ ILF ）为准 个Q0014仍在使 用供应商已正式宣布停止支持的系统平台的 重要信息系统数 系统平台包括：操作系统、数据库、 中间件、服务器等 个Q0015 核心业务系统中相互逻辑 分离的数据库数 例如，对公业务使用的数据库和对 私业务使用的数据库是逻辑分离 的，其中一个数据库失效不会影响 另一个数据库的正常运行，就记作2 个相互逻辑分离的数据库个Q0016重要信息系统当前容量规 划可满足业务发展需求的 最少年数 以容量规划文档为准年4. 系统开发与测试Q0017 项目实施部门定期向信息 科技管理委员会提交重大 项目进度报告 以提交的进度报告为准

8、是否 N/AN/AQ0018 在重大项目各阶段均进行 风险评估，并向项目管理组 织沟通风险点，确定处置方 案 以各阶段风险评估报告记录为准是否Q0019 业务和系统需求等经业务 部门和科技部门共同确认 以需求、设计相关文档为准是否 N/AQ0020 将信息安全要求纳入系统 设计 以需求、设计相关文档为准。信息 安全要求主要包括数据安全、身份 验证、权限管理等内容 是否 N/AQ0021系统投产前，准生产验证环境的软件与生产环境相同 准生产验证环境的软件包括操作 系统、数据库、中间件、应用程序。 以生产验证环境和生产环境的配 置项清单为准是否 N/AQ0022 总行科技部门现行项目中， 有独立质

9、量保证人员参与 的项目总数 请统计目前分配有质量保证人员 的项目总数 个Q0023 完成用户验收测试的项目 数请统计最近 12 个月完成用户验收 测试的项目数 个Q0024 用户验收测试（ UAT ）前已 完成代码安全检查的项目 数请统计最近 12 个月上线的信息系 统在 UAT前已完成代码安全检查工 作的项目数 个5. 信息系统变更Q0025 建立变更的授权审批机制 对信息系统变更进行分级，针对不 同等级的信息系统变更明确相应 的审批管理程序。以相关变更授权 审批制度为准是否 N/A3 Q0026 所有涉及生产环境的变更， 变更前有回退和应急方案 在系统变更前，变 更申请部门制订回退和应急方

10、案。以相关方案文档 为准是否 N/A Q0027 涉及生产环境的变更由业务部门与科技部门共同审 批以审批流程文档和审批人员清单为准是否 N/AQ0028 所有涉及生产环境的变更 由独立人员进行复核 以相关规定以及复核人员清单为 准是否 N/AQ0029 所有变更都留有记录，并由 内部审计人员或信息安全 人员定期核查 以变更记录和审查记录为准是否 N/AQ0030 重要信息系统紧急变更数 请统计最近 12 个月内重要信息系 统紧急变更的次数。以系统运行部 门的记录为准 次Q0031 涉及生产环境的变更数 请统计最近 12 个月内涉及生产环 境的变更总数（包括各信息科技生 产部门的重要信息系统和非

11、重要 信息系统的变更）。以系统运行部 门的记录为准 次Q0032 未在测试环境中进行验证 的变更数 请统计最近 12 个月内未在测试环 境中进行验证的变更数，以验证记 录为准 次6. 信息系统运行N/AQ0033 系统运行、维护、开发人员 的岗位相互完全分离且不 存在兼岗 以岗位清单和岗位职责定义为准是否Q0034 为所有关键岗位配备规范、 准确的操作手册以指导运行人员操作 以操作手册为准是否 N/AQ0035 运行人员对生产系统的操 作由独立人员复核 若运行人员对生产系统的操作有 独立人员复合，请回答是 是否 N/AQ0036 运行人员对生产系统的任 何操作保留操作记录 以操作记录文档和记录方法说明 为准是否 N/AQ0037 对数据库均通过菜单、数据 流操作 若所有对数据库的操作均通过菜 单、数据流，而非直接操