发布时间 : 星期日 文章商业银行信息科技监管评级定量和定性标准更新完毕开始阅读113b948d940590c69ec3d5bbfd0a79563c1ed417
(六)信息科技运行及维护(15分) 1.信息科技运行及维护管理体系(8分) 是否建立信息科技运行维护管理体系。
评分原则:(1)考察是否有规范的信息科技运行及维护管理流程,并制定详尽的信息科技运行操作说明。
(2)信息科技运行及维护管理流程是否涵盖事件管理、问题管理、容量管理、变更管理、服务水平管理、可用性管理等。
(3)信息科技运行及维护管理体系是否定期评价并修订完善。
2.信息科技运行维护运作(7分)
信息科技运行及维护管理各流程运作是否规范。
评分原则:(1)是否采用信息化管理平台等措施提高运行与维护管理效率,完善运行与维护管理流程。
(2)信息科技内部是否有岗位制约机制,如信息科技运行与系统开发和维护的分离等。
(3)是否有容量规划,重要信息系统性能和容量设置是否恰当,性能和容量变更机制是否合理。
(4)考察重要信息系统服务可用率(定量)。
【重要信息系统服务可用率】=【计划提供服务总时间-计划停止服务时间-非计划停止服务时间】/【计划提供服务总时间】
*100%
(5)考察核心业务系统交易成功率(定量)。
【核心业务系统交易成功率】=【核心业务系统生产交易成功笔数】/【核心业务系统生产交易总笔数】*100%
(6)考察重要信息系统监控覆盖率(定量)。
【重要信息系统监控覆盖率】=【实施应用级监控的重要信息系统数】/【重要信息系统总数】*100%
(七)业务连续性管理(12分) 1.业务连续性管理体系(7分)
(1)业务连续性管理组织架构是否健全;
(2)是否开展业务影响分析,并制定业务连续性计划;业务连续性演练及改进情况;应急处置工作情况。
评分原则:(1)是否建立日常业务连续性管理组织,是否制定业务连续性管理政策和制度,业务连续性管理组织职责是否清晰完善。
(2)业务连续性管理相关参与部门设置是否合理;业务连续性管理主管部门为信息科技部门,且业务连续性管理组织不包含主要业务部门的此项得分不超过2分。
(3)是否完成所有重要业务影响分析,明确业务恢复优先级和恢复目标;是否制定所有重要业务的业务连续性计划,相关资源建设是否到位;是否定期开展业务连续性演练,并评估改进,
是否对业务连续性管理工作进行审计;是否有健全的信息科技突发事件应急处置机制。
2.业务连续性管理日常运作效果(5分) (1)业务连续性资源建设是否与业务发展匹配; (2)重要信息系统灾备覆盖率。(定量)
评分原则:(1)考察信息科技基础设施是否满足当前及未来几年业务发展需要,数据中心、灾备中心建设是否符合相关监管要求;
(2)考察重要信息系统灾备覆盖率指标。
【重要信息系统灾备覆盖率】=【纳入同城/异地灾备、灾备级别为应用级/数据级且演练评估结果为真实接管生产的重要信息系统数】/【重要信息系统总数】*100%
(八)信息科技外包管理(10分) 1.外包管理组织架构和外包战略(2分)
是否建立清晰、合理的信息科技外包管理组织架构,是否制定外包战略。
评分原则:(1)考察是否建立清晰的外包管理组织架构;是否明确高管层、信息科技外包管理主管部门和执行部门的风险管理职责;信息科技外包风险管理部门和审计部门是否定期开展信息科技外包风险管理的评估和审计工作。
(2)是否制定与自身规模、市场地位相适应的外包战略;是否有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
2.信息科技外包管理(4分)
(1)是否开展外包风险评估及外包服务商尽职调查。 (2)外包合同内容是否完整。 (3)外包服务监督与评价。
评分原则:(1)考察外包项目立项前是否进行风险评估;是否有合理的外包服务商准入标准;重要的服务提供商是否开展尽职调查。
(2)是否签订外包合同,外包合同内容是否包括对外包服务商的必要约束条款。
(3)是否对外包服务过程进行持续监控,对外包服务商进行评价,督促不断提升外包服务水平;是否建立恰当的应急预案,应对外包服务商可能出现的重大缺失。
3.跨境及非驻场外包管理(2分) (1)跨境外包风险管理。
(2)非驻场外包服务的风险管理机制建设及执行效果。 评分原则:(1)存在跨境外包服务的,考察外包过程中是否充分考虑跨境外包带来的国别风险,风险处置措施是否恰当。