-`信息科技风险（Information Technology Risk ）（一）信息科技治理（15 分）1.信息科技治理组织架构（ 8 分）（1）能否确定董事会、高管层信息科技管理职责。

（2）能否成立完美的信息科技管理制度系统。

（3）能否成立完美合规的信息科技“三道防线”以及信息科技三道防线的实质运作。

（4）能否明确信息科技治理作为重要构成部分归入企业治理。

评分原则：（1）观察董事会、高管层的信息科技治理职责能否完好，信息科技发展战略不经董事会审批，或许今年内董事会会议不形成年度信息科技工作决策的此项最高得分 4 分。

（2）观察能否成立信息科技管理制度的草拟、公布、订正等工作流程，信息科技管理制度能否涵盖系统开发、项目管理、系统运转、信息安全、外担保理、业务连续性等领域。

（3）观察能否明确信息科技管理、信息科技风险管理和信息科技风险监察的“三道防线”职责，“三道防线”部门设置能否合规；能否建立信息科技管理委员会，成员来自高管层、信息科技部门和主要业务部门，并按期向高管层报告工作。

（4）观察商业银行能否以正式制度（文件）明确信息科技治理应作为重要构成部分归入企业治理；能否拟订了信息科技治理运作成效查核指标并按期进行评论。

2. 信息科技对业务发展的专业支持和般配度（7 分）（1）信息科技战略与业务发展战略的般配度。

（2）信息科技人员、信息科技投入等与业务发展的般配度（定量）。

（3）董事会、高管层等决策人员能否具备足够的信息科技专业知识能力。

评分原则：（1）观察能否成立明确、可实行的信息科技发展战略；能否认期评论信息科技战略规划实行成效，成立信息科技战略与业务战略的协调一致体制。

（2）观察信息科技人员数目、信息科技人员占比、信息科技投入占比与商业银行发展水平能否般配，低于同质同类商业银行均匀值的此项酌情扣分；观察商业银行信息系统建设与业务发展的支撑与般配程度。

（3）观察拥有信息科技管理经验的高管人员在董事会、决策层能否拥有必定的占比；能否建立首席信息官，直接向行长报告，并参加重要决策，首席信息官能否拥有必定的信息科技专业背景或从业经验。

（二）信息科技风险管理（12 分）1.信息科技风险管理系统（ 6 分）（1）能否将信息科技风险归入全面风险管理系统，成立完美的信息科技风险管理组织架构。

（2）能否成立信息科技风险管理策略和管理制度。

评分原则：（1）观察能否将信息科技风险归入全面风险管理，明确风险管理部门一致负责信息科技风险管理。

信息科技风险管理职责仍在信息科技部门的此项得分不超出 3 分。

（2）观察风险管理部门中能否装备必定数目专职信息科技风险管理人员，信息科技风险管理人员能否具备有关专业背景和技术。

（3）观察能否成立信息科技风险管理策略和管理制度，管理制度能否完美，覆盖能否全面。

2.信息科技风险管理平时运作（ 6 分）（1）信息科技风险评估流程和方法能否完美。

（2）能否成立常态化的风险辨别和监测体制。

（3）信息科技风险评估结果能否获得合理运用。

评分原则：（ 1）观察能否成立信息科技风险辨别、风险剖析、风险处理等工作体制；信息科技风险评级微风险剖析工作中能否展开业务影响剖析工作，能否进行风险级别区分，并有风险级别区分标准。

（2）能否成立信息科技风险监测要点风险点指标，风险监测指标能否认期评审、改良，风险监测结果能否向有关部门及高管层报告等。

（3）能否成立信息科技风险损失评估及处理体制。

（三）信息科技审计（10 分）1.信息科技风险监察系统（ 4 分）能否成立信息科技审计系统，以及信息科技审计系统的合理性。

评分原则：（1）商业银行能否将信息科技审计工作归入内部审计部门工作范围；商业银行内部审计制度能否归入信息科技审计有关内容，包含审计依照、标准和方法等内容；能否认期展开信息科技审计活动；发生信息科技重要突发事件时，内审部门是否介入检查；能否对信息科技重要项目实行财务审计。

（2）观察信息科技内审工作独立性和报告路线的合理性。

2.信息科技内外面审计（ 6 分）（1）信息科技审计覆盖率。

（定量）（2）信息科技审计整顿率。

（定量）（3）信息科技专项审计占比。

（定量）评分原则：（1）观察近三年信息科技审计覆盖率，包含信息科技内外审一级分支机构覆盖率及重要信息系统覆盖率。

【一级分支机构覆盖率】=【已展开全面信息科技审计的一级分支机构数】 / 【一级分支机构总数】*100%【重要信息系统覆盖率】=【已展开信息科技审计的数据中心、重要信息系统、重要项目数】 / 【数据中心、重要信息系统、重要项目总数】 *100%（2）观察近两年信息科技内（外）审整顿率。

【信息科技内（外）审整顿率】 =【信息科技内（外）审报告中发现问题已达成整顿的问题数目】/ 【信息科技内（外）审报告中发现问题的总和】 *100%（3）观察近两年内（外）审工作中信息科技专项审计占比。

【信息科技专项审计占比】 =【信息科技专项审计次数】 /【所有审计次数】*100%（四）信息安全管理（14 分）1.信息安全管理系统（ 8 分）（1）能否成立信息安全管理系统。

（2）信息安全管理系统的完好性。

（3）电子银行信息安全管理系统的完好性。

评分原则：（1）观察能否成立合理的信息安全管理组织架构及制度系统。

（2）观察信息安全管理系统能否完好，安全保障举措能否完美。

物理安全：中心计房及要点地区能否有环境监测、巡检、报警等安全防控举措，环境监测覆盖范围能否齐备等。

网络安全：能否拟订完美的网络安全接见控制策略，能否认期进行网络安全破绽扫描，能否有齐备的网络界限策略等。

数据安全：能否有重要或敏感数据的定义标准和接见控制策略，能否拟订数据备份和恢复策略，能否有生产数据提取、使用、销毁等环节的安全防备举措。

终端安全：能否有终端安全防控举措，桌面终端能否安装病毒防备及防火墙软件，病毒库能否认期更新，桌面终端挪动介质使用管理，设备管理，行为审计等。

接见控制：能否成立物理和逻辑接见控制策略；中心计房等重要地区门禁系统认证方式及出入接见安全控制策略能否合理；重要信息系统逻辑接见控制策略能否完美，包含权限管理、密码策略等。

(3)电子银行信息安全管理系统的完好性：电子银行系统是否认期展开浸透性测试；能否有客户端安全防控举措；能否有强制双要素身份认证；能否有客户敏感信息防备举措等。

2.信息安全管理履行力（ 6 分）信息安全管理规定履行状况；当年发生的信息安全事件状况。

评分原则：（ 1）信息安全管理组织架构能否存在重要缺点，信息安全管理制度能否认期评论并订正完美；信息安全管理各项举措能否严格落实，履行过程中能否存在重要缺点。

（2）当年发生的信息安全事情状况，事件发生次数可与同质同类机构均匀值比较，并依据事件的负面影响程度进行酌情扣分。

（五）信息系统开发及测试（12 分）1.信息科技项目管理系统（ 6 分）能否有完美的信息科技项目管理组织和信息系统开发测试管理制度；能否有规范化的信息科技项目生命周期管理流程。

评分原则：（1）观察能否成立了规范的项目管理组织、制度和流程，明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评论等职责；项目管理组织架构严重缺失的此项最高2分。

（2）观察信息科技项目生命周期管理流程能否包含需求分析、设计、开发或外购、测试、试运转、部署、保护和退出等环节，系统开发方法能否与信息科技项目的规模、性质和复杂度相般配。

2.项目管理过程中的风险控制（ 6 分）（1）信息科技项目生命周期各重要环节能否展开风险管控。

（2）信息科技项目要点环节的风险管控状况。

评分原则：（1）观察信息科技风险管控能否涵盖信息科技项目生命周期各重要环节，如需求剖析阶段能否有业务部门提出明确的风险控制要求，能否有应急恢复目标、灾害恢复目标、数据管理目标等要求，信息科技审计人员或信息安全人员能否参加项目阶段评审，风险管理组织能否展开阶段风险评估等。

（2）能否成立必需的安全隔绝举措，包含生产系统与开发系统、测试系统的有效隔绝，生产系统与开发系统、测试系统的管理职能相分别，应用程序开发和保护人员未经同意不行进入生产系统等。

（3）观察业务部门在信息系统开发及测试各阶段的参加度。

业务部门能否参加需求剖析、测试、项目各阶段质量评审、用户查收测试、项目后评论等；已达成开发和测试环境的程序或系统配置更改应用到生产系统前能否经业务部门同意。

（4）观察重要信息系统源代码控制率（定量）。

【重要信息系统源代码控制率】 =【机构拥有所有源代码且具备后续自主保护开发能力、外面机构人员未经受权不可以接见系统源代码进行功能定制扩展的重要信息系统数】 / 【重要信息系统总数】 *100%（六）信息科技运转及保护（15 分）1. 信息科技运转及保护管理系统（8 分）能否成立信息科技运转保护管理系统。

评分原则：（1）观察能否有规范的信息科技运转及保护管理流程，并拟订详细的信息科技运转操作说明。

（2）信息科技运转及保护管理流程能否涵盖事件管理、问题管理、容量管理、更改管理、服务水平管理、可用性管理等。

（3）信息科技运转及保护管理系统能否认期评论并订正完善。

2.信息科技运转保护运作（ 7 分）信息科技运转及保护管理各流程运作能否规范。

评分原则：（1）能否采纳信息化管理平台等举措提高运转与保护管理效率，完美运转与保护管理流程。

（2）信息科技内部能否有岗位限制体制，如信息科技运转与系统开发和保护的分别等。

（3）能否有容量规划，重要信息系统性能和容量设置能否适合，性能和容量更改体制能否合理。

（4）观察重要信息系统服务可用率（定量）。

【重要信息系统服务可用率】=【计划供给服务总时间- 计划停止服务时间 - 非计划停止服务时间】/ 【计划供给服务总时间】*100%（5）观察中心业务系统交易成功率（定量）。

【中心业务系统交易成功率】=【中心业务系统生产交易成功笔数】 / 【中心业务系统生产交易总笔数】*100%（6）观察重要信息系统监控覆盖率（定量）。

【重要信息系统监控覆盖率】 =【实行应用级监控的重要信息系统数】 / 【重要信息系统总数】 *100%（七）业务连续性管理（12 分）1.业务连续性管理系统（ 7 分）（1）业务连续性管理组织架构能否健全；（2）能否展开业务影响剖析，并拟订业务连续性计划；业务连续性操练及改良状况；应急处理工作状况。

评分原则：（1）能否成立平时业务连续性管理组织，能否拟订业务连续性管理政策和制度，业务连续性管理组织职责能否清楚完美。

（2）业务连续性管理有关参加部门设置能否合理；业务连续性管理主管部门为信息科技部门，且业务连续性管理组织不包含主要业务部门的此项得分不超出 2 分。

（3）能否达成所有重要业务影响剖析，明确业务恢复优先级和恢复目标；能否拟订所有重要业务的业务连续性计划，有关资源建设能否到位；能否认期展开业务连续性操练，并评估改良，能否对业务连续性管理工作进行审计；能否有健全的信息科技突发事件应急处理体制。