法律法规知识点汇编(第十四期)目录※商业银行信息科技风险管理指引 (1)※商业银行业务连续性监管指引 (3)※银行业金融机构外包风险管理指引 (7)2014年9月24日商业银行信息科技风险管理指引※信息科技风险:是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
(第4条)多选题:信息科技风险,是指信息科技在商业银行运用过程中,由于下列哪些情形产生的操作、法律和声誉等风险?(ABCD)A.自然因素B.人为因素C.技术漏洞D.管理缺陷※信息科技风险管理的第一责任人:商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。
(第6条)判断题:商业银行董事会是信息科技风险管理的第一责任人。
(×)※信息科技风险管理策略:商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处置。
(第15条)多选题:商业银行应制定全面的信息科技风险管理策略,包括但不限于以下哪些领域?(ABCD)A.信息分级与保护B.信息科技运行和维护C.物理安全D. 业务连续性计划与应急处置※岗位制约:商业银行应将信息科技运行与系统开发和维护分离,确保信息科技部门部的岗位制约;对数据中心的岗位和职责做出明确规定。
(第41条)单选题:商业银行应将( A )分离,确保信息科技部门部的岗位制约;对数据中心的岗位和职责做出明确规定。
A. 信息科技运行与系统开发和维护B. 系统管理和网络C. 数据库管理系统和网络D. 硬件管理和软件管理※大规模系统开发的部门参与:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。
(第66条) 单选题:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和( A )参与,保证系统开发符合本银行信息科技风险管理标准。
A.部审计部B.财务部C.业务部D.监察部商业银行业务连续性监管指引※业务连续性管理定义:是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
(第2条)※重要业务运营中断事件:是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
(第4条)※业务连续性管理承担最终责任:董(理)事会是商业银行业务连续性生管理的决策机构,对业务连续性管理承担最终责任。
(第10条)※业务连续性管理的部门职责:商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。
业务条线部门负责风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复;信息科技部门负责信息技术应急响应与恢复。
(第14条)多选题:商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。
业务条线部门负责( ABCD ),负责业务条线重要业务应急响应与恢复。
A.风险评估B.业务影响分析C.确定重要业务恢复目标和策略D.负责重要业务应急响应与恢复※重要业务恢复时间:原则上,重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。
(第25条) 单选题:根据业务连续性管理要求,原则上重要业务恢复时间目标不得大于( A )。
A.4小时B.2小时C.1小时D.0.5小时※业务连续性计划演练频率:商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。
在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变化之前,也应当开展业务连续性计划的专项演练。
(第49条)单选题:商业银行应当至少每( D )对全部重要业务开展一次业务连续性计划演练。
A.半年B.一年C.二年D.三年※新产品开发的业务连续性管理:商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理畴。
对纳入业务连续性管理的,应当在上线前制定业务连续性计划并实施演练。
(第56条)单选题:商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理畴。
对纳入业务连续性管理的,应当在( A )制定业务连续性计划并实施演练。
A.上线前B.上线中C.上线后D.维护时※运营中断事件分级(节选):银监会及其派出机构对银行业运营中断事件进行分级。
当运营中断事件同时满足多个级别的定级条件时,按最高级别确定事件等级。
(一)特别重大运营中断事件(Ⅰ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失等特别严重损害的事件;2.在业务服务时段导致一个(含)以上省的多家金融机构业务无常开展达3个小时(含)以上的事件;3.在业务服务时段导致单家金融机构两个(含)以上省业务无常开展达3个小时(含)以上,或一个省业务无常开展达6个小时(含)以上的事件;4.业务服务时段以外,故障或事件救治未果、可能产生上述1至3类事件的事件。
(二)重大运营中断事件(Ⅱ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的事件;2.在业务服务时段导致一个(含)以上省的多家金融机构业务无常开展达半个小时(含)以上的事件;3.在业务服务时段导致单家金融机构两个(含)以上省业务无常开展达半个小时(含)以上,或一个省业务无常开展达3个小时(含)以上的事件;4.业务服务时段以外,故障或事件救治未果、可能产生上述1至3类事件的事件。
(三)较大运营中断事件(Ⅲ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的事件;2.在业务服务时段导致一个省(自治区、直辖市)业务无常开展达半个小时(含)以上的事件;3.业务服务时段以外,故障或事件救治未果、可能产生上述1至2类事件的事件。
(第79条)多选题:下列属于银行业特别重大运营中断事件(Ⅰ级)的是(ABCD )A.重要信息系统服务中断造成特别严重经济损失的。
B.在业务服务时段导致一个(含)以上省的多家金融机构业务无常开展达3个小时(含)以上的。
C.在业务服务时段导致单家金融机构两个以上省业务无常开展达3个小时(含)以上。
D.在业务服务时段导致单家金融机构一个省(自治区、直辖市)业务无常开展达6个小时(含)以上的事件。
※运营中断报告:按照属地监管原则,银监机构在商业银行运营中断事件发生后2小时,将事件及处置情况上报银监会处置工作小组。
(第80条)判断题:按照属地监管原则,银监机构在商业银行运营中断事件发生后2小时,应将事件及处置情况上报银监会处置工作小组。
(√)银行业金融机构外包风险管理指引※适用围:外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。
(第3条)单选题:《银行业金融机构外包风险管理指引》中的外包指银行业金融机构将原来由自身负责处理的某些业务活动委托给(B)进行持续处理的行为。
A. 服务制造商B. 服务提供商C. 服务销售商D. 服务维修商※外包活动的最终责任主体:银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。
(第4条)单选题:银行业金融机构的董事会和( C )应当承担外包活动的最终责任。
A.社员代表大会B.监事会C.高级管理层D.外包管理团队※关联关系调查:银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。
(第13条)。
单选题:银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行(D )的调查。
A.管理能力B.盈利能力C.技术实力D.关联关系※不宜外包的职能:银行业金融机构的战略管理、核心管理以及部审计等职能不宜外包。
(第7条)多选题:银行业金融机构下列哪些职能不宜外包(ABC )A.战略管理B.核心管理C.部审计D.绩效系统※外包服务提供商承诺事项:银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项:(一)定期通报外包活动的有关事项;(二)及时通报外包活动的突发性事件;(三)配合银行业金融机构接受银行业监督管理机构的检查;(四)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;(五)不得以银行业金融机构的名义开展活动;(六)银行业金融机构认为应当承诺的其他事项。
(第16条)多选题:银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项(ABCD)A. 定期通报外包活动的有关事项B. 配合银行业金融机构接受银行业监督管理机构的检查C. 保障客户信息的安全性D. 不得以银行业金融机构的名义开展活动※不得转包:银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。
(第18条)判断题:银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。
(√)。