银行业金融机构分支机构信息科技非现场监管报表.docx

银行业金融机构分支机构信息科技非现场监管报表.docx

《银行业金融机构分支机构信息科技非现场监管报表.docx》由会员分享，可在线阅读，更多相关《银行业金融机构分支机构信息科技非现场监管报表.docx（39页珍藏版）》请在冰豆网上搜索。

银行业金融机构分支机构信息科技非现场监管报表

银行业金融机构分支机构信息科技非现场监管报表

填报机构：

联系人：

联系方式：

第一部分年度报表

□报送空表

F-B-1信息科技差不多情形表

填报部门：

填报人：

联系：

责任人：

填表日期：

项目

内容

备注

信息科技治理职能

分管行领导姓名：

信息科技治理职能部门名称：

信息科技治理职能部门工作报告路线：

□总行直属□向分支机构主管领导报告□其他

部门负责人姓名：

手机号码：

信息科技正式职员数：

（人）

是否设立专职信息安全岗位：

〇是岗位人数（人）〇否

信息科技风险治理职能

是否明确信息科技风险治理职能（岗位）：

〇是职能部门（岗位）名称：

〇否

本机构信息科技风险治理职能部门（岗位）人数：

（人），其中具有IT专业背景的人数：

（人）

本年度是否已开展信息科技风险评估或安全检查：

〇已开展项目数量：

（个）〇未开展

信息科技风险评估或安全检查执行部门：

□总行风险治理职能部门□本机构风险治理职能部门

□总行信息科技治理职能部门□本机构信息科技治理职能部门

□其他：

信息科技内部审计职能

本年度是否已开展（或同意）信息科技内部审计：

〇已开展项目数量：

（个）〇未开展

本年度信息科技内部审计性质：

□信息科技全面审计□信息科技专项审计□综合性内部审计覆盖信息科技相关领域

本年度信息科技内部审计执行部门：

□总行内部审计部门□总行直属区域性审计部门

□本机构内部审计职能部门□其他

差不多情形

规模：

资产规模：

本年度：

（亿元）同比增减：

（％）

网点规模：

本年度：

（个）同比增减：

（％）

投入：

总投入：

本年度：

（万元）同比增减：

（％）

信息科技投入：

本年度：

（万元）同比增减：

（％）

信息科技投入占比：

本年度：

（％）同比增减：

（％）

人力：

全辖职员总数：

本年度：

（人）同比增减：

（％）

全辖信息科技职员数：

本年度：

（人）同比增减：

（％）

信息科技职员占比：

本年度：

（％）同比增减：

（％）

业务：

账户总数：

本年度：

（户）同比增减：

（％）

在行式ＡＴＭ：

本年度：

（台）同比增减：

（％）

离行式ＡＴＭ：

本年度：

（台）同比增减：

（％）

ＰＯＳ：

本年度：

（台）同比增减：

（％）

其中ＰＯＳ：

本年度：

（台）同比增减：

（％）

附件：

1、信息科技治理职能部门组织结构。

部门名称

职能隶属关系

序号

下设科室（岗位）名称

人数

职责描述（200汉字以内）

□总行直属

□分支机构内部专职部门

□隶属于分支机构其他部门

□其他

1

…

N

注：

分支机构可报送信息科技治理职能部门的组织结构图，但需至少包含上述表格中的差不多信息。

2、本年度已完成的信息科技内部审计报告。

3、本年度已完成的信息科技风险评估或信息安全检查报告

F-B-1填报说明

【信息科技治理职能】是指分支机构信息科技治理组织、人员等差不多情形。

【信息科技治理职能部门工作报告路线】是指信息科技治理职能部门的要紧工作报告路线。

【信息安全岗位】信息安全岗位是指分支机构信息科技治理职能部门内设专职负责信息安全治理、信息安全检查等岗位。

以分支机构人力资源部门岗位职责定义为准。

【具有IT专业背景】是指具有3年以上信息科技专职工作经历，或具有本科以上信息技术、通信相关专业学历，或1年以上信息科技治理进修（培训）脱产学习经历。

【信息科技风险治理职能】是指分支机构信息科技风险治理组织和工作执行情形。

【是否明确信息科技风险治理职能（岗位）】是指分支机构明确有独立于信息科技部门的信息科技风险治理职能部门（岗位）。

【本年度是否已开展信息科技风险评估或安全检查】是指分支机构本年度已完成信息科技风险评估、信息安全检查、渗透性测试的情形。

以相关报告是否已公布或是否已报送上级机构作为风险评估工作是否完成的判定标准。

【信息科技风险评估或安全检查执行部门】是指组织实施信息科技风险评估、信息安全检查或渗透性测试的部门。

【本年度已完成的信息科技风险评估或信息安全检查报告】是指分支机构本年度内已完成信息科技风险评估、信息安全评测等项目并出具正式评估报告，应将相关评估报告以附件形式向监管机构报送。

【信息科技内部审计职能】是指分支机构信息科技内部审计组织和工作执行情形。

【总行直属区域性审计部门】是指隶属于总行或相关职能部门，并负责对某地理区域内多家一级分支机构实施内部审计的总行部门。

【信息科技全面审计】是指由内部审计职能部门实施的覆盖信息科技各项活动的审计，包括但不限于《商业银行信息科技风险治理指引》中各专业领域。

【信息科技专项内部审计】是指内部审计职能部门实施的针对信息科技特定领域的审计。

例如：

信息科技外包风险审计。

【综合性内部审计覆盖信息科技相关领域】是指内部审计职能部门实施的涉及信息科技工作的综合性审计过程中，审计内容涉及信息科技相关领域。

【本年度是否已开展（或同意）信息科技内部审计】是指本机构自行组织实施信息科技内部审计，或同意总行或内审职能部门的审计。

以内审报告公布与否作为内审项目是否完成的判定标准。

【本年度已完成的信息科技内部审计报告】是指分支机构本年度内已完成信息科技内部审计项目并出具正式审计报告，应将审计报告以附件形式向监管机构报送。

【资产规模】是指分支机构全辖拥有或者操纵的现有总资产额或者固定资产额。

此项数据以向银监会分支机构非现场监管信息系统报送数据为准。

【网点规模】是指分支机构下设经营性网点总数。

以持有金融许可证为统计依据。

【总投入】是指分支机构全辖为全年的经营活动、投资活动和筹资活动投入的自筹或上级行划拨资金。

其中：

1、经营活动投入资金要紧包括：

支付的利息/手续费及佣金、支付给职工以及为职工支付的资金、支付的各项税费、支付的租金及物业治理费、购买存货等其他与经营活动相关的资金；

2、投资活动投入资金要紧包括：

购建固定资产、无形资产和其他资产支付的资金、增加在建工程所支付的资金等；

3、筹资活动投入的资金要紧包括：

支付债券的利息等。

运算公式：

总投入＝经营活动投入＋投资活动投入＋筹资活动投入。

【信息科技投入】是指分支机构为全年的各类信息科技经营治理活动、项目建设等投入的自筹或总行划拨资金。

运算公式：

信息科技投入＝基础设施投入＋电子设备采购投入＋软件采购投入＋系统开发项目投入＋系统运营费用＋信息科技人力资源费用＋研究咨询项目费用+其他信息科技投入。

【全辖职员总数】是指分支机构全辖职员总人数，含正式和非正式职员总数。

以分支机构人力资源部门的统计口径和数据为准。

【正式职员】是指按照国家劳动合同法规定，与机构建立劳动关系，并订立劳动合同（合同期限在一年以上）的职员。

【非正式职员】是相对正式职员而言，非正式职员未与机构直截了当签订正式劳动合同或确定正式的劳动关系。

非正式职员一样包括临时工、兼职人员、专门聘用人员与顾问人员等，但不包括外包人员。

运算公式：

全辖职员总数=正式职员总数+非正式职员总数。

【全辖正式科技职员数】是指分支机构全辖范畴内承担信息科技岗位职责的正式职员总数。

以分支机构人力资源部门的统计口径和数据为准。

【信息科技职员占比】是指本机构全辖信息科技正式职员在全体职员中的比重。

运算公式：

信息科技职员占比＝信息科技正式职员数/分支机构全辖职员总数×100％。

【账户总数】统计分支机构辖内开办的公司账户、个人银行账户总数。

【公司账户】特指除已销户账户外的所有以企业身份办理的账户总数。

【个人账户】特指除已销户账户外的所有以个人身份办理的账户总数。

运算公式：

账户总数＝公司账户数+个人账户数。

【离行式ＡＴＭ】特指布放在银行网点之外的自动存款、取款、或存取款一体ATM设备。

【在行式ＡＴＭ】特指布放在银行网点之内的自动存款、取款、或存取款一体ATM设备。

【ＰＯＳ】即销售终端（Ｐｏｉｎｔ　ｏｆ　Ｓａｌｅ）是一种多功能终端，安装在银行卡或信用卡的特约商户和受理网点中与运算机联成网络，就能实现电子资金自动转帐，它具有支持消费、预授权、余额查询和转帐等功能（本项统计POS总量，含POS在内）。

【ＰＯＳ】是指具有刷卡（ＰＯＳ）功能的、手机设备，用户可利用此类设备完成各种如转账还款、账单缴费等银行柜面业务。

□报送空表

F-B-2各类机房情形表

填报部门：

填报人：

联系：

责任人：

填表日期：

序号

项目

内容

备注

1

差不多情形

机房类型：

○生产机房○同城灾备机房○异地灾备机房

地址：

投产日期：

年月日

主机房面积：

（平米）

设计等级：

○A类○B类○C类○其他

年检内容：

□安防系统通过年检：

○是○否

□消防系统通过年检：

○是○否

□其他

运维情形：

○自主运维○部格外包○整体外包

供电情形

双路市电接入：

○是○否

双路市电来自不同变电所：

○是○否

发电机/发电车：

□自有发电机□自有发电车□租用发电机□租用发电车□未配备

发电机启动时刻：

（秒）

发电机油料储备可用时刻：

（小时）

UPS电池满载可用时刻：

（小时）

UPS系统容量设计：

（KVA）

UPS实际负载峰值：

（KVA）

UPS配置模式：

○存在单点○不存在单点

空调

类型：

□周密空调□一般空调□其他

空调配置模式：

○有冗余○没有冗余

门禁

是否配备24小时安保人员：

○是○否

安保人员所属部门：

门禁设备是否配备：

○是○否门禁记录储存时刻：

（月）

门禁类型：

□IC卡□指纹□虹膜□其他

监控

监控记录储存时刻：

（月）

监控范畴：

□温度□湿度□防水□防磁□防雷□防鼠□消防□安防□空调□UPS□发电机

□配电□机房门禁□逃生通道□其他

报警方式：

□声音□高亮□短信□邮件□□其他

消防

灭火剂类型：

□水□二氧化碳□七氟丙烷□烟烙尽□其他

机房其他情形

是否具备防水措施：

○是○否

是否具备防雷设施：

○是○否

是否具备电磁屏蔽：

○是○否

人工巡检频度：

（次/天）

……

F-B-2填报说明

【机房类型】生产机房：

指分支机构用于放置生产系统服务器、前置机、网络通信设备以及其他用于支持营运的设备，用来对分支机构辖区内的业务、客户和治理等信息进行储备、处理和爱护的场所；

灾备机房：

指分支机构为保证业务连续性，用来接替生产机房运行或者存放生产机房数据备份介质的机房；

同城灾备机房：

指与生产机房位于同一地理区域的灾备机房，一样距离数十公里，可防范火灾、建筑物破坏、电力或通信系统中断等事件；

异地灾备机房：

指与生产机房位于不同地理区域的灾备机房，一样距离数百公里，可不能同时面临同类区域性灾难风险，如地震、台风和洪水等。

【主机房面积】机房的主体部分，用来放置服务器、网络设备的功能区。

【设计等级】参见《电子信息系统机房设计规范》（GB50174-2008）。

【年检】指具有专业资质的单位对待检测系统的各项指标、性能进行的检测。

如有其他年检系统，请在【其他】处填写年检系统名称以及是否通过年检。

【发电机/发电车】自有：

指发电机/发电车的所有权归机构。

租用：

指发电机/发电车的所有权不归机构，机构向其他单位租用发电机/发电车，包括发电机由机构所在办公楼物业提供的情形。

未配备：

指发电机和发电车均未配备的情形。

【发电机启动时刻】指发电机手动或自动启动至正常运行的时刻。

【UPS实际负载峰值】指UPS运行时实际负载的最大值。

【UPS配置模式】存在单点：

指存在部分重要信息系统仅由UPS单机、单总线等方式供电的情形。

不存在单点：

指不存在重要信息系统仅由单机、单总线等方式供电的情形。

【门禁】指对中心机房出入口、通道进行电子管控的设备。

操纵方式要紧包括IC卡、密码锁、指纹、虹膜、掌纹、面部特点识别等方式。

【门禁记录储存时刻】指门禁系统实际储存进出记录的最短时刻。

【监控记录储存时刻】指监控设备实际储存监控记录的最短时刻。

【报警方式】指机房内监控监测到专门时的响应方式，包括声音提示、高亮显示、短信通知、邮件通知、通知等。

【灭火剂类型】参见《电子信息系统机房设计规范》（GB50174-2008）。

【电磁屏蔽】指用导电材料减少交变电磁场向指定区域的穿透。

【人工巡检频度】指工作人员每日对机房进行日常巡检的平均次数。

□报送空表

F-B-3信息系统治理情形表

填报部门：

填报人：

联系：

责任人：

填表日期：

项目

内容

备注

重要信息系统情形

序号

系统名称

系统类型

采纳的高可用技术

系统的软硬件情形

本年度因故障导致停机或切换备机次数、时长

本年度打算内停机或切换备机次数

备注

1

○总行重要信息系统在分行的延伸

○分行独立运维的重要特色业务系统

○双机热备

○双机冷备

○负载均衡

○存在单点

○其它

服务器品牌型号

操作系统名称及版本

数据库名称及版本

次

小时

次

…

变更治理

制度制定：

□总行统一制定□本机构自行制定□未制定

审批流程：

变更过程：

□事先制定操作方案□事先制定回退方案□事先备份

□储存操作记录□变更后签字确认□其它

复核方式：

□无复核或安全审查□业务部门复核验证□风险治理部门复核审查

□信息安全人员安全审查□内审部门对生产变更记录定期审计□其它

总行发起的对分支机构生产运行有阻碍的变更次数：

次，其中紧急变更次数：

次

本分行发起的重要信息系统变更次数：

次，其中，紧急变更：

次

系统变更：

次

数据变更：

次

事件治理

制度制定：

□总行统一制定□本机构自行制定□未制定

生产事件分级描述（必要时提交附件）：

服务要求事件是否登记：

○是○否

生产事件是否登记：

○是○否

生产事件上报路线：

值班人员配备情形：

○配备，7x24小时，○配备，非7x24小时，○未配备

工作时刻值班人数：

非工作时刻值班人数：

值班人员有无非正式人员：

○有○没有

是否外包：

○是○否

是否专职：

○是○否

本年度分行信息系统发生的告警或通知事件总数：

次

问题治理机制：

○未建立○已建立,简述方式：

操作治理

科技运维岗配备的资料：

□设备及系统的运维操作手册

□设备及系统的应急处理手册

□服务对象及技术支持的通讯录

运行文档治理：

□建立运维文档生命周期治理流程

□配备文档治理员岗位

□运行操作文档经体会丰富的开发和运维人员共同审核后正式公布，运行操作文档成为运维人员培训的要紧内容

□建立文档变更流程保持运行操作文档与生产系统同步更新

□重要信息系统与运行操作文档保持一对一关系

备份治理

制度制定：

□总行制定□分支机构制定□未制定

备份介质存放：

□机房建筑内□同城网点□异地

重要信息系统备份策略

序号

系统名称

备份频度

备份介质类型

存放环境

储存时刻

备份数据可用性验证

1

□磁带

□光盘

□磁盘

□其他

□一般储柜

□保险箱

□其他

月

○未验证过

○不定期

○定期

频度：

次/年

…

本年度在真实生产环境中进行数据复原的次数：

次

网络设备配置信息的备份覆盖率：

%

网络设备配置信息备份方式：

备份频度：

次/年

开发治理

分行是否有开发职责：

○是○否

开发模式：

○部格外包○全部外包○不外包

开发人员独立性：

○与运行人员职责分离○未与运行人员职责分离

开发环境与生产环境独立：

○物理隔离○逻辑隔离○未隔离

数据和信息治理

系统治理员密码治理：

□一次性密码令牌□密码信封□双人分段保管□密码治理系统

□定期修改□其他措施：

系统操作员密码治理：

□一事一申请□一次性密码令牌□定期修改□密码系统生成

其他措施：

数据使用人员密码治理和权限治理：

　　　　　　　□指定部门统一治理

__________________________行业金融机□定期强制修改□人员变动、离职后注销

□存在多人共享账号密码现象

□其他措施：

是否具备生产数据提取使用和销毁流程：

○是○否

概要描述分支机构本地系统储存了哪些客户敏锐信息：

客户敏锐信息治理：

分行ＡＴＭ机具是否留存有客户账号或密码等敏锐信息：

○是，客户敏锐信息储备位置：

客户敏锐信息储备方式：

□明文储备□部分信息加密储备□全部加密储备

○否

分行电子渠道前置机是否在本地留存有客户账号或密码等敏锐信息：

○是，客户敏锐信息储备位置：

客户敏锐信息储备方式：

□明文储备□部分信息加密储备□全部加密储备

○否

本地特色业务系统是否在本地留存有客户账号或密码等敏锐信息：

○是，客户账号或密码等敏锐信息储备位置：

客户敏锐信息储备方式：

□明文储备□部分信息加密储备

□全部加密储备

客户敏锐信息可接触人员：

□前台操作人员□系统运维人员

□系统治理员□其他：

○否

运算机报废后储备介质是否销毁：

○否○自行销毁，销毁方式：

○由外部机构销毁，机构名称：

人员变动时办公用运算机磁盘信息是否清理：

○是○否

储备介质保修爱护时是否承诺爱护人员带出行外：

○是○否

对移动储备设备采取技术操纵手段：

分行是否配备消磁机：

○是○否

F-B-3填报说明

【重要信息系统】包括：

1总行定义的重要信息系统在分行的延伸，如前置机等；2由分支机构负责运行爱护的重要特色系统，不包括部署在总行的重要信息系统。

【高可用技术】指确保信息系统能够正常发挥其应有功能的能力，免受事件、变更、例行爱护等因素阻碍的技术，如：

虚拟化、集群、负载均衡、双机热备、双机冷备、硬件冗余等技术。

【变更】指任何可能阻碍信息科技服务连续运行的信息系统变动事件。

【变更治理】变更治理的要紧目标是完成有益的变更，同时最小化对IT服务的中断。

变更治理的范畴包括所有的信息科技服务、配置项、流程、文档等，负责操纵所有变更的生命周期的流程。

【紧急变更】指必须尽快引入的变更。

通常需建立特定的流程来处理紧急变更。

【系统变更】指对信息系统软硬件和参数、网络设施和机房基础设施的变更。

【数据变更】指对数据库或数据文件内容进行的变更。

【事件】事件通常表示任何信息科技服务、配置项或监视工具产生的告警或通知，指对信息科技服务治理或配置项有重大意义的状态变化。

事件通常需要运行人员介入并采取行动。

【事件治理】负责治理事件生命周期的流程。

事件治理是IT运营的要紧活动之一。

【生产事件】指由生产系统引发的问题导致告警或通知等事件。

【服务要求】指功能方面的问题或要求，包括状态查询、口令重置、数据库提取等要求。

【生产用户】指需要登录生产环境或者在生产系统中进行读和/或写操作的用户。

【数据备份策略】指包括数据类型、备份周期（含定期备份（日、周、月）和非定期备份（如变更前备份））、备份内容等。

【备份频度】备份频度指对生产数据进行一次完整可复原备份的最小周期。

【备份介质及数据的可用性验证】备份介质及数据的可用性验证指验证备份介质上的数据是否可用、准确，验证方法包括在测试环境中把备份数据复原至系统中，检查复原是否成功，内容是否正确等。

【开发人员】指进行信息系统开发和测试的科技人员，包括正式行员与外包人员。

【运行人员】指对信息系统进行运行状态的监控、每日批量处理等工作的技术人员。

【系统治理员】指治理爱护操作系统、应用系统、数据库系统和网络系统等信息系统的科技人员。

【客户敏锐信息】是指涉及客户身份、账户和交易的信息。

【数据使用人员】指分支机构业务部门或科技部门中能够批量访问客户信息、交易信息等生产数据的职员。

【储备介质销毁】指销毁运算机中的储备介质，如对硬盘进行粉碎等。

□报送空表

F-B-4业务连续性情形表

填报部门：

填报人：

联系：

责任人：

填表日期：

项目

内容

备注

应急与业务连续性的差不多情形

业务连续性制度制定：

□总行制定□分支机构□未制定

业务连续性组织架构：

○未建立○已建立，包含部门：

业务连续性牵头部门：

信息科技应急处置组织架构：

○未建立○已建立，包含部门：

应急预案的制定与演练情形

序号

应急预案名称

本年度应急演练次数

最后一次应急演练日期

演练结果及发觉的问题

是否储存演练记录

1

…

突发事件分级治理情形

突发事件分级

○未建立

○已建立

序号

突发事件内部级别名称

划分标准

本年度发生次数

1

…

F-B-4填报说明

【业务连续性制度制定】如总行与分支机构分别制定了业务连续性制度，复选总行制定和分支机构制定选项。

【应急预案名称】按现有的应急预案逐项列出，包括分支机构执行总行的应急预案及分支机构自行制定的应急预案。

【演练结果及发觉的问题】简要描述该预案最后一次应急演练结果、发觉的要紧问题及处理情形。

【突发事件】是指重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的，阻碍业务连续开展，需要釆取应急处置措施应对的事件。

【突发事件分级】指机构对突发事件依照其阻碍范畴、连续时刻及所阻碍业务的性质等因素所进行的分级。

各机构可在遵循监管要求情形下依照机构自身治理要求进行分级标准的制定和突发事件分级治理。

突发事件内部级别名称依据机构制定的内部分级制度，按照级别逐级列出。

【划分标准】指机构制定的突发事件分级具体划分标准。

【本年度发生次数】统计本年度该级别突发事件发生次数。

□报送空表

F-B-5网络治理情形表

填报部门:

填报人:

联系:

责任人:

填表日期:

项目

内容

备注

网络安全域划分

序号

名称

用途

可访问哪些网络域

可被哪些网络域访问

隔离措施

远程接入

1

□防火墙

□入侵检测系统（IDS）

□入侵防备系统（IPS）

□访问操纵列表（ACL）

□虚拟局域网（VLAN）

□其他　　　　

□不承诺

□互联网

□VPN

□无线网络

□拨入

□其他　　　　

……

网络边界操纵

安全边界

操纵措施

生产网与办公网边界

□物理隔离　□异构防火墙□热备防火墙□单防火墙□入侵检测系统（IDS）□入侵防备系统（IPS）□访问操纵列表（ACL）□恶意代码过滤□其他

生产网与外联网边界

□物理隔离　□异构防火墙□热备防火墙□单防火墙□入侵检测系统（IDS）□入侵防备系统（IPS）□访问操纵列表（ACL）□恶意代码过滤□其他

办公网与互联网边界

□物理隔离　□异构防火墙□热