[
]银行业金融机构分支机构信息科技非现场监管报表
银行业金融机构分支机构信息科技
非现场监管报表
填报机构:
联 系 人:
联系方式:
目 录
第一部分 年度报表 ........................ 4 F-B-1 信息科技基本情况表 ............................. 4 F-B-1 填报说明 ....................................... 6 F-B-2 各类机房情况表 ................................. 9 F-B-2 填报说明 ...................................... 11 F-B-3 信息系统管理情况表 ............................ 13 F-B-3 填报说明 ...................................... 18 F-B-4 业务连续性情况表 .............................. 20 F-B-4 填报说明 ...................................... 21 F-B-5 网络管理情况表 ................................ 22 F-B-5 填报说明 ...................................... 24 F-B-6 外包管理情况表 ................................ 25 F-B-6 填报说明 ...................................... 26
第二部分 实时报表 ....................... 28 F-A-1 信息科技组织、人员重大变动报告表 .............. 28 F-A-1 填报说明 ...................................... 28 F-A-2 信息科技重大突发事件报告表 .................... 29 F-A-2 填报说明 ...................................... 30 F-A-3 重大投产及变更报告表 .......................... 31 F-A-3 填报说明 ...................................... 32 F-A-4 信息科技内外部审计情况报告表 .................. 33 F-A-4 填报说明 ...................................... 34
第三部分 年度报告 ....................... 35 F-R-1 信息科技年度报告 .............................. 35 F-R-1 填报说明 ...................................... 36
银行业金融机构分支机构信息科技非现场监管报表填报须知37
第一部分 年度报表
? 报送空表
F-B-1 信息科技基本情况表
填报部门: 填报人: 联系电话: 责任人: 填表日期:
项目 内容 备注
分管行领导姓名:
信息科技管理职能部门名称:
信息科技管理职能部门工作报告路线:?总行直属 ?向分支机构主管领导报告 ?其他 信息科技管理职能 部门负责人姓名: 手机号码:
信息科技正式员工数: ,人,
是否设立专职信息安全岗位:〇是 岗位人数 ,人, 〇否
是否明确信息科技风险管理职能,岗位,:〇是 职能部门,岗位,名称: 〇否
本机构信息科技风险管理职能部门,岗位,人数: ,人,~其中具有IT专业背景的人数: ,人,
信息科技风险管理职本年度是否已开展信息科技风险评估或安全检查:〇已开展 项目数量: ,个, 〇未开展 能 信息科技风险评估或安全检查执行部门:?总行风险管理职能部门 ?本机构风险管理职能部门
?总行信息科技管理职能部门 ?本机构信息科技管理职能部门
?其他:
本年度是否已开展,或接受,信息科技内部审计:〇已开展 项目数量: ,个, 〇未开展
本年度信息科技内部审计性质:?信息科技全面审计 ?信息科技专项审计 ?综合性内部审计覆盖信息科技相信息科技内部审计职关领域 能 本年度信息科技内部审计执行部门:?总行内部审计部门 ?总行直属区域性审计部门
?本机构内部审计职能部门 ?其他
规模:
资产规模:本年度: ,亿元, 同比增减: ,,, 网点规模:本年度: ,个, 同比增减: ,,, 投入:
总投入: 本年度: ,万元, 同比增减: ,,, 信息科技投入:本年度: ,万元, 同比增减: ,,,
信息科技投入占比:本年度: ,,, 同比增减: ,,, 人力:
基本情况 全辖员工总数:本年度: ,人, 同比增减: ,,,
全辖信息科技员工数:本年度: ,人, 同比增减: ,,,
信息科技员工占比:本年度: ,,, 同比增减: ,,, 业务:
账户总数:本年度: ,户, 同比增减: ,,, 在行式,,,:本年度: ,台, 同比增减: ,,, 离行式,,,:本年度: ,台, 同比增减: ,,, ,,,:本年度: ,台, 同比增减: ,,,
其中 电话,,,:本年度: ,台, 同比增减: ,,,
附件:
1、信息科技管理职能部门组织结构。
部门名称 职能隶属关系 序号 下设科室,岗位,名称 人数 职责描述,200汉字以内,
?总行直属 1
?分支机构内部专职部…
门
?隶属于分支机构其他N 部门
?其他
注:分支机构可报送信息科技管理职能部门的组织结构图~但需至少包含上述表格中的基本信息。
2、本年度已完成的信息科技内部审计报告。
3、本年度已完成的信息科技风险评估或信息安全检查报告
F-B-1 填报说明
【信息科技管理职能】是指分支机构信息科技管理组织、人员等基本情况。
【信息科技管理职能部门工作报告路线】是指信息科技管理职能部门的主要工作报告路线。
【信息安全岗位】信息安全岗位是指分支机构信息科技管理职能部门内设专职负责信息安全管理、信息安全检查等岗位。以分支机构人力资源部门岗位职责定义为准。
【具有IT专业背景】是指具有3年以上信息科技专职工作经历~或具有本科以上信息技术、通信相关专业学历~或1年以上信息科技管理进修,培训,脱产学习经历。
【信息科技风险管理职能】是指分支机构信息科技风险管理组织和工作执行情况。
【是否明确信息科技风险管理职能,岗位,】是指分支机构明确有独立于信息科技部门的信息科技风险管理职能部门,岗位,。
【本年度是否已开展信息科技风险评估或安全检查】是指分支机构本年度已完成信息科技风险评估、信息安全检查、渗透性测试的情况。以相关报告是否已发布或是否已报送上级机构作为风险评估工作是否完成的判断
。
【信息科技风险评估或安全检查执行部门】是指组织实施信息科技风险评估、信息安全检查或渗透性测试的部门。
【本年度已完成的信息科技风险评估或信息安全检查报告】是指分支机构本年度内已完成信息科技风险评估、信息安全评测等项目并出具正式评估报告~应将相关评估报告以附件形式向监管机构报送。
【信息科技内部审计职能】是指分支机构信息科技内部审计组织和工作执行情况。
【总行直属区域性审计部门】是指隶属于总行或相关职能部门~并负责对某地理区域内多家一级分支机构实施内部审计的总行部门。
【信息科技全面审计】是指由内部审计职能部门实施的覆盖信息科技各项活动的审计~包括但不限于《商业银行信息科技风险管理指引》中各专业领域。
【信息科技专项内部审计】是指内部审计职能部门实施的针对信息科技特定领域的审计。例如:信息科技外包风险审计。
【综合性内部审计覆盖信息科技相关领域】是指内部审计职能部门实施的涉及信息科技工作的综合性审计过程中~审计内容涉及信息科技相关领域。
【本年度是否已开展,或接受,信息科技内部审计】是指本机构自行组织实施信息科技内部审计~或接受总行或内审职能部门的审计。以内审报告发布与否作为内审项目是否完成的判断标准。
【本年度已完成的信息科技内部审计报告】是指分支机构本年度内已完成信息科技内部审计项目并出具正式审计报告~应将审计报告以附件形式向监管机构报送。
【资产规模】是指分支机构全辖拥有或者控制的现有总资产额或者固定资产额。此项数据以向银监会分支机构非现场监管信息系统报送数据为准。
【网点规模】是指分支机构下设经营性网点总数。以持有金融许可证为统计依据。
【总投入】是指分支机构全辖为全年的经营活动、投资活动和筹资活动投入的自筹或上级行划拨资金。其中:
1、经营活动投入资金主要包括:支付的利息/手续费及佣金、支付给职工以及为职工支付的资金、支付的各项税费、支付的租金及物业管理费、购买存货等其他与经营活动相关的资金,
2、投资活动投入资金主要包括:购建固定资产、无形资产和其他资产支付的资金、增加在建工程所支付的资金等,
3、筹资活动投入的资金主要包括:支付债券的利息等。计算公式:总投入,经营活动投入,投资活动投入,筹资活动投入。
【信息科技投入】是指分支机构为全年的各类信息科技经营管理活动、项目建设等投入的自筹或总行划拨资金。计算公式:信息科技投入,基础设
施投入,电子设备采购投入,软件采购投入,系统开发项目投入,系统运营费用,信息科技人力资源费用,研究咨询项目费用+其他信息科技投入。
【全辖员工总数】是指分支机构全辖员工总人数~含正式和非正式员工总数。以分支机构人力资源部门的统计口径和数据为准。【正式员工】是指按照国家劳动
法规定~与机构建立劳动关系~并订立劳动合同,合同期限在一年以上,的员工。【非正式员工】是相对正式员工而言~非正式员工未与机构直接签订正式劳动合同或确定正式的劳动关系。非正式员工一般包括临时工、兼职人员、特别聘用人员与顾问人员等~但不包括外包人员。计算公式:全辖员工总数=正式员工总数+非正式员工总数。
【全辖正式科技员工数】是指分支机构全辖范围内承担信息科技岗位职责的正式员工总数。以分支机构人力资源部门的统计口径和数据为准。
【信息科技员工占比】是指本机构全辖信息科技正式员工在全体员工中的比重。计算公式:信息科技员工占比,信息科技正式员工数/分支机构全辖员工总数×100,。
【账户总数】统计分支机构辖内开办的公司账户、个人银行账户总数。【公司账户】特指除已销户账户外的所有以企业身份办理的账户总数。【个人账户】特指除已销户账户外的所有以个人身份办理的账户总数。计算公式:账户总数,公司账户数+个人账户数。
【离行式,,,】特指布放在银行网点之外的自动存款、取款、或存取款一体ATM设备。
【在行式,,,】特指布放在银行网点之内的自动存款、取款、或存取款一体ATM设备。
【,,,】即销售终端,,,,,, ,, ,,,,,是一种多功能终端~安装在银行卡或信用卡的特约商户和受理网点中与计算机联成网络~就能实现电子资金自动转帐~它具有支持消费、预授权、余额查询和转帐等功能,本项统计POS总量~含电话POS在内,。
【电话,,,】是指具有刷卡,,,,,功能的电话、手机设备~用户可利用此类设备完成各种如转账还款、账单缴费等银行柜面业务。
?报送空表
F-B-2 各类机房情况表
填报部门: 填报人: 联系电话: 责任人: 填表日期:
序号 项目 内容 备注 机房类型: ?生产机房 ?同城灾备机房 ?异地灾备机房 地 址: 投产日期: 年 月 日
主机房面积: ,平米,
设计等级: ?A类 ?B类 ?C类 ?其他 基本情况
年检内容: ?安防系统 通过年检: ?是 ?否
?消防系统 通过年检: ?是 ?否
?其他
运维情况: ?自主运维 ?部分外包 ?整体外包 1
双路市电接入: ?是 ?否
双路市电来自不同变电所:?是 ?否
发电机/发电车: ?自有发电机 ?自有发电车 ?租用发电机 ?租用发电车 ?未配备 发电机启动时间: ,秒, 供电情况
发电机油料储备可用时间: ,小时,
UPS电池满载可用时间: ,小时,
UPS系统容量设计: ,KVA,
UPS实际负载峰值: ,KVA,
UPS配臵模式: ?存在单点 ?不存在单点
类 型: ?精密空调 ?普通空调 ?其他 空调
空调配臵模式: ?有冗余 ?没有冗余
是否配备24小时安保人员:?是 ?否
安保人员所属部门:
门禁 门禁设备是否配备: ?是 ?否 门禁记录保存时间: ,月, 门禁类型: ?IC卡 ?指纹 ?虹膜 ?其他
监控记录保存时间: ,月,
监控范围: ?温度 ?湿度 ?防水 ?防磁 ?防雷 ?防鼠 ?消防 ?安防 ?空调 ?UPS ?发电机 监控 ?配电 ?机房门禁 ?逃生通道 ?其他 报警方式: ?声音 ?高亮 ?短信 ?邮件 ?电话 ?其他
消防 灭火剂类型:?水 ?二氧化碳 ?七氟丙烷 ?烟烙尽 ?其他
是否具备防水措施: ?是 ?否
是否具备防雷设施: ?是 ?否 机房其他情况 是否具备电磁屏蔽: ?是 ?否
人工巡检频度: ,次/天,
……
F-B-2 填报说明
【机房类型】生产机房:指分支机构用于放臵生产系统服务器、前臵机、网络通信设备以及其他用于支持营运的设备~用来对分支机构辖区内的业
务、客户和管理等信息进行存储、处理和维护的场所,
灾备机房:指分支机构为保障业务连续性~用来接替生产机房运行或者存放生产机房数据备份介质的机房, 同城灾备机房:指与生产机房位于同一地理区域的灾备机房~一般距离数十公里~可防范火灾、建筑物破坏、电力或通信系统中断等事件,
异地灾备机房:指与生产机房位于不同地理区域的灾备机房~一般距离数百公里~不会同时面临同类区域性灾难风险~如地震、台风和洪水等。
【主机房面积】机房的主体部分~用来放臵服务器、网络设备的功能区。
【设计等级】参见《电子信息系统机房设计规范》,GB50174-2008,。
【年检】指具有专业资质的单位对待检测系统的各项指标、性能进行的检测。如有其他年检系统~请在【其他】处填写年检系统名称以及是否通过
年检。
【发电机/发电车】自有:指发电机/发电车的所有权归机构。
租用:指发电机/发电车的所有权不归机构~机构向其他单位租用发电机/发电车~包括发电机由机构所在办公楼物业提供的情况。
未配备:指发电机和发电车均未配备的情况。
【发电机启动时间】指发电机手动或自动启动至正常运行的时间。
【UPS实际负载峰值】指UPS运行时实际负载的最大值。
【UPS配臵模式】存在单点:指存在部分重要信息系统仅由UPS单机、单总线等方式供电的情况。
不存在单点:指不存在重要信息系统仅由单机、单总线等方式供电的情况。 【门禁】指对中心机房出入口、通道进行电子管控的设备。控制方式主要包括IC卡、密码锁、指纹、虹膜、掌纹、面部特征识别等方式。
【门禁记录保存时间】指门禁系统实际保存进出记录的最短时间。
【监控记录保存时间】指监控设备实际保存监控记录的最短时间。
【报警方式】指机房内监控监测到异常时的响应方式~包括声音提示、高亮显示、短信通知、邮件通知、电话通知等。 【灭火剂类型】参见《电子信息系统机房设计规范》,GB50174-2008,。
【电磁屏蔽】指用导电材料减少交变电磁场向指定区域的穿透。
【人工巡检频度】指工作人员每日对机房进行日常巡检的平均次数。
?报送空表
F-B-3 信息系统管理情况表
填报部门: 填报人: 联系电话: 责任人: 填表日期:
项目 内容 备注
系本年度因故本年度计划序统障导致停机系统类型 采用的高可用技术 系统的软硬件情况 内停机或切备注 号 名或切换备机换备机次数 称 次数、时长
?总行重
要信息系服务器品牌型号 ?双机热备
统在分行 重要信息系统情况 ?双机冷备 的延伸 操作系统名称及版本 次 1 次 ?负载均衡 ?分行独 小时
?存在单点 立运维的数据库名称及版本
?其它 重要特色
业务系统
…
制度制定: ?总行统一制定 ?本机构自行制定 ?未制定
审批流程:
变更管理 变更过程: ?事先制定操作方案 ?事先制定回退方案 ?事先备份
?保存操作记录 ?变更后签字确认 ?其它
复核方式: ?无复核或安全审查 ?业务部门复核验证 ?风险管理部门复核审查
?信息安全人员安全审查 ?内审部门对生产变更记录定期审计 ?其它 总行发起的对分支机构生产运行有影响的变更次数: 次~其中紧急变更次数: 次 本分行发起的重要信息系统变更次数: 次~其中~紧急变更: 次
系统变更: 次
数据变更: 次
制度制定: ?总行统一制定 ?本机构自行制定 ?未制定
生产事件分级描述(必要时提交附件): 服务请求事件是否登记:?是 ?否
生产事件是否登记:?是 ?否
生产事件上报路线: 值班人员配备情况: ?配备~7x24小时~?配备~非7x24小时~ ?未配备 工作时间值班人数: 事件管理 非工作时间值班人数:
值班人员有无非正式人员:?有 ?没有
是否外包:?是 ?否
是否专职:?是 ?否
本年度分行信息系统发生的告警或通知事件总数: 次
问题管理机制: ?未建立 ?已建立,简述方式: 科技运维岗配备的资料:?设备及系统的运维操作手册
?设备及系统的应急处理手册 操作管理 ?服务对象及技术支持的通讯录
运行文档管理:?建立运维文档生命周期管理流程
?配备文档管理员岗位
?运行操作文档经
丰富的开发和运维人员共同审核后正式发布~运行操作
文档成为运维人员培训的主要内容
?建立文档变更流程保持运行操作文档与生产系统同步更新
?重要信息系统与运行操作文档保持一对一关系
制 度 制 定: ?总行制定 ?分支机构制定 ?未制定 备份介质存放:?机房建筑内 ?同城网点 ?异地
序系统备份数据可用备份频度 备份介质类型 存放环境 保存时间 性验证 号 名称
重要信?磁带 ?未验证过 ?普通储柜 息系统?光盘 ?不定期 1 ?保险箱 月 备份管理 备份策?定期 ?磁盘 ?其他 频度: 次/年 略 ?其他
… 本年度在真实生产环境中进行数据恢复的次数: 次
网络设备配臵信息的备份覆盖率: %
网络设备配臵信息备份方式: 备份频度: 次/年
分行是否有开发职责: ?是 ?否
开发模式: ?部分外包 ?全部外包 ?不外包 开发管理 开发人员独立性: ?与运行人员职责分离 ?未与运行人员职责分离 开发环境与生产环境独立:?物理隔离 ?逻辑隔离 ?未隔离
系统管理员密码管理:?一次性密码令牌 ?密码信封 ?双人分段保管 ?密码管理系统
?定期修改 ?其他措施: 系统操作员密码管理:?一事一申请 ?一次性密码令牌 ?定期修改 ?密码系统生成
其他措施: 数据使用人员密码管理和权限管理:
?指定部门统一管理
?定期强制修改 ?人员变动、离职后注销
?存在多人共享账号密码现象
数据和信息管理 ?其他措施:
是否具备生产数据提取使用和销毁流程:?是 ?否
概要描述分支机构本地系统保存了哪些客户敏感信息: 客户敏感信息管理:
分行,,,机具是否留存有客户账号或密码等敏感信息:
?是~客户敏感信息存储位臵:
客户敏感信息存储方式:?明文存储 ?部分信息加密存储 ?全部加密存储
?否
分行电子渠道前臵机是否在本地留存有客户账号或密码等敏感信息:
?是~客户敏感信息存储位臵:
客户敏感信息存储方式:?明文存储 ?部分信息加密存储 ?全部加密存储
?否
本地特色业务系统是否在本地留存有客户账号或密码等敏感信息:
?是~客户账号或密码等敏感信息存储位臵:
客户敏感信息存储方式: ?明文存储 ?部分信息加密存储
?全部加密存储
客户敏感信息可接触人员:?前台操作人员 ?系统运维人员
?系统管理员 ?其他:
?否
计算机报废后存储介质是否销毁:?否 ?自行销毁~销毁方式:
?由外部机构销毁~机构名称: 人员变动时办公用计算机磁盘信息是否清理:?是 ?否
存储介质保修维护时是否允许维护人员带出行外:?是 ?否
对移动存储设备采取技术控制手段: 分行是否配备消磁机:?是 ?否
F-B-3 填报说明
【重要信息系统】包括:1总行定义的重要信息系统在分行的延伸~如前臵机等,2由分支机构负责运行维护的重要特色系统~不包括部署在总行的重要信息系统。
【高可用技术】指确保信息系统能够正常发挥其应有功能的能力~免受事件、变更、例行维护等因素影响的技术~如:虚拟化、集群、负载均衡、双机热备、双机冷备、硬件冗余等技术。
【变更】指任何可能影响信息科技服务连续运行的信息系统变动事件。
【变更管理】变更管理的主要目标是完成有益的变更~同时最小化对IT 服务的中断。变更管理的范围包括所有的信息科技服务、配臵项、流程、文档等~负责控制所有变更的生命周期的流程。
【紧急变更】指必须尽快引入的变更。通常需建立特定的流程来处理紧急变更。
【系统变更】指对信息系统软硬件和参数、网络设施和机房基础设施的变更。
【数据变更】指对数据库或数据文件内容进行的变更。
【事件】事件通常表示任何信息科技服务、配臵项或监视工具产生的告警或通知~指对信息科技服务管理或配臵项有重大意义的状态变化。事件通常需要运行人员介入并采取行动。
【事件管理】负责管理事件生命周期的流程。事件管理是IT 运营的主要活动之一。
【生产事件】指由生产系统引发的问题导致告警或通知等事件。
【服务请求】指功能方面的问题或请求~包括状态查询、口令重臵、数据库提取等请求。
【生产用户】指需要登录生产环境或者在生产系统中进行读和/或写操作的用户。
【数据备份策略】指包括数据类型、备份周期,含定期备份,日、周、月,和非定期备份,如变更前备份,,、备份内容等。
【备份频度】备份频度指对生产数据进行一次完整可恢复备份的最小周期。
【备份介质及数据的可用性验证】备份介质及数据的可用性验证指验证备份介质上的数据是否可用、准确~验证方法包括在测试环境中把备份数据恢复至系统中~检查恢复是否成功~内容是否正确等。
【开发人员】指进行信息系统开发和测试的科技人员~包括正式行员与外包人员。
【运行人员】指对信息系统进行运行状态的监控、每日批量处理等工作的技术人员。
【系统管理员】指管理维护操作系统、应用系统、数据库系统和网络系统等信息系统的科技人员。
【客户敏感信息】是指涉及客户身份、账户和交易的信息。
【数据使用人员】指分支机构业务部门或科技部门中能够批量访问客户信息、交易信息等生产数据的员工。
【存储介质销毁】指销毁计算机中的存储介质~如对硬盘进行粉碎等。
?报送空表
F-B-4 业务连续性情况表
填报部门: 填报人: 联系电话: 责任人: 填表日期:
项目 内容 备注 业务连续性制度制定:?总行制定 ?分支机构 ?未制定 业务连续性组织架构:?未建立 ?已建立~包含部门: 应急与业务连续性的基本情况 业务连续性牵头部门:
信息科技应急处臵组织架构:?未建立 ?已建立~包含部门:
本年度应急最后一次应是否保存 序号 应急预案名称 演练结果及发现的问题 演练次数 急演练日期 演练记录 应急预案的制定与演练情况 1 …
?未建立
?已建立
突发事突发事件内部本年度发序号 划分标准 突发事件分级管理情况 件分级 级别名称 生次数
1
…
F-B-4 填报说明
【业务连续性制度制定】如总行与分支机构分别制定了业务连续性制度~复选总行制定和分支机构制定选项。 【应急预案名称】按现有的应急预案逐项列出~包括分支机构执行总行的应急预案及分支机构自行制定的应急预案。 【演练结果及发现的问题】简要描述该预案最后一次应急演练结果、发现的主要问题及处理情况。 【突发事件】是指重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的~影响业务持续开展~需要釆取应急处臵措施应对的事件。
【突发事件分级】指机构对突发事件依照其影响范围、持续时间及所影响业务的性质等因素所进行的分级。各机构可在遵循监管要求情况下根据机
构自身管理要求进行分级标准的制定和突发事件分级管理。突发事件内部级别名称依据机构制定的内部分级制度~按照级别逐级列出。
【划分标准】指机构制定的突发事件分级具体划分标准。
【本年度发生次数】统计本年度该级别突发事件发生次数。
?报送空表
F-B-5 网络管理情况表
填报部门: 填报人: 联系电话: 责任人: 填表日期:
项目 内容 备注
序 名称 用途 可访问哪些网络域 可被哪些网络域访问 隔离措施 远程接入 号
?防火墙 ?不允许
?入侵检测系统,IDS, ?互联网 网络安全?入侵防御系统,IPS, ?VPN 1 域划分 ?访问控制列表,ACL, ?无线网络
?电话拨入 ?虚拟局域网,VLAN,
?其他 ?其他
… …
安全边界 控制措施
生产网与办公?物理隔离 ?异构防火墙 ?热备防火墙 ?单防火墙 ?入侵检测系统,IDS, ? 入侵防御系统,IPS, ?网络边界 网边界 访问控制列表(ACL) ?恶意代码过滤 ?其他 控制
生产网与外联?物理隔离 ?异构防火墙 ?热备防火墙 ?单防火墙 ?入侵检测系统,IDS, ? 入侵防御系统,IPS, ? 网边界 访问控制列表(ACL) ?恶意代码过滤 ?其他
办公网与互联?物理隔离 ?异构防火墙 ?热备防火墙 ?单防火墙 ?入侵检测系统,IDS, ? 入侵防御系统,IPS, ? 网边界 访问控制列表(ACL) ?恶意代码过滤 ?其他
序采取的高可用内存峰CPU峰已投产年限设备名称 设备型号 是否纳入网管监控 日志保存方式 号 措施 值,%, 值,%, ,年,
?日志服务器集
?负载均衡 ?是 中保管 1 ?存在单点 ?否 ?未集中保管 核心路由器 ?不保存
…核心网络 … 设备
?日志服务器集
?负载均衡 ?是 中保管 1 ?存在单点 ?否 ?未集中保管 核心交换机 ?不保存
… …
至总行生产中心:线路条数 ,条,~不同运营商 ,家,~主线路带宽 至总行灾备中心:线路条数 ,条,~不同运营商 ,家,~主线路带宽 线路情况 至分本机构灾备中心:线路条数 ,条,~不同运营商 ,家,~主线路带宽 至下级行单运营商线路比例: ,,,
从内部办公网访问互联网: ?不允许 ?允许无控制 ?允许有控制 控制措施 行外设备接入内网: ?不允许 ?允许无控制 ?允许有控制 控制措施 访问控制 行内设备接入生产网的控制措施: ?无控制 ?有控制 控制措施
行内设备接入办公网的控制措施: ?无控制 ?有控制 控制措施
网络故障故障次数: ,次,~总计影响时间: ,分钟, 情况
附件 网络拓扑:
F-B-5 填报说明
【网络安全域】指根据业务和信息安全级别将网络划分为不同逻辑子网~安全域内有相同的安全保护策略。 【可访问哪些网络安全域】指允许从该网络安全域直接访问的其他网络安全域。
【可被哪些网络安全域访问】指允许从哪些网络安全域直接访问该网络安全域。
【物理隔离】指网络域之间没有任何物理线路连接。
【异构防火墙】指用两个或多个不同品牌的防火墙串联起来对网络提供保护。
【恶意代码过滤】指通过专用设备或在网络设备上配臵过滤措施~对常见病毒、木马、流氓软件等恶意代码进行过滤。 【外联网】指连接第三方、用于交换业务信息、与互联网隔离的专用网络
【核心网络设备】指用于网络核心层的网络设备~包括核心交换机、核心路由器和核心网络安全设备。 【至总行灾备中心】指分支机构生产机房至总行灾备数据中心线路情况。
【不同运营商数】如多条通讯线路属于同一个运营商~统计为一个运营商。
【至下级行单运营商线路比例】指分支机构生产机房或分支机构灾备机房至下级行的直接连接中~使用单一运营商线路的比例。 【网络故障情况】填写本年度生产网发生网络故障~导致信息系统出现中断、缓慢等现象~对业务或客户造成影响的情况。 【网络拓扑】网络拓扑须涵盖生产网、办公网、外联网、上联总行数据中心和灾备中心、下联分支行网点等网络。 【备注】需特殊说明的情况可在备注栏写明。
?报送空表
F-B-6 外包管理情况表
填报部门: 填报人: 职位: 联系方式: 填写日期:
项目 内容 备注 科技外包基本制度制定:?总行制定 ?分支机构制定 ?未制定 情况 是否具备外包风险评估机制:?是 ?否
外包合同情况 包含内容: ?知识产权与保密条款 ?服务水平约定 ?应急支持约定 ?罚则 ?银行监管部门延伸检查约定
本年度开始或正在实施的外包项目中~费用位于前5名的有,少于5个以实际为准,:
本项目外
序号 外包项目名称 外包范围 外包类型 内容描述 外包商性质 包费用
,万元,
?基础设施类 ?母行或母公司 ?整体外包 ?系统服务类 外包项目的签?其他银行业金融机构 1 ?部分外包 ?人员服务类 署情况 ?独立第三方公司 ?其他 ?咨询服务类 ?其他 ?其他
?整体外包 ?基础设施类 ?母行或母公司
?部分外包 ?系统服务类 ?其他银行业金融机构 2 ?其他 ?人员服务类 ?独立第三方公司
?咨询服务类 ?其他
?其他
?基础设施类 ?母行或母公司 ?整体外包 ?系统服务类 ?其他银行业金融机构 3 ?部分外包 ?人员服务类 ?独立第三方公司 ?其他 ?咨询服务类 ?其他 ?其他
?基础设施类 ?母行或母公司 ?整体外包 ?系统服务类 ?其他银行业金融机构 4 ?部分外包 ?人员服务类 ?独立第三方公司 ?其他 ?咨询服务类 ?其他 ?其他
?基础设施类 ?母行或母公司 ?整体外包 ?系统服务类 ?其他银行业金融机构 5 ?部分外包 ?人员服务类 ?独立第三方公司 ?其他 ?咨询服务类 ?其他 ?其他
F-B-6 填报说明
【统计范围】分支机构全辖。
【外包】特指信息科技外包~本表中信息科技外包~指分支机构将全部或部分信息科技服务委托外部专业机构进行管理或实现。外部专业机构包括:独立第三方公司、同业机构、合作伙伴、母公司,行,、集团内其他子公司等~信息科技外包内容不含软硬件产品质保服务。
【外包范围】合作开发、外协方式的项目~按部分外包口径统计。
【外包商性质】由母行外包给第三方公司实施的外包项目~按独立第三方公司口径统计。
【基础设施类外包】是指外包商向机构提供机房及配套基础设施~包括机房场所、网络、安保、UPS、发电机、专用空调、消防设施、硬件等,通信线路租用除外,。
【系统服务类外包】是指外包商向机构提供信息系统建设~运维相关的外包服务~包括托管式服务、信息系统的开发测试服务、信息系统运维服务等。其中~托管式服务外包是指外包商为机构的某个系统提供基于服务结果的全托管式的运营服务~如硬件、自助设备、银行卡、呼叫中心~IT服务台等系统外包。
【人员服务类外包】是指机构仅从外包商处购买具有一定技能的人力资源~而外包商本身除提供人力资源外并不承担机构的任何业务活动和相关职责~如提供驻场服务、远程支持及即时响应等技术支持服务。
【咨询服务类外包】是指外包商向机构提供信息科技战略或项目咨询、项目或风险评估、信息科技审计及人员培训等外包服务。
【内容描述】简要说明外包项目内容、外包商情况、外包商参与项目情况以及对外包商的依赖程度等。
【本项目外包费用】单位为万元~不保留小数,小数部分四舍五入,~小于1万元按1万元填报。
第二部分 实时报表
F-A-1 信息科技组织、人员重大变动报告表
填报部门: 填报人: 联系电话: 责任人: 填表日期:
? 组织构架调整 变动事项 变动类型 ? 重要人员变动
生效日期 年 月 日
变动详细情况
F-A-1 填报说明
【报送时限】本表应在重大变动生效后5个工作日内报送。
【组织架构调整】指分支机构信息科技职能部门、信息科技风险管理部门、信息科技审计部门或信息化建设委员会、信息安全领导小组、突发事件应急领导小组等其他信息科技相关组织架构变动。
【重要人员变动】包括分支机构信息科技职能部门、信息科技风险管理部门、信息科技审计部门等负责人变动~以及信息科技分管行领导或其他信息科技相关组织,信息化建设委员会、信息安全领导小组、突发事件应急领导小组等,负责人变动。
【变动详细情况】重要人员变动需填写人员手机号码。
F-A-2 信息科技重大突发事件报告表
填报部门: 填报人: 联系电话: 责任人: 填表日期:
事件名称
?总行影响 ?不可抗力 ?人为破坏 ?基础设施故障 ?硬件故障 ?软件故障 ?容量不足 ?内外部攻击 事件原因 ?系统变更 ?操作不当 ?尚未确定
发生时间 月 日 时 分 发生地点
? 分支机构全辖 持续时间 ,分钟, 影响范围 ? 分支机构辖内部分区域 范围描述
事件描述
业务影响
数据影响
恢复过程
处臵结果
或处臵进
展情况
事件处臵 联系电话 联系人
F-A-2 填报说明
【报送时效】本表应在事件发生后24小时内报送。
【信息科技重大突发事件报告】分支机构因信息系统无法正常对外服务,包括由总行原因引起,导致以下突发事件之一的需报送本表:
1、分支机构全辖范围业务停止或异常达30分钟,含,以上,
2、分支机构辖内1个县,区,以上范围业务停止或异常达3个小时,含,以上。
【事件原因】不可抗力是指地震、台风等自然因素~人为破坏是指恶意的人为因素~基础设施故障是指电力中断、网络中断等因素~原因尚未确定
的可选择“其他”。
【持续时间】报送本表时事件尚未恢复的~此项无需填写。
【影响范围】分支机构辖内部分区域需填写区域名称。
【范围描述】填写事件影响的区域范围。事件影响范围为总行全辖或分支机构全辖时~此项无需填写。 【事件描述】主要包括突发事件的现象、受影响的信息系统、原因分析、后果的初步判断、其他与本突发事件有关的内容。 【业务影响】是指突发事件影响业务的范围及程度。
【数据影响】对数据的损毁、丢失、泄露情况进行说明。数据未受影响的此项无需填写。 【恢复过程】是指突发事件处臵,恢复,过程中采取的主要措施、预期效果~以及应急沟通和报告内容等。 【处臵结果或处臵进展情况】是指分支机构在报送本报表时已取得的应急处臵效果或重大进展情况。
F-A-3 重大投产及变更报告表 填报部门: 填报人: 联系电话: 责任人: 填表日期:
投产变更实施部门 发生地点
投产及变更系统,设施, 名称
? 重要信息系统投产或变更
? 重要网络设施投产或变更 变更类型 ? 机房基础设施投产或变更
? 其他对重要业务运营具有较大潜在影响的投产或变更
实施起止时间,或计划实 月 日 时 分 至 月 日 时 分 施日期,
投产及变更目的
内容简述
影响分析
报送材料 投产及变更方案。附件索引:
实施联系人 联系电话
F-A-3 填报说明
【报送时限】分支机构应在实施重大投产前10日~重大变更前5日报送本表。
【重大投产及变更报告】重大投产及变更是指支撑机构重要业务运营的信息系统,一般是总行重要信息系统在分支机构的延伸,投产、核心网络设施投产和机房基础设施投产~以及影响时间在3个小时,含,以上的信息系统、网络设施和机房基础设施变更。由总行实施的~对分支机构辖内业务开展产生影响达3个小时,含,以上的投产和变更~分支机构也需填报本表。
【实施起止时间,或计划实施日期,】事前报告应填写计划实施日期~事后报告填写实施起止时间,含日期,。
【内容简述】简要描述投产或变更的主要内容。涉及信息系统投产变更的~需包含信息系统名称~主要功能~系统采取外包方式的需说明,涉及机房投产变更的~需包含机房等级划分标准、建设计划、地理位臵、机房空间规划、基础设施等基本信息,网络投产变更需包括设备信息、备份情况等。
【报送材料】完全由总行实施的投产或变更分支机构无需报送材料。
F-A-4 信息科技内外部审计情况报告表
填报部门: 填报人: 联系电话: 责任人: 填表日期:
项目 项目类别 实施单位 发现问题,个, 主要高风险问题 审计报告 备注
? 信息科技内
部全面审计
? 信息科技外
部全面审计
? 信息科技内审计报告 部专项审计 1 附件索引: ? 信息科技外 部专项审计
? 综合性内部
审计
? 综合性外部
审计
… …
F-A-4 填报说明
【报送时限】分支机构需在审计报告正式发布后2周内报送本表。
【信息科技内部全面审计】是指分支机构内部审计部门、总行内部审计部门实施的针对信息科技的全面审计。 【信息科技外部全面审计】是指由外部审计机构针对本机构信息科技进行的全面审计。
【信息科技内部专项审计】是指分支机构内部审计部门、总行内部审计部门实施的针对信息科技特定领域的审计。 【信息科技外部专项审计】是指由外部审计机构针对本机构的信息科技特定领域的审计。
【综合性内部审计】是指分支机构内部审计部门、总行内部审计部门实施的涉及信息科技的各类综合性审计。例如:内部审计部门发起针对某项或
多项业务的综合审计~审计内容涉及承载业务的信息系统。
【综合性外部审计】是指由外部审计机构对本机构的涉及信息科技的各类综合性审计。例如:外部审计机构发起针对机构某项或多项业务的综合审
计~审计内容涉及承载业务的信息系统。
【发现问题,个,】填写审计发现的“高”、“中”、“低”问题总数。
【审计报告】若是综合性审计~可以只报送与信息科技相关的章节内容。
第三部分 年度报告
F-R-1 信息科技年度报告 填报部门: 填报人: 联系电话: 责任人: 填表日期:
信息科技年度报告
附件索引:
报告要点
一、本年度落实总行科技发展规划的进展
信息系统建设情况 二、
包括但不限于:本年度分支机构科技投入及主要用途、重要信息系统的变更或重大基础性项目建设情况。 三、信息科技审计情况
包括但不限于:审计开展情况、发现的问题、整改情况等。
四、信息科技工作亮点
包括但不限于:分支机构科技支撑业务情况、信息科技风险管控措施、敏感信息保护以及对科技创新的探索。 五、信息科技工作面临的问题
包括但不限于:分支机构在有效开展信息科技风险管理方面存在的主要困难,人力、财务、技术等方面,。 六、下年度
下一年度的信息科技工作计划。
对监管部门的建议七、
对监管部门的建议和意见等。
F-R-1 填报说明
【信息科技年度报告】本报告应参照《商业银行信息科技风险管理指引》所要求报送的信息科技风险管理年度报告内容。
注:分支机构有全部或部分外包其重要信息系统的~应说明重要信息系统外包的风险管理情况。
【分支机构科技投入】是指分支机构全辖为全年的各类信息科技经营活动、项目建设等投入的自筹或总行划拨资金。包括:基础设施投入、电子设备采购投入、软件采购投入、系统开发项目投入、系统运营费用、信息科技人力资源费用、研究咨询项目费用以及其他科技投入。
【信息科技审计】包括由分支机构内部审计部门、总行内部审计部门实施的针对信息科技的全面审计或专项审计~由外部审计机构针对本分支机构信息科技进行的全面审计或专项审计~以及其他涉及信息科技的各类内外部审计。
【信息科技工作亮点】分条列出分支机构信息科技工作亮点~突出信息科技工作创新举措和工作实效。
银行业金融机构分支机构信息科技非现场监管报表填报须知
一、 银行业金融机构分支机构信息科技非现场监管报表作为中国银行业监督管理委员会,以下简称银监会,信息科技监管体系的重要组成部分~是在“法人银行信息科技非现场报表”的基础上制定~能够反映银行业金融机构分支机构,以下简称分支机构,信息科技建设和管理情况~是分支机构信息科技风险识别、评估的重要基础。
二、 适用本报表的分支机构指政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、跨区域经营的城市商业银行、农村商业银行的具有经营性质的总行直属分支机构,即一级分支机构,。已将信息系统集中,托管,至省联社的经营性农村金融机构视同省联社的分支机构~也适用本报表。其他类型的银行业金融机构的分支机构由银监会各派出机构参照执行。
三、 本报表由分支机构风险管理的职能部门牵头组织填报~分支机构负责人对所填报内容的真实性和数据质量负最终责任。
四、 分支机构报送实时报表时~涉及《银行业金融机构重要信息系统投产变更#管理办法#》、《银行业金融机构重要信息系统突发事件应急管理规范,试行,》、《商业银行数据中心监管指引》等规定要求报送的内容~仍需按照相关规定要求以正式公文报送相关材料。
五、 本报表分为年度报表、实时报表和年度报告。年度报表报送截止日为次年1月31日,节假日顺延,~年度报告报送截止时间为次年2月15日,节假日顺延,~实时报表填报时限参见报表说明。
六、 本报表中除特别说明统计范围的~指分支机构全辖~包括本机构以及所辖的全部支行和网点,包括设在异地的支行网点,。
七、 本报表年度报表和年度报告的统计时间周期为12个月~报表中“本年度”指报送截止日上一年的1月1日至12月31日。
八、 填报过程中~需对填报项目进行补充说明的~可在“备注”栏填写。
九、 本报表所有项目,除“备注”栏与特别说明,均需填写。对于无数据来源的项目~文字类项目填“无”~数字类项目填“0”~如整张报表均无内容~应勾选报表开头的“报送空表”选项。
十、 本报表中所称“填报部门”是指填报数据的部门~如为多个~填写主填报部门,填报人是具体负责该报表填报工作的人员~如一张报表涉及多个填报人~应确定一名主要填报人,联系电话是填报人的固定电话或移动电话~固定电话需注明区号~有分机的要填写分机号码,“责任人”是指填报部门负责人。
十一、除特别说明~所有涉及“简述”、“范围”、“主要职能”、
“说明”、“备注”、“其他”等科目的文字填报内容~不超过100字~超过100字的~请另加附件并注明。
十二、除特别说明~
,一, 报表中所有人数、次数、数量等数值均为大于等于零的整数,
,二, 报表中的金额应符合报表规定的单位~均为浮点数~保留小数点后2 位,
,三, 报表中所有百分比均保留小数点后2 位,
,四, 报表中的日期~年份均采用四位数字年份~如2011~月份填写两位数~如七月份填写07~天数填写两位数~如9 日填写09。
十三、本报表中多选项以“?”表示~单选项以“?”表示。
十四、本报表所有附件统一命名后以报表为单位上传。报表中不同填报项目要求的附件之间不得相互合并或嵌套。年度报表、年度报告附件命名规则为:报表编号,3 位~去掉连接符“-”,,年份,4 位数字,,附件编号,2 位数字~从01 开始编号,,“-”,附件名称~例如:“FB1201201-信息科技发展规划”、“FR1201201-信息科技年度报告”。不定期报表附件命名规则为:报表编号,3 位~去掉连接符“-”,,填表日期,年、月、日共8 位数字,,附件编号,2 位数字~从01 开始编号,,“-”,附件名称。例如: FA12012012001-重大人员变动报告表。若
无法提供附件~应在附件栏中填“无”。