第十四期法律知识点(信息科技、业务连续性、外包风险管理)_业务连续性风险管理

第十四期法律知识点(信息科技、业务连续性、外包风险管理)由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“业务连续性风险管理”。

法律法规知识点汇编

（第十四期）

目 录

※商业银行信息科技风险管理指引…………………1

※商业银行业务连续性监管指引……………………3

※银行业金融机构外包风险管理指引…………… 7

2014年9月24日

商业银行信息科技风险管理指引

※信息科技风险：是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。(第4条)多选题：信息科技风险，是指信息科技在商业银行运用过程中，由于下列哪些情形产生的操作、法律和声誉等风险？（ABCD）

A.自然因素 B.人为因素 C.技术漏洞 D.管理缺陷 ※信息科技风险管理的第一责任人：商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引贯彻落实。（第6条）

判断题：商业银行董事会是信息科技风险管理的第一责任人。（×）

※信息科技风险管理策略：商业银行应制定全面的信息科技风险管理策略，包括但不限于下述领域：(一)信息分级与保护。(二)信息系统开发、测试和维护。(三)信息科技运行和维护。(四)访问控制。(五)物理安全。(六)人员安全。(七)业务连续性计划与应急处臵。(第15条)多选题：商业银行应制定全面的信息科技风险管理策略，包括但不限于以下哪些领域？（ABCD）

A.信息分级与保护 B.信息科技运行和维护 C.物理安全 D.业务连续性计划与应急处臵 ※岗位制约：商业银行应将信息科技运行与系统开发和维护

分离，确保信息科技部门内部的岗位制约；对数据中心的岗位和职责做出明确规定。(第41条)单选题：商业银行应将（A）分离，确保信息科技部门内部的岗位制约；对数据中心的岗位和职责做出明确规定。

A.信息科技运行与系统开发和维护 B.系统管理和网络 C.数据库管理系统和网络 D.硬件管理和软件管理

※大规模系统开发的部门参与：商业银行在进行大规模系统开发时，应要求信息科技风险管理部门和内部审计部门参与，保证系统开发符合本银行信息科技风险管理标准。(第66条)单选题：商业银行在进行大规模系统开发时，应要求信息科技风险管理部门和(A)参与，保证系统开发符合本银行信息科技风险管理标准。

A.内部审计部 B.财务部 C.业务部 D.监察部

商业银行业务连续性监管指引

※业务连续性管理定义：是指商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。（第2条）

※重要业务运营中断事件：是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括：(一)信息技术故障：信息系统技术故障、配套设施故障；(二)外部服务中断：第三方无法合作或提供服务等；(三)人为破坏：黑客攻击、恐怖袭击等；(四)自然灾害：火灾、雷击、海啸、地震、重大疫情等。（第4条）

※业务连续性管理承担最终责任：董(理)事会是商业银行业务连续性生管理的决策机构，对业务连续性管理承担最终责任。（第10条）

※业务连续性管理的部门职责：商业银行应当明确业务连续性管理执行部门，包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条线重要业务应急响应与恢复；信息科技部门负责信息技术应急响应与恢复。(第14条)多选题：商业银行应当明确业务连续性管理执行部门，包括业务条线部门与信息科技部门。业务条线部门负责(ABCD)，负责业务条线重要业务应急响应与恢复。

A.风险评估 B.业务影响分析

C.确定重要业务恢复目标和策略 D.负责重要业务应急响应与恢复

※重要业务恢复时间：原则上，重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时。(第25条)单选题：根据业务连续性管理要求，原则上重要业务恢复时间目标不得大于(A)。

A.4小时 B.2小时 C.1小时 D.0.5小时 ※业务连续性计划演练频率：商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，也应当开展业务连续性计划的专项演练。（第49条）

单选题：商业银行应当至少每（D）对全部重要业务开展一次业务连续性计划演练。

A.半年 B.一年 C.二年 D.三年 ※新产品开发的业务连续性管理：商业银行在开发新业务产品时，应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的，应当在上线前制定业务连续性计划并实施演练。(第56条)单选题：商业银行在开发新业务产品时，应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的，应当在(A)制定业务连续性计划并实施演练。

A.上线前 B.上线中 C.上线后 D.维护时 ※运营中断事件分级（节选）：银监会及其派出机构对银行业运营中断事件进行分级。当运营中断事件同时满足多个级别的定级条件时，按最高级别确定事件等级。(一)特别重大运营中断事件(Ⅰ级)1.重要信息系统服务中断，或重要数据损毁、丢失、泄露，造成经济秩序混乱或重大经济损失等特别严重损害的事件； 2.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达3个小时(含)以上的事件；

3．在业务服务时段导致单家金融机构两个(含)以上省业务无法正常开展达3个小时(含)以上，或一个省业务无法正常开展达6个小时(含)以上的事件；

4.业务服务时段以外，故障或事件救治未果、可能产生上述1至3类事件的事件。

(二)重大运营中断事件(Ⅱ级)1.重要信息系统服务中断，或重要数据损毁、丢失、泄露，对银行或客户利益造成严重损害的事件；

2.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达半个小时(含)以上的事件；

3.在业务服务时段导致单家金融机构两个(含)以上省业务无法正常开展达半个小时(含)以上，或一个省业务无法正常开展达3个小时(含)以上的事件；

4.业务服务时段以外，故障或事件救治未果、可能产生上述

1至3类事件的事件。

(三)较大运营中断事件(Ⅲ级)1.重要信息系统服务中断，或重要数据损毁、丢失、泄露，对银行或客户利益造成较大损害的事件；

2.在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达半个小时(含)以上的事件；

3.业务服务时段以外，故障或事件救治未果、可能产生上述1至2类事件的事件。(第79条)多选题：下列属于银行业特别重大运营中断事件(Ⅰ级)的是（ABCD）

A.重要信息系统服务中断造成特别严重经济损失的。B.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达3个小时(含)以上的。

C.在业务服务时段导致单家金融机构两个以上省业务无法正常开展达3个小时(含)以上。

D.在业务服务时段导致单家金融机构一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的事件。

※运营中断报告：按照属地监管原则，银监机构在商业银行运营中断事件发生后2小时内，将事件及处臵情况上报银监会处臵工作小组。（第80条）

判断题：按照属地监管原则，银监机构在商业银行运营中断事件发生后2小时内，应将事件及处臵情况上报银监会处臵工作小组。（√）

银行业金融机构外包风险管理指引

※适用范围：外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。(第3条)单选题：《银行业金融机构外包风险管理指引》中的外包指银行业金融机构将原来由自身负责处理的某些业务活动委托给（B）进行持续处理的行为。

A.服务制造商 B.服务提供商 C.服务销售商 D.服务维修商 ※外包活动的最终责任主体：银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。(第4条)单选题：银行业金融机构的董事会和（C）应当承担外包活动的最终责任。

A.社员代表大会 B.监事会 C.高级管理层 D.外包管理团队 ※关联关系调查：银行业金融机构的外包活动涉及多个服务提供商时，应当对这些服务提供商进行关联关系的调查。(第13条)。

单选题：银行业金融机构的外包活动涉及多个服务提供商时，应当对这些服务提供商进行（D）的调查。

A.管理能力 B.盈利能力 C.技术实力 D.关联关系 ※不宜外包的职能：银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。(第7条)

多选题：银行业金融机构下列哪些职能不宜外包（ABC）A.战略管理 B.核心管理 C.内部审计 D.绩效系统 ※外包服务提供商承诺事项：银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项：

（一）定期通报外包活动的有关事项；

（二）及时通报外包活动的突发性事件；

（三）配合银行业金融机构接受银行业监督管理机构的检查；

（四）保障客户信息的安全性，当客户信息不安全或客户权利受到影响时，银行业金融机构有权随时终止外包合同；

（五）不得以银行业金融机构的名义开展活动；

（六）银行业金融机构认为应当承诺的其他事项。（第16条）

多选题：银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项（ABCD）

A.定期通报外包活动的有关事项

B.配合银行业金融机构接受银行业监督管理机构的检查 C.保障客户信息的安全性

D.不得以银行业金融机构的名义开展活动

※不得转包：银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。（第18条）

判断题：银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。（√）

某银行信息科技业务连续性评估报告

XXXX银行信息科技业务连续性评估报告为全面了解XXXX银行信息科技业务连续性管理工作现状，科技信息部开展了信息科技业务连续性评估工作，现将评估情况汇报如下：一、总体评价为保......

信息科技风险管理经验交流

额敏县农村信用合作联社信息科技风险管理经验交流塔城地区银监分局：根据塔城地区银监分局《关于召开2011年塔城地区银行业金融机构信息科技风险管理联席会议的通知》要求，现将......

第十三期法律知识点(风险核心、杠杆率、资本管理)

法律法规知识点汇编（第十三期）目 录※商业银行资本管理办法………………………… 1 ※中国银监会关于中国银行业实施新监管标准的指导意见……………………………………………......

怀远组工信息第十四期

怀远组工信息 第14期中共怀远县委组织部 2015年9月30日 我县着眼优化干部队伍结构加大干部交流力度激发干部干事激情我县制定出台《关于进一步推进全县干部交流轮岗工作的......

业务外包廉政风险

随着主多分开改革的深化推进和“三不指定”等规范管理要求的实施，供电企业配网工程建设基本以外包为主，虽单个项目涉及资金少，但数量多、总额大、情况各异、涉及面广，加上当前配......