银行业金融机构信息科技管理工作考核办法
(试行)
第一章 总则
第一条 为完善信息科技治理措施,增强银行业信息科技风险防范能力,推动辖内商业银行信息化建设健康发展,更好地运用信息技术提升业务管理和风险防范水平,根据《中国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行操作风险管理指引》、《商业银行业务连续性监管指引》、《商业银行外包风险管理指引》、《银行业重要信息系统突发事件管理规范》等法律法规,制定本考核办法。
第二条 威海银监分局对辖区各银行业金融机构的信息科技风险管理状况进行考核评比,考核评比工作由威海银监分局统计信息科组织实施。
第三条 本办法的考核评比周期为一年,自上年度12月份至本年度11月末,考核情况每半年通报1次,每年年底对全年考核结果进行通报表彰。
第四条 本办法适用于威海辖区各银行业金融机构。
第二章 考核内容及计分方法
第五条 信息科技管理考核工作的内容,包括信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三个方面,同时设立加分项目对在信息科技管理方面表现优异的机构给予鼓励。
第六条 信息科技管理考核实行百分制考核与加分项目考核相结合的综合考核方法,百分考核得分与加分项目考核得分相加为综合考核得分。
第七条 信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三项工作实行百分制考核,每项满分100分,分别按40%、30%、30%的权重计入百分考核得分;加分项目实行单独考核,视完成情况进行奖励加分,直接计入综合考核得分。
第三章 考核标准
第八条 信息科技日常管理考核标准。法人机构应在完善信息科技治理的基础上,建立信息科技风险“三道防线”,做好信息科技规划,提升信息系统建设效率,确保信息系统稳健运行并采取有效内控措施减少信息系统应用风险;分支机构应重点加强业务连续性和信息安全管理,建立相应的管理制度,确保经营过程中不发生信息安全事故。
1.银行业金融机构未指定信息科技风险牵头管理部门,扣5分;牵头部门及负责人变更未按要求向监管部门报告的,每次扣2分;牵头部门未能积极配合监管部门进行工作协调的,每次扣2分。
2.被考核机构未对信息科技风险管理相关部门配备适当资源,如人员、财力、基础设施等不充足或存在重大缺陷的,每项扣3~5分;被考核部门信息科技风险管理制度存在不完善的,每项扣2分。
3.新设经营机构、原有机构装修改造或迁址,涉及信息科技变更事宜,未向监管部门信息科技风险监管部门报告的,每次扣5分。
4.未制定年度信息科技风险应急演练计划的扣5分,未实施演练或演练不符合监管要求的扣1~3分。演练计划和实施结果未报告监管部门的,每次扣1分。
5.未制定业务连续性计划和应急预案的机构,扣15分并取消年度评奖资格;制定业务连续性计划和应急预案不完善的,视情况扣5~10分;发生大范围的业务中断事故的,每次扣15分并取消年度评奖资格。
6.机房或营业网点在发生业务中断或重要网络中断事件后,未及时报告监管部门的,根据事件大小,每次扣2~5分。
7.银行业金融机构应至少每半年组织相关部门人员学习1次信息科技监管制度、信息科技风险提示等文件,并做相应的学习记录。未定期组织学习、记录不完整或学习效果不明显的,视情况每次扣2~5分。
8.被考核机构在制订考核办法时,未将监管部门年度考核结果纳入本机构内部部门考核的,每次扣10分;未按考核制度执行的,每次扣2~8分。
9.被考核机构机房服务器、重要安全设备、网络设备和桌面计算机等涉密设备,未采取必要的信息安全防护措施的,根据情况每项扣2~5分。 10.总行级法人机构在实施重要信息系统项目外包前(如数据中心、重要业务系统和信息科技基础设施等)未以书面形式正式报告监管部门的,每次扣2分。
11.总行级法人机构在进行重要信息系统开发时,未要求信息科技风险管理部门、业务管理部门和内部审计部门进行一般控制和应用控制审查,以确保系统开发符合监管部门以及本机构风险管理标准的,视情况每次扣2~5分。
12.总行级法人机构未按照监管要求建立完善的信息科技治理,并形成信息科技风险“三道防线”的,根据情况扣2~5分;未制定明确的信息科技战略规划,或规划与本行整体战略规划结合不紧密的,根据情况扣3~5分。
第九条 监管部门信息科技检查考核标准。辖内银行业金融机构应积极配合监管部门的信息科技检查及巡查工作,对暴露出的问题认真分析成因,组织全面整改,并采取有效措施落实监管部门提出的监管意见和要求,促进本机构信息科技管理能力和水平的不断提高。
1.监管部门每年例行现场检查中发现严重问题,每项扣5分;一般性问题每项扣1分;严重问题是指对信息系统的稳定运行、业务连续性、信息安全和银行业务管理带来较大安全隐患的问题。
2.对监管部门检查发现的问题未在规定时间内进行整改的,每项扣3分。
3.监管部门提出的监管要求,经被查机构确认后,未在规定时间内落实的,每项扣5分。
第十条 监管部门布置工作完成情况考核标准。被考核机构需在规定时间内,完成监管部门布置的各项信息科技监管工作并确保工作质量,本机构信息科技风险牵头部门负责内部协调联系工作。
1.对监管部门下发的各类通知和监管要求未有效贯彻落实的,每次扣1~5分。
2.对监管部门要求上报的报表,未能及时报送的每次扣5分;填报数据或信息出现差错的,视情况每次扣1~3分;报表出现漏报项的每项扣减2分。
3.未按要求及时报送信息科技年度报告或监管部门要求上报的其他重要书面报告的,每次扣5分。
第十一条 加分项目考核标准。辖内银行业金融机构应当及时向监管部门报告信息科技管理方面的相关信息,为强化信息科技监管工作提供参考,并积极配合监管部门开展的专项工作,共同促进辖区信息科技管理工作水平的全面提升。
1.上报监管部门本机构信息科技工作动态或信息科技调研课题,每篇加1分,被分局采用的每篇加2分,经分局上报后被省局采用的,每篇加5分,被银监会采用的,每篇加10分。
2.协助监管部门完成检查或其他监管工作的,视情况每次加2~5分。
3.主动发现本机构或外包商(如自助设备服务商、电信企业等)风险隐患并报告监管部门的,每次加2~3分,如涉及全辖机构共性问题,每次加3~5分。
第四章 组织管理及考核实施
第十二条 威海银监分局按上述考核内容和标准,对辖区各银行业金融机构信息科技管理工作情况进行全面实时记载,考核结果实行半年通报、按年考核,考核期结束后进行评比表彰。
第十三条 评比表彰设机构一等奖2名,二等奖3名,三等奖4名,同时在获奖机构中评选工作表现优异的先进个人5名。对年终评比结果较差,且不积极配合监管工作的机构和个人,在全辖银行业金融机构范围内进行通报,并抄送上级行或上级行业管理部门。
第十四条 对辖内各机构的考核结果,将提交分局对口监管科室,并纳入对被考核机构的监管评级、高管考核及机构评价中。
第五章 附则
第十五条 本办法由负责解释。
第十六条 本办法自印发之日起实施。
