银行业金融机构信息科技管理工作考核办法.docVIP

＃＃银行业金融机构信息科技管理工作考核办法 （试行） 第一章 总则 第一条 为完善信息科技治理措施，增强银行业信息科技风险防范能力，推动辖内商业银行信息化建设健康发展，更好地运用信息技术提升业务管理和风险防范水平，根据《中国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行操作风险管理指引》、《商业银行业务连续性监管指引》、《商业银行外包风险管理指引》、《银行业重要信息系统突发事件管理规范》等法律法规，制定本考核办法。 第二条 ＃＃银监分局对辖区各银行业金融机构的信息科技风险管理状况进行考核评比，考核评比工作由＃＃银监分局统计信息科组织实施。 第三条 本办法的考核评比周期为一年，自上年度12月份至本年度11月末，考核情况每半年通报1次，每年年底对全年考核结果进行通报表彰。 第四条 本办法适用于＃＃辖区各银行业金融机构。 第二章 考核内容及计分方法 第五条 信息科技管理考核工作的内容，包括信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三个方面，同时设立加分项目对在信息科技管理方面表现优异的机构给予鼓励。 第六条 信息科技管理考核实行百分制考核与加分项目考核相结合的综合考核方法，百分考核得分与加分项目考核得分相加为综合考核得分。 第七条 信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三项工作实行百分制考核，每项满分100分，分别按40%、30%、30%的权重计入百分考核得分；加分项目实行单独考核，视完成情况进行奖励加分，直接计入综合考核得分。 第三章 考核标准 第八条 信息科技日常管理考核标准。法人机构应在完善信息科技治理的基础上，建立信息科技风险“三道防线”，做好信息科技规划，提升信息系统建设效率，确保信息系统稳健运行并采取有效内控措施减少信息系统应用风险；分支机构应重点加强业务连续性和信息安全管理，建立相应的管理制度，确保经营过程中不发生信息安全事故。 1.银行业金融机构未指定信息科技风险牵头管理部门，扣5分；牵头部门及负责人变更未按要求向监管部门报告的，每次扣2分；牵头部门未能积极配合监管部门进行工作协调的，每次扣2分。 2.被考核机构未对信息科技风险管理相关部门配备适当资源，如人员、财力、基础设施等不充足或存在重大缺陷的，每项扣3~5分；被考核部门信息科技风险管理制度存在不完善的，每项扣2分。 3.新设经营机构、原有机构装修改造或迁址，涉及信息科技变更事宜，未向监管部门信息科技风险监管部门报告的，每次扣5分。 4.未制定年度信息科技风险应急演练计划的扣5分，未实施演练或演练不符合监管要求的扣1~3分。演练计划和实施结果未报告监管部门的，每次扣1分。 5.未制定业务连续性计划和应急预案的机构，扣15分并取消年度评奖资格；制定业务连续性计划和应急预案不完善的，视情况扣5~10分；发生大范围的业务中断事故的，每次扣15分并取消年度评奖资格。 6.机房或营业网点在发生业务中断或重要网络中断事件后，未及时报告监管部门的，根据事件大小，每次扣2~5分。 7.银行业金融机构应至少每半年组织相关部门人员学习1次信息科技监管制度、信息科技风险提示等文件，并做相应的学习记录。未定期组织学习、记录不完整或学习效果不明显的，视情况每次扣2~5分。 8.被考核机构在制订考核办法时，未将监管部门年度考核结果纳入本机构内部部门考核的，每次扣10分；未按考核制度执行的，每次扣2~8分。 9.被考核机构机房服务器、重要安全设备、网络设备和桌面计算机等涉密设备，未采取必要的信息安全防护措施的，根据情况每项扣2~5分。 10.总行级法人机构在实施重要信息系统项目外包前（如数据中心、重要业务系统和信息科技基础设施等）未以书面形式正式报告监管部门的，每次扣2分。 11.总行级法人机构在进行重要信息系统开发时，未要求信息科技风险管理部门、业务管理部门和内部审计部门进行一般控制和应用控制审查，以确保系统开发符合监管部门以及本机构风险管理标准的，视情况每次扣2~5分。 12.总行级法人机构未按照监管要求建立完善的信息科技治理，并形成信息科技风险“三道防线”的，根据情况扣2~5分；未制定明确的信息科技战略规划，或规划与本行整体战略规划结合不紧密的，根据情况扣3~5分。 第九条 监管部门信息科技检查考核标准。辖内银行业金融机构应积极配合监管部门的信息科技检查及巡查工作，对暴露出的问题认真分析成因，组织全面整改，并采取有效措施落实监管部门提出的监管意见和要求，促进本机构信息科技管理能力和水平的不断提高。 1.监管部门每年例行现场检查中发现严重问题，每项扣5分；一般性问题每项扣1分；严重问题是指对信息系统的稳定运行、业务连续性、信息安全和银行业务管理带来较大安全隐患的问题。 2.对监管部门检查发现的问题未在规定时间内进行整改的，