信息科技非现场监管报表职责分工-模版.docx

1、信息科技非现场监管报表职责分工 第一部分 年度报表 T-B-1 信息科技治理情况表 报表填报部门：风险管理部 项目 内容 数据提供部门 1 法定代表人 姓名： ， 职务： ， 履职起始日期： 年 月 办公室 2 董事会信息科技风险管理职责 是否明确董事会信息科技风险管理职责：□是 □否 董事会信息科技风险管理职责包括： 职责1： … 董事会办公室 3 信息科技管理委员会

2、 是否设立： □是 □否组织名 称： ，成立日期： 年 月 组织负责人： ，职务： 组织主要职能： 风险管理部 … 4 首席信息官(CIO) 是否设立： □是 □否 姓名： ，职务： ，履职起始日期： 年 月主要职责： 风险管理部 5 信息科技战略规划 是否建立信息科技战略规划：□是 □否信息科技战略规划

3、名称： 规划期： 年到 年 签发日期： 年 月，签发人职务： 信息科技战略规划内容包含： □信息科技战略目标 □信息科技风险管理规划 □信息科技治理规划 □信息科技架构规划 □信息科技项目（或信息系统）规划 □其他 … 信息技术部 6 风险管理部门（组织） 是否设立： □是 □否 部门（组织）名称： ，负责人： ，职务： 信息科技风

4、险管理人员： 人隶属于： 部门（组织） 信息科技风险管理部门（组织）报告路线： 风险管理部 7 内审部门（岗位） 是否设立： □是 □否 部门（岗位）名称： ，负责人： ，职务： 内审人员： 人 其中： 审计稽核部 信息科技内审人员： 人信息科技内审部门报告路线： 8 信息科技相关制度及标准 信息科技管理制度总数：

5、 个其中，本年度新增： 个本年度修订： 个 信息科技风险管理制度总数： 个其中，本年度新增： 个本年度修订： 个 信息科技审计制度总数： 个其中，本年度新增： 个本年度修订： 个

6、 风险管理部 审计稽核部 9 机构资产规模 资产总额： 亿元 计划财务部 10 机构网点规模 网点数量： 个， 国内一级分行数量： 个 发展规划部 11 机构人员、关键岗位 正式员工数： 人非正式员工数： 人信息科技正式员工数： 人信息科技非正式员工数： 人信息科技本年度入职员工数 ：

7、 人信息科技本年度离职员工数： 人信息科技关键岗位数： 个 人力资源部 12 机构信息科技投入 本年度信息科技投入： 万元其中： 信息科技项目费： 万元 电子设备运转费： 万元 信息科技固定资产： 万元 邮电费（线路租用费等）： 万元其他： 万元本年度信息科技

8、投入中外包费用： 万元 计划财务部、信息技术部 13 信息科技人员专业高级资质持证情况 1、 CISSP等 2、 信息科技服务管理 3、 信息科技项目开发和管理 4、 网络管理 5、 数据库管理 6、 CBCP等 7、 审计 8、 其他 信息技术部 14 附件 1、 信息科技治理情况明细报告。附件索引： 2、 主要信息科技制度情况。附件索引： 3、 信息科技战略规划。附件索引：

9、 4、 信息科技关键岗位划分标准。附件索引： 信息技术部、风险管理部人力资源部 T-B-2 信息科技风险管理情况表 报表填报部门：风险管理部 项目 内容 备注 数据提供部门 1 信息科技风险管理制度 总行是否以正式文件发布信息科技风险管理制度：是□否□ 总行制定和发布信息科技风险管理制度是哪个部门：□信息科技部门 □风险管理部门□审计部门□合规部门□其他部门 风险管理部 2 信息科技风险管理职能 是否明确规定机构全面风险管理体系中包括信息科技

10、风险管理：是□否□ 信息科技风险管理职能是否体现在董事会和高管层职能中：是□否□ 信息科技风险管理职能是否体现在风险管理委员会职能中：是□否□ …… 风险管理部 3 信息科技风险评估 组织开展信息科技风险评估的是哪一个部门：□信息科技部门 □风险管理部门□审计部门□合规部门□其他部门 本年度是否以开展信息科技风险评估：是□否□ …… 风险管理部 4 信息科技风险监测 是否建立信息科技风险监测机制：是□否□ 实施信息科技风险监测机制的是哪一个部门：：□信息科技部门 □风险管理部门□审计部门□合规部门□

11、其他部门 …… 风险管理部 5 信息科技风险管理持续改进 信息科技风险管理制度定期修订：是□否□ 是否对风险评估方法和流程、风险监测指标定期进行评审：是□否□ 风险管理部 6 信息安全培训 本年度信息安全培训员工参与率： % 本年度信息安全培训通过人数： 人 信息技术部 7 附件 编号 名称 附件索引 风险管理部 1 信息科技风险管理情况明细报告 2 本年度信息科技风险评估报告汇编 3

12、 本年度信息科技风险监测报告汇编 T-B-3 信息科技内外部审计情况表报表填报部门：审计稽核部 编号 项目名称 项目类别 内容及范围 实施单 位 起止 日期 是否上报董事会或监事会 项目状态 审计发现数量 已整改数量 整改率 审计报告附件 1 □信息科技内部全面审计 □信息科技外部全面审计 □信息科技内部专项审计 □信息科技外部专项审计 □综合性审计 开始 日期完成 日期 □是 □否 □完成 □未完成 高 个 个 %

13、 审计报 告 附件索引： 中 个 个 低 个 个 … … T-B-4 信息科技项目管理情况表主要负责部门：信息技术部 项目 内容 备注 1 本年度项目情况 本年度信息科技项目总数： 个 本年度新增立项项目： 个其中： 重大项目： 个 一般项目：

14、 个 … 2 项目管理情况 机构已建立专门的信息科技项目管理组织：□是□否 机构已建立专门的需求管理组织：□是□否 … 3 附件 编号 名称 附件索引 1 信息科技项目明细管理报告 2 某项目阶段性风险评估报告 3 项目信息安全设计规范 4 某一项目压力测试报告 T-B-5 各类中心情况表报表填报部门：风险管理部 名称 类型 运维模式 地点 启用日期 数据提供部门 □ 1 □ □数据中心

15、 □开发中心 □测试中心 □运营中心 □呼叫中心 □银行卡中心 □信用卡中心 □票据中心 □清算中心 □中心机房 □其他 □自主运维 □整体外包 □部分外包 □其他 国家： 省（自治区、直辖 市）： 市（县、州、 盟）： 所在地邮政编码： 信息技术部 … 附件 各类中心情况明细报告，附件索引 T-

16、B-6 数据(灾备)中心机房情况表报表填报部门：信息技术部 项目 明细项目 内容 备注 数据（灾备）中心机房名称： 序号主要职能：□生产□同城灾备□异地灾备 1 机房 设计等级 □A类 □B类 □C类 投产日期 负责部门 主机房面积 平方米 机房变动情况 本年度是否改造 □是 □C否 本年度是否搬迁 □是

17、 □否 2 … 7 重要信息系统情况表报表填报部门：信息技术部 项目 内容 数量（单位：个） 备注 1 数量 重要信息系统总数 重要信息系统本年度增减数量 2 类别 N … 附件 … 8 电子银行业务品种表报表填报部门：电子银行部 项目 内容 备注

18、1 个人网上银行 是否开办 □是□否 金融服务 □个人账户管理 □转账 □缴费 □贷款 □定活转换 □信用卡服务 □ 私人银行 □年金 □其他 支付结算业务 □境内支付 □境外支付 □支付额度管理 □支付功能管理 □商务支付 （B2C、C2C、信用支付） □其他 理财业务 □外汇 □债券 □基金 □期货 □保险 □理财 □贵金属 □银证业务 □期权 □其他 2 …

19、 9 网络安全管理情况表报表填报部门：信息技术部 项目 内容 备注 1 总行网络安全域划分 序 号 名称 用途 可访问哪些网络安全域 可被哪些网络安全域访问 隔离措施 远程接入 1 □防火墙 □入侵检测系统 （IDS） □入侵防御系统 （IPS） □访问控制列表 （ACL） □虚拟局域网 （VLAN） □其他 □因特网 □VPN □无线网络 □电话拨号 □不允许 …

20、N … … T-B-10 数据管理情况表报表填报部门：信息技术部 项目 明细项目 内容 备注 1 数据管理 是否有明确的数据管理组织 □是□否 是否有书面定义的数据管理制度 □是□否 是否有书面定义的重要或敏感数据标准 □是□否 根据数据重要程度,分级建立数据备份与恢复策略 □是□否 2 …

21、 T-B-11 信息科技应急管理情况表报表填报部门：风险管理部 项目 明细项目 内容 1 应急组织 设立重要信息系统重大突发事件应急组织 □是 □否组织名称： 一级分支机构应急管理组织设立及运作方式 □已设立 □未设立 运作方式： … 2 … T-B-12

22、灾难备份管理情况表报表填报部门：信息技术部 项目 明细项目 内容 1 灾备中心（或灾备机房）基本情况 灾备模式 □一主一备：一个生产中心，一个备份中心 □一主多备：一个生产中心，多个备份中心 □互为备份：多个生产中心互相备份 □多主一备：多个生产中心共享一个备份中心 □其他 □无灾备中心 灾备中心（或灾备机房）名称 基本情况 外包情况 启用日期 中心名称 备份生产中心名称 区域 地点 与生产中心 距离（公里）

23、 灾备恢复能力等级 是否外包 外包商名称 外包范围 1 □同城 □异地 □1级 □2级 □3级 □4级 □5级 □6级 □是 □否 □基础设施 □系统 □人员 □自助设备 □其他 2 … T-B-13 软件正版化情况表报表填报部门：信息技术部 项目 内容 1 软件正版化工作负责部门 □有 部门名称 □无 2 … T-B-14 网上银行系统安全情况表报

24、表填报部门：电子银行部 项 目 内容 备注 网上银行 1 安全管理 网上银行系统现状系统建设情况 □尚无系统 □筹建中□已投产运行□其他 … 2 … T-B-15 手机银行系统安全情况表报表填报部门：电子银行部 项 目 内容 备注 1 安全管理 手机银行系统现状系统建设情况 □尚无系统 □筹建中□已投产运行□其他 … 2 … T-B-16 信息科技风险外包管理情况表报表填报部门：信息技术部 项目 明细项目 内容

25、 备注 1 信息科技外包管理整体框架 … 2 … 第二部分 季度报表 T-Q-1 重要信息系统运行情况表 报表填报部门：信息技术部 项目 内容 备注 1 重要信息系统停止服务情况 停止服务性质 序号 信息系统 停止服务原因 事件等级 起始时间 结束时间 影响范围 描述 非预期停止服务 1 □核心业务系统 □网上银行系统 □银行卡系统 □电话银行系统 □其他 □硬件故障 □软件故障 □基础设施故障 □网络故障 □操作

26、不当 □内外部攻击 □容量不足 □其他 □Ⅰ级 □Ⅱ级 □Ⅲ级 □Ⅲ级以 下 □全辖 □分支机构 个 … N 停止服务性质 序号 信息系统 停止服务原因 事件等级 起始时间 结束时间 影响范围 描述 预期停止服务 1 □核心业务系统 □核心网络系统 □网上银行系统 □银行卡系统 □电话银行系统 □其他 □软

27、硬件维护 □应用系统变更或升级 □基础设施变更 □其他 □Ⅰ级 □Ⅱ级 □Ⅲ级 □Ⅲ级以 下 □全辖 □分支机构 个 … N 2 … T-Q-2 信息科技项目情况表报表填报部门：信息技术部 项目 项目类别 内容 1 本季度新增的重大项目 项目1，项目名称： 系统类别 子类别

28、 项目投入 项目日期 实施模式 系统功能描述 备注 □渠道管理 □前置类□柜员类□ATM □POS□银行卡□自助终端□网上银行□电话银 行□手机银行□其他 万元 计划上线日期 项目开始日期 □自主研发 □整体外包 □部分外包 □其他 … T-Q-3 信息科技外包情况表报表填报部门：信息技术部 新增外包项目名称 外包范围 外包类型 内容描述 外包商情况 外包商性质 服务起始 时间 服务起始 时间 外包服务

29、协议安全保密条款 知识产权保护条款 外包风险评估 1 □整体外包 □部分外包 □其他 □基础设施类 □系统服务类 □人员服务类 □自助设备 服务类 □其他 外包商名称： 外包商国别： □母行或母公司 □其他银行业金融机构 □独立第三 方公司 □其他 □有 □无 □自主 □共有 □他有 □有 □无 … N

30、 T-Q-4 电子银行业务量统计表 报表填报部门：电子银行部 项目 明细项目 内容 数量 同比增减 (%) 环比增减(%) 1 电子银行主要业务规模 ATM 自动取款机数量 台 自动存款机数量 台 自动存取款一体机数量 台 POS 数量 台 … 2 … T-Q-5 电子银行信息科技风险监测表

31、报表填报部门：风险管理部 项目 内容 主要负责部门 系统名称 安全事件名称 事件分类 发生时间 次数 原因及处置措施 损失情况 1 网上银行 1 □有害程序事件 □网络攻击事件 □信息破坏事件 □信息内容安全事件 □设备设施故障 □灾害性事件 □其他 电子银行 部、信息技术部 … N 2 银行卡 1 □账户信息安全事件 □密钥

32、安全事件 □终端安全事件 □客户密码安全事件 □访问控制安全事件 □前置安全事件 □网络安全事件 □其他 CFCCC、信息技术部 … N 第三部分 实时报表 T-A-1 信息科技组织、人员重大变动表 报表填报部门：人力资源部 变动事项 变动类型 □组织架构调整 □战略规划调整 □重要人员变动 □其他 生效日期 变动详细情况 2 重大突发事件报告表报表

33、填报部门：风险管理部 事件名称 事件等级 □Ⅰ级 □Ⅱ级 □Ⅲ级 事件原因 □不可抗力 □人为破坏 □基础设施故障 □硬件故障 □ 软件故障 □容量不足 □信息安全威胁 □内外部攻击 □系统漏洞 □操作不当 □其他 发生时间 年 月 日 时 分 发生地点 … 3 数据中心规划报告表 数据中心名称 中心类型 □生产中心 □同城灾备中心 □异地灾备中心 □其他 是否外包 □是 □否 外包范围 □整体外包 □部分外包 □其他 外包类型 □基础

34、设施类 □系统服务类 □人员服务类 □其他 外包商性质 □母行或母公司 □其他银行业金融机构 □独立第三方公司 □其他 基本信息 地址 占地面积 机房面积 功能分区 规划信息 附件 数据中心规划报告。附件索引： 4 数据中心设立报告表 数据中心名称 中心类型 □生产中心 □同城灾备中心 □异地灾备中心 □其他 是否外包 □是 □否 外包范围 □整体外包 □部分外包 □其他

35、 外包类型 □基础设施类 □系统服务类 □人员服务类 □其他 外包商性质 □母行或母公司 □其他银行业金融机构 □独立第三方公司 □其他 … 5 数据中心变更报告表 数据中心名称 变更类型 □场所变更 □服务范围 □服务职能 □其他 计划变更开始时间 年 月 日 时 分 计划变更结束时间 年 月 日 时 分 … T-A-6 重要信息系统投产及变更报告表 投产变更部门名称

36、 发生地点 报告类型 □事前报告 □事后报告 投产及变更系统名称 变更类型 □重要信息系统投产 □支撑重要信息系统运行的机房和网络基础设施投产 □影响全辖或一个（含）以上分行系统服务、重要业务中断时间 4小时（含）以上的重要信息系统以及支持其运行的基础设施变更，包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等 □其他对机构重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更 … T-A-7 信息科技相关案件报告表报表填报部门：风险管理部 项目 内容 备注 1

37、涉案金额(万元) 风险金额(万元) 2 作案时间 年 月 日 至 年 月 日 发现时间 年 月 日 3 … T-A-8 电子银行业务重大变动报告报表填报部门：电子银行部 项目 内容 序 号 业务名称 业务类型 变化类型 描述 备注 1 … □个人网上银行□企业网上银行□自助银行□电话银行□手机银行□其他 □新开办□业务调整□终止□其他 … …

38、 第四部分 报告 R-R-1 信息科技管理年度报告 报表填报部门：风险管理部 报 告 要 点一、信息科技规划 包括但不限于：本年度业务战略要点、信息科技战略支持业务战略情况、信息科技规划；董事会与高管层对信息科技战略规划和信息科技风险管理的履职情况；组织架构情况。 数据提供部门：信息技术部、董事会办公室二、信息化建设 包括但不限于：本年度主要信息化建设项目完成情况以及对机构业务发展的支持情况；各项信息科技风险控制策略的制定、落实和评估情况。 数据提供部门：信息技术部三、下年度信息科技规划 下年度信息化建设和信息科技风险管理工作计划。包括信息科技建设对业务

39、发展支持、信息科技总体架构建设、信息科技风险管理、信息科技制度和标准建设、信息科技基础设施建设、信息系统建设、科技人才培养等。 数据提供部门：信息技术部、风险管理部四、信息科技治理包括但不限于：本年度信息科技治理方面的进展情况。 数据提供部门：董事会办公室五、信息科技风险管理包括但不限于：信息科技风险管理制度的完善情况；提升信息科技风险管理能力的主要措施。 数据提供部门：风险管理部六、信息科技审计 本年度信息科技风险内外部审计主要工作；主要内外部审计发现整改情况。 数据提供部门：审计稽核部七、信息科技风险自评估 包括但不限于：信息科技治理框架完整性、信息科技风险管理水平、信息科技主要风险点和需要改进的方面。描述出现的信息科技风险事件，造成的影响和损失、补救措施、问题整改落实、经验总结等内容。 数据提供部门：风险管理部八、对监管部门的建议针对当前信息科技风险监管工作需要解决的问题，对监管部门的工作建议。 数据提供部门：各相关部门