第十四期法律知识点(信息科技、业务连续性、外包风险管理系统)

word

法律法规知识点汇编

〔第十四期〕

目录

※商业银行信息科技风险管理指引…………………1

※商业银行业务连续性监管指引……………………3

※银行业金融机构外包风险管理指引……………7

2014年9月24日

0/9

word

商业银行信息科技风险管理指引

※信息科技风险：是指信息科技在商业银行运用过程中，由

于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律

和声誉等风险。(第4条)

多项选择题：信息科技风险，是指信息科技在商业银行运用

过程中，由于如下哪些情形产生的操作、法律和声誉等风险？

〔ABCD〕

※信息科技风险管理的第一责任人：商业银行法定代表人是

本机构信息科技风险管理的第一责任人，负责组织本指引贯彻落

实。〔第6条〕

判断题：商业银行董事会是信息科技风险管理的第一责任

人。〔×〕

※信息科技风险管理策略：商业银行应制定全面的信息科技

风险管理策略，包括但不限于下述领域：(一)信息分级与保护。(二)

信息系统开发、测试和维护。(三)信息科技运行和维护。(四)访

问控制。(五)物理安全。(六)人员安全。(七)业务连续性计划与

应急处置。(第15条)

多项选择题：商业银行应制定全面的信息科技风险管理策

略，包括但不限于以下哪些领域？〔ABCD〕

A.信息分级与保护B.信息科技运行和维护

C.物理安全D.业务连续性计划与应急处置

1/9

word

※岗位制约：商业银行应将信息科技运行与系统开发和维护

别离，确保信息科技部门内部的岗位制约；对数据中心的岗位和

职责做出明确规定。(第41条)

单项选择题：商业银行应将〔A〕别离，确保信息科技部门

内部的岗位制约；对数据中心的岗位和职责做出明确规定。

A.信息科技运行与系统开发和维护

B.系统管理和网络

C.数据库管理系统和网络

D.硬件管理和软件管理

※大规模系统开发的部门参与：商业银行在进展大规模系统

开发时，应要求信息科技风险管理部门和内部审计部门参与，保

证系统开发符合本银行信息科技风险管理标准。(第66条)

单项选择题：商业银行在进展大规模系统开发时，应要求信

息科技风险管理部门和(A)参与，保证系统开发符合本银行信息

科技风险管理标准。

A.内部审计部B.财务部部部

2/9

word

商业银行业务连续性监管指引

※业务连续性管理定义：是指商业银行为有效应对重要业务

运营中断事件，建设应急响应、恢复机制和管理能力框架，保障

重要业务持续运营的一整套管理过程，包括策略、组织架构、方

法、标准和程序。〔第2条〕※重要业务运营中断事件：是指因

下述原因导致信息系统服务异常、重要业务停止运营的事件。主

要包括：(一)信息技术故障：信息系统技术故障、配套设施故障；

(二)外部服务中断：第三方无法合作或提供服务等；(三)人为破

坏：黑客攻击、等；(四)自然灾害：火灾、雷击、海啸、

地震、重大疫情等。〔第4条〕※业务连续性管理承当最终责任：

董(理)事会是商业银行业务连续性生管理的决策机构，对业务连

续性管理承当最终责任。〔第10条〕

※业务连续性管理的部门职责：商业银行应当明确业务连续

性管理执行部门，包括业务条线部门与信息科技部门。业务条线

部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢

复策略，负责业务条线重要业务应急响应与恢复；信息科技部门

负责信息技术应急响应与恢复。(第14条)

多项选择题：商业银行应当明确业务连续性管理执行部门，

包括业务条线部门与信息科技部门。业务条线部门负责

(ABCD)，负责业务条线重要业务应急响应与恢复。

A.风险评估

3/9

word

B.业务影响分析

C.确定重要业务恢复目标和策略

D.负责重要业务应急响应与恢复

※重要业务恢复时间：原如此上，重要业务恢复时间目标不

得大于4小时，重要业务恢复点目标不得大于半小时。(第25条)

单项选择题：根据业务连续性管理要求，原如此上重要业务

恢复时间目标不得大于(A)。

A.4小时B.2小时C.1小时

※业务连续性计划演练频率：商业银行应当至少每三年对全部重

要业务开展一次业务连续性计划演练。在重大业务活动、重大社

会活动等关键时点，或在关键资源发生重大变化之前，也应当开

展业务连续性计划的专项演练。〔第49条〕

单项选择题：商业银行应当至少每〔D〕对全部重要业务

开展一次业务连续性计划演练。

※新产品开发的业务连续性管理：商业银行在开发新业务产

品时，应当同步考虑是否将其纳入业务连续性管理X畴。对纳入

业务连续性管理的，应当在上线前制定业务连续性计划并实施演

练。(第56条)

单项选择题：商业银行在开发新业务产品时，应当同步考虑

是否将其纳入业务连续性管理X畴。对纳入业务连续性管理的，

应当在(A)制定业务连续性计划并实施演练。

A.上线前B.上线中C.上线后D.维护时

4/9

word

※运营中断事件分级〔节选〕：银监会与其派出机构对银行

业运营中断事件进展分级。当运营中断事件同时满足多个级别的

定级条件时，按最高级别确定事件等级。

(一)特别重大运营中断事件(Ⅰ级)

1.重要信息系统服务中断，或重要数据损毁、丢失、泄露，

造成经济秩序混乱或重大经济损失等特别严重损害的事件；

2.在业务服务时段导致一个(含)以上省的多家金融机构业务

无法正常开展达3个小时(含)以上的事件；

3．在业务服务时段导致单家金融机构两个(含)以上省业务

无法正常开展达3个小时(含)以上，或一个省业务无法正常开展

达6个小时(含)以上的事件；

4.业务服务时段以外，故障或事件救治未果、可能产生上述

1至3类事件的事件。

(二)重大运营中断事件(Ⅱ级)

1.重要信息系统服务中断，或重要数据损毁、丢失、泄露，

对银行或客户利益造成严重损害的事件；

2.在业务服务时段导致一个(含)以上省的多家金融机构业务

无法正常开展达半个小时(含)以上的事件；

3.在业务服务时段导致单家金融机构两个(含)以上省业务无

法正常开展达半个小时(含)以上，或一个省业务无法正常开展达

3个小时(含)以上的事件；

4.业务服务时段以外，故障或事件救治未果、可能产生上述

1至3类事件的事件。

5/9

word

(三)较大运营中断事件(Ⅲ级)

1.重要信息系统服务中断，或重要数据损毁、丢失、泄露，

对银行或客户利益造成较大损害的事件；

2.在业务服务时段导致一个省(自治区、直辖市)业务无法正

常开展达半个小时(含)以上的事件；

3.业务服务时段以外，故障或事件救治未果、可能产生上述

1至2类事件的事件。(第79条)

多项选择题：如下属于银行业特别重大运营中断事件(Ⅰ级)

的是〔ABCD〕

A.重要信息系统服务中断造成特别严重经济损失的。

B.在业务服务时段导致一个(含)以上省的多家金融机构业

务无法正常开展达3个小时(含)以上的。

C.在业务服务时段导致单家金融机构两个以上省业务无法

正常开展达3个小时(含)以上。

D.在业务服务时段导致单家金融机构一个省(自治区、直辖

市)业务无法正常开展达6个小时(含)以上的事件。

※运营中断报告：按照属地监管原如此，银监机构在商业银

行运营中断事件发生后2小时内，将事件与处置情况上报银监会

处置工作小组。〔第80条〕判断题：按照属地监管原如此，银

监机构在商业银行运营中断事件发生后2小时内，应将事件与处

置情况上报银监会处置工作小组。〔√〕

银行业金融机构外包风险管理指引

6/9

word

※适用X围：外包是指银行业金融机构将原来由自身负责处

理的某些业务活动委托给服务提供商进展持续处理的行为。(第3

条)

单项选择题：《银行业金融机构外包风险管理指引》中的外

包指银行业金融机构将原来由自身负责处理的某些业务活动委

托给〔B〕进展持续处理的行为。

A.服务制造商B.服务提供商

C.服务销售商D.服务维修商

※外包活动的最终责任主体：银行业金融机构的董事会和高

级管理层应当承当外包活动的最终责任。(第4条)

单项选择题：银行业金融机构的董事会和〔C〕应当承当

外包活动的最终责任。

A.社员代表大会B.监事会C.高级管理层D.外包管理团队

※关联关系调查：银行业金融机构的外包活动涉与多个服务

提供商时，应当对这些服务提供商进展关联关系的调查。(第13

条)。

单项选择题：银行业金融机构的外包活动涉与多个服务提供

商时，应当对这些服务提供商进展〔D〕的调查。

A.管理能力B.盈利能力C.技术实力D.关联关系

※不宜外包的职能：银行业金融机构的战略管理、核心管理

以与内部审计等职能不宜外包。(第7条)

多项选择题：银行业金融机构如下哪些职能不宜外包

〔ABC〕

7/9

word

B.核心管理C.内部审计D.绩效系统

※外包服务提供商承诺事项：银行业金融机构在外包合同中

应当要求外包服务提供商承诺以下事项：〔一〕定期通报外包活

动的有关事项；〔二〕与时通报外包活动的突发性事件；〔三〕配

合银行业金融机构承受银行业监视管理机构的检查；〔四〕保障

客户信息的安全性，当客户信息不安全或客户权利受到影响时，

银行业金融机构有权随时终止外包合同；〔五〕不得以银行业金

融机构的名义开展活动；〔六〕银行业金融机构认为应当承诺的

其他事项。〔第16条〕

多项选择题：银行业金融机构在外包合同中应当要求外包服

务提供商承诺以下事项〔ABCD〕

A.定期通报外包活动的有关事项

B.配合银行业金融机构承受银行业监视管理机构的检查

C.保障客户信息的安全性

D.不得以银行业金融机构的名义开展活动

※不得转包：银行业金融机构应当在合同中约定服务提供商

不得将外包活动转包或变相转包。〔第18条〕

判断题：银行业金融机构应当在合同中约定服务提供商不得

将外包活动转包或变相转包。〔√〕

8/9