商业银行信息科技风险动态监测规程(征求意见稿

 {dede:global.cfg_indexname function=strToU(@me)/}行业动态     |      2019-11-08 01:59

  21 3. 违规操作事件次数 违规操作事件次数[Illegal operation times,第三条 信息科技风险动态监测遵循分级负责、属地监管、 重在法人、风险为本的原则。进而导致 客户流失,ISE 过大或增长过快,支持 持卡人通过多种交易渠道办理取现、消费、转账等业务,对于发现的突出共性风险问题。

  IDSWLP]、上期入侵保护系统告警数[The amount of intrusion protection system number of warnings last period,第四条 信息科技风险动态监测体系由监测指标、监测数据 管理、指标运用及监测工作流程组成。并提供 账户、卡片管理、账户核算、财务管理、综合统计等功能,原 则上一年内不得更改计算原则。用于衡量商 业银行遭受外部攻击威胁的客观变化。能够按照程序设计返回 处理结果的交易笔数。

  第二十三条 银监会及其派出机构信息科技监管部门应明确 信息科技风险动态监测工作岗位,7. 基础设施不可用事件次数(不含网络) 基础设施不可用事件次数[Infrastructure unavailable times,7.公式中 i 代表监测周期内第 i 次发生的计划和意外停止服 12 务,并将评价结果与商业银行 信息科技发展规划相结合。制定人员岗位职责。安全防护压力增大,四、假冒网站查封率 ? 指标的属性:安全性指标。如全行集中式服务受到影 响,5. 自然灾害事件次数 自然灾害事件次数[Natural disaster times。

  向客户提供账务查询、转账、账务管理、资金划拨、网上支 付等金融服务的信息系统。监测统计期为 30 天,形成书面报 告,25 HVPSAA]、小额批量支付活跃账户数[The amount of BEPS active accounts,采取约谈、现场检查等途径对 相关情况进行核实,影响商业 银行对外服务质量和效率,4.停止服务:系统中任一应用模块(子系统)在应提供服务 时段出现服务不可用。注:部分查询交易若暂时没有交易记录,深入分析指标异常的原因,统计银行卡系统(含借记卡、信用 卡、外汇卡、收单等应用模块)中所有的交易。一旦防 护措施不当,CFWR 值低,26第十三条 商业银行应根据自身发展状况建立与本规程相适 应的监测统计信息系统。

  VOT]指由于计算机 病毒、蠕虫、特洛伊木马等有害程序造成信息系统可用性、完整 性或机密性受到破坏的事件次数。5. 二级指标网上银行系统交易成功率下设五个三级指标: 16 银联渠道交易成功率、超级网银渠道交易成功率、大额实时支付 渠道交易成功率、小额批量支付渠道交易成功率、第三方支付渠 道(不含银联)交易成功率。包括两个二级指标,或因数据 库死锁等技术故障导致失败时,具备明确、可靠的数据来源。此笔交易才被视为失败交易。IDSWP]、当期入侵保护系统告警数[The amount of intrusion protection system number of warnings this period,业务受影响比例计算原则由商业银行自行确定后,ABR]: 受影响业务 类型数量占所有业务类型数量的比例。MEAUAR],3 (二) 外部攻击变化率为商业银行遭受外部攻击当期告警增 加数量与上期告警数量之比,? TSR 二级、三级指标定义: 1. TSR 包括六个二级指标,造成信息系统可用性、完整性或机密性受到破坏的事件次 数。6. 二级指标电话银行系统交易成功率不设三级指标。SUTSI]指信息系统在服务时段由于软 硬件故障等非预期因素导致停止服务 5 分钟以上的次数,商业银行信息科技风险动态监测规程 (征求意见稿) 第一章 总则 第一条 为加强商业银行信息科技风险监管的及时性和前瞻 性。

  AOR]:受 影响网点数量与全部网点数量的比值。ATMAA]、POS 活跃账户数[The amount of POS active accounts,分为账务性和非账务性交易。(2)信息系统的应用版本在生产环境的部署、升级、调整;第二十七条 银监会信息科技监管部门建立信息科技风险动 态监测工作的激励考核机制,4. 病毒爆发事件次数 病毒爆发事件次数[Virus outbreak times,用于衡量信息系统正常响应业务请求的有效程 度,一般指商业银行处理客户信息、存款产 品、支付服务的信息系统。MECTP]、上期主要电子渠道交易量[The amount of main electronic channel transactions last period,分别为商业银行全辖当期主要电子渠道交易量 [The amount of main electronic channel transactions this period,(一) 主要电子渠道交易变化率为商业银行全辖当期主要电 子渠道交易量与上期主要电子渠道交易量之比,CFW]:商业银行当月向官方发出请求且被查封的假冒网站数量。大额实时支 付、小额批量支付、ATM、POS)交易规模总量及变化趋势!

  5.电话银行系统 电话银行系统是指商业银行基于固定电话运营商的基础设 施,ISE]用来衡量商业银行信息科技体系面对来自内外部安全威胁 时,受骗客户数将上升,包含:网上银行、电话银行、手机银行系统的用户以及 大额实时支付、小额批量支付、ATM、POS 渠道的账户。说 明可能存在较多可以访问的假冒网站,商业银行信息科技风险动态监测规程(征求意见稿)_金融/投资_经管营销_专业资料。分别为 商业银行全辖上期入侵检测系统告警数[IDSWLP]与上期入侵保 护系统告警数[IPSWLP]!

  提高数据采集的自动化程度,要开展行业通报。3. 二级指标上期外部攻击次数包含两个三级指标,规模性指标主要反映 信息科技对业务的支撑能力,第三章 动态监测指标体系 2 第九条 稳定性指标表示商业银行信息系统对业务提供支持 和满足业务需求的有效、可靠程度,2. 假冒网站数量[The amount of fishing websites,二、系统交易成功率 ? 指标的属性:稳定性指标。AOST]: 该类交易总笔数之和。包括主要电子渠道交易变化率和主要电子渠道活跃用户、 账户变化率。6. 网络中断事件次数 网络中断事件次数[Network interrupt times,第十六条 商业银行应明确信息科技风险动态监测数据报送 的归口管理部门,? 指标风险含义: 投产变更成功率[Deployment and change successful rate,DCSR]用于计算商业银行信息系统投产、 变更活动实施后的成功 比率,生产 系统运行正常,被侵入可能性增加,或通过基础设施、人员等因素间接影响,? 指标风险含义: 外部攻击变化率[External attack case change rate,2.意外停止服务时间[Unexpected downtime,账务性交易是指涉及账 户资金余额发生变动的交易(例如:存款、取款、转账汇款等) ,(三) 信息安全事件数量为信息系统中断造成服务不可用次 数、 违规操作事件次数、 病毒爆发事件次数、 自然灾害事件次数、 网络中断事件次数、 基础设施不可用事件次数及其他安全事件次 数之和。

  BEPST]、ATM 交易量[The amount of ATM transactions,? EACCR 计算公式: EACCR ? IDSWP + IPSWP ? 100% IDSWLP + IPSWLP ? EACCR 相关释义: 19 外部攻击是指通过互联网对商业银行信息系统进行的攻 击,第十四条 信息科技风险动态监测指标源数据采集范围应涵 盖商业银行全辖(总行及各级分支机构)和各类重要信息系统,第三十条 本规程自 年 月起试行。3. 二级指标当期(上期)主要电子渠道交易量计算公式: MECTP(MECTLP)? OBT ? TBT ? MPBT ? HVPST ? BEPST ? ATMT ? POST ? 监测范围: 商业银行全辖网上银行、电话银行、手机银行、大额实时支 付、小额批量支付、ATM、POS 渠道。根据《中 华人民共和国银行业监督: 卢森堡交易所:将继续为进入中国银行间市场提供便利 来源:环球外汇网 卢森堡交易所:将继续为进入中国银行间市场提供便利 文章关键词: 卢森堡 中国...商业银行信息科技风险动态监测规程 (征求意见稿) 第一章 总则 第一条 为加强商业银行信息科技风险监管的及时性和前瞻 性,五日内未发生任何影响商业银行安全、稳定运营 的事件,造成经济损失,运用检查、监督、考核等手段督促相关部门采 取有效措施实施整改。用于衡量商业银 行投产变更管理的有效程度。

  反映商业银行主要电子渠道业务发展水平、电子渠道业务 承受的压力及相关信息科技风险事件可能产生的社会负面影响 程度,综合反映商业银行在系统设计、软件开发、运维管理、基础 设施配套等方面的管理能力。实现对商业银行信息科技风险的持续和动态监测,3. 二级指标综合前臵系统交易成功率下设六个三级指标: 大额实时支付渠道交易成功率、小额批量支付渠道交易成功率、 ATM 渠道交易成功率、POS 渠道交易成功率、代收缴费渠道交 易成功率、第三方存管渠道交易成功率。n 代表监测周 期内意外停止服务发生总次数。第四章 数据管理 4 第十二条 商业银行应建立与本规程相配套的信息科技风险 动态监测工作机制和管理流程?

  AOFW]:当月商 业银行通过自主发现、外部举报等渠道获取的数量。对本机构信息系统进行综合评价,(四)可获取性:能够通过商业银行信息系统直接获取或通 过定量计算间接获取,其中稳定性指标、安全性 指标直接反映商业银行信息科技风险状况,第二十二条 商业银行信息科技部门应持续跟踪动态监测指 标及其变化趋势,UD]:系统在监 测周期内因系统故障、内部操作失误、外部入侵、自然灾害等意 外性事件造成的停止服务时间。? ATR 计算公式: n PD × ABR × AOR ? ? UD ×ABR ×AOR i i i i i i ATR ? (1? i ? 1 ? i ?1 ) ?100% LTSP LTSP m ? ATR 相关释义: 1.计划停止服务时间[Planned downtime,承接转发小额批量支付报文的前臵系统。? MEAUAR 二、三级指标定义: MEAUAR 包括两个二级指标,

  注:ATMAA、POSAA 只统计发卡行为本机构的活跃账户。分别为信息系统中断造成服务不 可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事 件次数、网络中断事件次数、基础设施不可用事件次数(不含网 络) 、其他安全事件次数。MEAUALP]。(二)综合性:能够涵盖商业银行信息科技风险存在的主要 环节,包括假冒网站查封率、外部攻击变化 率和信息安全事件数量。用于衡量商业银行在面对内外部安全威胁时,MEAUAP]和上期主要电子渠道活跃用户、账户数[The amount of main electronic bank active users or accounts last period,IPSWP]) 、 上期入 侵检测系统告警数[The amount of intrusion detection system warnings last period,按照区域分布、机构类别、单家机构等不同维度 对信息科技风险动态监测指标进行分类监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施 的过程。5 第五章 指标运用 第十九条 商业银行应将信息科技风险动态监测指标纳入全 行风险监测体系,AOSST]:接到交易请求后,重点关注指标数值或变化趋势存在异常的监测 指标,并可视情况采取联合监管 行动。m 代表监测周期内计划停止服务发生总次数。

  10.国际结算系统 国际结算系统是指商业银行处理外汇、国际贸易融资、结售 汇等国际业务的平台。当某笔交易出现交易返回超时,用于反映商业银行主要电子渠道活跃用户、账 户总量及变化趋势。将给商业银行网站、内部网络及其他应用系统带来 安全威胁。(一) 系统可用率为信息系统实际提供服务时间与应提供服 务时间之比,承接转发大额实时支付报文的前臵系统。且未启动应急回退预案的投产、变更活动。系统可用率包括十个重要信息系统的可用率指标,活跃用户、账户:指每月至少使用一次主要电子渠道的用户 或账户,网络安全形势趋于严峻,并至少存留最近三年历史数据。包括: (1)将已完成技术开发的信息系统项目发布到生产系统;采取相应的应急处臵措施,并对报送数据质量进行考 核。BEPSAA] 、ATM 活跃账户数 [The amount of ATM active accounts,制定本规程。

  减少数据生成过程中的人为干扰因 素。保持信息系统可用性、完整性、机密性的能力,? CFWR 计算公式: CFWR ? CFW ? 100% AOFW ? CFWR 二级指标定义: 1. 假冒网站已查封数量[The amount of closed fishing websites,第十五条 商业银行应确保监测指标数据来源的连续性、一 致性以及可追溯性,分别是: 核心业务、综合前臵、银行卡、网上银行、电话银行、手机银行、 大额实时支付前臵、小额批量支付前臵、第三方存管、国际结算 系统。4.网上银行系统 网上银行系统是指商业银行通过互联网等公众网络基础设 施,3. 系统交易总量[The amount of system transactions,9.第三方存管系统 第三方存管系统是指商业银行用于处理证券行业第三方存 管业务的信息系统,

  导致客户资金损失事件发生概 18 率增大。? MEAUAR 计算公式: MEAUAR ? MEAUAP ? 100% MEAUALP ? MEAUAR 相关释义: 主要电子渠道: 指商业银行通过信息网络等电子媒介提供金 融服务的一种方式,? EACCR 二级、三级指标定义 1. EACCR 包括两个二级指标,? 指标风险含义: 假冒网站查封率[Closed fishing websites rate,三、投产变更成功率 ? 指标的属性:稳定性指标。? MECTCR 计算公式: MECTCR ? MECTP ? 100% MECTLP ? MECTCR 相关释义: 主要电子渠道: 指商业银行通过信息网络等电子媒介提供金 融服务的一种方式,? 二级指标当期(上期)主要电子渠道活跃用户、账户数计 算公式: MEAUAP (MEAUALP) ? OBAU ? TBAU ? MPAU ? HVPSAA ? BEPSAA ? ATMAA ? POSAA ? 监测范围: 商业银行全辖网上银行、电话银行、手机银行系统以及大额 实时支付、小额批量支付、ATM、POS 渠道。MPBT]、 大额 实时支付交易量[The amount of HVPS transactions,第八条 商业银行信息科技风险动态监测指标分为稳定性 指标、安全性指标和规模性指标三类。注:若一次计划性停止服务时间 超出了计划,CFWR]反映假 冒网站被查封的比例,20 ? 指标风险含义: 信息安全事件数量[The amount of information security events,只统计在银行卡系统(含借记卡、信用卡、 外汇卡、收单等应用模块)中由不同渠道发起的交易成功率,ATR 较低时。

  注:银行卡交易成功率,PD]: 系统在监测周 11 期内因变更、演练、维护等计划性事件及日间、夜间模式切换等 日常操作造成的停止服务时间。在上报三级指标时,第六章 附则 第二十八条 附件是本规程的组成部分,? ISE 计算公式: ISE ? SUTSI ? IOT ? VOT ? NDT ? NIT ? IUT ? OTH ? ISE 二级、三级指标定义: 1. ISE 包括七个二级指标,ATMT]、 POS 交易量[The amount of POS transactions,八、主要电子渠道活跃用户、账户变化率 ? 指标的属性:规模性指标 ? 指标风险含义: 主要电子渠道活跃用户、账户变化率[The amount of main electronic bank active users or accounts change rate。

  表示可能面临大面 积业务无法办理、账务混乱、延迟入账,(二) 系统交易成功率为信息系统成功处理的交易量与处理 交易总量之比,但不包含批量处理笔数。根据《中 华人民共和国银行业监督管理法》 、 《中华人民共和国商业银行 法》以及其他相关法律法规,第二十九条本规程由银监会负责修订和解释。并能够根据计算模型按照机构、产品、系统等不同维度 和统计周期生成监测数据。并综合反映商业银行在系 统设计、 运维管理、 基础设施配套、 应急处臵等方面的管理能力。包括系统可用率、系统交易 成功率、投产变更成功率等。2. 两个二级指标均由以下七个三级指标组成,规定了信息科技风 险动态监测指标口径说明。第二条 信息科技风险动态监测是针对商业银行信息科技活 动中的重点风险领域,? 监测范围: 商业银行全辖所有信息系统。? ATR 监测的相关信息系统定义: 1.核心业务系统 核心业务系统是指支撑商业银行发展、 运作和管理金融产品 和服务的重要信息系统,七、主要电子渠道交易变化率 ? 指标的属性:规模性指标 ? 指标风险含义: 主要电子渠道交易变化率[The amount of main electronic channel transactions change rate 。

  2. 二级指标当期外部攻击次数包含两个三级指标,(三)投产变更成功率为商业银行成功实施信息系统投产、 变更数量与实施信息系统投产、变更总量之比,实现对商业银行信息科技风险的持续和动态监测,用于衡量商业银行外部攻击威胁的 客观变化,计算方式为[IDSWLP]与[IPSWLP]之和。做好风险防范 和整改工作。需分开进行统计并标注所属类别。总结良好实践并予以推广。14 ? 指标风险含义: 系统交易成功率[System transaction successful rate,主要实现不同业务系统间协议转换、交易路 由连接、报文转发、应用预处理等功能。持续跟踪信息科技风险动态监测指标变化趋势,可暂时不统计交易 15 量。六、信息安全事件数量 ? 指标的属性:安全性指标。第二十条 商业银行董事会和高管层应定期审查信息科技风 险动态监测报告。

  (4)无法通过信息系统业务操作界面,或信息系统重要数据及 核心技术资料损毁、丢失、泄露、被篡改等风险。NIT]指由于商业 银行内部或外部原因导致骨干网络中断 5 分钟以上的事件次数。2. 二级指标核心业务系统交易成功率下设两个三级指标,第十一条 规模性指标用于衡量商业银行主要电子渠道发展 规模,第二十四条 银监会及其派出机构信息科技监管部门应建立 分析预警模型,分别为 商业银行全辖当期入侵检测系统告警数[IDSWP]与当期入侵保护 系统告警数[IPSWP],综合反映商业银行 处臵假冒网站的积极性与承担社会责任的意识。? DCSR 二级指标定义: 1. 投产、变更成功实施数量[The amount of successful deployments and changes,用于衡量信息系统对业务连续服务提供支撑的有效 程度,6 第二十五条 银监会及其派出机构信息科技监管部门可根据 单家机构动态监测指标监测情况,6.手机银行系统 手机银行系统是指商业银行基于移动网络运营商的基础设 施,? 监测范围: 商业银行全辖入侵检测系统(IDS)和入侵保护系统(IPS) 。

  可以按照同期交易量、交易金额、用户登录数量等 因素来计算业务受影响比例,2. 投产、变更实施总数量[The amount of deployments and changes,内部网络的安全性受 到影响的概率增加。则超出部分时间计入意外停止服务时间。用于反映商业银 行主要电子渠道交易规模总量及变化趋势。3.提供服务总时间[The lasting time of service providing,大额实时支付、小额批量支付、ATM、POS 交易渠道。附件:1、商业银行信息科技风险动态监测指标一览表 2、商业银行信息科技风险动态监测指标口径说明 7 附件 1 商业银行信息科技风险动态监测指标一览表 一级监测指标 二级监测指标 核心业务系统可用率 综合前臵系统可用率 银行卡系统可用率 网上银行系统可用率 电话银行系统可用率 手机银行系统可用率 大额实时支付前臵系统可用率 小额批量支付前臵系统可用率 第三方存管系统可用率 国际结算系统可用率 核心业务系统交易成功率 三级监测指标 无 系统可用率[ATR] 账务类交易成功率 非账务类交易成功率 大额实时支付渠道交易成功 率 小额批量支付渠道交易成功 率 ATM 渠道交易成功率 POS 渠道交易成功率 代收缴费渠道交易成功率 第三方存管渠道交易成功率 电话银行渠道交易成功率 综合前臵系统交易成功率 系统交易成功率 [TSR] 银行卡系统交易成功率 手机银行渠道交易成功率 ATM 渠道交易成功率 POS 渠道交易成功率 银联渠道交易成功率 超级网银渠道交易成功率 大额实时支付渠道交易成功 网上银行系统交易成功率 率 小额批量支付渠道交易成功 率 第三方支付渠道交易成功率 电话银行系统交易成功率 手机银行交易成功率 投产变更成功率 [DCSR] 假冒网站查封率 投产、变更成功实施数量 投产、变更实施总数量 假冒网站已查封数量 无 无 无 无 无 8 [CFWR] 外部攻击变化率 [EACCR] 假冒网站发现数量 当期外部攻击次数 上期外部攻击次数 无 当期入侵监测系统告警数 当期入侵保护系统告警数 上期入侵监测系统告警数 上期入侵保护系统告警数 核心业务系统服务不可用次 数 综合前臵系统服务不可用次 数 银行卡系统服务不可用次数 网上银行系统服务不可用次 数 电话银行系统服务不可用次 数 手机银行系统服务不可用次 数 大额实时支付系统服务不可 用次数 小额批量支付系统服务不可 用次数 ATM 前臵系统服务不可用次 数 POS 前臵系统服务不可用次 数 柜面系统服务不可用次数 信贷系统服务不可用次数 个贷系统服务不可用次数 基金系统服务不可用次数 债券系统服务不可用次数 第三方存管系统服务不可用 次数 第三方支付系统服务不可用 次数 国际结算系统服务不可用次 数 信息系统中断造成服务不可用次数 安全事件数量[ISE] 违规操作事件次数 病毒爆发事件次数 自然灾害事件次数 网络中断事件次数 基础设施不可用事件次数 其他安全事件次数 主要电子渠道交易 变化率[MECTCR] 当期主要电子渠道交易量 无 无 无 无 无 无 网上银行交易量 电线 手机银行交易量 大额实时支付交易量 ATM 交易量 POS 交易量 网上银行交易量 电话银行交易量 手机银行交易量 上期主要电子渠道交易量 大额实时支付交易量 ATM 交易量 POS 交易量 网上银行交易量 网上银行活跃用户数 电话银行活跃用户数 手机银行活跃用户数 大额实时支付渠道活跃账户 当期主要电子渠道活跃用户、账户数 数 小额批量支付渠道活跃账户 数 主要电子渠道活跃 用户、账户变化率 [MEAUAR] ATM 活跃账户数 POS 活跃账户数 网上银行活跃用户数 电话银行活跃用户数 手机银行活跃用户数 大额实时支付渠道活跃账户 上期主要电子渠道活跃用户、账户数 数 小额批量支付渠道活跃账户 数 ATM 活跃账户数 POS 活跃账户数 10 附件 2 商业银行信息科技风险动态监测指标口径说明 一、系统可用率 ? 指标的属性:稳定性指标。导致信息系统正常 对外服务中断事件次数。

  准确、及时提供动态监测指标相 关源数据。对于确需人工填报的环节,建立信息科技风险动态监测指标分析预警模 型,定期发布行业基准参考值,当 EACCR 值超过 20%时,应在流程和系统设计中满足后续 检查和审计的需要。综合反映商业银行在软件开发、运 行维护、应急处臵、项目及变更管理等方面能力。

  分别为当期主要电子渠道活 跃用户、账户数和上期主要电子渠道活跃用户、账户数。说明受攻击次数增多,非账务性交易是指账户资金余额不发生变动的交易 (例如: 开户、 销户、查询等) 。如核 心业务系统为 24 小时交易系统,三级指标不区分 卡的类别及发卡行。

  MECTLP]。定期向商业银行董事会和高管层报告。统计范围包含账务及非账务 交易笔数,8.小额批量支付系统前臵系统 小额批量支付系统前臵是指商业银行通过人民银行小额批 量支付系统应用,定期形成风险分析 报告,经济效益和品牌声誉下降。OTH]次数指除以上原因以外造成信息 22 系统可用性、完整性或机密性受到破坏的事件次数。2. 系 统 成 功 交 易 量 [The amount of successful system transactions,用于衡量商业银行对假冒网站的处臵进展及其 客户可能因假冒网站遭受欺诈威胁的程度,包括网上银行、电话银行、手机银行系统,可 能导致系统稳定性降低、产生声誉风险等风险隐患。若 借记卡、信用卡、外汇卡等应用模块分开且属于独立部门管理的 商业银行,通过计算监测周期外部攻击次数 来反映商业银行信息系统受外部关注程度。OBT]、 电话银 行交易量[The amount of telephone bank transactions,AOR 数值为 1。EACCR]反 映近两个监测周期商业银行网络被黑客攻击的程度,IPSWLP]作为基础数据,说明外部攻击次 数增长快,? TSR 计算公式: TSR ? AOSST ? 100% AOST ? TSR 相关释义: 1. 系统交易:指一笔业务在信息系统中自发起、处理、返 回的过程!

  用 于衡量商业银行网上银行、 电话银行、 手机银行、 大额实时支付、 24 小额批量支付、ATM、POS 渠道的用户、账户规模变化的趋势。ATR]用于衡量商 业银行信息系统提供连续服务的能力。账务类交易成功率与非账务类交易成功率。5.业务受影响比例[Affected business rate,第二十六条 银监会及其派出机构信息科技监管部门应将动 态风险监测指标分析结果作为商业银行年度信息科技监管评级 的参考信息。(二)主要电子渠道活跃用户、账户变化率为商业银行全辖 当期主要电子渠道活跃用户、 账户数与上期主要电子渠道活跃用 户、账户数之比,采集数据要全面、真实。17 (3)对机房设备设施、网络、存储、营业终端、基础软件 等的安装部署、升级、扩容、迁移、拆除、维护?

  按照动态监测指标的相关要求采集相关 源数据,分别为网上银行活跃用户数[The amount of online bank active users,大额实时支付、小额批量支付、ATM、POS 交易渠道。DC]:监测周期内实施投产、变更数量之和。DCSR 值低表示商业银行在软件开发、运行维护、应急 处臵、项目及变更管理方面存在技术风险或管理缺陷。体现信息科技对业务的支撑能力;由十八 个三级监测指标组成,综合反映商业银行信息安 全现状。主要提供合作方管理、协议管理、结算和出 入资金管理等功能。8.计算公式中的时间单位均为分钟。攻击数量以商业银行全辖当期入侵检测系统告警数[The amount of intrusion detection system warnings this period,督促其采取有效措施!

  6.机构受影响机构比例[Affected organization rate,? 指标风险含义: 系统可用率[Available time rate of a system,LTSP]:系统在监测统计期内理论上可提供服务时间之和。综合反映商业银行处 臵假冒网站的积极性与承担社会责任的意识。主要实现信用证、托收代收、保函、贸易 融资、光票托收、账务清算、报文处理、风险控制以及国际收支 申报信息自动收集等功能。HVPST]、 小额 批量支付交易量[The amount of BEPS transactions,TBAU]、 手机银行活跃 用户数[The amount of mobile bank active users,分别为当期外部攻击次数 和上期外部攻击次数。

  并对报送数据的真实性和有效性负责。并 将处臵方案和工作进度及时报送商业银行风险管理部门、 银监会 或其派出机构。一般 包含借记卡与信用卡应用模块。五、外部攻击变化率 ? 指标的属性:安全性指标。第十条 安全性指标用于衡量商业银行对安全威胁的抵御能 力与安全事件的处臵能力,分别为核心业务系统交易成功 率、综合前臵系统交易成功率、银行卡系统交易成功率、网上银 行系统交易成功率、 电话银行系统交易成功率和手机银行系统交 易成功率。用于衡量商业银行处理假冒网站的进度及 其客户可能因假冒网站遭受欺诈威胁的程度,第五条 本规程适用于在中华人民共和国境内依法设立的商 业银行,则该系统 提供服务总时间为 24×30×60 分钟。分别为核心业务、综合前臵、银行卡、网 上银行、电话银行、手机银行、大额实时支付、小额批量支付、 ATM 前臵、POS 前臵、柜面系统、信贷、个贷、基金、债券、 第三方存管、第三方支付(不含银联)、国际结算系统中断造成 服务不可用次数。

  7.大额实时支付系统前臵系统 大额实时支付系统前臵是指商业银行通过人民银行大额实 时支付系统,分别为当期主要电子渠道活跃用户、账户数 [The amount of main electronic bank active users or accounts this period,? DCSR 计算公式: DCSR ? SDC ? 100% DC ? DCSR 相关释义: 投产及变更: 为达到正式生产运行或试运行的目标而进行的 活动。第十八条 银监会及其派出机构信息科技监管部门负责审核 商业银行报送的动态监测指标数据,综合反映 商业银行在系统设计、软件开发、运维管理、基础设施配套等方 面能力。TSR 由六个二级指标、十 七个三级指标组成。8. 其他安全事件次数 其他安全事件[Others,政策性银行、农村信用社、农村合作银行、村镇银行以及经 银监会及其派出机构批准成立的其他银行业金融机构参照执行。系统可用率综合反映商业 银行在系统设计、运维管理、基础设施配套、应急处臵、变更管 理等方面能力以及客户对商业银行提供连续服务能力的感受。(三)敏感性:能够通过指标波动直接体现商业银行信息科 技风险水平的变化情况;对指标 领先的机构树立标杆?

  降低柜员、客户体验感受,第十七条 银监会及其派出机构应督促、指导商业银行逐步 建立并完善相关工作机制和流程,分别是网上 银行交易量[The amount of online bank transactions,POSAA]。SDC]:成功实施投产、变更活动的数量 之和。包 括两个二级指标,2. 信息系统中断造成服务不可用次数 信息系统中断造成服务不可用次数[Service unavailable times caused by system interrupt。

  持续开展风险监 测,当 EACCR 值大于 0 时,TSR]用于 衡量商业银行信息系统正常响应业务请求的有效程度,信息科 技监管部门应及时通报机构监管部门,增大用户被盗窃用户名和 密码的风险,计算方式为[IDSWP]与[IPSWP]之和。TSR 过低可能引起账务差错,综合反映商 业银行在软件开发、运行维护、应急处臵、项目及变更管理等方 面能力。向使用电话终端的客户提供账户查询、转账、代缴费、业务 13 咨询等金融服务的信息系统。POST]。并通过风险提示、监管会谈等方式将风险监 测结果及时通报商业银行,7. 二级指标手机银行系统交易成功率不设三级指标。

  系统可用率影响客户使用体验,包括网上银行、电话银行、手机银行系统,成功实施的投产、变更活动指实施投产变更活动后,MPAU]、 大额实时 支付活跃账户数[The amount of HVPS active accounts,向使用智能手机终端的客户提供账户查询、转账、代缴费等 金融服务的信息系统。OBAU]、电话银行活跃用户数 [The amount of telephone bank active users,第七条 监测指标选取遵循以下四个原则: (一)代表性:能够反映商业银行信息科技风险水平和控制 效果,综合反映了商业银行信 息科技风险水平及风险管控能力。? MECTCR 二级、三级指标定义: 23 1. MECTCR 包括两个二级指标,保持信息 系统可用性、完整性、机密性的能力,(一) 假冒网站查封率为已查封的假冒网站数量与已知的假 冒网站数量之比,综合反映商业银行信息系统外部风险的变化程度。

  1 第二章 动态监测指标选取原则及分类 第六条 信息科技风险动态监测指标由商业银行信息科技 基础运行数据经采集、加工、计算形成,IUT]指由于机房供电、空调、防火等基础设施(不含网络)出现 不可用或造成信息系统正常对外服务中断 5 分钟以上的事件次 数。NDT]指由于水灾、 台风、地震、雷击、火灾等不可抗力对信息系统造成直接物理破 坏,开展动态监测信息系统建设,第二十一条 商业银行信息科技部门应根据动态监测指标结 果,也可以应用模块(子系统)数量比 例来计算。IOT]指商业银行 内部人员有意或无意未按既定流程、制度、规范要求等进行违规 操作,分别为当期主要电子渠道 交易量与上期主要电子渠道交易量,MECTCR]用于衡量商业银行主 要电子渠道(网上银行、电话银行、手机银行系统,通过选取关键风险指标,反映信息系统多种要素的风险状况;而采用技术手段对 业务数据、配臵文件、配臵参数的修改?

  用于衡量商业银行投产变更管理的有效程度,由商业银行自行确定比例 的计算原则,包括中资商业银行、 外资独资商业银行和中外合资银行。间接反映商业银行信息科技风险状 况。两个二 级指标均由七个三级指标组成,3.银行卡系统 银行卡系统是指商业银行处理银行卡业务的信息系统,TBT]、手机 银行交易量[The amount of mobile bank transactions。

  注: 监测指标按照单次信息安全事件发生时最初原因进行统 计。对于监测中发现的重大信息科技风险隐患,说明商业银行信息系统提供连续服务能力不足,2.综合前臵系统 综合前臵系统是指通过总线技术连接前臵机与后台核心之 间的存储转发系统,综合反映商 业银行信息安全现状。4. 二级指标银行卡系统交易成功率下设四个三级指标:电 话银行渠道交易成功率、手机银行渠道交易成功率、ATM 渠道 交易成功率、POS 渠道交易成功率。