銀行業金融機構信息科技風險評估指南

Ⅰ 有誰聽說過銀行金融業要求做的風險評估報告啊這是找哪做啊是怎麼個東西誰能介紹下

這個你可以問問北京賽西認證有限責任公司，他們是工信部下屬的認證機構，你問的這個可能跟信息安全體系相關，他們技術上還是過硬的，以前我們公司找他們做過信安體系和IT服務管理體系，還不錯。

Ⅱ 商業銀行信息科技風險管理指引的第九章 內部審計

第六十三條 商業銀行內部審計部門應根據業務的性質、規模和復雜程度，對相關系統及其控制的適當性和有效性進行監測。內部審計部門應配備足夠的資源和具有專業能力的信息科技審計人員，獨立於本銀行的日常活動，具有適當的授權訪問本銀行的記錄。
第六十四條 商業銀行內部信息科技審計的責任包括：
（一） 制定、實施和調整審計計劃，檢查和評估商業銀行信息科技系統和內控機制的充分性和有效性。
（二） 按照第（一）款規定完成審計工作，在此基礎上提出整改意見。
（三） 檢查整改意見是否得到落實。
（四） 執行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調查、分析和評估，或審計部門根據風險評估結果對認為必要的特殊事項進行的審計。
第六十五條 商業銀行應根據業務性質、規模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。
第六十六條 商業銀行在進行大規模系統開發時，應要求信息科技風險管理部門和內部審計部門參與，保證系統開發符合本銀行信息科技風險管理標准。

Ⅲ 商業銀行信息科技風險管理指引的介紹

為加強商業銀行信息科技風險管理，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《中華人民共和國外資銀行管理條例》，以及國家信息安全相關要求和有關法律法規，制定本指引。本指引適用於在中華人民共和國境內依法設立的法人商業銀行。政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信託公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。

Ⅳ 銀行業金融機構信息系統風險管理指引的第五章　運行維護風險控制

第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離，運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護，除應急外，其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求：
（一）制定詳細的運行值班操作表，包括規定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息；
（二）提供常見和簡便的操作菜單或命令，如信息系統的啟動或停止、運行日誌的查詢等；
（三）提供機房環境、設備使用、網路運行、系統運行等監控信息；
（四）記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求：
（一）除對信息系統設備和系統環境的維護外，對軟體或數據的維護必須通過特定的應用程序進行，添加、刪除和修改數據應通過櫃員終端，不得對資料庫進行直接操作；
（二）具備各種詳細的日誌信息，包括交易日誌和審計日誌等，以便維護和審計；
（三）提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求：
（一）制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，並遵循流程實施控制和管理；變更前應明確應急和回退方案，無授權不得進行變更操作；
（二）根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性；
（三）應採用軟體工具精確判斷變更的真實位置和內容，形成變更內容核實清單，實現真實、有效、全面的檢驗；
（四）軟體版本變更後應保留初始版本和所有歷史版本，保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內，應組織對系統的後評價，並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢，明確信息系統及機房環境設施出現故障時的應急處理流程和預案，有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度，發生信息系統造成重大經濟、聲譽損失和重大影響事件，應即時上報並處理，必要時啟動應急處理預案。

Ⅳ 銀行信息科技風險應該如何管控

銀行業的外包風險管理是近幾年銀行監管的重點，銀監會為此先後發過幾回個文：
《中國銀答監會辦公廳關於開展銀行業金融機構信息科技非駐場集中式外包監管評估工作的通知》；
《銀行業金融機構信息科技外包風險管理指引》；
《中國銀監會辦公廳關於加強銀行業金融機構信息科技非駐場集中式外包風險管理的通知》；
這幾份文件都對如何實施信息科技風險管理起到指導性意見，可以進行參考。
實施供應商的風險管理可以從供應商服務的全生命周期入手，在供應商准入、供應商采購和合同、供應商服務監控、服務結束/終止、績效評估各個階段分別實施管理和技術方面的管理。

如果還需要更細化的操作方式可以找咨詢機構幫忙，安言咨詢有專門負責銀行業的總監應該能幫到你。

Ⅵ 銀行業金融機構案件（風險）信息報送及登記辦法的第二章　案件風險信息報送流程

第六條案件風險事件發生後，銀監局、銀監會直接監管的銀行業金融機構總部應當立即按照本辦法的規定及時報送案件風險信息。案件風險信息的報送時點是案件風險事件發生後24小時以內。
對符合銀監會《重大突發事件報告制度》重大突發事件報送標準的案件風險信息，應當在按照該制度要求的方式報送的同時，抄送銀監會案件稽查部門。
對不符合銀監會《重大突發事件報告制度》重大突發事件報送標準的案件風險信息，應當以《案件風險信息快報》形式(見附件一)，報送銀監會案件稽查部門。
第七條銀行業金融機構案件風險信息快報的內容應當包括：事發銀行業金融機構名稱、事發時間及案件風險事件概況；涉及人員及情況；風險情況及預判；已經或可能造成的影響；事發銀行業金融機構或公安、司法機關已採取的措施；其他需要說明的情況。
案件風險信息報送的涉案金額和風險金額以上報時了解的金額為准。
第八條銀監局、銀監會直接監管的銀行業金融機構總部在報送案件風險信息後，應當立即對報送的風險事件進行核查和確認。
第九條如經調查確認案件風險信息不構成案件，銀監局、銀監會直接監管的銀行業金融機構總部應當立即向銀監會案件稽查部門報送《案件風險信息撤銷報告》(附件三)。
第十條案件風險信息在確認為案件之前不納入案件統計系統。