银行业金融机构信息科技风险评估指南

Ⅰ 有谁听说过银行金融业要求做的风险评估报告啊这是找哪做啊是怎么个东西谁能介绍下

这个你可以问问北京赛西认证有限责任公司，他们是工信部下属的认证机构，你问的这个可能跟信息安全体系相关，他们技术上还是过硬的，以前我们公司找他们做过信安体系和IT服务管理体系，还不错。

Ⅱ 商业银行信息科技风险管理指引的第九章 内部审计

第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度，对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员，独立于本银行的日常活动，具有适当的授权访问本银行的记录。
第六十四条 商业银行内部信息科技审计的责任包括：
（一） 制定、实施和调整审计计划，检查和评估商业银行信息科技系统和内控机制的充分性和有效性。
（二） 按照第（一）款规定完成审计工作，在此基础上提出整改意见。
（三） 检查整改意见是否得到落实。
（四） 执行信息科技专项审计。信息科技专项审计，是指对信息科技安全事故进行的调查、分析和评估，或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。
第六十五条 商业银行应根据业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。
第六十六条 商业银行在进行大规模系统开发时，应要求信息科技风险管理部门和内部审计部门参与，保证系统开发符合本银行信息科技风险管理标准。

Ⅲ 商业银行信息科技风险管理指引的介绍

为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

Ⅳ 银行业金融机构信息系统风险管理指引的第五章　运行维护风险控制

第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条 银行业金融机构信息系统运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。
第四十五条 银行业金融机构信息系统的运行应符合以下要求：
（一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息；
（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等；
（三）提供机房环境、设备使用、网络运行、系统运行等监控信息；
（四）记录运行值班过程中所有现象、操作过程等信息。
第四十六条 银行业金融机构信息系统的维护应符合以下要求：
（一）除对信息系统设备和系统环境的维护外，对软件或数据的维护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜员终端，不得对数据库进行直接操作；
（二）具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计；
（三）提供维护的统计和报表打印功能。
第四十七条 银行业金融机构信息系统的变更应符合以下要求：
（一）制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作；
（二）根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性；
（三）应采用软件工具精确判断变更的真实位置和内容，形成变更内容核实清单，实现真实、有效、全面的检验；
（四）软件版本变更后应保留初始版本和所有历史版本，保留所有历史的变更内容核实清单。
第四十八条 银行业金融机构在信息系统投产后一定时期内，应组织对系统的后评价，并根据评价及时对系统功能进行调整和优化。
第四十九条 银行业金融机构应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行24小时值班。
第五十条 银行业金融机构应实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。

Ⅳ 银行信息科技风险应该如何管控

银行业的外包风险管理是近几年银行监管的重点，银监会为此先后发过几回个文：
《中国银答监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》；
《银行业金融机构信息科技外包风险管理指引》；
《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》；
这几份文件都对如何实施信息科技风险管理起到指导性意见，可以进行参考。
实施供应商的风险管理可以从供应商服务的全生命周期入手，在供应商准入、供应商采购和合同、供应商服务监控、服务结束/终止、绩效评估各个阶段分别实施管理和技术方面的管理。

如果还需要更细化的操作方式可以找咨询机构帮忙，安言咨询有专门负责银行业的总监应该能帮到你。

Ⅵ 银行业金融机构案件（风险）信息报送及登记办法的第二章　案件风险信息报送流程

第六条案件风险事件发生后，银监局、银监会直接监管的银行业金融机构总部应当立即按照本办法的规定及时报送案件风险信息。案件风险信息的报送时点是案件风险事件发生后24小时以内。
对符合银监会《重大突发事件报告制度》重大突发事件报送标准的案件风险信息，应当在按照该制度要求的方式报送的同时，抄送银监会案件稽查部门。
对不符合银监会《重大突发事件报告制度》重大突发事件报送标准的案件风险信息，应当以《案件风险信息快报》形式(见附件一)，报送银监会案件稽查部门。
第七条银行业金融机构案件风险信息快报的内容应当包括：事发银行业金融机构名称、事发时间及案件风险事件概况；涉及人员及情况；风险情况及预判；已经或可能造成的影响；事发银行业金融机构或公安、司法机关已采取的措施；其他需要说明的情况。
案件风险信息报送的涉案金额和风险金额以上报时了解的金额为准。
第八条银监局、银监会直接监管的银行业金融机构总部在报送案件风险信息后，应当立即对报送的风险事件进行核查和确认。
第九条如经调查确认案件风险信息不构成案件，银监局、银监会直接监管的银行业金融机构总部应当立即向银监会案件稽查部门报送《案件风险信息撤销报告》(附件三)。
第十条案件风险信息在确认为案件之前不纳入案件统计系统。