第十四期法律知识点(信息科技、业务连续性、外包风险管理)

法律法规知识点汇编

（第十四期）

目 录

※商业银行信息科技风险管理指引…………………1

※商业银行业务连续性监管指引……………………3

※银行业金融机构外包风险管理指引…………… 7

2014年9月24日

商业银行信息科技风险管理指引

※信息科技风险：是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。(第4条)

多选题：信息科技风险，是指信息科技在商业银行运用过程中，由于下列哪些情形产生的操作、法律和声誉等风险？（ABCD）

A.自然因素 B.人为因素 C.技术漏洞 D.管理缺陷 ※信息科技风险管理的第一责任人：商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引贯彻落实。（第6条）

判断题：商业银行董事会是信息科技风险管理的第一责任人。（×）

※信息科技风险管理策略：商业银行应制定全面的信息科技风险管理策略，包括但不限于下述领域：(一)信息分级与保护。(二)信息系统开发、测试和维护。(三)信息科技运行和维护。(四)访问控制。 (五)物理安全。(六)人员安全。(七)业务连续性计划与应急处臵。(第15条)

多选题：商业银行应制定全面的信息科技风险管理策略，包括但不限于以下哪些领域？（ABCD）

A.信息分级与保护 B.信息科技运行和维护 C.物理安全 D. 业务连续性计划与应急处臵 ※岗位制约：商业银行应将信息科技运行与系统开发和维护

1

分离，确保信息科技部门内部的岗位制约；对数据中心的岗位和职责做出明确规定。(第41条)

单选题：商业银行应将（ A ）分离，确保信息科技部门内部的岗位制约；对数据中心的岗位和职责做出明确规定。

A. 信息科技运行与系统开发和维护 B. 系统管理和网络 C. 数据库管理系统和网络 D. 硬件管理和软件管理

※大规模系统开发的部门参与：商业银行在进行大规模系统开发时，应要求信息科技风险管理部门和内部审计部门参与，保证系统开发符合本银行信息科技风险管理标准。(第66条)

单选题：商业银行在进行大规模系统开发时，应要求信息科技风险管理部门和( A )参与，保证系统开发符合本银行信息科技风险管理标准。

A.内部审计部 B.财务部 C.业务部 D.监察部

2

商业银行业务连续性监管指引

※业务连续性管理定义：是指商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。（第2条）

※重要业务运营中断事件：是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括：(一)信息技术故障：信息系统技术故障、配套设施故障； (二)外部服务中断：第三方无法合作或提供服务等；(三)人为破坏：黑客攻击、恐怖袭击等； (四)自然灾害：火灾、雷击、海啸、地震、重大疫情等。（第4条）

※业务连续性管理承担最终责任：董(理)事会是商业银行业务连续性生管理的决策机构，对业务连续性管理承担最终责任。（第10条）

※业务连续性管理的部门职责：商业银行应当明确业务连续性管理执行部门，包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条线重要业务应急响应与恢复；信息科技部门负责信息技术应急响应与恢复。(第14条)

多选题：商业银行应当明确业务连续性管理执行部门，包括业务条线部门与信息科技部门。业务条线部门负责( ABCD )，负责业务条线重要业务应急响应与恢复。

3