1、頁眉.法律法規知識點匯編目錄 1 3 72014年9月24 日0/10頁眉.商業銀行信息科技風險管理指引信息科技風險： 是指信息科技在商業銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。 (第 4 條)多選題：信息科技風險， 是指信息科技在商業銀行運用過程中，由于下列哪些情形產生的操作、法律和聲譽等風險？（ ABCD ）A.自然因素B.人為因素C.技術漏洞D.管理缺陷信息科技風險管理的 第一責任人： 商業銀行法定代表人是本機構信息科技風險管理的第一責任人， 負責組織本指引貫徹落實。（第 6 條）判斷題： 商業銀行董事會是信息科技風險管理的第一責任人。（&

2、#215;）信息科技風險管理策略：商業銀行應制定全面的信息科技風險管理策略，包括但不限于下述領域： (一 )信息分級與保護。 (二 )信息系統開發、測試和維護。(三 )信息科技運行和維護。(四)訪問控制。(五 )物理安全。 (六 )人員安全。 (七 )業務連續性計劃與應急處置。 (第 15 條)多選題：商業銀行應制定全面的信息科技風險管理策略，包括但不限于以下哪些領域？（ABCD ）A.信息分級與保護B.信息科技運行和維護C.物理安全D. 業務連續性計劃與應急處置1/10頁眉.崗位制約：商業銀行應將信息科技運行與系統開發和維護分離，確保信息科技部門內部的崗位制約；對數據中心的崗位和職責做出明確

3、規定。(第 41 條)單選題： 商業銀行應將（A ）分離，確保信息科技部門內部的崗位制約；對數據中心的崗位和職責做出明確規定。A. 信息科技運行與系統開發和維護B. 系統管理和網絡C. 數據庫管理系統和網絡D. 硬件管理和軟件管理大規模系統開發的部門參與：商業銀行在進行大規模系統開發時，應要求信息科技風險管理部門和內部審計部門參與，保證系統開發符合本銀行信息科技風險管理標準。(第 66 條)單選題：商業銀行在進行大規模系統開發時， 應要求信息科技風險管理部門和 ( A ) 參與，保證系統開發符合本銀行信息科技風險管理標準。A.內部審計部B.財務部C.業務部D.監察部2/10頁眉.商業銀行業務連

4、續性監管指引業務連續性管理定義： 是指商業銀行為有效應對重要業務運營中斷事件，建設應急響應、恢復機制和管理能力框架，保障重要業務持續運營的一整套管理過程，包括策略、組織架構、方法、標準和程序。（第2 條）重要業務運營中斷事件：是指因下述原因導致信息系統服務異常、重要業務停止運營的事件。主要包括：(一 )信息技術故障：信息系統技術故障、配套設施故障；(二)外部服務中斷：第三方無法合作或提供服務等；(三)人為破壞：黑客攻擊、恐怖襲擊等；(四)自然災害：火災、雷擊、海嘯、地震、重大疫情等。（第4條）業務連續性管理承擔最終責任：董 (理 )事會是商業銀行業務連續性生管理的決策機構，對業務連續性管理承擔

5、最終責任。（第 10 條）業務連續性管理的部門職責 ：商業銀行應當明確業務連續性管理執行部門， 包括業務條線部門與信息科技部門。 業務條線部門負責風險評估、 業務影響分析， 確定重要業務恢復目標和恢復策略，負責業務條線重要業務應急響應與恢復； 信息科技部門負責信息技術應急響應與恢復。 (第 14 條 )多選題： 商業銀行應當明確業務連續性管理執行部門，包括業務條線部門與信息科技部門。業務條線部門負責( ABCD ) ，負3/10頁眉.責業務條線重要業務應急響應與恢復。A. 風險評估B.業務影響分析C.確定重要業務恢復目標和策略D.負責重要業務應急響應與恢復重要業務恢復時間：原則上，重要業務恢復

6、時間目標不得大于 4 小時，重要業務恢復點目標不得大于半小時。(第 25 條)單選題：根據業務連續性管理要求，原則上重要業務恢復時間目標不得大于 (A)。A.4 小時B.2 小時C.1 小時D.0.5 小時業務連續性計劃演練頻率：商業銀行應當至少每三年對全部重要業務開展一次業務連續性計劃演練。在重大業務活動、 重大社會活動等關鍵時點，或在關鍵資源發生重大變化之前，也應當開展業務連續性計劃的專項演練。（第49 條）單選題： 商業銀行應當至少每（D ）對全部重要業務開展一次業務連續性計劃演練。A.半年B.一年C.二年D.三年新產品開發的業務連續性管理：商業銀行在開發新業務產品時，應當同步考慮是否將

7、其納入業務連續性管理范疇。對納入業務連續性管理的， 應當在上線前制定業務連續性計劃并實施演練。 (第 56 條)單選題：商業銀行在開發新業務產品時，應當同步考慮是否將其納入業務連續性管理范疇。對納入業務連續性管理的，應當4/10頁眉.在( A ) 制定業務連續性計劃并實施演練。A.上線前B.上線中C.上線后D.維護時運營中斷事件分級（節選）：銀監會及其派出機構對銀行業運營中斷事件進行分級。當運營中斷事件同時滿足多個級別的定級條件時，按最高級別確定事件等級。(一 )特別重大運營中斷事件(級 )1.重要信息系統服務中斷，或重要數據損毀、丟失、泄露，造成經濟秩序混亂或重大經濟損失等特別嚴重損害的事件

8、；2.在業務服務時段導致一個(含)以上省的多家金融機構業務無法正常開展達3 個小時 (含)以上的事件；3在業務服務時段導致單家金融機構兩個(含 )以上省業務無法正常開展達3 個小時 (含)以上，或一個省業務無法正常開展達 6 個小時 (含 )以上的事件；4.業務服務時段以外，故障或事件救治未果、可能產生上述1 至 3 類事件的事件。(二 )重大運營中斷事件(級 )1.重要信息系統服務中斷，或重要數據損毀、丟失、泄露，對銀行或客戶利益造成嚴重損害的事件；2.在業務服務時段導致一個(含)以上省的多家金融機構業務無法正常開展達半個小時(含)以上的事件；3.在業務服務時段導致單家金融機構兩個(含)以上

9、省業務無法正常開展達半個小時(含 )以上，或一個省業務無法正常開展達3 個小時 (含 )以上的事件；5/10頁眉.4.業務服務時段以外，故障或事件救治未果、可能產生上述1 至 3 類事件的事件。(三 )較大運營中斷事件(級 )1.重要信息系統服務中斷，或重要數據損毀、丟失、泄露，對銀行或客戶利益造成較大損害的事件；2.在業務服務時段導致一個省(自治區、直轄市)業務無法正常開展達半個小時(含 )以上的事件；3.業務服務時段以外，故障或事件救治未果、可能產生上述1 至 2 類事件的事件。 (第 79 條 )多選題： 下列屬于銀行業特別重大運營中斷事件(級 )的是（ ABCD ）A.重要信息系統服務

10、中斷造成特別嚴重經濟損失的。B.在業務服務時段導致一個(含 )以上省的多家金融機構業務無法正常開展達3 個小時 (含)以上的。C.在業務服務時段導致單家金融機構兩個以上省業務無法正常開展達3 個小時 (含)以上。D.在業務服務時段導致單家金融機構一個省(自治區、直轄市)業務無法正常開展達 6 個小時 (含)以上的事件。運營中斷報告： 按照屬地監管原則，銀監機構在商業銀行運營中斷事件發生后2 小時內，將事件及處置情況上報銀監會處置工作小組。（第80 條）判斷題：按照屬地監管原則， 銀監機構在商業銀行運營中斷事件發生后2 小時內，應將事件及處置情況上報銀監會處置工作6/10頁眉.小組。（）銀行業金

11、融機構外包風險管理指引適用范圍：外包是指銀行業金融機構將原來由自身負責處理的某些業務活動委托給服務提供商進行持續處理的行為。(第 3條)單選題：銀行業金融機構外包風險管理指引中的外包指銀行業金融機構將原來由自身負責處理的某些業務活動委托給（B）進行持續處理的行為。A. 服務制造商B. 服務提供商C. 服務銷售商D. 服務維修商外包活動的最終責任主體：銀行業金融機構的董事會和高級管理層應當承擔外包活動的最終責任。(第4條)單選題： 銀行業金融機構的董事會和（C ）應當承擔外包活動的最終責任。A.社員代表大會B.監事會C.高級管理層D.外包管理團隊關聯關系調查： 銀行業金融機構的外包活動涉及多個服

12、務提供商時，應當對這些服務提供商進行關聯關系的調查。(第 13條)。單選題： 銀行業金融機構的外包活動涉及多個服務提供商時，應當對這些服務提供商進行（D ）的調查。A.管理能力B.盈利能力C.技術實力D.關聯關系不宜外包的職能： 銀行業金融機構的戰略管理、核心管理7/10頁眉.以及內部審計等職能不宜外包。(第7條)多選題： 銀行業金融機構下列哪些職能不宜外包（ABC ）A.戰略管理B.核心管理C.內部審計D.績效系統外包服務提供商承諾事項： 銀行業金融機構在外包合同中應當要求外包服務提供商承諾以下事項： （一）定期通報外包活動的有關事項；（二）及時通報外包活動的突發性事件； （三）配合銀行業金融機構接受銀行業監督管理機構的檢查； （四）保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，銀行業金融機構有權隨時終止外包合同； （五）不得以銀行業金融機構的名義開展活動； （六）銀行業金融機構認為應當承諾的其他事項。（第 16 條）多選題：銀行業金融機構在外包合同中應當要求外包服務提供商承諾以下事項（ ABCD ）A. 定期通報外包活動的有關事項B. 配合銀行業金融機構接