第一篇：信息科技風險自評估報告

XX縣信用聯社關于對

信息科技風險自評估工作的匯報

X聯社XX辦事處:

按照辦事處《轉發銀監會辦公廳關于落實銀行業金融機構信息科技風險評價審計整改和開展信息科技風險自評估工作的通知》要求,我縣聯社迅速組成自評估調查小組,按照全面、系統的要求,認真進行自評估分析,現將情況匯報如下:

﹙一﹚、提高認識，建立健全了信息系統安全風險防范體系。

隨著電子化建設不斷走向深入，信用社主要業務逐步依賴于計算機綜合業務系統，隨之而來的系統和網絡安全已成為安全管理的關鍵環節和薄弱環節，尤其自二00六年五月底我縣農村信用社順利并入全X農信社通存通兌網絡后，網絡安全運行工作事關全縣農村信用社改革，經營、管理大局。我縣聯社從防范科技風險的高度充分認識到加強系統和網絡安全運行工作的必要性和重要意義，正確處理了發展與安全的關系，一手抓電子化建設，一手抓風險防范。截止目前，已經初步按照上級主管部門統一標準建立起較完善的網絡和信息安全風險防范體系。我們主要做到了以下幾方面工作:

一、加強制度建設，規范操作行為,我們從健全制度入手,先后修改完善了《XX縣農村信用社綜合業務網絡系統柜員管理辦法》、《XX縣農村信用社綜合業務網絡系統業務授權管理辦法》、《XX縣農村信用社綜合業務網絡系統網點運行管理制度》、《XX縣農村信用社綜合業務網絡系統 1

設備管理制度》、《XX縣農村信用社綜合業務網絡系統突發事件應急處置預案》、《XX縣信用聯社防范病毒管理制度》、《XX縣信用聯社機房管理制度》，修改制定了《XX縣農村信用社綜合業務網絡系統安全運行管理處罰辦法》等制度、規定，切實將我縣農村信用社的網絡安全管理責任落到實處。

二、加強硬件及網絡環境建設，避免系統風險。

1、實現了內網與外網的嚴格的物理分離，內網主線路為

光纖專線，備份線路為音頻專線，有關內網用機保證了專機專用。

2、為每個網點制做了規范的地線，并為網絡設備配備了

專用機柜。與綜合業務網絡系統有關的機房、辦公室、營業網點都配備有消防器材。

3、定期對中心機房及網點計算機專用供電線路及網絡線

路進行專項整治，對老化的線路進行了更新，對有隱患的線路進行了整改。

4、所有網點都有不間斷電源保護。并定期對老化的設備，如UPS，參數穩壓器，發電機進行統一的更新。對網點所用設備都按一定比例配齊了備用設備。

5、上線初期，即制定下發了《計算機業務管理制度（暫行）》，規范了業務操作、授權和口令以及人員和設備的管理。明確要求業務人員離開時，業務終端必須退出。在隨后的多次檢查中沒有發現不規范操作的現象。

6、制定了《XX縣信用聯社防范病毒管理制度》，確定了專

人進行全轄病毒防治工作。

7、組織相關系統集成方和線路運營方對縣中心機房進行安

全風險測試，排除隱患。

8、制定了《XX縣信用聯社機房管理制度》，建立了機房工

作人員及非工作人員出入管理規定。

﹙二﹚、加強領導，落實了網絡和信息安全責任制。

為加強信息科技和信息安全的管理，嚴格落實信息安全責任

制，聯社成立網絡與信息安全工作領導小組，各信用社也成立了相應的工作小組，全面負責本單位的信息安全和運行管理工作，聯社建立了信息科技及技術風險管理部門，設立了專職管理人員，網絡和信息安全責任落實到位。積極地做好了信息安全工作的組織領導和指導監督工作,從加強員工安全教育和業務培訓入手,避免出現管理風險、結算風險、操作風險，確保了網絡和信息系統的安全穩定運行。在本次自評估中，各級領導對評估工作高度重視，風險評估工作得到了廣泛認同和支持，順利地開展并卓有成效地進行，獲得了客觀、真實和有效的評估結果。

一、領導重視，相互配合。

在自評估過程中，聯社主要領導非常重視，召開專門會

議，指定部門和專人負責評估工作。分管領導多次聽取情況匯報，及時提出要求，進行工作部署。信息管理部門負責人親自帶隊參與評估工作，抓好落實。各相關公司及線路運營商派來有豐富經驗的技術工程師參加測評工作，提前做好準備工作。信息安全風險評估工作涉及信息系統的主管部門、建設單位、運行維護部門、使用部門、安全管理部門以及技術支持單位和產品或服務提供商。在各方的協調配合下，評估小組相互支持，謹慎從事、認真負責、積極協作，較好地完成了風險評估工作。

二、嚴格審查，保證質量。

信息安全風險評估是一項嶄新的工作，其專業性、技術

性很強，為了確保測評工作質量，聯社運管部按照銀監會下發的《信息安全風險評估指南》，從工作內容、測評目的、操作規程、技術手段等方面，以及評估的各個環節上嚴格把關，適時提出安排意見，有效地保證了測評工作的順利進行。目前，共完成評估報告份，我縣農村信用社信息安全風險評估工作基本完成。

三、積極行動，有效整改。

通過風險評估，各有關單位對現有信息網絡和信息系統的資產、運行狀況、存在問題等有了全面翔實的了解，針對網絡和系統客觀存在的安全隱患和安全風險，各單位正在積極研究有效解決方案。牟家壩信用社在評估結果出來后，認識高、行動快、安全意識強，于1月 日在社內發文，對PC 機、終端和有關應用系統等進行全面清查，同時，還提出了重新設置密碼和PC 權限，加強對敏感信息的管理，清除非法軟件等措施。

三、加強維護、建立了網絡和信息安全應急預案。

我縣聯社高度重視網絡信息安全防范工作，建立了網絡信息

安全應急預案，為避免出現不安全情況,對潛在的突發事件和重大操作，事先有預防措施、應急處置程序和恢復控制辦法；明確了各責任區域責任人及其工作職責；定期進行應急預案演練，檢驗其操作性和效果;各社確定專人,作為信用社系統管理人員(兼),提供工作條件和培訓機會,建立了多層次的系統維護管理人員體系，提高了處理突發事件的效率和能力。

通過此次風險評估工作，找出了信息系統存在的不安全因

素，發現了一些安全隱患，制定了整改措施，增強了系統的安全性。我們認識到，信息安全工作是一項長期的任務，這次評估工作僅僅是一個起點。今后，我們要將評估工作長期開展下去，逐步擴大評估范圍，加深評估工作的深度，貫徹落實整改措施，不斷提高我縣農村信用社信息系統的安全性，完整性和可用性，以保證各項工作順利進行。

二00八年一月十日

第二篇：信息科技風險自評報告

XX銀行

關于信息科技風險自評工作的報告

XXX: 按照貴局《關于開展中小法人銀行業金融機構信息科技監管評級工作的通知》要求,我行迅速組成自評估調查小組,按照全面、系統的要求,認真進行自評估分析,現將情況匯報如下:

一、提高認識，建立健全了信息系統安全風險防范體系。隨著電子化建設不斷走向深入，我行主要業務逐步依賴于計算機綜合業務系統，隨之而來的系統和網絡安全已成為安全管理的關鍵環節和薄弱環節，尤其自二00六年五月底我縣順利并入全省農信社通存通兌網絡后，網絡安全運行工作事關全縣改革，經營、管理大局。我行從防范科技風險的高度充分認識到加強系統和網絡安全運行工作的必要性和重要意義，正確處理了發展與安全的關系，一手抓電子化建設，一手抓風險防范。截止目前，已經初步按照上級主管部門統一標準建立起較完善的網絡和信息安全風險防范體系。我們主要做到了以下幾方面工作:

（一）加強制度建設，規范操作行為,我們從健全制度入手,先后修改完善了《綜合業務網絡系統柜員管理辦法》、《綜合業務網絡系統業務授權管理辦法》、《綜合業務網絡系統網點運行管理制度》、《綜合業務網絡系統設備管理制度》、《綜合業務網絡系統突發事件應急處置預案》、《防范病毒管理制度》、《機房管理制度》，修改制定了《綜合業務網絡系統安全運行管理處罰辦法》等制度、規定，切實將我行的網絡安全管理責任落到實處。

（二）加強硬件及網絡環境建設，避免系統風險。

1、實現了內網與外網的嚴格的物理分離，內網主線路為光纖專線，備份線路為音頻專線，有關內網用機保證了專機專用。

2、為每個網點制做了規范的地線，并為網絡設備配備了專用機柜。與綜合業務網絡系統有關的機房、辦公室、營業網點都配備有消防器材。

3、定期對中心機房及網點計算機專用供電線路及網絡線路進行專項整治，對老化的線路進行了更新，對有隱患的線路進行了整改。

4、所有網點都有不間斷電源保護。并定期對老化的設備，如UPS，參數穩壓器，發電機進行統一的更新。對網點所用設備都按一定比例配齊了備用設備。

5、上線初期，即制定下發了《計算機業務管理制度（暫行）》，規范了業務操作、授權和口令以及人員和設備的管理。明確要求業務人員離開時，業務終端必須退出。在隨后的多次檢查中沒有發現不規范操作的現象。

6、制定了《防范病毒管理制度》，確定了專人進行全轄病毒防治工作。

7、組織相關系統集成方和線路運營方對縣中心機房進行安全風險測試，排除隱患。

8、制定了《XX縣信用聯社機房管理制度》，建立了機房工 作人員及非工作人員出入管理規定。

二、加強領導，落實了網絡和信息安全責任制。為加強信息科技和信息安全的管理，嚴格落實信息安全責任制，我行成立網絡與信息安全工作領導小組，各機構也成立了相應的工作小組，全面負責本單位的信息安全和運行管理工作，總行建立了信息科技及技術風險管理部門，設立了專職管理人員，網絡和信息安全責任落實到位。積極地做好了信息安全工作的組織領導和指導監督工作,從加強員工安全教育和業務培訓入手,避免出現管理風險、結算風險、操作風險，確保了網絡和信息系統的安全穩定運行。在本次自評估中，各級領導對評估工作高度重視，風險評估工作得到了廣泛認同和支持，順利地開展并卓有成效地進行，獲得了客觀、真實和有效的評估結果。

（一）領導重視，相互配合。

在自評估過程中，總行主要領導非常重視，召開專門會議，指定部門和專人負責評估工作。分管領導多次聽取情況匯報，及時提出要求，進行工作部署。信息管理部門負責人親自帶隊參與評估工作，抓好落實。各相關公司及線路運營商派來有豐富經驗的技術工程師參加測評工作，提前做好準備工作。信息安全風險評估工作涉及信息系統的主管部門、建設單位、運行維護部門、使用部門、安全管理部門以及技術支持單位和產品或服務提供商。在各方的協調配合下，評估小組相互支持，謹慎從事、認真負責、積極協作，較好地完成了風險評估工作。

（二）嚴格審查，保證質量。

信息安全風險評估是一項嶄新的工作，其專業性、技術性很強，為了確保測評工作質量，聯社運管部按照銀監會下發的《信息安全風險評估指南》，從工作內容、測評目的、操作規程、技術手段等方面，以及評估的各個環節上嚴格把關，適時提出安排意見，有效地保證了測評工作的順利進行。

（三）積極行動，有效整改。

通過風險評估，各有關單位對現有信息網絡和信息系統的資產、運行狀況、存在問題等有了全面翔實的了解，針對網絡和系統客觀存在的安全隱患和安全風險，各單位正在積極研究有效解決方案。

三、加強維護、建立了網絡和信息安全應急預案。我行高度重視網絡信息安全防范工作，建立了網絡信息安全應急預案，為避免出現不安全情況,對潛在的突發事件和重大操作，事先有預防措施、應急處置程序和恢復控制辦法；明確了各責任區域責任人及其工作職責；定期進行應急預案演練，檢驗其操作性和效果;各機構確定專人,作為營業機構系統管理人員(兼),提供工作條件和培訓機會,建立了多層次的系統維護管理人員體系，提高了處理突發事件的效率和能力。通過此次風險評估工作，找出了信息系統存在的不安全因素，發現了一些安全隱患，制定了整改措施，增強了系統的安全性。我們認識到，信息安全工作是一項長期的任務，這次評估工作僅僅是一個起點。今后，我們要將評估工作長期開展下去，逐步擴大評估范圍，加深評估工作的深度，貫徹落實整改措施，不斷提高我縣農村信用社信息系統的安全性，完整性和可用性，以保證各項工作順利進行。

第三篇：信息科技風險報告 - 副本

信息科技風險自查報告

按照上級領導的指示，認真貫徹《XX通知》（XX文件）精神，為充分做好重要時期金融網絡和信息系統安全保障工作，防范信息科技風險，保障計算機系統運行和操作安全，建立和完善信息科技風險管理機制。對信息科技工作進行了一次全面的自我評估及審查。現將審查情況報告如下：

一、組織架構、制度建設及管理情況

1、信息科技治理組織架構

信息系統應急處理領導小組負責組織制定全轄應急處置的實施細則，統一組織、協調、指導、檢查全轄應急處置的管理；負責全轄信息系統突發事件的應急指揮、組織協調和過程控制

成立了信息科技部，加強了信息科技管理。

2、信息科技管理制度建設（1）安全管理

對安全管理活動中的各類管理內容建立安全管理制度，制定了《南樂縣農村信用社計算機信息系統安全管理制度》等，并且及時發現缺漏或不足對制度進行修訂。

（2）應急處理

建立較為完善的信息計算機信息系統管理辦法，制定中心機房關鍵基礎設施專項應急預案。

二、信息系統的技術措施情況

1、物理和環境建設

（1）機房的物理訪問控制：機房實現門禁控制，嚴防外部人員進入機房擅自操作。

（2）系統密碼均由專門人員掌管，計算機終端無人看管時鎖定；

（3）機房采用集中監控，監控清晰全面，參數實行24小時不間斷監控，崗位人員具備管理監控專業素質。

（4）機房供電系統均采用雙路UPS供電，線路冗余性好，負載能力強，完全能夠滿足機房電力需求。

（5）機房空調系統的有效性和冗余性，給排風系統的有效性：機房空調系統安全有效，給排風系統工作正常。

（6）中心機房有配套防盜竊、防雷、防火、防水、防靜電、溫濕度控制、電磁保護等措施，確保機房正常運轉。

2、網絡服務連續性、冗余性

1.所有重要通信線路均有備份線路且采用不同運營商，確保網絡無斷點。

2.網絡設備的冗余性：網絡設備均有備份。核心網絡設備，核心生產系統設備均采用雙機熱備，確保關鍵生產設備運行的可靠性。

3.訪問線路的帶寬完全能夠滿足各信息系統的帶寬需求，無網絡擁塞現象。

4.網絡設備管理配置均由專人分管負責，確保合理操作，保障網絡通暢、安全；

3、應用安全

1.業務應用系統的用戶授權及鑒別認證措施

業務應用系統用戶密碼相關業務人員各自保管，通過操作號和密碼進行身份鑒別認證。人員離開時應設置屏幕密碼保護或退出到登陸狀態。

2.業務應用系統的用戶訪問控制

系統軟件用戶訪問實現權限控制，各級人員只能進行權限內操作

三、不足和改進方法

需將管理與技術相結合，進一步加強信息安全管理手段

1、從IT風險管理手段來看，部分系統的風險控制不夠先進，缺乏專業的風險技術支持，事前預防作用有限，事中控制不夠。缺乏對科技風險的集中審計。

2、從組織上保證信息風險有具體人員來承擔責任，強化執行力和合規性。將日常信息風險管理從傳統的檢查模式逐步過渡到基于評估、規劃、執行和監督全面循環改進的模式。制訂詳細的信息科技風險管理架構，確立信息服務管理與信息風險管理的關系，明確信息風險管理的范圍、職責，制訂符合信用社實際情況的管理流程，出臺可操作性強的安全技術規范，從而有效地防范科技風險。

第四篇：反洗錢風險自評估報告

XXXXXXXXXXXXXXXXXXX銀行 關于反洗錢風險自評估的報告

中國人民銀行XX支行：

根據人行XX中心支行下發的《中國人民銀行XXX支行關于轉發<金融機構反洗錢監督管理辦法（試行）>有關事項的通知》（銀XXXX[2014]373）文件的要求，XXXXXXX銀行（以下簡稱“我行”）認真開展本單位的反洗錢風險自評估工作。在自評過程中，本著客觀、公平、公正的原則，對我行反洗錢組織機構設立情況、反洗錢內控建設和執行情況、客戶身份識別情況、大額交易和可疑交易報告情況、反洗錢宣傳培訓工作情況等方面的反洗錢工作進行綜合自評。現將有關自評情況匯報如下：

一、成立反洗錢風險自評估工作小組

為確保反洗錢風險自評估工作順利開展，保證相關工作質量。我行成立了反洗錢評估工作領導小組，以行長XXX為組長,XXXX為副組長，XXX、XXX、XXX為成員，具體工作由副組長XXX負責。工作小組負責制訂自評估工作方案，明確本次自評估工作的目標與要求，以及具體實施的時間與步驟，組織、協調各部門開展自評估工作，并對工作中的各個環節進行監督。

二、反洗錢風險自評估工作執行情況

1、反洗錢內控制度和組織機構建設情況

自開展反洗錢工作以來，我行一直按照上級有關部門的文件規定，不斷完善反洗錢的內控制度，隨著內控制度的不斷健全，一線員工對可疑交易的識別能力有了很大提高，嚴格按照反洗錢相關規定識別客戶身份、報送大額和可疑交易報告。

2、認真落實客戶身份識別工作。

我行在客戶開戶時嚴格按照規定實施客戶身份識別制度，嚴格把關，認真審查各類證件的真實性、完整并進行了核對和登記，對于未能依法提供相關證明材料的個人賬戶一概不予辦理開戶手續；在為單位客戶辦理存款、結算等業務，均按中國人民銀行進行核對登記。

3、認真開展反洗錢宣傳活動，提高社會公眾反洗錢意識。我行將反洗錢宣傳作為日常工作長期開展，為防范金融詐騙活動，維護國家的安全和穩定，我行擺放反洗錢案例精選、反洗錢知識答疑等宣傳冊頁，并在日常業務中對客戶進行反洗錢風險提示。

4、反洗錢風險培訓情況。

我行定期組織對人員進行培訓，交流反洗錢工作的操作技術和方法，提高識別可疑交易的能力，進一步增強反洗錢意識，確保各項制度的落實。今年上半年，我行共有8名人員報名參加中國反洗錢中心的在線培訓，截止至6月末，全部通過反洗錢中心在線考核認證。

三、嚴格遵守保密制度，確保反洗錢信息安全

我行按照規定堅決對反洗錢信息予以保密。未出現泄露在依法履行反洗錢義務過程中獲得的客戶身份資料和交易信息的違法行為，也并未出現泄露可疑交易報告或人民銀行調查可疑交易報告及行政執行機關打擊洗錢活動等有關的工作信息的違法行為。在反洗錢信息保密工作中，我行均能守法守規。

四、積極配合、協助監管及相關部門調查反洗錢活動

我行積極配合人民銀行開展的業務檢查、案件調查工作，同時還積極配合人民銀行開展的日常監督、管理及各項日常性和臨時性的反洗錢工作。我行在能力范圍內積極協助司法機關及行政執法機關打擊洗錢活動。實現了對反洗錢工作的有力支持。

目前我行因業務規模相對較小、業務類型較為單一，在典型案例分析方面,我行尚存在不足之處。另外為積極履行反洗錢義務，我行不斷組織開展各類宣傳活動，但目前在宣傳形式方面仍需不斷豐富，從而提升宣傳效果。

在今后的工作中我們會按照我行的改進措施加強反洗錢工作，深化反洗錢意識，提高反洗錢工作人員識別可疑交易能力，積極推進反洗錢工作的影響實施和開展。

XXXXXXX銀行

2015年9月9日

第五篇：銀行業信息科技風險監管報告

探索銀行業信息科技風險監管框架

銀行業信息科技風險監管概述

信息科技風險是隨著信息科技技術廣泛應用而新生的詞匯，最早出現在上世紀九十年代，目前業界對此缺乏統一的定義。中國銀監會定義的信息科技風險是指信息科技在商業銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

2001年巴塞爾新資本協議草案明確了銀行業資本監管的發展趨勢，即將資本要求與銀行風險管理緊密相連。新資本協議以監管當局對資本計量的要求為基礎，通過約束銀行資本，達到控制行業規模和風險的目的。在新資本協議關注的三大風險中，信息科技風險被默認為操作風險的一部分，未對信息科技風險的管理提出具體要求。

信息科技穩定運行是銀行業務正常經營的基本條件，銀行數據集中造成了風險的高度集中，科技風險成為唯一能使銀行瞬間癱瘓的風險。信息科技風險具有區別于其他操作風險的特殊性：一是風險因素復雜，大量使用外包和新技術使得風險控制的復雜度大幅提高；二是由于管理因素、技術因素多重作用，導致偶發性和不確定性突出；三是信息科技一般不直接造成經濟損失，其造成的間接損失難以計量；四是單個信息系統可影響多個業務，影響范圍廣且具有不確定性。

科技風險與操作風險當前處在不同的發展階段，其管理理論、管理方法等方面有著一定的差異性。在管理體系方面，信息科技風險管理的理論已進入風險導向的科技風險管理階段，但以風險為導向的識別、監測、計量方面尚不成體系；在管理方法方面，信息科技風險的特殊性在于產品和技術層面的風險也是其重要風險因素；在損失特點方面，信息科技風險通常不產生直接的風險損失，這決定了通常情況下科技風險損失往往難以使用貨幣金額方式進行表示；在風險計量方面，目前尚缺乏有效計量信息科技風險資本的方法。

當前銀行業大多將信息科技風險作為操作風險的一部分，納入銀行全面風險管理體系。但是，隨著行業發展和技術進步，在操作風險模式下管理信息科技風險也存在一定的困難：一是目前的操作風險管理方法中對科技風險的管理方法涉及較少，難以兼顧到信息科技風險的專業技術特性，難以實現對信息科技風險的有效管理 ；二是風險監管資本計量未能充分考慮信息科技風險因素，信息科技風險造成的損失及其相應的監管資本計量存在困難。基于科技風險特點及其作為操作風險一部分進行管理遇到的問題，將信息科技風險從操作風險中拆分并獨立管理，能更有效的管理信息科技風險。

信息科技風險應被視為一種獨立的、重要的風險類型被單獨管理，與操作風險的管理分開；應根據信息科技損失的特點設計與操作風險標準法和高級法匹配的計量模型，體現信息科技風險對銀行資本的影響和敏感性。

銀行業信息科技風險核心監管指標

在實施“風險為本”的監管框架中，需要探索建立一套可量化、相對簡單、可動態監測的核心監管指標體系，來動態監測信息科技風險狀況，直觀評估銀行信息科技風險的管理水平。

核心監管指標作為監管機構識別和預警銀行風險的重要手段和方法，對健全內部風險制衡機制，完善風險管理政策和流程，優化風險計量工具，進行有效的風險控制起到了積極的促進作用。信息科技風險核心監管指標可以分為兩類，一類是結果性指標，另一類是過程性指標。結果性指標是以目標為導向，對已經發生的科技風險事件和信息安全事件進行統計后建立的量化指標，其反映的是風險狀況和發展趨勢。過程性指標主要反映銀行風險控制和管理能力。這樣兩類指標相互補充，起到全面評估機構風險水平的目的。

信息科技風險監管具體目標包括業務連續性、信息安全、公眾滿意度以及合法合規。從信息科技風險監管目標出發，可逐層分解出系統可利用率、業務量等指標，它們相對簡單、直觀、容易測算和計量，可以成為結果性指標。另外一類是過程性指標，這類指標基于當前銀行業信息科技管理最佳實踐，對信息科技的每個領域都能夠起關鍵控制作用。監管指標一方面可以用來監測銀行業整體風險狀況，評估銀行業風險水平，同時也可以與監管手段相結合，提高信息科技風險監管水平。

銀行業信息科技風險資本計量

信息科技風險是巴塞爾新資本協議全面風險計量框架中的組成部分，科技風險資本計量是科技風險管理的重要手段。

計量信息科技風險可以借鑒當前相對成熟的操作風險的計量方法。但是，直接用操作風險計量方法計量信息科技風險存在挑戰，主要表現如下：一是信息科技風險與總收入、業務交易量、客戶數或業務交易金額等指標的關聯并不密切；二是大部分信息科技風險的損失不是顯性的，除少數信息科技風險事件（如引發客戶索賠、延誤罰息）有“直接損失”外，大部分信息科技風險事件的影響體現為業務中斷、聲譽受損等“間接損失”；三是信息科技風險損失數據相對較少，極端嚴重事件的數據更少，計量 “尾部風險”面臨挑戰。

基于高級法的計量思路是在操作風險的統一計量框架下對信息科技風險這一類型單獨計量，可將信息風險損失定義為金額損失和時間損失兩個維度，建立時間與金額的轉換關系，擬合頻率分布和嚴重度分布，之后整合為總損失分布，根據置信度確定未來一定時期內的非預期損失，最后用內部衡量法進行調整得出計量結果。將科技風險持續時間轉換為間接損失金額有兩種方法，分別為解析法和映射法。解析法是考量信息系統對銀行利潤貢獻度，即某個信息系統單位時間對銀行產生的利潤，根據系統中斷時間、影響范圍、系統重要性進行計算，得出信息科技風險事件的間接損失。映射法是根據影響范圍和系統重要程度將影響時間加權計算轉化為“標準”的影響時間，然后建立標準影響時間與損失金額之間的映射關系，從而確定損失。

未來，隨著信息技術的飛速發展，銀行業對信息科技的依賴越來越大，云計算、物聯網等新技術既加快了銀行創新發展，對信息科技風險管理提出了更高的要求；快速變化的外部環境，開放的互聯網環境，技術類企業、第三方平臺等非金融機構與銀行業的業務服務不斷融合等，所有這些都使得信息科技風險管理與監管面臨著更加現實的挑戰，需要我們不斷地思考和研究，提高信息科技風險管理能力。

（本文是中國金融四十人論壇內部課題《銀行業金融機構信息科技風險監管研究》的報告簡本，課題得到中國金融四十人論壇立項資助并組織專家評審）