商业银行信息科技风险动态监测规程(征求意见稿)...doc

《商业银行信息科技风险动态监测规程(征求意见稿)...doc》由会员分享，可在线阅读，更多相关《商业银行信息科技风险动态监测规程(征求意见稿)...doc（26页珍藏版）》请在三一办公上搜索。

1、商业银行信息科技风险动态监测规程（征求意见稿）第一章 总则第一条 为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法以及其他相关法律法规，制定本规程。第二条 信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。第三条 信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。第四条 信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。第五条 本规

2、程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。第二章 动态监测指标选取原则及分类第六条 信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。第七条 监测指标选取遵循以下四个原则：（一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力；（二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况；（三）敏

3、感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况；（四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。第八条 商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。第三章 动态监测指标体系第九条 稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。（一）系统可用率为信息系统实际提供服务时间与应提供服务时

4、间之比，用于衡量信息系统对业务连续服务提供支撑的有效程度，系统可用率影响客户使用体验，并综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置等方面的管理能力。（二）系统交易成功率为信息系统成功处理的交易量与处理交易总量之比，用于衡量信息系统正常响应业务请求的有效程度，综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面的管理能力。（三）投产变更成功率为商业银行成功实施信息系统投产、变更数量与实施信息系统投产、变更总量之比，用于衡量商业银行投产变更管理的有效程度，综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。第十条 安全性指标用于衡量商业银行对安

5、全威胁的抵御能力与安全事件的处置能力，包括假冒网站查封率、外部攻击变化率和信息安全事件数量。（一）假冒网站查封率为已查封的假冒网站数量与已知的假冒网站数量之比，用于衡量商业银行对假冒网站的处置进展及其客户可能因假冒网站遭受欺诈威胁的程度，综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。（二）外部攻击变化率为商业银行遭受外部攻击当期告警增加数量与上期告警数量之比，用于衡量商业银行外部攻击威胁的客观变化，综合反映商业银行信息系统外部风险的变化程度。（三）信息安全事件数量为信息系统中断造成服务不可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事件次数、网络中断事件次数、基础设施不可用

6、事件次数及其他安全事件次数之和，用于衡量商业银行在面对内外部安全威胁时，保持信息系统可用性、完整性、机密性的能力，综合反映商业银行信息安全现状。 第十一条 规模性指标用于衡量商业银行主要电子渠道发展规模，反映商业银行主要电子渠道业务发展水平、电子渠道业务承受的压力及相关信息科技风险事件可能产生的社会负面影响程度，包括主要电子渠道交易变化率和主要电子渠道活跃用户、账户变化率。（一）主要电子渠道交易变化率为商业银行全辖当期主要电子渠道交易量与上期主要电子渠道交易量之比，用于反映商业银行主要电子渠道交易规模总量及变化趋势。（二）主要电子渠道活跃用户、账户变化率为商业银行全辖当期主要电子渠道活跃用户、

7、账户数与上期主要电子渠道活跃用户、账户数之比，用于反映商业银行主要电子渠道活跃用户、账户总量及变化趋势。第四章 数据管理第十二条 商业银行应建立与本规程相配套的信息科技风险动态监测工作机制和管理流程，准确、及时提供动态监测指标相关源数据。第十三条 商业银行应根据自身发展状况建立与本规程相适应的监测统计信息系统，按照动态监测指标的相关要求采集相关源数据，并能够根据计算模型按照机构、产品、系统等不同维度和统计周期生成监测数据。第十四条 信息科技风险动态监测指标源数据采集范围应涵盖商业银行全辖（总行及各级分支机构）和各类重要信息系统，采集数据要全面、真实。 第十五条 商业银行应确保监测指标数据来源的

8、连续性、一致性以及可追溯性，并至少存留最近三年历史数据。 第十六条 商业银行应明确信息科技风险动态监测数据报送的归口管理部门，并对报送数据的真实性和有效性负责。 第十七条 银监会及其派出机构应督促、指导商业银行逐步建立并完善相关工作机制和流程，开展动态监测信息系统建设，提高数据采集的自动化程度，减少数据生成过程中的人为干扰因素。对于确需人工填报的环节，应在流程和系统设计中满足后续检查和审计的需要。第十八条 银监会及其派出机构信息科技监管部门负责审核商业银行报送的动态监测指标数据，并对报送数据质量进行考核。第五章 指标运用第十九条 商业银行应将信息科技风险动态监测指标纳入全行风险监测体系，建立信

9、息科技风险动态监测指标分析预警模型，持续跟踪信息科技风险动态监测指标变化趋势，形成书面报告，定期向商业银行董事会和高管层报告。第二十条 商业银行董事会和高管层应定期审查信息科技风险动态监测报告，运用检查、监督、考核等手段督促相关部门采取有效措施实施整改。 第二十一条 商业银行信息科技部门应根据动态监测指标结果，对本机构信息系统进行综合评价，并将评价结果与商业银行信息科技发展规划相结合。第二十二条 商业银行信息科技部门应持续跟踪动态监测指标及其变化趋势，重点关注指标数值或变化趋势存在异常的监测指标，深入分析指标异常的原因，采取相应的应急处置措施，并将处置方案和工作进度及时报送商业银行风险管理部门

10、、银监会或其派出机构。第二十三条 银监会及其派出机构信息科技监管部门应明确信息科技风险动态监测工作岗位，制定人员岗位职责。第二十四条 银监会及其派出机构信息科技监管部门应建立分析预警模型，按照区域分布、机构类别、单家机构等不同维度对信息科技风险动态监测指标进行分类监测，定期形成风险分析报告，对于发现的突出共性风险问题，要开展行业通报。第二十五条 银监会及其派出机构信息科技监管部门可根据单家机构动态监测指标监测情况，采取约谈、现场检查等途径对相关情况进行核实，并通过风险提示、监管会谈等方式将风险监测结果及时通报商业银行，督促其采取有效措施，做好风险防范和整改工作。对于监测中发现的重大信息科技风险

11、隐患，信息科技监管部门应及时通报机构监管部门，并可视情况采取联合监管行动。第二十六条 银监会及其派出机构信息科技监管部门应将动态风险监测指标分析结果作为商业银行年度信息科技监管评级的参考信息。 第二十七条 银监会信息科技监管部门建立信息科技风险动态监测工作的激励考核机制，定期发布行业基准参考值，对指标领先的机构树立标杆，总结良好实践并予以推广。第六章 附则第二十八条 附件是本规程的组成部分，规定了信息科技风险动态监测指标口径说明。第二十九条本规程由银监会负责修订和解释。第三十条 本规程自 年 月起试行。附件：1、商业银行信息科技风险动态监测指标一览表 2、商业银行信息科技风险动态监测指标口径说

12、明附件1商业银行信息科技风险动态监测指标一览表一级监测指标二级监测指标三级监测指标系统可用率ATR核心业务系统可用率无综合前置系统可用率银行卡系统可用率网上银行系统可用率电话银行系统可用率手机银行系统可用率大额实时支付前置系统可用率小额批量支付前置系统可用率第三方存管系统可用率国际结算系统可用率系统交易成功率TSR核心业务系统交易成功率账务类交易成功率非账务类交易成功率综合前置系统交易成功率大额实时支付渠道交易成功率小额批量支付渠道交易成功率ATM渠道交易成功率POS渠道交易成功率代收缴费渠道交易成功率第三方存管渠道交易成功率银行卡系统交易成功率电话银行渠道交易成功率手机银行渠道交易成功率AT

13、M渠道交易成功率POS渠道交易成功率网上银行系统交易成功率银联渠道交易成功率超级网银渠道交易成功率大额实时支付渠道交易成功率小额批量支付渠道交易成功率第三方支付渠道交易成功率电话银行系统交易成功率无手机银行交易成功率无投产变更成功率DCSR投产、变更成功实施数量无投产、变更实施总数量无假冒网站查封率CFWR假冒网站已查封数量无假冒网站发现数量无外部攻击变化率EACCR当期外部攻击次数当期入侵监测系统告警数当期入侵保护系统告警数上期外部攻击次数上期入侵监测系统告警数上期入侵保护系统告警数安全事件数量ISE信息系统中断造成服务不可用次数核心业务系统服务不可用次数综合前置系统服务不可用次数银行卡系统

14、服务不可用次数网上银行系统服务不可用次数电话银行系统服务不可用次数手机银行系统服务不可用次数大额实时支付系统服务不可用次数小额批量支付系统服务不可用次数ATM前置系统服务不可用次数POS前置系统服务不可用次数柜面系统服务不可用次数信贷系统服务不可用次数个贷系统服务不可用次数基金系统服务不可用次数债券系统服务不可用次数第三方存管系统服务不可用次数第三方支付系统服务不可用次数国际结算系统服务不可用次数违规操作事件次数无病毒爆发事件次数无自然灾害事件次数无网络中断事件次数无基础设施不可用事件次数无其他安全事件次数无主要电子渠道交易变化率MECTCR当期主要电子渠道交易量网上银行交易量电话银行交易量手

15、机银行交易量大额实时支付交易量ATM交易量POS交易量上期主要电子渠道交易量网上银行交易量电话银行交易量手机银行交易量大额实时支付交易量ATM交易量POS交易量网上银行交易量主要电子渠道活跃用户、账户变化率 MEAUAR当期主要电子渠道活跃用户、账户数网上银行活跃用户数电话银行活跃用户数手机银行活跃用户数大额实时支付渠道活跃账户数小额批量支付渠道活跃账户数ATM活跃账户数POS活跃账户数上期主要电子渠道活跃用户、账户数网上银行活跃用户数电话银行活跃用户数手机银行活跃用户数大额实时支付渠道活跃账户数小额批量支付渠道活跃账户数ATM活跃账户数POS活跃账户数附件2 商业银行信息科技风险动态监测指标

16、口径说明一、系统可用率l 指标的属性：稳定性指标。l 指标风险含义:系统可用率Available time rate of a system, ATR用于衡量商业银行信息系统提供连续服务的能力。系统可用率综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置、变更管理等方面能力以及客户对商业银行提供连续服务能力的感受。ATR较低时，说明商业银行信息系统提供连续服务能力不足，可能导致系统稳定性降低、产生声誉风险等风险隐患。系统可用率包括十个重要信息系统的可用率指标，分别是：核心业务、综合前置、银行卡、网上银行、电话银行、手机银行、大额实时支付前置、小额批量支付前置、第三方存管、国际结算系统

17、。l ATR计算公式：l ATR相关释义：1.计划停止服务时间Planned downtime, PD：系统在监测周期内因变更、演练、维护等计划性事件及日间、夜间模式切换等日常操作造成的停止服务时间。注：若一次计划性停止服务时间超出了计划，则超出部分时间计入意外停止服务时间。2.意外停止服务时间Unexpected downtime, UD：系统在监测周期内因系统故障、内部操作失误、外部入侵、自然灾害等意外性事件造成的停止服务时间。3.提供服务总时间The lasting time of service providing, LTSP：系统在监测统计期内理论上可提供服务时间之和。如核心业务系统

18、为24小时交易系统，监测统计期为30天，则该系统提供服务总时间为243060分钟。4.停止服务：系统中任一应用模块（子系统）在应提供服务时段出现服务不可用。5.业务受影响比例Affected business rate, ABR：受影响业务类型数量占所有业务类型数量的比例。由商业银行自行确定比例的计算原则，可以按照同期交易量、交易金额、用户登录数量等因素来计算业务受影响比例，也可以应用模块（子系统）数量比例来计算。业务受影响比例计算原则由商业银行自行确定后，原则上一年内不得更改计算原则。6.机构受影响机构比例Affected organization rate, AOR：受影响网点数量与全部网

19、点数量的比值。如全行集中式服务受到影响，AOR数值为1。7.公式中 i代表监测周期内第i次发生的计划和意外停止服务，m代表监测周期内计划停止服务发生总次数，n代表监测周期内意外停止服务发生总次数。8.计算公式中的时间单位均为分钟。l ATR监测的相关信息系统定义：1.核心业务系统 核心业务系统是指支撑商业银行发展、运作和管理金融产品和服务的重要信息系统，一般指商业银行处理客户信息、存款产品、支付服务的信息系统。2.综合前置系统综合前置系统是指通过总线技术连接前置机与后台核心之间的存储转发系统，主要实现不同业务系统间协议转换、交易路由连接、报文转发、应用预处理等功能。3.银行卡系统银行卡系统是指

20、商业银行处理银行卡业务的信息系统，支持持卡人通过多种交易渠道办理取现、消费、转账等业务，并提供账户、卡片管理、账户核算、财务管理、综合统计等功能，一般包含借记卡与信用卡应用模块。4.网上银行系统 网上银行系统是指商业银行通过互联网等公众网络基础设施，向客户提供账务查询、转账、账务管理、资金划拨、网上支付等金融服务的信息系统。5.电话银行系统电话银行系统是指商业银行基于固定电话运营商的基础设施，向使用电话终端的客户提供账户查询、转账、代缴费、业务咨询等金融服务的信息系统。6.手机银行系统手机银行系统是指商业银行基于移动网络运营商的基础设施，向使用智能手机终端的客户提供账户查询、转账、代缴费等金融

21、服务的信息系统。7.大额实时支付系统前置系统 大额实时支付系统前置是指商业银行通过人民银行大额实时支付系统，承接转发大额实时支付报文的前置系统。8.小额批量支付系统前置系统 小额批量支付系统前置是指商业银行通过人民银行小额批量支付系统应用，承接转发小额批量支付报文的前置系统。9.第三方存管系统 第三方存管系统是指商业银行用于处理证券行业第三方存管业务的信息系统，主要提供合作方管理、协议管理、结算和出入资金管理等功能。10.国际结算系统国际结算系统是指商业银行处理外汇、国际贸易融资、结售汇等国际业务的平台。主要实现信用证、托收代收、保函、贸易融资、光票托收、账务清算、报文处理、风险控制以及国际收

22、支申报信息自动收集等功能。二、系统交易成功率l 指标的属性：稳定性指标。l 指标风险含义：系统交易成功率System transaction successful rate, TSR用于衡量商业银行信息系统正常响应业务请求的有效程度，综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面能力。TSR过低可能引起账务差错，造成经济损失，影响商业银行对外服务质量和效率，降低柜员、客户体验感受，进而导致客户流失，经济效益和品牌声誉下降。TSR由六个二级指标、十七个三级指标组成。l TSR计算公式：l TSR相关释义：1. 系统交易：指一笔业务在信息系统中自发起、处理、返回的过程，分为账务

23、性和非账务性交易。账务性交易是指涉及账户资金余额发生变动的交易（例如：存款、取款、转账汇款等），非账务性交易是指账户资金余额不发生变动的交易（例如：开户、销户、查询等）。2. 系统成功交易量The amount of successful system transactions, AOSST：接到交易请求后，能够按照程序设计返回处理结果的交易笔数。当某笔交易出现交易返回超时，或因数据库死锁等技术故障导致失败时，此笔交易才被视为失败交易。3. 系统交易总量The amount of system transactions, AOST：该类交易总笔数之和。注：部分查询交易若暂时没有交易记录，可暂时

24、不统计交易量。l TSR二级、三级指标定义：1. TSR包括六个二级指标，分别为核心业务系统交易成功率、综合前置系统交易成功率、银行卡系统交易成功率、网上银行系统交易成功率、电话银行系统交易成功率和手机银行系统交易成功率。2. 二级指标核心业务系统交易成功率下设两个三级指标，账务类交易成功率与非账务类交易成功率。3. 二级指标综合前置系统交易成功率下设六个三级指标：大额实时支付渠道交易成功率、小额批量支付渠道交易成功率、ATM渠道交易成功率、POS渠道交易成功率、代收缴费渠道交易成功率、第三方存管渠道交易成功率。4. 二级指标银行卡系统交易成功率下设四个三级指标：电话银行渠道交易成功率、手机银

25、行渠道交易成功率、ATM渠道交易成功率、POS渠道交易成功率。注：银行卡交易成功率，统计银行卡系统（含借记卡、信用卡、外汇卡、收单等应用模块）中所有的交易。三级指标不区分卡的类别及发卡行，只统计在银行卡系统（含借记卡、信用卡、外汇卡、收单等应用模块）中由不同渠道发起的交易成功率，若借记卡、信用卡、外汇卡等应用模块分开且属于独立部门管理的商业银行，在上报三级指标时，需分开进行统计并标注所属类别。5. 二级指标网上银行系统交易成功率下设五个三级指标：银联渠道交易成功率、超级网银渠道交易成功率、大额实时支付渠道交易成功率、小额批量支付渠道交易成功率、第三方支付渠道（不含银联）交易成功率。6. 二级指

26、标电话银行系统交易成功率不设三级指标。7. 二级指标手机银行系统交易成功率不设三级指标。三、投产变更成功率l 指标的属性：稳定性指标。l 指标风险含义：投产变更成功率Deployment and change successful rate, DCSR用于计算商业银行信息系统投产、变更活动实施后的成功比率，用于衡量商业银行投产变更管理的有效程度，综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。DCSR值低表示商业银行在软件开发、运行维护、应急处置、项目及变更管理方面存在技术风险或管理缺陷。l DCSR计算公式:l DCSR相关释义：投产及变更：为达到正式生产运行或试运

27、行的目标而进行的活动。包括：（1）将已完成技术开发的信息系统项目发布到生产系统；（2）信息系统的应用版本在生产环境的部署、升级、调整；（3）对机房设备设施、网络、存储、营业终端、基础软件等的安装部署、升级、扩容、迁移、拆除、维护；（4）无法通过信息系统业务操作界面，而采用技术手段对业务数据、配置文件、配置参数的修改。l DCSR二级指标定义：1. 投产、变更成功实施数量The amount of successful deployments and changes, SDC：成功实施投产、变更活动的数量之和。成功实施的投产、变更活动指实施投产变更活动后，生产系统运行正常，五日内未发生任何影响商

28、业银行安全、稳定运营的事件，且未启动应急回退预案的投产、变更活动。2. 投产、变更实施总数量The amount of deployments and changes，DC：监测周期内实施投产、变更数量之和。l 监测范围：商业银行全辖所有信息系统。四、假冒网站查封率l 指标的属性：安全性指标。l 指标风险含义：假冒网站查封率Closed fishing websites rate, CFWR反映假冒网站被查封的比例，用于衡量商业银行处理假冒网站的进度及其客户可能因假冒网站遭受欺诈威胁的程度，综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。CFWR值低，说明可能存在较多可以访问的假冒网

29、站，增大用户被盗窃用户名和密码的风险，受骗客户数将上升，导致客户资金损失事件发生概率增大。l CFWR计算公式：l CFWR二级指标定义：1. 假冒网站已查封数量The amount of closed fishing websites, CFW：商业银行当月向官方发出请求且被查封的假冒网站数量。2. 假冒网站数量The amount of fishing websites, AOFW：当月商业银行通过自主发现、外部举报等渠道获取的数量。五、外部攻击变化率l 指标的属性：安全性指标。l 指标风险含义：外部攻击变化率External attack case change rate, EACCR反

30、映近两个监测周期商业银行网络被黑客攻击的程度，用于衡量商业银行遭受外部攻击威胁的客观变化。当EACCR值大于0时，说明受攻击次数增多，被侵入可能性增加，内部网络的安全性受到影响的概率增加。当EACCR值超过20%时，说明外部攻击次数增长快，网络安全形势趋于严峻，安全防护压力增大，一旦防护措施不当，将给商业银行网站、内部网络及其他应用系统带来安全威胁。l EACCR计算公式：l EACCR相关释义：外部攻击是指通过互联网对商业银行信息系统进行的攻击，攻击数量以商业银行全辖当期入侵检测系统告警数The amount of intrusion detection system warnings th

31、is period, IDSWP、当期入侵保护系统告警数The amount of intrusion protection system number of warnings this period, IPSWP）、上期入侵检测系统告警数The amount of intrusion detection system warnings last period, IDSWLP、上期入侵保护系统告警数The amount of intrusion protection system number of warnings last period, IPSWLP作为基础数据，通过计算监测周期外部攻击

32、次数来反映商业银行信息系统受外部关注程度。l EACCR二级、三级指标定义1. EACCR包括两个二级指标，分别为当期外部攻击次数和上期外部攻击次数。2. 二级指标当期外部攻击次数包含两个三级指标，分别为商业银行全辖当期入侵检测系统告警数IDSWP与当期入侵保护系统告警数IPSWP，计算方式为IDSWP与IPSWP之和。3. 二级指标上期外部攻击次数包含两个三级指标，分别为商业银行全辖上期入侵检测系统告警数IDSWLP与上期入侵保护系统告警数IPSWLP，计算方式为IDSWLP与IPSWLP之和。l 监测范围：商业银行全辖入侵检测系统（IDS）和入侵保护系统（IPS）。六、信息安全事件数量l

33、指标的属性：安全性指标。l 指标风险含义：信息安全事件数量The amount of information security events, ISE用来衡量商业银行信息科技体系面对来自内外部安全威胁时，保持信息系统可用性、完整性、机密性的能力，综合反映商业银行信息安全现状。ISE过大或增长过快，表示可能面临大面积业务无法办理、账务混乱、延迟入账，或信息系统重要数据及核心技术资料损毁、丢失、泄露、被篡改等风险。l ISE计算公式：l ISE二级、三级指标定义：1. ISE包括七个二级指标，分别为信息系统中断造成服务不可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事件次数、网络中断事件次

34、数、基础设施不可用事件次数（不含网络）、其他安全事件次数。2. 信息系统中断造成服务不可用次数信息系统中断造成服务不可用次数Service unavailable times caused by system interrupt, SUTSI指信息系统在服务时段由于软硬件故障等非预期因素导致停止服务5分钟以上的次数，由十八个三级监测指标组成，分别为核心业务、综合前置、银行卡、网上银行、电话银行、手机银行、大额实时支付、小额批量支付、ATM 前置、POS 前置、柜面系统、信贷、个贷、基金、债券、第三方存管、第三方支付（不含银联）、国际结算系统中断造成服务不可用次数。3. 违规操作事件次数违规操作

35、事件次数Illegal operation times, IOT指商业银行内部人员有意或无意未按既定流程、制度、规范要求等进行违规操作，造成信息系统可用性、完整性或机密性受到破坏的事件次数。4. 病毒爆发事件次数病毒爆发事件次数Virus outbreak times, VOT指由于计算机病毒、蠕虫、特洛伊木马等有害程序造成信息系统可用性、完整性或机密性受到破坏的事件次数。5. 自然灾害事件次数自然灾害事件次数Natural disaster times，NDT指由于水灾、台风、地震、雷击、火灾等不可抗力对信息系统造成直接物理破坏，或通过基础设施、人员等因素间接影响，导致信息系统正常对外服务中

36、断事件次数。6. 网络中断事件次数网络中断事件次数Network interrupt times, NIT指由于商业银行内部或外部原因导致骨干网络中断5分钟以上的事件次数。7. 基础设施不可用事件次数（不含网络）基础设施不可用事件次数Infrastructure unavailable times, IUT指由于机房供电、空调、防火等基础设施（不含网络）出现不可用或造成信息系统正常对外服务中断5分钟以上的事件次数。8. 其他安全事件次数其他安全事件Others，OTH次数指除以上原因以外造成信息系统可用性、完整性或机密性受到破坏的事件次数。注：监测指标按照单次信息安全事件发生时最初原因进行统计

37、。七、主要电子渠道交易变化率l 指标的属性：规模性指标l 指标风险含义：主要电子渠道交易变化率The amount of main electronic channel transactions change rate , MECTCR用于衡量商业银行主要电子渠道（网上银行、电话银行、手机银行系统，大额实时支付、小额批量支付、ATM、POS）交易规模总量及变化趋势。包括两个二级指标，分别为商业银行全辖当期主要电子渠道交易量The amount of main electronic channel transactions this period,MECTP、上期主要电子渠道交易量The amo

38、unt of main electronic channel transactions last period,MECTLP。l MECTCR计算公式：l MECTCR相关释义：主要电子渠道：指商业银行通过信息网络等电子媒介提供金融服务的一种方式，包括网上银行、电话银行、手机银行系统，大额实时支付、小额批量支付、ATM、POS交易渠道。l MECTCR二级、三级指标定义：1. MECTCR包括两个二级指标，分别为当期主要电子渠道交易量与上期主要电子渠道交易量，统计范围包含账务及非账务交易笔数，但不包含批量处理笔数。2. 两个二级指标均由以下七个三级指标组成，分别是网上银行交易量The amou

39、nt of online bank transactions, OBT、电话银行交易量The amount of telephone bank transactions, TBT、手机银行交易量The amount of mobile bank transactions, MPBT、大额实时支付交易量The amount of HVPS transactions, HVPST、小额批量支付交易量The amount of BEPS transactions, BEPST、ATM交易量The amount of ATM transactions, ATMT、POS交易量The amount of

40、 POS transactions, POST。3. 二级指标当期（上期）主要电子渠道交易量计算公式：l 监测范围：商业银行全辖网上银行、电话银行、手机银行、大额实时支付、小额批量支付、ATM、POS渠道。八、主要电子渠道活跃用户、账户变化率l 指标的属性：规模性指标l 指标风险含义：主要电子渠道活跃用户、账户变化率The amount of main electronic bank active users or accounts change rate, MEAUAR，用于衡量商业银行网上银行、电话银行、手机银行、大额实时支付、小额批量支付、ATM、POS渠道的用户、账户规模变化的趋势。包

41、括两个二级指标，分别为当期主要电子渠道活跃用户、账户数The amount of main electronic bank active users or accounts this period，MEAUAP和上期主要电子渠道活跃用户、账户数The amount of main electronic bank active users or accounts last period，MEAUALP。l MEAUAR计算公式：l MEAUAR相关释义：主要电子渠道：指商业银行通过信息网络等电子媒介提供金融服务的一种方式，包括网上银行、电话银行、手机银行系统，大额实时支付、小额批量支付、ATM、

42、POS交易渠道。活跃用户、账户：指每月至少使用一次主要电子渠道的用户或账户，包含：网上银行、电话银行、手机银行系统的用户以及大额实时支付、小额批量支付、ATM、POS渠道的账户。l MEAUAR二、三级指标定义：MEAUAR包括两个二级指标，分别为当期主要电子渠道活跃用户、账户数和上期主要电子渠道活跃用户、账户数。两个二级指标均由七个三级指标组成，分别为网上银行活跃用户数The amount of online bank active users, OBAU、电话银行活跃用户数The amount of telephone bank active users, TBAU、手机银行活跃用户数Th

43、e amount of mobile bank active users, MPAU、大额实时支付活跃账户数The amount of HVPS active accounts, HVPSAA、小额批量支付活跃账户数The amount of BEPS active accounts, BEPSAA 、ATM活跃账户数 The amount of ATM active accounts, ATMAA、POS活跃账户数The amount of POS active accounts, POSAA。注：ATMAA、POSAA只统计发卡行为本机构的活跃账户。l 二级指标当期（上期）主要电子渠道活跃用户、账户数计算公式：l 监测范围：商业银行全辖网上银行、电话银行、手机银行系统以及大额实时支付、小额批量支付、ATM、POS渠道。26