1、银行信息科技风险管理制度第一章总则第一条为进一步完善某银行(以下简称本行)全面风险管理体系,保证本行业务的可持续发展,依据中国银行业监督管理委员会商业银行信息科技风险管理指引、某银行信息科技管理制度,并结合本行实际,制定本办法。第二条本办法所称信息科技风险是指本行在运用信息科技过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第三条本行信息科技风险政策取向是:稳健。实行规避、预防、缓释、抵补等管理策略。第四条本行通过搭建科学的风险管理组织架构、划分明确的风险管理职责、制定有效的风险管理制度和操作流程等措施,持续推动信息科技风险管理工作的开展。第五条本行信息科技风险
2、管理的管理原则是:全员参与、协调统一、预防为主、动态管理。第六条本行信息科技风险的管理目标是通过建立完整、合理、有效的风险管理机制,实现对信息科技风险的识别、评估、计量、监测和控制,促进本行安全、持续、稳健运行,推动业务创新,提高本行信息技术使用水平,增强核心竞争力和可持续发展能力。第二章信息科技风险的组织架构和职责第七条建立与信息科技风险特点相适应的组织架构,包括董事会(信息科技管理委员会)、信息科技风险控制部门、高级管理层(首席信息官)及信息科技部门。构建信息科技风险防范的三道防线,第一道防线,信息科技部门做好信息科技管理工作。第二道防线,风险管理部门进行信息科技风险分类与评估。稽核内审部
3、门做好信息科技风险审计,作为第三道防线。第八条董事会承担本行信息科技风险管理的最终职责。具体职责包括:(一)建立并完善分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构;(二)审查批准信息科技战略,确保其与本行的总体业务战略和重大策略相一致;(三)动态掌握信息科技风险政策和信息科技战略规划的执行情况、信息科技预算和实际支出情况及信息科技的整体状况;(四)定期听取专门委员会工作事项的执行情况。第九条信息科技风险控制部门行使以下职责:(一)依据本行信息科技战略,制定信息科技风险管理政策;(二)监督高级管理层制定具体有效的信息科技风险管理制度和操作流程;(三)按年度听取高级管理层的信息
4、科技风险监测报告,评估信息科技风险管理工作的总体效果和效率并提出完善的建议和意见;(四)配合银监会及其派出机构做好信息科技风险监督检查工作,及时决策本行发生的重大信息科技事故或突发事件,向银监会及其派出机构报送信息科技风险管理的年度报告;(五)确保内外部审计部门独立有效的进行信息科技风险审计,并确认审计报告;(六)履行董事会授权的其他信息科技风险管理职能。第十条高级管理层行使以下职责:(一)负责执行本行信息科技风险政策和发展战略;(二)制定具体的信息科技风险管理制度及具体的操作流程,确定可接受的信息科技风险级别,确保境内外信息科技风险能够被识别、评估、计量、监测和控制,统一协调各经营部门有效开
5、展信息科技风险管理工作;(三)确保本行信息科技系统正常运行,有效防范跨境风险;(四)规范职业道德行为和廉洁标准,增强内部企业文化建设,提高全体人员对信息科技风险管理重要性的认识;(五)组织专业培训,加强信息科技专业队伍的建设,建立人才激励机制;(六)对董事会风险管理委员会确认的信息科技风险内外部审计报告,落实具体的整改措施;(七)配合银监会及其派出机构做好信息科技风险监督检查工作,并落实整改措施,及时向银监会及其派出机构报告本行发生的重大信息科技事故或突发事件,并按相关预案快速响应;(八)其他信息科技风险的管理职能。第三章信息科技风险管理内容第十一条本行信息科技风险管理的内容包括但不限于:信息
6、安全管理、信息系统开发、测试和维护管理、信息科技运行管理、业务连续性管理和外包管理等方面。第十二条本行通过制定各类有效的信息科技管理制度,优化风险管理流程,提高制度约束的执行力水平,不断完善信息安全管理机制,最终实现信息的持续安全管理。第十三条本行在信息系统开发中,采取适当的系统开发方法,充分评估信息科技项目风险,合理安排信息科技项目的排序、立项、审批和控制;在测试和维护中,强化数据的完整性、保密性和可用性,确保系统的可靠性、完整性和可维护性,合理控制信息系统的生命周期。第十四条本行在信息系统运行过程中,实施必要的隔离措施,建立应急的信息系统运行事故管理机制。第十五条本行在业务连续性管理过程中
7、,通过制定适当的业务连续性规划,确保信息系统在无法预见的中断时能够有效的运行。第十六条本行实施重要信息科技外包(如数据中心和信息科技基础设施等)时,坚持谨慎原则,经必要的分析、论证和审查程序,不得将信息科技管理责任外包;适时谨慎的履行监督外包职能;在外包管理过程中,确保本行的客户资料等敏感信息的安全。第十七条建立信息科技风险管理的制度体系,各项制度要包括信息科技风险评估管理、风险监测管理、风险提示管理、风险报告管理、风险披露管理五个方面。第四章信息科技风险管理流程第十八条高级管理层按年度向风险控制部门出具本行信息科技风险管理报告,详细说明信息科技风险当前情况和下一步完善措施。第十九条对本行重大的信息科技风险事件,在第一时间向董事会报告。第二十条对监管部门现场检查和内外部审计机构审计中发现的问题,落实整改措施并及时向董事会报告。第五章考核与奖惩第二十一条本行董事会将信息科技风险年度管理情况纳入到对董事、高级管理层的年度履职考核中。第二十二条高级管理层通过建立科学的信息科技风险管理问责制度,将信息科技风险管理的考核指标纳入全面风险管理考核体系,以推动业务发展质量的全面提升。第六章附则第二十三条本办法由董事会负责解释。第二十三条本办法自颁布之日起执行。二*年六月三十日