信息科技风险管理办法
第一章 总则
第一条 为加强XXXXXX(以下简称本行)信息科技风险管理,根据《商业银行信息科技风险管理指引》(银监发〔2009〕19 号),以及本行信息科技工作的有关规定,制定本办法。
第二条 本办法适用于本行及其所属部门、机构。
第三条 本办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条 本办法所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条 本行信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、评估、预防、监测和计量,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第六条 本行信息科技风险管理的管理原则是:专业主导、全员参与、协调统一、突出重点、预防为主、动态管理。
专业主导:以风险管理部门、信息科技管理部门为专业主导
- 35 -
部门,对信息科技风险实施风险管理和控制。
全员参与:倡导“信息安全人人有责”的信息科技风险管理文化,涉及与信息科技相关的员工,均负有对本岗位信息科技风险管理的责任。
协调统一:即按照既定的组织职责分工,协调配合,落实信息科技风险管理的政策和策略,为信息科技风险管理目标的实现提供保障。
突出重点:即区分重点和一般,合理配置管理资源,优先确保重要业务、重要管理系统的信息科技安全。
预防为主:坚持“安全第一,预防为主”的方针,将信息科技风险控制在风险容忍度及其措施控制目标以内。
动态管理:根据信息科技资产配置情况及其风险程度的变化,跟进政策、策略和资源的调整,保证对信息科技风险管理的持续有效。
第七条 本行信息科技风险的偏好和政策取向。偏好是追求稳健。政策取向是以可接受的措施成本将风险控制在容忍度以内。
第八条 本行信息科技风险的管理文化。
(一)信息科技风险管理创造价值:要认识到信息科技风险既是损失的来源更是收益的来源,要在既定的风险容忍度之下通过承担和管理信息科技风险来实现收益,创造价值;
(二)容忍文化与控制文化相结合:一方面根据业务发展和风险战略对信息科技风险有合理的容忍限度,另一方面也需要对
- 36 -
过度的信息科技风险和与收益不匹配的信息科技风险进行严格控制;
(三)自上而下推动:信息科技风险文化应由高层到基层自上而下的示范和推动;
(四)以制度为基础:把信息科技管理文化建设进一步上升到制度建设的层面,进而落实到员工行为之中。
第九条 将信息科技风险管理从本行操作风险管理中提取出来,作为相对独立的风险子系统实施管理。信息科技风险管理是本行全面风险管理的有机组成部分,与本行全面风险管理总体框架、总体政策、总体偏好保持一致。
本行信息科技风险管理框架主要包括以下基本要素: (一)信息科技风险治理; (二)信息科技风险管理策略; (三)信息科技风险识别和评估; (四)信息科技风险的防范; (五)信息科技风险监测和计量; (六)信息科技风险的控制。
第十条 本行依法接受银行业监督管理部门的监督指导。
第二章 信息科技治理 第一节 信息科技法人治理
第十一条 信息科技治理是本行法人治理的组成部分。本行
- 35 -
XXX银行信息科技风险管理办法
