银行信息科技风险管理制度
第一章 总则
第一条 为进一步完善银行(以下简称“本行”)全面风险管理体系,保证本行业务的可持续发展,依据中国银行业监督管理委员会《商业银行信息科技风险管理指引》、《银行信息科技管理制度》,并结合本行实际,制定本办法。
第二条 本办法所称信息科技风险是指本行在运用信息科技过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第三条 本行信息科技风险政策取向是:稳健。实行规避、预防、缓释、抵补等管理策略。
第四条 本行通过搭建科学的风险管理组织架构、划分明确的风险管理职责、制定有效的风险管理制度和操作流程等措施,持续推动信息科技风险管理工作的开展。
第五条 本行信息科技风险管理的管理原则是:全员参与、协调统一、预防为主、动态管理。
第六条 本行信息科技风险的管理目标是通过建立完整、合理、有效的风险管理机制,实现对信息科技风险的识别、评估、计量、监测和控制,促进本行安全、持续、稳健运行,推动业务创新,提高本行信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章 信息科技风险的组织架构和职责
第七条 建立与信息科技风险特点相适应的组织架构,包括董事会(信息科技管理委员会)、信息科技风险控制部门、高级管理层(首席信息官)及信息科技部门。构建信息科技风险防范的“三道防线”,第一道防线,信息科技部门做好信息科技管理工作。第二道防线,风险管理部门进行信息科技风险分类与评估。稽核内审部门做好信息科技风险审计,作为第三道防线。
第八条 董事会承担本行信息科技风险管理的最终职责。具体职责包括:
(一)建立并完善分工合理、职责明确、相互制衡、报告关系清晰
1
的信息科技治理组织结构;
(二)审查批准信息科技战略,确保其与本行的总体业务战略和重大策略相一致;
(三)动态掌握信息科技风险政策和信息科技战略规划的执行情况、信息科技预算和实际支出情况及信息科技的整体状况; (四)定期听取专门委员会工作事项的执行情况。 第九条 信息科技风险控制部门行使以下职责:
(一)依据本行信息科技战略,制定信息科技风险管理政策; (二)监督高级管理层制定具体有效的信息科技风险管理制度和操作流程;
(三)按年度听取高级管理层的信息科技风险监测报告,评估信息科技风险管理工作的总体效果和效率并提出完善的建议和意见; (四)配合银监会及其派出机构做好信息科技风险监督检查工作,及时决策本行发生的重大信息科技事故或突发事件,向银监会及其派出机构报送信息科技风险管理的年度报告;
(五)确保内外部审计部门独立有效的进行信息科技风险审计,并确认审计报告;
(六)履行董事会授权的其他信息科技风险管理职能。 第十条 高级管理层行使以下职责:
(一)负责执行本行信息科技风险政策和发展战略;
(二)制定具体的信息科技风险管理制度及具体的操作流程,确定可接受的信息科技风险级别,确保境内外信息科技风险能够被识别、评估、计量、监测和控制,统一协调各经营部门有效开展信息科技风险管理工作;
(三)确保本行信息科技系统正常运行,有效防范跨境风险; (四)规范职业道德行为和廉洁标准,增强内部企业文化建设,提高全体人员对信息科技风险管理重要性的认识;
(五)组织专业培训,加强信息科技专业队伍的建设,建立人才激励机制;
(六)对董事会风险管理委员会确认的信息科技风险内外部审计报告,落实具体的整改措施;
2
(七)配合银监会及其派出机构做好信息科技风险监督检查工作,并落实整改措施,及时向银监会及其派出机构报告本行发生的重大信息科技事故或突发事件,并按相关预案快速响应; (八)其他信息科技风险的管理职能。 第三章 信息科技风险管理内容
第十一条 本行信息科技风险管理的内容包括但不限于:信息安全管理、信息系统开发、测试和维护管理、信息科技运行管理、业务连续性管理和外包管理等方面。
第十二条 本行通过制定各类有效的信息科技管理制度,优化风险管理流程,提高制度约束的执行力水平,不断完善信息安全管理机制,最终实现信息的持续安全管理。
第十三条 本行在信息系统开发中,采取适当的系统开发方法,充分评估信息科技项目风险,合理安排信息科技项目的排序、立项、审批和控制;在测试和维护中,强化数据的完整性、保密性和可用性,确保系统的可靠性、完整性和可维护性,合理控制信息系统的生命周期。
第十四条 本行在信息系统运行过程中,实施必要的隔离措施,建立应急的信息系统运行事故管理机制。
第十五条 本行在业务连续性管理过程中,通过制定适当的业务连续性规划,确保信息系统在无法预见的中断时能够有效的运行。 第十六条 本行实施重要信息科技外包(如数据中心和信息科技基础设施等)时,坚持谨慎原则,经必要的分析、论证和审查程序,不得将信息科技管理责任外包;
适时谨慎的履行监督外包职能;在外包管理过程中,确保本行的客户资料等敏感信息的安全。
第十七条 建立信息科技风险管理的制度体系,各项制度要包括信息科技风险评估管理、风险监测管理、风险提示管理、风险报告管理、风险披露管理五个方面。 第四章 信息科技风险管理流程
第十八条 高级管理层按年度向风险控制部门出具本行信息科技风险管理报告,详细说明信息科技风险当前情况和下一步完善措施。
3
银行信息科技风险管理制度
