商业银行信息科技风险管理策略
第一章 总 则
第一条 为加强商业银行(以下简称本行)信息科技风险管理,根据《商业银行信息科技风险管理指引》(银监发〔2009〕19号),结合本行工作实际,制定本策略。
第二条 本策略是本行信息科技风险管理制度体系的总纲性文件,和《信息科技治理制度》(试行)、《信息科技风险管理制度》(试行)、《信息安全管理制度》(试行)、《信息科技项目管理制度》(试行)、《信息科技运行制度》(试行)、《业务连续性管理制度》(试行)、《外包管理制度》(试行)、《信息科技审计管理制度》(试行)8个制度共同构成本行信息科技风险管理制度体系。
第二章 信息科技治理
第三条 信息科技风险管理组织架构
(一)董事会是信息科技风险管理的最高决策机构,法定代表人是第一责任人。
(二)信息科技管理委员会和业务连续性管理委员会向高级管理层负责,高级管理层向董事会负责。
1 / 6
(三)信息科技部门、风险管理部门和审计部门构成信息科技风险管理的三道防线。
第四条 委员会构成
(一)信息科技管理委员会由行长担任主任委员,分管科技行长担任副主任委员,办公室设立在科技部门,下设信息安全等具体工作领导小组。
(二)业务连续性管理委员会由行长担任主任委员,分管风险行长任副主任委员,办公室设立在风险部门,下设突发事件应急处置决策、指挥、执行、保障小组。
第五条 工作职责
(一)董事会负责审批科技、风险和审计年度报告,授权业务连续性管理委员会做好重大突发事件管理工作。
(二)信息科技管理委员会负责制订工作章程,审批信息科技部门组织制定的信息科技工作报告,其中重要报告要提交高级管理层集体研究后报董事会决策批准。
(三)业务连续性管理委员会负责制订工作章程,通过风险管理部门组织开展包括信息科技在内的各条线风险管理工作,重要报告要提交高级管理层集体研究后报董事会决策批准。
1 / 6
(四)信息科技部门作为信息科技风险管理工作的第一道防线,负责运行、开发和安全管理工作,承担风险、业务连续性和外包管理的执行部门职责。信息科技部门向信息科技管理委员会负责。
(五)风险管理部门作为信息科技风险管理工作的第二道防线,牵头开展风险、业务连续性和外包管理工作。风险管理部门向业务连续性管理委员会负责。
(六)审计部门作为信息科技风险管理工作的第三道防线,负责信息科技内部审计监督工作,配合做好外部审计。审计部门直接向董事会报告。
(七)业务部门要承担需求、测试、验收和使用管理等信息科技风险管理相关职责。
第六条 其它
本行要做好信息科技规划、技术架构设计、知识产权保护、科技激励约束和风险披露报告等其它信息科技治理工作。
第三章 信息科技风险管理
第七条 本行风险管理部门负责牵头开展信息科技风险管理工作,信息科技等相关部门参与其中并负责自身专业方面工作。
1 / 6