XX银行信息科技风险管理办法
第一章 总 则
第一条 为建立健全信息科技风险管理体系,防范信息科技风险,提高信息科技风险管理水平,根据《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》、《银行业金融机构信息科技外包风险管理指引》等法律法规和监管要求,结合本行实际,制定本办法。 第二条 术语释义
(一)信息科技。系指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,包括进行信息科技治理,建立完整的管理组织架构,制定完善的管理制度和流程等。
(二)信息科技风险。系指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷等产生的操作、法律和声誉等风险。
(三)信息科技风险管理。系指通过建立信息科技风险的识别、评估、应对、监测和持续改进的方法和流程,实施具体的风险管控措施,将信息科技风险降低或控制在适当水平,增强银行核心竞争力和可持续发展能力。 第三条 管理原则
(一)协调统一原则。本行信息科技风险管理充分考虑管理目标与业务发展、成本与效益之间的关系,协调统一确定全行信息科技风险管理策略。
(二)全面覆盖原则。信息科技风险覆盖到全行各条线、部门、岗位、人员和业务环节,本行全体人员均是信息安全和风险防范工作的参与者和责任人。
(三)预防优先原则。本行信息科技风险管理秉承事前预防重于事后控制、日常防控重于应急处理的原则,注重信息科技风险管理工作的主动性与前瞻性,降低风险发生的可能性。
(四)动态管理原则。根据外部监管要求,本行业务及信息科技发展情况,在发展过程中动态调整、持续优化信息科技风险管理策略和工作机制。
第四条 适用范围。本办法适用于本行各级机构、部门、岗位人员及业务环节。
第二章 职责分工
第五条 本行董事会是本行信息科技风险管理的最高决策机构。其中,董事会风险管理委员会负责落实董事会信息科技风险管理职责,稽核部负责落实董事会审计监督职责。董事会主要职责包括:
(一)遵守并贯彻执行国家有关信息科技风险管理的法律、法规和技术标准,落实相关监管要求。
(二)负责审批信息科技战略,确保其与总体业务战略和重大策略一致;评估信息科技及风险管理工作的总体效果和效率。
(三)听取经营层信息科技风险管理工作汇报,掌握主要信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织架构。
(五)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (六)确保信息科技风险管理工作所需资金。 (七)负责梳理、落实信息科技外包风险管理职责,审批信息科技外包战略,审议外包管理制度与流程。
(八)银监会科技风险管理指引规定的董事会的其它职责。
第六条 本行高级管理层是信息科技风险管理的执行机构,其主要职责包括:
(一)负责组织实施信息科技战略,确保其符合本行总体战略。
(二)逐步完善信息科技风险管理体系建设。
XX银行信息科技风险管理办法
