金融信息科技风险管理制度.docxVIP

金融信息科技风险管理制度

金融信息科技风险治理制度

第一条本治理所称信息科技风险，是指信息科技在我司运用过程中，由于自然因素、人为因素、技术漏洞和治理缺陷产生的操作、法律和声誉等风险。

其次条信息科技风险治理的目标是通过建立有效的机制，实现对我司信息科技风险的识别、计量、监测和掌握，促进我司安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增加核心竞争力和可持续进展力量。

科技治理职责

第三条依据我司信息科技治理的要求，法定代表人是本机构信息科技风险治理的第一责任人，负责组织本治理方法的贯彻落实，董事会应履行以下信息科技治理职责：

(一)遵守并贯彻执行国家有关信息科技治理的法律、法规和技术标准，落实中国银行业监视治理委员会(以下简称银监会)相关监管要求。

(二)审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相全都。评估信息科技及其风险治理工作的总体效果和效率。

(三)把握主要的信息科技风险，确定可承受的风险级别，确保相关风险能够被识别、计量、监测和掌握。

(四)标准职业道德行为和廉洁标准，增加内部文化建立，提高全体人员对信息科技风险治理重要性的熟悉。

(五)设立一个由来自高级治理层、信息科技部门和主要业务部门的代表组成的特地信息科技治理委员会，负责监视各项职责的落实，定期向董事会和高级治理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

(六)在建立良好的公司治理的根底上进展信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清楚的信息科技治理组织构造。加强信息科技专业队伍的建立，建立人才鼓励机制。

(七)确保内部审计部门进展独立有效的信息科技风险治理审计，对审计报告进展确认并落实整改。

(八)每年批阅并向银监会及其派出机构报送信息科技风险治理的年度报告。

(九)确保信息科技风险治理工作所需资金。

(十)确保银行全部员工充分理解和遵守经其批准的信息科技风险治理制度和流程，并安排相关培训。

(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最高的治理权限，符合银监会监管和实施现场检查的要求，防范跨境风险。

(十二)准时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发大事，按相关预案快速响应。

(十三)协作银监会及其派出机构做好信息科技风险监视检查工作，并根据监管意见进展整改。

(十四)履行信息科技风险治理其他相关工作。

科技风险治理

第四条风险治理部负责信息科技风险治理工作，并直接向分管行领导(风险治理委员会)报告工作。该部门应为信息科技突发大事应急响应小组的成员之一，负责协调制定有关信息科技风险治理策略，尤其是在涉及信息安全、业务连续性规划和合规性风险等方面，为业务部门和信息科技部门供应建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威逼和不合规大事的发生。风险治理部的职责包括：

(一)拟定信息系统风险治理总体政策，并提交高级治理层审查、审批。

(二)会同相关业务部门对信息系统风险进展识别、监测;

(三)审核信息系统风险状况。对总行相关业务部门和分支机构信息系统风险状况及维护、运行状况进展监测，并进展实时报告。

(四)组织新投产后信息系统的后评价，并识别、评估新信息系统中所包含的风险，审核相应的操作和风险治理程序。

第五条我司制定全面的信息科技风险治理策略，包括但不限于下述领域：

(一)信息分级与爱护。

(二)信息系统开发、测试和维护。

(三)信息科技运行和维护。

(四)访问掌握。

(五)物理安全。

(六)人员安全。

(七)业务连续性规划与应急处臵。

第六条我司制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进展排序，并确定风险防范措施及所需资源的优先级别(包括外包供给商、产品供给商和效劳商)。

第七条我司依据信息科技风险治理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：

(一)制定明确的信息科技风险治理制度、技术标准和操作规程等，定期进展更新和公示。

(二)确定潜在风险区域，并对这些区域进展具体和独立的监控，实现风险最小化。建立适当的掌握框架，