pp金融科技风险管理新规制度.docxVIP

科技风险管理制度

第一条本管理所称信息科技风险，是指信息科技在本企业利用过程中，因为自然原因、人为原因、技术漏洞和管理缺点产生操作、法律和声誉等风险。

第二条信息科技风险管理目标是经过建立有效机制，实现对本企业信息科技风险识别、计量、监测和控制，促进本企业安全、连续、稳健运行，推进业务创新，提升信息技术使用水平，增强关键竞争力和可连续发展能力。

科技管理职责

第三条依据本企业信息科技治理要求，法定代表人是本机构信息科技风险管理第一责任人，负责组织本管理措施落实落实，董事会应推行以下信息科技管理职责：

（一）遵守并落实实施国家相关信息科技管理法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查同意信息科技战略，确保其和银行总体业务战略和重大策略相一致。评定信息科技及其风险管理工作总体效果和效率。

（三）掌握关键信息科技风险，确定可接收风险等级，确保相关风险能够被识别、计量、监测和控制。

（四）规范职业道德行为和廉洁标准，增强内部文化建设，提升全体人员对信息科技风险管理关键性认识。

（五）设置一个由来自高级管理层、信息科技部门和关键业务部门代表组成专门信息科技管理委员会，负责监督各项职责落实，定时向董事会和高级管理层汇报信息科技战略计划实施、信息科技预算和实际支出、信息科技整体情况。

（六）在建立良好企业治理基础上进行信息科技治理，形成份工合理、职责明确、相互制衡、汇报关系清楚信息科技治理组织结构。加强信息科技专业队伍建设，建立人才激励机制。

（七）确保内部审计部门进行独立有效信息科技风险管理审计，对审计汇报进行确定并落实整改。

（八）每十二个月审阅并向银监会及其派出机构报送信息科技风险管理年度汇报。

（九）确保信息科技风险管理工作所需资金。

（十）确保银行全部职员充足了解和遵守经其同意信息科技风险管理制度和步骤，并安排相关培训。

（十一）确保本法人机构包含用户信息、账务信息和产品信息等关键系统在中国境内独立运行，并保持最高管理权限，符合银监会监管和实施现场检验要求，防范跨境风险。

（十二）立即向银监会及其派出机构汇报本机构发生重大信息科技事故或突发事件，按相关预案快速响应。

（十三）配合银监会及其派出机构做好信息科技风险监督检验工作，并根据监管意见进行整改。

（十四）推行信息科技风险管理其它相关工作。

科技风险管理

第四条风险管理部负责信息科技风险管理工作，并直接向分管行领导（风险管理委员会）汇报工作。该部门应为信息科技突发事件应急响应小组组员之一，负责协调制订相关信息科技风险管理策略，尤其是在包含信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供提议及相关合规性信息，实施连续信息科技风险评定，跟踪整改意见落实，监控信息安全威胁和不合规事件发生。风险管理部职责包含：

（一）确定信息系统风险管理总体政策，并提交高级管理层审查、审批。

（二）会同相关业务部门对信息系统风险进行识别、监测；

（三）审核信息系统风险情况。对总行相关业务部门和分支机构信息系统风险情况及维护、运行情况进行监测，并进行实时汇报。

（四）组织新投产后信息系统后评价，并识别、评定新信息系统中所包含风险，审查对应操作和风险管理程序。

第五条本企业制订全方面信息科技风险管理策略，包含但不限于下述领域：

（一）信息分级和保护。

（二）信息系统开发、测试和维护。

（三）信息科技运行和维护。

（四）访问控制。

（五）物理安全。

（六）人员安全。

（七）业务连续性计划和应急处臵。

第六条本企业制订连续风险识别和评定步骤，确定信息科技中存在隐患区域，评价风险对其业务潜在影响，对风险进行排序，并确定风险防范方法及所需资源优先等级（包含外包供给商、产品供给商和服务商）。

第七条本企业依据信息科技风险管理策略和风险评定结果，实施全方面风险防范方法。防范方法应包含：

（一）制订明确信息科技风险管理制度、技术标准和操作规程等，定时进行更新和公告。

（二）确定潜在风险区域，并对这些区域进行具体和独立监控，实现风险最小化。建立合适控制框架，方便于检验和平衡风险；定义每个业务等级控制内容，包含：

1、最高权限用户审查。

2、控制对数据和系统物理和逻辑访问。

3、访问授权以“必需知道”和“最小授权”为标准。

4、审批和授权。

5、验证和调整。

第八条本企业应建立连续信息科技风险计量和监测机制，其中应包含：

（一）建立信息科技项目实施前及实施后评价机制。

（二）建立定时检验系统