当前位置:文档之家 › XX银行信息科技风险管理办法

XX银行信息科技风险管理办法

  • 格式:docx
  • 大小:28.81 KB
  • 文档页数:15

下载文档原格式

  / 15
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

XX银行信息科技风险管理办法

第一章总则

第一条为建立健全信息科技风险管理体系,防范信息科技风险,提高信息科技风险管理水平,根据《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》、《银行业金融机构信息科技外包风险管理指引》等法律法规和监管要求,结合本行实际,制定本办法。

第二条术语释义

(一)信息科技。系指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,包括进行信息科技治理,建立完整的管理组织架构,制定完善的管理制度和流程等。

(二)信息科技风险。系指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷等产生的操作、法律和声誉等风险。

(三)信息科技风险管理。系指通过建立信息科技风险的识别、评估、应对、监测和持续改进的方法和流程,实施具体的风险管控措施,将信息科技风险降低或控制在适当水平,增强银行核心竞争力和可持续发展能力。

第三条管理原则

(一)协调统一原则。本行信息科技风险管理充分考虑管理目标与业务发展、成本与效益之间的关系,协调统一确定全行信息科技风险管理策略。

(二)全面覆盖原则。信息科技风险覆盖到全行各条线、部门、岗位、人员和业务环节,本行全体人员均是信息安全和风险防范工作的参与者和责任人。

(三)预防优先原则。本行信息科技风险管理秉承事前预防重于事后控制、日常防控重于应急处理的原则,注重信息科技风险管理工作的主动性与前瞻性,降低风险发生的可能性。

(四)动态管理原则。根据外部监管要求,本行业务及信息科技发展情况,在发展过程中动态调整、持续优化信息科技风险管理策略和工作机制。

第四条适用范围。本办法适用于本行各级机构、部门、岗位人员及业务环节。

第二章职责分工

第五条本行董事会是本行信息科技风险管理的最高决策机构。其中,董事会风险管理委员会负责落实董事会信息科技风险管理职责,稽核部负责落实董事会审计监督职责。董事会主要职责包括:

(一)遵守并贯彻执行国家有关信息科技风险管理的法律、法规和技术标准,落实相关监管要求。

(二)负责审批信息科技战略,确保其与总体业务战略和重大策略一致;评估信息科技及风险管理工作的总体效果和效率。

(三)听取经营层信息科技风险管理工作汇报,掌握主要信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。

(四)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织架构。

(五)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。

(六)确保信息科技风险管理工作所需资金。

(七)负责梳理、落实信息科技外包风险管理职责,审批信息科技外包战略,审议外包管理制度与流程。

(八)银监会科技风险管理指引规定的董事会的其它职责。

第六条本行高级管理层是信息科技风险管理的执行机构,其主要职责包括:

(一)负责组织实施信息科技战略,确保其符合本行总体战略。

(二)逐步完善信息科技风险管理体系建设。

(三)负责审批信息科技风险管理方面的制度和规范,以确保信息系统安全运行。

(四)听取信息科技风险管理工作汇报,审议重大信息科技风险解决方案,协调信息科技风险管理所需资源,保证风险管理措施得到全面落实,保障信息科技风险管理的有效性。

(五)负责监督各项职责的落实,定期向董事会汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

(六)审阅并向银监会及其派出机构报送信息科技风险管

(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并督促落实整改。

(八)审议全行信息安全策略及系统连续性方案,并保证信息系统业务连续性方案得到定期演练。

(九)审议报送监管机构的信息科技相关风险报告,及时向监管机构报告重大信息科技事故或突发事件,按相关预案组织快速响应。

(十)董事会要求的其它重大事项。

第七条总行风险管理部是本行信息科技风险的管理部门,其主要职责包括:

(一)负责组织、协调和督导全行信息科技风险管理工作。

(二)制定信息科技风险管理策略等信息科技风险管理制度。

(三)监测、评估全行信息科技风险状况,根据实际情况组织信息科技风险现场检查,并跟踪问题整改情况。

(四)参与审议重大信息科技项目立项与投产评审,组织开展重要信息系统投产后评价,识别和评估可能存在的风险隐患。

(五)组织开展全行业务连续性管理工作,指导、评估、监督各部门业务连续性管理工作。

(六)负责监督、评价外包管理工作,定期向高级管理层汇报信息科技外包活动相关风险情况。

(七)负责信息科技风险管理的其它工作。

第八条总行信息科技部是本行信息科技风险管理的执行部门,其主要职责包括:

(一)负责落实监管机构及本行信息科技风险管理规定,制定信息科技风险管理操作规程,逐步建立起贯穿识别、评估、控制和监测等全过程的信息科技风险管理体系。

(二)每年至少向高级管理层汇报一次全行信息科技风险整体状况。

(三)负责制定项目立项、业务需求、系统开发、投产应用等管理办法,建立和落实信息系统生命周期各个环节的风险控制机制与管理流程。

(四)负责建立信息系统与基础设施安全运行保障机制,确保本行信息系统安全、稳定、连续运行。

(五)负责全行信息安全和突发风险事件的快速响应、事件报告与应急处置、事后调查与分析等工作,逐步建立和完善应急管理体系。

(六)负责实施信息科技外包战略,制定并执行外包管理制度与流程,组织实施供应商的准入、评价和退出等外包管理工作,监控和分析各项外包活动,定期报告外包活动情况。

(七)定期组织全行信息科技风险检查,对存在的风险隐患,制定控制和规避措施并组织实施,配合内、外部信息科技风险审计、检查工作,并对审计和检查发现的问题组织落实整改。

(八)每季向风险管理部报送相关风险报告,包括但不限于信息科技风险事件、信息科技风险状况报告、信息科技内外部检查发现问题和整改情况、全行性信息系统建设和应用情况以及外包管理情况等。

(九)负责全行信息安全和科技风险防范的宣传和教育工作,指导监督分支机构信息科技风险管理,提高全行信息安全管理和风险防范水平。

(十)负责落实信息科技风险管理的其它事项。

第九条总行稽核部是本行信息科技风险管理的审计机构,其主要职责包括:

相关主题