商业银行信息科技风险管理策略.docx

商业银行信息科技风险管理策略第一章总则第一条为加强商业银行信息科技风险管理，根据商 业银行信息科技风险管理指引（银监发2009） 19号）， 结合商业银行工作实际，制定本策略。第二条本策略是商业银行信息科技风险管理制度体 系的总纲性文件，和信息科技治理制度（试行）、信 息科技风险管理制度（试行）、信息安全管理制度（试 行）、信息科技项目管理制度（试行）、信息科技运 行制度（试行）、业务连续性管理制度（试行）、外 包管理制度（试行）、信息科技审计管理制度（试行） 8个制度共同构成商业银行信息科技风险管理制度体系。第三条 商业银行要根据本策略以及上述8个制度要 求，结合自身实际，制订细化的策略、制度、流程和表单， 构建本单位信息科技风险管理制度体系，做好信息科技风险 管理工作。第二章信息科技治理第四条信息科技风险管理组织架构（一）董事会是信息科技风险管理的最高决策机构，法 定代表人是第一责任人。（二）信息科技管理委员会和业务连续性管理委员会向 高级管理层负责，高级管理层向董事会负责。（三）信息科技部门、风险管理部门和审计部门构成信 息科技风险管理的三道防线。第五条委员会构成（一）信息科技管理委员会由行长担任主任委员，首席 信息官（或分管科技行长）担任副主任委员，办公室设立在 科技部门（或单独设立），下设信息安全等具体工作领导小 组。（二）业务连续性管理委员会由行长担任主任委员，分 管风险行长任副主任委员，办公室设立在风险部门（或单独 设立），下设信息科技及其他条线的突发事件应急处置领导 小组。第六条工作职责（一）董事会负责审批科技、风险和审计年度报告，授 权业务连续性管理委员会做好重大突发事件管理工作。（二）信息科技管理委员会负责制订工作章程，审批信 息科技部门组织制定的信息科技工作报告，其中重要报告要 提交高级管理层集体研究后报董事会决策批准。（三）业务连续性管理委员会负责制订工作章程，通过 风险管理部门组织开展包括信息科技在内的各条线风险管 理工作，重要报告要提交高级管理层集体研究后报董事会决 策批准。（四）信息科技部门作为信息科技风险管理工作的第一 道防线，负责运行、开发和安全管理工作，承担风险、业务 连续性和外包管理的执行部门职责。信息科技部门向信息科 技管理委员会负责。（五）风险管理部门作为信息科技风险管理工作的第二 道防线，牵头开展风险、业务连续性和外包管理工作。风险 管理部门向业务连续性管理委员会负责。（六）审计部门作为信息科技风险管理工作的第三道防 线，负责信息科技内部审计监督工作，配合做好外部审计。 审计部门直接向董事会报告。（七）业务部门要承担需求、测试、验收和使用管理等 信息科技风险管理相关职责。第七条其它商业银行要做好信息科技规划、技术架构设计、知识产 权保护、科技激励约束和风险披露报告等其它信息科技治理 工作。第三章信息科技风险管理第八条 商业银行风险管理部门负责牵头开展信息科 技风险管理工作，信息科技等相关部门参与其中并负责自身 专业方面工作。第九条商业银行风险管理部门负责组织制定全面的 信息科技风险管理制度体系。体系架构应包括策略、制度、流程和表单。体系内容应包括治理、风险、安全、项目、运 行、业务连续性、外包和审计。第十条商业银行要开展信息科技风险识别评估、计量 监测、处置报告和人员培训等风险管理工作。第四章信息安全第十一条商业银行信息科技部门负责落实信息安全 管理工作，风险管理、审计等相关部门参与其中并负责自身 专业方面工作。第十二条商业银行要开展安全管理制度、安全风险、 资产、人员、物理环境、操作、访问控制、密码、外包、系 统和安全事件等方面的信息安全管理工作，并执行报告要 求。第五章 信息科技项目管理第十三条商业银行信息科技部门负责落实信息科技 项目管理工作，风险管理、审计和业务等相关部门参与其中 并负责自身专业方面工作。第十四条 商业银行要开展制度、人员、实施、时间、 风险、成本、质量和文档等方面的项目管理工作。第十五条 商业银行要在立项、需求、设计、编码、环 境配置、测试、试运行、上线和验收等项目周期内各个环节 做好管理工作，并执行报告要求。第六章信息科技运行第十六条 商业银行信息科技部门负责落实信息科技 运行管理工作。风险管理、审计等相关部门参与其中并负责 自身专业方面工作。第十七条商业银行要开展管理制度和监控系统建设， 以及配置、容量、安全、变更、操作、事件及问题等运行管 理工作，并执行报告要求。第七章业务连续性管理第十八条 商业银行风险管理部门负责牵头开展业务 连续性管理工作，业务、科技、审计等相关部门参与其中并 负责自身专业方面工作。第十九条商业银行要开展业务连续性管理制度和流 程制订、业务影响分析和资源建设工作。第二十条 商业银行要制订应急预案、开展应急演练、 做好应急处置工作，并执行报告要求。第八章外包第二十一条 商业银行风险管理部门负责牵头开展信 息科技外包风险管理工作，信息科技部门及其它涉及信息科 技外包活动部门为信息科技外包管理的执行部门，审计部门 要定期开展外包风险审计工作。第二十二条商业银行要制订外包战略制度，加强外包 服务供应商管理，做好外包项目管理等工作，并执行报告要 求。第九章审计第二十三条 商业银行审计部门负责落实信息科技审 计工作。第二十四条商业银行要建设审计队伍，制订管理制 度，开展内部审计和外部审计，加强信息科技重大项目审计, 并执行报告要求。第十章附则第二十五条 本策略由商业银行负责编制、修订及解 释。第二十六条 本策略自发布之日起执行。