商业银行信息科技风险管理策略

-6-商业银行信息科技风险管理策略第一章总则第一条为加强商业银行信息科技风险管理，根据《商业银行信息科技风险管理指引》（银监发〔2009〕19号），结合商业银行工作实际，制定本策略。第二条本策略是商业银行信息科技风险管理制度体系的总纲性文件，和《信息科技治理制度》（试行）、《信息科技风险管理制度》（试行）、《信息安全管理制度》（试行）、《信息科技项目管理制度》（试行）、《信息科技运行制度》（试行）、《业务连续性管理制度》（试行）、《外包管理制度》（试行）、《信息科技审计管理制度》（试行）8个制度共同构成商业银行信息科技风险管理制度体系。第三条商业银行要根据本策略以及上述8个制度要求，结合自身实际，制订细化的策略、制度、流程和表单，构建本单位信息科技风险管理制度体系，做好信息科技风险管理工作。第二章信息科技治理第四条信息科技风险管理组织架构（一）董事会是信息科技风险管理的最高决策机构，法定代表人是第一责任人。（二）信息科技管理委员会和业务连续性管理委员会向高级管理层负责，高级管理层向董事会负责。（三）信息科技部门、风险管理部门和审计部门构成信息科技风险管理的三道防线。第五条委员会构成（一）信息科技管理委员会由行长担任主任委员，首席信息官（或分管科技行长）担任副主任委员，办公室设立在科技部门（或单独设立），下设信息安全等具体工作领导小组。（二）业务连续性管理委员会由行长担任主任委员，分管风险行长任副主任委员，办公室设立在风险部门（或单独设立），下设信息科技及其他条线的突发事件应急处置领导小组。第六条工作职责（一）董事会负责审批科技、风险和审计年度报告，授权业务连续性管理委员会做好重大突发事件管理工作。（二）信息科技管理委员会负责制订工作章程，审批信息科技部门组织制定的信息科技工作报告，其中重要报告要提交高级管理层集体研究后报董事会决策批准。（三）业务连续性管理委员会负责制订工作章程，通过风险管理部门组织开展包括信息科技在内的各条线风险管理工作，重要报告要提交高级管理层集体研究后报董事会决策批准。（四）信息科技部门作为信息科技风险管理工作的第一道防线，负责运行、开发和安全管理工作，承担风险、业务连续性和外包管理的执行部门职责。信息科技部门向信息科技管理委员会负责。（五）风险管理部门作为信息科技风险管理工作的第二道防线，牵头开展风险、业务连续性和外包管理工作。风险管理部门向业务连续性管理委员会负责。（六）审计部门作为信息科技风险管理工作的第三道防线，负责信息科技内部审计监督工作，配合做好外部审计。审计部门直接向董事会报告。（七）业务部门要承担需求、测试、验收和使用管理等信息科技风险管理相关职责。第七条其它商业银行要做好信息科技规划、技术架构设计、知识产权保护、科技激励约束和风险披露报告等其它信息科技治理工作。第三章信息科技风险管理第八条商业银行风险管理部门负责牵头开展信息科技风险管理工作，信息科技等相关部门参与其中并负责自身专业方面工作。第九条商业银行风险管理部门负责组织制定全面的信息科技风险管理制度体系。体系架构应包括策略、制度、流程和表单。体系内容应包括治理、风险、安全、项目、运行、业务连续性、外包和审计。第十条商业银行要开展信息科技风险识别评估、计量监测、处置报告和人员培训等风险管理工作。第四章信息安全第十一条商业银行信息科技部门负责落实信息安全管理工作，风险管理、审计等相关部门参与其中并负责自身专业方面工作。第十二条商业银行要开展安全管理制度、安全风险、资产、人员、物理环境、操作、访问控制、密码、外包、系统和安全事件等方面的信息安全管理工作，并执行报告要求。第五章信息科技项目管理第十三条商业银行信息科技部门负责落实信息科技项目管理工作，风险管理、审计和业务等相关部门参与其中并负责自身专业方面工作。第十四条商业银行要开展制度、人员、实施、时间、风险、成本、质量和文档等方面的项目管理工作。第十五条商业银行要在立项、需求、设计、编码、环境配置、测试、试运行、上线和验收等项目周期内各个环节做好管理工作，并执行报告要求。第六章信息科技运行第十六条商业银行信息科技部门负责落实信息科技运行管理工作。风险管理、审计等相关部门参与其中并负责自身专业方面工作。第十七条商业银行要开展管理制度和监控系统建设，以及配置、容量、安全、变更、操作、事件及问题等运行管理工作，并执行报告要求。第七章业务连续性管理第十八条商业银行风险管理部门负责牵头开展业务连续性管理工作，业务、科技、审计等相关部门参与其中并负责自身专业方面工作。第十九条商业银行要开展业务连续性管理制度和流程制订、业务影响分析和资源建设工作。第二十条商业银行要制订应急预案、开展应急演练、做好应急处置工作，并执行报告要求。第八章外包第二十一条商业银行风险管理部门负责牵头开展信息科技外包风险管理工作，信息科技部门及其它涉及信息科技外包活动部门为信息科技外包管理的执行部门，审计部门要定期开展外包风险审计工作。第二十二条商业银行要制订外包战略制度，加强外包服务供应商管理，做好外包项目管理等工作，并执行报告要求。第九章审计第二十三条商业银行审计部门负责落实信息科技审计