您的位置:360文档中心› XXX银行信息科技风险管理办法

XXX银行信息科技风险管理办法

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息科技风险管理办法

第一章总则

第一条为加强XXXXXX(以下简称本行)信息科技风险管理,根据《商业银行信息科技风险管理指引》(银监发〔2009〕19 号),以及本行信息科技工作的有关规定,制定本办法。

第二条本办法适用于本行及其所属部门、机构。

第三条本办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。

第四条本办法所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条本行信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、评估、预防、监测和计量,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。

第六条本行信息科技风险管理的管理原则是:专业主导、全员参与、协调统一、突出重点、预防为主、动态管理。

专业主导:以风险管理部门、信息科技管理部门为专业主导

部门,对信息科技风险实施风险管理和控制。

全员参与:倡导“信息安全人人有责”的信息科技风险管理文化,涉及与信息科技相关的员工,均负有对本岗位信息科技风险管理的责任。

协调统一:即按照既定的组织职责分工,协调配合,落实信息科技风险管理的政策和策略,为信息科技风险管理目标的实现提供保障。

突出重点:即区分重点和一般,合理配置管理资源,优先确保重要业务、重要管理系统的信息科技安全。

预防为主:坚持“安全第一,预防为主”的方针,将信息科技风险控制在风险容忍度及其措施控制目标以内。

动态管理:根据信息科技资产配置情况及其风险程度的变化,跟进政策、策略和资源的调整,保证对信息科技风险管理的持续有效。

第七条本行信息科技风险的偏好和政策取向。偏好是追求稳健。政策取向是以可接受的措施成本将风险控制在容忍度以内。

第八条本行信息科技风险的管理文化。

(一)信息科技风险管理创造价值:要认识到信息科技风险既是损失的来源更是收益的来源,要在既定的风险容忍度之下通过承担和管理信息科技风险来实现收益,创造价值;

(二)容忍文化与控制文化相结合:一方面根据业务发展和风险战略对信息科技风险有合理的容忍限度,另一方面也需要对

过度的信息科技风险和与收益不匹配的信息科技风险进行严格控制;

(三)自上而下推动:信息科技风险文化应由高层到基层自上而下的示范和推动;

(四)以制度为基础:把信息科技管理文化建设进一步上升到制度建设的层面,进而落实到员工行为之中。

第九条将信息科技风险管理从本行操作风险管理中提取出来,作为相对独立的风险子系统实施管理。信息科技风险管理是本行全面风险管理的有机组成部分,与本行全面风险管理总体框架、总体政策、总体偏好保持一致。

本行信息科技风险管理框架主要包括以下基本要素:

(一)信息科技风险治理;

(二)信息科技风险管理策略;

(三)信息科技风险识别和评估;

(四)信息科技风险的防范;

(五)信息科技风险监测和计量;

(六)信息科技风险的控制。

第十条本行依法接受银行业监督管理部门的监督指导。

第二章信息科技治理

第一节信息科技法人治理

第十一条信息科技治理是本行法人治理的组成部分。本行

法定代表人是本行信息科技风险管理的第一责任人,负责组织本办法的贯彻落实。

第十二条本行董事会的信息科技管理职责:

(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准;落实中国银行业监督管理委员会(以下简称银监会)相关监管要求;执行XXXX的信息科技政策和规定。

(二)审查批准信息科技战略,确保其与本行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。

(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。

(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。

(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。

(七)确保内部审计部门进行独立有效的信息科技风险管理

审计,对审计报告进行确认并落实整改。

(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。

(九)确保信息科技风险管理工作所需资金。

(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。

(十一)确保本行涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。

(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。

(十四)履行信息科技风险管理其他相关工作。

董事会应将信息科技风险管理情况作为全面风险管理的重要内容,定期向股东大会报告。

第十三条本行董事会授权董事会风险管理委员会履行董事会相关信息科技风险管理职能。负责监督信息技术管理委员会落实信息科技风险的管控,派员列席信息技术管理委员会的重要会议,确保董事会风险管理政策得到落实。董事会风险管理委员会应定期向董事会报告授权职责的履行情况,及时报告重大事项。

本行董事会授权高级管理层审议批准风险管理部提出的基

相关文档
最新文档