银行信息科技风险管理办法第一章总则第一条为进一步加强银行股份有限公司（以下简称“本行”）信息科技管理，健全信息科技风险管理体制和机制，根据中国银行业监督管理委员会《商业银行信息科技风险管理指引》及《银行信息科技风险管理政策》，结合本行实际，制定本规范。第二条本规范中信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在本行业务交易、经营管理和内部控制等方面的应用，同时包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。信息科技风险是指本行在运用信息科技过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理是指识别、评估、计量、监测和控制信息科技风险的全过程。第三条通过建立有效的机制，实现对信息科技风险的识别、评估、计量、监测和控制，促进本行安全、持续、稳健运行，推动业务创新，提高本行信息技术使用水平，增强核心竞争力和可持续发展能力。第二章信息科技风险管理职责第四条本行风险管理部门负责全行信息科技风险牵头管理工作，职责包括：负责在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息；负责实施持续信息科技风险评估，并跟踪整改意见的落实；负责监控和报告信息安全威胁和不合规事件的发生；其他有关职责。风险管理部门信息科技风险管理的具体职责由高级管理层根据本行信息科技的运用状况、信息科技风险管理的工具、手段和能力、人力资源状况等实际情况，结合监管机构的具体要求进行确定，并逐步健全和完善。第五条本行信息科技部门负责全行信息科技风险管理具体实施工作，职责包括：负责贯彻执行本行信息科技风险管理战略和政策，并根据信息科技风险管理战略和政策制定具体的信息科技风险管理制度、程序，确保其有效实施；负责拟定本行信息科技预算和支出，并提交高级管理层审批；负责制定本行信息科技策略、标准和流程，并确保其有效实施；负责本行信息科技内部控制；负责本行信息科技开发和项目管理；负责本行信息系统和信息科技基础设施的运行、维护和升级；负责本行信息安全管理；负责本行灾难恢复计划的制定、演练和完善；负责本行信息科技外包和信息系统技术运维保障；其他有关职责。信息科技管理部门信息科技风险管理的具体职责由高级管理层根据本行信息科技的运用状况、信息科技风险管理的工具、手段和能力、人力资源状况等实际情况，结合监管机构的具体要求进行确定，并逐步健全和完善。第六条本行各部门和分支机构为信息科技系统的应用部门，职责包括：信息科技应用主管部门负责信息科技项目的发起；信息科技应用主管部门负责制订应用系统管理制度，并加以有效管理；负责按照本行信息科技风险管理制度和程序，运用信息科技系统，并按要求加以有效管理；负责向信息科技部门与信息科技风险管理部门报告信息科技系统运用过程中的风险，并按要求落实风险防控措施。第三章信息科技风险管理第七条本行应制定符合总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配置足够人力、财力资源，维持稳定和安全的信息科技环境。第八条第八条本行应制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别。第九条第九条本行应依据信息科技风险管理政策和风险评估结果，实施全面的风险防范措施。防范措施应包括：制定明确的信息科技风险管理制度、技术标准和操作规程等，定期进行更新和公示。确定潜在风险区域，并对这些区域进行详细和独立的监控，实现风险最小化。建立适当的控制框架，以便于检查和平衡风险；定义每个业务级别的控制内容，包括：1．最高权限用户的审查；2．控制对数据和系统的物理和逻辑访问；3．访问授权以“必须知道”和“最小授权”为原则；4．审批和授权；5．验证和调节。第十条本行应建立持续的信息科技风险计量和监测机制，应包括：建立信息科技项目实施前及实施后的评价机制；建立定期检查系统性能的程序和标准；建立信息科技服务投诉和事故处理的报告机制；建立内部审计、外部审计和监管发现问题的整改处理机制；安排供应商和业务部门对服务水平协议的完成情况进行定期审查；定期评估新技术发展可能造成的影响和已使用软件面临的新威胁；定期进行运行环境下操作风险和管理控制的检查；定期进行信息科技外包项目的风险状况评价。第十一条本行应按照知识产权相关法律法规，制定信息科技知识产权保护策略和制度，并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品，禁止侵权盗版；采取有效措施保护自主知识产权。第十二条本行应为信息科技风险管理部门配备足够的人员并配备所需的物力和财力资源，确保信息科技风险管理工作的有效开展。第十三条信息科技风险管理人员应当具备相关的专业知识和技能，并充分了解本行信息科技风险管理的技术和方法