——xx银行信息科技风险管理办法xx总发〔xx〕211号，xx年10月12日印发总则为了规范xx银行（以下简称“本行”）信息科技风险管理,促进全行信息科技工作的健康发展,根据《商业银行信息科技风险管理指引》、《计算机信息安全等级保护条例》以及国家信息安全相关要求和有关法律法规,特制定本办法。本办法所称信息科技管理,包括：信息科技治理、信息科技风险管理、信息安全、信息系统项目管理、信息科技运行、业务连续性管理、外包管理、内外部审计等。本办法适用于总行及各分支机构信息科技风险管理。本办法所指信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在银行业务交易处理、经营管理和内部控制等方面应用,并包括进行信息科技治理,建立完整的管理组织架构，制订完善的管理制度和流程。本办法所指重大信息科技项目是指《xx银行信息科技项目管理办法》中所界定的甲类项目。信息科技治理总行设立首席信息官,成立由行长担任主任、首席信息官担任副主任的信息科技管理委员会。明确董事会、信息科技管理委员会、首席信息官以及科技、风险、稽核等部门的职责,全面协调开展信息科技风险管理工作。董事会应履行以下信息科技管理职责：遵守并贯彻执行国家和银监会有关信息科技管理的政策和规定；审查和批准信息科技发展战略规划,评估信息科技风险管理效果；了解信息风险,明确信息风险等级,落实信息风险识别和评价机制；监督信息科技战略规划、预算执行和整体状况；落实信息科技外部审计工作,按要求向银监部门报送信息科技风险管理报告；及时向银监部门上报重大信息科技事故和突发事件,落实应急响应机制；履行信息科技风险管理其他相关工作。信息科技管理委员会承担以下职责：审议本行中长期信息科技规划,定期（至少每年一次）进行评审，并将评审结果上报董事会；审议本行年度IT预算,并监督执行情况；评估本年度本行信息科技及其风险管理工作的总体效果和效率；根据市场形势及公司业务发展的实际情况，审议调整信息科技工作部署的意见；审议本行重大信息科技项目报告；审议本行重大IT管理制度；研究和评估本行重要信息科技人才激励机制的实施效应,并向高级管理层提出建议；对本行IT相关的投资及其优先级做出决策；确保本行提供足够的资源保障信息科技治理工作按既定的目标和议案进行实施,保障公司信息科技治理水平得到持续的改进和提高；高级管理层授权的其它事宜。首席信息官直接向行长汇报,并参与决策。首席信息官职责包括：直接参与本行与信息科技运作有关的业务发展决策；确保信息科技战略,尤其是信息系统开发战略的实施,保持与总体业务发展战略和信息科技风险管理策略相一致；负责组建信息科技部门,承担信息科技职责,确保科技部门各项职能的良好履行；确保信息科技风险管理的有效性，有效涵盖所有风险点，使防范措施落实到每一个内设机构和分支机构；加强信息科技队伍建设，开展专业培训，提高专业技术水平。总行科技部为全行信息科技工作的主要职能部门，应按照信息科技管理要求合理设置岗位，明确不同岗位的职责和技能要求；人事保卫部对于重要岗位人员应加强审核管理，签定保密协议，落实强制休假，按年度进行考评。总行科技部主要职责包括：负责并实施董事会和高级管理层下达的各项信息科技工作；负责并制定全行科技发展规划和电子化建设计划；负责并管理全行信息科技项目的开发工作；负责并管理全行计算机信息系统日常运行维护工作；负责并管理全行电子化设备的维护和电子设备的资产管理工作；负责并实施全行计算机信息系统风险控制和安全管理工作；负责并制定总行信息科技管理制度、办法和流程；负责并管理、指导分支机构开展信息科技工作；负责并管理全行信息科技成果、保密、知识产权保护等工作；负责并实施全行计算机安全等级保护和内外部审计整改工作。总行风险管理部负责信息科技风险管理工作，风险管理部内设信息科技风险管理岗，部门职责如下：根据本行信息科技风险管理政策，制定信息科技风险管理策略；负责开展年度全面信息科技风险评估工作，组织信息科技专项风险评估，监督、跟踪风险整改建议落实情况；在总行应急领导小组的领导下，组织各部门制定应急预案，并监督业务连续性计划的演练；负责监控信息科技风险和不合规事件发生，在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供相关合规性信息。总行稽核监察部负责信息科技风险审计工作，并设立信息科技风险审计岗，部门职责如下：负责向信息科技管理委员会及高级管理层汇报信息科技内审工作；负责制定和实施信息科技审计制度和流程；负责制定和执行信息科技审计计划；负责对信息科技整个生命周期和重大事件等进行审计；配合银行监管部门做好信息科技现场检查，并负责协调外部审计工作。总行行政部负责全行电子化设备的采购，协助项目发起部门选择供应商。信息科技风险管理风险管理定义息科技风险，是指