银行信息科技管理基本制度

xx银行信息科技管理基本制度

xx总发〔xx〕6号附件6，xx年1月12日印发

第一章总则

第一条为了规范xx银行（以下简称“本行”）信息科技风险管理,促进全行信息科技工作的健康发展,根据《商业银行信息科技风险管理指引》、《计算机信息安全等级保护条例》以及国家信息安全相关要求和有关法律法规,特制定本制度。

第二条本制度所称信息科技管理，包括：信息科技治理、信息科技风险管理、信息安全、信息系统项目管理、信息科技运行、业务连续性管理、外包管理、内外部审计等。

第三条本制度适用于总行及各分支机构信息科技管理。

第四条本制度所指信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在银行业务交易处理、经营管理和内部控制等方面应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第五条信息科技管理工作应接受当地银行监管部门、公安部门和国家有关信息安全管理部门的检查和指导。

第二章组织与职责

第六条健全和完善信息科技管理架构，成立信息科技管理委员会，设立首席信息官。明确董事会、信息科技管理委员会、首席信息官以及科技部、风险管理部、稽核监察部等部门的职责，全面协调开展信息科技风险管理工作。

第七条董事会应履行以下信息科技管理职能：

(一)遵守并贯彻执行国家和银监会有关信息科技管理的政策和规定；

(二)审查和批准信息科技发展战略规划，评估信息科技风险管理效果；

(三)了解信息风险，明确信息风险等级，落实信息风险识别和评价机制；

(四)建立职责明确、报告清晰的信息科技治理组织结构；

(五)监督信息科技战略规划、预算执行和整体状况,确保信息科技风险管理工作所需资金；

(六)落实信息科技外部审计工作，按要求向银监部门报送信息科技风险管理报告；

(七)及时向银监部门上报重大信息科技事故和突发事件，落实应急响应机制；

(八)确保相关职能部门配合银监会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整改；

(九)履行信息科技风险管理其他相关工作。

第八条设立首席信息官，直接向行长汇报，并参与决策（在未设立首席信息官情况下，其职责由科技分管行长兼任），首席信息官的职责包括：

(一)直接参与本行与信息科技运作有关的业务发展决策；

(二)确保信息科技战略，尤其是信息系统开发战略的实施，保持与总体业务发展战略和信息科技风险管理策略相一致；

(三)负责组建信息科技部门，承担信息科技职责，确保科技部门各项职能的良好履行；

(四)确保信息科技风险管理的有效性，有效涵盖所有风险点，使防范措施落实到每一个内设机构和分支机构；

(五)加强信息科技队伍建设，开展专业培训，提高专业技术水平。

第九条总行科技部为全行信息科技工作的主要职能部门，应按照信息科技管理要求合理设置岗位，明确不同岗位的职责和技能要求；人事保卫部对于重要岗位人员应加强审核管理，签定保密协议，落实强制休假，按年度进行考评。

总行科技部主要职责包括：

(一)负责并实施董事会和总行经营层下达的各项信息科技工作，并报告相关信息科技工作；

(二)负责并制定全行科技发展规划和电子化建设计划；

(三)负责并管理全行信息科技项目的开发和上线工作；

(四)负责并管理全行计算机信息系统日常运行维护工作；

(五)负责并管理全行电子化设备采购、登记和维护工作；

(六)负责并实施全行计算机信息系统风险控制和安全管理工作；

(七)负责并制定总行信息科技管理制度、办法和流程；

(八)负责并实施全行信息科技外包管理工作；

(九)负责并实施技术业务连续性管理工作；

(十)负责并管理、指导分支机构开展信息科技工作；

(十一)负责并管理全行信息科技成果、保密、知识产权保护等工作；

(十二)负责并实施全行计算机安全等级保护和内外部审计整改工作。

第十条风险管理部负责信息科技风险管理工作，其职责包括：

(一)负责向信息科技管理委员会、首席信息官和首席风险官报告信息科技风险管理工作；

(二)负责协调制定有关信息科技风险管理策略；

(三)负责组织重大信息科技项目的风险审议；

(四)负责协调组织实施全行信息系统应急管理和业务连续性计划；

(五)负责并实施持续信息科技风险评估，监督、跟踪各项整改意见落实情况；

第十一条总行法律与合规部负责信息科技管理的合规管理工作，其职责包括：

(一)负责向信息委员会、首席信息官和首席风险官报告信息科技管理的合规管理工作；

(二)负责审核和监督信息科技合规性检查制度和流程；

(三)负责就信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议和合规性信息；

(四)负责监控信息科技合规信息，及时提出预警和合规风险提示。

第十二条总行稽核监察部负责信息科技风险审计工作，其职责包括：

(一)负责向信息委员会、首席信息官和首席风险官报告信息科技风险审计工作报告；

(二)负责制定和实施信息科技审计制度和流程；

(三)负责制定和执行信息科技审计计划；

(四)负责对信息科技整个生命周期和重大事件等进行审计；

(五)配合银行监管部门做好信息科技现场检查，并负责协调外部审计工作。

第十三条总行办公室负责并管理全行电子化设备采购的商户洽谈和合同管理。

第十四条总行会计结算部、个金业务部、公司业务部、授信管理部、国际业务部和计划财务部等业务管理部门负责信息科技项目的立项和上线实施工作。

第三章信息科技风险管理

第一节风险管理定义

第十五条信息科技风险，是指信息科技在银行运用过程中，由于自然因素、人为

因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第十六条信息科技风险管理的基本原则是：体系规范、制度健全、流程合规、措施有效，全面保障信息系统安全稳定的运行。

第二节风险管理策略

第十七条以业务发展战略为基础，制定和完善信息科技发展战略，落实信息科技运行和风险评估计划，确保人、财、物各项资源的有效保障，并逐步建立和完善与之相适应的全行信息科技风险管理策略。

第十八条信息科技风险管理策略应包括但不限于以下内容：

(一)信息分级和保护；

(二)信息系统开发、测试和维护；

(三)信息科技运行和维护；

(四)访问控制；

(五)物理安全；

(六)人员安全；

(七)业务连续性计划与应急管理。

第三节风险管理措施

第十九条信息科技风险管理部门应制定和完善信息风险识别和评估流程，鉴定和评价信息风险点及可能对业务带来的潜在影响。并针对风险程度进行排序，实施相应的风险防控措施及确定所需资源的优先级。

第二十条应依据信息科技风险管理策略和风险评估结果，全面实施风险防范措施。防范措施应包括：

(一)健全和完善信息科技风险管理制度、技术标准和操作规程等；

(二)确定潜在风险点，并对风险点进行有效的监测、跟踪和分析，制定相应的控制措施，实现风险最小化。并针对各业务系统定义控制内容，包括：

1.最高权限用户的审查；