银行信息科技风险管理制度

第一章总则

第一条为进一步完善银行（以下简称“本行”）全面风险管理体系，保证本行业务的可持续发展，依据中国银行业监督管理委员会《商业银行信息科技风险管理指引》、《银行信息科技管理制度》，并结合本行实际，制定本办法。

第二条本办法所称信息科技风险是指本行在运用信息科技过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第三条本行信息科技风险政策取向是：稳健。实行规避、预防、缓释、抵补等管理策略。

第四条本行通过搭建科学的风险管理组织架构、划分明确的风险管理职责、制定有效的风险管理制度和操作流程等措施，持续推动信息科技风险管理工作的开展。

第五条本行信息科技风险管理的管理原则是：全员参与、协调统一、预防为主、动态管理。

第六条本行信息科技风险的管理目标是通过建立完整、合理、有效的风险管理机制，实现对信息科技风险的识别、评估、计量、监测和控制，促进本行安全、持续、稳健运行，推动业务创新，提高本行信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技风险的组织架构和职责

第七条建立与信息科技风险特点相适应的组织架构，包括董事会（信息科技管理委员会）、信息科技风险控制部门、高级管理层（首席信息官）及信息科技部门。构建信息科技风险防范的“三道防线”，第一道防线，信息科技部门做好信息科技管理工作。第二道防线，风险管理部门进行信息科技风险分类与评估。稽核内审部门做好信息科技风险审计，作为第三道防线。

第八条董事会承担本行信息科技风险管理的最终职责。具体职责包括：

（一）建立并完善分工合理、职责明确、相互制衡、报告关系清晰