-6-商業(yè)銀行信息科技風(fēng)險(xiǎn)管理策略第一章總則第一條為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，根據(jù)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)〔2009〕19號(hào)），結(jié)合商業(yè)銀行工作實(shí)際，制定本策略。第二條本策略是商業(yè)銀行信息科技風(fēng)險(xiǎn)管理制度體系的總綱性文件，和《信息科技治理制度》（試行）、《信息科技風(fēng)險(xiǎn)管理制度》（試行）、《信息安全管理制度》（試行）、《信息科技項(xiàng)目管理制度》（試行）、《信息科技運(yùn)行制度》（試行）、《業(yè)務(wù)連續(xù)性管理制度》（試行）、《外包管理制度》（試行）、《信息科技審計(jì)管理制度》（試行）8個(gè)制度共同構(gòu)成商業(yè)銀行信息科技風(fēng)險(xiǎn)管理制度體系。第三條商業(yè)銀行要根據(jù)本策略以及上述8個(gè)制度要求，結(jié)合自身實(shí)際，制訂細(xì)化的策略、制度、流程和表單，構(gòu)建本單位信息科技風(fēng)險(xiǎn)管理制度體系，做好信息科技風(fēng)險(xiǎn)管理工作。第二章信息科技治理第四條信息科技風(fēng)險(xiǎn)管理組織架構(gòu)（一）董事會(huì)是信息科技風(fēng)險(xiǎn)管理的最高決策機(jī)構(gòu)，法定代表人是第一責(zé)任人。（二）信息科技管理委員會(huì)和業(yè)務(wù)連續(xù)性管理委員會(huì)向高級(jí)管理層負(fù)責(zé)，高級(jí)管理層向董事會(huì)負(fù)責(zé)。（三）信息科技部門、風(fēng)險(xiǎn)管理部門和審計(jì)部門構(gòu)成信息科技風(fēng)險(xiǎn)管理的三道防線。第五條委員會(huì)構(gòu)成（一）信息科技管理委員會(huì)由行長(zhǎng)擔(dān)任主任委員，首席信息官（或分管科技行長(zhǎng)）擔(dān)任副主任委員，辦公室設(shè)立在科技部門（或單獨(dú)設(shè)立），下設(shè)信息安全等具體工作領(lǐng)導(dǎo)小組。（二）業(yè)務(wù)連續(xù)性管理委員會(huì)由行長(zhǎng)擔(dān)任主任委員，分管風(fēng)險(xiǎn)行長(zhǎng)任副主任委員，辦公室設(shè)立在風(fēng)險(xiǎn)部門（或單獨(dú)設(shè)立），下設(shè)信息科技及其他條線的突發(fā)事件應(yīng)急處置領(lǐng)導(dǎo)小組。第六條工作職責(zé)（一）董事會(huì)負(fù)責(zé)審批科技、風(fēng)險(xiǎn)和審計(jì)年度報(bào)告，授權(quán)業(yè)務(wù)連續(xù)性管理委員會(huì)做好重大突發(fā)事件管理工作。（二）信息科技管理委員會(huì)負(fù)責(zé)制訂工作章程，審批信息科技部門組織制定的信息科技工作報(bào)告，其中重要報(bào)告要提交高級(jí)管理層集體研究后報(bào)董事會(huì)決策批準(zhǔn)。（三）業(yè)務(wù)連續(xù)性管理委員會(huì)負(fù)責(zé)制訂工作章程，通過(guò)風(fēng)險(xiǎn)管理部門組織開(kāi)展包括信息科技在內(nèi)的各條線風(fēng)險(xiǎn)管理工作，重要報(bào)告要提交高級(jí)管理層集體研究后報(bào)董事會(huì)決策批準(zhǔn)。（四）信息科技部門作為信息科技風(fēng)險(xiǎn)管理工作的第一道防線，負(fù)責(zé)運(yùn)行、開(kāi)發(fā)和安全管理工作，承擔(dān)風(fēng)險(xiǎn)、業(yè)務(wù)連續(xù)性和外包管理的執(zhí)行部門職責(zé)。信息科技部門向信息科技管理委員會(huì)負(fù)責(zé)。（五）風(fēng)險(xiǎn)管理部門作為信息科技風(fēng)險(xiǎn)管理工作的第二道防線，牽頭開(kāi)展風(fēng)險(xiǎn)、業(yè)務(wù)連續(xù)性和外包管理工作。風(fēng)險(xiǎn)管理部門向業(yè)務(wù)連續(xù)性管理委員會(huì)負(fù)責(zé)。（六）審計(jì)部門作為信息科技風(fēng)險(xiǎn)管理工作的第三道防線，負(fù)責(zé)信息科技內(nèi)部審計(jì)監(jiān)督工作，配合做好外部審計(jì)。審計(jì)部門直接向董事會(huì)報(bào)告。（七）業(yè)務(wù)部門要承擔(dān)需求、測(cè)試、驗(yàn)收和使用管理等信息科技風(fēng)險(xiǎn)管理相關(guān)職責(zé)。第七條其它商業(yè)銀行要做好信息科技規(guī)劃、技術(shù)架構(gòu)設(shè)計(jì)、知識(shí)產(chǎn)權(quán)保護(hù)、科技激勵(lì)約束和風(fēng)險(xiǎn)披露報(bào)告等其它信息科技治理工作。第三章信息科技風(fēng)險(xiǎn)管理第八條商業(yè)銀行風(fēng)險(xiǎn)管理部門負(fù)責(zé)牽頭開(kāi)展信息科技風(fēng)險(xiǎn)管理工作，信息科技等相關(guān)部門參與其中并負(fù)責(zé)自身專業(yè)方面工作。第九條商業(yè)銀行風(fēng)險(xiǎn)管理部門負(fù)責(zé)組織制定全面的信息科技風(fēng)險(xiǎn)管理制度體系。體系架構(gòu)應(yīng)包括策略、制度、流程和表單。體系內(nèi)容應(yīng)包括治理、風(fēng)險(xiǎn)、安全、項(xiàng)目、運(yùn)行、業(yè)務(wù)連續(xù)性、外包和審計(jì)。第十條商業(yè)銀行要開(kāi)展信息科技風(fēng)險(xiǎn)識(shí)別評(píng)估、計(jì)量監(jiān)測(cè)、處置報(bào)告和人員培訓(xùn)等風(fēng)險(xiǎn)管理工作。第四章信息安全第十一條商業(yè)銀行信息科技部門負(fù)責(zé)落實(shí)信息安全管理工作，風(fēng)險(xiǎn)管理、審計(jì)等相關(guān)部門參與其中并負(fù)責(zé)自身專業(yè)方面工作。第十二條商業(yè)銀行要開(kāi)展安全管理制度、安全風(fēng)險(xiǎn)、資產(chǎn)、人員、物理環(huán)境、操作、訪問(wèn)控制、密碼、外包、系統(tǒng)和安全事件等方面的信息安全管理工作，并執(zhí)行報(bào)告要求。第五章信息科技項(xiàng)目管理第十三條商業(yè)銀行信息科技部門負(fù)責(zé)落實(shí)信息科技項(xiàng)目管理工作，風(fēng)險(xiǎn)管理、審計(jì)和業(yè)務(wù)等相關(guān)部門參與其中并負(fù)責(zé)自身專業(yè)方面工作。第十四條商業(yè)銀行要開(kāi)展制度、人員、實(shí)施、時(shí)間、風(fēng)險(xiǎn)、成本、質(zhì)量和文檔等方面的項(xiàng)目管理工作。第十五條商業(yè)銀行要在立項(xiàng)、需求、設(shè)計(jì)、編碼、環(huán)境配置、測(cè)試、試運(yùn)行、上線和驗(yàn)收等項(xiàng)目周期內(nèi)各個(gè)環(huán)節(jié)做好管理工作，并執(zhí)行報(bào)告要求。第六章信息科技運(yùn)行第十六條商業(yè)銀行信息科技部門負(fù)責(zé)落實(shí)信息科技運(yùn)行管理工作。風(fēng)險(xiǎn)管理、審計(jì)等相關(guān)部門參與其中并負(fù)責(zé)自身專業(yè)方面工作。第十七條商業(yè)銀行要開(kāi)展管理制度和監(jiān)控系統(tǒng)建設(shè)，以及配置、容量、安全、變更、操作、事件及問(wèn)題等運(yùn)行管理工作，并執(zhí)行報(bào)告要求。第七章業(yè)務(wù)連續(xù)性管理第十八條商業(yè)銀行風(fēng)險(xiǎn)管理部門負(fù)責(zé)牽頭開(kāi)展業(yè)務(wù)連續(xù)性管理工作，業(yè)務(wù)、科技、審計(jì)等相關(guān)部門參與其中并負(fù)責(zé)自身專業(yè)方面工作。第十九條商業(yè)銀行要開(kāi)展業(yè)務(wù)連續(xù)性管理制度和流程制訂、業(yè)務(wù)影響分析和資源建設(shè)工作。第二十條商業(yè)銀行要制訂應(yīng)急預(yù)案、開(kāi)展應(yīng)急演練、做好應(yīng)急處置工作，并執(zhí)行報(bào)告要求。第八章外包第二十一條商業(yè)銀行風(fēng)險(xiǎn)管理部門負(fù)責(zé)牽頭開(kāi)展信息科技外包風(fēng)險(xiǎn)管理工作，信息科技部門及其它涉及信息科技外包活動(dòng)部門為信息科技外包管理的執(zhí)行部門，審計(jì)部門要定期開(kāi)展外包風(fēng)險(xiǎn)審計(jì)工作。第二十二條商業(yè)銀行要制訂外包戰(zhàn)略制度，加強(qiáng)外包服務(wù)供應(yīng)商管理，做好外包項(xiàng)目管理等工作，并執(zhí)行報(bào)告要求。第九章審計(jì)第二十三條商業(yè)銀行審計(jì)部門負(fù)責(zé)落實(shí)信息科技審計(jì)