某银行信息科技风险识别与评估管理办法.pdf

某银行信息科技风险识别与评估管理办法.pdf

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

某银行信息科技风险识别与评估管理办法--第1页

某银行信息科技风险识别与评估管理办法

第一章总则

第一条为规范信息科技风险评估工作,提高某银行信息科技风险管理水平,

促进我行业务安全、持续、稳健发展,根据国家信息安全法律、法规及银行业信

息科技监管要求及《某银行信息科技风险管理策略》结合我行风险管理实际情,

况,特制定本办法。

第二条本办法属于信息科技风险类“管理办法”,合用于某银行信息科技工

作全过程的风险评估。风险评估对象包括信息科技组织、管理过程和信息资产。

第三条信息科技风险,是指信息科技在合规管理、支持业务创新和业务运

营过程中,由于管理流程及资源缺失或者不足、人为因素和技术漏洞产生的操作、

法律、声誉等风险。

第四条信息科技风险评估是指在信息科技风险事件发生之前或者之后(但

还没有结束),该事件给信息系统的研发、生产等各个方面造成的影响和损失

的可能性进行量化评估的工作。

第五条本办法所指的信息科技风险类型及来源包括但不限于以下内容:

(一)信息科技总体风险是指信息科技在策略、制度、物理环境、软件、

硬件、网络、数据、文档等方面影响全局或者共有的风险。

(二)信息系统风险是指信息系统在规划、研发、建设、运行、维护、监控及

下线过程中由于技术和管理缺陷产生的风险。

(三)研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、

编程、测试和投产等环节产生的风险。

(四)运行维护风险是指信息系统在运行与维护过程中访问管理、操作管

某银行信息科技风险识别与评估管理办法--第1页

某银行信息科技风险识别与评估管理办法--第2页

理、变更管理、机房管理和事件管理等环节产生的风险。

(五)外包风险是指本行将信息系统的规划、研发、建设、运行、维护、监

控等委托给业务合作火伴或者外部技术供应商时形成的风险。

第六条信息科技风险评估是识别、计量、评价信息科技风险的活动,旨在

客观反映信息科技对我行发展战略的支撑程度。

第七条风险评估应遵循“全面覆盖、突出重点、持续跟进”的原则。

第八条总行、一级分行的信息科技风险评估含自评估()工作应遵照本

办法执行.

第二章角色分工

第九条风险评估可由总行信息科技管理委员会或者一级分行发起,承担机

构是风险管理部,风险管理部负责组建风险评估实施团队。风险评估实施团

队由管理层、相关业务和技术骨干等人员组成,评估工作角色分为:评估管理人

员、评估人员、评估分析人员。

(一)评估管理人员由风险管理部信息科技风险管理岗担任,负责组织、管理、

监督风险评估任务,包括:

1。制定风险评估任务计划

2.设计风险评估方案

3.审核风险评估报告

4。确认风险处置建议

5.跟踪风险评估任务进度

6。控制风险评估任务质量

(二)评估人员负责按照风险评估任务要求,采集并提供信息和证据,如实

某银行信息科技风险识别与评估管理办法--第2页

某银行信息科技风险识别与评估管理办法--第3页

反映信息科技工作现状.评估人员由评估对象所涉及的相关技术或者业务骨干

人员担任;

(三)评估分析人员负责汇总、整理和分析采集到的信息与证据材料,编写

风险评估报告。评估

文档评论(0)

192****7877 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档