银行信息科技风险管理策略.pdfVIP

**银行信息科技风险管理策略

信息科技在银行的广泛应用,使其成为银行稳健运营和

提高竞争力的基础和保障，信息科技在促进银行业务发展的

同时,也使银行业面对巨大的技术风险,一旦信息科技方面发

生问题,将会直接影响到银行业务的连续性,甚至会影响到银

行的运营安全。因此,商业银行加强银行信息科技风险管理,

确保银行信息系统的安全、稳定、持续有效运行,已经直接关

系到银行的运营和发展。

一、信息科技风险定义

信息科技风险定义。在中国银保监会下发的《商业银行

信息科技风险管理指引》中,对商业银行的信息科技风险做了

如下定义:“信息科技在商业银行运用过程中,由于自然因素、

人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等

风险”。

二、信息科技风险来源

信息科技风险主要来自四个方面:一是自然原因导致的

风险,包括地震、台风等自然灾害造成的风险;二是系统风险,

是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬

件设备老化、应用和系统软件质量缺陷等;三是管理缺陷导致

的风险,主要体现在由管理制度的缺失或组织架构的制衡机

制不完善,引起的管理或制度的空白及漏洞;四是由人员有意

或无意的违规操作引起的操作风险。

三、信息科技风险管理目标

通过建立有效的信息科技风险管理机制，实现对本行信

息科技风险的识别、分析和评估、控制、监测及报告，促进

本行信息系统安全稳定的运行，推动业务创新，提高信息技

术使用水平，增强本行核心竞争力和可持续发展能力。

四、信息科技风险管理原则

（一）事前预防为主原则：在风险发生以前建立有效的

风险管理措施，降低风险发生的可能性或减少风险可能造成

的损失。

（二）全面性原则：信息科技风险管理应全行各部门、

岗位、人员以及操作环节中，使信息科技风险能够被识别、

评估、计量、监测和控制。

（三）成本效益原则：对风险管理措施的实施成本和风

险可能造成的损失进行分析比较，选取成本效益最佳的风险

防控方案。

五、信息科技风险管理内容

本行信息科技风险管理内容主要包括有信息科技风险

治理风险、信息科技战略风险、信息科技运维风险、信息安

全风险、系统开发风险、信息科技外包风险、业务连续性管

理风险和法律法规分析等八大领域的风险管理。

六、信息科技风险管理策略

根据信息科技风险管理的内容，我行制定的信息科技风

险应对策略如下：

（一）信息科技治理风险

信息科技治理风险包括信息科技组织风险、信息科技风

险管理策体制风险以及人员管理风险。每个风险的内容和应

对策略如下：

风险

风险名称风险描述风险应对策略

编号

建立完善的信息科技治理架构。以法定代

表人为第一责任人，囊括董事会、风险管

在信息科技风险管理理委员会、信息科技风险管理委员会、科

机构及专业委员会设技部、风险管理部。明确各部门在信息科

置、履职等方面的不确技风险管理工作中的职责。

信息科技定因素，以及在部门/

1.1

组织风险岗位设置、职责划分、

每个部门根据在信息科技风险管理中的

垂直归口管理等方面职责设立相应的岗位，合理分配相应的

的不确定因素所带来责、权、利，执行信息科技风险管理工作。

的影响。

总行科技部应指导、监督、分支机构开展

信息科技风险管理工作，并对信息科技风

险管理工作开展现场检查。

完善制度体系建设以提升信息科技治理