商业银行信息科技治理制度.pdfVIP

商业银行信息科技治理制度

商业银行信息科技治理制度

第一章总则

为规范商业银行（以下简称本行）的信息科技治理，提升

信息科技工作和风险管理水平，根据《商业银行信息科技风险

管理指引》（XXX〔2009〕19号）及有关文件，制定本制度。

本制度所称信息科技治理是指本行在运用信息技术过程中，

为实现信息科技工作既定目标所做出的制度安排，包括组织架

构、技术架构、运行机制和激励约束等。

本行信息科技治理的目标是健全信息科技治理组织和技术

架构，明确决策和管理职责，优化资源配置，有效控制信息科

技风险，确保信息科技战略与业务发展目标相适应，增强核心

竞争力和可持续发展能力。

第二章组织架构

信息科技治理组织架构：本行建立从董事会、高级管理层，

到委员会、领导小组，直至相关部门的信息科技治理组织架构。

本行建立信息科技管理委员会，下设信息安全及其他信息

科技具体工作领导小组。

本行建立业务连续性管理委员会，下设信息科技及其他条

线的突发事件应急处置领导小组。

本行建立由信息科技部门、风险管理部门以及审计部门构

成的信息科技风险三道防线结构。

第三章组织职责

董事会是本单位信息科技治理的最高决策机构。

董事会审议批准信息科技工作年度报告，由信息科技管理

委员会组织编制，内容包括但不限于治理架构建设、战略规划

制定、科技预算和投资等。

董事会审议批准信息科技风险管理年度报告，由业务连续

性管理委员会组织编制，内容包括但不限于信息科技风险总体

情况、业务连续性管理和外包风险管理等。

董事会每年听取内部审计部门独立有效的信息科技工作及

风险管理工作审计报告，要对报告给予确认并落实整改。

董事会授权业务连续性管理委员会及其下设的信息科技应

急处置领导小组，根据行业管理机构要求，迅速处置并及时报

告信息科技重大突发事件。

或指定人员。

2.成员：信息科技部门负责人、风险管理部门负责人、审

计部门负责人等相关部门负责人。

3.外部顾问：可聘请信息安全领域专业人士担任顾问。

二）职责

1.制定并正式发布信息安全管理制度，明确信息安全管理

的组织架构、责任制、管理流程和控制措施等内容。

2.审议并批准信息安全规划、策略、标准、技术方案、重

大安全事件处置方案等。

3.审定并监督信息系统安全评估、安全测试和安全审计报

告，确保信息系统安全风险得到有效控制。

4.定期组织信息安全培训和演练，提高全行员工的信息安

全意识和能力。

5.及时处理和报告信息安全事件，协调相关部门开展应急

响应工作。

6.定期评估和提升信息安全管理水平，推动信息安全管理

工作的持续改进。

第十条规定了本行董事会的组成人员，其中至少应有一名

成员具备信息科技背景，要求其要么是计算机相关专业毕业，

要么从事或管理银行科技工作3年及以上。这样的要求有助于

保证董事会成员具备一定的信息科技专业知识和经验。

第二节信息科技管理委员会是本单位信息科技工作的管理

机构，向高级管理层负责。第十二条规定了信息科技管理委员

会的建立程序，由行长、分管科技行长提出委员人选，经高级

管理层审议后提交董事会审议批准，同时委员组成要及时向行

业管理机构报备。委员会的组成包括主任委员、副主任委员、

委员、外部委员或顾问、办公室和下设机构。这些成员共同负

责制定信息科技管理委员会章程，审议重要科技工作报告并报

董事会批准，以及其他信息科技工作报告的审议批准等职责。

XXX下设信息安全领导小组，由信息科技分管行长或指

定人员担任组长，成员包括信息科技部门负责人、风险管理部

门负责人、审计部门负责人等相关部门负责人，还可聘请信息

安全领域专业人士担任顾问。信息安全领导小组的职责包括制

定信息安全管理制度，审议并批准信息安全规划、策略、标准、

技术方案、重大安全事件处置方案等，定期组织信息安全培训

和演练，及时处理和报告信息安全事件，协调相关部门开展应

急响应工作，定期评估和提升信息安全管理水平，推动信息安

全管理工作的持续改进。这些职责有助于保证信息系统安全风

险得到有效控制，提高全行员工的信息安全意识和能力。

OnJune22nd