信息科技风险定义和特征

信息技术治理

商业银行的董事会履行信息科技管理职责。

商业银行应设立首席信息官，直接向行长汇报，并参与决策。

应设立或指派一个特定部门负责信息科技风险管理工作，并直接向首席信息官或首席风险官（风险管理委员会）报告工作。

应在内部审计部门设立专门的信息科技风险审计岗位。

信息科技风险管理

①商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划；

②商业银行应制定全面的信息科技风险管理策略；

③商业银行应制定持续的风险识别和评估流程；

④商业银行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施；

⑤商业银行应建立持续的信息科技风险计量和监测机制。

信息安全

商业银行信息科技部门负责建立和实施信息分类和保护体系，商业银行应使所有员工都了解信息安全的重要性，并组织提供必要的培训，让员工充分了解其职责范围内的信息保护流程。

信息系统开发、测试和维护

①应认识到信息科技项目相关的风险；

②应采取适当的系统开发方法，控制信息系统的生命周期；

③应制定相关控制信息系统变更的制度和流程，确保系统的可靠性、完整性和可维护性；

④应制定并落实相关制度、标准和流程；

⑤应建立并完善有效的问题管理流程；

⑥应制定相关制度和流程，控制系统升级过程。

信息科技运行

①在选择数据中心的地理位置时，应充分考虑环境威胁。

②应严格控制第三方人员（如服务供应商）进入安全区域，如确需进入应得到适当的批准，其活动也应受到监控；针对长期或临时聘用的技术人员和承包商，尤其是从事敏感性技术相关工作的人员，应制定严格的审查程序，包括身份验证和背景调查。

③应将信息科技运行与系统开发和维护分离，确保信息科技部门内部的岗位制约；对数据中心的岗位和职责作出明确规定。

④应按照有关法律法规要求保存交易记录，采取必要的程序和技术，确保存档数据的完整性，满足安全保存和可恢复要求。

⑤应制定详尽的信息科技运行操作说明。

⑥应建立事故管理及处置机制，及时响应信息系统运行事故，逐级向相关的信息科技管理人员报告事故的发生，并进行记录、分析和跟踪，直到完成彻底的处置和根本原因分析。商业银行应建立服务台，为用户提供相关技术问题的在线支持，并将问题提交给相关信息科技部门进行调查和解决。

⑦应建立服务水平管理相关的制度和流程，对信息科技运行服务水平进行考核。

⑧应建立连续监控信息系统性能的相关程序，及时、完整地报告例外情况；该程序应提供预警功能，在例外情况对系统性能造成影响前对其进行识别和修正。

⑨应制定容量规划，以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备。

⑩应及时进行维护和适当的系统升级，以确保与技术相关服务的连续可用性，并完整保存记录（包括疑似和实际的故障、预防性和补救性维护记录） ，以确保有效维护设备和设施。

⑪应制定有效的变更管理流程，以确保生产环境的完整性和可靠性。

业务连续性管理

①应评估因意外事件导致其业务运行中断的可能性及其影响。

②应采取系统恢复和双机热备处理等措施降低业务中断的可能性，并通过应急安排和保险等方式降低影响。

③应建立维持其运营连续性策略的文档，并制定对策略的充分性和有效性进行检查和沟通的计划。

④业务连续性计划和年度应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。

内外部审计

（1）至少应每三年进行一次全面内部审计。

（2）内部信息科技审计和责任：①制定、实施和调整审计计划；②检查和评估商业银行信息科技系统和内控机制的充分性和有效性；③提出整改意见；④检查整改意见是否得到落实；⑤执行信息科技专项审计。

（3）商业银行可以在符合法律、法规和监管要求的情况下，委托具备相应资质的外部审计机构进行信息科技外部审计。

治理

准入

监控评价

风险管理

（1）组织和职责

（2）外包战略

（3）外包禁止

（4）外包分类

（5）服务提供商管理策略与外包分级管理

（6）退出策略

（1）准入前评估

（2）尽职调查

（3）合同

（1）外包过程监控

（2）服务监控及评价

（3）效能和质量监控

（4）服务提供商经营监控

（5）异常纠正

（6）关联外包评价

（7）外包终止

（1）外包风险识别与评估

（2）业务连续性管理

（3）信息安全管理

（4）集中度风险管理

（5）非驻场外包实地检查

（7）年度风险评估和审计