商业银行信息科技风险管理指引第二章信息科技治理
第七条商业银行董事会应履行以下信息科技管理职责:
(一)遵守并执行国家有关信息科技管理的法律法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)的相关监管要求。
(二)审批信息科技战略,确保其与银行整体经营战略和重大战略相一致。评估信息技术及其风险管理的总体效果和效率。
(三)掌握主要信息科技风险,确定可接受的风险水平,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德和诚信标准,加强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)成立由高级管理层、信息科技部门和主要业务部门代表组成的专门的信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层报告信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技总体情况。
(6)在建立良好公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织架构。加强信息技术专业队伍建设,建立人才激励机制。
(七)确保内部审计部门开展独立有效的信息科技风险管理审计,确认审计报告并落实整改。
(八)每年审核并向银监会及其派出机构提交信息科技风险管理年度报告。
(九)保证信息科技风险管理所需资金。
(10)确保本行所有员工充分理解并遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(11)确保法人机构涉及客户信息、会计信息和产品信息的核心系统在境内独立运行,并保持最高管理权限,满足银监会监管和现场检查的要求,防范跨境风险。
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,并按照相关预案快速响应。
(十三)配合银监会及其派出机构做好信息科技风险的监督检查工作,并根据监管意见进行整改。
(十四)履行信息科技风险管理的其他相关工作。
第八条商业银行应设立首席信息官,首席信息官直接向行长报告,并参与决策。首席信息官的职责包括:
(一)直接参与本行与信息科技应用相关的业务发展决策。
(二)确保信息科技战略,特别是信息系统发展战略符合银行整体经营战略和信息科技风险管理战略。
(三)负责建立有效的信息科技部门,承担本行的信息科技职责。确保其履行it预算和支出、IT战略、标准和流程、IT内部控制、专门研究和开发、IT项目启动和管理、信息系统和IT基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、IT外包和IT系统退出等职责。
(四)确保信息科技风险管理的有效性,并将相关管理措施落实到每个相关内部机构和分支机构。
(五)组织专业培训,提高人才队伍的专业技能。
(六)履行信息科技风险管理的其他相关工作。
第九条商业银行应明确信息科技部门的内部管理职责。各岗位人员应具备相应的专业知识和技能,重要岗位应制定详细完整的工作手册并及时更新。相关人员应采取以下风险防范措施:
(一)核实个人信息,包括核实有效身份证件、学历证书、工作经历和职业资格证书。
(2)审核信息科技从业人员的道德行为,确保其具备相应的职业道德。
(三)确保员工理解并遵守信息科技战略、指导原则、信息保密、信息系统授权使用、信息科技管理制度和流程的要求,并与员工签订相关协议。
(四)评估关键岗位信息科技人员流失带来的风险,采取安排备用人员、岗位更替计划等防范措施。员工岗位变动后及时更改相关信息。
第十条商业银行应设立或指定专门部门负责信息科技风险管理,并直接向首席信息官或首席风险官(风险管理委员会)报告。该部门应作为信息科技突发事件应急小组的成员,负责协调和制定相关信息科技风险管理策略,特别是在信息安全、业务连续性计划和合规风险方面,向业务部门和信息科技部门提供建议和相关合规信息,实施持续的信息科技风险评估,跟踪整改意见的落实情况,监控信息安全威胁和不合规事件的发生。
第十一条商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制定并实施信息科技审计计划,对信息科技全生命周期和重大事项进行审计。
第十二条商业银行应根据知识产权相关法律法规,制定本行信息科技知识产权保护策略和制度,并使全体员工充分理解和遵守。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构的自主知识产权。
第十三条商业银行应按照相关法律法规的要求,规范并及时披露信息科技风险。