(1)定義:信息科技風險是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。
(2)特征:隱蔽性強;突發性強,應急處置難度大;影響范圍廣,后果具有災難性。
信息技術治理 | 商業銀行的董事會履行信息科技管理職責。 商業銀行應設立首席信息官,直接向行長匯報,并參與決策。 應設立或指派一個特定部門負責信息科技風險管理工作,并直接向首席信息官或首席風險官(風險管理委員會)報告工作。 應在內部審計部門設立專門的信息科技風險審計崗位。 |
信息科技風險管理 | ①商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃; ②商業銀行應制定全面的信息科技風險管理策略; ③商業銀行應制定持續的風險識別和評估流程; ④商業銀行應依據信息科技風險管理策略和風險評估結果,實施全面的風險防范措施; ⑤商業銀行應建立持續的信息科技風險計量和監測機制。 |
信息安全 | 商業銀行信息科技部門負責建立和實施信息分類和保護體系,商業銀行應使所有員工都了解信息安全的重要性,并組織提供必要的培訓,讓員工充分了解其職責范圍內的信息保護流程。 |
信息系統開發、測試和維護 | ①應認識到信息科技項目相關的風險; ②應采取適當的系統開發方法,控制信息系統的生命周期; ③應制定相關控制信息系統變更的制度和流程,確保系統的可靠性、完整性和可維護性; ④應制定并落實相關制度、標準和流程; ⑤應建立并完善有效的問題管理流程; ⑥應制定相關制度和流程,控制系統升級過程。 |
信息科技運行 | ①在選擇數據中心的地理位置時,應充分考慮環境威脅。 ②應嚴格控制第三方人員(如服務供應商)進人安全區域,如確需進入應得到適當的批準,其活動也應受到監控;針對長期或臨時聘用的技術人員和承包商,尤其是從事敏感性技術相關工作的人員,應制定嚴格的審查程序,包括身份驗證和背景調查。 ③應將信息科技運行與系統開發和維護分離,確保信息科技部門內部的崗位制約;對數據中心的崗位和職責作出明確規定。 ④應按照有關法律法規要求保存交易記錄,采取必要的程序和技術,確保存檔數據的完整性,滿足安全保存和可恢復要求。 ⑤應制定詳盡的信息科技運行操作說明。 ⑥應建立事故管理及處置機制,及時響應信息系統運行事故,逐級向相關的信息科技管理人員報告事故的發生,并進行記錄、分析和跟蹤,直到完成徹底的處置和根本原因分析。商業銀行應建立服務臺,為用戶提供相關技術問題的在線支持,并將問題提交給相關信息科技部門進行調查和解決。 ⑦應建立服務水平管理相關的制度和流程,對信息科技運行服務水平進行考核。 ⑧應建立連續監控信息系統性能的相關程序,及時、完整地報告例外情況;該程序應提供預警功能,在例外情況對系統性能造成影響前對其進行識別和修正。 ⑨應制定容量規劃,以適應由于外部環境變化產生的業務發展和交易量增長。容量規劃應涵蓋生產系統、備份系統及相關設備。 ⑩應及時進行維護和適當的系統升級,以確保與技術相關服務的連續可用性,并完整保存記錄(包括疑似和實際的故障、預防性和補救性維護記錄) ,以確保有效維護設備和設施。 ?應制定有效的變更管理流程,以確保生產環境的完整性和可靠性。 |
業務連續性管理 | ①應評估因意外事件導致其業務運行中斷的可能性及其影響。 ②應采取系統恢復和雙機熱備處理等措施降低業務中斷的可能性,并通過應急安排和保險等方式降低影響。 ③應建立維持其運營連續性策略的文檔,并制定對策略的充分性和有效性進行檢查和溝通的計劃。 ④業務連續性計劃和年度應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。 |
內外部審計 | (1)至少應每三年進行一次全面內部審計。 (2)內部信息科技審計和責任:①制定、實施和調整審計計劃;②檢查和評估商業銀行信息科技系統和內控機制的充分性和有效性;③提出整改意見;④檢查整改意見是否得到落實;⑤執行信息科技專項審計。 (3)商業銀行可以在符合法律、法規和監管要求的情況下,委托具備相應資質的外部審計機構進行信息科技外部審計。 |
溫馨提示:文章由作者233網校-qyl獨立創作完成,未經著作權人同意禁止轉載。