第一章 总则
第一条 为进一步完善南京银行股份有限公司(以下简称“本行”)全面风险管理体系,保证本行业务的可持续发展,依据中国银行业监督管理委员会《商业银行信息科技风险管理指引》并结合本行实际,制定本政策。
第二条 本政策所称信息科技风险是指本行在运用信息科技过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第三条 本行信息科技风险政策取向是:稳健。实行规避、预防、缓释、抵补等管理策略。
第四条 本行通过搭建科学的风险管理组织架构、划分明确的风险管理职责、制定有效的风险管理制度和操作流程等措施,持续推动信息科技风险管理工作的开展。
第五条 本行信息科技风险管理的管理原则是:全员参与、协调统一、预防为主、动态管理。
第六条 本行信息科技风险的管理目标是通过建立完整、合理、有效的风险管理机制,实现对信息科技风险的识别、评估、计量、监测和控制,促进本行安全、持续、稳健运行,推动业务创新,提高本行信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章 信息科技风险的组织架构和职责
第七条 本行建立与信息科技风险特点相适应的组织架构,包括董事会、董事会风险管理委员会、高级管理层。
第八条 董事会承担本行信息科技风险管理的最终职责。具体职责包括:
(一)建立并完善分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构;
(二)审查批准信息科技战略,确保其与本行的总体业务战略和重大策略相一致;
(三)动态掌握信息科技风险政策和信息科技战略规划的执行情况、信息科技预算和实际支出情况及信息科技的整体状况;
(四)定期听取专门委员会工作事项的执行情况。
第九条 董事会授权风险管理委员会行使以下职责:
(一)依据本行信息科技战略,制定信息科技风险管理政策;
(二)监督高级管理层制定具体有效的信息科技风险管理制度和操作流程;
(三)按年度听取高级管理层的信息科技风险监测报告,评估信息科技风险管理工作的总体效果和效率并提出完善的建议和意见;
(四)配合银监会及其派出机构做好信息科技风险监督检查工作,及时决策本行发生的重大信息科技事故或突发事件,向银监会及其派出机构报送信息科技风险管理的年度报告;
(五)确保内外部审计部门独立有效的进行信息科技风险审计,并确认审计报
告;
(六)履行董事会授权的其他信息科技风险管理职能。
(一)负责执行本行信息科技风险政策和发展战略;
(二)制定具体的信息科技风险管理制度及具体的操作流程,确定可接受的信息科技风险级别,确保境内外信息科技风险能够被识别、评估、计量、监测和控制,统一协调各经营部门有效开展信息科技风险管理工作;
(三)确保本行信息科技系统正常运行,有效防范跨境风险;
(四)规范职业道德行为和廉洁标准,增强内部企业文化建设,提高全体人员对信息科技风险管理重要性的认识;
(五)组织专业培训,加强信息科技专业队伍的建设,建立人才激励机制;
(六) 对董事会风险管理委员会确认的信息科技风险内外部审计报告,落实具体的整改措施;
(七)配合银监会及其派出机构做好信息科技风险监督检查工作,并落实整改措施,及时向银监会及其派出机构报告本行发生的重大信息科技事故或突发事件,并按相关预案快速响应;
第十一条 本行信息科技风险管理的内容包括但不限于:信息安全管理、信息系统开发、测试和维护管理、信息科技运行管理、业务连续性管理和外包管理等方面。
第十二条 本行通过制定各类有效的信息科技管理制度,优化风险管理流程,提高制度约束的执行力水平,不断完善信息安全管理机制,最终实现信息的持续安全管理。
第十三条 本行在信息系统开发中,采取适当的系统开发方法,充分评估信息科技项目风险,合理安排信息科技项目的排序、立项、审批和控制;在测试和维护中,强化数据的完整性、保密性和可用性,确保系统的可靠性、完整性和可维护性,合理控制信息系统的生命周期。
第十四条 本行在信息系统运行过程中,实施必要的隔离措施,建立应急的信息系统运行事故管理机制。
第十五条 本行在业务连续性管理过程中,通过制定适当的业务连续性规划,确保信息系统在无法预见的中断时能够有效的运行。
第十六条 本行实施重要信息科技外包(如数据中心和信息科技基础设施等)时,坚持谨慎原则,经必要的分析、论证和审查程序,不得将信息科技管理责任外包;适时谨慎的履行监督外包职能;在外包管理过程中,确保本行的客户资料等敏感信息的安全。
第四章 信息科技风险管理的程序
第十七条 高级管理层按年度向董事会风险管理委员会出具本行信息科技风险管理书面监测报告,详细说明信息科技风险管理情况和下一步完善措施。
第十八条 对本行重大的信息科技风险事件,在第一时间向董事会风险管理委员会和监管部门报告。
第十九条 对监管部门现场检查和内外部审计机构审计中发现的问题,落实整改措施并及时向董事会风险管理委员会报告。
第五章 考核与奖惩
第二十条 本行董事会将信息科技风险年度管理情况纳入到对董事、高级管理层的年度履职考核中。
第二十一条 高级管理层通过建立科学的信息科技风险管理问责制度,将信息科技风险管理的考核指标纳入全面风险管理考核体系,以推动业务发展质量的全面提升。
第六章 附则
第二十二条 本政策由南京银行股份有限公司董事会风险管理委员会负责解释。
第二十三条 本办法自董事会批准之日起执行。
无障碍
