農商銀行資訊科技風險自查報告
合規風險管理部
按照年度工作部署,我部認真學習貫徹《商業銀行資訊科技風險管理指引》(銀監發〔2009〕19號)精神,為充分做好重要時期金融網路和資訊系統安全保障工作,防範我行資訊科技風險,保障計算機系統執行和操作安全,建立和完善資訊科技風險管理機制。現將我部對我行的資訊科技工作自我評估及審查,報告如下。
一、資訊科技風險管理評估主要關注以下內容
1、相關崗位人員的配備情況,人員配備是否充足,崗位人員是否清晰理解崗位職能和工作流程;
2、資訊科技風險管理制度和流程的建設情況,是否為資訊科技風險管理制定了全面規範的制度、流程檔案,當前正式釋出了哪些單位和部門級別的管理制度檔案;
3、已經建立的資訊科技風險管理制度和流程,是否得到了有效貫徹和執行,能夠提供哪些已有的管理過程記錄,能夠證明管理制度和流程的落地執行;
4、為確保管理制度和流程的落地執行,提供了哪些輔助技術工具;
5、在近期的監管檢查中發現了哪些缺陷和問題,採取了哪些措施和步驟對有關問題進行了跟蹤整改。
二、組織架構、制度建設及管理情況
1、資訊科技治理組織架構
(1)我行明確董事長是本行計算機資訊系統風險管理的第一責任人。同時設立資訊科技管理委員會,全面負責領導和協調本行科技資訊保安,董事長任委員會主任,其他班子成員為副主任,成員為各部室負責人。
**農商銀行合規(風險)管理部為資訊科技的風險管理部門,主要負責掌握主要的資訊科技風險,對計算機業務系統建設和應用的安全措施進行檢查和監督;對安全隱患和漏洞提出改進和防範意見,確定風險級別,確保相關風險能夠被識別、計量、監測和控制。
合規(風險)管理部主要負責人為資訊系統開發及推廣小組成員、資訊資料安全管理小組成員、資訊保安等級保護領導小組以及資訊系統應急處置領導小組成員、應急處置保障小組成員(負責法務諮詢等)。
在支行層面則設立合規員,負責各支行科技資訊相關風險監控和報告。監管部門。
6、資訊科技風險評估
2020年委託專業的第三方評估機構綠盟科技集團股份有限公司對本行資訊科技現狀開展一次資訊科技全面風險評估。
三、不足和改進方法
1、風險合規部缺少具備相關技能資質的崗位人員
本行已經在內部建立並健全了一系列的計算機系統安全管理制度,但未配置資訊科技風險專職管理崗位,因此對照指引的精神,從組織上保證資訊科技風險有具體人員來承擔責任,強化執行力和合規性。目前,暫設定兼職資訊科技風險管理崗位合規人員,負責資訊科技風險評估工作。
2、未完善資訊科技風險監測管理機制《報表.資訊科技風險監測指標》中規定了資訊科技風險管理專項檢查指標,資訊科技風險監測資料的採集和上報機制,但仍需完善的資訊科技風險監測管理機制。加強開發過程的風險控制,將日常資訊風險管理從傳統的檢查模式逐步過渡到基於評估、規劃、執行和監督全面迴圈改進的模式,並納入整個風險監測管理體系中,定期向資訊科技管理委員會報告。
3、加強資訊科技風險管理制度建設
《**農商銀行科技資訊外包管理辦法》外包管理制度需全面覆蓋具備集中度特徵外包、重要外包、關聯外包、非駐場外包等不同類別外包和不同級別外包商管理要求。