信息科技风险管理组织机构及职责 - 网安 - 专业的网络安全产业、社区、知识平台

良好的信息科技治理应形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构，为信息科技的发展提供战略方向和资源保障，并保证信息科技的战略与业务战略目标相一致。

董事会为信息科技风险管理最高决策机构，董事会履行以下信息科技风险管理职责：

（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实相关监管要求。

（二）审查批准信息科技战略，确保其与总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高人员对信息科技风险管理重要性的认识。

（五）在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。

（六）确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并督促落实整改。

（七）每年审阅高级管理层报送的信息科技风险管理年度报告。

（八）确保信息科技风险管理工作所需资金。

（九）确保所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。

（十）确保涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最高的管理权限，符合银监会监管和实施现场检查的要求，防范跨境风险。

（十一）及时获悉高级管理层报告的发生的重大信息科技事故或突发事件。

（十二）配合监管机关做好信息科技风险监督检查工作，并按照监管意见进行整改。

（十三）履行信息科技风险管理其他相关工作。

高级管理层履行以下信息科技风险管理职责：

（一）负责制定和组织实施信息科技战略，确保其符合总体业务战略。

（二）负责审核批准信息科技风险管理方面的制度和规范，以确保信息系统安全运行。

（三）听取信息科技风险管理工作汇报，审议重大信息科技风险的解决方案，协调信息科技风险管理所需资源，保证风险管理措施得到全面落实，保障信息科技风险管理的有效性。

（四）负责审议信息安全策略及信息系统业务连续性方案，并保证信息系统业务连续性方案得到定期演练。

（五）负责审议报送监管机构的信息科技相关风险报告，及时向监管机关报告发生的重大信息科技事故或突发事件，按相关预案组织快速响应。

（六）负责审议信息科技风险管理的其他重大事项。

信息科技部门是信息科技风险管理的执行部门，按照各自工作职责范围履行以下信息科技风险管理职责：

（一）负责信息科技风险管理体系的建设和落实，建立信息科技风险识别、分析和评估、控制、监测和报告工作程序，并组织实施。

（二）负责建立健全信息科技管理工作制度、规范和流程。

（三）负责业务需求的统筹管理，运用风险管理手段，控制相关的风险。

（四）负责信息系统的规划、设计、开发、测试和运行，运用风险管理手段，控制相关的风险。

（五）负责信息系统高可用和容灾建设，支持业务持续运行。

（六）负责向风险管理部门提供信息科技风险状况报告，及时报告重大信息科技事故或突发事件。

（七）与其他部门协作，共同完成信息科技风险管理的其他工作。

风险管理部门是信息科技风险管理的总体协调及督导部门，履行以下信息科技风险管理职责：

（一）对信息技术部门制定的与信息科技风险管理相关的制度及实施细则进行审查并加签意见。

（二）建立操作风险识别、评估、计量、控制/缓释和监测方法并组织实施，协助信息科技部门识别、评估、计量、控制/缓释和监测信息科技风险。

（三）建立操作风险损失数据收集机制，负责组织信息科技部门和其他相关部门收集和分析信息科技风险事件和损失数据。

（四）定期检查、分析、评估和考核信息科技风险的管理情况。

（五）为信息科技部门提供风险管理方面的培训，协助信息科技部门提高风险管理水平。

审计部门履行以下信息科技风险管理职责：

（一）负责对信息科技系统和内控机制的充分性和有效性进行审计和评价。

（二）负责制定和执行信息科技审计计划，对信息科技风险管理工作和重大事件等进行审计。