XXXX 银行信息科技风险评估操作规程1. 总则1.1. 为规范 XXXX 银行信息科技风险评估工作,提高信息科技风险管理水平,根据监管要求及《XXXX 银行信息科技风险管理办法》,制定本操作规程。1.2. 本规程所指信息科技风险是信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。1.3. 本规程所指信息科技风险评估是对信息科技风险的风险辨识(包括分类)、风险分析和风险评价。1.4. 本规程是对风险评估计划、风险评估准备、风险识别、风险评价、风险分析及报告等关键环节的管理。1.5. 本规程适用于全行。2. 风险评估计划2.1 总行市场与操作风险管理部制定信息科技风险评估计划,每年组织开展一次全面的信息科技风险评估。2.2 出现以下情况,应结合本单位以往风险评估情况,确定是否启动信息科技风险评估:(1)新系统上线或已有系统进行重大变更;(2)内部或同业出现重大信息科技事件;(3)信息科技审计中发现重大问题;(4)监管机构发布风险提示。2.3 分行市场与操作风险管理部门根据总行风险评估工作要求,结合本行实际情况制定风险评估计划,组织开展信息科技风险评估工作。3. 风险评估准备3.1.风险评估牵头部门确定风险评估目标。评估目标包括:(1)满足监管要求;(2)满足我行业务持续发展在信息科技方面的需要;(3)识别现有信息技术及管理上的不足等。13.2.风险评估牵头部门确定风险评估范围。评估范围依据评估目标确定,包括:(1)信息资产,如物理、系统、网络、应用、数据等;(2)信息科技活动,如合规管理、开发管理、运维管理、外包管理等;(3)信息科技工作流程,如事件管理、配置管理、变更管理等。3.3.风险评估牵头部门负责组建风险评估团队,授权风险评估团队开展风险评估工作。3.4.风险评估团队制定风险评估计划书,明确风险评估实施的计划安排,包括评估工作内容、时间进度和各阶段成果清单等内容。3.5.风险评估团队制定风险评估方案,明确风险评估依据、风险识别方法、信息收集方式、风险分析方法等。3.5.1.评估依据包括:(1)现有国际标准、国家标准、行业标准;(2)行业主管机关的要求和制度;(3)信息科技安全保护等级要求;(4)信息科技互联单位的安全要求;(5)信息系统本身的实时性或性能要求等。3.5.2.风险评估方法包括:(1)基线分析法:采用一套标准的风险控制措施来对所有的风险点进行对比分析,确保达到一个最基本的风险保护级别。(2...
