法定代表人是信息科技风险管理的第一责任人；日常管理由首席信息官具体执行，参与信息科 技业务发展决策，统筹信息科技战略；建立信息科技部门，履行信息科技职责，提高人才专业 技能。

　　董事会履行信息科技管理职责，包括遵守信息科技管理法律法规和银监会监管要求；审查批准 信息科技战略，成立信息科技委员会；识别、计量、监测和控制信息科技风险；规范职业道德 和廉洁标准；加快队伍建设，建立完善内部审计、资金、制度管理、培训机制；独立运行核心 系统；及时报告重大突发事故等。通过决策进一步完善现代化的公司治理机制。

　　明确信息科技部门内部管理职责，鉴定个人职业道德和操守，评估各岗位风险，适时调整变更 人员、信息，以防信息泄露。做好报告任务，设立专门的信息科技风险审计岗位对信息科技风 险进行全面审计。

　　制定符合银行总体业务规划的信息科技战略、运行风险评估计划，提供安全、稳定的信息科技 发展环境。一是制定全面的信息科技风险管理策略，包括七个方面：信息分级与保护、信息系 统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计 划与应急处置等。二是制定不间断的风险识别和评估流程，排除风险隐患。通过贯彻策略和规 划，强化风险意识，实施全面的风险防范措施，规范制度管理，使风险最小化。 b 建立持续的信息科技风险计量和监测机制，包括建立信息科技项目实施前后的评价；定期检查 系统性能的程序和标准；构建信息科技服务投诉和事故处理的报告机制；做好内外部审计和监 管发现问题的整改处理机制；完善审查服务水平的完成情况；定期评估新技术发展可能造成的 影响和已使用软件面临的新威胁；定期进行运行环境下操作风险和管理控制的检查；定期进行 信息科技外包项目的风险评估等。 信 息 安 全 与 运 行 a 落实信息安全管理职能，包括对安全制度、人力、系统软硬件等方面管理。

　　建立有效管理用户认证和访问控制的流程，明确人员职责；采取有效的身份验证方法，保障计 算机操作系统和系统软件的安全；按照不同标准留存日志；采取安全的方式处理保密信息的输 入和输出，利用加密技术防止信息泄露或被盗取、篡改；保留审计档案材料，规范信息系统流程。

　　严格评估数据中心的选址，考虑环境威胁；监控信息设备运行，建立事故管理及处置机制，及 时响应信息系统运行事故，以便进行维护和适当的升级；控制第三方人员进入安全区域，以避 免数据外泄；依法保存交易记录，确保数据的完整性；制定详尽的信息科技运行操作说明，建 立服务水平管理相关的制度和流程，建立连续监控信息系统性能的相关程序，制定容量规划， 完善变更管理，多方位考虑信息科技运行风险。

　　对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废，制定制度和 流程，管理信息科技项目的优先排序、立项、审批和控制。在信息系统投产后一定时期内，组 织对系统的后评价，适时做出优化与调整，以满足信息科技与业务发展同步的需求。

　　识别信息科技项目的相关风险，以项目管理方法进行控制。采取适当的系统开发方法，控制信 息系统的生命周期；制定相关控制信息系统变更的制度和流程，落实相关制度、标准和流程， 建立并完善有效的问题管理流程，控制系统升级过程，确保系统的可靠性、完整性、保密性和 可维护性。

　　制定业务连续性规划，创建维持运营连续性策略的文档，定期对规划进行更新和演练，判断意 外事件可能导致业务运行中断的概率及其带来的影响，并采取系统恢复和双机热备处理等措施， 以降低信息科技风险。

　　独自承担信息科技管理责任，针对基础设施和数据中心重要外包项目，以书面材料正式报告银 监会或其派出机构，避免外包机构盗取或外包服务中断引发系统运维停滞。

　　选择外包服务商注意以下几点：服务商的报告要求和谈判必要条件；银监会和内外部审计能执 行充分监督职能；签署保密协议和采取防护措施保障信息安全；担保和损失赔偿充足；服务商 遵守银行的风险制度，提供较明确的业务连续性支撑等。与外包服务商签署协议或对外包协议 做出重大变更前，需分析各类风险，尤其是银行对外包服务操作风险的控制及监督，评估外包 风险，考察服务商的整体稳定性，更需关注外包协议变更前后的无缝衔接。在制定服务协议和 双方关系管理时，提出定量和定性结合的绩效考核指标，利用服务水平报告、定期自我评估、 内外部独立审计等手段反馈到外包服务商，要求其整改、完善。

　　在信息科技外包管理工作过程中，隔离银行客户和外包服务商其他客户的资料，遵循保密原则， 授予外包服务商相关人员合适的权限；重要外包涉及的客户信息要告知客户；严禁转包，确保 在中止外包协议时收回或销毁外包服务商保存的所有客户资料，保护敏感信息安全；制定应急 预案，防范重大事件造成损失 。

　　内部审计部门应根据业务的性质、规模和复杂程度，监测相关系统的适当性和有效性；内审的 范围和频率，应至少确保每三年进行一次全面审计。

　　大规模系统开发必须有信息科技风险管理部门和内部审计部门参与，保证系统开发符合信息科 技风险管理标准。

　　在符合法律、法规和监管要求的情况下，可委托符合资质的外部审计机构对本银行软硬件、数 据和文档进行审计（保密文件除外），双方充分沟通、协调，并签订保密协议。