某银行信息科技风险识别与评估管理办法

1、某银行信息科技风险识别与评估管理办法第一章 总 则第一条 为规范信息科技风险评估工作，提高某银行信息科技风险管理水平，促进我行业务安全、持续、稳健发展，根据国家信息安全法律、法规及银行业信息科技监管要求及某银行信息科技风险管理策略，结合我行风险管理实际情况，特制定本办法。第二条本办法属于信息科技风险类“ 管理办法 ” ，适用于某银行信息科技工作全过程的风险评估。风险评估对象包括信息科技组织、管理过程和信息资产。第三条信息科技风险，是指信息科技在合规管理、支持业务创新和业务运营过程中，由于管理流程及资源缺失或不足、人为因素和技术漏洞产生的操作、法律、声誉等风险。第四条 信息科技风险评估是指在信息

2、科技风险事件发生之前或之后（但还没有结束），该事件给信息系统的研发、生产等各个方面造成的影响和损失的可能性进行量化评估的工作。第五条 本办法所指的信息科技风险类型及来源包括但不限于以下内容：（一 ） 信息科技总体风险是指信息科技在策略、制度、物理环境、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。（二 ） 信息系统风险是指信息系统在规划、研发、建设、运行、维护、监控及下线过程中由于技术和管理缺陷产生的风险。（三 ） 研发风险是指信息系统在研发过程中组织、规划、 需求、 分析、 设计、编程、测试和投产等环节产生的风险。（四 ） 运行维护风险是指信息系统在运行与维护过程中访问管理、操作管

3、理、变更管理、机房管理和事件管理等环节产生的风险。（五 ） 外包风险是指本行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。第六条 信息科技风险评估是识别、计量、 评价信息科技风险的活动，旨在客观反映信息科技对我行发展战略的支撑程度。第七条 风险评估应遵循“ 全面覆盖、突出重点、持续跟进” 的原则。第八条 总行、一级分行的信息科技风险评估（含自评估）工作应遵照本办法执行。第二章 角色分工第九条 风险评估可由总行信息科技管理委员会或一级分行发起，承担机构是风险管理部，风险管理部负责组建风险评估实施团队。风险评估实施团队由管理层、相关业务和技术骨干等

4、人员组成，评估工作角色分为：评估管理人员、评估人员、评估分析人员。（1） 评估管理人员由风险管理部信息科技风险管理岗担任，负责组织、管理、监督风险评估任务，包括：1. 制定风险评估任务计划2. 设计风险评估方案3. 审核风险评估报告4. 确认风险处置建议5. 跟踪风险评估任务进度6. 控制风险评估任务质量收集并提供信息和证据，如（2） 评估人员负责按照风险评估任务要求，实反映信息科技工作现状。评估人员由评估对象所涉及的相关技术或业务骨干 人员担任；（3） 评估分析人员负责汇总、整理和分析采集到的信息与证据材料，编写风险评估报告。评估分析人员由行内经验丰富的专业人员担任，必要时可聘请业内专业人员

5、。第十条 在同一风险评估任务中，评估实施团队成员不少于三人，评估管理人员和评估分析人员不得兼任评估人员。第三章 风险评估计划第十一条总行和一级分行每年度应开展一次整体信息科技风险评估，两次以上专项信息科技风险评估。第十二条信息科技风险评估要以信息科技风险监测信息、数据以及其他有关信息为基础，遵循科学、透明和个案处理的原则进行。第十三条出现以下情况时，应结合本单位以往风险评估情况，确定是否启动专项信息科技风险评估：（一）新系统上线后或已有系统进行重大变更；（二）信息科技运行中发现重大纰漏或隐患；（三）内部或同业出现重大信息科技事件；（四）信息科技审计中发现重大问题；（五）监管机构发布风险提示；（

6、六）其他情况。第十四条一级分行根据总行风险评估工作要求，结合本行实际情况制定风 险评估计划，并报总行备案。第四章 风险识别与评估方法第十五条风险评估通过人工评估或自动化工具测评等手段识别、分析支撑 IT 目标的流程和资源中存在的缺失或不足，判断风险优先级，提出风险处置建议。第十六条总行信息科技管理委员会或一级分行发起风险评估任务，并下达任务书。 评估管理人员依据任务书组织编写风险评估任务计划书和风险评估方案。第十七条评估管理人员组织人员依据评估对象的业务目标识别IT 服务目标，进而分析支撑IT 目标的流程和资源，并针对流程要素和资源要素设计风险检查表。第十八条评估人员依据风险检查表，采用人工或

7、自动化工具对评估对象的信息科技状况进行信息收集。信息收集可采用调查、检查、安全测试等方式：（1） 调查包括问卷调查、远程访谈、现场访谈等；（2） 检查包括文档检查、代码检查、流程检查等；（3） 安全测试包括人工测试、自动化测试以及综合性渗透测试等。第十九条评估分析人员采用定性或定量的计算方法，依据各类风险对实现IT 目标的影响，计算出评估对象的风险优先值或级别，并进行分析：（1） 风险成因分析，分析诱发风险的主观因素和客观因素。主观因素包括流程缺失、控制不足或无效等；客观因素包括资源缺乏、内外环境影响等。（2） 风险占比分析，依据对IT 目标的影响程度，分析评估对象当前状态下各类、各级风险占比

8、情况；（3） 风险对比分析，对同次任务中不同机构的风险状态进行对比，分析 各类风险在不同机构的分布状况及影响；风险趋势分析，对不同时期的相同任务结果进行对比，分析同一风险的增强或减弱情况，了解风险的发展趋势。第二十条风险分析可采用以下手段：（1） 专家经验；（2） 风险分析模型；（3） 风险分析工具。第二十一条评估分析人员针对风险评估任务中揭示的风险类型和状态，结合组织机构、业务需求和安全要求，提出风险处置建议，包括降低、转移或消除风险的措施、预期效果等。第二十二条评估分析人员编写风险评估报告，内容包括风险评估任务描述、风险分析、风险处置建议等。评估报告经评估管理人员审核后提交信息科技管理委员

9、会。第二十三条风险评估过程（附件1）分为三个阶段：风险评估准备、信息收集和风险识别分析。第五章 风险评估准备第二十四条根据风险评估计划，总行信息科技管理委员会或一级分行提出信息科技风险评估任务，编制风险评估任务书（附件2 ） ， 明确任务目标、评估对象、评估范围、任务起止时间、风险管理部门等。第二十五条风险管理部组建风险评估团队，指定风险评估管理人员、风险评估人员和风险评估分析人员，并授权风险评估团队开展风险评估工作。第二十六条评估管理人员组织制定风险评估任务计划书（附件3） ，明确风 险评估实施活动的计划安排，主要包括：（1） 团队组织：包括成员名单、角色、职责等内容；（2） 工作计划：描述

10、各阶段的工作安排，包括工作内容、时间进度和各阶段成果清单等内容。第二十七条评估管理人员组织设计评估方案，评估方案包括风险检查表（ 附件 4 ） 、信息收集方式、风险分析方法等。第二十八条设计风险检查表时遵循以下过程：（1） 分析评估对象的业务目标和IT 服务目标；（2） 识别实现IT 目标的工作流程和资源；（3） 识别影响工作流程和资源中的关键因素，主要考虑各流程要素的活动内容、关联关系、流程目的、实现方式、所需资源等；（4） 根据关键因素设计风险检查项、检查指标和评价权重，形成风险检查表。第二十九条评估管理人员通过风险评估启动会等形式启动具体风险评估工作。第六章 信息收集第三十条评估管理人员

11、将风险检查表分发给评估人员，并告知信息收集方法及填写要求。第三十一条评估人员通过调阅文档、收集日志、现场访谈、工具测评等方式获取风险评估所需信息。信息内容包括但不限于：IT 制度及执行情况、技术文档、以往审计报告、风险管理报告、日志记录、访谈记录、测试报告等。第三十二条评估人员根据采集的信息，填写风险检查表，并保留证据。第三十三条评估管理人员督查信息收集进展情况，按计划收回风险检查表，并审核填报信息质量。必要时，可要求评估人员补充信息和附加证据。第三十四条评估管理人员将风险检查表提交评估分析人员。第七章 风险分析第三十五条评估分析人员按评估方案确定的风险分析方法对风险检查表进行汇总、梳理，评定风险等级，分析风险成因，提出风险处置建议，形成风险评估报告 （附件 5 ） 。报告包括但不限于以下内容：（1） 风险评估任务概述（2） 风险评估活动描述（3） 风险分析，包括总体风险分析、风险占比分析、风险对比分析、风险趋势分析（4） 风险成因分析（5） 风险处置建议（6） 详细风险列表第三十六条评估分析人员将风险评估报告提交评估管理人员。第三十七条评估管理人员定期督查风险分析进展情况，指导风险分析工作，组织审核风险评估报告，形成正式报