農商銀行信息科技風險自查報告

農商銀行信息科技風險自查報告

合規風險管理部

按照年度工作部署，我部認真學習貫徹《商業銀行信息科技風險管理指引》（銀監發〔2009〕19號）精神，為充分做好重要時期金融網絡和信息系統安全保障工作，防範我行信息科技風險，保障計算機系統運行和操作安全，建立和完善信息科技風險管理機制。現將我部對我行的信息科技工作自我評估及審查，報告如下。

一、信息科技風險管理評估主要關注以下內容

1、相關崗位人員的配備情況，人員配備是否充足，崗位人員是否清晰理解崗位職能和工作流程；

2、信息科技風險管理制度和流程的建設情況，是否為信息科技風險管理制定了全面規範的制度、流程文件，當前正式發佈了哪些單位和部門級別的管理制度文件；

3、已經建立的信息科技風險管理制度和流程，是否得到了有效貫徹和執行，能夠提供哪些已有的管理過程記錄，能夠證明管理制度和流程的落地執行；

4、為確保管理制度和流程的落地執行，提供了哪些輔助技術工具；

5、在近期的監管檢查中發現了哪些缺陷和問題，採取了哪些措施和步驟對有關問題進行了跟蹤整改。

二、組織架構、制度建設及管理情況

1、信息科技治理組織架構

（1）我行明確董事長是本行計算機信息系統風險管理的第一責任人。同時設立信息科技管理委員會，全面負責領導和協調本行科技信息安全，董事長任委員會主任，其他班子成員為副主任，成員為各部室負責人。

**農商銀行合規（風險）管理部為信息科技的風險管理部門，主要負責掌握主要的信息科技風險，對計算機業務系統建設和應用的安全措施進行檢查和監督；對安全隱患和漏洞提出改進和防範意見，確定風險級別，確保相關風險能夠被識別、計量、監測和控制。

合規（風險）管理部主要負責人為信息系統開發及推廣小組成員、信息數據安全管理小組成員、信息安全等級保護領導小組以及信息系統應急處置領導小組成員、應急處置保障小組成員（負責法務諮詢等）。

在支行層面則設立合規員，負責各支行科技信息相關風險監控和報告。監管部門。

6、信息科技風險評估

2020年委託專業的第三方評估機構綠盟科技集團股份有限公司對本行信息科技現狀開展一次信息科技全面風險評估。

三、不足和改進方法

1、風險合規部缺少具備相關技能資質的崗位人員

本行已經在內部建立並健全了一系列的計算機系統安全管理制度，但未配置信息科技風險專職管理崗位，因此對照指引的精神，從組織上保證信息科技風險有具體人員來承擔責任，強化執行力和合規性。目前，暫設置兼職信息科技風險管理崗位合規人員，負責信息科技風險評估工作。

2、未完善信息科技風險監測管理機制《報表.信息科技風險監測指標》中規定了信息科技風險管理專項檢查指標，信息科技風險監測數據的採集和上報機制，但仍需完善的信息科技風險監測管理機制。加強開發過程的風險控制，將日常信息風險管理從傳統的檢查模式逐步過渡到基於評估、規劃、執行和監督全面循環改進的模式，並納入整個風險監測管理體系中，定期向信息科技管理委員會報告。

3、加強信息科技風險管理制度建設

《**農商銀行科技信息外包管理辦法》外包管理制度需全面覆蓋具備集中度特徵外包、重要外包、關聯外包、非駐場外包等不同類別外包和不同級別外包商管理要求。