銀行信息科技風(fēng)險識別與評估管理辦法樣本

年4月19日銀行信息科技風(fēng)險識別與評估管理辦法文檔僅供參考，不當(dāng)之處，請聯(lián)系改正。某銀行信息科技風(fēng)險識別與評估管理辦法第一章總則第一條為規(guī)范信息科技風(fēng)險評估工作，提高某銀行信息科技風(fēng)險管理水平，促進我行業(yè)務(wù)安全、持續(xù)、穩(wěn)健發(fā)展，根據(jù)國家信息安全法律、法規(guī)及銀行業(yè)信息科技監(jiān)管要求及《某銀行信息科技風(fēng)險管理策略》，結(jié)合我行風(fēng)險管理實際情況，特制定本辦法。第二條本辦法屬于信息科技風(fēng)險類“管理辦法”，適用于某銀行信息科技工作全過程的風(fēng)險評估。風(fēng)險評估對象包括信息科技組織、管理過程和信息資產(chǎn)。第三條信息科技風(fēng)險，是指信息科技在合規(guī)管理、支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運營過程中，由于管理流程及資源缺失或不足、人為因素和技術(shù)漏洞產(chǎn)生的操作、法律、聲譽等風(fēng)險。第四條信息科技風(fēng)險評估是指在信息科技風(fēng)險事件發(fā)生之前或之后（但還沒有結(jié)束），該事件給信息系統(tǒng)的研發(fā)、生產(chǎn)等各個方面造成的影響和損失的可能性進行量化評估的工作。

第五條本辦法所指的信息科技風(fēng)險類型及來源包括但不限于以下內(nèi)容：(一)信息科技總體風(fēng)險是指信息科技在策略、制度、物理環(huán)境、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險。

(二)信息系統(tǒng)風(fēng)險是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控及下線過程中由于技術(shù)和管理缺陷產(chǎn)生的風(fēng)險。(三)研發(fā)風(fēng)險是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險。(四)運行維護風(fēng)險是指信息系統(tǒng)在運行與維護過程中訪問管理、操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險。(五)外包風(fēng)險是指本行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風(fēng)險。第六條信息科技風(fēng)險評估是識別、計量、評價信息科技風(fēng)險的活動，旨在客觀反映信息科技對我行發(fā)展戰(zhàn)略的支撐程度。第七條風(fēng)險評估應(yīng)遵循“全面覆蓋、突出重點、持續(xù)跟進”的原則。第八條總行、一級分行的信息科技風(fēng)險評估（含自評估）工作應(yīng)遵照本辦法執(zhí)行。

第二章角色分工第九條風(fēng)險評估可由總行信息科技管理委員會或一級分行發(fā)起，承擔(dān)機構(gòu)是風(fēng)險管理部，風(fēng)險管理部負責(zé)組建風(fēng)險評估實施團隊。風(fēng)險評估實施團隊由管理層、相關(guān)業(yè)務(wù)和技術(shù)骨干等人員組成，評估工作角色分為：評估管理人員、評估人員、評估分析人員。（一）評估管理人員由風(fēng)險管理部信息科技風(fēng)險管理崗擔(dān)任，負責(zé)組織、管理、監(jiān)督風(fēng)險評估任務(wù)，包括：1.制定風(fēng)險評估任務(wù)計劃2.設(shè)計風(fēng)險評估方案3.審核風(fēng)險評估報告4.確認風(fēng)險處理建議5.跟蹤風(fēng)險評估任務(wù)進度6.控制風(fēng)險評估任務(wù)質(zhì)量（二）評估人員負責(zé)按照風(fēng)險評估任務(wù)要求，收集并提供信息和證據(jù)，如實反映信息科技工作現(xiàn)狀。評估人員由評估對象所涉及的相關(guān)技術(shù)或業(yè)務(wù)骨干人員擔(dān)任；（三）評估分析人員負責(zé)匯總、整理和分析采集到的信息與證據(jù)材料，編寫風(fēng)險評估報告。評估分析人員由行內(nèi)經(jīng)驗豐富的專業(yè)人員擔(dān)任，必要時可聘請業(yè)內(nèi)專業(yè)人員。第十條在同一風(fēng)險評估任務(wù)中，評估實施團隊成員不少于三人，評估管理人員和評估分析人員不得兼任評估人員。第三章風(fēng)險評估計劃第十一條總行和一級分行每年度應(yīng)開展一次整體信息科技風(fēng)險評估，兩次以上專項信息科技風(fēng)險評估。第十二條信息科技風(fēng)險評估要以信息科技風(fēng)險監(jiān)測信息、數(shù)據(jù)以及其它有關(guān)信息為基礎(chǔ)，遵循科學(xué)、透明和個案處理的原則進行。第十三條出現(xiàn)以下情況時，應(yīng)結(jié)合本單位以往風(fēng)險評估情況，確定是否啟動專項信息科技風(fēng)險評估：（一）新系統(tǒng)上線后或已有系統(tǒng)進行重大變更；（二）信息科技運行中發(fā)現(xiàn)重大紕漏或隱患；

（三）內(nèi)部或同業(yè)出現(xiàn)重大信息科技事件；（四）信息科技審計中發(fā)現(xiàn)重大問題；

（五）監(jiān)管機構(gòu)發(fā)布風(fēng)險提示；

（六）其它情況。第十四條一級分行根據(jù)總行風(fēng)險評估工作要求，結(jié)合本行實際情況制定風(fēng)險評估計劃，并報總行備案。第四章風(fēng)險識別與評估方法

第十五條風(fēng)險評估經(jīng)過人工評估或自動化工具測評等手段識別、分析支撐IT目標的流程和資源中存在的缺失或不足，判斷風(fēng)險優(yōu)先級，提出風(fēng)險處理建議。第十六條總行信息科技管理委員會或一級分行發(fā)起風(fēng)險評估任務(wù)，并下達任務(wù)書。評估管理人員依據(jù)任務(wù)書組織編寫風(fēng)險評估任務(wù)計劃書和風(fēng)險評估方案。第十七條評估管理人員組織人員依據(jù)評估對象的業(yè)務(wù)目標識別IT服務(wù)目標，進而分析支撐IT目標的流程和資源，并針對流程要素和資源要素設(shè)計風(fēng)險檢查表。第十八條評估人員依據(jù)風(fēng)險檢查表，采用人工或自動化工具對評估對象的信息科技狀況進行信息收集。信息收集可采用調(diào)查、檢查、安全測試等方式：（一）調(diào)查包括問卷調(diào)查、遠程訪談、現(xiàn)場訪談等；（二）檢查包括文檔檢查、代碼檢查、流程檢查等；（三）安全測試包括人工測試、自動化測試以及綜合性滲透測試等。第十九條評估分析人員采用定性或定量的計算方法，依據(jù)各類風(fēng)險對實現(xiàn)IT目標的影響，計算出評估對象的風(fēng)險優(yōu)先值或級別，并進行分析：（一）風(fēng)險成因分析，分析誘發(fā)風(fēng)險的主觀因素和客觀因素。主觀因素包括流程缺失、控制不足或無效等；客觀因素包括資源缺乏、內(nèi)外環(huán)境影響等。

（二）風(fēng)險占比分析，依據(jù)對IT目標的影響程度，分析評估對象當(dāng)前狀態(tài)下各類、各級風(fēng)險占比情況；（三）風(fēng)險對比分析，對同次任務(wù)中不同機構(gòu)的風(fēng)險狀態(tài)進行對比，分析各類風(fēng)險在不同機構(gòu)的分布狀況及影響；（四）風(fēng)險趨勢分析，對不同時期的相同任務(wù)結(jié)果進行對比，分析同一風(fēng)險的增強或減弱情況，了解風(fēng)險的發(fā)展趨勢。

第二十條風(fēng)險分析可采用以下手段：（一）專家經(jīng)驗；（二）風(fēng)險分析模型；（三）風(fēng)險分析工具。第二十一條評估分析人員針對風(fēng)險評估任務(wù)中揭示的風(fēng)險類型和狀態(tài)，結(jié)合組織機構(gòu)、業(yè)務(wù)需求和安全要求，提出風(fēng)險處理建議，包括降低、轉(zhuǎn)移或消除風(fēng)險的措施、預(yù)期效果等。第二十二條評估分析人員編寫風(fēng)險評估報告，內(nèi)容包括風(fēng)險評估任務(wù)描述、風(fēng)險分析、風(fēng)險處理建議等。評估報告經(jīng)評估管理人員審核后提交信息科技管理委員會。第二十三條風(fēng)險評估過程(附件1)分為三個階段：風(fēng)險評估準備、信息收集和風(fēng)險識別分析。第五章風(fēng)險評估準備第二十四條根據(jù)風(fēng)險評估計劃，總行信息科技管理委員會或一級分行提出信息科技風(fēng)險評估任務(wù)，編制風(fēng)險評估任務(wù)書（附件2），明確任務(wù)目標、評估對象、評估范圍、任務(wù)起止時間、風(fēng)險管理部門等。

第二十五條風(fēng)險管理部組建風(fēng)險評估團隊，指定風(fēng)險評估管理人員、風(fēng)險評估人員和風(fēng)險評估分析人員，并授權(quán)風(fēng)險評估團隊開展風(fēng)險評估工作。第二十六條評估管理人員組織制定風(fēng)險評估任務(wù)計劃書（附件3），明確風(fēng)險評估實施活動的計劃安排，主要包括：（一）團隊組織：包括成員名單、角色、職責(zé)等內(nèi)容；（二）工作計劃：描述各階段的工作安排，包括工作內(nèi)容、時間進度和各階段成果清單等內(nèi)容。第二十七條評估管理人員組織設(shè)計評估方案，評估方案包括風(fēng)險檢查表（附件4）、信息收集方式、風(fēng)險分析方法等。第二十八條設(shè)計風(fēng)險檢查表時遵循以下過程：（一）分析評估對象的業(yè)務(wù)目標和IT服務(wù)目標；（二）識別實現(xiàn)IT目標的工作流程和資源；（三）識別影響工作流程和資源中的關(guān)鍵因素，主要考慮各流程要素的活動內(nèi)容、關(guān)聯(lián)關(guān)系、流程目的、實現(xiàn)方式、所需資源等；（四）根據(jù)關(guān)鍵因素設(shè)計風(fēng)險檢查項、檢查指標和評價權(quán)重，形成風(fēng)險檢查表。第二十九條評估管理人員經(jīng)過風(fēng)險評估啟動會等形式啟動具體風(fēng)險評估工作。第六章信息收集

第三十條評估管理人員將風(fēng)險檢查表分發(fā)給評估人員，并告知信息收集方法及填寫要求。

第三十一條評估人員經(jīng)過調(diào)閱文檔、收集日志、現(xiàn)場訪談、工具測評等方式獲取風(fēng)險評估所需信息。信息內(nèi)容包括但不限于：IT制度及執(zhí)行情況、技術(shù)文檔、以往審計報告、風(fēng)險管理報告、日志記錄、訪談記錄、測試報告等。第三十二條評估人員根據(jù)采集的信息，填寫風(fēng)險檢查表，并保留證據(jù)。

第三十三條評估管理人員督查信息收集進展情況，按計劃收回風(fēng)險檢查表，并審核填報信息質(zhì)量。必要時，可要求評估人員補充信息和附加證據(jù)。第三十四條評估管理人員將風(fēng)險檢查表提交評估分析人員。第七章風(fēng)險分析第三十五條評估分析人員按評估方案確定的風(fēng)險分析方法對風(fēng)險檢查表進行匯總、梳理，評定風(fēng)險等級，分析風(fēng)險成因，提出風(fēng)險處理建議，形成風(fēng)險評估報告（附件5）。報告包括但不限于以下內(nèi)容：（一）風(fēng)險評估任務(wù)概述（二）風(fēng)險評估活動描述（三）風(fēng)險分析，包括總體風(fēng)險分析、風(fēng)險占比分析、風(fēng)險對比分析、風(fēng)險趨勢分析（四）風(fēng)險成因分析（五）風(fēng)險處理建議（六）詳細風(fēng)險列表第三十六條評估分析人員將風(fēng)險評估報告提交評估管理人員。

第三十七條評估管理人員定期督查風(fēng)險分