农商银行信息科技风险自查报告

农商银行信息科技风险自查报告

合规风险管理部

按照年度工作部署，我部认真学习贯彻《商业银行信息科技风险管理指引》（银监发〔2009〕19号）精神，为充分做好重要时期金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。现将我部对我行的信息科技工作自我评估及审查，报告如下。

一、信息科技风险管理评估主要关注以下内容

1、相关岗位人员的配备情况，人员配备是否充足，岗位人员是否清晰理解岗位职能和工作流程；

2、信息科技风险管理制度和流程的建设情况，是否为信息科技风险管理制定了全面规范的制度、流程文件，当前正式发布了哪些单位和部门级别的管理制度文件；

3、已经建立的信息科技风险管理制度和流程，是否得到了有效贯彻和执行，能够提供哪些已有的管理过程记录，能够证明管理制度和流程的落地执行；

4、为确保管理制度和流程的落地执行，提供了哪些辅助技术工具；

5、在近期的监管检查中发现了哪些缺陷和问题，采取了哪些措施和步骤对有关问题进行了跟踪整改。

二、组织架构、制度建设及管理情况

1、信息科技治理组织架构

（1）我行明确董事长是本行计算机信息系统风险管理的第一责任人。同时设立信息科技管理委员会，全面负责领导和协调本行科技信息安全，董事长任委员会主任，其他班子成员为副主任，成员为各部室负责人。

**农商银行合规（风险）管理部为信息科技的风险管理部门，主要负责掌握主要的信息科技风险，对计算机业务系统建设和应用的安全措施进行检查和监督；对安全隐患和漏洞提出改进和防范意见，确定风险级别，确保相关风险能够被识别、计量、监测和控制。

合规（风险）管理部主要负责人为信息系统开发及推广小组成员、信息数据安全管理小组成员、信息安全等级保护领导小组以及信息系统应急处置领导小组成员、应急处置保障小组成员（负责法务咨询等）。

在支行层面则设立合规员，负责各支行科技信息相关风险监控和报告。监管部门。

6、信息科技风险评估

2020年委托专业的第三方评估机构绿盟科技集团股份有限公司对本行信息科技现状开展一次信息科技全面风险评估。

三、不足和改进方法

1、风险合规部缺少具备相关技能资质的岗位人员

本行已经在内部建立并健全了一系列的计算机系统安全管理制度，但未配置信息科技风险专职管理岗位，因此对照指引的精神，从组织上保证信息科技风险有具体人员来承担责任，强化执行力和合规性。目前，暂设置兼职信息科技风险管理岗位合规人员，负责信息科技风险评估工作。

2、未完善信息科技风险监测管理机制《报表.信息科技风险监测指标》中规定了信息科技风险管理专项检查指标，信息科技风险监测数据的采集和上报机制，但仍需完善的信息科技风险监测管理机制。加强开发过程的风险控制，将日常信息风险管理从传统的检查模式逐步过渡到基于评估、规划、执行和监督全面循环改进的模式，并纳入整个风险监测管理体系中，定期向信息科技管理委员会报告。

3、加强信息科技风险管理制度建设

《**农商银行科技信息外包管理办法》外包管理制度需全面覆盖具备集中度特征外包、重要外包、关联外包、非驻场外包等不同类别外包和不同级别外包商管理要求。