信息科技风险管理政策

文件编号： RM-POL-2023-10
密级： 内部公开
签发部门： 风险管理部 & 信息科技部
生效日期： 2024年1月1日

---

第一章 总则

第一条 目的与依据
为规范和加强XX银行（以下简称“本行”）的信息科技风险管理，确保信息系统的安全、稳定、持续运行，保障业务连续性，保护客户信息和本行数据资产安全，根据《商业银行信息科技风险管理指引》等监管法规及本行《全面风险管理基本政策》，特制定本政策。

第二条 信息科技风险定义
信息科技风险是指信息科技在银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷等原因，导致操作中断、财务损失、数据泄露、声誉损害或外部监管处罚的风险。它作为操作风险的一个重要组成部分，其管理贯穿于信息科技活动的全生命周期。

第三条 适用范围
本政策适用于本行所有信息科技活动，包括信息科技战略规划、系统开发与采购、运维管理、数据治理、业务连续性管理、以及与信息科技相关的外包活动等。

第四条 基本原则

1. 与业务战略融合原则： 信息科技风