第一节 建立全面的信息科技风险管理体系与长效管理机制
(1)构建全面的信息科技风险管理体系 构建全面的信息科技风险管理体系,根据风险战略与信息科技战略规划,制定信息科技风险管理战略、政策;进一步完善信息科技风险管理组织架构,完善决策流程,推进董事会和高级管理层履职评价;推动将信息科技风险管理纳入全面风险管理框架,探索信息科技风险与其他各类风险组合管理。建立信息科技风险识别、计量、监测和控制流程,涵盖信息系统生命周期各个环节。建立信息科技风险监测指标体系,明确关键风险指标,建立常态化的信息科技风险监测、预警与处置机制,开展日常评估、检查和审计等工作,全面识别风险,及时制定和实施控制措施,建立评估控制有效性的程序。建立清晰的信息科技风险报告机制,定义报告内容、频率、对象及路线,董事会、高级管理层、信息科技部门、风险管理部门以及审计等各相关部门应及时掌握风险状况与趋势。建立信息科技风险信息采集、评估与监控管理平台,建立自动化管理流程。积极探索信息科技风险损失计量方法和计量标准,逐步建立信息科技风险损失数据库,收集信息科技风险损失数据,直观计量信息科技风险损失,实施信息科技风险定量分析及趋势分析,支持信息科技风险管理决策。