银行信息科技部职责

第一篇：银行信息科技部职责

浙江银行招聘：2016金华银行信息科技部招聘公告

金华银行是一家股份制城市商业银行，具有决策链条短、经营机制活、办事效率高的优势。目前在杭州、金华、温州、衢州、嘉兴、台州六地设有营业网点87家。

现诚邀业内金融人才加盟，携手共创成功事业。

一、软件开发岗若干名

应聘条件：计算机相关专业本科及以上学历，年龄35周岁及以下;精通C/C++、JAVA、PL/SQL等编程语言，熟悉Oracle等数据库，有实际开发经验者和银行工作经验者可放宽条件。

工作地：杭州、金华市区。

二、数据库管理岗1名

应聘条件：计算机相关专业本科及以上学历或，年龄35周岁及以下;精通oracle和其它数据库的管理维护，熟悉AIX、LINUX和windows等各类操作系统。有实际数据库管理经验者和银行工作经验者可放宽条件。

工作地：金华市区。

三、安全运维岗2名

应聘条件：计算机相关专业本科及以上学历，年龄35周岁及以下;对各类动力设备和系统有一定的了解;能适应24小时值班。

工作地：金华市区。

应聘人员要求有良好的职业道德操守，事业心、责任心强，热爱银行工作，身体健康，无不良记录。

应聘者请登录金华银行网站(http:///)在线投递简历，并上传身份证、毕业证书、户口本等相关资料扫描件。经初审合格者，将另行通知面试。一个月内未收到我行面试通知，视作申请未通过。应聘材料我行代为保密保管，恕不退还。

联系电话： 0579-82172807 联系人： 徐女士

中公教育，给人改变未来的力量

第二篇：银行信息科技培训总结

ⅩⅩ农商行信息科技培训总结

ⅩⅩ年在本行领导的的正确领导下，围绕“信息科技安全运行”这一中心工作，我行精心组织实施了基层员工进行了信息科技安全培训，取得了一定的成效，现总结如下：

一、主要做法和措施

(一)加强领导，提高培训工作的计划性。在ⅩⅩ年的工作计划中，我们将信息科技安全培训列为重要工作之一，提前做好了工作安排计划表，明确了培训时间，培训主题、以及举办地点等，使得总行培训能够按时间有计划有步骤推进。

(二)加强调研，提高培训实用性。在实施计划的过程中，我们注重收集听取基层网点员工的意见和建议，不断调整培训形式，丰富培训内容，力图使得我们送去的培训是基层网点所需要的，提高了员工的参与积极性。

三、取得的成效

(一)提高了基层员工的信息科技风险风险防范操作素质，为农商行经济的可持续发展提供了人才保证。目前，重视科技素质培训已成为共识，学科技用科技已经成为大多数广大员工的自觉行为。随着培训工作的深入开展，员工学用科技的能力不断增强，科技在农商行发展中的贡献率在不断提高。

(二)增强了农村党员的科技致富能力，有力地促进了全民创业和增加农民收入。通过开展各类实用技术培训，党员的科技素质和致富能力有所增强，培养出一批有本领、有能力的致富带头人，起到了良好的示范带头作用，全镇形成了党员争着富、群众跟着富的喜人局面。

(三)增强了基层党组织的凝聚力和战斗力，全面提升了农村基层组织整体执政水平。实用技术培训的有效开展，使更多的优秀党员成为带领一方群众发展经济和致富奔小康的“领头雁”;一批政治素质好、致富能力强、群众威望高的农村党员走上了村、组领导岗位，优化班子结构，从而进一步巩固农村基层党组织的核心地位，进一步提高了农村党组织的凝聚力和战斗力。

(四)是在全社会形成尊重科学的良好风气，有力地促进了农村三个文明建设的协调发展。在促进经济农村经济发展的同时，科技素质培训架起了连心桥，党群关系更加密切了，建立在依靠科技共同致富基础上的邻里关系、人际关系更加和睦;科技素质培训治贫又治愈，带来了新风尚，农村社会风气和治安状况明显好转，封建迷信和陈规陋习大为减少。

四、存在的问题

我镇农村干部科技素质培训工作，虽然取得了一定的成绩，但与县里的要求还有一定差距。一是培训的经费投入不

够。二是部分农村党员、基层干部时间不能统一。

五、下一步打算

一是进一步加强与村(居)的沟通联系，扩大培训的覆盖面、提高培训质量和培训人数;二是进一步丰富培训内容和形式，提高农村党员干部学习的积极性。我们相信，在县政府正确领导下，通过精心组织、周密安排、细致服务，下一年的农村党员干部培训工作定能更上一层楼。

第三篇：2016年长安银行总行信息科技部招聘公告

陕西中公金融人

2016年长安银行总行信息科技部招聘公告

2017年陕西银行秋季校园招聘信息可点击:陕西银行招聘网查看。

长安银行是经中国银行业监督管理委员会批准的法人股份制商业银行，直属陕西省人民政府管理。总部设在西安市。长安银行秉承“诚信、创新、稳健、人本”的企业精神，坚持“立足陕西、面向全国，服务城乡居民、服务中小企业”的市场定位，坚持科学发展、做强做精的发展主题，坚持走差异化、特色化发展道路，打造具有地方特色的精品银行，争做支持区域经济和社会发展的主力军。长安银行现面向社会为总行信息科技部招聘员工，热忱期待有识之士加盟，共创辉煌未来!

一、基本条件

(一)遵纪守法，诚实守信，品行端正，有良好的知识素养和职业道德; (二)品貌端庄，具有正常履职的身体条件，符合《公务员录用通用体检标准》(2010年修订)和《公务员录用体检操作手册》(2010年修订)规定的条件，具备良好健康的心理素质; (三)具有较强的学习能力、沟通能力和团队合作精神。

二、招聘岗位及任职条件 (一)应用开发岗

1、岗位描述

(1)负责银行业务应用系统的需求分析、架构设计、文档编写及代码开发相关工作。(2)负责软件开发项目的流程管理、质量控制、文档管理、版本控制相关工作。(3)负责实时跟进研究行业前沿技术，推动相关技术在行内的落地实施工作。

2、任职条件

(1)30周岁(含)以下，计算机相关专业全日制本科及以上学历，研究生学历优先。(2)3年以上系统开发经验，有金融业务系统开发经验者优先。(3)了解项目管理的基本流程，具有一定的项目应用研发实际经验和一定的银行业务、产品知识。(4)掌握扎实的程序设计语言、数据结构、数据库原理，包括C/C++、Java、.NET技术语言中的一种或多种。(5)熟悉Windows、Linux、AIX等主流操作系统，对常用命令运用娴熟，熟悉shell脚本。(6)熟悉DB

2、ORACLE、SQL Server、MySQL等主流数据库中的一种或多种，熟悉SQL语言。(7)熟悉J2EE相关技术及流行开发框架，熟悉WAS、Tomcat、Weblogic等主流WEB中间件的一种或多种。(8)有较强的责任心和沟通协调能力，能够按照要求编写技术文档，对所承担的具体模块具有较好的技术及业务理解能力。

(二)数据开发岗

考试必备：http://sa.jinrongren.net/yh/bkzd/

陕西中公金融人

1、岗位描述

(1)负责数据仓库及相关数据应用系统的需求分析、架构设计及开发工作。(2)负责大数据平台的整体技术规划及建设实施工作。(3)负责为业务条线的数据分析需求提供决策支持，提供专业化的数据挖掘、处理及分析建模等技术服务。

2、任职条件

(1)30周岁(含)以下，计算机相关专业全日制大学本科及以上学历，研究生学历优先。(2)3年以上数据相关开发经验，有金融业务系统开发经验者优先。(3)熟悉Windows、Linux、AIX等主流操作系统，熟悉DB2或其他大型数据库的设计与开发，熟练编写SQL和存储过程。(4)具备良好的数据库设计基础，理解数据仓库理论和实施方法，熟悉数据仓库开发流程，有数据仓库项目开发经验者优先。(5)熟悉一种ETL开发工具，如Datastage。(6)具备良好的逻辑分析能力和沟通协调能力，有大数据应用开发经验、互联网数据研发、海量数据处理分析、BI开发经验、金融统计开发经验者优先。

(三)系统管理岗

1、岗位描述

(1)负责数据中心(含灾备)小型机、X86等各类主机服务器的软硬件系统，包括操作系统、数据库、中间件等的安全运行，日常监控、性能优化、故障处理、冗余方案、备份恢复方案等的制定、执行。(2)负责存储系统、带库系统、虚拟化平台的日常管理。(3)负责制定系统层面同城及异地灾备方案，负责方案的实施、日常运维等。(4)负责项目开发前系统层面的论证工作。负责项目实施过程中系统层面的建设工作。(5)负责系统安全策略的制订及执行实施工作。

2、任职条件

(1)32周岁(含)以下，全日制本科及以上学历，计算机相关专业;(2)3年以上系统管理工作经验;(3)熟悉小型机、X86等计算机系统架构，熟悉AIX、LINUX等操作系统，熟悉DB

2、ORACLE等数据库系统及IBM、EMC等存储知识，熟练掌握双机HA切换软件。熟悉Websphere、Weblogic、MQ等中间件产品的部署和优化。熟悉Vmware等虚拟化部署和管理。(4)具有大型商业银行或法人银行总部工作经验者优先。

(四)网络管理岗

1、岗位描述

考试必备：http://sa.jinrongren.net/yh/bkzd/

陕西中公金融人

(1)负责全行骨干网络的规划、建设及实施工作;(2)负责总行数据中心网络系统的日常管理与维护工作;(3)负责网络安全设备的维护和管理工作; (4)负责对分支机构网络系统提供技术支持和规划指导工作。

2、任职条件

(1)32周岁(含)以下，计算机、通信等相关专业全日制本科以上学历;(2)3年以上网络及安全系统维护管理经验;(3)精通网络及安全技术，熟悉Router、Switch、防火墙、VPN、IPS、DDoS等网络及安全设备的配置和管理工作;深度理解并掌握TCP/IP协议，以太网交换原理，OSPF、ISIS、BGP等路由协议;(4)具备独立完成复杂的网络系统问题分析和故障排查的能力;能独立完成广域网、局域网等网络性能、容量、风险分析，并给出调整优化建议;(5)熟悉思科、华为、H3C、迈普等厂商网络产品的配置管理，熟悉Juniper、天融信、绿盟、启明星辰等安全产品的配置管理。(6)具有思科(CCIE)、H3C(H3CIE)、华为(HCIE)认证其中之一。

(五)项目管理岗

1、岗位描述

(1)负责收集、整理、挖掘系统的开发与优化需求，协调项目分工与资源分配; (2)跟踪、监督项目的实施进度，定期提交项目进度报告; (3)推动项目管理流程和规范的实施，开展项目质量控制与里程碑评审，为项目管理过程中采用的标准、方法和工具等提供指导和培训。

2、任职条件

(1)32周岁(含)以下，计算机、通信等相关专业全日制本科以上学历;(2)3年以上项目管理相关工作经验;(3)具备一定的软件开发知识，熟悉银行业务;(4)具备较强的文字组织能力、业务分析能力和沟通协调能力，熟练运用办公软件;(5)具有PMP或CPMP项目管理师及以上资格证书、信息系统项目管理师等项目管理资格。

(六)基础设施管理岗

1、岗位描述

(1)负责总行及分支机构数据中心机房基础设施的规划及建设工作。(2)负责总行机房供配电、UPS不间断电源、发电机、空调制冷、综合布线、消防安全、监控安防、防雷接地等基层设施系统的安装、维护、管理;制定并组织实施定期演练等工作。(3)负责数据中心基础设施系统相关运维管理制度和操作流程的制定。

2、任职条件

考试必备：http://sa.jinrongren.net/yh/bkzd/

陕西中公金融人

(1)32周岁(含)以下，自动化、电气工程、计算机等相关专业全日制本科以上学历;(2)3年以上数据中心基础设施管理经验;(3)熟悉数据中心管理相关基础知识，熟练掌握数据中心高、低压配电系统、UPS不间断电源系统的架构设计、安装及运行维护。精通发电机、UPS、空调、配电柜等基本原理。(4)具有电气类相关资质证书者优先。

三、用工形式

一经录用，与本行签订劳动合同，为长安银行正式员工。

四、工作地点 西安市

五、应聘程序

(一)在首页点击“长安银行总行信息科技部诚聘英才”;或在城市频道“西安”，点击“长安银行长安银行总行信息科技部诚聘英才”;然后按照要求下载《应聘报名表》填写简历;填写完成后发送到邮箱cayhzp@hr.51job.com，邮件题目 “应聘岗位+姓名”，附件题目“《应聘报名表》+应聘岗位+姓名”;

(二)报名截止时间为2016年11月27日; (三)初审合格者，根据本行通知参加笔试; (四)笔试合格者，根据本行通知，携带个人身份证、学历证、学位证以及各种资格证书原件及复印件等参加面试; (五)面试合格者，根据本行通知参加体检。

陕西中公金融人提醒考生：陕西银行招聘考试涉及内容较多，需要提前做好备考，大家可以点击陕西银行招聘学习。

考试必备：http://sa.jinrongren.net/yh/bkzd/

第四篇：2015兴业银行总行信息科技部校园招聘启事

兴业银行成立于1988年8月，是经国务院、中国人民银行批准成立的首批股份制商业银行之一，总行设在福建省福州市，2007年2月5日正式在上海证券交易所挂牌上市(股票代码：601166)。2013年兴业银行市场地位和品牌形象稳步提升，成功跻身全球银行50强(英国《银行家》杂志排名)、世界企业500强(美国《财富》杂志排名)和全球上市企业200强(美国《福布斯》杂志排名)行列。在国内外各种权威机构组织的评比中，先后获得"2013亚洲最佳股东回报银行"、"最佳履行社会责任商业银行"、"最具创新力银行"、"最佳绿色银行"等奖项。

兴业银行总行信息科技部系兴业银行总行直属一级管理部门，负责统筹全行的信息化建设和管理工作。近年来，兴业银行坚持"科技兴行"战略，全行科技工作取得良好成效，在国内外各类权威评比中先后荣获"IT引领业务创新银行"、"最佳企业信息化效益奖"、"中国最佳科技应用银行"等众多荣誉。现因业务发展需要，我们诚挚地欢迎优秀的全国高校应届毕业生加盟，为铸造百年兴业而共同奋斗。

一、招聘条件

对象要求：2015年全日制硕士及以上学历应届毕业生

专业要求：计算机技术，数学、电子、自动化、通信等计算机相关专业或金融统计相关专业

技能要求：热爱钻研技术，热衷于解决挑战性的技术难题，在软件设计、网络等计算机技术领域或金融统计相关领域有过人的专业技能，在高水平期刊、会议上发表过技术论文。参加过校级(含)以上计算机或金融统计相关领域的专业竞赛并获得荣誉称号。

工作职责：

1. 负责产品项目的系统分析、设计; 2. 负责数据分析及数据支持工作; 3. 负责相关系统的具体开发和技术实现; 4. 负责系统上线以及后期维护工作。 工作地点：上海、成都

二、报名须知

(一)报名时间：截至2014年10月20日 (二)报名方式：

有意应聘者请于2014年10月20日前通过前程无忧系统进行报名http://xyz.51job.com//external/apply.aspx?jobid=64247340&ctmid=2324283 经初审符合条件者，将通过邮件、短信、电话等方式通知笔试、面试时间和地点。

三、联系方式

兴业银行总行信息科技部地址：

上海浦东新区来安路500号，兴业银行上海张江业务营运中心园区A区 邮编：201201

电子邮件：kjzhaopin@cib.com.cn

第五篇：银行信息科技风险的治理途径

中国农业发展银行总行营运中心 李小庆

信息科技风险治理的主要目标是为了采取一定的有效措施，规避信息科技风险带来的损失，同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。 257 信息化建设一直是现代银行发展战略的重要组成部分。最近十年，银行信息化建设一直在高速向前发展。随着数据大集中工程的启动及完成，银行信息化从信息基础设施到业务系统的建设，都取得了较为明显的成效，信息化总体架构已经成熟，各类业务应用系统已经初具规模。各类信息系统已经成为银行提供客户服务、获取市场价值、培育核心竞争力的重要途径。

但是，随着银行信息化规模的日益扩大，信息科技风险的防控及治理始终是银行信息化建设和管理的薄弱环节。2009年，银监会发布《商业银行信息科技风险治理指引》(以下简称《指引》)，从信息安全、信息系统开发和信息科技运行等多个层面对信息科技风险治理进行了清晰规定。从《指引》中，我们可以解读到，信息科技风险治理是以可接受的成本识别、控制、降低可能影响信息系统风险的过程，通过风险识别，制定信息科技风险治理策略，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之间的平衡。信息科技风险治理体系主要包含信息科技风险识别、分析与评价，信息科技风险的计量，信息科技的治理思路和控制措施。

一、信息科技风险识别、分析与评价

信息科技风险治理的主要目标是在可接受成本的范围内，分析信息系统面临的潜在风险，并采取一定措施控制和防御风险的过程。风险识别是指对组成信息科技风险因素在系统中潜在可能性认识的过程，风险分析是指系统化地识别和分析风险来源和风险类型，风险评价是指按组织制定的风险标准计算风险水平，确定风险严重性。

1.风险识别

信息科技风险的组成因素，一般包含价值信息资产、信息资产面临的威胁、信息资产的脆弱性等。信息资产是对组织具有价值的信息资源，是风险控制措施保护的对象。信息资产面临的威胁是可能对信息资产或组织造成损害的潜在因素。信息资产脆弱性是信息资产可能被威胁利用的弱点。风险识别是对信息系统和信息基础设施的威胁、脆弱性和风险的识别，它包含以下元素：被特定威胁利用的信息资产的一种或一组脆弱性，导致信息资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的集合。风险识别过程是综合分析信息科技风险各组成因素，包含信息资产的价值、对信息资产的威胁和威胁发生的可能性、信息资产脆弱性、现有的风险控制提供的保护等，从而导出风险的过程。银行对信息科技风险一般具有偏好性考虑，其结果受到业务需求及战略目标、文化、业务流程、风险要求、信息规模和结构的影响，因此在风险识别实施前，应确定风险识别的范围和目标，建立适当的组织结构，建立系统化的风险识别方法，获得管理者对风险识别工作的批准。

2.风险分析

在进行风险识别之后，必须就各项风险对整个信息系统的影响程度做一些分析和评价，通常这些评价建立在以特性为依据的判断和以数据统计为依据的研究上。风险分析的方法非常多，一般采用统计学范畴内的概率、分布频率、平均数、众数等方法。但无论是哪一种工具，都各有长短，而且不可避免地会受到分析者的主观影响。可以通过多维度、多人员分析或者采取头脑风暴法等尽可能避免。此外，应当明确，风险是一种变化着的事物，基于这种易变条件上的预测和分析，是不可能做到十分精确和可靠的。所有的风险分析都只有一个目的，即尽量为避免信息系统提供的服务失控和为具体的信息系统开发和运行中突发问题预留足够的后备措施和缓冲空间。

3.风险评价

信息科技风险评价方法有两种：定量方法和定性方法。定量分析是试图从财务价值上对构成风险的信息资产的各项要素进行量化分析评价的一种方法，由于定量分析所依赖的数据的可靠性和有效性很难保证，加之对数据统计缺乏长期性，所以，定量分析方法在银行信息科技风险评价中并不常用，取而代之的是更容易实施的定性分析方法。

定性风险评价并不强求对构成风险的各个要素进行精确的量化评价，它有赖于评价者的经验判断、业界惯例以及组织自身定义的标准，来对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差别来分出优先顺序即可。事实上，银行最关心的是业务活动的持续性，对于影响业务活动持续性的各种风险问题，在有限的资源支持情况下，只需要抓住最突出的问题，有针对性地采取措施即可。

二、信息科技风险计量方法

风险计量是在风险识别的基础上，根据信息科技风险组成要素的相关属性进行赋值，进行综合计算最终获得信息科技风险值。信息资产的属性主要是资产价值，威胁的属性主要是威胁主体、影响程度、影响范围等，脆弱性的属性主要是信息资产缺陷的严重程度。风险计量的主要内容是对信息资产进行识别，并对信息资产的价值进行赋值;对威胁进行识别，描述威胁的属性，并对威胁潜在影响程度赋值;对信息资产的脆弱性进行识别，并对具体信息资产的脆弱性的严重程度赋值。风险计量原理如图1所示，具体计量方法进行如下介绍。

1.信息资产风险的计量

信息资产是指任何对银行具有价值的信息资产，包括计算机硬件、通信设施、机房、数据库、文档信息、软件、信息服务和人员等，所有这些信息资产都需要妥善保护。为了进一步定义其价值，一般需将其分类，除一般认可的软件、硬件、数据信息资产外，还需增加人员、服务等项目，在此基础上可进一步细分，以达到精细化管理的要求。对细分后的信息资产，需定义其价值。这里所讲的价值并不是财物价格，而是从信息科技风险的角度，即机密性、完整性、可用性的价值取值。如果采取三级分类法对信息资产进行划分，分类标准参照如下。

(1)关键信息资产：从保密性而言，对应为机密级，涵盖重要的信息、信息处理设施和系统资源，只能给少数必须知道者(特定的任务群体)，一旦泄漏，会造成严重的损害(部门或特定范围)。

(2)重要信息资产：从保密性而言，对应为秘密级，涵盖一般性的商业秘密，泄漏后会造成一定的损害，但不会造成重大的影响与损失。未经授权的更改、破坏或误操作对信息系统造成一定的影响，或给业务带来明显冲击。

(3)普通信息资产：并非敏感信息，主要限于内部使用。一旦泄漏，并不会造成显著的影响。很难采用精确的财务方式来给信息资产确定价值，一般采用定性的方式来建立信息资产的价值或重要度，即按照事先确定的价值尺度将信息资产的价值划分为不同等级。经过信息资产识别与估价后，组织应根据信息资产价值的大小进一步确定需要保护的关键信息资产。

2.威胁风险的计量

威胁风险的计量用以评价威胁发生时对信息资产造成的潜在影响或后果，威胁一般能对信息基础设施进行损坏，还有可能导致信息泄密，或信息完整性和可用性受损，信息服务质量下降，严重的甚至可能造成信息系统崩溃、信息服务中断，直接影响银行的经营利润和声誉风险。不同的威胁可能对银行及其信息资产的影响程度不尽相同，其导致的价值损失可能也不一样，威胁的可能性可以采取资产的相对价值的损失度来衡量，资产的相对价值是通过折旧损耗之后资产的现值，价值损失度表示当信息资产遭遇威胁攻击之后，信息资产及信息服务质量遭受损失的程度。威胁的可能性一般可分为三级，取值标准如下。

(1)高：在业务活动持续期间，威胁发生后，会对资产的相对价值造成全部损失或巨大损失。

(2)中：在业务活动持续期间，威胁发生后，会对资产的相对价值造成中度损失或局部损失。

(3)低：在业务活动持续期间，威胁发生后，会对资产的相对价值造成轻微损失或零损失。

3.脆弱性风险的计量

由于组织、人员、管理、技术、流程、信息资产本身的缺陷，导致信息资产和信息基础设施在某些方向存在一定的脆弱性，这些脆弱性在信息系统连续运行的过程中，当遇到某种环境或某类事件时，就会被激发或体现出来，它可能导致信息资产直接受损或信息系统运行质量下降，同时还有可能被某种威胁利用，导致较为严重的后果。因此，应该针对每一项需要保护的信息资产，分析其脆弱性存在的地方及严重程度，评价由于其脆弱性的存在，当意外事件或威胁发生时，会给银行带来的直接或间接的损失或伤害。信息资产脆弱性一般分为三级，取值标准如下。

(1)高：当有意外事件或脆弱性被威胁利用，会造成存在此脆弱性的信息资产立即停止为相关业务提供服务。

(2)中：当有意外事件或脆弱性被威胁利用，会造成存在此脆弱性的信息资产降低为相关业务提供服务的效率，但服务仍可继续。

(3)低：当有意外事件或脆弱性被威胁利用，会造成存在此脆弱性的信息资产对继续为相关业务提供服务没有影响。

最终每项信息资产的风险状况可用以下方法简单计算得到：

风险值=信息资产价值*威胁可能性*弱点严重性

资产价值、威胁可能性、脆弱性严重性采用三级分类，其低、中、高取值分别为

1、

2、3，资产的风险值则有

1、

2、

3、

4、

6、

8、

9、

12、

18、27等结果。我们可以定义风险值在l至9的资产为低风险资产，风险值12至18为中等风险资产，风险值27为高风险资产。银行可根据自己的风险偏好，确定可接受的风险程度，如低风险可接受，而中高风险不可接受，然后对不可接受风险采取相应的控制措施。通过降低风险发生的可能性，确保信息资产的残余风险控制在银行可接受的范围内。

三、银行信息科技风治理思路

按照国际信息系统审计与控制协会ISACA的观点，信息科技风险治理是一个由各类信息关系和信息科技风险治理活动过程组成的治理结构，用以指导、分析和控制信息科技风险。信息科技风险治理的主要目标是为了采取一定的有效措施，规避信息科技风险带来的损失，同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。因此，不仅仅要从技术层面规避风险，同时要从流程、技术、人员三个不可分离的层面来从事信息科技风险的管理工作。目前在信息科技风险管控方面，银行还需满足外部监管部门的要求，从而避免给银行带来更大的合规风险。

1.提出信息科技风险治理需求

信息科技风险是信息系统各组成要件在履行其应用功能过程中，在完整性、可用性、抗否认性和机密性等方面存在的脆弱性，以及信息系统内部或外部的人们利用这些脆弱性可能产生的违背信息系统所属组织风险管理意志的行为及其后果。信息科技风险治理需求则是对抗和消除信息科技风险治理风险的必要}生和可行陛，它是制定和实施信息科技风险治理策略的起点和依据。在制定信息科技风险治理策略前，首先需要进行信息科技风险治理风险识别，充分分析信息科技风险治理需求。为此，银行需要详细分析银行信息系统的构成，所要保护的信息系统资源类别，以及对攻击者攻击目的、技术手段和造成的后果的假设，兼顾所受到的已知的、可能的和与该系统有关的威胁，以及构成信息系统各部件的缺陷和隐患共同形成的风险等，从而提出信息科技风险治理需求。

2.确定信息科技风险治理策略

信息科技风险治理需求转变为信息科技风险治理策略主要把握三个平衡标准：一是能够采取一定的方法将信息科技风险降到可以接受的程度;二是潜在的信息科技风险的威胁随时有可能对现有信息资产的价值进行催毁或造成较大程度的损失;三是银行自身的合规建设和外部监管部门的合规要求。

一个较好的信息科技风险治理策略，应该最大限度地按照信息科技风险治理等级保护要求对信息资产的脆弱性进行保护，对信息资产面临的威胁进行防控、规避或消除，能够体现系统资源拥有者和管理者的信息科技风险治理意志和思路，保证攻击信息系统所花的代价远远大于获取信息资产的现值和潜在价值。同时，信息科技风险治理策略应尽可能地制约所预见的系统风险及其变化，并在维持“风险一信息科技风险治理一投资”关系中具有持续平衡能力。

3.建立信息科技风险治理体系

将信息科技风险治理策略付诸实施的关键，是建立起符合银行实际的保障信息资产的信息科技风险治理组织体系、管理体系和技术体系，从而在管理和技术上保证信息科技风险治理策略得以完整准确地实现，全面准确地满足信息科技风险治理需求。其中，组织体系是信息系统信息科技风险治理的组织保障，由人、岗位和人事管理机构三部分组成;管理体系是信息科技风险治理的灵魂，由法律管理、制度管理、培训和管理四部分组成，信息科技风险治理需求分析和信息科技风险治理策略制定是其关键内容;技术体系是全面提供信息科技风险治理保护的技术保障系统，包括确定必需的信息科技风险治理服务、信息科技风险治理机制和技术管理以及它们在信息系统上的合理部署和配置。

四、信息科技风险防控方法

通过对银行信息科技治理、全面的信息科技项目风险管理、信息系统开发、维护、运行管理、信息风险体系的建立、银行业务连续性管理、技术外包管理、内部和外部审计等几方面结合，具体论述银行各类信息科技风险的防控策略和建立一体化防控机制的措施，通过建立有效的防控机制，实现对银行信息科技风险的识别、计量、评价和控制，提供风险预警，增强银行的核心竞争力和可持续发展的能力。

1.建立信息科技风险治理的决策议事机构

在银行风险管理委员会和信息化委员会的基础上，在其下面建立信息科技风险治理的议事决策机构——信息科技风险管理分委会，信息科技风险管理分委会由银行的最高管理层及与信息科技风险治理有关的部门负责人、管理技术人员组成，定期召开会议，并就以下重要信息科技风险治理议题进行讨论并做出决策，为银行信息科技风险治理提供导向与支持：评审和审批信息科技风险治理策略;分配信息科技风险治理职责;确认风险评价的结果;对与信息科技风险治理有关的重大更改事项，如组织机构调整、信息系统更改等进行决策;评审和监测信息科技风险治理事故;审批与信息科技风险治理有关的其他重要事项。

2.明确信息科技风险治理的职责和流程

职责缺乏或界定不清，最终导致信息科技风险控制得不到有效的实施，形成管理风险。银行最高管理者应确保对以下信息科技风险治理职责进行规定并形成书面文件：管理层职责，部门职责;在管理层指定一名信息科技风险治理经理，分管银行信息科技风险治理事宜，负责银行的信息科技风险治理方针的贯彻与落实，就信息科技风险治理的效果与有关重大问题及时与最高管理者进行沟通。确定与信息科技风险治理有关的管理、操作、验证等人员的职责;基本原则就是告知管理层和员工信息科技风险治理时的行为和方法，特别是在信息科技风险治理通常不被重视的地方。

3.建立信息系统的安全等级保护机制

银行需要按照国家及监管部门有关等级保护的管理规范和技术标准开展等级保护工作，建设风险设施、建立风险制度、落实风险责任，接受公安机关、保密部门对信息系统安全等级保护工作的监督、指导，保障信息系统风险。信息系统安全等级保护工作的原则为：对照标准定级，各信息系统风险保护等级的确定须对照监管部门或总行关于等级划分和定级的标准来确定;分级实施保护，根据确定的信息系统风险保护等级，按照相关的法规和标准，分级别实施不同强度的风险保护;建设保护同步，信息系统在新建、改建、扩建时须同步规划和设计风险方案，并组织实施;等级动态调整.信息系统的功能和系统架构发生重大变化的，须重新进行等级确定并实施风险保护。

4.加强与其他关联组织间的协作

信息科技发展日新月异，信息安全产品与技术不断翻新，信息安全威胁的手段与种类也在不断地变化。因此，对于外行来说，信息科技风险治理的某些方面是复杂的和困难的，对内行来说，同样也是复杂的和困难的。银行可通过各种方式，获取信息科技风险治理方面的建议以支持信息科技风险治理。与信息科技风险治理有关的国家管理机关有公安部、国家安全局、信息产业部等，银行在遵守信息科技风险治理法律法规的方面，应服从与信息科技风险治理有关的国家执法机构、人民银行和银监会的管理和指导。银行有必要保持和它们以及同业银行、信息服务供应商、电信运营商的适当联系，以确保在出现风险事故时尽快采取适当的行动和获得建议。但在进行风险信息的交流时，要防止银行的机密信息传给未经授权的人。

5.对信息科技风险治理工作进行独立评审

信息科技风险治理以风险出现的可能性作为对象而展开的，遵循管理的一般循环模式：计划、执行、检查、行动的持续改进模式。为验证各项信息科技风险治理方针及控制程序、风险管理规章制度是否被有效实施，发现风险隐患并采取纠正措施，防止同样的问题再次发生，可以通过内部审核或外部审核达到上述目的。所谓审核的“独立”性是指审核员与被审核方保持适当的独立性，即被审核方不应审核自己的工作，确保信息科技风险治理体系和策略的公正与可靠。