根据宁波银行股份有限公司(以下简称“公司”)监事会工作职责和2019年度工作安排,监事会委托总行法律合规部,联合外部专业咨询机构安永,于2018年9月至2019年4月,对全行信息科技风险管理情况进行了全面的梳理和评估,评估内容包括信息科技治理、信息科技风险管理、信息安全、信息系统开发和测试、信息科技运行管理、信息科技外包管理、业务连续性管理、信息科技审计等方面。
经过评估,认为目前公司搭建了较为完善的信息科技风险管理体系,建立了信息科技风险一、二、三道防线,各领域管理要求有效落实,重点领域管控基本有效,体现在四方面:一是有较为健全的信息系统开发与测试体系,已进行开发需求优先级管理,使用代码扫描工具检查代码安全,并通过安全需求和安全设计检查,保障系统开发安全。二是有较为成熟的信息科技运维服务体系,已建立服务台并明确了服务种类及相应的服务等级、响应和处理时限,建立了统一监控平台,对应用、网络、系统等运行情况进行监控;三是有扎实有效的信息安全管理体系,已制定了操作系统、数据库及网络设备安全基线,开展了漏洞扫描、渗透测试及系统安全评估,部署了数据防泄漏软件对U盘拷出数据进行管控;
四是有较为明确的信息科技外包管理体系,已针对不同的外包商建立了差异化的评价指标,定期进行外包风险评估,组织开展外包应急演练。
宁波银行股份有限公司监事会
2019年10月19日下载本文
