成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。
第九条风险管理部负责信息科技风险管理工作，并直接向分管行领导（风险管理委员会）报告工作。该部门应为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监
f控信息安全威胁和不合规事件的发生。风险管理部的职责包括：
一拟定信息系统风险管理总体政策，并提交高级管理层审查、审批。
二会同相关业务部门对信息系统风险进行识别、监测；三审核信息系统风险状况。对总行相关业务部门和分支机构信息系统风险状况及维护、运行情况进行监测，并进行实时报告。四组织新投产后信息系统的后评价，并识别、评估新信息系统中所包含的风险，审核相应的操作和风险管理程序。第十条稽核审计部应在部门设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。稽核审计部负责我司信息系统审计任务，也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。
第三章信息科技风险管理第十一条我司应制定全面的信息科技风险管理策略，包括但不限于下述领域：
一信息分级与保护。二信息系统开发、测试和维护。三信息科技运行和维护。
f四访问控制。五物理安全。六人员安全。七业务连续性计划与应急处置。第十二条我司应制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别（包括外包供应商、产品供应商和服务商）。第十三条我司应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：
一制定明确的信息科技风险管理制度、技术标准和操作规程等，定期进行更新和公示。
二确定潜在风险区域，并对这些区域进行详细和独立的监控，实现风险最小化。建立适当的控制框架，以便于检查和平衡风险；定义每个业务级别的控制内容，包括：
1、最高权限用户的审查。
2、控制对数据和系统的物理和逻辑访问。
3、访问授权以“必需知道”和“最小授权”为原则。
4、审批和授权。
f5、验证和调节。第十四条我司应建r