【正文】 ）合規(guī)風(fēng)險（ 總監(jiān) ） 信貸監(jiān)督（ 總監(jiān) ）操作風(fēng)險（ 總監(jiān) ）全球企業(yè)與市場（ 總監(jiān) ）全球財富與投資 （ 總監(jiān) ） 個人金融與小企業(yè) （ 總監(jiān) ） 全球商業(yè)銀行（ 總監(jiān) ）… 公司信息管理部門 信息安全咨詢部 商業(yè)信息訪問部 漏洞防范管理部 公司恢復(fù)能力管理部 風(fēng)險條線 信息 技術(shù)條線 承擔(dān) 信息科技風(fēng)險管理 職責(zé) 3 恢復(fù)能力管理部（即業(yè)務(wù)持續(xù)性管理）、信息安全咨詢部、商業(yè)信息訪問部、漏洞防范管理部。 （ 1）風(fēng)險點識別：主要 通過 主動發(fā)現(xiàn)、自評估 、 內(nèi)外 部審計 三條途徑來實現(xiàn) 。一是災(zāi)難恢復(fù)方面， 通過 業(yè)務(wù)影響分析 確定關(guān)鍵業(yè)務(wù)及其恢復(fù)目標(biāo)、資源，繼而設(shè)定資源獲取策略，在此基礎(chǔ)上形成恢復(fù)預(yù)案以明確恢復(fù)資源獲取的步驟及其職責(zé)分工，之后落實恢復(fù)預(yù)案配備相應(yīng)資源。信息科技風(fēng)險管理從系統(tǒng)安全、信息安全的角度指導(dǎo)系統(tǒng)開發(fā)運(yùn)維人員、系統(tǒng)應(yīng)用人員防 范、控制、管理信息科技風(fēng)險 ，既包括日常的信息科技風(fēng)險也包括重大、極端的信息科 10 技風(fēng)險管理 ；信息系統(tǒng)業(yè)務(wù)持續(xù)性管理屬于管理重大或極端的系統(tǒng)安全、信息安全事件的手段，屬于信息科技風(fēng)險管理的一小部分；信息 科技風(fēng)險管理的 識別、評估、控制、緩釋 等使用全行 操作風(fēng)險管理 通用的流程、方法及工具，如自評估工具及其方法、流程等。 各業(yè)務(wù)條線內(nèi)設(shè)操作風(fēng)險 管理 團(tuán)隊，與風(fēng)險管理部 內(nèi)支持業(yè)務(wù)條線的 操作 風(fēng)險 管理 團(tuán)隊 對接，具體落實 條線內(nèi)操作風(fēng)險管理 的 各項工作，并將細(xì)分的操作風(fēng)險管理的制度、流程、標(biāo)準(zhǔn)中存在的問題及時 向風(fēng)險管理部的專門團(tuán)隊 反饋。其中：技術(shù)條線由 公司信息管理條線下的 商業(yè)信息訪問部完成；其他管理條線分別由 全行 公關(guān)部門、公司工作場所管理部門、公司安全管理部門、 公司財務(wù)部門 、 公司保險部門 、公司法律部門、人力資源部門、供應(yīng)商管理部門等的相應(yīng)團(tuán)隊完成；各業(yè)務(wù)條線由條線內(nèi)的業(yè)務(wù)持續(xù)性管理團(tuán)隊完成；但都受業(yè)務(wù)持續(xù)性管理總體要求的制約。漏洞防范管理 部負(fù)責(zé)通過 風(fēng)險分析協(xié)助 各業(yè)務(wù)條線查找信息技術(shù) 漏洞 ,流程改進(jìn)分析， 從技術(shù)上進(jìn)行違規(guī)監(jiān)測 及 合規(guī)檢查等 。 信息科技風(fēng)險管理的 職能部門主要是公司信息管理部門下轄的信息安全咨詢部、商業(yè)信息訪問部、漏洞防范管理部。如圖 3。 根據(jù)風(fēng)險管理條線的總體架構(gòu)， 風(fēng)險管理部內(nèi)的操作風(fēng)險管理團(tuán)隊也分成兩個層次， 風(fēng)險職能團(tuán)隊和 支持 業(yè)務(wù)條線的 操作 風(fēng)險 管理 團(tuán)隊。 第二道防線 是系統(tǒng)安全及信息安全的管理部門，即公司信息管理條線下轄的信息安全咨詢部、商業(yè)信息訪問部、漏洞信息管理部，負(fù)責(zé)制定全行通用的信息科技風(fēng)險管理政策制度、流程、標(biāo)準(zhǔn)