【正文】 ）合規(guī)風險（ 總監(jiān) ） 信貸監(jiān)督（ 總監(jiān) ）操作風險（ 總監(jiān) ）全球企業(yè)與市場（ 總監(jiān) ）全球財富與投資 （ 總監(jiān) ） 個人金融與小企業(yè) （ 總監(jiān) ） 全球商業(yè)銀行（ 總監(jiān) ）… 公司信息管理部門 信息安全咨詢部 商業(yè)信息訪問部 漏洞防范管理部 公司恢復能力管理部 風險條線 信息 技術(shù)條線 承擔 信息科技風險管理 職責 3 恢復能力管理部（即業(yè)務持續(xù)性管理）、信息安全咨詢部、商業(yè)信息訪問部、漏洞防范管理部。 （ 1）風險點識別：主要 通過 主動發(fā)現(xiàn)、自評估 、 內(nèi)外 部審計 三條途徑來實現(xiàn) 。一是災難恢復方面， 通過 業(yè)務影響分析 確定關(guān)鍵業(yè)務及其恢復目標、資源，繼而設定資源獲取策略，在此基礎(chǔ)上形成恢復預案以明確恢復資源獲取的步驟及其職責分工，之后落實恢復預案配備相應資源。信息科技風險管理從系統(tǒng)安全、信息安全的角度指導系統(tǒng)開發(fā)運維人員、系統(tǒng)應用人員防 范、控制、管理信息科技風險 ，既包括日常的信息科技風險也包括重大、極端的信息科 10 技風險管理 ；信息系統(tǒng)業(yè)務持續(xù)性管理屬于管理重大或極端的系統(tǒng)安全、信息安全事件的手段，屬于信息科技風險管理的一小部分；信息 科技風險管理的 識別、評估、控制、緩釋 等使用全行 操作風險管理 通用的流程、方法及工具，如自評估工具及其方法、流程等。 各業(yè)務條線內(nèi)設操作風險 管理 團隊，與風險管理部 內(nèi)支持業(yè)務條線的 操作 風險 管理 團隊 對接，具體落實 條線內(nèi)操作風險管理 的 各項工作，并將細分的操作風險管理的制度、流程、標準中存在的問題及時 向風險管理部的專門團隊 反饋。其中：技術(shù)條線由 公司信息管理條線下的 商業(yè)信息訪問部完成；其他管理條線分別由 全行 公關(guān)部門、公司工作場所管理部門、公司安全管理部門、 公司財務部門 、 公司保險部門 、公司法律部門、人力資源部門、供應商管理部門等的相應團隊完成；各業(yè)務條線由條線內(nèi)的業(yè)務持續(xù)性管理團隊完成；但都受業(yè)務持續(xù)性管理總體要求的制約。漏洞防范管理 部負責通過 風險分析協(xié)助 各業(yè)務條線查找信息技術(shù) 漏洞 ,流程改進分析， 從技術(shù)上進行違規(guī)監(jiān)測 及 合規(guī)檢查等 。 信息科技風險管理的 職能部門主要是公司信息管理部門下轄的信息安全咨詢部、商業(yè)信息訪問部、漏洞防范管理部。如圖 3。 根據(jù)風險管理條線的總體架構(gòu)， 風險管理部內(nèi)的操作風險管理團隊也分成兩個層次， 風險職能團隊和 支持 業(yè)務條線的 操作 風險 管理 團隊。 第二道防線 是系統(tǒng)安全及信息安全的管理部門，即公司信息管理條線下轄的信息安全咨詢部、商業(yè)信息訪問部、漏洞信息管理部，負責制定全行通用的信息科技風險管理政策制度、流程、標準