因信息科技风险管理不到位，这家银行被罚

《银行科技研究社》消息：5月23日，国家金融监督管理总局甘肃监管局发布的行政处罚信息显示，兰州永登新华村镇银行因“信息科技风险管理不到位”，被罚款30万元。

据《银行科技研究社》了解，《商业银行信息科技风险管理指引》要求，商业银行应制定全面的信息科技风险管理策略，包括但不限于下述领域：

（一）信息分级与保护

（二）信息系统开发、测试和维护

（三）信息科技运行和维护

（四）访问控制

（五）物理安全

（六）人员安全

（七）业务连续性计划与应急处置

商业银行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：

（一）制定明确的信息科技风险管理制度、技术标准和操作规程等，定期进行更新和公示。

（二）确定潜在风险区域，并对这些区域进行详细和独立的监控，实现风险最小化。建立适当的控制框架，以便于检查和平衡风险；定义每个业务级别的控制内容，包括：

1、最高权限用户的审查。

2、控制对数据和系统的物理和逻辑访问。

3、访问授权以“必需知道”和“最小授权”为原则。

4、审批和授权。

5、验证和调节。

经《银行科技研究社》查询，此前已有多张“信息科技风险”相关罚单。

2023年9月4日，国家金融监督管理总局绵阳监管分局发布的行政处罚信息显示，绵阳市商业银行因“信息科技风险管理不审慎，严重违反审慎经营规则”，被罚款120万元。同时，胡雪冰对此负领导责任，被警告，并被罚款12万元；舒山对此负管理责任，被警告，并被罚款6万元。

2022年4月12日，原银保监会青海银保监局发布的行政处罚信息显示，青海省农村信用社联合社因多项违法违规事实被罚款155万元，其中包括“信息科技风险管理不到位”。

2022年1月30日，原银保监会佛山银保监分局发布的行政处罚信息显示，顺德农村商业银行因“信息科技风险管理不到位”，被罚款50万元。

2021年4月27日，原银保监会曲靖监管分局发布的行政处罚信息显示，曲靖市商业银行因“网络授权访问控制不到位，存在严重的信息科技风险隐患”，被罚款35万元。

2020年7月8日，原银保监会河北银保监局发布的行政处罚信息显示，沧州银行因“信息科技风险管理不到位，严重违反审慎经营规则”，被责令改正，并被罚款20万元。