信息科技风险管理评估报告

根据宁波银行股份有限公司（以下简称“公司”）监事会工作职责和2019年度工作安排，监事会委托总行法律合规部，联合外部专业咨询机构安永，于2018年9月至2019年4月，对全行信息科技风险管理情况进行了全面的梳理和评估，评估内容包括信息科技治理、信息科技风险管理、信息安全、信息系统开发和测试、信息科技运行管理、信息科技外包管理、业务连续性管理、信息科技审计等方面。

经过评估，认为目前公司搭建了较为完善的信息科技风险管理体系，建立了信息科技风险一、二、三道防线，各领域管理要求有效落实，重点领域管控基本有效，体现在四方面：一是有较为健全的信息系统开发与测试体系，已进行开发需求优先级管理，使用代码扫描工具检查代码安全，并通过安全需求和安全设计检查，保障系统开发安全。二是有较为成熟的信息科技运维服务体系，已建立服务台并明确了服务种类及相应的服务等级、响应和处理时限，建立了统一监控平台，对应用、网络、系统等运行情况进行监控；三是有扎实有效的信息安全管理体系，已制定了操作系统、数据库及网络设备安全基线，开展了漏洞扫描、渗透测试及系统安全评估，部署了数据防泄漏软件对U盘拷出数据进行管控；

四是有较为明确的信息科技外包管理体系，已针对不同的外包商建立了差异化的评价指标，定期进行外包风险评估，组织开展外包应急演练。

宁波银行股份有限公司监事会

2019年10月19日