为有效应对互联网、大数据、云计算、人工智能等一系列前沿技术与金融业务创新给金融机构IT风险防控带来的巨大挑战，以及近年来IT风险事件频发带来的不利影响，及时消除风险隐患，烟台银行严格落实监管要求，着力加强IT风险管控，采取了一系列卓有成效的信息安全防控措施，提升IT风险管理水平，塑造合规审慎的IT风险防线，为业务稳健发展提供了强有力的科技支撑。

一是持续优化完善IT风险管控体系。烟台银行将信息科技风险管理纳入全面风险管理体系，搭建起由科技部门、风险管理部门、内审部门、总行其他部门和各分支机构组成的IT风险管控体系，明确IT风险管理职责分工，确保IT风险管控无死角。同时，按照监管要求并借鉴同业领先实践，结合烟台银行经营管理需要，通过不断完善IT风险治理架构，优化IT风险管理流程和工具，持续加强信息安全、信息科技运行、信息系统开发/测试和维护、信息科技外包、信息科技业务连续性等领域的风险防控工作。

二是持续夯实IT管控措施。上线生产中心双活存储系统，实施灾备中心建设，定期开展演练，保障业务连续性；搭建网络安全管理平台和信息安全管控平台，防范信息泄露风险；建立生产环境操作间，开发与运维严格隔离；开发统一身份认证平台项目，避免系统非授权访问；建立一体化运维系统，提高运维管理精细化水平；搭建安全态势感知系统，提升网络风险防御能力等。

三是定期开展IT风险“大巡检”。为全面检视信息科技领域风险隐患，烟台银行每年组织开展信息科技全面风险评估，进行全面体检，筛查风险，对症下药。近期，烟台银行完成了2020年信息科技全面风险评估和信息科技外包管理专项风险评估工作，重点评估信息科技风险库中的风控数据有效性，及时识别风险隐患，提出持续改进和优化建议，制定出风险处置措施，持续监测跟踪处置工作，完成闭环运转，实现IT风险管理体系自身持续优化，确保IT风险平稳可控。

四是持续强化IT风险全流程管理。设定合理的风险管理目标和容忍度，明确IT风险管理的策略、重点和控制强度；建立常态化IT风险评估机制，梳理重点领域的IT风险点，建立风险库，制定IT风险评估操作规程，明确评估方法和标准，定期开展风险评估工作，及时识别风险隐患并督促处置和整改，防范重大IT风险事件发生；建立IT风险监测机制，设定系统可用率、交易成功率、重要信息系统应用级监控覆盖率、重要信息系统演练覆盖率等IT风险指标，并结合操作风险三合一系统，实现线上监测统一管理。

五是加强三道防线审计监督。根据监管要求并结合我行实际制定审计计划和审计范围，经董事会审批通过后独立、有效开展IT审计工作，并向董事会报告。加强整改督导和责任追究力度，重视问题整改，确保整改措施落实到位。