信息科技风险管理策略

《信息科技风险管理策略》由会员分享，可在线阅读，更多相关《信息科技风险管理策略（68页珍藏版）》请在装配图网上搜索。

1、信息科技风险管理分类应对策略附件:根据信息科技风险分类情况，以二级风险为限，制定信息 科技风险分类应对策略如下：信息科技治理风险应对策略A1.信息科技治理风险包括三个二级风险：信息科技组织风险、道德文化风险以及人员管理风险。每个二级风险的内容和应对策略如下：风险编号风险名称风险描述风险应对策略1.1信息科技组织 风险在信息科技风险管理机构及专 业委员会设置、履职等方面的 岗不确定因素，以及在部门/位 设置、职责划分、垂直归口管 理等方面的不确定因素所带来 的影响。?建立完善的信息科技治理架构。以法定代表人为第一责任人，囊括理事会、监事 会、风险管理委员会、信息科技风险管理委 员会、信息科技部、

2、稽核审计部、风险管理 部、人力资源部、监察部等部门。明确 各部门在信息科技风险管理工作中 的职责；?每个部门根据在信息科技风险管理中的职责设立相应的岗位，合 理分配相应的责、权、利，执行 信息科技风险管理工作；?省联社各部门应指导、监督办事处、各县级农村合作金融机构相 应部门的信息科技风险管理工作。1.2道德文化风险在文化培育、融合、再造等过程 中的不确定因素，以及员工在 价值观认同、行为规范 遵循等 方面的不确定因素所带来的影 响。? 在建立道德、诚信、公正的氛围，对 员工进行相关的培训，作为员工日常工作的 行为准则之一；？ 建立畅通的沟通渠 道，任何与陕西省农村合作金融机构 道德文化标准的

3、偏离都得到及时和充分的 反映，并被立即调查和纠正。1.3人员管理风险在从人员聘用到离职整个服务 期间内的不确定因素所带来的 影响。建立完善的人员招聘、培训、考核、？激励、离职等制度和流程，并确保得到有效执 行；?加强信息科技风险管理专业人员配备，提高信息科技风险管理水平；风 险 编号风险名称风险描述风险应对策略对重要岗位制定详细的工作手册？并适时更新；为员工提供信息科技风险管理制？度和流程的培训，提高员工风险管理意识；对人员结构、能力、素质等进行？定期评估，并组织专业培训，提高人才队伍的专业技能；制定关键岗位信息科技员工流失 ？防范措施并定期评估人员流失风险；制定关键岗位轮岗计划并执行；？建立

4、信息科技工作职责不相容矩 ？岗位分离，并/阵，将不相容职责 定期检查。信息科技战略风险应对策略A2.信息科技战略风险包括战略规划风险和战略执行风险。每个二级风险的内容和应对策略如下:风险编号风险名称风险描述2.1战略管理风险在战略规划制定、调整、衔接 等过程中的不确定性因素 所带 来的影响。按照 陕西 省农 村合 作金 融机 构总 体业 务规 划制 定信 息科 技战略；？信息科技运维风险应对策略A3.信息科技运维风险包括九个二级风险：备份管理风险、运维环境风险、容量管理风险、问题管理风险、记录管理风险、 事件管理风险、发布管理风险、变更管理风险以及资产管理风 险。每个二级风险的内容和应对策略如

5、下：风险编号风险名称风险描述风险应对策略3.1备份管理风 险在从制定备份策略、 执行备份、备份恢复等 一系列过程中的不确 定因素所带来的影响。?建立完善的数据中心管理制度，完善系统（程序和配置）和数据等的备份策略，包括备 份范围、备份频率、备份检查、备份恢复性测 试等内容；？配置备份工作所必须的软硬件资源、人力资源以及空间资源等。备份介质的保存环境应当符合相关标准（如防火、防水、防磁、防盗、温 湿度等）；?备份介质的传递重要工作必须由专人和专用运输工具负责；?对备份的结果进行检查，任何异常应立即查明原因并解决；?定期进行备份恢复性测试，确保备份数据的完整、准确、有效；?存储敏感数据的介质，在设

6、备维修、用途变更或销毁时，采用消磁等完 全清除数据的安全方式。3.2运维环境风 险信息科技运维环境，如 相关的系统、设施、设 备等在运营过程中所 产生的不确定因素所 带来的影响。?制定信息科技运维环境的维护和管理制度，确保信息科技运行在一个稳定的环 境中；？采用人工和技术等手段对信息科技运 维环境的各种设施、设备进行预 防性维护和监控，发现的问题应立 即跟进；?建立服务水平管理相关的制度和流程，对信息科技运行服务水平进行 考核。3.3容量管理风 险在信息系统性能、容量 规划、容量监测和处理 等过程中的不确定因 素所带来的影响。?制定容量规划，以适应由于外部环境变化产生的业务发展和交易量增长。容

7、量规划应 涵盖生产系统、备份系统及相关设备；?制定系统性能、容量监测和处理的方法；?由系统自动检测或人工定期查看，确保系统稳定运行。3.4事件管理风 险在事件从查明、记录 到 解决全过程中的不确 定因素所带来的影响。?制定事件管理流程，包括事件查明和记录、归类和初步支持、事件调查和分析、事件升 级、解决事件和恢复服务、事件终止以及负责 事件并跟踪、监督、控制和协调解决全过程；?在事件发生后，应按照事件管理流程立即响应以尽快解决。3.5问题管理风在问题申报、解决、?建立并完善有效的问题管理流程，以确风险编号风险名称风险描述风险应对策略险技术援助、支持服务等 过程中存在的不确定 因素所带来的影响。

8、保全面地追踪、分析和解决信息系统问 题，并对问题进行记录、分类和索引；？定期对问题进行汇总分析，以求从根源上解决问题。3.6记录管理风 险对应用系统、网络设 备、防火墙、主机、数 据库等所产生的日志 的记录、监控、复核、 保存等过程中存在的 不确定因素所带来的 影响。?建立完整的日志管理规定，完整采集并保存应用系统、数据库、网络设备、防 火墙、主机等产生的交易日志和系统日志等；？设置专门岗位对日志进行监控和管理， 尤其是未经授权的访问、对敏感信息的 访问、操作等应格外关注；?日志应得到妥善保存与备份。3.7发布管理风 险在监督应用系统和软 件等的发展、试验、部 署和支持过程中的不 确定因素所带

9、来的影 响。?制定软件版本管理规范及系统版本命名规范，软件版本的发布和开发过程必须按照规 定的流程执行；？建立各重要系统的配置基线，纳入统 的配置管理数据库， 并由专人 负责；?定期对配置数据库中的配置项与实际配置的一致性进行检查，并对不 一致的配置项进行确认、调整；?建立发布管理流程，确保系统或软件的发布处在一个可控的流程中；?管理层应审核对系统或软件的发布；?新系统或软件发布后，应保留先前的版本和环境以备恢复。3.8变更管理风 险在信息系统相关的软 件、硬件、和网络等变 更过程中的不确定因 素所带来的影响。?制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控 制和管 理；

10、？所有涉及生产环境的变更，变更前必须有回退和应急方案；?制定变更管理的文档管理流程。对变更情况进行及时登记、备案和存 档，并将变更情况及时通报相关部 门和相关岗位的人员。3.9资产管理风 险包括信息科技资产的 运行维护风险和处置 风险。运行维护风险是 指在资产使用、维护、 管理、租赁、抵押、保 值等方面中的不确定 因素所带来的影响。处 置风险是指.?对信息资产进行梳理，建立信息资产清单，明确各资产的负责人、使用人、保管人等相关责任人，制定各自的职责和 权力；？将信息系统及其中的信息资产进行分 类管理，包括数据、软件、硬件、服务、 文档、设备、人员及其他共风 险 编号风险名称风险描述风险应对策略

11、在资产处置制度执行、 方式选择、时机把握、 价格评估等方面中的 不确定因素所带来的 影响。八种类型；按照国家信息安全等级保护管理？号）的】43办法（公通字【2007规定及信息系统安全等级保护定、级指南（GB/T 22240-2008）信息系统安全等级保护基本要求） 的要求，对信-2008GB/T 22239 （息系统 分级并按级别进行保护；审批并记录信息科技资产运行维护？和处置中的各种业务；管理层定期检查信息科技资产清单 ？与实际情况的一致性，并对可能发现的 问题及时跟进。信A4.信息安全风险包括八个方面：物理和环境安全风险、访问控制风险、应用安全风险、系统软件安全风险、网络安全风险、终端安全

12、风险、移动安全风险和数据安全风险。每个二级风险的内容和应对策略如下：风 险 编号风险名称风险描述4.1物理和环境安全风 险在物理层次上为使信息科技 运行环境受到保护，不受偶然 或恶意的原因而遭到破坏的过 程中的不确定因素所带来的风 险。合理 选择 数据 中心 的地 理位置，?并 经过 管理 层的方，人员的出入信加对敏感风险应对策风险编号风险名称风险描述员，码记忆次数皋4.3应用安全风险在应用系统的使用、运行过程 中的不确定因素所带来的影 响。?加强 职责 划 分， 对关 键或 敏感冈位 进行 双重 控制。?采 取 安 全4.4系统软件安全风险在操作系统、数据库管理系统 等系统软件的使用、运行过

13、程 中的不确定因素所带来的影 响。制定 每种 类型 操作 系统 的基 本安 全要求，确保 所有 系统 满足 基本 安全 要求。？风险编号风险名称风险描述程，并确保最高权限用户的操作志被记录和监察。？警4.5网络安全风险为使网络系统的硬件、软件及 其系统中的数据受到保护，不 受偶然的或者恶意的原因而遭 到破坏、更改、泄露，系统连 续可靠正常地运行，网络服务 不中断的过程中的不确定因素 所带来的影响。建立 网络 安全 管理 制 度， 网络 安全系 统的 建设 标准 和相 关的 运营 维护 管理风险应对策VP风 险 编号风险名称风险描述4.6终端安全风险为确保所有终端用户设备，）、 便如台式个人计算

14、机（PC携式 计算机、柜员终端、自印折 TM）、存打动柜员机（A机、 读卡器、销售终端）和个人数 字助理（POS）等的安全所进 行的（PDA 一系列工作过程中 的不确定因素所带来的影响。配备 切实 有效 的系统，确保 所 有？ 终端用户 设备 的安 全， 并定 期对 所有 设备 进行 安全 检 查。4.7移动设备安全风险为确保各种移动存储设备、远 程办公等的安全所进行的一系 列工作过程中的不确定因素所 带来的影响。制定 移动 存储 和远 程办 公的 相安全 机制； 根 据 实 际 业 务 的 变 化、 新 技 术的 发 展， 定 期 对的 使 用。4.8数据安全风险为确保数据的保密性、完整性

15、和有效性，所采取的一系列工 作过程中的不确定因素所带来 的影响。按照 重要 程度 和敏 感程 度对 数 据进行 分级 保护 和管 理。明,系统开发风险应对策略A5.系统开发风险包括项目组合管理风险、项目生命周期管理风险以及变更管理风险。每个二级风险的内容和应对策略如下:风险编号风险名称风险描述5.1项目组合管理风险在对的项目组合（而非单个 项 目）进行管理时，因在项目优 先级排定，以及相关的?根据信息 科技 战略 规划、计划风险编号风险名称风险描述人、财、物、时间等资源安排 的过程及结果的不确定因素所 带来的影响。排 定 和 进 度 安 排。5.2项目生命周期管理 风险在从项目可行性研究到需求

16、 调 研、系统设计、开发管理、系 统测试、系统实施、项目文档 管理以及项目退出等的 整个生 命周期过程中的产生的不确定 因素所带来的影响。制定 完整 的项 目管 理规 章制 度， 包括 项目 审批 流 程、 参与 部门 的职 责划 分、 时间 进度 和财 务预 算管 理、 质量 检 测、 风险 评估等；？农村合作金融机构信息科技风险管理标版风险应对策风 险风险名称风险描述编号5.3项目变更风险在系统建设过程中，因各种因 素导致项目变更所产生的不确 定因素所带来的影响。建立口 的项 目变 更管 理制 度，?并 以其 来规 范变 更流 程； 依 照 项 变 更 管 理 的 要 求 对 项信息科技外

17、包风险应对策略A6.信息科技外包风险包括外包策略风险和外包生命周期管理风险。每个二级风险的内容和应对策略如下：风 险 编号风险名称风险描述6.1外包策略 风险在确定外包策略（如核心业务和能力、 适合外包的范围和级别等的确定，以及 外包服务等）的过程和结果的不确定因 素所带来的影响。建 立正 式的 系统 设计 开发 外包 管？ 理政 策， 在进 行信 息系 统外 包 时， 应根 据风 险控 制和 实际 需 要， 合理 确定 外包 的原 则和 范 围， 认真 分析 和评 估外 包存 在的 潜在 风 险， 并制 定相 应的 风险 防范能外包;？目进 行 逐一分析、评估。6.2外包生命周期管理 风险包

18、括外包商选择风险、外包合同风险和 外包成果交付与知识转移风险。？ 外包商选择风险：是指在选择外包商 时，所需要进行的一系列工作，如审查、 评估外包商的资质、专业经验、经验、 能力等过程中的不确定因素所带 来的 影响。？外包合同风险：包括外包合同订立与生效风险、外包 合同执行风险及外包合同收尾 风险。合同订立与生效风险是指 在与外包商在外包合同签订过程 中不确定因素所带来的影响；合 同执行风险是指合同文件保管、 合同履行、?客 观 评 估 外 包 商 的 资 质、 服 务 能 力、 经 验、 项 目 管 理 能 力、 财 务 状 况 和 风 险 评 估 能风险管理策外包业务的技术和关键风险编号风

19、险名称风险描述风险管理策略合同变更、履约监督、争议 处理 等过程中不确定因素所带来的影 响；合同收尾风险是指文件归档、 结算复核、合同终止等过程中不 确定因素所带来的影响。外包成果交付与知识转移风 ？险：是指对外包工作成果的 交付过程中，以及相关知识 转移过程中的不确定因素所 带来的影响。? 在与外包服务提供商的合同中均包括了知识转移的要求。根 据合同条款的要求对外包商交付 的技术进行核实，并对技术顺利 交付获取必要的培训与支持服 务。业务连续性管理风险应对策略A7.业务连续性管理风险包括两个二级风险：业务连续性计划制定和维护风险和业务连续性计划实施风险。每个二级风险的内容和应对策略如下：风

20、险 编号风险名称风险描述风险应对策略7.1业务连续性计划制 定和维护风险由于业务连续性计划的缺失、 制定、维护等过程中的不确定 因素所带来的影响。?根据自身的规模和复杂程度以及业务的重要性有针对性地制定业 务连续性计划。内容应包括：应 急组织及相应职责；突发事件分 级及每个级别的界定范围、响应 时间及处置简要流程；因意外事 件导致业务运行中断的可能性及 其影响分析；重要信息系统应急 预案；灾难恢复计划；资源需求 及获取方式；运行恢复的优先顺 序；与内外部相关各方的沟通安 排；人员培训、业务连续性计划 的演练及更新；?所有重要信息系统应急预案、灾难恢复计划中应包括回切、风 险 编号风险名称风险描

21、述程、等？7.2业务连续性计划实业务连续性计划在实施工程根据施风险中的不确定因素所带来的影 响。业务 连续 性计 划的 要 求， 配？ 备足 够的 资源 和专 业人 员， 并能 满足 实现 业务 连续 性计 划的实?1风险应对策法律法规风险应对策略A8.法律法规风险包括两个二级风险：合规风险和知识产权风险。每个二级风险的内容和应对策略如下:风 险 编号风险名称风险描述8.1合规风险在信息科技内部规章制度建 立、修订、执行、监督、整改 等过程中的不确定因素带来的 影响；以及在信息科技工作中 在符合法律、法规及相关监管 部门的规定等方面的不确定因 素所带来的影响。?建立 信息 科技 管理 规章定、

22、执行 和维 护流 程，已发 布实 施的主要 规章 制度 均遵 循这些流程；？对发 布实 施的要制 度规* 早和管 理办 法的执行 情况组织 评审 作， 并 进 行监 督， 保 留风 险 编号风险名称风险描述风险应对策略根据相关法律、法规和监管部？门的规定进行自查，对发现的 问题进行跟进解决；由外部第三方、独立审计师根？据外部合规要求对陕西省农村合作金融机构的信息科技工作 进行评估、审计，对发现的问 题查找原因，并解决。8.2知识产权风险在知识产权获取、使用、保护 等过程中的不确定因素所 带来 的影响。存在正式的软件政策及标准，并？传达给所有员工；或使用遵循所有软件的安装和/?授权协议的规定及经过管理层的授权；采用抽查等各种手段查看各用？户软件的使用情况。