根据信息科技风险分类情况,以二级风险为限,制定信息科技风险分类应对策略如下:
A1. 信息科技治理风险应对策略
信息科技治理风险包括三个二级风险:信息科技组织风险、道德文化风险以和人员管理风险。每个二级风险的内容和应对策略如下:
风险风险名称 编号 1.1 信息科技组织风险 风险描述 在信息科技风险管理机构和专• 业委员会设置、履职等方面的不确定因素,以和在部门/岗位设置、职责划分、垂直归口管理等方面的不确定因素所带来的影响。 风险应对策略 建立完善的信息科技治理架构。以法定代表人为第一责任人,囊括理事会、监事会、风险管理委员会、信息科技风险管理委员会、信息科技部、稽核审计部、风险管理部、人力资源部、监察部等部门。明确各部门在信息科技风险管理工作中的职责; • 每个部门根据在信息科技风险管理中的职责设立相应的岗位,合理分配相应的责、权、利,执行信息科技风险管理工作; • 省联社各部门应指导、监督办事处、各县级农村合作金融机构相应部门的信息科技风险管理工作。 1.2 道德文化风险 在文化培育、融合、再造等过• 程中的不确定因素,以和员工在 价值观认同、行为规范遵循等方面的不确定因素所带来• 的影响。 在建立道德、诚信、公正的氛围,对员工进行相关的培训,作为员工日常工作的行为准则之一; 建立畅通的沟通渠道,任何与陕西省农村合作金融机构道德文化标准的偏离都得到和时和充分的反映,并被立即调查和纠正。 1.3 人员管理风险 在从人员聘用到离职整个服务• 建立完善的人员招聘、培训、考核、期间内的不确定因素所带来的激励、离职等制度和流程,并确保得影响。 到有效执行; • 加强信息科技风险管理专业人员配备,提高信息科技风险管理水平; • 对重要岗位制定详细的工作手册并适时更新; 1 / 13
风险编号 风险名称 风险描述 风险应对策略 • 为员工提供信息科技风险管理制度和流程的培训,提高员工风险管理意识; • 对人员结构、能力、素质等进行定期评估,并组织专业培训,提高人才队伍的专业技能; • 制定关键岗位信息科技员工流失防范措施并定期评估人员流失风险; • 制定关键岗位轮岗计划并执行; • 建立信息科技工作职责不相容矩阵,将不相容职责/岗位分离,并定期检查。
A2. 信息科技战略风险应对策略
信息科技战略风险包括战略规划风险和战略执行风险。每个二级风险的内容和应对策略如下:
风险风险名称 编号 2.1 战略管理风险 风险描述 风险应对策略 在战略规划制定、调整、衔接• 按照陕西省农村合作金融机构总等过程中的不确定性因素所体业务规划制定信息科技战略; 带来的影响。 • 在陕西省农村合作金融机构总体业务规划进行调整时,相应的,应和时调整信息科技战略,以确保和总体业务规划的一致性。
A3. 信息科技运维风险应对策略
信息科技运维风险包括九个二级风险:备份管理风险、运维环境风险、容量管理风险、问题管理风险、记录管理风险、事件管理风险、发布管理风险、变更管理风险以和资产管理风险。每个二级风险的内容和应对策略如下:
风险风险名称 编号 3.1 备份管理风风险描述 风险应对策略 在从制定备份策略、执• 建立完善的数据中心管理制度,完善系2 / 13
风险编号 风险名称 险 风险描述 行备份、备份恢复等一系列过程中的不确定因素所带来的影响。 风险应对策略 统(程序和配置)和数据等的备份策略,包括备份范围、备份频率、备份检查、备份恢复性测试等内容; • 配置备份工作所必须的软硬件资源、人力资源以和空间资源等。备份介质的保存环境应当符合相关标准(如防火、防水、防磁、防盗、温湿度等); • 备份介质的传递重要工作必须由专人和专用运输工具负责; • 对备份的结果进行检查,任何异常应立即查明原因并解决; • 定期进行备份恢复性测试,确保备份数据的完整、准确、有效; • 存储敏感数据的介质,在设备维修、用途变更或销毁时,采用消磁等完全清除数据的安全方式。 3.2 运维环境风险 信息科技运维环境,如• 相关的系统、设施、设备等在运营过程中所产生的不确定因素所• 带来的影响。 制定信息科技运维环境的维护和管理制度,确保信息科技运行在一个稳定的环境中; 采用人工和技术等手段对信息科技运维环境的各种设施、设备进行预防性维护和监控,发现的问题应立即跟进; • 建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。 制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统和相关设备; 3.3 容量管理风险 在信息系统性能、容量• 规划、容量监测和处理等过程中的不确定因素所带来的影响。 • 制定系统性能、容量监测和处理的方法; • 由系统自动检测或人工定期查看,确保系统稳定运行。 3.4 事件管理风险 在事件从查明、记录到• 制定事件管理流程,包括事件查明和记解决全过程中的不确录、归类和初步支持、事件调查和分析、定因素所带来的影响。 事件升级、解决事件和恢复服务、事件终止以和负责事件并跟踪、监督、控制和协调解决全过程 ; • 在事件发生后,应按照事件管理流程立即响应以尽快解决。 3.5 问题管理风险 在问题申报、解决、技• 建立并完善有效的问题管理流程,以确术援助、支持服务等过保全面地追踪、分析和解决信息系统问程中存在的不确定因题,并对问题进行记录、分类和索引; 3 / 13
风险编号 风险名称 风险描述 素所带来的影响。 风险应对策略 • 定期对问题进行汇总分析,以求从根源上解决问题。 3.6 记录管理风险 对应用系统、网络设• 建立完整的日志管理规定,完整采集并备、防火墙、主机、数保存应用系统、数据库、网络设备、防据库等所产生的日志火墙、主机等产生的交易日志和系统日的记录、监控、复核、志等; 保存等过程中存在的• 设置专门岗位对日志进行监控和管不确定因素所带来的理,尤其是未经授权的访问、对敏感影响。 信息的访问、操作等应格外关注; • 日志应得到妥善保存与备份。 3.7 发布管理风险 在监督应用系统和软• 件等的发展、试验、部署和支持过程中的不确定因素所带来的影• 响。 制定软件版本管理规范和系统版本命名规范,软件版本的发布和开发过程必须按照规定的流程执行; • • • • 3.8 变更管理风险 在信息系统相关的软• 件、硬件、和网络等变更过程中的不确定因素所带来的影响。 • 建立各重要系统的配置基线,纳入统一的配置管理数据库,并由专人负责; 定期对配置数据库中的配置项与实际配置的一致性进行检查,并对不一致的配置项进行确认、调整; 建立发布管理流程,确保系统或软件的发布处在一个可控的流程中; 管理层应审核对系统或软件的发布; 新系统或软件发布后,应保留先前的版本和环境以备恢复。 制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理; 所有涉和生产环境的变更,变更前必须有回退和应急方案; • 制定变更管理的文档管理流程。对变更情况进行和时登记、备案和存档,并将变更情况和时通报相关部门和相关岗位的人员。 3.9 资产管理风险 包括信息科技资产的• 对信息资产进行梳理,建立信息资产清运行维护风险和处置单,明确各资产的负责人、使用人、保风险。运行维护风险是管人等相关责任人,制定各自的职责和指在资产使用、维护、权力; 管理、租赁、抵押、保• 将信息系统和其中的信息资产进行值等方面中的不确定分类管理,包括数据、软件、硬件、因素所带来的影响。处服务、文档、设备、人员和其他共八置风险是指在资产处种类型; 置制度执行、方式选《信息安全等级保护管理办择、时机把握、价格评• 按照国家估等方面中的不确定法》(公通字【2007】43号)的规定因素所带来的影响。 和《信息系统安全等级保护定级指4 / 13
风险编号 风险名称 风险描述 风险应对策略 南》(GB/T 22240-2008)、《信息系统安全等级保护基本要求》(GB/T 22239-2008)的要求,对信息系统分级并按级别进行保护; • 审批并记录信息科技资产运行维护和处置中的各种业务; • 管理层定期检查信息科技资产清单与实际情况的一致性,并对可能发现的问题和时跟进。
A4. 信息安全风险应对策略
信息安全风险包括八个方面:物理和环境安全风险、访问控制风险、应用安全风险、系统软件安全风险、网络安全风险、终端安全风险、移动安全风险和数据安全风险。每个二级风险的内容和应对策略如下:
风险风险名称 编号 4.1 物理和环境安全风险 风险描述 风险应对策略 在物理层次上为使信息科技• 合理选择数据中心的地理位置,并运行环境受到保护,不受偶然经过管理层的批准; 或恶意的原因而遭到破坏的• 制定信息科技设施、数据中心过程中的不确定因素所带来等信息科技环境的安全管理制的风险。 度,包括设备安全管理、介质安全管理、人员出入等,并确保有效执行; • 根据国家的规定,重要或敏感的业务信息处理系统应放在安全的地方,并设置有适当的安全区域,安全区域的出入口有安全障碍和入口控制,设备应有物理的保护以防止非法进入、危害和破坏; • 严格控制相关人员,包括第三方人员进入安全区域,并记录所有人员的出入信息。对敏感性技术相关工作的人员,应有严格的审查程序,包括身份验证和背景调查; • 采用其他人工或技术手段防止5 / 13
风险编号 4.2 风险名称 访问控制风险 风险描述 风险应对策略 未授权的侵入。 因未经授权对信息科技资源• 建立统一的用户身份管理基础设的访问所带来的影响。 施,向应用系统提供集中的用户身份认证服务; • 明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。 • 制定主机系统和网络的访问控制制度,系统权限管理规定; • 根据“访问控制分级”、“需求导向”和“最小授权”的原则对用户的权限申请进行审批,并定期对用户,尤其是关键岗位用户、最高权限用户等的权限进行检查; • 每个内部员工具有范围内唯一的身份标识,用户在访问应用系统之前,必须提交身份标识,并对其进行认证; • 在发生用户离职或岗位变动时和时更新其访问权限; • 对各类系统和网络环境设置密码安全策略,包括密码长度、复杂度、有效期、历史密码记忆次数等。 4.3 应用安全风险 在应用系统的使用、运行过程• 加强职责划分,对关键或敏感岗位中的不确定因素所带来的影进行双重控制。 响。 • 采取安全的方式处理保密信息• 的输入和输出,防止信息泄露或被盗取、篡改。 确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。 制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。 4.4 系统软件安全风险 在操作系统、数据库管理系统• 等系统软件的使用、运行过程中的不确定因素所带来的影响。 • 制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。 • 定期检查可用的安全补丁,并6 / 13
风险编号 风险名称 风险描述 风险应对策略 报告补丁管理状态。 • 在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项。 • 建立主机入侵检测机制,发现主机系统中的异常操作行为,以和对主机发起的攻击行为,并和时报警。 4.5 网络安全风险 为使网络系统的硬件、软件和• 建立网络安全管理制度,网络安全其系统中的数据受到保护,不系统的建设标准和相关的运营维受偶然的或者恶意的原因而护管理规范; 遭到破坏、更改、泄露,系统• 将网络划分为不同的逻辑安全连续可靠正常地运行,网络服域,根据域的性质定义生产域务不中断的过程中的不确定或测试域、内部域或外部域,因素所带来的影响。 • • • • • 结合不同域之间的连通性和域的可信程度等,对整个网络进行物理或逻辑分区,并建立不同域的访问控制机制; 在各安全域的边界,部署网络安全访问措施,包括防火墙、入侵检测、VPN; 采用人工或技术手段对网络进行实时监控,和时发现并处理非法入侵、网络异常等情况; 激活网络信息安全工具的功能和设置以便记录和报告信息安全政策所规定的网络安全事项,并立即解决; 建立防病毒安全政策和策略、全面网络病毒查杀机制。所有连入我省农村合作金融机构内部域的电脑和其他设备,都应安装杀毒软件,并在接入之前进行病毒扫描; 制定防毒库升级策略和扫描策略,定期进行病毒库更新和病毒扫描,病毒库升级记录和扫描记录应经复核。 4.6 终端安全风险 为确保所有终端用户设备,如• 配备切实有效的系统,确保所有终台式个人计算机(PC)、便携端用户设备的安全,并定期对所有式计算机、柜员终端、自动柜设备进行安全检查。 员机(ATM)、存折打印机、7 / 13
风险编号 风险名称 风险描述 风险应对策略 4.7 读卡器、销售终端(POS)和个人数字助理(PDA)等的安全所进行的一系列工作过程中的不确定因素所带来的影响。 移动设备安全风险 为确保各种移动存储设备、远• 制定移动存储和远程办公的相关程办公等的安全所进行的一安全机制; 系列工作过程中的不确定因• 根据实际业务的变化、新技术素所带来的影响。 的发展,定期对安全机制进行检查与复核; • 严格限制移动设备在生产环境中的使用。 4.8 数据安全风险 为确保数据的保密性、完整性• 按照重要程度和敏感程度对数据和有效性,所采取的一系列工进行分级保护和管理。 作过程中的不确定因素所带• 对所有纳入保护范围的信息明来的影响。 确信息所有者和信息管理者,并制定相应的职责和权力, • 制定相关制度和流程,严格管理数据信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁; • 采用技术手段防范数据在传输、处理、存储过程中出现泄露或被篡改的风险。
A5. 系统开发风险应对策略
系统开发风险包括项目组合管理风险、项目生命周期管理风险以和变更管理风险。每个二级风险的内容和应对策略如下:
风险风险名称 风险描述 风险应对策略 编号 5.1 项目组合管理风险 在对的项目组合(而非单个项• 根据信息科技战略规划、计划以和目)进行管理时,因在项目优可以利用的资源,对项目进行优先先级排定,以和相关的人、财、排定和进度安排; 物、时间等资源安排的过程和• 在实际业务发生变化或战略变结果的不确定因素所带来的化时,和时更新和维护项目优影响。 先排定和进度安排。 5.2 项目生命周期管理风险 在从项目可行性研究到需求• 制定完整的项目管理规章制度,包调研、系统设计、开发管理、括项目审批流程、参与部门的职责8 / 13
风险编号 风险名称 风险描述 系统测试、系统实施、项目文档管理以和项目退出等的整个生命周期过程中的产生的• 不确定因素所带来的影响。 风险应对策略 划分、时间进度和财务预算管理、质量检测、风险评估等; • • • • • • • • • 建立项目实施前和实施后评价机制; 管理层对项目周期管理进行明确定义,应当至少包括立项、可行性分析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操作和维护等方面。并采取适当的系统开发方法,控制项目的生命周期; 采取适当的系统开发方法,控制项目生命周期内各阶段的质量; 业务和系统需求应经业务部门和信息科技部门共同确认; 将信息安全纳入系统设计过程中,包括系统和数据访问权限、数据备份和保护要求、数据安全、身份验证、容量要求、审计要求、流程控制等; 将开发环境、测试环境和生产环境相互独立,并建立规范的管理制度对三个环境进行严格管理; 上线实施前完成充分的功能测试和非功能测试,对测试过程进行严格审查; 建立上线实施计划,以和应急回退计划,并经管理层审批; 项目文档,包括各种纸版和电子版文档和源代码等,应得到妥善保管; 风险管理部门和稽核部应参与大规模系统开发,保证系统开发符合陕西省农村合作金融机构信息科技风险管理标准。 5.3 项目变更风险 在系统建设过程中,因各种因• 建立完善的项目变更管理制度,并素导致项目变更所产生的不以其来规范变更流程; 确定因素所带来的影响。 • 依照项目变更管理的要求对项目变更流程加以控制,在变更的发起,评审,执行,用户接9 / 13
风险编号 风险名称 风险描述 风险应对策略 受测试等阶段都应经过相应级别的审批。
A6. 信息科技外包风险应对策略
信息科技外包风险包括外包策略风险和外包生命周期管理风险。每个二级风险的内容和应对策略如下:
风险风险名称 编号 6.1 外包策略风险 风险描述 在确定外包策略(如核心业务和能力、• 适合外包的范围和级别等的确定,以和外包服务等)的过程和结果的不确定因素所带来的影响。 风险管理策略 建立正式的系统设计开发外包管理政策,在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,并制定相应的风险防范措施; 6.2 外包生命周期管理风险 包括外包商选择风险、外包合同风险和外包成果交付与知识转移风险。 • 外包商选择风险:是指在选择外包商时,所需要进行的一系列工作,如审查、评估外包商的资质、专业经验、经验、能力等过程中的不确定因素所带来的影响。 • 外包合同风险:包括外包合同订立与生效风险、外包合同执行风险和外包合同收尾风险。合同订立与生效风险是指在与外包商在外包合同签订过程中不确定因素所带来的影响;合同执行风险是指合同文件保管、合同履行、合同变更、履约监督、争议处理等过程中不确定因素所带来的影响;合同收尾风险是指文件归档、结算复核、合同终止等过程中不确定因素所带来的影响。 • 外包成果交付与知识转移风10 / 13
• 不得将信息科技管理职能外包; • 定期根据外包策略对陕西省农村合作金融机构的所有外包项目进行逐一分析、评估。 • 客观评估外包商的资质、服务能力、经验、项目管理能力、财务状况和风险评估能力; • 外包合同条款应适当,符合外包业务需要,责任义务划分清楚,外包范围界定明确,考核指标明确,并有必要的、灵活性的条款; • 外包合同应经过风险管理部门和法律方面专业审核; • 对外包商的财务状况以和支持IT 外包业务的技术和关键人员进行有效地监督和管理; • 定期对外包工作进行评估,对发现的问题和时跟进解决; • 在与外包服务提供商的合同中均包括了知识转移的要求。根据合同条款的要求对外包商交付的技术进行核实,并对技术顺利交付获取必要的培训与支风险编号 风险名称 风险描述 风险管理策略 险:是指对外包工作成果的交付过程中,以和相关知识转移过程中的不确定因素所带来的影响。
持服务。 A7. 业务连续性管理风险应对策略
业务连续性管理风险包括两个二级风险:业务连续性计划制定和维护风险和业务连续性计划实施风险。每个二级风险的内容和应对策略如下:
风险编号 7.1 风险名称 业务连续性计划制定和维护风险 风险描述 风险应对策略 由于业务连续性计划的缺失、• 根据自身的规模和复杂程度以和制定、维护等过程中的不确定因素所带来的影响。 业务的重要性有针对性地制定业务连续性计划。内容应包括:应急组织和相应职责;突发事件分级和每个级别的界定范围、响应时间和处置简要流程;因意外事件导致业务运行中断的可能性和其影响分析;重要信息系统应急预案;灾难恢复计划;资源需求和获取方式;运行恢复的优先顺序;与内外部相关各方的沟通安排;人员培训、业务连续性计划的演练和更新; • 所有重要信息系统应急预案、灾难恢复计划中应包括回切、回退方案; • 在业务流程、信息科技技术等发生变化时,或风险状况变化时,应和时评估、并更新业务连续性计划。 7.2 业务连续性计划实施风险 业务连续性计划在实施工程• 根据业务连续性计划的要求,配备中的不确定因素所带来的影11 / 13
足够的资源和专业人员,并能满足风险编号 风险名称 响。 风险描述 风险应对策略 实现业务连续性计划的要求; • 建立预测性的业务影响性分析机制,评估因意外事件导致其业务运行中断的可能性和其影响; • 根据自身业务的特点和业务的实际运行情况,定期或不定期对业务连续性计划进行测试与演练,并根据演练或测试结果,对业务连续性计划进行完善。 A8. 法律法规风险应对策略
法律法规风险包括两个二级风险:合规风险和知识产权风险。每个二级风险的内容和应对策略如下:
风险编号 8.1 风险名称 合规风险 风险描述 风险应对策略 在信息科技内部规章制度建• 建立信息科技管理规章/制度的制立、修订、执行、监督、整改等过程中的不确定因素带来的影响; 定、执行和维护流程,已发布实施的主要规章制度均遵循这些流程; • 对已发布实施的主要制度规章以和在信息科技工作中在符和管理办法的执行情况组织评合法律、法规和相关监管部门审工作,并进行监督,保留监的规定等方面的不确定因素督管理文档。对所发现的管理所带来的影响。 制度设计或执行方面存在的问题,应分析其原因并制定相应的整改方案和补救措施; • 根据相关法律、法规和监管部门的规定进行自查,对发现的问题进行跟进解决; • 由外部第三方、独立审计师根据外部合规要求对陕西省农村合作金融机构的信息科技工作进行评估、审计,对发现的问题查找原因,并解决。 8.2 知识产权风险 在知识产权获取、使用、保护• 存在正式的软件政策和标准,并传12 / 13
风险编号 风险名称 风险描述 等过程中的不确定因素所带来的影响。 风险应对策略 达给所有员工; • 所有软件的安装和/或使用遵循授权协议的规定和经过管理层的授权; • 采用抽查等各种手段查看各用户软件的使用情况。
13 / 13
因篇幅问题不能全部显示,请点此查看更多更全内容