《信息科技风险管理策略(21页).doc》由会员分享,可在线阅读,更多相关《信息科技风险管理策略(21页).doc(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-信息科技风险管理策略-第 21 页附件:信息科技风险管理分类应对策略根据信息科技风险分类情况, 以二级风险为限, 制定信息科技风险分类应对策略如下:A1. 信息科技治理风险应对策略信息科技治理风险包括三个二级风险:信息科技组织风险、道德文化风险以及人员管理风险。 每个二级风险的内容和应对策略如下:风险编号风险名称 风险描述 风险应对策略1.1 信 息科 技 组织在信息科技风险管理机构及专 建立完善的信息科技治理架构。以法风险 业委员会设置、履职等方面的 定代表人为第一责任人,囊括理事不确定因素,以及在部门 /岗位会、监事会、风险管理委员会、信息设置、职责划分、垂直归口管科技风险管理委员会、信
2、息科技部、 理等方面的不确定因素所带来稽核审计部、风险管理部、人力资源 的影响。部、监察部等部门。明确各部门在信息科技风险管理工作中的职责;每个部门根据在信息科技风险管理中的职责设立相应的岗位, 合理分配相应的责、权、利,执行信息科技风险管理工作;省联社各部门应指导、监督办事处、各县级农村合作金融机构相应部门的信息科技风险管理工作。1.2 道德文化风险 在文化培育、融合、再造等过在建立道德、诚信、公正的氛围,对程中的不确定因素,以及员工员工进行相关的培训,作为员工日常在价值观认同、行为规范遵循 工作的行为准则之一;等方面的不确定因素所带来的影响。建立畅通的沟通渠道, 任何与陕西省农村合作金融机
3、构道德文化标准的偏离都得到及时和充分的反映,并被立即调查和纠正。1.3 人员管理风险 在从人员聘用到离职整个服务建立完善的人员招聘、培训、考核、期间内的不确定因素所带来的 激励、离职等制度和流程,并确保得影响。到有效执行;加强信息科技风险管理专业人员配备,提高信息科技风险管理水平;对重要岗位制定详细的工作手册并适时更新;风险编号风险名称 风险描述 风险应对策略为员工提供信息科技风险管理制度和流程的培训, 提高员工风险管理意识;对人员结构、 能力、素质等进行定期评估, 并组织专业培训, 提高人才队伍的专业技能;制定关键岗位信息科技员工流失防范措施并定期评估人员流失风险;制定关键岗位轮岗计划并执行
4、;建立信息科技工作职责不相容矩 阵,将不相容职责 /岗位分离,并定期检查。A2. 信息科技战略风险应对策略信息科技战略风险包括战略规划风险和战略执行风险。 每个二级风险的内容和应对策略如下:风险编号风险名称 风险描述 风险应对策略1.4 战略管理风险 在战略规划制定、调整、衔接按照陕西省农村合作金融机构总等过程中的不确定性因素所 体业务规划制定信息科技战略;带来的影响。在陕西省农村合作金融机构总体业务规划进行调整时,相应的,应及时调整信息科技战略,以确保和总体业务规划的一致性。A3. 信息科技运维风险应对策略信息科技运维风险包括九个二级风险: 备份管理风险、 运维环境风险、容量管理风险、问题管
5、理风险、记录管理风险、事件管理风险、发布管理风险、变更管理风险以及资产管理风险。每个二级风险的内容和应对策略如下:风险编号风险名称 风险描述 风险应对策略3.1 备份管理风 在从制定备份策略、 执 建立完善的数据中心管理制度,完善系风险编号风险名称 风险描述 风险应对策略险 行备份、备份恢复等一 统(程序和配置) 和数据等的备份策略,系列过程中的不确定 包括备份范围、备份频率、备份检查、因素所带来的影响。备份恢复性测试等内容;配置备份工作所必须的软硬件资源、人力资源以及空间资源等。 备份介质的保存环境应当符合相关标准 (如防火、防水、防磁、 防盗、温湿度等) ;备份介质的传递重要工作必须由专人
6、和专用运输工具负责;对备份的结果进行检查, 任何异常应立即查明原因并解决;定期进行备份恢复性测试, 确保备份数据的完整、准确、有效;存储敏感数据的介质,在设备维修、用途变更或销毁时, 采用消磁等完全清除数据的安全方式。1.5 运维环境风信息科技运维环境, 如 制定信息科技运维环境的维护和管理制险 相关的系统、 设施、设 度,确保信息科技运行在一个稳定的环备等在运营过程中所 境中;产生的不确定因素所带来的影响。采用人工和技术等手段对信息科技运维环境的各种设施、 设备进行预防性维护和监控, 发现的问题应立即跟进;建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。1.6 容量管理风在
7、信息系统性能、 容量 制定容量规划,以适应由于外部环境变险 规划、容量监测和处理 化产生的业务发展和交易量增长。容量等过程中的不确定因规划应涵盖生产系统、备份系统及相关素所带来的影响。 设备;制定系统性能、 容量监测和处理的方法;由系统自动检测或人工定期查看, 确保系统稳定运行。1.7 事件管理风在事件从查明、 记录到 制定事件管理流程,包括事件查明和记险 解决全过程中的不确 录、归类和初步支持、 事件调查和分析、定因素所带来的影响。 事件升级、解决事件和恢复服务、事件终止以及负责事件并跟踪、监督、控制和协调解决全过程;在事件发生后, 应按照事件管理流程立即响应以尽快解决。1.8 问题管理风在
8、问题申报、 解决、技 建立并完善有效的问题管理流程,以确险 术援助、支持服务等过 保全面地追踪、分析和解决信息系统问程中存在的不确定因题,并对问题进行记录、分类和索引;风险编号风险名称 风险描述 风险应对策略素所带来的影响。 定期对问题进行汇总分析, 以求从根源上解决问题。1.9 记录管理风对应用系统、网络设 建立完整的日志管理规定,完整采集并险 备、 防火墙、 主机、 数 保存应用系统、数据库、网络设备、防据库等所产生的日志火墙、主机等产生的交易日志和系统日的记录、监控、复核、 志等;保存等过程中存在的不确定因素所带来的影响。设置专门岗位对日志进行监控和管理,尤其是未经授权的访问、对敏感信息
9、的访问、操作等应格外关注;日志应得到妥善保存与备份。1.10 发布管理风在监督应用系统和软 制定软件版本管理规范及系统版本命名险 件等的发展、 试验、部 规范,软件版本的发布和开发过程必须署和支持过程中的不按照规定的流程执行;确定因素所带来的影响。建立各重要系统的配置基线, 纳入统一的配置管理数据库,并由专人负责;定期对配置数据库中的配置项与实际配置的一致性进行检查, 并对不一致的配置项进行确认、调整;建立发布管理流程, 确保系统或软件的发布处在一个可控的流程中;管理层应审核对系统或软件的发布;新系统或软件发布后, 应保留先前的版本和环境以备恢复。1.11 变更管理风在信息系统相关的软 制订严
10、密的变更处理流程,明确变更控险 件、硬件、和网络等变 制中各岗位的职责,并遵循流程实施控更过程中的不确定因 制和管理;素所带来的影响。所有涉及生产环境的变更, 变更前必须有回退和应急方案;制定变更管理的文档管理流程。 对变更情况进行及时登记、备案和存档,并将变更情况及时通报相关部门和相关岗位的人员。1.12 资产管理风包括信息科技资产的 对信息资产进行梳理,建立信息资产清险 运行维护风险和处置 单,明确各资产的负责人、使用人、保风险。运行维护风险是管人等相关责任人,制定各自的职责和指在资产使用、维护、 权力;管理、 租赁、 抵押、 保值等方面中的不确定因素所带来的影响。 处置风险是指在资产处将
11、信息系统及其中的信息资产进行分类管理,包括数据、软件、硬件、服务、文档、设备、人员及其他共八种类型; 置制度执行、方式选按照国家信息安全等级保护管理办 择、时机把握、 价格评法(公通字【2007】43 号)的规定 估等方面中的不确定因素所带来的影响。及信息系统安全等级保护定级指风险编号风险名称 风险描述 风险应对策略南(GB/T 22240-2008)、信息系统安全等级保护基本要求 (GB/T22239-2008)的要求,对信息系统分级并按级别进行保护;审批并记录信息科技资产运行维护和处置中的各种业务;管理层定期检查信息科技资产清单与实际情况的一致性, 并对可能发现的问题及时跟进。A4. 信息
12、安全风险应对策略信息安全风险包括八个方面: 物理和环境安全风险、 访问控制风险、应用安全风险、系统软件安全风险、网络安全风险、终端安全风险、 移动安全风险和数据安全风险。 每个二级风险的内容和应对策略如下:风险编号风险名称 风险描述 风险应对策略1.13 物理和环境安全风在物理层次上为使信息科技 合理选择数据中心的地理位置, 并险 运行环境受到保护, 不受偶然 经过管理层的批准;或恶意的原因而遭到破坏的过程中的不确定因素所带来的风险。制定信息科技设施、数据中心等信息科技环境的安全管理制度,包括设备安全管理、介质安全管理、人员出入等,并确保有效执行;根据国家的规定,重要或敏感的业务信息处理系统应
13、放在安全的地方,并设置有适当的安全区域,安全区域的出入口有安全障碍和入口控制,设备应有物理的保护以防止非法进入、危害及破坏;严格控制相关人员,包括第三方人员进入安全区域,并记录所有人员的出入信息。对敏感性技术相关工作的人员,应有严格的审查程序,包括身份验证和背景调查;采用其他人工或技术手段防止风险编号风险名称 风险描述 风险应对策略未授权的侵入。1.14 访问控制风险 因未经授权对信息科技资源建立统一的用户身份管理基础设的访问所带来的影响。 施,向应用系统提供集中的用户身份认证服务;明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。
14、制定主机系统及网络的访问控制制度,系统权限管理规定;根据“访问控制分级”、“需求导向”和“最小授权”的原则对用户的权限申请进行审批,并定期对用户,尤其是关键岗位用户、最高权限用户等的权限进行检查;每个内部员工具有范围内唯一的身份标识,用户在访问应用系统之前, 必须提交身份标识,并对其进行认证;在发生用户离职或岗位变动时及时更新其访问权限;对各类系统及网络环境设置密码安全策略,包括密码长度、复杂度、有效期、历史密码记忆次数等。1.15 应用安全风险 在应用系统的使用、 运行过程加强职责划分, 对关键或敏感岗位中的不确定因素所带来的影 进行双重控制。响。采取安全的方式处理保密信息的输入和输出,防止
15、信息泄露或被盗取、篡改。确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。1.16 系统软件安全风险 在操作系统、 数据库管理系统制定每种类型操作系统的基本安等系统软件的使用、 运行过程 全要求,确保所有系统满足基本安中的不确定因素所带来的影 全要求。响。制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。定期检查可用的安全补丁,并风险编号风险名称 风险描述 风险应对策略报告补丁管理状态。在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项。建立主机入侵检测机制,发现主机系统中的异常操作行为,以及对主机发起的
16、攻击行为,并及时报警。1.17 网络安全风险 为使网络系统的硬件、 软件及建立网络安全管理制度, 网络安全其系统中的数据受到保护, 不 系统的建设标准和相关的运营维受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统护管理规范;将网络划分为不同的逻辑安全连续可靠正常地运行, 网络服 域,根据域的性质定义生产域务不中断的过程中的不确定或测试域、内部域或外部域,因素所带来的影响。结合不同域之间的连通性和域的可信程度等,对整个网络进行物理或逻辑分区,并建立不同域的访问控制机制;在各安全域的边界,部署网络安全访问措施,包括防火墙、入侵检测、 VPN;采用人工或技术手段对网络进行实时监控,及时发现并处理非
17、法入侵、网络异常等情况;激活网络信息安全工具的功能和设置以便记录及报告信息安全政策所规定的网络安全事项,并立即解决;建立防病毒安全政策和策略、全面网络病毒查杀机制。所有连入我省农村合作金融机构内部域的电脑及其他设备,都应安装杀毒软件,并在接入之前进行病毒扫描;制定防毒库升级策略和扫描策略,定期进行病毒库更新和病毒扫描,病毒库升级记录和扫描记录应经复核。1.18 终端安全风险 为确保所有终端用户设备, 如配备切实有效的系统, 确保所有终台式个人计算机( PC)、便携端用户设备的安全, 并定期对所有式计算机、柜员终端、自动柜 设备进行安全检查。员机( ATM )、存折打印机、风险编号风险名称 风险
18、描述 风险应对策略读卡器、销售终端( POS)和个人数字助理( PDA )等的安全所进行的一系列工作过程中的不确定因素所带来的影响。1.19 移动设备安全风险 为确保各种移动存储设备、 远制定移动存储和远程办公的相关程办公等的安全所进行的一 安全机制;系列工作过程中的不确定因根据实际业务的变化、新技术 素所带来的影响。的发展,定期对安全机制进行检查与复核;严格限制移动设备在生产环境中的使用。1.20 数据安全风险 为确保数据的保密性、 完整性按照重要程度和敏感程度对数据和有效性, 所采取的一系列工 进行分级保护和管理。作过程中的不确定因素所带对所有纳入保护范围的信息明 来的影响。确信息所有者和
19、信息管理者,并制定相应的职责和权力,制定相关制度和流程,严格管理数据信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁;采用技术手段防范数据在传输、处理、存储过程中出现泄露或被篡改的风险。A5. 系统开发风险应对策略系统开发风险包括项目组合管理风险、 项目生命周期管理风险以及变更管理风险。每个二级风险的内容和应对策略如下:风险编号风险名称 风险描述 风险应对策略3.2 项目组合管理风险 在对的项目组合 (而非单个项根据信息科技战略规划、 计划以及目)进行管理时,因在项目优 可以利用的资源, 对项目进行优先先级排定, 以及相关的人、 财、 排定和进度安排;物、时间等资源安排的过程及在实际
20、业务发生变化或战略变结果的不确定因素所带来的影响。化时,及时更新和维护项目优先排定和进度安排。3.3 项目生命周期管理在从项目可行性研究到需求 制定完整的项目管理规章制度, 包风险 调研、系统设计、开发管理、 括项目审批流程、 参与部门的职责风险编号风险名称 风险描述 风险应对策略系统测试、系统实施、项目文 划分、时间进度和财务预算管理、档管理以及项目退出等的整 质量检测、风险评估等;个生命周期过程中的产生的建立项目实施前和实施后评价 不确定因素所带来的影响。机制;管理层对项目周期管理进行明确定义,应当至少包括立项、可行性分析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操
21、作和维护等方面。并采取适当的系统开发方法,控制项目的生命周期;采取适当的系统开发方法,控制项目生命周期内各阶段的质量;业务和系统需求应经业务部门和信息科技部门共同确认;将信息安全纳入系统设计过程中,包括系统和数据访问权限、数据备份和保护要求、数据安全、身份验证、容量要求、审计要求、流程控制等;将开发环境、测试环境和生产环境相互独立,并建立规范的管理制度对三个环境进行严格管理;上线实施前完成充分的功能测试和非功能测试,对测试过程进行严格审查;建立上线实施计划,以及应急回退计划,并经管理层审批;项目文档,包括各种纸版和电子版文档及源代码等,应得到妥善保管;风险管理部门和稽核部应参与大规模系统开发,
22、保证系统开发符合陕西省农村合作金融机构信息科技风险管理标准。1.21 项目变更风险 在系统建设过程中, 因各种因建立完善的项目变更管理制度, 并素导致项目变更所产生的不 以其来规范变更流程;确定因素所带来的影响。依照项目变更管理的要求对项目变更流程加以控制,在变更的发起,评审,执行,用户接风险编号风险名称 风险描述 风险应对策略受测试等阶段都应经过相应级别的审批。A6. 信息科技外包风险应对策略信息科技外包风险包括外包策略风险和外包生命周期管理风险。每个二级风险的内容和应对策略如下:风险编号风险名称 风险描述 风险管理策略1.22 外 包 策 略在确定外包策略(如核心业务和能力、 建立正式的系
23、统设计开发外包管风险 适合外包的范围和级别等的确定,以 理政策,在进行信息系统外包时,及外包服务等)的过程和结果的不确 应根据风险控制和实际需要, 合理定因素所带来的影响。确定外包的原则和范围, 认真分析和评估外包存在的潜在风险, 并制定相应的风险防范措施;不得将信息科技管理职能外包;定期根据外包策略对陕西省农村合作金融机构的所有外包项目进行逐一分析、评估。1.23 外 包 生 命包括外包商选择风险、外包合同风险客观评估外包商的资质、服务周 期 管 理 和外包成果交付与知识转移风险。能力、经验、项目管理能力、财务状况和风险评估能力;风险 外包商选择风险: 是指在选择外包商时, 所需要进行的一系
24、列工 外包合同条款应适当,符合外作,如审查、 评估外包商的资质、包业务需要,责任义务划分清专业经验、经验、能力等过程中楚,外包范围界定明确,考核的不确定因素所带来的影响。指标明确,并有必要的、灵活外包合同风险: 包括外包合同性的条款;订立与生效风险、 外包合同执外包合同应经过风险管理部门行风险及外包合同收尾风险。和法律方面专业审核;合同订立与生效风险是指在与外包商在外包合同签订过程中不确定因素所带来的影响;合同执行风险是指合同文件保管、合同履行、合同变更、履约监督、 争议处理等过程中不确定因素所带来的影响; 合同收尾风险是指文件归档、 结算复核、合同终止等过程中不确定因素所带来的影响。外包成果
25、交付与知识转移风对外包商的财务状况以及支持IT 外包业务的技术和关键人员进行有效地监督和管理;定期对外包工作进行评估,对发现的问题及时跟进解决;在与外包服务提供商的合同中均包括了知识转移的要求。根据合同条款的要求对外包商交付的技术进行核实,并对技术顺利交付获取必要的培训与支风险编号风险名称 风险描述 风险管理策略险:是指对外包工作成果的交 持服务。付过程中, 以及相关知识转移过程中的不确定因素所带来的影响。A7. 业务连续性管理风险应对策略业务连续性管理风险包括两个二级风险: 业务连续性计划制定和维护风险和业务连续性计划实施风险。 每个二级风险的内容和应对策略如下:风险编号风险名称 风险描述
26、风险应对策略1.24 业务连续性计划制 根据自身的规模和复杂程度以及由于业务连续性计划的缺失、定和维护风险 制定、 维护等过程中的不确定 业务的重要性有针对性地制定业因素所带来的影响。 务连续性计划。 内容应包括: 应急组织及相应职责; 突发事件分级及每个级别的界定范围、 响应时间及处置简要流程; 因意外事件导致业务运行中断的可能性及其影响分析;重要信息系统应急预案; 灾难恢复计划;资源需求及获取方式;运行恢复的优先顺序; 与内外部相关各方的沟通安排; 人员培训、 业务连续性计划的演练及更新;所有重要信息系统应急预案、灾难恢复计划中应包括回切、回退方案;在业务流程、信息科技技术等发生变化时,或
27、风险状况变化时,应及时评估、并更新业务连续性计划。1.25 业务连续性计划实 根据业务连续性计划的要求, 配备业务连续性计划在实施工程施风险 中的不确定因素所带来的影 足够的资源和专业人员, 并能满足风险编号风险名称 风险描述 风险应对策略响。 实现业务连续性计划的要求;建立预测性的业务影响性分析机制,评估因意外事件导致其业务运行中断的可能性及其影响;根据自身业务的特点和业务的实际运行情况,定期或不定期对业务连续性计划进行测试与演练,并根据演练或测试结果,对业务连续性计划进行完善。A8. 法律法规风险应对策略法律法规风险包括两个二级风险: 合规风险和知识产权风险。每个二级风险的内容和应对策略如
28、下:风险编号风险名称 风险描述 风险应对策略建立信息科技管理规章 /制度的制 8.1 合规风险 在信息科技内部规章制度建立、修订、执行、监督、整改 定、执行和维护流程, 已发布实施等过程中的不确定因素带来 的主要规章制度均遵循这些流程;的影响; 对已发布实施的主要制度规章以及在信息科技工作中在符 和管理办法的执行情况组织评合法律、 法规及相关监管部门 审工作,并进行监督,保留监的规定等方面的不确定因素 督管理文档。对所发现的管理所带来的影响。 制度设计或执行方面存在的问题,应分析其原因并制定相应的整改方案和补救措施;根据相关法律、法规和监管部门的规定进行自查,对发现的问题进行跟进解决;由外部第三方、独立审计师根据外部合规要求对陕西省农村合作金融机构的信息科技工作进行评估、审计,对发现的问题查找原因,并解决。1.26 知识产权风险 在知识产权获取、使用、保护 存在正式的软件政策及标准, 并传风险编号风险名称 风险描述 风险应对策略等过程中的不确定因素所带 达给所有员工;所有软件的安装和 /或使用遵循 来的影响。授权协议的规定及经过管理层的授权;采用抽查等各种手段查看各用户软件的使用情况。