《信息科技风险管理策略》由会员分享,可在线阅读,更多相关《信息科技风险管理策略(13页珍藏版)》请在金锄头文库上搜索。
1、附件:信息科技风险管理分类应对策略根据信息科技风险分类情况,以二级风险为限,制定信息科 技风险分类应对策略如下:A1. 信息科技治理风险应对策略信息科技治理风险包括三个二级风险:信息科技组织风险、 道德文化风险以及人员管理风险。每个二级风险的内容和应对策 略如下:风险 编号风险名称风险描述风险应对策略信息科技组织 风险在信息科技风险管理机构及专 业委员会设置、履职等方面的 不确定因素,以及在部门/岗位 设置、职责划分、垂直归口管 理等方面的不确定因素所带来 的影响。建立兀善的信息科技治理架构。以法 定代表人为第责任人,囊括理事 会、监事会、风险管理委员会、信息 科技风险管理委员会、信息科技部、
2、 稽核审计部、风险管理部、人力资源 部、监察部等部门。明确各部门在信 息科技风险管理工作中的职责;每个部门根据在信息科技风险管 理中的职责设立相应的岗位,合理 分配相应的责、权、利,执行信息 科技风险管理工作;省联社各部门应指导、监督办事 处、各县级农村合作金融机构相应 部门的信息科技风险管理工作。道德文化风险在文化培育、融合、再造等过 程中的不确定因素,以及职工 在 价值观认同、行为标准遵 循等方面的不确定因素所带来 的影响。在建立道德、诚信、公正的氛围,对 职工进行相关的培训,作为职工日常 工作的行为准则之一;建立畅通的沟通渠道,任何与陕西 省农村合作金融机构道德文化标 准的偏离都得到及时
3、和充分的反 映,并被立即调查和纠正。人员管理风险在从人员聘用到离职整个服务 期间内的不确定因素所带来的 影响。建立完善的人员招聘、培训、考核、 激励、离职等制度和流程,并确保得 到有效执行;加强信息科技风险管理专业人员 配备,提高信息科技风险管理水 平;对重要岗位制定详细的工作手册 并适时更新;风险 编号风险名称风险描述风险应对策略为职工提供信息科技风险管理制 度和流程的培训,提高职工风险管 理意识;对人员结构、能力、素质等进行定 期评估,并组织专业培训,提高人 才队伍的专业技能;制定关键岗位信息科技职工流失 防范措施并定期评估人员流失风 险;制定关键岗位轮岗计划并执行;建立信息科技工作职责不
4、相容矩 阵,将不相容职责/岗位别离,并 定期检查。A2. 信息科技战略风险应对策略 信息科技战略风险包括战略规划风险和战略执行风险。每个 二级风险的内容和应对策略如下:风险 编号风险名称风险描述风险应对策略战略管理风险在战略规划制定、调整、衔接 等过程中的不确定性因素所 带来的影响。按照陕西省农村合作金融机构总 体业务规划制定信息科技战略;在陕西省农村合作金融机构总 体业务规划进行调整时,相应 的,应及时调整信息科技战略, 以确保和总体业务规划的一致 性。A3. 信息科技运维风险应对策略信息科技运维风险包括九个二级风险:备份管理风险、运维 环境风险、容量管理风险、问题管理风险、记录管理风险、事
5、件 管理风险、发布管理风险、变更管理风险以及资产管理风险。每 个二级风险的内容和应对策略如下:风险 编号风险名称风险描述风险应对策略备份管理风在从制定备份策略、执建立完善的数据中心管理制度,完善系风险 编号风险名称风险描述风险应对策略险行备份、备份恢复等一 系列过程中的不确定 因素所带来的影响。统程序和配置和数据等的备份策略, 包括备份范围、备份频率、备份检查、 备份恢复性测试等内容;配置备份工作所必须的软硬件资源、 人力资源以及空间资源等。备份介质 的保存环境应当符合相关标准如防 火、防水、防磁、防盗、温湿度等;备份介质的传递重要工作必须由专 人和专用运输工具负责;对备份的结果进行检查,任何
6、异常应 立即查明原因并解决;定期进行备份恢复性测试,确保备份 数据的元整、准确、有效;存储敏感数据的介质,在设备维修、 用途变更或销毁时,采用消磁等完全 清除数据的安全方式。运维环境风 险信息科技运维环境,如 相关的系统、设施、设 备等在运营过程中所 产生的不确定因素所 带来的影响。制定信息科技运维环境的维护和管理制 度,确保信息科技运行在一个稳定的环 境中;采用人工和技术等手段对信息科技 运维环境的各种设施、设备进行预防 性维护和监控,发现的问题应立即跟 进;建立服务水平管理相关的制度和流 程,对信息科技运行服务水平进行考 核。容量管理风 险在信息系统性能、容量 规划、容量监测和处理 等过程
7、中的不确定因 素所带来的影响。制定容量规划,以适应由于外部环境变 化产生的业务发展和交易量增长。容量 规划应涵盖生产系统、备份系统及相关 设备;制定系统性能、容量监测和处理的方 法;由系统自动检测或人工定期查看,确 保系统稳定运行。事件管理风 险在事件从查明、记录到 解决全过程中的不确 定因素所带来的影响。制定事件管理流程,包括事件查明和记 录、归类和初步支持、事件调查和分析、 事件升级、解决事件和恢复服务、事件 终止以及负责事件并跟踪、监督、控制 和协调解决全过程;在事件发生后,应按照事件管理流程 立即响应以尽快解决。问题管理风 险在问题申报、解决、技 术援助、支持服务等过 程中存在的不确定
8、因建立并完善有效的问题管理流程,以确 保全面地追踪、分析和解决信息系统问 题,并对问题进行记录、分类和索引;风险 编号风险名称风险描述风险应对策略素所带来的影响。定期对问题进行汇总分析,以求从根 源上解决问题。记录管理风 险对应用系统、网络设 备、防火墙、主机、数 据库等所产生的日志 的记录、监控、复核、 保存等过程中存在的 不确定因素所带来的 影响。建立完整的日志管理规定,完整米集并 保存应用系统、数据库、网络设备、防 火墙、主机等产生的交易日志和系统日 志等;设置专门岗位对日志进行监控和管 理,尤其是未经授权的访问、对敏感 信息的访问、操作等应格外关注;日志应得到妥善保存与备份。发布管理风
9、 险在监督应用系统和软 件等的发展、试验、部 署和支持过程中的不 确定因素所带来的影 响。制定软件版本管理标准及系统版本命名 标准,软件版本的发布和开发过程必须 按照规定的流程执行;建立各重要系统的配置基线,纳入统 一的配置管理数据库,并由专人负 责;定期对配置数据库中的配置项与实 际配置的一致性进行检查,并对不一 致的配置项进行确认、调整;建立发布管理流程,确保系统或软件 的发布处在一个可控的流程中;管理层应审核对系统或软件的发布;新系统或软件发布后,应保留先前的 版本和环境以备恢复。变更管理风 险在信息系统相关的软 件、硬件、和网络等变 更过程中的不确定因 素所带来的影响。制订严密的变更处
10、理流程,明确变更控 制中各岗位的职责,并遵循流程实施控 制和管理;所有涉及生产环境的变更,变更前必 须有回退和应急方案;制定变更管理的文档管理流程。对变 更情况进行及时登记、备案和存档, 并将变更情况及时通报相关部门和 相关岗位的人员。资产管理风 险包括信息科技资产的 运行维护风险和处置 风险。运行维护风险是 指在资产使用、维护、 管理、租赁、抵押、保 值等方面中的不确定 因素所带来的影响。处 置风险是指在资产处 置制度执行、方式选 择、时机把握、价格评 估等方面中的不确定 因素所带来的影响。对信息资产进行梳理,建立信息资产清 单,明确各资产的负责人、使用人、保 管人等相关责任人,制定各自的职
11、责和 权力;将信息系统及其中的信息资产进行 分类管理,包括数据、软件、硬件、 服务、文档、设备、人员及其他共八 种类型;按照国家信息安全等级保护管理方 法公通字【2007】43号的规定 及信息系统安全等级保护定级指风险 编号风险名称风险描述风险应对策略南GB/T 22240-2008、信息 系统安全等级保护基本要求GB/T 22239-2008的要求,对信息系统分 级并按级别进行保护;审批并记录信息科技资产运行维护 和处置中的各种业务;管理层定期检查信息科技资产清单 与实际情况的一致性,并对可能发现 的问题及时跟进。A4. 信息安全风险应对策略信息安全风险包括八个方面:物理和环境安全风险、访问
12、控 制风险、应用安全风险、系统软件安全风险、网络安全风险、终 端安全风险、移动安全风险和数据安全风险。每个二级风险的内 容和应对策略如下:风险 编号风险名称风险描述风险应对策略物理和环境安全风 险在物理层次上为使信息科技 运行环境受到保护,不受偶然 或恶意的原因而遭到破坏的 过程中的不确定因素所带来 的风险。 合理选择数据中心的地理位置,并 经过管理层的批准;制定信息科技设施、数据中心 等信息科技环境的安全管理制 度,包括设备安全官理、介质 安全管理、人员出入等,并确 保有效执行;根据国家的规定,重要或敏感 的业务信息处理系统应放在安 全的地方,并设置有适当的安 全区域,安全区域的出入口有 安
13、全障碍和入口控制,设备应 有物理的保护以防止非法进 入、危害及破坏;严格控制相关人员,包括第三 方人员进入安全区域,并记录 所有人员的出入信息。对敏感 性技术相关工作的人员,应有 严格的审查程序,包括身份验 证和背景调查;采用其他人工或技术手段防止风险 编号风险名称风险描述风险应对策略未授权的侵入。访问控制风险因未经授权对信息科技资源 的访问所带来的影响。建立统的用户身份管理基础设 施,向应用系统提供集中的用户身 份认证服务;明确定义包括终端用户、系统 开发人员、系统测试人员、电 脑操作人员、系统管理员和用 户管理员等不同用户组的访问 权限。制定主机系统及网络的访问控 制制度,系统权限管理规定
14、;根据“访问控制分级”、“需 求导向”和“最小授权”的原 则对用户的权限申请进行审 批,并定期对用户,尤其是关 键岗位用户、最高权限用户等 的权限进行检查;每个内部职工具有氾围内唯 的身份标识,用户在访问应用 系统之前,必须提交身份标识, 并对其进行认证;在发生用户离职或岗位变动时 及时更新其访问权限;对各类系统及网络环境设置密 码安全策略,包括密码长度、 复杂度、有效期、历史密码记 忆次数等。应用安全风险在应用系统的使用、运行过程 中的不确定因素所带来的影 响。加强职责划分,对关键或敏感冈位 进行双重控制。米取安全的方式处理保密信息 的输入和输出,防止信息泄露 或被盗取、篡改。确保系统按预先
15、定义的方式处 理例外情况,当系统被迫终止 时向用户提供必要信息。系统软件安全风险在操作系统、数据库管理系统 等系统软件的使用、运行过程 中的不确定因素所带来的影 响。制定每种类型操作系统的基本安 全要求,确保所有系统满足基本安 全要求。制定最高权限系统账户的审 批、验证和监控流程,并确保 最高权限用户的操作日志被记 录和监察。定期检查可用的安全补丁,并风险 编号风险名称风险描述风险应对策略报告补丁管理状态。在系统日志中记录不成功的登 录、重要系统文件的访问、对 用户账户的修改等有关重要事 项。建立主机入侵检测机制,发现 主机系统中的异常操作行为, 以及对主机发起的攻击行为, 并及时报警。网络安全风险为使网络系统的硬件、软