信息科技风险管理策略

1、附件：信息科技风险管理分类应对策略根据信息科技风险分类情况，以二级风险为限，制定信息 科技风险分类应对策略如下：A1.信息科技治理风险应对策略信息科技治理风险包括三个二级风险：信息科技组织风险、道德文化风险以及人员管理风险。每个二级风险的内容和应对策略如下:风险 编号风险名称风险描述风险应对策略1.1信息科技组织 风险在信息科技风险管理机构及专 业委员会设置、履职等方面的 不确定因素，以及在部门/岗 位设置、职责划分、垂直归口 管理等方面的不确定因素所带 来的影响。? 建立完善的信息科技治理架构。以 法定代表人为第一责任人，囊括理 事会、监事会、风险管理委员会、 信息科技风险管理委员会、信息科

2、 技部、稽核审计部、风险管理部、 人力资源部、监察部等部门。明确 各部门在信息科技风险管理工作中 的职责；?每个部门根据在信息科技风险管 理中的职责设立相应的冈位，合 理分配相应的责、权、禾执行 信息科技风险管理工作；?省联社各部门应指导、监督办事 处、各县级农村合作金融机构相 应部门的信息科技风险管理工作。1.2道德文化风险在文化培育、融合、再造等过 程中的不确定因素，以及员工 在 价值观认同、行为规范 遵循等方面的不确定因素所带 来的影响。?在建立道德、诚信、公正的氛围， 对员工进行相关的培训，作为员工 日常工作的行为准则之一；?建立畅通的沟通渠道，任何与陕 西省农村合作金融机构道德文化

3、标准的偏离都得到及时和充分的 反映，并被立即调查和纠正。1.3人员管理风险在从人员聘用到离职整个服务 期间内的不确定因素所带来的 影响。? 建立完善的人员招聘、培训、考核、 激励、离职等制度和流程，并确保 得到有效执行；?加强信息科技风险管理专业人员 配备，提高信息科技风险管理水 平；风险 编号风险名称风险描述风险应对策略?对重要岗位制定详细的工作手册 并适时更新；?为员工提供信息科技风险管理制 度和流程的培训，提高员工风险 管理意识；?对人员结构、能力、素质等进行 定期评估，并组织专业培训，提 咼人才队伍的专业技能；?制定关键岗位信息科技员工流失 防范措施并定期评估人员流失风 险；?制定关键

4、岗位轮岗计划并执行；?建立信息科技工作职责不相容矩 阵，将不相容职责/岗位分离，并 定期检查。A2.信息科技战略风险应对策略信息科技战略风险包括战略规划风险和战略执行风险。每个二级风险的内容和应对策略如下：风险 编号风险名称风险描述风险应对策略2.1战略管理风险在战略规划制定、调整、衔 接等过程中的不确定性因素 所带来的影响。?按照陕西省农村合作金融机构总 体业务规划制定信息科技战略；?在陕西省农村合作金融机构总 体业务规划进行调整时，相应 的，应及时调整信息科技战略， 以确保和总体业务规划的一致 性。A3.信息科技运维风险应对策略信息科技运维风险包括九个二级风险：备份管理风险、运 维环境风险

5、、容量管理风险、问题管理风险、记录管理风险、 事件管理风险、发布管理风险、变更管理风险以及资产管理风 险。每个二级风险的内容和应对策略如下：风险 编号风险名称风险描述风险应对策略3.1备份管理风 险在从制定备份策略、 执行备份、备份恢复 等一系列过程中的不 确定因素所带来的影 响。?建立完善的数据中心管理制度，完善系 统（程序和配置）和数据等的备份策略， 包括备份范围、备份频率、备份检查、 备份恢复性测试等内容；?配置备份工作所必须的软硬件资源、 人力资源以及空间资源等。备份介 质的保存环境应当符合相关标准（如防火、防水、防磁、防盗、温 湿度等）；?备份介质的传递重要工作必须由专 人和专用运输

6、工具负责；?对备份的结果进行检查，任何异常 应立即查明原因并解决；?定期进行备份恢复性测试，确保备 份数据的完整、准确、有效；?存储敏感数据的介质，在设备维修、 用途变更或销毁时，采用消磁等完 全清除数据的安全方式。3.2运维环境风 险信息科技运维环境， 如相关的系统、设施、 设备等在运营过程中 所产生的不确定因素 所带来的影响。?制定信息科技运维环境的维护和管理制 度，确保信息科技运行在一个稳定的环 境中；?采用人工和技术等手段对信息科技 运维环境的各种设施、设备进行预 防性维护和监控，发现的问题应立 即跟进；?建立服务水平管理相关的制度和流 程，对信息科技运行服务水平进行 考核。3.3容量

7、管理风 险在信息系统性能、容 量规划、容量监测和 处理等过程中的不确 定因素所带来的影响。?制定容量规划，以适应由于外部环境变 化产生的业务发展和交易量增长。容量 规划应涵盖生产系统、备份系统及相关 设备；?制定系统性能、容量监测和处理的 方法；?由系统自动检测或人工定期查看， 确保系统稳定运行。3.4事件管理风 险在事件从查明、记录 到解决全过程中的不 确定因素所带来的影 响。?制定事件管理流程，包括事件查明和记 录、归类和初步支持、事件调查和分析、 事件升级、解决事件和恢复服务、事件 终止以及负责事件并跟踪、监督、控制 和协调解决全过程 ；?在事件发生后，应按照事件管理流 程立即响应以尽快

8、解决。3.5问题管理风在问题申报、解决、? 建立并完善有效的问题管理流程以确风险 编号风险名称风险描述风险应对策略险技术援助、支持服务 等过程中存在的不确 定因素所带来的影响。保全面地追踪、分析和解决信息系统问 题，并对问题进行记录、分类和索引； ?定期对问题进行汇总分析，以求从根源上解决问题。3.6记录管理风 险对应用系统、网络设 备、防火墙、主机、 数据库等所产生的日 志的记录、监控、复 核、保存等过程中存 在的不确定因素所带 来的影响。? 建立完整的日志管理规定，完整米集并 保存应用系统、数据库、网络设备、防 火墙、主机等产生的交易日志和系统日 志等；?设置专门岗位对日志进行监控和管 理

9、，尤其是未经授权的访问、对敏 感信息的访问、操作等应格外关注；?日志应得到妥善保存与备份。3.7发布管理风 险在监督应用系统和软 件等的发展、试验、 部署和支持过程中的 不确定因素所带来的 影响。?制定软件版本管理规范及系统版本命名 规范，软件版本的发布和开发过程必须 按照规定的流程执行；?建立各重要系统的配置基线，纳入 统一的配置管理数据库，并由专人 负责；?定期对配置数据库中的配置项与实 际配置的一致性进行检查，并对不 一致的配置项进行确认、调整；?建立发布管理流程，确保系统或软 件的发布处在一个可控的流程中；?管理层应审核对系统或软件的发布；?新系统或软件发布后，应保留先前 的版本和环境

10、以备恢复。3.8变更管理风 险在信息系统相关的软 件、硬件、和网络等 变更过程中的不确定 因素所带来的影响。?制订严密的变更处理流程，明确变更控 制中各岗位的职责，并遵循流程实施控 制和管理；?所有涉及生产环境的变更，变更前 必须有回退和应急方案；?制定变更管理的文档管理流程。对 变更情况进行及时登记、备案和存 档，并将变更情况及时通报相关部 门和相关岗位的人员。3.9资产管理风 险包括信息科技资产的 运行维护风险和处置 风险。运行维护风险 是指在资产使用、维 护、管理、租赁、抵 押、保值等方面中的 不确定因素所带来的 影响。处置风险是指?对信息资产进行梳理，建立信息资产清 单，明确各资产的负

11、责人、使用人、保 管人等相关责任人，制定各自的职责和 权力；?将信息系统及其中的信息资产进行 分类管理，包括数据、软件、硬件、 服务、文档、设备、人员及其他共风险 编号风险名称风险描述风险应对策略在资产处置制度执行、 方式选择、时机把握、 价格评估等方面中的 不确定因素所带来的 影响。八种类型；?按照国家信息安全等级保护管理 办法(公通字【2007】43号)的 规定及信息系统安全等级保护疋 级指南(GB/T 22240-2008) 信息系统安全等级保护基本要求(GB/T 22239-2008)的要求，对信 息系统分级并按级别进行保护；?审批并记录信息科技资产运行维护 和处置中的各种业务；?管理

12、层定期检查信息科技资产清单 与实际情况的一致性，并对可能发 现的问题及时跟进。A4.息安 全风 险包 括八 个方 面：物理和环境安全风险、访问控制风险、应用安全风险、系统软件安全风险、网络安全风险、 终端安全风险、移动安全风险和数据安全风险。每个二级风险的内容和应对策略如下:风险 编号风险名称风险描述风险应对策略4.1物理和环境安全风 险在物理层次上为使信息科技 运行环境受到保护，不受偶 然或恶意的原因而遭到破坏 的过程中的不确定因素所带 来的风险。? 合理选择数据中心的地理位置， 并经过管理层的批准；?制定信息科技设施、数据中心 等信息科技环境的安全管理制 度，包括设备安全管理、介质 安全管

13、理、人员出入等，并确 保有效执行；?根据国家的规定，重要或敏感 的业务信息处理系统应放在安 全的地方，并设置有适当的安 全区域，安全区域的出入口有 安全障碍和入口控制，设备应 有物理的保护以防止非法进入、 危害及破坏；?严格控制相关人员，包括第三 方人员进入安全区域，并记录 所有人员的出入信息。对敏感风险 编号风险名称风险描述风险应对策略性技术相关工作的人员，应有 严格的审查程序，包括身份验 证和背景调查；?采用其他人工或技术手段防止 未授权的侵入。4.2访问控制风险因未经授权对信息科技资源 的访问所带来的影响。? 建立统一的用户身份管理基础设 施，向应用系统提供集中的用户 身份认证服务；?明

14、确定义包括终端用户、系统 开发人员、系统测试人员、计 算机操作人员、系统管理员和 用户管理员等不同用户组的访 问权限。?制定主机系统及网络的访问控 制制度，系统权限管理规定；?根据“访问控制分级”、“需 求导向”和“最小授权”的原 则对用户的权限申请进行审批， 并定期对用户，尤其是关键岗 位用户、最高权限用户等的权 限进行检查；?每个内部员工具有范围内唯一 的身份标识，用户在访问应用 系统之前，必须提交身份标识， 并对其进行认证；?在发生用户离职或岗位变动时 及时更新其访问权限；?对各类系统及网络环境设置密 码安全策略，包括密码长度、 复杂度、有效期、历史密码记 忆次数等。4.3应用安全风险在

15、应用系统的使用、运行过 程中的不确定因素所带来的 影响。? 加强职责划分，对关键或敏感岗 位进行双重控制。?米取安全的方式处理保密信息 的输入和输出，防止信息泄露 或被盗取、篡改。?确保系统按预先定义的方式处 理例外情况，当系统被迫终止 时向用户提供必要信息。4.4系统软件安全风险在操作系统、数据库管理系 统等系统软件的使用、运行 过程中的不确定因素所带来 的影响。?制定每种类型操作系统的基本安 全要求，确保所有系统满足基本 安全要求。?制定最高权限系统账户的审批、风险 编号风险名称风险描述风险应对策略验证和监控流程，并确保最高 权限用户的操作日志被记录和 监察。?定期检查可用的安全补丁，并

16、报告补丁管理状态。?在系统日志中记录不成功的登 录、重要系统文件的访问、对 用户账户的修改等有关重要事 项。?建立主机入侵检测机制，发现 主机系统中的异常操作行为， 以及对主机发起的攻击行为， 并及时报警。4.5网络安全风险为使网络系统的硬件、软件 及其系统中的数据受到保护， 不受偶然的或者恶意的原因 而遭到破坏、更改、泄露， 系统连续可靠正常地运行， 网络服务不中断的过程中的 不确定因素所带来的影响。?建立网络安全管理制度，网络安 全系统的建设标准和相关的运营 维护管理规范；?将网络划分为不同的逻辑安全 域，根据域的性质定义生产域 或测试域、内部域或外部域， 结合不同域之间的连通性和域 的可

17、信程度等，对整个网络进 行物理或逻辑分区，并建立不 同域的访问控制机制；?在各安全域的边界，部署网络 安全访问措施，包括防火墙、 入侵检测、VPN;?采用人工或技术手段对网络进 行实时监控，及时发现并处理 非法入侵、网络异常等情况；?激活网络信息安全工具的功能 和设置以便记录及报告信息安 全政策所规定的网络安全事项， 并立即解决；?建立防病毒安全政策和策略、 全面网络病毒查杀机制。所有 连入我省农村合作金融机构内 部域的电脑及其他设备，都应 安装杀毒软件，并在接入之前 进行病毒扫描；?制定防毒库升级策略和扫描策 略，疋期进仃病毒库更新和病 毒扫描，病毒库升级记录和扫 描记录应经复核。风险 编号

18、风险名称风险描述风险应对策略4.6终端安全风险为确保所有终端用户设备， 如台式个人计算机（PC）、便 携式计算机、柜贝终端、自 动柜员机（ATM ）、存折打印 机、读卡器、销售终端（POS）和个人数字助理（PDA、等的安全所进行的 一系列工作过程中的不确定 因素所带来的影响。?配备切实有效的系统，确保所有 终端用户设备的安全，并定期对 所有设备进行安全检查。4.7移动设备安全风险为确保各种移动存储设备、 远程办公等的安全所进行的 一系列工作过程中的不确定 因素所带来的影响。?制定移动存储和远程办公的相关 安全机制；?根据实际业务的变化、新技术 的发展，定期对安全机制进行 检查与复核；?严格限制

19、移动设备在生产环境 中的使用。4.8数据安全风险为确保数据的保密性、完整 性和有效性，所采取的一系 列工作过程中的不确定因素 所带来的影响。?按照重要程度和敏感程度对数据 进行分级保护和管理。?对所有纳入保护范围的信息明 确信息所有者和信息管理者， 并制定相应的职责和权力，?制定相关制度和流程，严格管 理数据信息的采集、处理、存 贮、传输、分发、备份、恢复、 清理和销毁；?采用技术手段防范数据在传输、 处理、存储过程中出现泄露或 被篡改的风险。A5.系统开发风险应对策略系统开发风险包括项目组合管理风险、项目生命周期管理风险以及变更管理风险。每个二级风险的内容和应对策略如下:风险 编号风险名称风

20、险描述风险应对策略5.1项目组合管理风险在对的项目组合（而非单个 项目）进行管理时，因在项 目优先级排定，以及相关的?根据信息科技战略规划、计划以 及可以利用的资源，对项目进行 优先排定和进度安排；风险 编号风险名称风险描述风险应对策略人、财、物、时间等资源安 排的过程及结果的不确定因 素所带来的影响。?在实际业务发生变化或战略变 化时，及时更新和维护项目优 先排定和进度安排。5.2项目生命周期管理 风险在从项目可行性研究到需求 调研、系统设计、开发管理、 系统测试、系统实施、项目 文档管理以及项目退出等的 整个生命周期过程中的产生 的不确定因素所带来的影响。?制定完整的项目管理规章制度， 包

21、括项目审批流程、参与部门的 职责划分、时间进度和财务预算 管理、质量检测、风险评估等；?建立项目实施前和实施后评价 机制；?管理层对项目周期管理进行明 确定义，应当至少包括立项、 可行性分析、制疋需求、方案 设计、程序开发、系统测试、 系统验收、使用培训、实施操 作和维护等方面。并采取适当 的系统开发方法，控制项目的 生命周期；?米取适当的系统开发方法，控 制项目生命周期内各阶段的质 量;?业务和系统需求应经业务部门 和信息科技部门共同确认；?将信息安全纳入系统设计过程 中，包括系统和数据访问权限、 数据备份和保护要求、数据安 全、身份验证、容量要求、审 计要求、流程控制等；?将开发环境、测试

22、环境和生产 环境相互独立，并建立规范的 管理制度对三个环境进行严格 管理；?上线实施前完成充分的功能测 试和非功能测试，对测试过程 进行严格审查；?建立上线实施计划，以及应急 回退计划，并经管理层审批；?项目文档，包括各种纸版和电 子版文档及源代码等，应得到 妥善保菅；?风险管理部门和稽核部应参与 大规模系统开发，保证系统开 发符合陕西省农村合作金融机 构信息科技风险管理标准。风险 编号风险名称风险描述风险应对策略5.3项目变更风险在系统建设过程中，因各种 因素导致项目变更所产生的 不确定因素所带来的影响。? 建立完善的项目变更管理制度， 并以其来规范变更流程；?依照项目变更管理的要求对项 目

23、变更流程加以控制，在变更 的发起，评审，执行，用户接 受测试等阶段都应经过相应级 别的审批。A6.信息科技外包风险应对策略信息科技外包风险包括外包策略风险和外包生命周期管理风险。每个二级风险的内容和应对策略如下：风险 编号风险名称风险描述风险管理策略6.1外包策略 风险在确定外包策略（如核心业务和能力、 适合外包的范围和级别等的确定，以 及外包服务等）的过程和结果的不确 定因素所带来的影响。? 建立正式的系统设计开发外包管 理政策，在进行信息系统外包时， 应根据风险控制和实际需要，合 理确定外包的原则和范围，认真 分析和评估外包存在的潜在风险， 并制定相应的风险防范措施；?不得将信息科技管理职

24、能外包；?定期根据外包策略对陕西省农 村合作金融机构的所有外包项 目进行逐一分析、评估。6.2外包生命 周期管理 风险包括外包商选择风险、外包合同风险 和外包成果交付与知识转移风险。?夕卜包商选择风险：是指在选择 夕卜包商时，所需要进行的一系 列工作，如审查、评估外包商 的资质、专业经验、经验、能 力等过程中的不确定因素所带 来的影响。?外包合同风险：包括外包合 同订立与生效风险、外包合 同执行风险及外包合同收尾 风险。合同订立与生效风险 是指在与外包商在外包合同 签订过程中不确定因素所带 来的影响；合同执行风险是 指合同文件保管、合同履行、?客观评估外包商的资质、服务 能力、经验、项目管理能

25、力、 财务状况和风险评估能力；?外包合同条款应适当，符合外 包业务需要，责任义务划分清 楚，外包范围界定明确，考核 指标明确，并有必要的、灵活 性的条款；?外包合同应经过风险管理部门 和法律方面专业审核；?对外包商的财务状况以及支持 IT外包业务的技术和关键人 员进行有效地监督和管理；?定期对外包工作进行评估，对 发现的问题及时跟进解决；风险 编号风险名称风险描述风险管理策略合同变更、履约监督、争议 处理等过程中不确定因素所 带来的影响；合同收尾风险 是指文件归档、结算复核、 合同终止等过程中不确定因 素所带来的影响。?外包成果交付与知识转移风 险：是指对外包工作成果的 交付过程中，以及相关知

26、识 转移过程中的不确定因素所 带来的影响。?在与外包服务提供商的合同中 均包括了知识转移的要求。根 据合同条款的要求对外包商交 付的技术进行核实，并对技术 顺利交付获取必要的培训与支 持服务。A7.业务连续性管理风险应对策略业务连续性管理风险包括两个二级风险：业务连续性计划 制定和维护风险和业务连续性计划实施风险。每个二级风险的 内容和应对策略如下：风险编号风险名称风险描述风险应对策略7.1业务连续性计划制 定和维护风险由于业务连续性计划的缺失、 制定、维护等过程中的不确 定因素所带来的影响。? 根据自身的规模和复杂程度以及 业务的重要性有针对性地制定业 务连续性计划。内容应包括：应 急组织及相应职责；突发事件分 级及每个级别的界定范围、响应 时间及处置简要流程；因意外事 件导致业务运行中断的可能性及 其影响分析；重要信息系统应急 预案；灾难恢复计划；资源需求 及获取方式；运行恢复的优先顺 序；与内外部相关各方的沟通安 排;人员培训、业务连续性计