信息科技风险管理策略

1、附件：信息科技风险管理分类应对策略根据信息科技风险分类情况，技风险分类应对策略如下：A1. 信息科技治理风险应对策略以二级风险为限，制定信息科信息科技治理风险包括三个二级风险：信息科技组织风险、 道德文化风险以及人员管理风险。每个二级风险的内容和应对策略如下：风险 编号风险名称风险描述风险应对策略1.1信息科技组织风险在信息科技风险管理机构及专 业委员会设置、履职等方面的 不确定因素，以及在部门/岗位设置、职责划分、垂直归口管 科技风险管理委员会、信息科技部、 稽核审计部、风险管理部、人力资源建立完善的信息科技治理架构。以法 定代表人为第责任人，囊括理事会、监事会、风险管理委员会、信息理等方面

2、的不确定因素所带来的影响。部、监察部等部门。明确各部门在信 息科技风险管理工作中的职责； 每个部门根据在信息科技风险管 理中的职责设立相应的岗位，合理分配相应的责、权、利，执行信息科技风险管理工作；省联社各部门应指导、监督办事 处、各县级农村合作金融机构相应1.2道德文化风险在文化培育、融合、再造等过 程中的不确定因素，以及员工 在价值观认冋、行为规范遵循 等方面的不确定因素所带来的部门的信息科技风险管理工作。在建立道德、诚信、公正的氛围，对 员工进行相关的培训，作为员工日常工作的行为准则之一；建立畅通的沟通渠道，任何与陕西省农村合作金融机构道德文化标 准的偏离都得到及时和充分的反映，并被立即

3、调查和纠正。建立元善的人员招聘、培训、考核、 激励、离职等制度和流程，并确保得到有效执行； 加强信息科技风险管理专业人员1.3人员管理风险影响。在从人员聘用到离职整个服务期间内的不确定因素所带来的 影响。配备，提高信息科技风险管理水 平；对重要岗位制定详细的工作手册 并适时更新；风险 编号风险名称风险描述风险应对策略 为员工提供信息科技风险管理制 度和流程的培训，提高员工风险管 理意识；对人员结构、能力、素质等进行定 期评估，并组织专业培训，提高人 才队伍的专业技能；制定关键岗位信息科技员工流失 防范措施并定期评估人员流失风 险；制定关键岗位轮岗计划并执行；建立信息科技工作职责不相容矩 阵，将

4、不相容职责/岗位分离，并 定期检查。A2.信息科技战略风险应对策略信息科技战略风险包括战略规划风险和战略执行风险。每个二级风险的内容和应对策略如下:风险 编号风险名称风险描述风险应对策略1.4战略管理风险在战略规划制定、调整、衔接等过程中的不确疋性因素所 带来的影响。 按照陕西省农村合作金融机构总 体业务规划制定信息科技战略；在陕西省农村合作金融机构总 体业务规划进行调整时，相应 的，应及时调整信息科技战略， 以确保和总体业务规划的一致性。A3.信息科技运维风险应对策略信息科技运维风险包括九个二级风险:备份管理风险、运维环境风险、容量管理风险、问题管理风险、记录管理风险、事件管理风险、发布管理

5、风险、变更管理风险以及资产管理风险。每个二级,胡卩人及风险的内容和应对策略如下：风险号风险名称风险描述3.1 备份管理风在从制定备份策略、 执风险应对策略建立完善的数据中心管理制度，完善系险编号风险名称八风险描述风险应对策略行备份、备份恢复等一 系列过程中的不确定 因素所带来的影响。统（程序和配置）和数据等的备份策略，包括备份范围、备份频率、备份检查、备份恢复性测试等内容；配置备份工作所必须的软硬件资源、 人力资源以及空间资源等。备份介质的保存环境应当符合相关标准（如防火、防水、防磁、防盗、温湿度等）；备份介质的传递重要工作必须由专 人和专用运输工具负责；对备份的结果进行检查，任何异常应立即查

6、明原因并解决；定期进行备份恢复性测试，确保备份数据的完整、准确、有效；存储敏感数据的介质，在设备维修、 用途变更或销毁时，采用消磁等完全1.5运维环境风险信息科技运维环境， 如 相关的系统、设施、设 备等在运营过程中所产生的不确定因素所 带来的影响。清除数据的安全万式。制定信息科技运维环境的维护和管理制度，确保信息科技运行在一个稳定的环境中；采用人工和技术等手段对信息科技运维环境的各种设施、设备进行预防 性维护和监控，发现的问题应立即跟进；建立服务水平管理相关的制度和流1.6容量管理风险在信息系统性能、容量规划、容量监测和处理等过程中的不确定因素所带来的影响。. 程，对信息科技运行服务水平进行

7、考 核。制定容量规划，以适应由于外部环境变 化产生的业务发展和交易量增长。容量 规划应涵盖生产系统、备份系统及相关 设备.1.7事件管理风险在事件从查明、记录到解决全过程中的不确111 制定系统性能、 容量监测和处理的万 法；由系统自动检测或人工定期查看，确保系统稳定运行。 制定事件管理流程，包括事件查明和记录、归类和初步支持、事件调查和分析、定因素所带来的影响。 事件升级、解决事件和恢复服务、事件 终止以及负责事件并跟踪、监督、控制 和协调解决全过程；在事件发生后，应按照事件管理流程 立即响应以尽快解决。1.8问题管理风在问题申报、解决、技险术援助、支持服务等过程中存在的不确定因建立并完善有

8、效的问题管理流程，以确 保全面地追踪、分析和解决信息系统问题，并对问题进行记录、分类和索引；rz RA编号风险名称风险描述风险应对策略素所带来的影响。 定朋对问题进行汇总分析，以求从根源上解决问题。1.9记录管理风险对应用系统、网络设 备、防火墙、主机、数 据库等所产生的日志的记录、监控、复核、保存等过程中存在的 不确定因素所带来的 影响。 建立完整的日志管理规定，完整采集并 保存应用系统、数据库、网络设备、防 火墙、主机等产生的交易日志和系统日志等；设置专门岗位对日志进行监控和管理，尤其是未经授权的访问、对敏感1.10发布管理风险在监督应用系统和软 件等的发展、试验、部 署和支持过程中的不确

9、定因素所带来的影 响。. 信息的访问、操作等应格外关汪； 日志应得到妥善保存与备份。制定软件版本管理规范及系统版本命名 规范，软件版本的发布和开发过程必须按照规定的流程执行；建立各重要系统的配置基线，纳入统一的配置管理数据库，并由专人负 责；定期对配置数据库中的配置项与实 际配置的一致性进行检查，并对不一致的配置项进行确认、调整；建立发布管理流程，确保系统或软件 的发布处在一个可控的流程中；1.11变更管理风险在信息系统相关的软 件、硬件、和网络等变 更过程中的不确定因素所带来的影响。管理层应审核对系统或软件的发布；新系统或软件发布后，应保留先前的版本和环境以备恢复。制订严密的变更处理流程，明

10、确变更控 制中各岗位的职责，并遵循流程实施控制和管理；所有涉及生产环境的变更，变更前必1.12资产管理风险包括信息科技资产的运行维护风险和处置风险。运行维护风险是指在资产使用、维护、管理、租赁、抵押、保须有回退和应急方案;制定变更管理的文档管理流程。对变更情况进行及时登记、备案和存档， 并将变更情况及时通报相关部门和相关岗位的人员。对信息资产进行梳理，建立信息资产清 单，明确各资产的负责人、使用人、保 管人等相关责任人，制定各自的职责和权力； V . A . 、 Z . 、亠、二二、住U将信息系统及具屮的信息资产进行值等万面中的不确疋分类管理，包括数据、软件、硬件、因素所带来的影响。处J置风险

11、是指在资产处服务、文档、设备、人员及其他共八种类型； 置制度执行、方式选按照国家信息安全等级保护管理办择、时机把握、价格评法（公通字【2007】43号）的规定 估等方面中的不确定 因素所带来的影响。及信息系统安全等级保护定级指风险 编号风险名称风险描述风险应对策略南( GB/T 2224U-2UU8 )、信息系统安全等级保护基本要求(GB/T22239-2008 )的要求，对信息系统分 级并按级别进行保护；审批并记录信息科技资产运行维护 和处置中的各种业务；管理层定期检查信息科技资产清单与实际情况的一致性，并对可能发现的问题及时跟进。A4.信息安全风险应对策略信息安全风险包括八个方面：物理和环

12、境安全风险、访问控制风险、应用安全风险、系统软件安全风险、网络安全风险、终端安全风险、 移动安全风险和数据安全风险。每个二级风险的内容和应对策略如下:风险 编号风险名称风险描述风险应对策略1.13物理和环境安全风险在物理层次上为使信息科技 运行环境受到保护，不受偶然或恶意的原因而遭到破坏的 过程中的不确定因素所带来 的风险。合理选择数据中心的地理位置，并经过管理层的批准；制定信息科技设施、数据中心 等信息科技环境的安全管理制 度，包括设备安全管理、介质安全管理、人员出入等，并确 保有效执行；根据国家的规定，重要或敏感 的业务信息处理系统应放在安 全的地方，并设置有适当的安 全区域，安全区域的出

13、入口有 安全障碍和入口控制，设备应 有物理的保护以防止非法进 入、危害及破坏； 严格控制相关人员，包括第三 方人员进入安全区域，并记录 所有人员的出入信息。对敏感性技术相关工作的人员，应有 严格的审查程序，包括身份验 证和背景调查；采用其他人工或技术手段防止风险编号风险名称风险描述风险应对策略Iy P丄亠牛打Lf r/Ai一 tI丄tL-L-VA-、未授权的侵入。1.14访问控制风险人未经授权对信息科技资源的访问所带来的影响。建立统一的用户身份管理基础设 施，向应用系统提供集中的用户身 份认证服务；明确定义包括终端用户、系统 开发人员、系统测试人员、计 算机操作人员、系统管理员和 用户管理员等

14、不同用户组的访 问权限。制定主机系统及网络的访问控 制制度，系统权限管理规定；根据“访问控制分级”、“需 求导向”和“最小授权”的原 则对用户的权限申请进行审 批，并定期对用户，尤其是关 键岗位用户、最高权限用户等的权限进行检查；每个内部员工具有范围内唯一 的身份标识，用户在访问应用 系统之前，必须提交身份标识， 并对其进行认证；在发生用户离职或岗位变动时及时更新其访问权限；对各类系统及网络环境设置密 码安全策略，包括密码长度、 复杂度、有效期、历史密码记1.15应用安全风险在应用系统的使用、运行过程中的不确定因素所带来的影 响。7.忆次数等。1加强职责划分，对关键或敏感冈位 进行双重控制。米

15、取安全的方式处理保密信息的输入和输出，防止信息泄露 或被盗取、篡改。确保系统按预先定义的方式处1.16系统软件安全风险在操作系统、数据库管理系统 等系统软件的使用、运行过程中的不确定因素所带来的影响。理例外情况，当系统被迫终止 时向用户提供必要信息。 制定每种类型操作系统的基本安 全要求，确保所有系统满足基本安全要求。.制定最高权限系统账户的审批、验证和监控流程，并确保 最高权限用户的操作日志被记录和监察定期检查可用的安全补丁，并风险编号风险名称风险描述风险应对策略1.17 网络安全风险为使网络系统的硬件、软件及其系统中的数据受到保护， 受偶然的或者恶意的原因而 遭到破坏、更改、泄露，系统连续

16、可靠正常地运行，网络服务不中断的过程中的不确定因素所带来的影响。1.18终端安全风险报告补丁管理状态在系统日志中记录不成功的登 录、重要系统文件的访问、对 用户账户的修改等有关重要事 项。建立主机入侵检测机制，发现 主机系统中的异常操作行为， 以及对主机发起的攻击行为， 并及时报警。建立网络安全管理制度，网络安全系统的建设标准和相关的运营维护管理规范；将网络划分为不同的逻辑安全 域，根据域的性质定义生产域 或测试域、内部域或外部域， 结合不同域之间的连通性和域 的可信程度等，对整个网络进 行物理或逻辑分区，并建立不 同域的访问控制机制；在各安全域的边界，部署网络 安全访问措施，包括防火墙、 入

17、侵检测、VPN ；米用人工或技术手段对网络进 行实时监控，及时发现并处理 非法入侵、网络异常等情况； 激活网络信息安全工具的功能 和设置以便记录及报告信息安 全政策所规定的网络安全事 项，并立即解决； 建立防病毒安全政策和策略、 全面网络病毒查杀机制。所有 连入我省农村合作金融机构内 部域的电脑及其他设备，都应 安装杀毒软件，并在接入之前 进行病毒扫描；制定防毒库升级策略和扫描策 略，定期进行病毒库更新和病 毒扫描，病毒库升级记录和扫 描记录应经复核。为确保所有终端用户设备，如配备切实有效的系统，确保所有终台式个人计算机（ PC）、便携端用户设备的安全，并定期对所有式计算机、柜员终端、自动柜员

18、机（ATM ）、存折打印机、设备进行安全检查风险编号风险名称风险描述风险应对策略T719移动设备安全风险读卡器、销售终端（POS ）和个人数字助理（PDA ）等的安 全所进行的一系列工作过程 中的不确定因素所带来的影 响。为确保各种移动存储设备、程办公等的安全所进行的一系列工作过程中的不确定因 根据实际业务的变化、新技术制定移动存储和远程办公的相关 安全机制；素所带来的影响。的发展，定期对安全机制进行 检查与复核；严格限制移动设备在生产环境中的使用。1.20数据安全风险为确保数据的保密性、完整性和有效性，所米取的一系列工 作过程中的不确定因素所带 对所有纳入保护范围的信息明按照重要程度和敏感程

19、度对数据 进行分级保护和管理。来的影响。确信息所有者和信息管理者， 并制定相应的职责和权力， 制定相关制度和流程，严格管 理数据信息的采集、处理、存 贮、传输、分发、备份、恢复、 清理和销毁；采用技术手段防范数据在传 输、处理、存储过程中岀现泄 露或被篡改的风险。A5. 系统开发风险应对策略系统开发风险包括项目组合管理风险、项目生命周期管理风先排定和进度安排制定完整的项目管理规章制度，包括项目审批流程、 参与部门的职责险以及变更管理风险。每个二级风险的内容和应对策略如下：风险编号3.2风险名称项目组合管理风险风险描述在对的项目组合（而非单个项目）进行管理时，因在项目优先级排定，以及相关的人、财

20、、物、时间等资源安排的过程及风险应对策略. 根据信息科技战略规划、计划以及可以利用的资源，对项目进行优先排定和进度安排；结果的不确定因素所带来的在实际业务发生变化或战略变 化时，及时更新和维护项目优3.3项目生命周期管理在从项目可行性研究到需求 风险调研、系统设计、开发管理、风险 编号风险名称风险描述风险应对策略系统测试、系统实施、项目乂 档管理以及项目退出等的整 个生命周期过程中的产生的建立项目实施前和实施后评价戈U分、时间进度和财务预算管理、质量检测、风险评估等；不确定因素所带来的影响。机制；管理层对项目周期管理进行明 确定义，应当至少包括立项、 可行性分析、制定需求、方案 设计、程序开发

21、、系统测试、 系统验收、使用培训、实施操 作和维护等方面。并采取适当 的系统开发方法，控制项目的 生命周期；采取适当的系统开发方法，控 制项目生命周期内各阶段的质 量； 业务和系统需求应经业务部门 和信息科技部门共同确认；将信息安全纳入系统设计过程 中，包括系统和数据访问权限、 数据备份和保护要求、数据安 全、身份验证、容量要求、审 计要求、流程控制等； 将开发环境、测试环境和生产 环境相互独立，并建立规范的 管理制度对三个环境进行严格管理；上线实施前完成充分的功能测 试和非功能测试，对测试过程进行严格审查； 建立上线实施计划，以及应急回退计划，并经管理层审批； 项目文档，包括各种纸版和电 子

22、版文档及源代码等，应得到妥善保管；风险管理部门和稽核部应参与 大规模系统开发，保证系统开 发符合陕西省农村合作金融机1.21项目变更风险在系统建设过程中，因各种因素导致项目变更所产生的不确定因素所带来的影响。构信息科技风险管理标准。 建立完善的项目变更管理制度，并以其来规范变更流程；依照项目变更管理的要求对项 目变更流程加以控制，在变更 的发起，评审，执行，用户接风险编号风险名称风险描述风险应对策略受测试等阶段都应经过相应级 别的审批。A6.信息科技外包风险应对策略信息科技外包风险包括外包策略风险和外包生命周期管理风险。每个二级风险的内容和应对策略如下：风险 编号风险名称风险描述风险管理策略1

23、.22外包策略风险在确定外包策略（如核心业务和能力、 适合外包的范围和级别等的确定，以 及外包服务等）的过程和结果的不确定因素所带来的影响。建立正式的系统设计开发外包管 理政策，在进行信息系统外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析. 和评估外包存在的潜在风险，并制定相应的风险防范措施；不得将信息科技管理职能外包；定期根据外包策略对陕西省农1.23外包生命周期管理风险包括外包商选择风险、外包合同风险和外包成果交付与知识转移风险。.外包商选择风险：是指在选择外包商时，所需要进行的一系列工作，如审查、评估外包商的资质、 专业经验、经验、能力等过程中 的不确定因素所带来的

24、影响。外包合同风险：包括外包合同 订立与生效风险、外包合同执 行风险及外包合同收尾风险。 合同订立与生效风险是指在村合作金融机构的所有外包项目进行逐一分析、评估。客观评估外包商的资质、服务能力、经验、项目管理能力、 财务状况和风险评估能力；.外包合同条款应适当，符合外包业务需要，责任义务划分清 楚，外包范围界定明确，考核 指标明确，并有必要的、灵活性的条款；外包合同应经过风险管理部门和法律方面专业审核；与外包商在外包合同签订过 程中不确定因素所带来的影 响；合同执行风险是指合同文 件保管、合同履行、合同变 更、履约监督、争议处理等过程中 对外包商的财务状况以及支持 IT外包业务的技术和关键人

25、员进行有效地监督和管理； 定期对外包工作进行评估，对 发现的问题及时跟进解决；不确定因素所带来的影响；合 同收尾风险是指文件归档、结算复核、合同终止等过程中不 确定因素所带来的影响。外包成果交付与知识转移风在与外包服务提供商的合同中 均包括了知识转移的要求。根 据合同条款的要求对外包商交 付的技术进行核实，并对技术 顺利交付获取必要的培训与支风险 编号风险名称风险描述风险管理策略对外包工作成果 付过程中，以及相关知识转移 过程中的不确定因素所带来 的影响。持服务。A7. 业务连续性管理风险应对策略业务连续性管理风险包括两个二级风险： 业务连续性计划制 定和维护风险和业务连续性计划实施风险。 每个二级风险的内容 和应对策略如下：风险编号风险名称风险描述风险应对策略1.24业务连续性计划制定和维护风险由于业务连续性计划的缺失、 制定、维护等过程中的不确定 因素所带来的影响。根据自身的规模和复杂程度以及业务的重要性有针对性地制定业务连续性计划。内容应包括： 应急组织及相应职责；突发事件分级及 每个级别的界定范围、响应时间及处置简要流程；因意外事件导致业 务运行中断的可能性及其影响分 析；重要信息系统应急预案；灾难恢复计划；资源需求及获取方式； 运行恢复的优先顺序；与内外部相关各方的沟通安排；人员培训、 业. 务连续性计划的演练及更新；所有重要信息系统应急预案、 灾难恢复计