社保计算机信息风险处置预案

1、区社保局计算机信息风险处置预案为进一步加强社保局计算机信息科技风险管理，以科学发展观为指导，立足保障社会保险稳健运行、稳步发展，坚持风险防范优先和标本兼治的原则， 积极利用科技手段和先进技术提高风险防范水平， 全面落实社保信息科技基础工作规范， 合理部署和利用信息安全基础设施，提高信息系统安全保护等级， 加快构建完备的信息科技风险防范组织体系、制度体系和工作机制， 有效防范和化解各类社保信息科技风险，特制定社保局计算机信息科技风险防范处置预案。一、总则( 一) 编制目的为进一步加强社保局计算机社保基金信息科技风险管理， 以科学发展观为指导，立足保障社会保险业务稳健运行、稳步发展，坚持风险防范优

2、先和标本兼治的原则， 积极利用科技手段和先进技术提高风险防范水平，全面落实信息科技基础工作规范， 合理部署和利用信息安全基础设施，提高信息系统安全保护等级， 加快构建完备的信息科技风险防范组组织体系、 制度体系和工作机制， 有效防范和化解各类信息科技风险，特制定本信息科技风险防范处置预案。 ( 二) 工作原则通过建立有效的信息科技风险治理机制，实现对信息系统风险的识别、计量、评价、预警和控制， 保障信息系统安全、 持续、稳健运行。( 三) 适用范围本预案适用于区社保局社保基金计算机业务发生的重特大信息科技风险事故。二、组织机构与职责区社保局成立社保基金计算机业务信息科技风险管理领导小组，作为应

3、对信息科技风险管理的议事、决策、协调、处置机构。( 一) 科技风险领导小组的组成与职责。1、社保基金计算机科技风险领导小组组成。区社保局成立“一把手”为主要负责人的社保基金计算机信息科技风险领导小组，负责本单位及辖属机构社保基金计算机信息科技风险的识别、评估、监控等工作。2、社保基金计算机信息科技风险领导小组的职责:(1) 定期召开会议，听取相关科室对计算机信息科技风险管理工作及后续工作的汇报，及时总结和分析有关计算机科技信息风险管理的重要信息，及时调整防范措施。(2) 稽核审计部门明确信息科技审计专职岗位，负责区社保局及各业务部门计算机信息科技审计稽核工作，定期组织信息科技审计培训，加大信息

4、科技审计稽核力度。(3) 区社保局设立信息科技安全监管网络系统，加强对区社保局机房基础设施安全监控，同时也将机房消防安全工作纳入检查范围。(4) 配备一名业务技术过硬，熟练计算机系统，并能够胜任科技风险管理工作的专业人员， 提高信息科技风险管控水平。 定期组织科技风险管理人员的培训，提高风险管理人员的技术能力和职业道德水平，增强信息科技风险识别、评估、审计和控制能力。(5) 完成社保基金信息科技风险管理领导小组交办的其他工作。3、构建社保基金信息科技风险管理制度体系。(1) 在原信息科技基础工作规范的基础上，进一步梳理、修订和完善有关规章制度，确保规章制度适应科技风险管理的需要。(2) 定期对

5、各项工作流程进行评估、 分析和完善，增强操作的科学性、合理性和可操作性。(3) 建立起具有较强可操作性的信息科技风险评估、监督、审计工作流程，规范信息科技风险监督、审计稽核行为。(5) 科技部、合规部、审计科建立完善的监督检查体系，加大检查力度，保证信息科技风险审计的频率，有效检测信息科技风险，堵塞安全管理漏洞。 审计科每年至少组织一次全面的信息科技风险审计 ; 风险管理部门每年至少对科技风险进行一次全 面的识别、计量、评估和监控，并形成评估分析报告，报送联社理事长。( 二) 监察保卫部门负责安装摄像、检测、报警等场地监控系统和环境动力监控系统。( 三) 科技部做好系统的备份工作( 四) 加强

6、对信息输出文件的控制，严格存储介质废弃和处理程序，建立重要数据资料的备份和恢复机制。( 五) 使用正版软件，推广使用全省统一购置的正版系统软件和应用软件，避免使用盗版软件带来的风险。( 六) 审计部门制定审计计划， 根据信息科技风险导向加强业务审计，及时分析总结，制定有效的风险防范措施。( 七) 监察保卫部门制定检查计划，加强检查力度， 制定突发事件应急预案，及时应对信息科技突发事件的发生。五、组织领导( 一) 联社做好作息科技风险的调查摸底工作， 快椒风险委员会成员及时了解各信用社信息科技风险管理现状， 结合 自身实际，制定加强信息科技风险管理的规划，分期分批逐步达标。( 二) 加大科技技入

7、，及时更新硬件设备，完善机房基础设 施，改善机房运行环境 J 并不断开发和引进运行维护检测、 网络 安全管理等新系统，提高信息科技风险管控水平。( 三) 签订信息科技风险管理责任状，明确信息科技风险管理责任。六、科技信息风险管理突发事件的报告( 一) 突发事件报告的基本原则。 1、及时性 : 最先获悉农村信用社信息科技风险突发事件发生信息的部门或机构人员， 应当在第一时间按规定报告上级部门或相关机构。2、准确性 : 报告内容要客观真实，不得主观臆断。3、规范性 : 报告内容要合乎有关要求。( 二) 事件发生的主要内容。1、事件涉及的机构名称、地点、时间。2、事件发生的原因、性质、类型、等级、可

8、能涉及的金额及人员，损失程度，影响范围等。( 三) 事件报告的一般程序。根据事件的性质，及时上报。七、信息科技风险分类及上报程序( 一) 系统风险，因主机故障而产生的业务交易堵塞，信息科技风险安全员或前台营业人员及时电话上报科技部门，并采取相应的应急措施。科技部门根据事件情况，判断事件类型，采取对应的应急措施。( 二) 监控风险，因监控软件存在缺陷，而造成业务无法办理，信息科技风险安全员或前台人员应及时电话上报监察保卫部门，采取相应措施，恢复系统监控。八、应急晌应及启动( 一) 根据事件类型，由信息科技管理委员会相应部门启动应急预案。( 二) 重特大系统事故， 由科技部根据事件类型， 启动相应

9、的应急预案，保障业务的正常开展。( 三) 重大监控风险，由营业网点相关人员上报监察保卫部门，根据事件类型及情况，启动相应的应急措施。九、后期处置( 一) 事件应急处置工作结束后， 相关部门和机构要做好组织、协调工作，恢复正常营业秩序，协调新闻单位做好正面宣传报道工作，把握正确的舆论宣传导向， 最大限度地降低突发事件给农村信用社带来的不良影口向。( 二) 评估与总结。事件结束后，依照专业、权限和有关规 定组成专项调查组对事件及处置工作进行及时调查， 评估与总 结，事件发生责任单位应当予以配合。( 三) 对事件的调查应当及时、准确，要查清事件的性质、原因和责任，总结教训并提出防范和改进措施。调查结束后，要形成书面调查报告逐级上报。十、保障措施( 一) 通讯保障1、牡丹区农村信用联社与省联社、事件发生地政府职能部门、银监局和人民银存保拌必要的联系，并建立金融风险信息共享平台。2、科技信息风险