信息科技风险管理分类应对策略

1、附件：信息科技风险管理分类应对策略根据信息科技风险分类情况，以二级风险为限，制定信息科技风险分类应对策略如下：A1.信息科技治理风险应对策略信息科技治理风险包括三个二级风险：信息科技组织风险、道德文化风险以及人员管理风险。 每个二级风险的内容和应对策略如下:风险 编R风险名称风险描述风险应对策略1.1信息科技组织 风险在信息科技风险管理机构及专 业委员会设置、履职等方面的 不确定因素，以及在部门/岗位 设置、职责划分、垂直归口管理 等方面的不确定因素所带来的 影响。? 建立完善的信息科技治理架构。以 法定代表人为第一责任人，囊括理 事会、监事会、风险管理委员会、 信息科技风险管理委员会、信息科

2、 技部、稽核审计部、风险管理部、 人力资源部、监察部等部门。明确 各部门在信息科技风险管理工作中 的职责；?每个部门根据在信息科技风险管 理中的职责设立相应的岗位，合 理分配相应的责、权、禾1，执行 信息科技风险管理工作；?省联社各部门应指导、监督办事 处、各县级农村合作金融机构相 应部门的信息科技风险管理工 作。1.2道德文化风险在文化培育、融合、再造等过程 中的不确定因素，以及员工在 价值观认同、行为规范遵循等 方面的不确定因素所带来的影 响。? 在建立道德、诚信、公正的氛围， 对员工进行相关的培训，作为员工 日常工作的行为准则之一；?建立畅通的沟通渠道，任何与陕 西省农村合作金融机构道德

3、文化 标准的偏离都得到及时和充分的 反映，并被立即调查和纠正。1.3人员管理风险在从人员聘用到离职整个服务 期间内的不确定因素所带来的 影响。? 建立完善的人员招聘、培训、考 核、激励、离职等制度和流程，并 确保得到有效执行；?加强信息科技风险管理专业人员 配备，提高信息科技风险管理水 平；风险 编R风险名称风险描述风险应对策略?对重要岗位制定详细的工作手册 并适时更新；?为员工提供信息科技风险管理制 度和流程的培训，提高员工风险 管理意识；?对人员结构、能力、素质等进行 定期评估，并组织专业培训，提 高人才队伍的专业技能；?制定关键岗位信息科技员工流失 防范措施并定期评估人员流失风 险；?制

4、定关键岗位轮岗计划并执行；?建立信息科技工作职责不相容矩 阵，将不相容职责/岗位分离，并 定期检查。A2.信息科技战略风险应对策略信息科技战略风险包括战略规划风险和战略执行风险。每个二级风险的内容和应对策略如下:风险 编R风险名称风险描述风险应对策略2.1战略管理风险在战略规划制定、调整、衔接 等过程中的不确定性因素所 带来的影响。?按照陕西省农村合作金融机构总 体业务规划制定信息科技战略；?在陕西省农村合作金融机构总 体业务规划进行调整时，相应 的，应及时调整信息科技战 略，以确保和总体业务规划的 致性。A3.信息科技运维风险应对策略信息科技运维风险包括九个二级风险：备份管理风险、运维 环境

5、风险、容量管理风险、问题管理风险、记录管理风险、事件 管理风险、发布管理风险、变更管理风险以及资产管理风险。每 个二级风险的内容和应对策略如下：风险 编R风险名称风险描述风险应对策略3.1备份管理风 险在从制定备份策略、执 行备份、备份恢复等一 系列过程中的不确定 因素所带来的影响。?建立完善的数据中心管理制度，完善系 统（程序和配置）和数据等的备份策 略，包括备份范围、备份频率、备份检 查、备份恢复性测试等内容；?配置备份工作所必须的软硬件资 源、人力资源以及空间资源等。备 份介质的保存环境应当符合相关标 准（如防火、防水、防磁、防盗、 温湿度等）；?备份介质的传递重要工作必须由专 人和专用

6、运输工具负责；?对备份的结果进行检查，任何异常 应立即查明原因并解决；?定期进行备份恢复性测试，确保备 份数据的完整、准确、有效；?存储敏感数据的介质，在设备维 修、用途变更或销毁时，采用消磁 等完全清除数据的安全方式。3.2运维划、境风 险信息科技运维环境，如 相关的系统、设施、设 备等在运营过程中所 产生的不确定因素所 带来的影响。? 制定信息科技运维环境的维护和管理制 度，确保信息科技运行在一个稳定的环 境中；?采用人工和技术等手段对信息科技 运维环境的各种设施、设备进行预 防性维护和监控，发现的问题应立 即跟进；?建立服务水平管理相关的制度和流 程，对信息科技运行服务水平进行 考核。3

7、.3容量管理风 险在信息系统性能、容量 规划、容量监测和处理 等过程中的不确定因 素所带来的影响。?制定容量规划，以适应由于外部环境变 化产生的业务发展和交易量增长。容量 规划应涵盖生产系统、备份系统及相关 设备；?制定系统性能、容量监测和处理的 方法；?由系统自动检测或人工定期查看， 确保系统稳定运行。3.4事件管理风 险在事件从查明、记录到 解决全过程中的不确 定因素所带来的影响。?制定事件管理流程，包括事件查明和记 录、归类和初步支持、事件调查和分 析、事件升级、解决事件和恢复服务、 事件终止以及负责事件并跟踪、监督、 控制和协调解决全过程 ；?在事件发生后，应按照事件管理流 程立即响应

8、以尽快解决。风险 编R风险名称风险描述风险应对策略3.5问题管理风 险在问题申报、解决、技 术援助、支持服务等过 程中存在的不确定因 素所带来的影响。? 建立并完善有效的问题管理流程，以确 保全面地追踪、分析和解决信息系统问 题，并对问题进行记录、分类和索引；?定期对问题进行汇总分析，以求从 根源上解决问题。3.6记录管理风 险对应用系统、网络设 备、防火墙、主机、数 据库等所产生的日志 的记录、监控、复核、 保存等过程中存在的 不确定因素所带来的 影响。? 建立完整的日志管理规定，完整米集并 保存应用系统、数据库、网络设备、防 火墙、主机等产生的交易日志和系统日 志等；?设置专门岗位对日志进

9、行监控和管 理，尤其是未经授权的访问、对敏 感信息的访问、操作等应格外关 注；?日志应得到妥善保存与备份。3.7发布管理风 险在监督应用系统和软 件等的发展、试验、部 署和支持过程中的不 确定因素所带来的影 响。?制定软件版本管理规范及系统版本命名 规范，软件版本的发布和开发过程必须 按照规定的流程执行；?建立各重要系统的配置基线，纳入 统一的配置管理数据库，并由专人 廷；?定期对配置数据库中的配置项与实 际配置的T性进行检查，并对不 T的配置项进行确认、调整；?建立发布管理流程，确保系统或软 件的发布处在一个可控的流程中；?管理层应审核对系统或软件的发 布；?新系统或软件发布后，应保留先前

10、的版本和环境以备恢复。3.8变更臂埋风 险在信息系统相关的软 件、硬件、和网络等变 更过程中的不确定因 素所带来的影响。? 制严密的变更处理流程，明确变更控 制中各岗位的职责，并遵循流程实施控 制和管理；?所有涉及生产环境的变更，变更前 必须有回退和应急方案；?制定变更管理的文档管理流程。对 变更情况进行及时登记、备案和存 档，并将变更情况及时通报相关部 门和相关岗位的人员。3.9资产管理风 险包括信息科技资产的 运行维护风险和处置 风险。运行维护风险是 指在资产使用、维护、 管理、租赁、抵押、保 值等方面中的不确定? 对信息资产进行梳理，建立信息资产清 单，明确各资产的负责人、使用人、保 管

11、人等相关责任人，制定各自的职责和 权力；?将信息系统及其中的信息资产进行 分类管理，包括数据、软件、硬风险 编R风险名称风险描述风险应对策略因素所带来的影响。处 置风险是指在资产处 置制度执行、方式选 择、时机把握、价格评 估等方面中的不确定 因素所带来的影响。件、服务、文档、设备、人员及其 他共八种类型；?按照国家信息安全等级保护管理 办法(公通字【2007】43号)的 规定及信息系统安全等级保护定 级指南(GB/T 22240-2008)、信息系统安全等级保护基本要求(GB/T 22239-2008)的要求， 对信息系统分级并按级别进行保 护；?审批并记录信息科技资产运行维护 和处置中的各

12、种业务；?管理层定期检查信息科技资产清单 与实际情况的一致性，并对可能发 现的问题及时跟进。A4.信息安全风险应对策略信息安全风险包括八个方面：物理和环境安全风险、访问控 制风险、应用安全风险、系统软件安全风险、网络安全风险、终 端安全风险、移动安全风险和数据安全风险。 每个二级风险的内容和应对策略如下:风险 编p风险名称风险描述风险应对策略4.1物理和环境安全风 险在物理层次上为使信息科技 运行环境受到保护，不受偶然 或恶意的原因而遭到破坏的 过程中的不确定因素所带来 的风险。? 合理选择数据中心的地理位置， 并经过管理层的批准；?制定信息科技设施、数据中心 等信息科技环境的安全管理制 度，

13、包括设备安全管理、介质 安全管理、人员出入等，并确 保启效执行；?根据国家的规定，重要或敏感 的业务信息处理系统应放在安 全的地方，并设置有适当的安 全区域，安全区域的出入口有 安全障碍和入口控制，设备应 有物理的保护以防止非法进 入、危害及破坏；风险 编R风险名称风险描述风险应对策略?严格控制相关人员，包括第三 方人员进入安全区域，并记录 所有人员的出入信息。对敏感 ，性技术相关工作的人员，应有 严格的审查程序，包括身份验 证和背景调查；?采用其他人工或技术手段防止 未授权的侵入。4.2访问控制风险因未经授权对信息科技资源 的访问所带来的影响。? 建立统一的用户身份管理基础设 施，向应用系统

14、提供集中的用户 身份认证服务；?明确定义包括终端用户、系统 开发人员、系统测试人员、计 算机操作人员、系统管理员和 用户管理员等/、同用户组的访 问权限。?制定主机系统及网络的访问控 制制度，系统权限管理规定；?根据“访问控制分级”、“需 求导向”和“最小授权”的原 则对用户的权限申请进行审 批，并定期对用户，尤其是关 键岗位用户、最高权限用户等 的权限进行检查；?每个内部员工具有范围内唯一 的身份标识，用户在访问应用 系统之前，必须提交身份标 识，并对其进行认证；?在发生用户离职或岗位变动时 及时更新其访问权限；?对各类系统及网络环境设置密 码安全策略，包括密码长度、 复杂度、有效期、历史密

15、码记 忆次数等。4.3应用安全风险在应用系统的使用、 运行过程 中的不确定因素所带来的影 响。? 加强职责划分，对关键或敏感岗 位进行双重控制。?采取安全的方式处理保密信息 的输入和输出，防止信息泄露 或被盗取、篡改。?确保系统按预先定义的方式处 理例外情况，当系统被迫终止 时向用户提供必要信息。风险 编R风险名称风险描述风险应对策略4.4系统软件安全风险在操作系统、数据库管理系统 等系统软件的使用、运行过程 中的不确定因素所带来的影 响。?制定每种类型操作系统的基本安 全要求，确保所有系统满足基本 安王要求。?制定最高权限系统账户的审 批、验证和监控流程，并确保 最高权限用户的操作日志被记

16、录和监察。?定期检查可用的安全补丁，并 报告补丁管理状态。?在系统日志中记录不成功的登 录、重要系统文件的访问、对 用户账户的修改等有关重要事 项。?建立主机入侵检测机制，发现 主机系统中的异常操作行为， 以及对主机发起的攻击行为， 并及时报警。4.5网络安全风险为使网络系统的硬件、软件及 其系统中的数据受到保护，不受偶然的或者恶意的原因而 遭到破坏、更改、泄露，系统 连续可靠正常地运行，网络服 务不中断的过程中的不确定 因素所带来的影响。?建立网络安全管理制度，网络安 全系统的建设标准和相关的运营 维护管理规范；?将网络划分为/、同的逻辑安全 域，根据域的性质定义生产域 或测试域、内部域或外

17、部域， 结合/、同域之间的连通性和域 的可信程度等，对整个网络进 行物理或逻辑分区，并建立不 同域的访问控制机制；?在各安全域的边界，部署网络 安全访问措施，包括防火墙、 入侵检测、VPN;?采用人工或技术手段对网络进 行实时监控，及时发现并处理 非法入侵、网络异常等情况；?激活网络信息安全工具的功能 和设置以便记录及告信息安 全政策所规定的网络安全事 项，并立即解决；?建立防病毒安全政策和策略、 全而网络病毒查杀机制。所有 连入我省农村合作金融机构内 部域的电脑及其他设备，都应 安装杀毒软件，并在接入之前 进行病母扫描；风险 编R风险名称风险描述风险应对策略?制定防毒库升级策略和扫策 略，定

18、期进行病毒库更新和病 母扫描，病母库升级记录和扫 描记录应经复核。4.6终端安全风险为确保所有终端用户设备，如台式个人计算机（PC）、便携 式计算机、柜员终端、自动柜 员机（ATM ）、存折打印机、读 卡器、销售终端（POS）和个 人数字助理（PDA）等的安全 所进行的一系列工作过程中 的不确定因素所带来的影响。?配备切实有效的系统，确保所有 终端用户设备的安全，并定期对 所有设备进行安全检查。4.7移动设备安全风险为确保各种移动存储设备、远 程办公等的安全所进行的一 系列工作过程中的不确定因 素所带来的影响。?制定移动存储和远程办公的相关 安全机制；?根据实际业务的变化、新技术 的发展，定期

19、对安全机制进行 检查与复核；?严格限制移动设备在生产环境 中的使用。4.8数据安全风险为确保数据的保密性、完整性 和功效性，所米取的一系列工 作过程中的不确定因素所带 来的影响。?按照重要程度和敏感程度对数据 进行分级保护和管理。?对所有纳入保护范围的信息明 确信息所有者和信息管理者， 并制定相应的职责和权力，?制定相关制度和流程，严格管 理数据信息的采集、处理、存 贮、传输、分发、备份、恢 复、清理和销毁；?采用技术手段防范数据在传 输、处理、存储过程中出现泄 露或被篡改的风险。A5.系统开发风险应对策略系统开发风险包括项目组合管理风险、 项目生命周期管理风 险以及变更管理风险。每个二级风险

20、的内容和应对策略如下：风险 编R风险名称风险描述风险应对策略5.1项目组合管理风险在对的项目组合（而非单个项 目）进行管理时，因在项目优 先级排定，以及相关的人、财、 物、时间等资源安排的过程及 结果的不确定因素所带来的 影响。?根据信息科技战略规划、计划以 及可以利用的资源，对项目进行 优先排定和进度安排；?在实际业务发生变化或战略变 化时，及时更新和维护项目优 先排定和进度安排。5.2项目生命周期管理 风险在从项目可行性研究到需求 调研、系统设计、开发管理、 系统测试、系统实施、项目文 档管理以及项目退出等的整 个生命周期过程中的产生的 不确定因素所带来的影响。?制定完整的项目管理规章制度

21、， 包括项目审批流程、参与部门的 职责划分、时间进度和财务预算 管理、质量检测、风险评估等；?建立项目实施前和实施后评价 机制；?管理层对项目周期管理进行明 确定义，应当至少包括立项、 可行性分析、制定需求、方案 设计、程序开发、系统测试、 系统验收、使用培训、实施操 作和维护等方面。并采取适当 的系统开发方法，控制项目的 生命周期；?采取适当的系统开发方法，控 制项目生命周期内各阶段的质 旦.里；?业务和系统需求应经业务部门 和信息科技部门共同确认；?将信息安全纳入系统设计过程 中，包括系统和数据访问权 限、数据备份和保护要求、数 据安全、身份验证、容量要 求、审计要求、流程控制等；?将开发

22、环境、测试环境和生产 环境相互独立，并建立规范的 管理制度对三个环境进行严格 管理；?上线实施前完成充分的功能测 试和非功能测试，对测试过程 进行严格审查；?建立上线实施计划，以及应急 回退计划，并经管理层审批；?项目文档，包括各种纸版和电 子版文档及源代码等，应得到 妥善保管；风险 编R风险名称风险描述风险应对策略?风险管理部门和稽核部应参与 大规模系统开发，保证系统开 发符合陕西省农村合作金融机 构信息科技风险管理标准。5.3项目变更风险在系统建设过程中， 因各种因素导致项目变更所产生的不 确定因素所带来的影响。? 建立完善的项目变更管理制度， 并以其来规范变更流程；?依照项目变更管理的要

23、求对项 目变更流程加以控制，在变更 的发起，评审，执行，用户接 受测试等阶段都应经过相应级 别的审批。A6.信息科技外包风险应对策略信息科技外包风险包括外包策略风险和外包生命周期管理 风险。每个二级风险的内容和应对策略如下：风险 编p风险名称风险描述风险管理策略6.1外包策略 风险在确定外包策略（如核心业务和能力、 适合外包的范围和级别等的确定，以 及外包服务等）的过程和结果的不确 定因素所带来的影响。? 建立正式的系统设计开发外包管 理政策，在进行信息系统外包 时，应根据风险控制和实际需 要，合理确定外包的原则和范 围，认真分析和评估外包存在的 潜在风险，并制定相应的风险防 范措施；?不得将

24、信息科技管理职能外 包；?定期根据外包策略对陕西省农 村合作金融机构的所有外包项 目进行逐一分析、评估。6.2外包生命 周期管理 风险包括外包商选择风险、外包合同风险 和外包成果交付与知识转移风险。? 外包商选择风险：是指在选择 外包商时，所需要进行的一系 列工作，如审查、评估外包商 的资质、专业经验、经验、能 力等过程中的不确定因素所带 来的影响。?外包合同风险：包括外包合 同订立与生效风险、外包合 同执行风险及外包合同收尾?客观评估外包商的资质、服务 能力、经验、项目管理能力、 财务状况和风险评估能力；?外包合同条款应适当，符合外 包业务需要，责任义务划分清 楚，外包范围界定明确，考核 指

25、标明确，并肩必要的、灵活 性的条款；?外包合同应经过风险管理部门 和法律方面专业审核；风险 编R风险名称风险描述风险管理策略风险。合同订立与生效风险 是指在与外包商在外包合同 签订过程中不确定因素所带 来的影响；合同执行风险是 指合同文件保管、合同履 行、合同变更、履约监督、 争议处理等过程中/、确定因 素所带来的影响；合同收尾 风险是指文件归档、结算复 核、合同终止等过程中/、确 定因素所带来的影响。?外包成果父付与知识转移风 险：是指对外包工作成果的 交付过程中，以及相关知识 转移过程中的/、确定因素所 带来的影响。?对外包商的财务状况以及支持 IT外包业务的技术和关键人 员进行功效地监督

26、和管理；?定期对外包工作进行评估，对 发现的问题及时跟进解决；?在与外包服务提供商的合同中 均包括了知识转移的要求。根 据合同条款的要求对外包冏交 付的技术进行核实，并对技术 顺利父付获取必要的培训与支 持服务。A7. 业务连续性管理风险应对策略业务连续性管理风险包括两个二级风险：业务连续性计划制 定和维护风险和业务连续性计划实施风险。每个二级风险的内容 和应对策略如下：风险 编R风险名称风险描述风险应对策略7.1业务连续，住计划制 定和维护风险由于业务连续，住计划的缺失、 制定、维护等过程中的不确定 因素所带来的影响。? 根据自身的规模和复杂程度以及 业务的重要性有针对性地制定业 务连续性计划。内容应包括：应 急组织及相应职责；突发事件分 级及每个级别的界定范围、响应 时间及处置简要流程；因意外事 件导致业务运行中断的可能性及 其影响分析；重要信息系统应急 预案；灾难恢复计划；资源需求 及获取方式；运行恢复的优先顺 序；与内外部相关各方的沟通安风险 编R风险名称风险描述风险应对策略排；人