信息科技风险管理系统策略0001

1、附件：信息科技风险管理分类应对策略 根据信息科技风险分类情况，以二级风险为限，制定信息科 技风险分类应对策略如下： A1.信息科技治理风险应对策略 信息科技治理风险包括三个二级风险：信息科技组织风险、 道德文化风险以及人员管理风险。每个二级风险的内容和应对策 略如下： 风险 编号 风险名称 风险描述 风险应对策略 1.1 信息科技组织 风险 在信息科技风险管理机构及专 业委员会设置、履职等方面的 不确定因素，以及在部门/岗位 设置、职责划分、垂直归口管 科技风险管理委员会、信息科技部、 稽核审计部、风险管理部、人力资源 建立完善的信息科技治理架构。以法 定代表人为第责任人，囊括理事 会、监事会

2、、风险管理委员会、信息 理等方面的不确定因素所带来 的影响。 部、监察部等部门。明确各部门在信 息科技风险管理工作中的职责； 每个部门根据在信息科技风险管 理中的职责设立相应的岗位，合理 分配相应的责、权、利，执行信息 科技风险管理工作； 省联社各部门应指导、监督办事 处、各县级农村合作金融机构相应 1.2 道德文化风险 在文化培育、融合、再造等过 程中的不确定因素，以及员工 在价值观认冋、行为规范遵循 等方面的不确定因素所带来的 部门的信息科技风险管理工作。 在建立道德、诚信、公正的氛围，对 员工进行相关的培训，作为员工日常 工作的行为准则之一； 建立畅通的沟通渠道，任何与陕西 省农村合作金

3、融机构道德文化标 准的偏离都得到及时和充分的反 映，并被立即调查和纠正。 建立元善的人员招聘、培训、考核、 激励、离职等制度和流程，并确保得 到有效执行； 加强信息科技风险管理专业人员 1.3 人员管理风险 影响。 在从人员聘用到离职整个服务 期间内的不确定因素所带来的 影响。 配备，提高信息科技风险管理水 平； 对重要岗位制定详细的工作手册 并适时更新； 风险 编号 风险名称 风险描述 风险应对策略 为员工提供信息科技风险管理制 度和流程的培训，提高员工风险管 理意识； 对人员结构、能力、素质等进行定 期评估，并组织专业培训，提高人 才队伍的专业技能； 制定关键岗位信息科技员工流失 防范措施

4、并定期评估人员流失风 险； 制定关键岗位轮岗计划并执行； 建立信息科技工作职责不相容矩 阵，将不相容职责/岗位分离， 并 定期检查 A2.信息科技战略风险应对策略 信息科技战略风险包括战略规划风险和战略执行风险。每个 风险 级风险的内容和应 风险名称 刁寸策略如下: 风险描述 风险应对策略 编号 1.4 风1险名丿称- 战略管理风险 在战略规划制定、调整、衔接 等过程中的不确疋性因素所 带来的影响。 丿风1险应寸J少策山口 按照陕西省农村合作金融机构总 体业务规划制定信息科技战略； 在陕西省农村合作金融机构总 体业务规划进行调整时，相应 的，应及时调整信息科技战略， 以确保和总体业务规划的一致

5、 性。 A3.信息科技运维风险应对策略 信息科技运维风险包括九个二级风险：备份管理风险、运维 环境风险、容量管理风险、问题管理风险、记录管理风险、事件 管理风险、发布管理风险、变更管理风险以及资产管理风险。每 个二级 及风险的内容 匚和应对策略如下： k/ 十=t丿IF 1风险 风险 编号 3.1 风险名称 备份管理风 风险描述 在从制定备份策略、执 风险应对策略 建立元善的数据中心管理制度，元善系 风险 编号 风险名称 风险描述 风险应对策略 仃备份、备份恢复等 系列过程中的不确定 因素所带来的影响。 1.5 运维环境风 信息科技运维环境， 如 相关的系统、设施、设 备等在运营过程中所 制定

6、信息科技运维环境的维护和管理制 度，确保信息科技运行在一个稳定的环 产生的不确定因素所 带来的影响。 境中； 采用人工和技术等手段对信息科技 运维环境的各种设施、设备进行预防 性维护和监控，发现的问题应立即跟 进； 建立服务水平管理相关的制度和流 程，对信息科技运行服务水平进行考 核。 1.6 容量管理风 在信息系统性能、容量 规划、容量监测和处理 制定容量规划，以适应由于外部环境变 化产生的业务发展和交易量增长。容量 等过程中的不确定因 素所带来的影响。 规划应涵盖生产系统、备份系统及相关 统（程序和配置）和数据等的备份策略， 包括备份范围、备份频率、备份检查、 备份恢复性测试等内容； 配置

7、备份工作所必须的软硬件资源、 人力资源以及空间资源等。备份介质 的保存环境应当符合相关标准（如防 火、防水、防磁、防盗、温湿度等）； 备份介质的传递重要工作必须由专 人和专用运输工具负责； *对备份的结果进行检查，任何异常应 立即查明原因并解决； 定期进行备份恢复性测试，确保备份 数据的完整、准确、有效； *存储敏感数据的介质，在设备维修、 用途变更或销毁时，采用消磁等完全 清除数据的安全方式。 1.7 事件管理风 设备； 制定系统性能、 容量监测和处理的方 法； 由系统自动检测或人工定期查看， 保系统稳定运行。 在事件从查明、 记录到 解决全过程中的不确 定因素所带来的影响。 制定事件管理流

8、程，包括事件查明和记 录、归类和初步支持、事件调杳和分析、 事件升级、解决事件和恢复服务、事件 终止以及负责事件并跟踪、监督、控制 和协调解决全过程； 在事件发生后，应按照事件管理流程 立即响应以尽快解决。 1.8问题管理风 在问题申报、解决、技 险术援助、支持服务等过 程中存在的不确定因 建立并完善有效的问题管理流程，以确 保全面地追踪、分析和解决信息系统问 题，并对问题进行记录、分类和索引； rz RA 编号 风险名称 风险描述 风险应对策略 素所带来的影响。 定朋对问题进行汇总分析，以求从根 源上解决问题。 1.9 记录管理风 险 对应用系统、网络设 备、防火墙、主机、数 据库等所产生的

9、日志 的记录、监控、复核、 保存等过程中存在的 不确定因素所带来的 影响。 建立完整的日志管理规定，完整采集并 保存应用系统、数据库、网络设备、防 火墙、主机等产生的交易日志和系统日 志等； 设置专门岗位对日志进行监控和管 理，尤其是未经授权的访问、对敏感 1.10 发布管理风 险 在监督应用系统和软 件等的发展、试验、部 署和支持过程中的不 确定因素所带来的影 响。 . 信息的访问、操作等应格外关汪； 日志应得到妥善保存与备份。 制定软件版本管理规范及系统版本命名 规范，软件版本的发布和开发过程必须 按照规定的流程执行； 建立各重要系统的配置基线，纳入统 一的配置管理数据库，并由专人负 责；

10、 定期对配置数据库中的配置项与实 际配置的一致性进行检查，并对不一 致的配置项进行确认、调整； 建立发布管理流程，确保系统或软件 的发布处在一个可控的流程中； 1.11 变更管理风 险 在信息系统相关的软 件、硬件、和网络等变 更过程中的不确定因 素所带来的影响。 管理层应审核对系统或软件的发布； 新系统或软件发布后，应保留先前的 版本和环境以备恢复。 制订严密的变更处理流程，明确变更控 制中各岗位的职责，并遵循流程实施控 制和管理； 所有涉及生产环境的变更，变更前必 1.12 资产管理风 险 包括信息科技资产的 运行维护风险和处置 风险。运行维护风险是 指在资产使用、维护、 管理、租赁、抵押

11、、保 须有回退和应急方案; 制定变更管理的文档管理流程。对变 更情况进行及时登记、备案和存档， 并将变更情况及时通报相关部门和 相关岗位的人员。 对信息资产进行梳理，建立信息资产清 单，明确各资产的负责人、使用人、保 管人等相关责任人，制定各自的职责和 权力； V . A . 、 Z . 、亠、 二二、住U将信息系统及具屮的信息资产进行 值等万面中的不确疋分类管理，包括数据、软件、硬件、 因素所带来的影响。处J 置风险是指在资产处服务、文档、设备、人员及其他共八 种类型； 置制度执行、方式选 按照国家信息安全等级保护管理办择、时机把握、价格评 法（公通字【2007】43号）的规定 估等方面中的

12、不确定 因素所带来的影响。 及信息系统安全等级保护定级指 丿/、乂 编号 风险名称 风险描述 风险应对策略 南( GB/T 2224U-2UU8)、信息 系统安全等级保护基本要求(GB/T 22239-2008)的要求，对信息系统分 级并按级别进行保护； 审批并记录信息科技资产运行维护 和处置中的各种业务； 管理层定期检查信息科技资产清单 与实际情况的一致性，并对可能发现 的问题及时跟进。 A4.信息安全风险应对策略 信息安全风险包括八个方面：物理和环境安全风险、访问控 制风险、应用安全风险、系统软件安全风险、网络安全风险、终 端安全风险、 移动安全风险和数据安全风险。每个二级风险的内 容和应

13、对策略如下: 风险 编号 风险名称 风险描述 风险应对策略 1.13 物理和环境安全风 险 在物理层次上为使信息科技 运行环境受到保护，不受偶然 或恶意的原因而遭到破坏的 过程中的不确定因素所带来 的风险。 合理选择数据中心的地理位置，并 经过管理层的批准； 制定信息科技设施、数据中心 等信息科技环境的安全管理制 度，包括设备安全管理、介质 安全管理、人员出入等，并确 保有效执行； 根据国家的规定，重要或敏感 的业务信息处理系统应放在安 全的地方，并设置有适当的安 全区域，安全区域的出入口有 安全障碍和入口控制，设备应 有物理的保护以防止非法进 入、危害及破坏； 严格控制相关人员，包括第三 方

14、人员进入安全区域，并记录 所有人员的出入信息。对敏感 性技术相关工作的人员，应有 严格的审查程序，包括身份验 证和背景调查； 采用其他人工或技术手段防止 ivl 编号 风险名称 风险描述 风险应对策略 、亠一 丄亠中卄ryf r/A,i 未授权的侵入。 1.14 访问控制风险 人未经授权对信息科技资源 的访问所带来的影响。 建立统一的用户身份管理基础设 施，向应用系统提供集中的用户身 份认证服务； 明确定义包括终端用户、系统 开发人员、系统测试人员、计 算机操作人员、系统管理员和 用户管理员等不同用户组的访 问权限。 制定主机系统及网络的访问控 制制度，系统权限管理规定； 根据“访问控制分级”

15、、“需 求导向”和“最小授权”的原 则对用户的权限申请进行审 批，并定期对用户，尤其是关 键岗位用户、最高权限用户等 的权限进行检查； 每个内部员工具有范围内唯一 的身份标识，用户在访问应用 系统之前，必须提交身份标识， 并对其进行认证； 在发生用户离职或岗位变动时 及时更新其访问权限； 对各类系统及网络环境设置密 码安全策略，包括密码长度、 复杂度、有效期、历史密码记 1.15 应用安全风险 在应用系统的使用、运行过程 中的不确定因素所带来的影 响。 7.忆次数等。1 加强职责划分，对关键或敏感冈位 进行双重控制。 米取安全的方式处理保密信息 的输入和输出，防止信息泄露 或被盗取、篡改。 确

16、保系统按预先定义的方式处 1.16 系统软件安全风险 在操作系统、数据库管理系统 等系统软件的使用、运行过程 中的不确定因素所带来的影 响。 理例外情况，当系统被迫终止 时向用户提供必要信息。 制定每种类型操作系统的基本安 全要求，确保所有系统满足基本安 全要求。 .制定最高权限系统账户的审 批、验证和监控流程，并确保 最高权限用户的操作日志被记 录和监察 定期检查可用的安全补丁，并 编号 风险名称 风险描述 风险应对策略 卜八、卜亠a 一 e r r、 报 在 用 项 建 以 并 反告补丁管埋状态。 早系统日志中记录不成功的登 艮、重要系统文件的访问、对 冃户账户的修改等有关重要事 页。 聿

17、立主机入侵检测机制，发现 匚机系统中的异常操作行为， 汝及对主机发起的攻击行为， 丰及时报警。 1.17 网络安全风险 为使网络系统的硬件、软件及 其系统中的数据受到保护，不 受偶然的或者恶意的原因而 遭到破坏、更改、泄露，系统 连续可靠正常地运行，网络服 务不中断的过程中的不确定 因素所带来的影响。 建 系 扌 将 域 纟 的 彳 同 在 安 .采 彳 激 和 全 项 建 全 连 部 安 进 套立网络安全管理制度，网络安全 系统的建设标准和相关的运营维 户管理规范； 各网络划分为不同的逻辑安全 或，根据域的性质定义生产域 龙测试域、内部域或外部域， 占合不同域之间的连通性和域 1 勺可信程度

18、等，对整个网络进 亍物理或逻辑分区，并建立不 司域的访问控制机制； 至各安全域的边界，部署网络 女全访冋措施，包括防火墙、 M侵检测、vpn 代用人工或技术手段对网络进 亍实时监控，及时发现并处理 乍法入侵、网络异常等情况； 敦活网络信息安全工具的功能 打设置以便记录及报告信息安 企政策所规定的网络安全事 页，并立即解决； H立防病毒安全政策和策略、 企面网络病毒查杀机制。所有 生入我省农村合作金融机构内 那域的电脑及其他设备，都应 芬装杀毒软件，并在接入之前 世行病毒扫描； 訝定防毒库升级策略和扫描策 制 略 扌 Jll疋防毒丿库丿丨级策略和扫丁田策 各，疋期进行病毒库更新和病 華扫描，病毒

19、库升级记录和扫 苗记录应经复核。 1.18 终端安全风险为确保所有终端用户设备，如 配备切实有效的系统，确保所有终 台式个人计算机（PC、便携 端用户设备的安全，并定期对所有 式计算机、柜员终端、自动柜 设备进行安全检查 员机（ATM ）、存折打印机、 风险 编号 风险名称 风险描述 风险应对策略 T719 移动设备安全风险 读卡器、销售终端（POS和 个人数字助理（PDA）等的安 全所进行的一系列工作过程 中的不确定因素所带来的影 响。 为确保各种移动存储设备、= 1.20 数据安全风险 程办公等的安全所进行的一 系列工作过程中的不确定因 根据实际业务的变化、新技术 制定移动存储和远程办公的

20、相关 安全机制； 素所带来的影响。 的发展，定期对安全机制进行 检查与复核； 严格限制移动设备在生产环境 中的使用。 为确保数据的保密性、完整性 和有效性，所米取的一系列工 作过程中的不确定因素所带 对所有纳入保护范围的信息明 按照重要程度和敏感程度对数据 进行分级保护和管理。 来的影响。 确信息所有者和信息管理者， 并制定相应的职责和权力， 制定相关制度和流程，严格管 理数据信息的采集、处理、存 贮、传输、分发、备份、恢复、 清理和销毁； 采用技术手段防范数据在传 输、处理、存储过程中岀现泄 露或被篡改的风险。 A5.系统开发风险应对策略 系统开发风险包括项目组合管理风险、项目生命周期管理风

21、 先排定和进度安排 险以及变更管理风险。每个二级风险的内容和应对策略如下： 风险 编号 3.2 风险名称 项目组合管理风险 风险描述 在对的项目组合（而非单个项 目）进行管理时，因在项目优 先级排定，以及相关的人、财、 物、时间等资源安排的过程及 风险应对策略 . 根据信息科技战略规划、计划以及 可以利用的资源，对项目进行优先 排定和进度安排； 结果的不确定因素所带来的 在实际业务发生变化或战略变 化时，及时更新和维护项目优 3.3 项目生命周期管理 风险 制定完整的项目管理规章制度，包 括项目审批流程、 参与部门的职责 在从项目可行性研究到需求 调研、系统设计、开发管理、 风险 编号 风险名

22、称 风险描述 风险应对策略 系统测试、系统实施、项目乂 档管理以及项目退出等的整 个生命周期过程中的产生的 建立项目实施前和实施后评价 戈U分、时间进度和财务预算管理、 质量检测、风险评估等； 不确定因素所带来的影响。 机制； 管理层对项目周期管理进行明 确定义，应当至少包括立项、 可行性分析、制定需求、方案 设计、程序开发、系统测试、 系统验收、使用培训、实施操 作和维护等方面。并采取适当 的系统开发方法，控制项目的 生命周期； 采取适当的系统开发方法，控 制项目生命周期内各阶段的质 量； 业务和系统需求应经业务部门 和信息科技部门共同确认； 将信息安全纳入系统设计过程 中，包括系统和数据访

23、问权限、 数据备份和保护要求、数据安 全、身份验证、容量要求、审 计要求、流程控制等； 将开发环境、测试环境和生产 环境相互独立，并建立规范的 管理制度对三个环境进行严格 管理； 上线实施前完成充分的功能测 试和非功能测试，对测试过程 进行严格审查； 建立上线实施计划，以及应急 回退计划，并经管理层审批； 项目文档，包括各种纸版和电 子版文档及源代码等，应得到 妥善保管； 风险管理部门和稽核部应参与 大规模系统开发，保证系统开 发符合陕西省农村合作金融机 1.21 项目变更风险 在系统建设过程中，因各种因 素导致项目变更所产生的不 确定因素所带来的影响。 构信息科技风险管理标准。 建立完善的项

24、目变更管理制度，并 以其来规范变更流程； 依照项目变更管理的要求对项 目变更流程加以控制，在变更 的发起，评审，执行，用户接 风险 编号 风险名称 风险描述 风险应对策略 受测试等阶段都应经过相应级 别的审批。 A6.信息科技外包风险应对策略 信息科技外包风险包括外包策略风险和外包生命周期管理 风险。每个二级风险的内容和应对策略如下： 风险 编号 风险名称 风险描述 风险管理策略 1.22 外包策略 风险 在确定外包策略（如核心业务和能力、 适合外包的范围和级别等的确定，以 及外包服务等）的过程和结果的不确 定因素所带来的影响。 建立正式的系统设计开发外包管 理政策，在进行信息系统外包时， 应

25、根据风险控制和实际需要，合理 确定外包的原则和范围，认真分析 . 和评估外包存在的潜在风险，并制 定相应的风险防范措施； 不得将信息科技管理职能外 包； 定期根据外包策略对陕西省农 1.23 外包生命 周期管理 风险 包括外包商选择风险、外包合同风险 和外包成果交付与知识转移风险。 .外包商选择风险：是指在选择外 包商时，所需要进行的一系列工 作，如审查、评估外包商的资质、 专业经验、经验、能力等过程中 的不确定因素所带来的影响。 外包合同风险：包括外包合同 订立与生效风险、外包合同执 行风险及外包合同收尾风险。 合同订立与生效风险是指在 村合作金融机构的所有外包项 目进行逐一分析、评估。 客

26、观评估外包商的资质、服务 能力、经验、项目管理能力、 财务状况和风险评估能力； 外包合同条款应适当，符合外 包业务需要，责任义务划分清 楚，外包范围界定明确，考核 指标明确，并有必要的、灵活 性的条款； 外包合同应经过风险管理部门 和法律方面专业审核； 与外包商在外包合同签订过 程中不确定因素所带来的影 响；合同执行风险是指合同文 件保管、合同履行、合同变 更、 履约监督、争议处理等过程中 对外包商的财务状况以及支持 IT 外包业务的技术和关键人 员进行有效地监督和管理； 定期对外包工作进行评估，对 发现的问题及时跟进解决； 不确定因素所带来的影响；合 同收尾风险是指文件归档、结 算复核、合同

27、终止等过程中不 确定因素所带来的影响。 外包成果交付与知识转移风 在与外包服务提供商的合同中 均包括了知识转移的要求。根 据合同条款的要求对外包商交 付的技术进行核实，并对技术 顺利交付获取必要的培训与支 风险 编号 风险名称 风险描述 风险管理策略 对外包工作成果 付过程中，以及相关知识转移 过程中的不确定因素所带来 的影响。 持服务。 A7. 业务连续性管理风险应对策略 业务连续性管理风险包括两个二级风险： 业务连续性计划制 定和维护风险和业务连续性计划实施风险。 每个二级风险的内容 和应对策略如下： 风险 编号 风险名称 风险描述 风险应对策略 1.24 业务连续性计划制 定和维护风险 由于业务连续性计划的缺失、 制定、维护等过程中的不确定 因素所带来的影响。 根据自身的规模和复杂程度以及 业务的重要性有针对性地制定业 务连续性计划。内容应包括： 应急 组织及相应职责；突发事件分级及 每个级别的界定范围、响应时间及 处置简要流程；因意外事件导致业 务运行中断的可能性及其影响分 析；重要信息系统应急预案；灾难 恢复计划；资源需求及获取方式； 运行恢复的优先顺序；与内外部相 关各方的沟通安排；人员培训、 业 . 务连续性计划的演练及更新； 所有重要信息系统应急预案、