信息技术服务 应对突发公共安全事件的信息技术应急风险管理

信息技术服务应对突发公共安全事件的信息技术应急风险管理2023-09-07发布国家标准化管理委员会GB/T43046—2023前言 Ⅲ N 12规范性引用文件 13术语和定义 14缩略语 2 25.1IT应急风险管理与IT应急管理的关系 25.2风险管理原则 25.3风险管理文化 35.4风险管理策略 35.5风险管理技术 35.6风险管理对象 46风险管理框架 47顶层设计 57.1战略规划 57.2组织构建 67.3架构设计 68风险管理环境 68.1内外部环境 68.2促成因素 79风险管理体系 710风险管理要素 710.1专业团队与人员 710,2风险类型 810.3风险管理流程 810.4信息系统 8 g10.6其他 911风险管理实施 911.1统筹和规划 911.2构建和运行 911,3监控和评价 I11.4改进和优化 附录A(资料性)IT应急管理总体风险 附录B(资料性)IT应急管理专项风险 附录C(资料性)IT应急风险管理组织架构与管理体系 附录D(资料性)突发公共安全事件情况下的整体应用场景 附录E(资料性)突发公共安全事件情况下的具体应用场景 31参考文献 34ⅡⅡ为有效控制突发公共安全事件情况下组织面临的IT应急风险，提高相应的IT应急风险管理能N信息技术服务应对突发公共安全事件的信息技术应急风险管理1SWOT分析法：企业竞争态势[优势(Strength)、劣势(Weakness)、机会(Opportunity),威胁5总则发公共安全事件相关IT应急控制措施的合理性和有效性。管理主体的IT应急风险管理职责不仅仅2e)建立IT应急风险管理文化培训与传达机制；a)总体策略。应对突发公共安全事件的IT应急风险管理是组织IT总体风险管理体系有机组34区生数恶区生数恶憎恐系擦风除中恐统程女业五队写人民促成体民经管其审计管HM德在IT应急管理过程中引入IT应急风险管理机制(见第7章～第11章)。当突发公共安全事件5b)制定应对突发公共安全事件的IT应急风险管理战略规划，指导IT应急风险管理体系的建6b)执行风险管理。明确应对突发公共安全事件的IT应急执行风险管理主体(包括业务部门和7突发公共安全事件情况下的IT应急风险类型包括IT应急管理总体风险与IT应急管理专项风8结合应对突发公共安全事件的IT应急管理实施，构建相应的IT应急风险管理实施机制和路9e)定期监控和评价突发公共安全事件情况下IT应急风险管理相关工作实施的有效性、合规b)指导应对突发公共安全事件的IT应急风险管理控和IT应急管理价值的实现提供保障。(资料性)IT应急管理总体风险制及监督等风险；不限于：j)应急信息系统无障碍风险；督等风险；(资料性)IT应急管理专项风险B.1人员类风险组织应开展突发公共安全事件情况下IT应急人员风险的管控，风险类型包括但不限于：a)IT应急人员战略管理的风险；b)IT应急人员管理日标、方针和策略的风险；c)IT应急人员社会责任意识与合规意识的风险；d)IT应急人员专业技能的风险；e)IT应急人员流失的风险；f)IT应急人员能力培养的风险：g)IT应急人员安全的风险；h)IT应急人员疫情防范与健康的风险；i)IT应急人员备用的风险；j)IT应急人员监督管理的风险。B,2资源类风险组织应开展突发公共安全事件情况下IT应急资源风险的管控，风险类型包括但不限于；a)IT应急资源范围界定的风险；h)IT应急资源规划制定与实施的风险；c)IT应急资源组织管理的风险；d)与所需承担社会责任相关IT应急资源投入的风险；e)IT应急资金预算规划及管理的风险；)IT应急资源管理制度和流程的风险；g)IT应急数据的风险，包括数据安全、数据生存周期、数据质量及数据灾备等管理不规范或存在h)IT应急资源监督管理的风险；i)其他风险，如应用系统、平台资源、虚拟资源、物理资源及机房基础设施等管理不规范或不B,3技术应用类风险B.3.1新技术应用风险组织应开展突发公共安全事件情况下应急管理新技术应用风险的管控，风险类型包括但不限于：a)与外部(国家、地方、行业或领域等)联防联动新技术应用交流与协同的风险；b)应急管理新技术应用战略制定与实施的风险；c)应急管理新技术应用目标，方针和策略的风险；B.3.2IT应急应用创新风险组织应开展突发公共安全事件情况下监测与预警阶段的IT应急风险管控，风险类型包括但不组织应开展突发公共安全事件情况下应急处置与救授的IT应急风险管控，风险类型包括但不组织应开展突发公共安全事件情况下事后恢复与重建的IT应急风险管控，风险类型包括但不f)事后恢复与重建工作中的IT评价风险；g)事后恢复与重建工作中的IT补偿风险；B.5管理类风险组织应开展突发公共安全事件情况下业务连续性风险的管控，风险类型包括但不限于：a)组织环境风险，包括未对内外部环境进行全面分析、未充分识别相关方与法律法规要求、业务应急机制匮乏、与外部的联防、联动不足、未明确IT应急管理体系的范围、对风险防控的重要性和价值认识不足、尚未形成有效的IT应急风险防控管理体系等；b)领导力风险，包括组织的各级管理者未能证明其在实现IT应急方针和目标方面的承诺和领导力、决策层或最高管理者未能证明其在IT应急管理体系方面的承诺、决策层或最高管理者对IT应急方针的管理不规范及IT应急组织的角色、职责和权力等存在问题和不足；c)策划风险，包括应对风险和机会的措施不合理、业务连续性目标未明确及业务连续性实施计划未有效管理等；d)支持风险，包括对BCMS资源保障的重要性认识有限、备用资源保障不足、承担BCMS工作的人员能力不足、相关人员对BCMS缺乏适当的意识、未建立业务连续性文化、沟通和协调机制不健全及存档信息管理不规范等；e)实施风险，包括业务连续性风险管理实施的策划和控制不完善、业务影响分析和风险评估工作不符合要求、业务连续性策略不合理、业务恢复目标不明确、业务连续性程序的建立和实施存在不足及演练和测试工作不规范等；f)绩效评估风险，包括监测、测量、分析和评价工作不规范、内部审核未发挥应有审工作未有效开展等；g)改进风险，包括针对不符合项未采取有效措施、BCMS持续改进工作存在不足等；h)业务连续性监督管理的风险。B.5.2IT应急演练风险组织应开展突发公共安全事件情况下IT应急演练风险的管控，风险类型包括但不限于：b)IT应急演练规划的风险；c)IT应急演练组织架构的风险；d)IT应急演练人员配备的风险；e)IT应急演练人员疫情防范与健康的风险；f)IT应急演练制度和流程的风险g)IT应急演练实施过程的风险，包括准备阶段、实施阶段、评估与总结阶段及成果运用阶段等存在问题和不足；h)IT应急演练监督管理的风险。B.5.3应急公共服务平台风险组织应开展突发公共安全事件情况下应急公共服务平台风险的管控，风险类型包括但不限于：g)应急公共服务平台生存周期管理的风险，包括公共平台的建设、运营及应用等存在问题和组织应开展突发公共安全事件情况下应急远程办公和远程运营风险的管控，风险类型包括但不B.5.5IT应急安全管理风险g)不可抗力相关IT应急赔偿的风险。组织应开展突发公共安全事件情况下IT应急管理数字化转型风险的管控，风险类型包括但不(资料性)IT应急风险管理组织架构与管理体系实施全面风险管理的组织，应建立突发公共安全事件情况下的IT应急风险管理组织架构与管理体系，并将IT应急风险管理纳入全面风险管理体系。其他组织(如政府部门、事业单位以及公共服务机构等)参考应用思路说明(见C.4)。C.2IT应急风险管理组织架构组织应建立突发公共安全事件情况下的IT应急风险管理组织架构，包括但不限于如下内容。a)董事会是组织应对突发公共安全事件的IT应急风险管理决策机构，对相关的IT应急风险管理承担最终责任。主要职责包括但不限于；●遵守并贯彻执行国家有关应对突发公共安全事件的法律、法规和技术标准，落实上级主管●建立应对突发公共安全事件的IT应急风险管理文化；●评估配合国家、地方、行业或领域等开展IT应急风险工作及与外部联防、联动机制运作的效率和效果；●审批应对突发公共安全事件的IT应急风险管理战略、政策和程序，评估相关IT应急及其风险管理工作的总体成效及合规性；●监督高级管理层开展应对突发公共安全事件的IT应急风险管理工作；●审议应对突发公共安全事件的IT应急风险管理报告。b)高级管理层负责执行经董事会批准的应对突发公共安全事件IT应急风险管理政策。主要职责包括但不限于；部门之间相互协调、有效制衡的运行机制；●制定清晰的执行和问责机制，确保相关IT应急风险管理战略的充分传达和有效实施；●制定相关的IT应急风险管理政策和程序，定期评估，必要时予以调整；●核查相关的IT应急风险管理工作落实和实施情况，督促落实不到位工作的整改；●评估相关的IT应急风险管理状况并向董事会报告。c)风险管理部门或其他综合管理部门牵头应对突发公共安全事件的IT应急总体风险管理工●加强与外部相关IT应急工作的协同配合；●实施相应的IT应急风险管理体系建设；●持续监控相关IT应急风险管理战略、政策和程序执行情况，对违反相应风险管理政策和程序的情况及时预警、报告并提出处理建议；a)明确IT应急总体风险管理部门(如风险管理部门或其他综合管理部门)的相关IT应急风险a)明确业务部门和IT部门的相关IT应急风险管理职责、岗位职责和权限：b)进行人员配备，并确保人员安全和健康；c)要求业务部门和IT部门执行相关IT应急风险管理政策和程序；d)要求业务部门和IT部门定期开展相关IT应急风险管理自评估，并持续改进。C.3.3IT应急保障风险管理组织应建立突发公共安全事件情况下的IT应急保障风险管理机制，包括但不限于；勤部门等)的相关IT应急风险管理职责、岗位职责和权限；b)进行人员配备，并确保人员安全和健康；c)要求应急保障管理部门执行相关IT应急风险管理政策和程序；d)要求各应急保障管理部门定期开展相关IT应急风险管理自评估，并持续改进。C.3.4IT应急风险审计管理组织应明确突发公共安全事件情况下的IT应急风险管理审计要求，包括但不限于：a)明确内部审计部门的相关IT应急风险管理审计职责、岗位职责和权限；b)进行人员配备，并确保人员安全和健康；c)要求内部审计部门制定相关的IT应急风险管理审计制度和流程；d)要求内部审计部门定期开展相关的IT应急风险管理审计活动。C.3.5其他IT应急风险管理对于本文件未明确的其他应对突发公共安全事件的IT应急风险管理内容，组织在提出相关管理C.4其他组织的应用思路说明其他组织(如政府部门、事业单位以及公共服务机构等),应依据相关要求并考虑所处行业、领域和自身的实际，建立本组织突发公共安全事件情况下的IT应急风险管理组织架构与管理体系，加强对IT应急管理合理性、有效性的监督和评价，促进IT应急管理能力的持续提升，确保业务的持续运营。a)董事会是突发公共安全事件情况下IT应急管理的决策机构，对IT应急管理承担最终责任。b)高级管理层负责执行经董事会批准的应对突发公共安全事件IT应急管理政策。主要职责e)设置或明确应对突发公共安全事件的IT应急管理综合协调部门和专项突发公共安全事件应●组织编制公司总体相关的IT应急预案；●组织协调分管部门开展相关的IT应急管理日常工作。d)业务部门为突发公共安全事件情况下的IT应急管理执行部门，主要负责：●确定相关重要业务恢复目标和恢复策略；●负责业务条线相关重要业务应急响应与恢复。e)信息科技部门为突发公共安全事件情况下的IT应急管理执行部门，主要负责：●制定部门相关应急预案并进行演练。f)突发公共安全事件情况下的IT应急保障层由IT应急管理保障部门(如办公室、人力资源部D.3.2.2关于当前疫情形势下进一步加强疫情防控的通知“关于当前疫情形势下进一步加强疫情防控的通知”主要是针对疫情情况下园区办公、居家办公等D.3.3实施结果分析虽然公司已有相关应急预案，但通过对应急预案实施结果进行分析，发现该阶段针对新型冠状肺炎疫情的应急处置存在以下情况：●有些分支机构在新型冠状肺炎疫情升级后暴露出应急响应迟级、处置能力不足等问题。鉴于全球新型冠状肺炎病毒不断演变、可能与人类长期共存等影响，为全面掌握突发公共安全事件下IT应急管理存在的风险或问题，加强与外部的联防、联动，避免因违规导致处罚、遭受财务损失及影响公司声誉等情况的发生，提升整体IT应急处置能力，公司决定聘请第三方开展针对突发公共安全事件的IT应急风险管理专项审计。D.4IT应急风险管理专项审计的实施D.4.1审计目的通过IT应急风险管理专项审计，了解公司应对突发公共安全事件的IT应急管理总体状况，对公司是否实现IT应急战略目标进行审查和评估，充分识别与评估相关风险，并提出评价意见及改进建D.4.2审计范田a)总体范围，根据审计日的和投人的审计成本确定；e)未将IT应急风险管理纳入公司全面风险管理体系，管理层及员工IT应急风险管理意识公司需加强应对突发公共卫生安全事件的IT应急管理，对市计报告中反映的问题和不足进行D.5.2建立IT应急风险管理机制组织与IT架构管理，采取措施避免相关风险的发生(参考第6章、第7章、第10章、C.2及通过建立应对突发公共卫生安全事件的IT应急风险管理组织架构(参考C.2),促进相关IT应急d)促进各类机构、部门在开展相关的IT应急管理工作时，有机协调与配合，提升整体工作成D.5.4实施IT应急风险管理急管理的对接情况，评价相关工作的成效与合规，保障IT应急风险管理目标的实现(参考d)组织开展相关的IT应急风险评估，及时发现风险隐患和管理漏洞，持续提高风险管理(资料性)突发公共安全事件情况下的具体应用场景IT应急风险管理方法论不仅适用于突发公共安全事件情况下组织整体IT应急管理能力的提升，同时适用于某一具体的IT应急管理领城(如信息系统应急管理),为各类组织(包括企业、政府部门、事业单位以及公共服务机构等)提供借鉴。以下应用场景主要以实施全面风险管理的企业为例，其他组织(如政府部门、事业单位、公共服务机构及未实施