信息科技风险监控

信息科技风险监控一、风险监控体系构建（一）组织架构设计。各单位主要负责人是第一责任人，分管信息科技工作的领导是直接责任人，信息科技部门承担具体实施职责。成立信息科技风险监控领导小组，由单位主要领导担任组长，成员包括分管领导、信息科技部门负责人及相关业务部门负责人。领导小组下设办公室于信息科技部门，负责日常工作。各业务部门指定一名风险监控联络员，负责本部门风险信息的收集与上报。各单位应明确风险监控岗位职责，制定岗位说明书，确保责任到人。（二）职责划分。各单位主要负责人负责统筹协调风险监控工作，审批重大风险处置方案。分管信息科技工作的领导负责组织制定风险监控制度，监督风险监控工作开展。信息科技部门负责建立风险监控指标体系，开展风险监测、评估与处置。各业务部门负责本部门业务系统的风险识别与报告。领导小组办公室负责汇总分析风险信息，定期向领导小组报告风险监控情况。审计部门负责对风险监控工作的独立监督与评估。二、风险识别与评估（一）风险识别范围。风险识别范围包括信息系统基础设施、应用系统、数据资源、网络安全、应用开发、运维管理、信息安全等七个方面。基础设施风险包括网络设备故障、服务器宕机、存储中断等；应用系统风险包括系统功能缺陷、性能瓶颈、接口异常等；数据资源风险包括数据丢失、数据泄露、数据不一致等；网络安全风险包括网络攻击、病毒入侵、木马植入等；应用开发风险包括需求变更频繁、开发质量不达标等；运维管理风险包括操作失误、应急响应不及时等；信息安全风险包括权限管理混乱、安全策略缺失等。（二）风险评估标准。风险等级分为重大风险、较大风险、一般风险三个等级。评估指标包括风险发生的可能性、风险影响程度两个维度。可能性评估采用定性评估方法，分为高、中、低三个等级；影响程度评估采用定量评估方法，分为严重、一般、轻微三个等级。风险等级判定标准为：可能性高且影响程度严重的为重大风险；可能性高且影响程度一般的为较大风险；可能性中且影响程度一般的为一般风险。三、风险监控指标体系（一）基础设施监控指标。网络设备可用性指标，要求网络设备可用性不低于99.9%；服务器性能指标，要求CPU使用率不超过70%，内存使用率不超过80%；存储容量指标，要求存储空间剩余率不低于20%；网络流量指标，要求峰值流量不超过设计能力的120%。监控频率为实时监控，异常告警阈值设置为超过指标阈值的5%。（二）应用系统监控指标。系统响应时间指标，要求核心业务系统响应时间不超过2秒；系统可用性指标，要求系统可用性不低于99.95%；功能错误率指标，要求功能错误率低于0.1%；接口成功率指标，要求接口成功率不低于99%。监控频率为5分钟一次，异常告警阈值设置为超过指标阈值的10%。（三）数据资源监控指标。数据完整性指标，要求每日进行数据校验，错误率低于0.01%；数据备份指标，要求每日进行全量备份，备份成功率不低于99.9%；数据访问量指标，要求峰值访问量不超过设计能力的150%。监控频率为实时监控，异常告警阈值设置为超过指标阈值的8%。（四）网络安全监控指标。防火墙攻击日志指标，要求每日分析防火墙日志，发现攻击事件不超过5起；入侵检测系统告警指标，要求每日分析入侵检测系统告警，误报率低于5%；漏洞扫描频率指标，要求每月进行一次全面漏洞扫描。监控频率为实时监控，异常告警阈值设置为发现高危漏洞不超过2个。四、风险监控实施流程（一）风险监测。信息科技部门负责建立风险监控平台，集成基础设施监控、应用系统监控、数据资源监控、网络安全监控等四个方面的监控数据。监控平台应具备数据采集、数据存储、数据分析、告警通知等功能。各业务部门应将本部门业务系统的监控数据接入风险监控平台。风险监控平台应实现监控数据的自动采集、自动分析、自动告警。（二）风险评估。风险监控平台应具备风险评估功能，根据风险监控指标体系对采集到的监控数据进行风险评估。风险评估结果应包括风险等级、风险类型、风险原因等信息。信息科技部门应定期组织风险评估会议，对风险监控平台生成的风险评估结果进行审核确认。风险评估结果应作为风险处置的重要依据。（三）风险处置。信息科技部门应根据风险评估结果制定风险处置方案，报领导小组审批后实施。风险处置方案应包括风险处置目标、处置措施、责任部门、完成时限等内容。风险处置过程中应指定专人负责，确保处置措施落实到位。风险处置完成后应进行效果评估，评估结果应反馈至风险监控平台，用于优化风险评估模型。五、风险监控考核与改进（一）考核机制。将风险监控工作纳入信息科技部门年度考核，考核内容包括风险监控指标体系完善情况、风险监测覆盖率、风险评估准确性、风险处置有效性等四个方面。考核结果分为优秀、良好、合格、不合格四个等级，考核结果与绩效工资挂钩。对考核不合格的，应进行约谈，限期整改。（二）改进措施。信息科技部门应每月对风险监控工作进行复盘，分析风险监控工作中存在的问题，提出改进措施。风险监控平台应具备自我学习功能，根据风险处置效果自动优化风险评估模型。各业务部门应定期组织风险监控培训，提高风险监控意识和能力。每年应开展一次风险监控工作总结，总结经验教训，优化风险监控体系。六、附则（一）本制度适用于本单位所有信息系统和信息科技活动。各部门应遵照执行，不得擅自修