信息科技风险管理策略分析.docVIP

. . . 参考学习 附件：信息科技风险管理分类应对策略 根据信息科技风险分类情况， 以二级风险为限， 制定信息科 技风险分类应对策略如下： A1. 信息科技治理风险应对策略 信息科技治理风险包括三个二级风险：信息科技组织风险、 道德文化风险以及人员管理风险。 每个二级风险的内容和应对策 略如下： 风险 编号 风险名称 风险描述 风险应对策略 信 息科 技 组织 在信息科技风险管理机构及专 建立完善的信息科技治理架构。以法 风险 业委员会设置、履职等方面的 定代表人为第一责任人，囊括理事 不确定因素，以及在部门 /岗位 会、监事会、风险管理委员会、信息 设置、职责划分、垂直归口管 科技风险管理委员会、信息科技部、 理等方面的不确定因素所带来 稽核审计部、风险管理部、人力资源 的影响。 部、监察部等部门。明确各部门在信 息科技风险管理工作中的职责； 每个部门根据在信息科技风险管 理中的职责设立相应的岗位， 合理 分配相应的责、权、利，执行信息 科技风险管理工作； 省联社各部门应指导、监督办事 处、各县级农村合作金融机构相应 部门的信息科技风险管理工作。 道德文化风险 在文化培育、融合、再造等过 在建立道德、诚信、公正的氛围，对 程中的不确定因素，以及员工 员工进行相关的培训，作为员工日常 在价值观认同、行为规范遵循 工作的行为准则之一； 等方面的不确定因素所带来的 影响。 建立畅通的沟通渠道， 任何与陕西 省农村合作金融机构道德文化标 准的偏离都得到及时和充分的反 映，并被立即调查和纠正。 人员管理风险 在从人员聘用到离职整个服务 建立完善的人员招聘、培训、考核、 期间内的不确定因素所带来的 激励、离职等制度和流程，并确保得 影响。 到有效执行； 加强信息科技风险管理专业人员 配备，提高信息科技风险管理水 平； 对重要岗位制定详细的工作手册 并适时更新； 风险 编号 风险名称 风险描述 风险应对策略 为员工提供信息科技风险管理制 度和流程的培训， 提高员工风险管 理意识； 对人员结构、 能力、素质等进行定 期评估， 并组织专业培训， 提高人 才队伍的专业技能； 制定关键岗位信息科技员工流失 防范措施并定期评估人员流失风 险； 制定关键岗位轮岗计划并执行； 建立信息科技工作职责不相容矩 阵，将不相容职责 /岗位分离，并 定期检查。 A2. 信息科技战略风险应对策略 信息科技战略风险包括战略规划风险和战略执行风险。 每个 二级风险的内容和应对策略如下： 风险 编号 风险名称 风险描述 风险应对策略 战略管理风险 在战略规划制定、调整、衔接 按照陕西省农村合作金融机构总 等过程中的不确定性因素所 体业务规划制定信息科技战略； 带来的影响。 在陕西省农村合作金融机构总 体业务规划进行调整时，相应 的，应及时调整信息科技战略， 以确保和总体业务规划的一致 性。 A3. 信息科技运维风险应对策略 信息科技运维风险包括九个二级风险： 备份管理风险、 运维 环境风险、容量管理风险、问题管理风险、记录管理风险、事件 管理风险、发布管理风险、变更管理风险以及资产管理风险。每 个二级风险的内容和应对策略如下： 风险 编号 风险名称 风险描述 风险应对策略 备份管理风 在从制定备份策略、 执 建立完善的数据中心管理制度，完善系 风险 编号 风险名称 风险描述 风险应对策略 险 行备份、备份恢复等一 统（程序和配置） 和数据等的备份策略， 系列过程中的不确定 包括备份范围、备份频率、备份检查、 因素所带来的影响。 备份恢复性测试等内容； 配置备份工作所必须的软硬件资源、 人力资源以及空间资源等。 备份介质 的保存环境应当符合相关标准 （如防 火、防水、防磁、 防盗、温湿度等） ； 备份介质的传递重要工作必须由专 人和专用运输工具负责； 对备份的结果进行检查， 任何异常应 立即查明原因并解决； 定期进行备份恢复性测试， 确保备份 数据的完整、准确、有效； 存储敏感数据的介质，在设备维修、 用途变更或销毁时， 采用消磁等完全 清除数据的安全方式。 运维环境风 信息科技运维环境， 如 制定信息科技运维环境的维护和管理制 险 相关的系统、 设施、设 度，确保信息科技运行在一个稳定的环 备等在运营过程中所 境中； 产生的不确定因素所 带来的影响。 采用人工和技术等手段对信息科技 运维环境的各种设施、 设备进行预防 性维护和监控， 发现的问题应立即跟 进； 建立服务水平管理相关的制度和流 程，对信息科技运行服务水平进行考 核。 容量管理风 在信息系统性能、 容量 制定容量规划，以适应由于外部环境变 险 规划、容量监测和处理 化产生的业务发展和交易量增长。容量 等过程中的不确