信息科技风险管理培训.pptVIP

;主要内容;;;;*;*;*;*;*;*;*;*;*;*;*;;国外信息安全形势;国内信息安全形势;;信息安全工作存在的主要问题;银行业在信息科技风险管理中存在的突出问题;主要内容;;信息科技风险的定义;信息科技风险的定义;信息科技风险的组成; IT风险管理就是对风险威胁与风险管控的脆弱性进行管理。;信息科技风险的特点;信息科技风险的分类;信息科技风险的风险点（一）;信息科技风险的风险点（二）;信息科技风险的风险点（三）;信息科技风险的风险点（四）;信息科技风险的风险点（五）;信息科技风险的风险点（六）;;信息安全上升到国家安全高度;*;*;商业银行加强信息科技风险管理的重要性;;邮储银行IT风险管理规划要点;邮储银行IT风险管理规划要点（续）;邮储银行IT风险管理规划要点（续）;主要内容;; ; ; ; ; ;; 制度是安全生产的生命线，要有效防控信息科技风险，首要的是建立完善的信息科技安全管理制度，以制度约束人的行为，以制度明确人的职责，以制度指导人的思想。我行必须高度重视信息科技安全管理制度的建立与完善，以安全生产为主线，深入分析信息系统风险点，有的放矢，从快从严建立内部管理制度。同时还应积极跟踪信息系统运行情况，及时发现新问题、新风险点，并及时完善制度，从源头上尽可能降低风险时间发生的可能性。 全行信息科技人员必须不折不扣的执行制度，或者提出合理化建议来修订制度，使制度成为一切工作的基本准则，人人“重制度，守制度”，真正给安全生产拉起一道难以跨越的防御线。管理层要切实监督信息科技安全管理制度的执行情况，对整个信息科技风险防控工作全盘把握，其责任覆盖银行自上而下的信息科技风险管理体系。; 通过完善的质量控制和测试体系，对信息系统的开发进行严格的风险论证和风险测试，是控制信息系统风险的首要工作。但是信息系统的运行状况才是系统安全性能的真实反应，贯穿于信息系统的整个生命周期，与安全生产息息相关。 一方面，我们应该对信息系统的运行状况进行全程监控，主干网络是否通畅、自助设备是否正常运行、数据库系统是否正常服务、是否???网络遭受外部非法入侵等必须纳入实时监控范围，以保障在发生故障的第一时间做出响应。 另一方面，必须未雨绸缪，制定应急预案，做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面工作，并加强灾备演练，以保障在突如其来的灾难性事件面前，能从容应对，迅速恢复生产，尽可能降低事故造成的损失。; 银行是知识高度密集型行业，信息科技人才所聚集的知识资本是银行信息科技工作极其重要的生产要素，信息科技人才知识水平高低决定了他们对各项规章制度的理解深度和执行力度。我们要注重“以人为本”的科学管理理念，注重培养员工风险防范意识和风险防范能力，提高员工信息科技水平。 首先，我行要建立与信息科技工作岗位相适应、与业务发展程度紧密联系的培训制度，同时，还应鼓励员工积极参与国家认可的考试认证，以提高信息科技工作者的业务水平和对各项信息科技风险的认知程度，从而也能提升邮储银行的整体IT服务档次。 其次，要对人员采取适当的激励措施， 以吸引人才，使用人才，尽可能调动人才的主观能动性，充分发挥其聪明才智。;建设组织内高素质的信息安全队伍;据统计，银行业有50%的生产运行风险都是由操作原因引起的，因此，必须规范生产运行管理全过程，有效防范和化解风险，堵住漏洞，增强整体防范能力。 一是要针对信息系统的重要性和敏感程度，建立以有效身份验证为基础的管理机制，加强网络系统访问的控制和安全管理，防止金融犯罪； 二要落实全面检查，强化员工的信息安全风险防范意识，防止由于计算机病毒、使用非正常交易、群发与工作无关的娱乐邮件及过大邮件等问题而导致的系统压力增大，导致网络堵塞或系统瘫痪； 三要建立信息系统保障和沟通机制，认真落实安全责任制，切实保障信息化服务体系安全、稳定、高效运行； 四要建立完善信息安全应急处置机制和信息通报机制，制定应急预案并进行演练，提升应急处理能力。;提高IT外包服务管理精细度;我们要认真落实信息系统安全等级保护、风险评估和审计检查等管理措施，并在客户端安全、互联网安全、应用交易安全等方面采取有效的技术防护手段。 一方面，要在健全信息安全管理制度体系、落实信息系统等级保护、实施风险评估和安全检查、加强日常安全检测和管理以及安全教育等措施来强化信息安全的管理工作。 另一方面，持续完善信息安全技术控制措施，提升硬控制能力，要不断从信息安全、信息系统安全和客户端安全三个方面加强对信息安全的技术控制，有效控制信息安全风险。; 从信息科技风险管理实践来看，虽然信息科技