信息科技风险自评估表.docx

共享知识分享快乐 共享知识 分享快乐 卑微如蝼蚁、坚强似大象 卑微如蝼蚁、坚强似大象 信息科技风险自评估表 一、信息科技治理 序号 风险类别 风险点 控制目标 风险分析 参考依据 1 董事会或高级管理层职责 2  对信息科技战略的审查 对本行信息科技风险管理现状的掌握情况  批准并审查信息科技战略；保证信息科技战略与银行总体业务战略和重大策略相一致；定期评估信息科技及其风险管理工作的总体效力和效率。 定期听取信息科技风险管理部门报告；组织进行独立有效的信息科技风险审计；对审计报告和监管意见的整改情况进行监督。  信息风险管理缺 乏长期规划，无法指导信息安全工 作开展。 无法掌握现有风 险，对存在的信息安全风险针对性 的改进无法得到 有力的推进。 ISO27001： 2005 管理层职责： 建立信息安全方针，确保信息安全目标和计划的建立，进行信息安全管理体系的评审； ISO27001： 2005 信息安全方针文档： 信息安全方针文档应经过管理层的批准，并向所有员工和外部相关方公布和沟通； ISO27001： 2005 信息安全方针评审： 应按策划的时间间隔或当发生重大变化时，对信息安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性。 Corbit 信息技术审计指南 - 决定技术方向： IT 管理层理解并使用技术基础设施计划； 技术基础设施计划上的变化，以确定相关的成本和风险， 这些变化要反映在 IT 长短期计划的变化中； IT 管理层要理解监控和评估正在出现技术的过程，并要将适当的技术合并到当前的 IT 基础设施之中； IT 管理层要理解系统评估技术计划意外的过程。 序号 风险类别 风险点 控制目标 风险分析 参考依据 3 4 5 组织架构 6 7  对信息科技建设的支持 组织信息科技管理委员会的建立 首席信息官的设置 信息科技部门的职责 信息科技风险管理部分的职责 建立合理的人才激励体制；确保为信息科技风险管理工作拨付所需资金；建立规范的职业道德行为和廉政标准。 由来自高级管理层、信息科技 部分和主要业务部分的代表组 成；定期向董事会和高级管理 层汇报信息科技战略规划的效 力、信息科技预算和实际支出、信息科技的整体性能；对信息 科技建设及管理情况进行有效 的协调。 直接参与本银行与信息科技运用有关的业务发展决策；建立切实有效的信息科技部分；确保信息科技风险管理的有效 性。 岗位设置完整合理；人员具有相应的技能和专业知识，制定有合理的培训计划；重要岗位制定详细完整的工作说明。 可直接向 CIO 或 CRO 汇报；实 施持续的信息科技风险评估； 协调有关信息科技风险管理策略的制定。  对信息安全风险的改进缺乏有效资源 信息安全工作缺乏统一组织进行协调。 信息安全工作缺乏统一有效的领导和责任人。 缺乏具有专业知 识和技能的专职 人员；信息安全工作无法有效的协 调。 Corbit 信息技术审计指南 - 管理信息技术投资： 高级管理层应执行预算编制过程，按照机构的长期和短期 计划以及 IT 的长期和短期计划，保证年度 IT 运作预算的建立和批准。应调查资金的选择。 等级保护 - 安全管理机构 - 岗位设置 c) 应成立指导和管理信息安全工作的委员会或领导小组。 等级保护 - 安全管理机构 - 岗位设置 c) 信息安全工作的委员会或领导小组最高领导应由单位主管领导委任或授权。 等级保护 - 安全管理机构 - 岗位设置 应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的 职责； 应配备专职安全管理员，不可兼任； d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 序号 风险类别 风险点 控制目标 风险分析 参考依据 8 9 制度建设 10  信息科技内部审计岗位 制度建设流程 制度体系  在内审部门内部设立；配备足够的专业人员；制定完整的信息科技审计策略和流程；制定信息科技内审计划并落实。 完善的规章制度和管理办法的制定、审批和修订流程。 涵盖运行、安全、开发等各重要部分；对关键部分应有详细的管理规定和操作细则。  信息安全工作缺 乏有效的监督和 评价，信息安全风险管理无法有效 的落实和改进。 信息安全管理制 度混乱，无法形成完整体系，缺乏可操作性且得不到 有效改进。 关键工作缺乏规 范性，工作流程混乱，直接导致信息安全事件。 等级保护 - 安全管理机构 - 审核和检查 安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况； 应由内部人员或上级单位定期进行全面安全检查， 检查内容包括现有安全技术措施的有效性、安全配置与安全策 略的一致性、安全管理制度的执行情况等； 应制定安全检查表格实施安全检查，汇总安全检查数据，