信息科技风险管理办法
信息科技相关风险管理制度和策略
信息科技相关风险管理制度和策略1. 引言在当今数字化时代,信息科技(IT)扮演着组织中至关重要的角色。
然而,伴随着科技的发展,也伴随着各种潜在的风险。
为了保障信息系统的安全、数据的完整性和机密性,以及业务的持续运营,制定一套全面有效的信息科技风险管理制度和策略显得尤为重要。
2. 制度建设2.1 风险识别与评估定期风险评估:制定定期的风险评估计划,对关键信息系统、数据和业务流程进行全面评估,发现潜在风险。
实时监测系统:建立实时监测系统,通过日志记录、入侵检测系统等手段及时察觉异常情况。
2.2 风险防范网络安全措施:部署防火墙、入侵检测系统、反病毒软件等,确保网络的安全。
访问控制:制定合理的访问权限策略,确保只有授权人员可以访问敏感信息。
2.3 信息保密性和完整性数据加密:对敏感数据进行加密,确保数据在传输和存储过程中的安全性。
备份策略:制定定期备份策略,确保在系统故障或数据丢失时能够快速恢复。
2.4 应急响应制定应急预案:建立完善的应急预案,包括紧急修复、恢复数据、通知相关方等流程。
模拟演练:定期进行模拟演练,提高团队在紧急情况下的协同应对能力。
3. 策略实施3.1 员工培训安全意识培训:定期对员工进行信息安全意识培训,使其了解最新的威胁和防范措施。
技能培训:确保员工具备足够的技术知识,提高其对安全事务的敏感性。
3.2 合规与法规遵循定期审查法规:定期审查国家和行业相关的法规,确保公司的信息科技策略与之保持一致。
合规性检查:进行定期的合规性检查,确保信息系统符合法规和政策的要求。
3.3 合作伙伴风险管理供应商评估:对供应商和合作伙伴进行风险评估,确保其符合信息安全标准。
合同条款:在合同中明确安全责任,并约定相应的安全措施。
4. 持续改进建立一个持续改进的机制,包括定期的风险审查、漏洞修复、技术更新,以适应不断变化的威胁环境。
通过以上制度和策略的建设,公司可以更有效地应对信息科技风险,确保业务的安全运行和信息的保密性、完整性。
农村信用合作联社信息科技风险管理办法
***农村信用合作联社信息科技风险管理办法第一章总则第一条为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进***农村信用社安全、持续、稳健发展,根据《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和有关信息系统管理的法规、标准,制定本办法。
第二条本办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在农信社业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
信息科技风险是指信息科技在农村信用社运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第三条本办法包括信息科技风险组织保障体系、总体风险控制、管理风险控制、开发风险控制、运行维护风险控制、外包风险控制以及信息科技风险审计等。
第四条自治区联社信息科技风险管理按照统一规划建设、全面综合防治、技术管理并重、保障运营安全的原则,防范风险,保障业务的持续性和信息的安全性、完整性、可用性。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对农村信用社信息科技风险的识别、计量、监测和控制,促进农村信用社安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章组织保障体系第六条自治区联社风险管理委员会是全区农村信用社信息科技风险管理的最高决策机构,负责组织落实国家及中国人民银行、中国银行业监督管理委员会关于信息科技风险工作的方针政策,研究决定全区农村信用社信息科技风险的重大事项,审批、组织信息科技风险工作的计划和实施;检查信息科技风险措施的执行情况。
第七条各级农村合作金融机构、农商行法定代表人是本机构信息科技风险管理的第一责任人,信息科技风险管理状况纳入本机构考核体系。
第八条自治区联社风险管理部门负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和科技信息部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
公司信息科技风险管理制度
公司信息科技风险管理制度
信息科技风险管理制度的目的在于识别、评估、监控和缓解企业面临的各种信息科技风险。
这套制度应当涵盖从策略制定到执行监督的全过程,确保风险管理的有效性和及时性。
制度应明确风险管理的责任体系。
通常,公司会设立一个由高层管理人员组成的风险管理
委员会,负责制定整体的风险策略和政策。
同时,各业务部门和IT部门也应有明确的责
任分工,确保风险管理措施得到有效执行。
风险识别是风险管理的基础。
企业需要定期进行风险评估,识别出潜在的技术缺陷、安全
漏洞、合规问题等风险点。
这一过程可以通过内部审计、外部咨询或专业工具来完成。
对于识别出的风险,企业需要进行定量和定性的评估,确定风险的严重程度和可能造成的
影响。
基于这些评估,企业可以制定相应的风险应对策略,包括风险避免、减轻、转移或
接受。
在风险应对策略制定后,企业需要将其转化为具体的行动计划。
这包括制定应急预案、加
强安全防护措施、进行员工培训等。
所有这些措施都应详细记录在风险管理计划中,并定
期更新以反映最新的风险状况。
监控和报告机制也是信息科技风险管理制度不可或缺的一部分。
企业应建立实时监控系统,以便及时发现异常情况并采取措施。
同时,定期的风险报告可以帮助管理层了解风险管理
的效果,并作出必要的调整。
为了确保制度的有效实施,企业还应建立一个持续改进的机制。
这包括定期回顾和评估风
险管理制度的有效性,以及在必要时进行修订和完善。
村镇银行信息科技风险管理办法
村镇银行信息科技风险管理办法村镇银行信息科技风险管理办法(征求意见稿)第一章总则第一条为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据《商业银行信息科技风险管理指引》等有关法律、法规,制定本办法。
第二条信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。
第二章信息科技风险管理组织架构第三条信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的权限和职责:(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。
第三章信息科技风险具体控制要求第五条信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
包括以下风险点:(一)缺少信息系统风险管理策略;(二)自然灾害、运行环境变化;(三)信息系统相关规章制度、技术规范、操作规程不完善;(四)信息安全标准化工作不符合国家相关规定;(五)缺乏信息安全风险评估机制;(六)数据中心机房物理安全;(七)使用盗版软件及自有成果的知识产权保护;(八)电子设备自身运行;(九)主机与网络运行;(十)网络安全;(十一)密码安全;(十二)数据加密安全;(十三)信息系统配置参数管理;(十四)数据管理;(十五)突发事件响应;(十六)信息系统故障导致影响银行信誉;(十七)网上银行安全。
公司信息科技风险管理制度
第一章总则第一条为加强公司信息科技风险管理,保障公司信息资产安全,提高公司信息科技业务水平,根据国家相关法律法规及行业标准,结合公司实际情况,特制定本制度。
第二条本制度适用于公司内部所有信息科技项目、系统、设备以及相关业务流程。
第三条公司信息科技风险管理应遵循以下原则:(一)预防为主,防治结合;(二)统一领导,分级管理;(三)全面覆盖,重点突出;(四)持续改进,动态调整。
第二章组织机构及职责第四条公司设立信息科技风险管理委员会,负责公司信息科技风险管理的决策、监督和协调工作。
第五条信息科技风险管理委员会下设信息科技风险管理部门,负责公司信息科技风险管理的日常工作,具体职责如下:(一)制定、修订和完善公司信息科技风险管理制度;(二)组织开展信息科技风险评估工作;(三)制定和实施信息科技风险控制措施;(四)组织信息科技风险管理培训;(五)监督、检查和评估信息科技风险管理工作。
第三章信息科技风险评估第六条信息科技风险评估是信息科技风险管理的基础工作,公司应定期对信息科技项目、系统、设备以及相关业务流程进行风险评估。
第七条信息科技风险评估应遵循以下程序:(一)确定评估对象和范围;(二)收集相关资料;(三)分析风险因素;(四)评估风险等级;(五)制定风险应对措施。
第八条信息科技风险评估结果应作为公司信息科技项目、系统、设备以及相关业务流程的决策依据。
第四章信息科技风险控制第九条公司应根据信息科技风险评估结果,制定和实施信息科技风险控制措施,确保风险得到有效控制。
第十条信息科技风险控制措施包括:(一)技术控制措施:如防火墙、入侵检测系统、数据加密等;(二)管理控制措施:如用户权限管理、访问控制、安全意识培训等;(三)物理控制措施:如机房环境、设备管理、数据备份等;(四)应急响应措施:如事故报告、应急处理、恢复重建等。
第五章信息科技风险管理培训第十一条公司应定期组织信息科技风险管理培训,提高员工的信息科技安全意识和风险防范能力。
信息技术风险管理办法
信息技术风险管理办法一、背景介绍信息技术在现代社会的发展中起到了至关重要的作用,然而,随之而来的是信息安全风险的增加。
为了保护信息资产和维护业务的正常运营,企业需要制定一套完善的信息技术风险管理办法。
本文将就信息技术风险管理办法进行详细阐述。
二、风险分类在制定信息技术风险管理办法之前,首先需要对风险进行分类。
常见的信息技术风险可以分为以下几类:1.外部威胁:包括恶意软件、黑客攻击、网络钓鱼等,这些都是来自外部的威胁,可能对企业的信息系统造成损害。
2.内部威胁:指来自内部的威胁,如员工的疏忽、故意泄露信息、滥用权限等。
3.自然灾害:如火灾、洪水、地震等,这些不可控因素也会对企业的信息系统产生重大影响。
三、风险评估与分析制定信息技术风险管理办法的第一步是进行风险评估与分析。
通过识别潜在的风险,评估其概率和影响程度,进而确定应对措施的优先级。
1.风险辨识:根据企业的具体情况,识别可能存在的风险,包括系统漏洞、技术设备问题、人为错误等。
2.风险概率评估:对每种风险进行概率评估,确定其发生的可能性,从而为风险的治理提供依据。
3.风险影响评估:对每种风险的影响程度进行评估,包括经济损失、声誉受损等方面。
4.风险优先级确定:综合考虑概率和影响,确定不同风险的优先级,优先治理高风险的问题。
四、风险治理措施根据风险评估的结果,制定相应的风险治理措施,以应对可能出现的风险。
下面是一些常见的风险治理措施:1.安全策略制定:根据不同的风险情况,制定相应的安全策略,明确管理人员的职责和义务。
2.信息安全培训:组织开展信息安全培训,提高员工对信息安全的认识和管理意识。
3.访问控制:建立完善的权限管理体系,对不同级别的用户进行访问控制,确保只有合适的人员可以访问敏感信息。
4.数据备份和恢复:建立定期备份数据的机制,并测试恢复操作的有效性,以应对数据丢失的风险。
五、风险监测与应急响应风险管理并不仅仅是一次性的工作,而是一个持续不断的过程。
银行业信息科技风险管理指引—(正式版)
银行业信息科技风险管理指引—(正式版)1. 引言本指引旨在为银行业提供信息科技风险管理的指导,以确保银行业能够有效管理和控制信息科技风险,保障金融系统的安全和稳定运行。
2. 信息科技风险概述信息科技风险是指由于信息系统的使用和依赖,银行面临的各种可能影响信息系统可用性、完整性和保密性的威胁。
3. 信息科技风险管理原则信息科技风险管理应遵循以下原则:- 风险识别与评估:银行应对信息科技风险进行全面的识别和评估,确定风险的严重性和可能造成的影响。
- 风险治理与控制:银行应制定相应的风险治理措施,并建立合理的风险控制机制。
- 持续监测与改进:银行应定期监测信息科技风险,及时进行改进和调整。
- 信息共享与合作:银行应与相关机构和其他银行共享风险信息,进行合作,共同应对信息科技风险。
4. 信息科技风险管理框架银行应建立完善的信息科技风险管理框架,包括以下几个方面:- 风险治理结构:银行应建立明确的信息科技风险治理结构,明确责任和职责。
- 风险识别与评估:银行应建立科学的信息科技风险识别和评估方法,及时识别并评估风险。
- 风险控制与防范:银行应制定有效的控制措施和防范措施,减少和防止信息科技风险的发生。
- 事件响应与恢复:银行应建立完善的事件响应和恢复机制,及时响应和恢复信息科技风险事件。
- 管理与监测:银行应建立健全的信息科技风险管理和监测体系,确保信息科技风险的有效管理。
5. 信息科技风险管理的实施银行应制定详细的信息科技风险管理方案,并根据实际情况进行有效的实施。
方案应包括风险识别、评估、控制、防范、监测和响应等内容。
6. 信息科技风险管理的监督与评估相关监管机构应对银行的信息科技风险管理进行定期监督和评估,提供指导和支持,确保信息科技风险得到有效管理。
7. 附则本指引自发布之日起生效,并适用于银行业的信息科技风险管理工作。
银行应根据本指引的要求,进行相应的风险管理工作。
以上内容仅为简要介绍,详细内容请参阅《银行业信息科技风险管理指引—(正式版)》全文。
信息科技相关风险管理制度和策略
信息科技相关风险管理制度和策略一、引言信息科技在当今社会已经成为了企业和组织发展的重要支撑。
然而随着信息技术的发展和应用,信息安全也受到了日益严峻的挑战。
信息技术的发展不仅给企业和组织带来了便利和高效,同时也存在着各种信息安全风险。
建立健全的信息科技相关风险管理制度和策略对于企业和组织来说显得尤为重要。
本文将围绕信息科技相关风险管理制度和策略展开讨论,以帮助企业和组织更好地应对信息技术带来的各种风险。
二、信息科技相关风险概述信息科技相关风险主要包括信息安全风险、数据泄露风险、网络攻击风险、技术故障风险等多种形式。
这些风险可能导致信息泄露、系统瘫痪、业务中断等严重后果,对企业和组织的稳定和发展造成严重影响。
建立信息科技相关风险管理制度和策略显得至关重要。
三、信息科技相关风险管理制度建立1. 领导支持和承诺建立健全的信息科技相关风险管理制度首先需要企业和组织的领导层给予充分的支持和承诺。
领导层应认识到信息安全和风险管理的重要性,确立相关政策和目标,并提供必要的资源和支持。
2. 风险管理组织架构建立风险管理组织架构,明确风险管理的责任和权限。
可以设立专门的信息安全团队来负责信息安全工作,同时各部门也应设立相应的信息安全管理岗位,并建立信息安全管理委员会,以确保风险管理工作的顺利进行。
3. 风险管理政策和流程制定信息科技相关风险管理政策和流程,包括风险管理目标、风险评估方法、风险监控和应对措施等。
这些政策和流程应与企业的整体战略和目标相结合,确保信息科技相关风险管理工作的顺利进行。
4. 风险评估和识别对企业和组织的信息科技相关风险进行评估和识别,分析可能的风险来源和后果,并对不同风险进行优先级评定。
通过风险评估,企业和组织能够更好地了解自身面临的风险,有针对性地进行风险管理工作。
5. 风险监控和控制建立风险监控和控制机制,及时发现风险事件的发生,并采取相应的控制措施进行应对。
对关键信息系统和数据进行监控,并建立相应的日志记录和审计制度,以确保信息安全和风险管理工作的有效性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息科技风险管理办法编制部门:科技信息部版次号:A/0生效日期:20160509目录修改记录 (3)第一章总则 (4)第二章机构职责 (5)第三章信息科技风险管理 (11)第四章信息安全 (13)第五章信息系统开发、测试和维护 (19)第六章信息科技运行 (21)第七章业务连续性管理 (24)第八章外包与审计 (25)第一节外包 (25)第二节审计 (29)第九章附则 (31)附件 (32)修改记录第一章总则第一条为有效防范公司运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我司各项业务安全、持续、稳健运行,根据《中华人民共和国互联网金融信息监督管理办法》、《互联网金融信息科技风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。
第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我司业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第三条本管理办法所称信息科技风险,是指信息科技在我司运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条信息科技风险管理的目标是通过建立有效的机制,实现对我司信息科技风险的识别、计量、监测和控制,促进我司安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章机构职责第五条根据我司信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国互联网金融协会(以下简称互金协会)相关监管要求。
(二)审查批准信息科技战略,确保其与公司的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。
加强信息科技专业队伍的建设,建立人才激励机制。
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
(八)每年审阅并向互金协会及其派出机构报送信息科技风险管理的年度报告。
(九)确保信息科技风险管理工作所需资金。
(十)确保公司所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合互金协会监管和实施现场检查的要求,防范跨境风险。
(十二)及时向互金协会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
(十三)配合互金协会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
(十四)履行信息科技风险管理其他相关工作。
第六条我司应设立分管信息科技的副总级领导,直接向总经理汇报,并参与决策。
副总级领导的职责包括:(一)直接参与本公司与信息科技运用有关的业务发展决策。
(二)确保信息科技战略,尤其是信息系统开发战略,符合本公司的总体业务战略和信息科技风险管理策略。
(三)负责建立一个切实有效的信息科技部门,承担本公司的信息科技职责。
确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。
(五)组织专业培训,提高人才队伍的专业技能。
(六)履行信息科技风险管理其他相关工作。
第七条科技部负责我司信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理;应对内部管理职责进行明确的界定,各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新,并对相关人员采取相关的风险防范措施:(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。
(二)审核信息科技员工的道德品行,确保其具备相应的职业操守。
(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。
第八条运营管理部职能交叉,主要部门协调是信息系统中涉及账务交易的操作、系统参数变更、事件管理的主要部门。
运营管理部的职责包括:(一)运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。
运行人员应按操作规程巡检和操作。
维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。
(二)制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息。
(三)提供机房环境、设备使用、网络运行、系统运行职能交叉,主要部门协调等监控信息。
(四)记录运行值班过程中所有现象、操作过程等信息日志。
(五)对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过业务终端,不得对数据库进行直接操作;(六)具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计。
(七)提供维护的统计和报表打印功能。
(八)对系统参数等设置变更、维护的要求:1、应对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。
根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。
2、制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;3、根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性。
职能交叉,要部门协调(九)应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。
(十)实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第九条风险管理部负责信息科技风险管理工作,并直接向分管处领导(风险管理委员会)报告工作。
该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
风险管理部的职责包括:(一)拟定信息系统风险管理总体政策,并提交高级管理层审查、审批。
(二)会同相关业务部门对信息系统风险进行识别、监测;(三)审核信息系统风险状况。
对总公司相关业务部门和分支机构信息系统风险状况及维护、运行情况进行监测,并进行实时报告。
(四)组织新投产后信息系统的后评价,并识别、评估新信息系统中所包含的风险,审核相应的操作和风险管理程序。
第十条稽核审计部应在部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
稽核审计部负责我司信息系统审计任务,也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。
第三章信息科技风险管理第十一条我司应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处置。
第十二条我司应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
第十三条我司应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。
防范措施应包括:(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。
建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:1、最高权限用户的审查。
2、控制对数据和系统的物理和逻辑访问。
3、访问授权以“必需知道”和“最小授权”为原则。
4、审批和授权。
5、验证和调节。
第十四条我司应建立持续的信息科技风险计量和监测机制,其中应包括:(一)建立信息科技项目实施前及实施后的评价机制。
(二)建立定期检查系统性能的程序和标准。
(三)建立信息科技服务投诉和事故处理的报告机制。
(四)建立内部审计、外部审计和监管发现问题的整改处理机制。
(五)安排供应商和业务部门对服务水平协议的完成情况进行定期审查。
(六)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)定期进行信息科技外包项目的风险状况评价。
第四章信息安全第十五条科技部负责建立和实施信息分类和保护体系,应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第十六条科技部应落实信息安全管理职能。
该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本公司信息安全评估报告。
信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
信息安全策略应涉及以下领域:(一)安全制度管理。
(二)信息安全组织管理。
(三)资产管理。
(四)人员安全管理。
(五)物理与环境安全管理。
(六)通信与运营管理。
(七)访问控制管理。
(八)系统开发与维护管理。
(九)信息安全事故管理。
(十)业务连续性管理。
(十一)合规性管理。
第十七条应建立有效管理用户认证和访问控制的流程。