第一篇：平原縣信息科技風(fēng)險(xiǎn)專項(xiàng)治理活動(dòng)總結(jié)報(bào)告

平原縣信息科技風(fēng)險(xiǎn)專項(xiàng)治理活動(dòng)總結(jié)報(bào)告

辦事處科技中心：

根據(jù)魯農(nóng)信聯(lián)德州辦【2011】305號文關(guān)于印發(fā)《德州市農(nóng)村信用社信息科技風(fēng)險(xiǎn)專項(xiàng)治理活動(dòng)實(shí)施方案》文件精神，我縣積極開展了信息安全管理的各項(xiàng)工作，現(xiàn)將活動(dòng)期間工作開展情況匯報(bào)如下：

一、專項(xiàng)治理活動(dòng)整體開展情況。

1、我縣根據(jù)專項(xiàng)治理活動(dòng)的工作任務(wù)及具體要求，統(tǒng)一思想認(rèn)識充分做好動(dòng)員部署，并結(jié)合工作實(shí)際，制定了詳細(xì)的活動(dòng)實(shí)施方案。

2、根據(jù)《德州市農(nóng)村信用社信息科技風(fēng)險(xiǎn)專項(xiàng)治理活動(dòng)配檔表》將工作落實(shí)到人，明確責(zé)任分工。

3、根據(jù)市辦下發(fā)的文件中概括的信息科技風(fēng)險(xiǎn)整改內(nèi)容進(jìn)行了風(fēng)險(xiǎn)隱患的自查整改工作。

4、強(qiáng)化了信息安全及風(fēng)險(xiǎn)管理專業(yè)隊(duì)伍建設(shè)。選拔專人擔(dān)任信息科技安全管理員，同時(shí)各網(wǎng)點(diǎn)也分別設(shè)立信息安全員，根據(jù)《縣級聯(lián)社信息科技基礎(chǔ)工作規(guī)范2.0版》相關(guān)規(guī)定，履行相應(yīng)職責(zé)。

5、全面規(guī)范了信息系統(tǒng)應(yīng)急管理工作。我縣對現(xiàn)有應(yīng)急預(yù)案進(jìn)行了梳理，內(nèi)容包括組織領(lǐng)導(dǎo)與部門職責(zé)、突發(fā)事件分級與報(bào)告、應(yīng)急響應(yīng)與應(yīng)急保障、風(fēng)險(xiǎn)防范與安全措施、重要信息系統(tǒng)應(yīng)急預(yù)案及網(wǎng)絡(luò)系統(tǒng)應(yīng)急預(yù)案等，并于九月份組織了信息系統(tǒng)應(yīng)急實(shí)戰(zhàn)演練，主要包括突發(fā)應(yīng)急事件時(shí)各部門密切分工配合情況、主備線路切斷、火災(zāi)、水災(zāi)、服務(wù)器DOWN掉、電力設(shè)施故障等具體內(nèi)容。

6、深入開展了信息科技安全及風(fēng)險(xiǎn)教育工作。根據(jù)文件精神，我縣組織員工學(xué)習(xí)了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《縣級聯(lián)社信息科技基礎(chǔ)工作規(guī)范2.0》以及桌面安全管理系統(tǒng)的相關(guān)管理辦法，為后續(xù)信息科技專項(xiàng)治理工作開展奠定了基礎(chǔ)。

二、專項(xiàng)治理活動(dòng)的成果及問題。

1、取得的成果

通過開展專項(xiàng)治理活動(dòng)，進(jìn)一步健全了安全管理制度，加強(qiáng)了安全管理隊(duì)伍的建設(shè)，完善了風(fēng)險(xiǎn)防范措施，規(guī)范了應(yīng)急管理機(jī)制，提高了全體員工的信息安全意識，明確了工作職責(zé)，達(dá)到了推動(dòng)信息科技風(fēng)險(xiǎn)管理在上新臺階的總體目標(biāo)。

2、存在的問題

（1）在對農(nóng)民自助終端的巡檢及維護(hù)過程中發(fā)現(xiàn)，部分網(wǎng)點(diǎn)設(shè)備不達(dá)標(biāo)，比如未安裝漏電保護(hù)器，地線不符合要求，零地電壓過高等，設(shè)備存在安全隱患。

8、9月份的雷雨季節(jié)由于個(gè)別操作員未按要求關(guān)閉設(shè)備導(dǎo)致設(shè)備遭雷擊而損壞。

（2）部分網(wǎng)點(diǎn)的UPS設(shè)備嚴(yán)重老化，網(wǎng)點(diǎn)安全供電存在潛在風(fēng)險(xiǎn)；

（3）部分網(wǎng)點(diǎn)人員思想覺悟不高，主動(dòng)學(xué)習(xí)意識淡薄，對平常工作不夠重視，對聯(lián)社的各項(xiàng)規(guī)章制度學(xué)習(xí)不夠深入。

三、下一步工作打算

1、加強(qiáng)學(xué)習(xí)，提高自身素質(zhì)。今后要嚴(yán)格按照《縣級聯(lián)社信息科技基礎(chǔ)工作規(guī)范2.0》的要求，認(rèn)真做好日常設(shè)備系統(tǒng)的巡檢，定期巡查聯(lián)社機(jī)房及各營業(yè)網(wǎng)點(diǎn)的設(shè)備和系統(tǒng)，確保線路暢通，設(shè)備正常運(yùn)行無事故，保證我縣各項(xiàng)信息系統(tǒng)安全穩(wěn)定運(yùn)行。

2、繼續(xù)做好自助設(shè)備、自助終端的規(guī)范管理工作。我縣中層人員剛剛調(diào)整，人員變動(dòng)較大，加大了自助設(shè)備管理的難度，對此科技部將繼續(xù)加大對ATM管理員的培訓(xùn)力度，加大對ATM的考核力度，使我縣ATM管理更加規(guī)范，同時(shí)定期對轄內(nèi)的自助設(shè)備進(jìn)行檢查、維護(hù)，切實(shí)提高自助設(shè)備的無故障開機(jī)率。

3、加強(qiáng)信息系統(tǒng)應(yīng)急管理。在后兩個(gè)月的工作中我聯(lián)社要繼續(xù)開展科技風(fēng)險(xiǎn)自查整改工作，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，認(rèn)真整改。同時(shí)要繼續(xù)完善《重要信息系統(tǒng)應(yīng)急預(yù)案》，根據(jù)應(yīng)急預(yù)案組織各種形式的應(yīng)急演練，切實(shí)增強(qiáng)風(fēng)險(xiǎn)抵御能力，確保年終決算順利進(jìn)行。

平原縣農(nóng)村信用合作聯(lián)社 二〇一一年十一月十日

第二篇：銀行信息科技風(fēng)險(xiǎn)的治理途徑

銀行信息科技風(fēng)險(xiǎn)的治理途徑

中國農(nóng)業(yè)發(fā)展銀行總行營運(yùn)中心 李小慶

信息科技風(fēng)險(xiǎn)治理的主要目標(biāo)是為了采取一定的有效措施，規(guī)避信息科技風(fēng)險(xiǎn)帶來的損失，同時(shí)需要平衡信息科技風(fēng)險(xiǎn)防控所收獲的價(jià)值和開展信息科技風(fēng)險(xiǎn)防控活動(dòng)所需的成本。257 信息化建設(shè)一直是現(xiàn)代銀行發(fā)展戰(zhàn)略的重要組成部分。最近十年，銀行信息化建設(shè)一直在高速向前發(fā)展。隨著數(shù)據(jù)大集中工程的啟動(dòng)及完成，銀行信息化從信息基礎(chǔ)設(shè)施到業(yè)務(wù)系統(tǒng)的建設(shè)，都取得了較為明顯的成效，信息化總體架構(gòu)已經(jīng)成熟，各類業(yè)務(wù)應(yīng)用系統(tǒng)已經(jīng)初具規(guī)模。各類信息系統(tǒng)已經(jīng)成為銀行提供客戶服務(wù)、獲取市場價(jià)值、培育核心競爭力的重要途徑。

但是，隨著銀行信息化規(guī)模的日益擴(kuò)大，信息科技風(fēng)險(xiǎn)的防控及治理始終是銀行信息化建設(shè)和管理的薄弱環(huán)節(jié)。2009年，銀監(jiān)會(huì)發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)治理指引》（以下簡稱《指引》），從信息安全、信息系統(tǒng)開發(fā)和信息科技運(yùn)行等多個(gè)層面對信息科技風(fēng)險(xiǎn)治理進(jìn)行了清晰規(guī)定。從《指引》中，我們可以解讀到，信息科技風(fēng)險(xiǎn)治理是以可接受的成本識別、控制、降低可能影響信息系統(tǒng)風(fēng)險(xiǎn)的過程，通過風(fēng)險(xiǎn)識別，制定信息科技風(fēng)險(xiǎn)治理策略，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降低到一個(gè)可以被接受的水平，同時(shí)考慮控制費(fèi)用與風(fēng)險(xiǎn)之間的平衡。信息科技風(fēng)險(xiǎn)治理體系主要包含信息科技風(fēng)險(xiǎn)識別、分析與評價(jià)，信息科技風(fēng)險(xiǎn)的計(jì)量，信息科技的治理思路和控制措施。

一、信息科技風(fēng)險(xiǎn)識別、分析與評價(jià)

信息科技風(fēng)險(xiǎn)治理的主要目標(biāo)是在可接受成本的范圍內(nèi)，分析信息系統(tǒng)面臨的潛在風(fēng)險(xiǎn)，并采取一定措施控制和防御風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)識別是指對組成信息科技風(fēng)險(xiǎn)因素在系統(tǒng)中潛在可能性認(rèn)識的過程，風(fēng)險(xiǎn)分析是指系統(tǒng)化地識別和分析風(fēng)險(xiǎn)來源和風(fēng)險(xiǎn)類型，風(fēng)險(xiǎn)評價(jià)是指按組織制定的風(fēng)險(xiǎn)標(biāo)準(zhǔn)計(jì)算風(fēng)險(xiǎn)水平，確定風(fēng)險(xiǎn)嚴(yán)重性。

1．風(fēng)險(xiǎn)識別

信息科技風(fēng)險(xiǎn)的組成因素，一般包含價(jià)值信息資產(chǎn)、信息資產(chǎn)面臨的威脅、信息資產(chǎn)的脆弱性等。信息資產(chǎn)是對組織具有價(jià)值的信息資源，是風(fēng)險(xiǎn)控制措施保護(hù)的對象。信息資產(chǎn)面臨的威脅是可能對信息資產(chǎn)或組織造成損害的潛在因素。信息資產(chǎn)脆弱性是信息資產(chǎn)可能被威脅利用的弱點(diǎn)。風(fēng)險(xiǎn)識別是對信息系統(tǒng)和信息基礎(chǔ)設(shè)施的威脅、脆弱性和風(fēng)險(xiǎn)的識別，它包含以下元素：被特定威脅利用的信息資產(chǎn)的一種或一組脆弱性，導(dǎo)致信息資產(chǎn)丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的集合。風(fēng)險(xiǎn)識別過程是綜合分析信息科技風(fēng)險(xiǎn)各組成因素，包含信息資產(chǎn)的價(jià)值、對信息資產(chǎn)的威脅和威脅發(fā)生的可能性、信息資產(chǎn)脆弱性、現(xiàn)有的風(fēng)險(xiǎn)控制提供的保護(hù)等，從而導(dǎo)出風(fēng)險(xiǎn)的過程。銀行對信息科技風(fēng)險(xiǎn)一般具有偏好性考慮，其結(jié)果受到業(yè)務(wù)需求及戰(zhàn)略目標(biāo)、文化、業(yè)務(wù)流程、風(fēng)險(xiǎn)要求、信息規(guī)模和結(jié)構(gòu)的影響，因此在風(fēng)險(xiǎn)識別實(shí)施前，應(yīng)確定風(fēng)險(xiǎn)識別的范圍和目標(biāo)，建立適當(dāng)?shù)慕M織結(jié)構(gòu)，建立系統(tǒng)化的風(fēng)險(xiǎn)識別方法，獲得管理者對風(fēng)險(xiǎn)識別工作的批準(zhǔn)。

2．風(fēng)險(xiǎn)分析

在進(jìn)行風(fēng)險(xiǎn)識別之后，必須就各項(xiàng)風(fēng)險(xiǎn)對整個(gè)信息系統(tǒng)的影響程度做一些分析和評價(jià)，通常這些評價(jià)建立在以特性為依據(jù)的判斷和以數(shù)據(jù)統(tǒng)計(jì)為依據(jù)的研究上。風(fēng)險(xiǎn)分析的方法非常多，一般采用統(tǒng)計(jì)學(xué)范疇內(nèi)的概率、分布頻率、平均數(shù)、眾數(shù)等方法。但無論是哪一種工具，都各有長短，而且不可避免地會(huì)受到分析者的主觀影響?？梢酝ㄟ^多維度、多人員分析或者采取頭腦風(fēng)暴法等盡可能避免。此外，應(yīng)當(dāng)明確，風(fēng)險(xiǎn)是一種變化著的事物，基于這種易變條件上的預(yù)測和分析，是不可能做到十分精確和可靠的。所有的風(fēng)險(xiǎn)分析都只有一個(gè)目的，即盡量為避免信息系統(tǒng)提供的服務(wù)失控和為具體的信息系統(tǒng)開發(fā)和運(yùn)行中突發(fā)問題預(yù)留足夠的后備措施和緩沖空間。

3．風(fēng)險(xiǎn)評價(jià)

信息科技風(fēng)險(xiǎn)評價(jià)方法有兩種：定量方法和定性方法。定量分析是試圖從財(cái)務(wù)價(jià)值上對構(gòu)成風(fēng)險(xiǎn)的信息資產(chǎn)的各項(xiàng)要素進(jìn)行量化分析評價(jià)的一種方法，由于定量分析所依賴的數(shù)據(jù)的可靠性和有效性很難保證，加之對數(shù)據(jù)統(tǒng)計(jì)缺乏長期性，所以，定量分析方法在銀行信息科技風(fēng)險(xiǎn)評價(jià)中并不常用，取而代之的是更容易實(shí)施的定性分析方法。

定性風(fēng)險(xiǎn)評價(jià)并不強(qiáng)求對構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素進(jìn)行精確的量化評價(jià)，它有賴于評價(jià)者的經(jīng)驗(yàn)判斷、業(yè)界慣例以及組織自身定義的標(biāo)準(zhǔn)，來對風(fēng)險(xiǎn)要素進(jìn)行相對的等級分化，最終得出的風(fēng)險(xiǎn)大小，只需要通過等級差別來分出優(yōu)先順序即可。事實(shí)上，銀行最關(guān)心的是業(yè)務(wù)活動(dòng)的持續(xù)性，對于影響業(yè)務(wù)活動(dòng)持續(xù)性的各種風(fēng)險(xiǎn)問題，在有限的資源支持情況下，只需要抓住最突出的問題，有針對性地采取措施即可。

二、信息科技風(fēng)險(xiǎn)計(jì)量方法

風(fēng)險(xiǎn)計(jì)量是在風(fēng)險(xiǎn)識別的基礎(chǔ)上，根據(jù)信息科技風(fēng)險(xiǎn)組成要素的相關(guān)屬性進(jìn)行賦值，進(jìn)行綜合計(jì)算最終獲得信息科技風(fēng)險(xiǎn)值。信息資產(chǎn)的屬性主要是資產(chǎn)價(jià)值，威脅的屬性主要是威脅主體、影響程度、影響范圍等，脆弱性的屬性主要是信息資產(chǎn)缺陷的嚴(yán)重程度。風(fēng)險(xiǎn)計(jì)量的主要內(nèi)容是對信息資產(chǎn)進(jìn)行識別，并對信息資產(chǎn)的價(jià)值進(jìn)行賦值；對威脅進(jìn)行識別，描述威脅的屬性，并對威脅潛在影響程度賦值；對信息資產(chǎn)的脆弱性進(jìn)行識別，并對具體信息資產(chǎn)的脆弱性的嚴(yán)重程度賦值。風(fēng)險(xiǎn)計(jì)量原理如圖1所示，具體計(jì)量方法進(jìn)行如下介紹。

1．信息資產(chǎn)風(fēng)險(xiǎn)的計(jì)量

信息資產(chǎn)是指任何對銀行具有價(jià)值的信息資產(chǎn)，包括計(jì)算機(jī)硬件、通信設(shè)施、機(jī)房、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些信息資產(chǎn)都需要妥善保護(hù)。為了進(jìn)一步定義其價(jià)值，一般需將其分類，除一般認(rèn)可的軟件、硬件、數(shù)據(jù)信息資產(chǎn)外，還需增加人員、服務(wù)等項(xiàng)目，在此基礎(chǔ)上可進(jìn)一步細(xì)分，以達(dá)到精細(xì)化管理的要求。對細(xì)分后的信息資產(chǎn)，需定義其價(jià)值。這里所講的價(jià)值并不是財(cái)物價(jià)格，而是從信息科技風(fēng)險(xiǎn)的角度，即機(jī)密性、完整性、可用性的價(jià)值取值。如果采取三級分類法對信息資產(chǎn)進(jìn)行劃分，分類標(biāo)準(zhǔn)參照如下。

（1）關(guān)鍵信息資產(chǎn)：從保密性而言，對應(yīng)為機(jī)密級，涵蓋重要的信息、信息處理設(shè)施和系統(tǒng)資源，只能給少數(shù)必須知道者（特定的任務(wù)群體），一旦泄漏，會(huì)造成嚴(yán)重的損害（部門或特定范圍）。

（2）重要信息資產(chǎn)：從保密性而言，對應(yīng)為秘密級，涵蓋一般性的商業(yè)秘密，泄漏后會(huì)造成一定的損害，但不會(huì)造成重大的影響與損失。未經(jīng)授權(quán)的更改、破壞或誤操作對信息系統(tǒng)造成一定的影響，或給業(yè)務(wù)帶來明顯沖擊。

（3）普通信息資產(chǎn)：并非敏感信息，主要限于內(nèi)部使用。一旦泄漏，并不會(huì)造成顯著的影響。很難采用精確的財(cái)務(wù)方式來給信息資產(chǎn)確定價(jià)值，一般采用定性的方式來建立信息資產(chǎn)的價(jià)值或重要度，即按照事先確定的價(jià)值尺度將信息資產(chǎn)的價(jià)值劃分為不同等級。經(jīng)過信息資產(chǎn)識別與估價(jià)后，組織應(yīng)根據(jù)信息資產(chǎn)價(jià)值的大小進(jìn)一步確定需要保護(hù)的關(guān)鍵信息資產(chǎn)。

2．威脅風(fēng)險(xiǎn)的計(jì)量

威脅風(fēng)險(xiǎn)的計(jì)量用以評價(jià)威脅發(fā)生時(shí)對信息資產(chǎn)造成的潛在影響或后果，威脅一般能對信息基礎(chǔ)設(shè)施進(jìn)行損壞，還有可能導(dǎo)致信息泄密，或信息完整性和可用性受損，信息服務(wù)質(zhì)量下降，嚴(yán)重的甚至可能造成信息系統(tǒng)崩潰、信息服務(wù)中斷，直接影響銀行的經(jīng)營利潤和聲譽(yù)風(fēng)險(xiǎn)。不同的威脅可能對銀行及其信息資產(chǎn)的影響程度不盡相同，其導(dǎo)致的價(jià)值損失可能也不一樣，威脅的可能性可以采取資產(chǎn)的相對價(jià)值的損失度來衡量，資產(chǎn)的相對價(jià)值是通過折舊損耗之后資產(chǎn)的現(xiàn)值，價(jià)值損失度表示當(dāng)信息資產(chǎn)遭遇威脅攻擊之后，信息資產(chǎn)及信息服務(wù)質(zhì)量遭受損失的程度。威脅的可能性一般可分為三級，取值標(biāo)準(zhǔn)如下。

（1）高：在業(yè)務(wù)活動(dòng)持續(xù)期間，威脅發(fā)生后，會(huì)對資產(chǎn)的相對價(jià)值造成全部損失或巨大損失。

（2）中：在業(yè)務(wù)活動(dòng)持續(xù)期間，威脅發(fā)生后，會(huì)對資產(chǎn)的相對價(jià)值造成中度損失或局部損失。

（3）低：在業(yè)務(wù)活動(dòng)持續(xù)期間，威脅發(fā)生后，會(huì)對資產(chǎn)的相對價(jià)值造成輕微損失或零損失。

3．脆弱性風(fēng)險(xiǎn)的計(jì)量

由于組織、人員、管理、技術(shù)、流程、信息資產(chǎn)本身的缺陷，導(dǎo)致信息資產(chǎn)和信息基礎(chǔ)設(shè)施在某些方向存在一定的脆弱性，這些脆弱性在信息系統(tǒng)連續(xù)運(yùn)行的過程中，當(dāng)遇到某種環(huán)境或某類事件時(shí)，就會(huì)被激發(fā)或體現(xiàn)出來，它可能導(dǎo)致信息資產(chǎn)直接受損或信息系統(tǒng)運(yùn)行質(zhì)量下降，同時(shí)還有可能被某種威脅利用，導(dǎo)致較為嚴(yán)重的后果。因此，應(yīng)該針對每一項(xiàng)需要保護(hù)的信息資產(chǎn)，分析其脆弱性存在的地方及嚴(yán)重程度，評價(jià)由于其脆弱性的存在，當(dāng)意外事件或威脅發(fā)生時(shí)，會(huì)給銀行帶來的直接或間接的損失或傷害。信息資產(chǎn)脆弱性一般分為三級，取值標(biāo)準(zhǔn)如下。

（1）高：當(dāng)有意外事件或脆弱性被威脅利用，會(huì)造成存在此脆弱性的信息資產(chǎn)立即停止為相關(guān)業(yè)務(wù)提供服務(wù)。

（2）中：當(dāng)有意外事件或脆弱性被威脅利用，會(huì)造成存在此脆弱性的信息資產(chǎn)降低為相關(guān)業(yè)務(wù)提供服務(wù)的效率，但服務(wù)仍可繼續(xù)。

（3）低：當(dāng)有意外事件或脆弱性被威脅利用，會(huì)造成存在此脆弱性的信息資產(chǎn)對繼續(xù)為相關(guān)業(yè)務(wù)提供服務(wù)沒有影響。

最終每項(xiàng)信息資產(chǎn)的風(fēng)險(xiǎn)狀況可用以下方法簡單計(jì)算得到：

風(fēng)險(xiǎn)值=信息資產(chǎn)價(jià)值*威脅可能性*弱點(diǎn)嚴(yán)重性

資產(chǎn)價(jià)值、威脅可能性、脆弱性嚴(yán)重性采用三級分類，其低、中、高取值分別為1、2、3，資產(chǎn)的風(fēng)險(xiǎn)值則有1、2、3、4、6、8、9、12、18、27等結(jié)果。我們可以定義風(fēng)險(xiǎn)值在l至9的資產(chǎn)為低風(fēng)險(xiǎn)資產(chǎn)，風(fēng)險(xiǎn)值12至18為中等風(fēng)險(xiǎn)資產(chǎn)，風(fēng)險(xiǎn)值27為高風(fēng)險(xiǎn)資產(chǎn)。銀行可根據(jù)自己的風(fēng)險(xiǎn)偏好，確定可接受的風(fēng)險(xiǎn)程度，如低風(fēng)險(xiǎn)可接受，而中高風(fēng)險(xiǎn)不可接受，然后對不可接受風(fēng)險(xiǎn)采取相應(yīng)的控制措施。通過降低風(fēng)險(xiǎn)發(fā)生的可能性，確保信息資產(chǎn)的殘余風(fēng)險(xiǎn)控制在銀行可接受的范圍內(nèi)。

三、銀行信息科技風(fēng)治理思路

按照國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA的觀點(diǎn)，信息科技風(fēng)險(xiǎn)治理是一個(gè)由各類信息關(guān)系和信息科技風(fēng)險(xiǎn)治理活動(dòng)過程組成的治理結(jié)構(gòu)，用以指導(dǎo)、分析和控制信息科技風(fēng)險(xiǎn)。信息科技風(fēng)險(xiǎn)治理的主要目標(biāo)是為了采取一定的有效措施，規(guī)避信息科技風(fēng)險(xiǎn)帶來的損失，同時(shí)需要平衡信息科技風(fēng)險(xiǎn)防控所收獲的價(jià)值和開展信息科技風(fēng)險(xiǎn)防控活動(dòng)所需的成本。因此，不僅僅要從技術(shù)層面規(guī)避風(fēng)險(xiǎn)，同時(shí)要從流程、技術(shù)、人員三個(gè)不可分離的層面來從事信息科技風(fēng)險(xiǎn)的管理工作。目前在信息科技風(fēng)險(xiǎn)管控方面，銀行還需滿足外部監(jiān)管部門的要求，從而避免給銀行帶來更大的合規(guī)風(fēng)險(xiǎn)。

1．提出信息科技風(fēng)險(xiǎn)治理需求

信息科技風(fēng)險(xiǎn)是信息系統(tǒng)各組成要件在履行其應(yīng)用功能過程中，在完整性、可用性、抗否認(rèn)性和機(jī)密性等方面存在的脆弱性，以及信息系統(tǒng)內(nèi)部或外部的人們利用這些脆弱性可能產(chǎn)生的違背信息系統(tǒng)所屬組織風(fēng)險(xiǎn)管理意志的行為及其后果。信息科技風(fēng)險(xiǎn)治理需求則是對抗和消除信息科技風(fēng)險(xiǎn)治理風(fēng)險(xiǎn)的必要}生和可行陛，它是制定和實(shí)施信息科技風(fēng)險(xiǎn)治理策略的起點(diǎn)和依據(jù)。在制定信息科技風(fēng)險(xiǎn)治理策略前，首先需要進(jìn)行信息科技風(fēng)險(xiǎn)治理風(fēng)險(xiǎn)識別，充分分析信息科技風(fēng)險(xiǎn)治理需求。為此，銀行需要詳細(xì)分析銀行信息系統(tǒng)的構(gòu)成，所要保護(hù)的信息系統(tǒng)資源類別，以及對攻擊者攻擊目的、技術(shù)手段和造成的后果的假設(shè)，兼顧所受到的已知的、可能的和與該系統(tǒng)有關(guān)的威脅，以及構(gòu)成信息系統(tǒng)各部件的缺陷和隱患共同形成的風(fēng)險(xiǎn)等，從而提出信息科技風(fēng)險(xiǎn)治理需求。

2．確定信息科技風(fēng)險(xiǎn)治理策略

信息科技風(fēng)險(xiǎn)治理需求轉(zhuǎn)變?yōu)樾畔⒖萍硷L(fēng)險(xiǎn)治理策略主要把握三個(gè)平衡標(biāo)準(zhǔn)：一是能夠采取一定的方法將信息科技風(fēng)險(xiǎn)降到可以接受的程度；二是潛在的信息科技風(fēng)險(xiǎn)的威脅隨時(shí)有可能對現(xiàn)有信息資產(chǎn)的價(jià)值進(jìn)行催毀或造成較大程度的損失；三是銀行自身的合規(guī)建設(shè)和外部監(jiān)管部門的合規(guī)要求。

一個(gè)較好的信息科技風(fēng)險(xiǎn)治理策略，應(yīng)該最大限度地按照信息科技風(fēng)險(xiǎn)治理等級保護(hù)要求對信息資產(chǎn)的脆弱性進(jìn)行保護(hù)，對信息資產(chǎn)面臨的威脅進(jìn)行防控、規(guī)避或消除，能夠體現(xiàn)系統(tǒng)資源擁有者和管理者的信息科技風(fēng)險(xiǎn)治理意志和思路，保證攻擊信息系統(tǒng)所花的代價(jià)遠(yuǎn)遠(yuǎn)大于獲取信息資產(chǎn)的現(xiàn)值和潛在價(jià)值。同時(shí)，信息科技風(fēng)險(xiǎn)治理策略應(yīng)盡可能地制約所預(yù)見的系統(tǒng)風(fēng)險(xiǎn)及其變化，并在維持“風(fēng)險(xiǎn)一信息科技風(fēng)險(xiǎn)治理一投資”關(guān)系中具有持續(xù)平衡能力。

3．建立信息科技風(fēng)險(xiǎn)治理體系

將信息科技風(fēng)險(xiǎn)治理策略付諸實(shí)施的關(guān)鍵，是建立起符合銀行實(shí)際的保障信息資產(chǎn)的信息科技風(fēng)險(xiǎn)治理組織體系、管理體系和技術(shù)體系，從而在管理和技術(shù)上保證信息科技風(fēng)險(xiǎn)治理策略得以完整準(zhǔn)確地實(shí)現(xiàn)，全面準(zhǔn)確地滿足信息科技風(fēng)險(xiǎn)治理需求。其中，組織體系是信息系統(tǒng)信息科技風(fēng)險(xiǎn)治理的組織保障，由人、崗位和人事管理機(jī)構(gòu)三部分組成；管理體系是信息科技風(fēng)險(xiǎn)治理的靈魂，由法律管理、制度管理、培訓(xùn)和管理四部分組成，信息科技風(fēng)險(xiǎn)治理需求分析和信息科技風(fēng)險(xiǎn)治理策略制定是其關(guān)鍵內(nèi)容；技術(shù)體系是全面提供信息科技風(fēng)險(xiǎn)治理保護(hù)的技術(shù)保障系統(tǒng)，包括確定必需的信息科技風(fēng)險(xiǎn)治理服務(wù)、信息科技風(fēng)險(xiǎn)治理機(jī)制和技術(shù)管理以及它們在信息系統(tǒng)上的合理部署和配置。

四、信息科技風(fēng)險(xiǎn)防控方法

通過對銀行信息科技治理、全面的信息科技項(xiàng)目風(fēng)險(xiǎn)管理、信息系統(tǒng)開發(fā)、維護(hù)、運(yùn)行管理、信息風(fēng)險(xiǎn)體系的建立、銀行業(yè)務(wù)連續(xù)性管理、技術(shù)外包管理、內(nèi)部和外部審計(jì)等幾方面結(jié)合，具體論述銀行各類信息科技風(fēng)險(xiǎn)的防控策略和建立一體化防控機(jī)制的措施，通過建立有效的防控機(jī)制，實(shí)現(xiàn)對銀行信息科技風(fēng)險(xiǎn)的識別、計(jì)量、評價(jià)和控制，提供風(fēng)險(xiǎn)預(yù)警，增強(qiáng)銀行的核心競爭力和可持續(xù)發(fā)展的能力。

1．建立信息科技風(fēng)險(xiǎn)治理的決策議事機(jī)構(gòu)

在銀行風(fēng)險(xiǎn)管理委員會(huì)和信息化委員會(huì)的基礎(chǔ)上，在其下面建立信息科技風(fēng)險(xiǎn)治理的議事決策機(jī)構(gòu)——信息科技風(fēng)險(xiǎn)管理分委會(huì)，信息科技風(fēng)險(xiǎn)管理分委會(huì)由銀行的最高管理層及與信息科技風(fēng)險(xiǎn)治理有關(guān)的部門負(fù)責(zé)人、管理技術(shù)人員組成，定期召開會(huì)議，并就以下重要信息科技風(fēng)險(xiǎn)治理議題進(jìn)行討論并做出決策，為銀行信息科技風(fēng)險(xiǎn)治理提供導(dǎo)向與支持：評審和審批信息科技風(fēng)險(xiǎn)治理策略；分配信息科技風(fēng)險(xiǎn)治理職責(zé)；確認(rèn)風(fēng)險(xiǎn)評價(jià)的結(jié)果；對與信息科技風(fēng)險(xiǎn)治理有關(guān)的重大更改事項(xiàng)，如組織機(jī)構(gòu)調(diào)整、信息系統(tǒng)更改等進(jìn)行決策；評審和監(jiān)測信息科技風(fēng)險(xiǎn)治理事故；審批與信息科技風(fēng)險(xiǎn)治理有關(guān)的其他重要事項(xiàng)。

2．明確信息科技風(fēng)險(xiǎn)治理的職責(zé)和流程

職責(zé)缺乏或界定不清，最終導(dǎo)致信息科技風(fēng)險(xiǎn)控制得不到有效的實(shí)施，形成管理風(fēng)險(xiǎn)。銀行最高管理者應(yīng)確保對以下信息科技風(fēng)險(xiǎn)治理職責(zé)進(jìn)行規(guī)定并形成書面文件：管理層職責(zé)，部門職責(zé)；在管理層指定一名信息科技風(fēng)險(xiǎn)治理經(jīng)理，分管銀行信息科技風(fēng)險(xiǎn)治理事宜，負(fù)責(zé)銀行的信息科技風(fēng)險(xiǎn)治理方針的貫徹與落實(shí)，就信息科技風(fēng)險(xiǎn)治理的效果與有關(guān)重大問題及時(shí)與最高管理者進(jìn)行溝通。確定與信息科技風(fēng)險(xiǎn)治理有關(guān)的管理、操作、驗(yàn)證等人員的職責(zé)；基本原則就是告知管理層和員工信息科技風(fēng)險(xiǎn)治理時(shí)的行為和方法，特別是在信息科技風(fēng)險(xiǎn)治理通常不被重視的地方。

3．建立信息系統(tǒng)的安全等級保護(hù)機(jī)制

銀行需要按照國家及監(jiān)管部門有關(guān)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級保護(hù)工作，建設(shè)風(fēng)險(xiǎn)設(shè)施、建立風(fēng)險(xiǎn)制度、落實(shí)風(fēng)險(xiǎn)責(zé)任，接受公安機(jī)關(guān)、保密部門對信息系統(tǒng)安全等級保護(hù)工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)風(fēng)險(xiǎn)。信息系統(tǒng)安全等級保護(hù)工作的原則為：對照標(biāo)準(zhǔn)定級，各信息系統(tǒng)風(fēng)險(xiǎn)保護(hù)等級的確定須對照監(jiān)管部門或總行關(guān)于等級劃分和定級的標(biāo)準(zhǔn)來確定；分級實(shí)施保護(hù)，根據(jù)確定的信息系統(tǒng)風(fēng)險(xiǎn)保護(hù)等級，按照相關(guān)的法規(guī)和標(biāo)準(zhǔn)，分級別實(shí)施不同強(qiáng)度的風(fēng)險(xiǎn)保護(hù)；建設(shè)保護(hù)同步，信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)須同步規(guī)劃和設(shè)計(jì)風(fēng)險(xiǎn)方案，并組織實(shí)施；等級動(dòng)態(tài)調(diào)整．信息系統(tǒng)的功能和系統(tǒng)架構(gòu)發(fā)生重大變化的，須重新進(jìn)行等級確定并實(shí)施風(fēng)險(xiǎn)保護(hù)。

4．加強(qiáng)與其他關(guān)聯(lián)組織間的協(xié)作

信息科技發(fā)展日新月異，信息安全產(chǎn)品與技術(shù)不斷翻新，信息安全威脅的手段與種類也在不斷地變化。因此，對于外行來說，信息科技風(fēng)險(xiǎn)治理的某些方面是復(fù)雜的和困難的，對內(nèi)行來說，同樣也是復(fù)雜的和困難的。銀行可通過各種方式，獲取信息科技風(fēng)險(xiǎn)治理方面的建議以支持信息科技風(fēng)險(xiǎn)治理。與信息科技風(fēng)險(xiǎn)治理有關(guān)的國家管理機(jī)關(guān)有公安部、國家安全局、信息產(chǎn)業(yè)部等，銀行在遵守信息科技風(fēng)險(xiǎn)治理法律法規(guī)的方面，應(yīng)服從與信息科技風(fēng)險(xiǎn)治理有關(guān)的國家執(zhí)法機(jī)構(gòu)、人民銀行和銀監(jiān)會(huì)的管理和指導(dǎo)。銀行有必要保持和它們以及同業(yè)銀行、信息服務(wù)供應(yīng)商、電信運(yùn)營商的適當(dāng)聯(lián)系，以確保在出現(xiàn)風(fēng)險(xiǎn)事故時(shí)盡快采取適當(dāng)?shù)男袆?dòng)和獲得建議。但在進(jìn)行風(fēng)險(xiǎn)信息的交流時(shí)，要防止銀行的機(jī)密信息傳給未經(jīng)授權(quán)的人。

5．對信息科技風(fēng)險(xiǎn)治理工作進(jìn)行獨(dú)立評審

信息科技風(fēng)險(xiǎn)治理以風(fēng)險(xiǎn)出現(xiàn)的可能性作為對象而展開的，遵循管理的一般循環(huán)模式：計(jì)劃、執(zhí)行、檢查、行動(dòng)的持續(xù)改進(jìn)模式。為驗(yàn)證各項(xiàng)信息科技風(fēng)險(xiǎn)治理方針及控制程序、風(fēng)險(xiǎn)管理規(guī)章制度是否被有效實(shí)施，發(fā)現(xiàn)風(fēng)險(xiǎn)隱患并采取糾正措施，防止同樣的問題再次發(fā)生，可以通過內(nèi)部審核或外部審核達(dá)到上述目的。所謂審核的“獨(dú)立”性是指審核員與被審核方保持適當(dāng)?shù)莫?dú)立性，即被審核方不應(yīng)審核自己的工作，確保信息科技風(fēng)險(xiǎn)治理體系和策略的公正與可靠。

第三篇：信息科技風(fēng)險(xiǎn)報(bào)告 - 副本

信息科技風(fēng)險(xiǎn)自查報(bào)告

按照上級領(lǐng)導(dǎo)的指示，認(rèn)真貫徹《XX通知》（XX文件）精神，為充分做好重要時(shí)期金融網(wǎng)絡(luò)和信息系統(tǒng)安全保障工作，防范信息科技風(fēng)險(xiǎn)，保障計(jì)算機(jī)系統(tǒng)運(yùn)行和操作安全，建立和完善信息科技風(fēng)險(xiǎn)管理機(jī)制。對信息科技工作進(jìn)行了一次全面的自我評估及審查?，F(xiàn)將審查情況報(bào)告如下：

一、組織架構(gòu)、制度建設(shè)及管理情況

1、信息科技治理組織架構(gòu)

信息系統(tǒng)應(yīng)急處理領(lǐng)導(dǎo)小組負(fù)責(zé)組織制定全轄?wèi)?yīng)急處置的實(shí)施細(xì)則，統(tǒng)一組織、協(xié)調(diào)、指導(dǎo)、檢查全轄?wèi)?yīng)急處置的管理；負(fù)責(zé)全轄信息系統(tǒng)突發(fā)事件的應(yīng)急指揮、組織協(xié)調(diào)和過程控制

成立了信息科技部，加強(qiáng)了信息科技管理。

2、信息科技管理制度建設(shè)（1）安全管理

對安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度，制定了《南樂縣農(nóng)村信用社計(jì)算機(jī)信息系統(tǒng)安全管理制度》等，并且及時(shí)發(fā)現(xiàn)缺漏或不足對制度進(jìn)行修訂。

（2）應(yīng)急處理

建立較為完善的信息計(jì)算機(jī)信息系統(tǒng)管理辦法，制定中心機(jī)房關(guān)鍵基礎(chǔ)設(shè)施專項(xiàng)應(yīng)急預(yù)案。

二、信息系統(tǒng)的技術(shù)措施情況

1、物理和環(huán)境建設(shè)

（1）機(jī)房的物理訪問控制：機(jī)房實(shí)現(xiàn)門禁控制，嚴(yán)防外部人員進(jìn)入機(jī)房擅自操作。

（2）系統(tǒng)密碼均由專門人員掌管，計(jì)算機(jī)終端無人看管時(shí)鎖定；

（3）機(jī)房采用集中監(jiān)控，監(jiān)控清晰全面，參數(shù)實(shí)行24小時(shí)不間斷監(jiān)控，崗位人員具備管理監(jiān)控專業(yè)素質(zhì)。

（4）機(jī)房供電系統(tǒng)均采用雙路UPS供電，線路冗余性好，負(fù)載能力強(qiáng)，完全能夠滿足機(jī)房電力需求。

（5）機(jī)房空調(diào)系統(tǒng)的有效性和冗余性，給排風(fēng)系統(tǒng)的有效性：機(jī)房空調(diào)系統(tǒng)安全有效，給排風(fēng)系統(tǒng)工作正常。

（6）中心機(jī)房有配套防盜竊、防雷、防火、防水、防靜電、溫濕度控制、電磁保護(hù)等措施，確保機(jī)房正常運(yùn)轉(zhuǎn)。

2、網(wǎng)絡(luò)服務(wù)連續(xù)性、冗余性

1.所有重要通信線路均有備份線路且采用不同運(yùn)營商，確保網(wǎng)絡(luò)無斷點(diǎn)。

2.網(wǎng)絡(luò)設(shè)備的冗余性：網(wǎng)絡(luò)設(shè)備均有備份。核心網(wǎng)絡(luò)設(shè)備，核心生產(chǎn)系統(tǒng)設(shè)備均采用雙機(jī)熱備，確保關(guān)鍵生產(chǎn)設(shè)備運(yùn)行的可靠性。

3.訪問線路的帶寬完全能夠滿足各信息系統(tǒng)的帶寬需求，無網(wǎng)絡(luò)擁塞現(xiàn)象。

4.網(wǎng)絡(luò)設(shè)備管理配置均由專人分管負(fù)責(zé)，確保合理操作，保障網(wǎng)絡(luò)通暢、安全；

3、應(yīng)用安全

1.業(yè)務(wù)應(yīng)用系統(tǒng)的用戶授權(quán)及鑒別認(rèn)證措施

業(yè)務(wù)應(yīng)用系統(tǒng)用戶密碼相關(guān)業(yè)務(wù)人員各自保管，通過操作號和密碼進(jìn)行身份鑒別認(rèn)證。人員離開時(shí)應(yīng)設(shè)置屏幕密碼保護(hù)或退出到登陸狀態(tài)。

2.業(yè)務(wù)應(yīng)用系統(tǒng)的用戶訪問控制

系統(tǒng)軟件用戶訪問實(shí)現(xiàn)權(quán)限控制，各級人員只能進(jìn)行權(quán)限內(nèi)操作

三、不足和改進(jìn)方法

需將管理與技術(shù)相結(jié)合，進(jìn)一步加強(qiáng)信息安全管理手段

1、從IT風(fēng)險(xiǎn)管理手段來看，部分系統(tǒng)的風(fēng)險(xiǎn)控制不夠先進(jìn)，缺乏專業(yè)的風(fēng)險(xiǎn)技術(shù)支持，事前預(yù)防作用有限，事中控制不夠。缺乏對科技風(fēng)險(xiǎn)的集中審計(jì)。

2、從組織上保證信息風(fēng)險(xiǎn)有具體人員來承擔(dān)責(zé)任，強(qiáng)化執(zhí)行力和合規(guī)性。將日常信息風(fēng)險(xiǎn)管理從傳統(tǒng)的檢查模式逐步過渡到基于評估、規(guī)劃、執(zhí)行和監(jiān)督全面循環(huán)改進(jìn)的模式。制訂詳細(xì)的信息科技風(fēng)險(xiǎn)管理架構(gòu)，確立信息服務(wù)管理與信息風(fēng)險(xiǎn)管理的關(guān)系，明確信息風(fēng)險(xiǎn)管理的范圍、職責(zé)，制訂符合信用社實(shí)際情況的管理流程，出臺可操作性強(qiáng)的安全技術(shù)規(guī)范，從而有效地防范科技風(fēng)險(xiǎn)。

第四篇：信息科技風(fēng)險(xiǎn)自查報(bào)告

信息科技自查報(bào)告

按照上級領(lǐng)導(dǎo)的指示，我行認(rèn)真貫徹精神，為充分做好重要時(shí)期金融網(wǎng)絡(luò)和信息系統(tǒng)安全保障工作，防范我行信息科技風(fēng)險(xiǎn)，保障計(jì)算機(jī)系統(tǒng)運(yùn)行和操作安全，建立和完善信息科技風(fēng)險(xiǎn)管理機(jī)制。對我行的信息科技工作進(jìn)行了一次全面的自我評估及審查?，F(xiàn)將審查情況報(bào)告如下：

一、設(shè)備間建設(shè)規(guī)范和管理規(guī)范

（1）設(shè)備間安裝了溫濕度儀表，以用來監(jiān)控機(jī)房溫度和濕度，并能夠及時(shí)開啟控溫控濕設(shè)備來保證機(jī)房的溫度和濕度。

（2）設(shè)備間每周由網(wǎng)點(diǎn)經(jīng)理或支行行長來對設(shè)備間的環(huán)境狀況進(jìn)行檢查，并登記成冊，以確保設(shè)備間保持整潔和規(guī)范。

（3）設(shè)備間嚴(yán)格控制出入人員，并保證營業(yè)網(wǎng)點(diǎn)外來人員有相關(guān)證件登記。

（4）支行技術(shù)人員每年一次對設(shè)備間的主要設(shè)備進(jìn)行巡檢，確保設(shè)備能夠正常使用，并在相關(guān)登記本上記錄。

二、應(yīng)急管理和終端安全

（1）支行會(huì)不定期對一些預(yù)案進(jìn)行檢查，確保這些預(yù)案是最新的，且告知網(wǎng)點(diǎn)人員張貼在需要的地方。

（2）支行每年會(huì)抽取一定的網(wǎng)點(diǎn)人員進(jìn)行培訓(xùn)和演練，并書寫心得和體會(huì)，確保網(wǎng)點(diǎn)人員能夠正確的應(yīng)對突發(fā)狀況。

（3）支行每月會(huì)不定期的抽查相關(guān)電腦的軟件安裝情況，檢查是否存在私自安裝不必要的軟件，以及是否私自開通ADSL等違規(guī)的網(wǎng)絡(luò)。

第五篇：信息科技治理層面

信息科技治理層面

一、信息科技治理架構(gòu)

1、信息科技治理機(jī)構(gòu)的建立與履職（信息科技管理委員會(huì)）

2、首席信息官的設(shè)立與履職

3、是否指定信息科技風(fēng)險(xiǎn)的管理部門與管理職責(zé)

二、信息科技戰(zhàn)略管理

1、是否建立了與企業(yè)戰(zhàn)略相匹配的信息科技戰(zhàn)略

2、信息科技戰(zhàn)略是否經(jīng)董事會(huì)審批

三、信息科技風(fēng)險(xiǎn)管理

1、是否制定全面的信息科技風(fēng)險(xiǎn)管理策略

2、是否制定持續(xù)的風(fēng)險(xiǎn)識別和評估流程

3、是否制定了信息科技風(fēng)險(xiǎn)管理制度、技術(shù)規(guī)范、操作規(guī)程等，并且定期進(jìn)行更新和公示

4、是否建立了持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和檢測機(jī)制

5、是否把信息科技風(fēng)險(xiǎn)納入全行全面風(fēng)險(xiǎn)管理框架，并且明確牽

頭管理部門

四、信息科技的資源管理

1、信息科技的投資管理

2、信息科技的人力資源管理

3、信息科技的信息資產(chǎn)管理

五、