信息科技风险自评估表.doc

信息科技风险自评估表 信息科技治理 序号 风险类别 风险点 控制目标 风险分析 参考依据 1 董事会或高级管理层职责 对信息科技战略的审查 批准并审查信息科技战略；保证信息科技战略与银行总体业务战略和重大策略相一致；定期评估信息科技及其风险管理工作的总体效力和效率。 信息风险管理缺乏长期规划，无法指导信息安全工作开展。 ISO27001：2005 管理层职责： 建立信息安全方针，确保信息安全目标和计划的建立，进行信息安全管理体系的评审； ISO27001：2005信息安全方针文档： 信息安全方针文档应经过管理层的批准，并向所有员工和外部相关方公布和沟通； ISO27001：2005信息安全方针评审： 应按策划的时间间隔或当发生重大变化时，对信息安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性。 2 对本行信息科技风险管理现状的掌握情况 定期听取信息科技风险管理部门报告；组织进行独立有效的信息科技风险审计；对审计报告和监管意见的整改情况进行监督。 无法掌握现有风险，对存在的信息安全风险针对性的改进无法得到有力的推进。 Corbit信息技术审计指南IT管理层理解并使用技术基础设施计划； 技术基础设施计划上的变化，以确定相关的成本和风险，这些变化要反映在IT长短期计划的变化中； IT管理层要理解监控和评估正在出现技术的过程，并要将适当的技术合并到当前的IT基础设施之中； IT管理层要理解系统评估技术计划意外的过程。 3 对信息科技建设的支持 建立合理的人才激励体制；确保为信息科技风险管理工作拨付所需资金；建立规范的职业道德行为和廉政标准。 对信息安全风险的改进缺乏有效资源 Corbit信息技术审计指南 高级管理层应执行预算编制过程，按照机构的长期和短期计划以及IT的长期和短期计划，保证年度IT运作预算的建立和批准。应调查资金的选择。 4 组织架构 组织信息科技管理委员会的建立 由来自高级管理层、信息科技部分和主要业务部分的代表组成；定期向董事会和高级管理层汇报信息科技战略规划的效力、信息科技预算和实际支出、信息科技的整体性能；对信息科技建设及管理情况进行有效的协调。 信息安全工作缺乏统一组织进行协调。 等级保护-安全管理机构-岗位设置 c) 应成立指导和管理信息安全工作的委员会或领导小组。 5 首席信息官的设置 直接参与本银行与信息科技运用有关的业务发展决策；建立切实有效的信息科技部分；确保信息科技风险管理的有效性。 信息安全工作缺乏统一有效的领导和责任人。 等级保护-安全管理机构-岗位设置 c)信息安全工作的委员会或领导小组最高领导应由单位主管领导委任或授权。 6 信息科技部门的职责 岗位设置完整合理；人员具有相应的技能和专业知识，制定有合理的培训计划；重要岗位制定详细完整的工作说明。 缺乏具有专业知识和技能的专职人员；信息安全工作无法有效的协调。 等级保护-安全管理机构-岗位设置 应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责； 应配备专职安全管理员，不可兼任； d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 7 信息科技风险管理部分的职责 可直接向CIO或CRO汇报；实施持续的信息科技风险评估；协调有关信息科技风险管理策略的制定。 8 信息科技内部审计岗位 在内审部门内部设立；配备足够的专业人员；制定完整的信息科技审计策略和流程；制定信息科技内审计划并落实。 信息安全工作缺乏有效的监督和评价，信息安全风险管理无法有效的落实和改进。 等级保护-安全管理机构-审核和检查 a) 安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况； b) 应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等； c) 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报； d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。 9 制度建设 制度建设流程 完善的规章制度和管理办法的制定、审批和修订流程。 信息安全管理制度混乱，无法形成完整体系，缺乏可操作性且得不到有效改进。 ISO27001：2005 总要求 组织应根据整体业务活动和风险，建立、实施、运行、监视、评审、保持并改进文件化的信息安全管理体系。 10 制度体系 涵盖运行、安全、开发等各重要部分；对关键部分应有详细的管理规定和操作细则。 关键工作缺乏规范性，工作流程混乱，直接导致信息安全事件。 ISO27001：2005-控制目标： 1、信息安全方针；2、信息安全组织；3