信息科技风险管理策略.docx

附件：信息科技风险管理分类应对策略根据信息科技风险分类情况，以二级风险为限，制定信息科技风险分类应对策略如下：信息科技治理风险应对策略信息科技治理风险包括三个二级风险：信息科技组织风险、道德文化风险以及人员管理风险。每个二级风险的内容和应对策略如下：风险编号风险名称风险描述风险应对策略1.1信息科技组织风险在信息科技风险管理机构及专业委员会设置、履职等方面的不确定因素，以及在部门/岗位设置、职责划分、垂直归口管理等方面的不确定因素所带来的影响。建立完善的信息科技治理架构。以法定代表人为第一责任人，囊括理事会、监事会、风险管理委员会、信息科技风险管理委员会、信息科技部、稽核审计部、风险管理部、人力资源部、监察部等部门。明确各部门在信息科技风险管理工作中的职责；每个部门根据在信息科技风险管理中的职责设立相应的岗位，合理分配相应的责、权、利，执行信息科技风险管理工作；省联社各部门应指导、监督办事处、各县级农村合作金融机构相应部门的信息科技风险管理工作。1.2道德文化风险在文化培育、融合、再造等过程中的不确定因素，以及员工在价值观认同、行为规范遵循等方面的不确定因素所带来的影响。在建立道德、诚信、公正的氛围，对员工进行相关的培训，作为员工日常工作的行为准则之一；建立畅通的沟通渠道，任何与陕西省农村合作金融机构道德文化标准的偏离都得到及时和充分的反映，并被立即调查和纠正。1.3人员管理风险在从人员聘用到离职整个服务期间内的不确定因素所带来的影响。建立完善的人员招聘、培训、考核、激励、离职等制度和流程，并确保得到有效执行；加强信息科技风险管理专业人员配备，提高信息科技风险管理水平；对重要岗位制定详细的工作手册并适时更新；为员工提供信息科技风险管理制度和流程的培训，提高员工风险管理意识；对人员结构、能力、素质等进行定期评估，并组织专业培训，提高人才队伍的专业技能；制定关键岗位信息科技员工流失防范措施并定期评估人员流失风险；制定关键岗位轮岗计划并执行；建立信息科技工作职责不相容矩阵，将不相容职责/岗位分离，并定期检查。信息科技战略风险应对策略信息科技战略风险包括战略规划风险和战略执行风险。每个二级风险的内容和应对策略如下：风险编号风险名称风险描述风险应对策略2.1战略管理风险在战略规划制定、调整、衔接等过程中的不确定性因素所带来的影响。按照陕西省农村合作金融机构总体业务规划制定信息科技战略；在陕西省农村合作金融机构总体业务规划进行调整时，相应的，应及时调整信息科技战略，以确保和总体业务规划的一致性。信息科技运维风险应对策略信息科技运维风险包括九个二级风险：备份管理风险、运维环境风险、容量管理风险、问题管理风险、记录管理风险、事件管理风险、发布管理风险、变更管理风险以及资产管理风险。每个二级风险的内容和应对策略如下：风险编号风险名称风险描述风险应对策略3.1备份管理风险在从制定备份策略、执行备份、备份恢复等一系列过程中的不确定因素所带来的影响。建立完善的数据中心管理制度，完善系统（程序和配置）和数据等的备份策略，包括备份范围、备份频率、备份检查、备份恢复性测试等内容；配置备份工作所必须的软硬件资源、人力资源以及空间资源等。备份介质的保存环境应当符合相关标准（如防火、防水、防磁、防盗、温湿度等）；备份介质的传递重要工作必须由专人和专用运输工具负责；对备份的结果进行检查，任何异常应立即查明原因并解决；定期进行备份恢复性测试，确保备份数据的完整、准确、有效；存储敏感数据的介质，在设备维修、用途变更或销毁时，采用消磁等完全清除数据的安全方式。3.2运维环境风险信息科技运维环境，如相关的系统、设施、设备等在运营过程中所产生的不确定因素所带来的影响。制定信息科技运维环境的维护和管理制度，确保信息科技运行在一个稳定的环境中；采用人工和技术等手段对信息科技运维环境的各种设施、设备进行预防性维护和监控，发现的问题应立即跟进；建立服务水平管理相关的制度和流程，对信息科技运行服务水平进行考核。3.3容量管理风险在信息系统性能、容量规划、容量监测和处理等过程中的不确定因素所带来的影响。制定容量规划，以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备；制定系统性能、容量监测和处理的方法；由系统自动检测或人工定期查看，确保系统稳定运行。3.4事件管理风险在事件从查明、记录到解决全过程中的不确定因素所带来的影响。制定事件管理流程，包括事件查明和记录、归类和初步支持、事件调查和分析、事件升级、解决事件和恢复服务、事件终止以及负责事件并跟踪、监督、控制和协调解决全过程；在事件发生后，应按照事件管理流程立即响应以尽快解决。3.5问题管理风险在问题申报、解决、技术援助、支持服务等过程中存在的不确定因素所带来的影响。建立并完善有效的问题管理流