欢迎来到天天文库
浏览记录
ID:26353387
大小:60.90 KB
页数:7页
时间:2018-11-26
《某银行信息科技风险识别与评估管理办法》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、某银行信息科技风险识别与评估管理办法第一章总则第一条为规范信息科技风险评估工作,提高某银行信息科技风险管理水平,促进我行业务安全、持续、稳健发展,根据国家信息安全法律、法规及银行业信息科技监管要求及《某银行信息科技风险管理策略》,结合我行风险管理实际情况,特制定本办法。第二条本办法属于信息科技风险类“管理办法”,适用于某银行信息科技工作全过程的风险评估。风险评估对象包括信息科技组织、管理过程和信息资产。第三条信息科技风险,是指信息科技在合规管理、支持业务创新和业务运营过程中,由于管理流程及资源缺失或不足、人为因素和技术漏洞产生的操作、法律、声誉等风险。第
2、四条信息科技风险评估是指在信息科技风险事件发生之前或之后(但还没有结束),该事件给信息系统的研发、生产等各个方面造成的影响和损失的可能性进行量化评估的工作。 第五条本办法所指的信息科技风险类型及来源包括但不限于以下内容:(一)信息科技总体风险是指信息科技在策略、制度、物理环境、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。 (二)信息系统风险是指信息系统在规划、研发、建设、运行、维护、监控及下线过程中由于技术和管理缺陷产生的风险。(三)研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。(四)运行维护
3、风险是指信息系统在运行与维护过程中访问管理、操作管理、变更管理、机房管理和事件管理等环节产生的风险。(五)外包风险是指本行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。第六条信息科技风险评估是识别、计量、评价信息科技风险的活动,旨在客观反映信息科技对我行发展战略的支撑程度。第七条风险评估应遵循“全面覆盖、突出重点、持续跟进”的原则。第八条总行、一级分行的信息科技风险评估(含自评估)工作应遵照本办法执行。 第二章角色分工第九条风险评估可由总行信息科技管理委员会或一级分行发起,承担机构是风险管理部,风险管理部
4、负责组建风险评估实施团队。风险评估实施团队由管理层、相关业务和技术骨干等人员组成,评估工作角色分为:评估管理人员、评估人员、评估分析人员。(一)评估管理人员由风险管理部信息科技风险管理岗担任,负责组织、管理、监督风险评估任务,包括:1.制定风险评估任务计划2.设计风险评估方案3.审核风险评估报告4.确认风险处置建议5.跟踪风险评估任务进度6.控制风险评估任务质量(二)评估人员负责按照风险评估任务要求,收集并提供信息和证据,如实反映信息科技工作现状。评估人员由评估对象所涉及的相关技术或业务骨干人员担任;(三)评估分析人员负责汇总、整理和分析采集到的信息与证
5、据材料,编写风险评估报告。评估分析人员由行内经验丰富的专业人员担任,必要时可聘请业内专业人员。第十条在同一风险评估任务中,评估实施团队成员不少于三人,评估管理人员和评估分析人员不得兼任评估人员。第三章风险评估计划第十一条总行和一级分行每年度应开展一次整体信息科技风险评估,两次以上专项信息科技风险评估。第十二条信息科技风险评估要以信息科技风险监测信息、数据以及其他有关信息为基础,遵循科学、透明和个案处理的原则进行。第十三条出现以下情况时,应结合本单位以往风险评估情况,确定是否启动专项信息科技风险评估:(一)新系统上线后或已有系统进行重大变更;(二)信息科技
6、运行中发现重大纰漏或隐患; (三)内部或同业出现重大信息科技事件;(四)信息科技审计中发现重大问题; (五)监管机构发布风险提示; (六)其他情况。第十四条一级分行根据总行风险评估工作要求,结合本行实际情况制定风险评估计划,并报总行备案。第四章风险识别与评估方法 第十五条风险评估通过人工评估或自动化工具测评等手段识别、分析支撑IT目标的流程和资源中存在的缺失或不足,判断风险优先级,提出风险处置建议。第十六条总行信息科技管理委员会或一级分行发起风险评估任务,并下达任务书。评估管理人员依据任务书组织编写风险评估任务计划书和风险评估方案。第十七条评估管理人员组
7、织人员依据评估对象的业务目标识别IT服务目标,进而分析支撑IT目标的流程和资源,并针对流程要素和资源要素设计风险检查表。第十八条评估人员依据风险检查表,采用人工或自动化工具对评估对象的信息科技状况进行信息收集。信息收集可采用调查、检查、安全测试等方式:(一)调查包括问卷调查、远程访谈、现场访谈等;(二)检查包括文档检查、代码检查、流程检查等;(三)安全测试包括人工测试、自动化测试以及综合性渗透测试等。第十九条评估分析人员采用定性或定量的计算方法,依据各类风险对实现IT目标的影响,计算出评估对象的风险优先值或级别,并进行分析:(一)风险成因分析,分析诱发风
8、险的主观因素和客观因素。主观因素包括流程缺失、控制不足或无效等;客观因素包括资源
此文档下载收益归作者所有