返回
信息科技风险自评估表

信息科技风险自评估表

ID:35112515

大小:236.50 KB

页数:36页

时间:2019-03-18

信息科技风险自评估表_第1页
信息科技风险自评估表_第2页
信息科技风险自评估表_第3页
信息科技风险自评估表_第4页
信息科技风险自评估表_第5页
资源描述:

《信息科技风险自评估表》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、word格式整理版信息科技风险自评估表一、信息科技治理序号风险类别风险点控制目标风险分析参考依据1董事会或高级管理层职责对信息科技战略的审查批准并审查信息科技战略;保证信息科技战略与银行总体业务战略和重大策略相一致;定期评估信息科技及其风险管理工作的总体效力和效率。信息风险管理缺乏长期规划,无法指导信息安全工作开展。ISO27001:2005管理层职责:建立信息安全方针,确保信息安全目标和计划的建立,进行信息安全管理体系的评审;ISO27001:2005信息安全方针文档:信息安全方针文档应经过管理层的批准,并向所有员工和外部相关方公布和沟通;ISO27001:2005信息安全方针评

2、审:应按策划的时间间隔或当发生重大变化时,对信息安全方针文档进行评审,以确保其持续的适宜性、充分性和有效性。2对本行信息科技风险管理现状的掌握情况定期听取信息科技风险管理部门报告;组织进行独立有效的信息科技风险审计;对审计报告和监管意见的整改情况进行监督。无法掌握现有风险,对存在的信息安全风险针对性的改进无法得到有力的推进。Corbit信息技术审计指南-决定技术方向:IT管理层理解并使用技术基础设施计划;技术基础设施计划上的变化,以确定相关的成本和风险,这些变化要反映在IT长短期计划的变化中;IT管理层要理解监控和评估正在出现技术的过程,并要将适当的技术合并到当前的IT基础设施之中

3、;IT管理层要理解系统评估技术计划意外的过程。学习参考word格式整理版3对信息科技建设的支持建立合理的人才激励体制;确保为信息科技风险管理工作拨付所需资金;建立规范的职业道德行为和廉政标准。对信息安全风险的改进缺乏有效资源Corbit信息技术审计指南-管理信息技术投资:高级管理层应执行预算编制过程,按照机构的长期和短期计划以及IT的长期和短期计划,保证年度IT运作预算的建立和批准。应调查资金的选择。4组织架构组织信息科技管理委员会的建立由来自高级管理层、信息科技部分和主要业务部分的代表组成;定期向董事会和高级管理层汇报信息科技战略规划的效力、信息科技预算和实际支出、信息科技的整体

4、性能;对信息科技建设及管理情况进行有效的协调。信息安全工作缺乏统一组织进行协调。等级保护-安全管理机构-岗位设置c)应成立指导和管理信息安全工作的委员会或领导小组。5首席信息官的设置直接参与本银行与信息科技运用有关的业务发展决策;建立切实有效的信息科技部分;确保信息科技风险管理的有效性。信息安全工作缺乏统一有效的领导和责任人。等级保护-安全管理机构-岗位设置c)信息安全工作的委员会或领导小组最高领导应由单位主管领导委任或授权。6信息科技部门的职责岗位设置完整合理;人员具有相应的技能和专业知识,制定有合理的培训计划;重要岗位制定详细完整的工作说明。缺乏具有专业知识和技能的专职人员;信

5、息安全工作无法有效的协调。等级保护-安全管理机构-岗位设置a)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b)应配备专职安全管理员,不可兼任;d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。7信息科技风险管理部分的职责可直接向CIO或CRO汇报;实施持续的信息科技风险评估;协调有关信息科技风险管理策略的制定。学习参考word格式整理版8信息科技内部审计岗位在内审部门内部设立;配备足够的专业人员;制定完整的信息科技审计策略和流程;制定信息科技内审计划并落实。信息安全工作缺乏有效的监督和评价,信息安全风险管理无

6、法有效的落实和改进。等级保护-安全管理机构-审核和检查a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;b)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;d)应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。9制度建设制度建设流程完善的规章制度和管理办法的制定、审批和修订流程。信息安全管理制度混乱,无法形成完整体

7、系,缺乏可操作性且得不到有效改进。ISO27001:2005总要求组织应根据整体业务活动和风险,建立、实施、运行、监视、评审、保持并改进文件化的信息安全管理体系。10制度体系涵盖运行、安全、开发等各重要部分;对关键部分应有详细的管理规定和操作细则。关键工作缺乏规范性,工作流程混乱,直接导致信息安全事件。ISO27001:2005-控制目标:1、信息安全方针;2、信息安全组织;3、资产管理;4、人力资源安全;5、物理与环境安全;6、通讯及操作管理;7、访问控制;8、信息

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。