某銀行信息科技風(fēng)險識別與評價管理辦法

1、某銀行信息科技風(fēng)險識別與評估管理辦法第一章 總 則第一條 為規(guī)范信息科技風(fēng)險評估工作， 提高某銀行信息科技風(fēng)險管理水平， 促進我行業(yè)務(wù)安全、持續(xù)、穩(wěn)健發(fā)展，根據(jù)國家信息安全法律、法規(guī)及銀行業(yè)信 息科技監(jiān)管要求及某銀行信息科技風(fēng)險管理策略 ，結(jié)合我行風(fēng)險管理實際情 況，特制定本辦法。第二條 本辦法屬于信息科技風(fēng)險類“管理辦法”，適用于某銀行信息科技工 作全過程的風(fēng)險評估。風(fēng)險評估對象包括信息科技組織、管理過程和信息資產(chǎn)。第三條 信息科技風(fēng)險，是指信息科技在合規(guī)管理、支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運 營過程中，由于管理流程及資源缺失或不足、人為因素和技術(shù)漏洞產(chǎn)生的操作、 法律、聲譽等風(fēng)險。第四條 信息科技風(fēng)險

2、評估是指在信息科技風(fēng)險事件發(fā)生之前或之后（但還 沒有結(jié)束），該事件給信息系統(tǒng)的研發(fā)、生產(chǎn)等各個方面造成的影響和損失的可 能性進行量化評估的工作。第五條 本辦法所指的信息科技風(fēng)險類型及來源包括但不限于以下內(nèi)容：（一 ） 信息科技總體風(fēng)險是指信息科技在策略、制度、物理環(huán)境、軟件、硬 件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險。（二 ） 信息系統(tǒng)風(fēng)險是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控 及下線過程中由于技術(shù)和管理缺陷產(chǎn)生的風(fēng)險。（三 ） 研發(fā)風(fēng)險是指信息系統(tǒng)在研發(fā)過程中組織、 規(guī)劃、需求、分析、 設(shè)計、 編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險。（四 ） 運行維護風(fēng)險是指信息系統(tǒng)在運行與維護

3、過程中訪問管理、操作管理、 變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險。（五 ） 外包風(fēng)險是指本行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān) 控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風(fēng)險。第六條 信息科技風(fēng)險評估是識別、 計量、評價信息科技風(fēng)險的活動， 旨在 客觀反映信息科技對我行發(fā)展戰(zhàn)略的支撐程度。第七條 風(fēng)險評估應(yīng)遵循“全面覆蓋、突出重點、持續(xù)跟進”的原則。第八條 總行、一級分行的信息科技風(fēng)險評估 （含自評估）工作應(yīng)遵照本 辦法執(zhí)行。第二章 角色分工第九條 風(fēng)險評估可由總行信息科技管理委員會或一級分行發(fā)起， 承擔(dān)機構(gòu) 是風(fēng)險管理部，風(fēng)險管理部負責(zé)組建風(fēng)險評估實 施團隊。風(fēng)險評估實

4、施團隊由 管理層、相關(guān)業(yè)務(wù)和技術(shù)骨干等人員組成，評估工作角色分為：評估管理人員、 評估人員、評估分 析人員。（一）評估管理人員由風(fēng)險管理部信息科技風(fēng)險管理崗擔(dān)任，負責(zé)組織、 管理、監(jiān)督風(fēng)險評估任務(wù)，包括：1. 制定風(fēng)險評估任務(wù)計劃2. 設(shè)計風(fēng)險評估方案3. 審核風(fēng)險評估報告4. 確認風(fēng)險處置建議5. 跟蹤風(fēng)險評估任務(wù)進度6. 控制風(fēng)險評估任務(wù)質(zhì)量評估人員負責(zé)按照風(fēng)險評估任務(wù)要求， 收集并提供信息和證據(jù)， 如實反映信息科技工作現(xiàn)狀。評估人員由評估對象所涉及的相關(guān)技術(shù)或業(yè)務(wù)骨干人員擔(dān)任；（三）評估分析人員負責(zé)匯總、整理和分析采集到的信息與證據(jù)材料， 編 寫風(fēng)險評估報告。評估分析人員由行內(nèi)經(jīng)驗豐富的

5、專業(yè)人員擔(dān)任， 必要時可聘請 業(yè)內(nèi)專業(yè)人員。第十條在同一風(fēng)險評估任務(wù)中，評估實施團隊成員不少于三人，評估管理 人員和評估分析人員不得兼任評估人員。第三章風(fēng)險評估計劃第十一條總行和一級分行每年度應(yīng)開展一次整體信息科技風(fēng)險評估，兩次 以上專項信息科技風(fēng)險評估。第十二條 信息科技風(fēng)險評估要以信息科技風(fēng)險監(jiān)測信息、 數(shù)據(jù)以及其他有 關(guān)信息為基礎(chǔ)，遵循科學(xué)、透明和個案處理的原則進行。第十三條出現(xiàn)以下情況時，應(yīng)結(jié)合本單位以往風(fēng)險評估情況，確定是否啟動專項信息科技風(fēng)險評估：（一）新系統(tǒng)上線后或已有系統(tǒng)進行重大變更；（二）信息科技運行中發(fā)現(xiàn)重大紕漏或隱患；（三）內(nèi)部或同業(yè)出現(xiàn)重大信息科技事件；（四）信息科技審

6、計中發(fā)現(xiàn)重大問題；（五）監(jiān)管機構(gòu)發(fā)布風(fēng)險提示；（六）其他情況。第十四條一級分行根據(jù)總行風(fēng)險評估工作要求，結(jié)合本行實際情況制定風(fēng) 險評估計劃，并報總行備案第四章 風(fēng)險識別與評估方法第十五條 風(fēng)險評估通過人工評估或自動化工具測評等手 段識別、分析支 撐 IT 目標(biāo)的流程和資源中存在的缺失或不足， 判斷風(fēng)險優(yōu)先級，提出風(fēng)險處 置建議。第十六條 總行信息科技管理委員會或一級分行發(fā)起風(fēng)險評估任務(wù)， 并下達 任務(wù)書。評估管理人員依據(jù)任務(wù)書組織編寫風(fēng)險評估任務(wù)計劃書和風(fēng)險評估方案。第十七條 評估管理人員組織人員依據(jù)評估對象的業(yè)務(wù)目標(biāo)識別 IT 服務(wù)目 標(biāo)，進而分析支撐 IT 目標(biāo)的流程和資源，并針對流程要素

7、和資源要素設(shè)計風(fēng)險 檢查表。第十八條 評估人員依據(jù)風(fēng)險檢查表， 采用人工或自動化工具對評估對象的 信息科技狀況進行信息收集。信息收集可采用調(diào)查、檢查、安全測試等方式：（一）調(diào)查包括問卷調(diào)查、遠程訪談、現(xiàn)場訪談等；（二）檢查包括文檔檢查、代碼檢查、流程檢查等；（三）安全測試包括人工測試、自動化測試以及綜合性滲透測試等。第十九條 評估分析人員采用定性或定量的計算方法， 依據(jù)各類風(fēng)險對實現(xiàn) IT 目標(biāo)的影響，計算出評估對象的風(fēng)險優(yōu)先值或級別，并進行分析：（一）風(fēng)險成因分析， 分析誘發(fā)風(fēng)險的主觀因素和客觀因素。 主觀因素包 括流程缺失、控制不足或無效等；客觀因素包括資源缺乏、內(nèi)外環(huán)境影響等。（二）風(fēng)險

8、占比分析，依據(jù)對 IT 目標(biāo)的影響程度，分析評估對象當(dāng)前狀 態(tài)下各類、各級風(fēng)險占比情況；（三）風(fēng)險對比分析， 對同次任務(wù)中不同機構(gòu)的風(fēng)險狀態(tài)進行對比， 分析 各類風(fēng)險在不同機構(gòu)的分布狀況及影響；四） 風(fēng)險趨勢分析， 對不同時期的相同任務(wù)結(jié)果進行對比， 分析同一風(fēng)險的增強或減弱情況，了解風(fēng)險的發(fā)展趨勢。第二十條 風(fēng)險分析可采用以下手段：（一）專家經(jīng)驗；（二）風(fēng)險分析模型；（三）風(fēng)險分析工具。第二十一條 評估分析人員針對風(fēng)險評估任務(wù)中揭示的風(fēng)險類型和狀態(tài)，結(jié) 合組織機構(gòu)、業(yè)務(wù)需求和安全要求，提出風(fēng)險處置建議，包括降低、轉(zhuǎn)移或消除 風(fēng)險的措施、預(yù)期效果等。第二十二條 評估分析人員編寫風(fēng)險評估報告，內(nèi)

9、容包括風(fēng)險評估任務(wù)描述、 風(fēng)險分析、風(fēng)險處置建議等。 評估報告經(jīng)評估管理人員審核后提交信息科技管理 委員會。第二十三條 風(fēng)險評估過程 （附件 1）分為三個階段：風(fēng)險評估準(zhǔn)備、信息收集 和風(fēng)險識別分析。第五章 風(fēng)險評估準(zhǔn)備第二十四條 根據(jù)風(fēng)險評估計劃， 總行信息科技管理委員會或一級分行提出信 息科技風(fēng)險評估任務(wù)， 編制風(fēng)險評估任務(wù)書（附件 2 ），明確任務(wù)目標(biāo)、評估對 象、評估范圍、任務(wù)起止時間、風(fēng)險管理部門等。第二十五條 風(fēng)險管理部組建風(fēng)險評估團隊， 指定風(fēng)險評估管理人員、 風(fēng)險評 估人員和風(fēng)險評估分析人員，并授權(quán)風(fēng)險評估團隊開展風(fēng)險評估工作。第二十六條 評估管理人員組織制定風(fēng)險評估任務(wù)計劃書

10、（附件 3），明確風(fēng) 險評估實施活動的計劃安排，主要包括：（一）團隊組織：包括成員名單、角色、職責(zé)等內(nèi)容；（二）工作計劃：描述各階段的工作安排，包括工作內(nèi)容、 時間進度和各階段成果清單等內(nèi)容。第二十七條 評估管理人員組織設(shè)計評估方案， 評估方案包括風(fēng)險檢查表 （附 件 4 ）、信息收集方式、風(fēng)險分析方法等。第二十八條 設(shè)計風(fēng)險檢查表時遵循以下過程：（一） 分析評估對象的業(yè)務(wù)目標(biāo)和 IT 服務(wù)目標(biāo)；（二）識別實現(xiàn) IT 目標(biāo)的工作流程和資源；（三）識別影響工作流程和資源中的關(guān)鍵因素， 主要考慮各流程要素的活 動內(nèi)容、關(guān)聯(lián)關(guān)系、流程目的、實現(xiàn)方式、所需資源等；（四） 根據(jù)關(guān)鍵因素設(shè)計風(fēng)險檢查項、檢

11、查指標(biāo)和評價權(quán)重，形成風(fēng)險檢查 表。第二十九條 評估管理人員通過風(fēng)險評估啟動會等形式啟動具體風(fēng)險評估工 作。第六章 信息收集第三十條 評估管理人員將風(fēng)險檢查表分發(fā)給評估人員，并告知信息收集方 法及填寫要求。第三十一條 評估人員通過調(diào)閱文檔、 收集日志、現(xiàn)場訪談、 工具測評等方式 獲取風(fēng)險評估所需信息。信息內(nèi)容包括但不限于： IT 制度及執(zhí)行情況、技術(shù)文 檔、以往審計報告、風(fēng)險管理報告、日志記錄、訪談記錄、測試報告等。第三十二條 評估人員根據(jù)采集的信息，填寫風(fēng)險檢查表，并保留證據(jù)。第三十三條 評估管理人員督查信息收集進展情況，按計劃收回風(fēng)險檢查表， 并審核填報信息質(zhì)量。必要時，可要求評估人員補充信息和附加證據(jù)。第三十四條 評估管理人員將風(fēng)險檢查表提交評估分析人員。第七章 風(fēng)險分析第三十五條 評估分析人員按評估方案確定的風(fēng)險分析方法對風(fēng)險檢查表進 行匯總、梳理，評定風(fēng)險等級，分析風(fēng)險成因，提出風(fēng)險處置建議，形成風(fēng)險評 估報告 （附件 5 ）。報告包括但不限于以下內(nèi)容：（一） 風(fēng)險評估任務(wù)概述（二） 風(fēng)險評估活動描述（三）風(fēng)險分析，包括總體風(fēng)險分析、風(fēng)險占比分析、風(fēng)險對比分析、風(fēng)險趨勢分析（四）風(fēng)險成因分析（五）風(fēng)險處置建議（六）詳細風(fēng)險列表第三十六條 評估分析人員將風(fēng)險評估報告提交評估管理人員。第三十七條 評