某銀行信息科技風(fēng)險(xiǎn)識(shí)別與評(píng)估管理辦法_第1頁
某銀行信息科技風(fēng)險(xiǎn)識(shí)別與評(píng)估管理辦法_第2頁
某銀行信息科技風(fēng)險(xiǎn)識(shí)別與評(píng)估管理辦法_第3頁
某銀行信息科技風(fēng)險(xiǎn)識(shí)別與評(píng)估管理辦法_第4頁
某銀行信息科技風(fēng)險(xiǎn)識(shí)別與評(píng)估管理辦法_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

某銀行信息科技風(fēng)險(xiǎn)識(shí)別與評(píng)估管理辦法第一章總則第一條為規(guī)范信息科技風(fēng)險(xiǎn)評(píng)估工作,提高某銀行信息科技風(fēng)險(xiǎn)管理水平,促進(jìn)我行業(yè)務(wù)安全、持續(xù)、穩(wěn)健發(fā)展,根據(jù)國家信息安全法律、法規(guī)及銀行業(yè)信息科技監(jiān)管要求及《某銀行信息科技風(fēng)險(xiǎn)管理策略》,結(jié)合我行風(fēng)險(xiǎn)管理實(shí)際情況,特制定本辦法。第二條本辦法屬于信息科技風(fēng)險(xiǎn)類“管理辦法”,適用于某銀行信息科技工作全過程的風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估對(duì)象包括信息科技組織、管理過程和信息資產(chǎn)。第三條信息科技風(fēng)險(xiǎn),是指信息科技在合規(guī)管理、支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運(yùn)營過程中,由于管理流程及資源缺失或不足、人為因素和技術(shù)漏洞產(chǎn)生的操作、法律、聲譽(yù)等風(fēng)險(xiǎn)。第四條信息科技風(fēng)險(xiǎn)評(píng)估是指在信息科技風(fēng)險(xiǎn)事件發(fā)生之前或之后(但還沒有結(jié)束),該事件給信息系統(tǒng)的研發(fā)、生產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。

第五條本辦法所指的信息科技風(fēng)險(xiǎn)類型及來源包括但不限于以下內(nèi)容:(一)信息科技總體風(fēng)險(xiǎn)是指信息科技在策略、制度、物理環(huán)境、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。

(二)信息系統(tǒng)風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及下線過程中由于技術(shù)和管理缺陷產(chǎn)生的風(fēng)險(xiǎn)。(三)研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。(四)運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中訪問管理、操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。(五)外包風(fēng)險(xiǎn)是指本行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。第六條信息科技風(fēng)險(xiǎn)評(píng)估是識(shí)別、計(jì)量、評(píng)價(jià)信息科技風(fēng)險(xiǎn)的活動(dòng),旨在客觀反映信息科技對(duì)我行發(fā)展戰(zhàn)略的支撐程度。第七條風(fēng)險(xiǎn)評(píng)估應(yīng)遵循“全面覆蓋、突出重點(diǎn)、持續(xù)跟進(jìn)”的原則。第八條總行、一級(jí)分行的信息科技風(fēng)險(xiǎn)評(píng)估(含自評(píng)估)工作應(yīng)遵照本辦法執(zhí)行。

第二章角色分工第九條風(fēng)險(xiǎn)評(píng)估可由總行信息科技管理委員會(huì)或一級(jí)分行發(fā)起,承擔(dān)機(jī)構(gòu)是風(fēng)險(xiǎn)管理部,風(fēng)險(xiǎn)管理部負(fù)責(zé)組建風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)。風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)由管理層、相關(guān)業(yè)務(wù)和技術(shù)骨干等人員組成,評(píng)估工作角色分為:評(píng)估管理人員、評(píng)估人員、評(píng)估分析人員。(一)評(píng)估管理人員由風(fēng)險(xiǎn)管理部信息科技風(fēng)險(xiǎn)管理崗擔(dān)任,負(fù)責(zé)組織、管理、監(jiān)督風(fēng)險(xiǎn)評(píng)估任務(wù),包括:1.制定風(fēng)險(xiǎn)評(píng)估任務(wù)計(jì)劃2.設(shè)計(jì)風(fēng)險(xiǎn)評(píng)估方案3.審核風(fēng)險(xiǎn)評(píng)估報(bào)告4.確認(rèn)風(fēng)險(xiǎn)處置建議5.跟蹤風(fēng)險(xiǎn)評(píng)估任務(wù)進(jìn)度6.控制風(fēng)險(xiǎn)評(píng)估任務(wù)質(zhì)量(二)評(píng)估人員負(fù)責(zé)按照風(fēng)險(xiǎn)評(píng)估任務(wù)要求,收集并提供信息和證據(jù),如實(shí)反映信息科技工作現(xiàn)狀。評(píng)估人員由評(píng)估對(duì)象所涉及的相關(guān)技術(shù)或業(yè)務(wù)骨干人員擔(dān)任;(三)評(píng)估分析人員負(fù)責(zé)匯總、整理和分析采集到的信息與證據(jù)材料,編寫風(fēng)險(xiǎn)評(píng)估報(bào)告。評(píng)估分析人員由行內(nèi)經(jīng)驗(yàn)豐富的專業(yè)人員擔(dān)任,必要時(shí)可聘請(qǐng)業(yè)內(nèi)專業(yè)人員。第十條在同一風(fēng)險(xiǎn)評(píng)估任務(wù)中,評(píng)估實(shí)施團(tuán)隊(duì)成員不少于三人,評(píng)估管理人員和評(píng)估分析人員不得兼任評(píng)估人員。第三章風(fēng)險(xiǎn)評(píng)估計(jì)劃第十一條總行和一級(jí)分行每年度應(yīng)開展一次整體信息科技風(fēng)險(xiǎn)評(píng)估,兩次以上專項(xiàng)信息科技風(fēng)險(xiǎn)評(píng)估。第十二條信息科技風(fēng)險(xiǎn)評(píng)估要以信息科技風(fēng)險(xiǎn)監(jiān)測信息、數(shù)據(jù)以及其他有關(guān)信息為基礎(chǔ),遵循科學(xué)、透明和個(gè)案處理的原則進(jìn)行。第十三條出現(xiàn)以下情況時(shí),應(yīng)結(jié)合本單位以往風(fēng)險(xiǎn)評(píng)估情況,確定是否啟動(dòng)專項(xiàng)信息科技風(fēng)險(xiǎn)評(píng)估:(一)新系統(tǒng)上線后或已有系統(tǒng)進(jìn)行重大變更;(二)信息科技運(yùn)行中發(fā)現(xiàn)重大紕漏或隱患;

(三)內(nèi)部或同業(yè)出現(xiàn)重大信息科技事件;(四)信息科技審計(jì)中發(fā)現(xiàn)重大問題;

(五)監(jiān)管機(jī)構(gòu)發(fā)布風(fēng)險(xiǎn)提示;

(六)其他情況。第十四條一級(jí)分行根據(jù)總行風(fēng)險(xiǎn)評(píng)估工作要求,結(jié)合本行實(shí)際情況制定風(fēng)險(xiǎn)評(píng)估計(jì)劃,并報(bào)總行備案。第四章風(fēng)險(xiǎn)識(shí)別與評(píng)估方法

第十五條風(fēng)險(xiǎn)評(píng)估通過人工評(píng)估或自動(dòng)化工具測評(píng)等手段識(shí)別、分析支撐IT目標(biāo)的流程和資源中存在的缺失或不足,判斷風(fēng)險(xiǎn)優(yōu)先級(jí),提出風(fēng)險(xiǎn)處置建議。第十六條總行信息科技管理委員會(huì)或一級(jí)分行發(fā)起風(fēng)險(xiǎn)評(píng)估任務(wù),并下達(dá)任務(wù)書。評(píng)估管理人員依據(jù)任務(wù)書組織編寫風(fēng)險(xiǎn)評(píng)估任務(wù)計(jì)劃書和風(fēng)險(xiǎn)評(píng)估方案。第十七條評(píng)估管理人員組織人員依據(jù)評(píng)估對(duì)象的業(yè)務(wù)目標(biāo)識(shí)別IT服務(wù)目標(biāo),進(jìn)而分析支撐IT目標(biāo)的流程和資源,并針對(duì)流程要素和資源要素設(shè)計(jì)風(fēng)險(xiǎn)檢查表。第十八條評(píng)估人員依據(jù)風(fēng)險(xiǎn)檢查表,采用人工或自動(dòng)化工具對(duì)評(píng)估對(duì)象的信息科技狀況進(jìn)行信息收集。信息收集可采用調(diào)查、檢查、安全測試等方式:(一)調(diào)查包括問卷調(diào)查、遠(yuǎn)程訪談、現(xiàn)場訪談等;(二)檢查包括文檔檢查、代碼檢查、流程檢查等;(三)安全測試包括人工測試、自動(dòng)化測試以及綜合性滲透測試等。第十九條評(píng)估分析人員采用定性或定量的計(jì)算方法,依據(jù)各類風(fēng)險(xiǎn)對(duì)實(shí)現(xiàn)IT目標(biāo)的影響,計(jì)算出評(píng)估對(duì)象的風(fēng)險(xiǎn)優(yōu)先值或級(jí)別,并進(jìn)行分析:(一)風(fēng)險(xiǎn)成因分析,分析誘發(fā)風(fēng)險(xiǎn)的主觀因素和客觀因素。主觀因素包括流程缺失、控制不足或無效等;客觀因素包括資源缺乏、內(nèi)外環(huán)境影響等。

(二)風(fēng)險(xiǎn)占比分析,依據(jù)對(duì)IT目標(biāo)的影響程度,分析評(píng)估對(duì)象當(dāng)前狀態(tài)下各類、各級(jí)風(fēng)險(xiǎn)占比情況;(三)風(fēng)險(xiǎn)對(duì)比分析,對(duì)同次任務(wù)中不同機(jī)構(gòu)的風(fēng)險(xiǎn)狀態(tài)進(jìn)行對(duì)比,分析各類風(fēng)險(xiǎn)在不同機(jī)構(gòu)的分布狀況及影響;(四)風(fēng)險(xiǎn)趨勢分析,對(duì)不同時(shí)期的相同任務(wù)結(jié)果進(jìn)行對(duì)比,分析同一風(fēng)險(xiǎn)的增強(qiáng)或減弱情況,了解風(fēng)險(xiǎn)的發(fā)展趨勢。

第二十條風(fēng)險(xiǎn)分析可采用以下手段:(一)專家經(jīng)驗(yàn);(二)風(fēng)險(xiǎn)分析模型;(三)風(fēng)險(xiǎn)分析工具。第二十一條評(píng)估分析人員針對(duì)風(fēng)險(xiǎn)評(píng)估任務(wù)中揭示的風(fēng)險(xiǎn)類型和狀態(tài),結(jié)合組織機(jī)構(gòu)、業(yè)務(wù)需求和安全要求,提出風(fēng)險(xiǎn)處置建議,包括降低、轉(zhuǎn)移或消除風(fēng)險(xiǎn)的措施、預(yù)期效果等。第二十二條評(píng)估分析人員編寫風(fēng)險(xiǎn)評(píng)估報(bào)告,內(nèi)容包括風(fēng)險(xiǎn)評(píng)估任務(wù)描述、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處置建議等。評(píng)估報(bào)告經(jīng)評(píng)估管理人員審核后提交信息科技管理委員會(huì)。第二十三條風(fēng)險(xiǎn)評(píng)估過程(附件1)分為三個(gè)階段:風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、信息收集和風(fēng)險(xiǎn)識(shí)別分析。第五章風(fēng)險(xiǎn)評(píng)估準(zhǔn)備第二十四條根據(jù)風(fēng)險(xiǎn)評(píng)估計(jì)劃,總行信息科技管理委員會(huì)或一級(jí)分行提出信息科技風(fēng)險(xiǎn)評(píng)估任務(wù),編制風(fēng)險(xiǎn)評(píng)估任務(wù)書(附件2),明確任務(wù)目標(biāo)、評(píng)估對(duì)象、評(píng)估范圍、任務(wù)起止時(shí)間、風(fēng)險(xiǎn)管理部門等。

第二十五條風(fēng)險(xiǎn)管理部組建風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì),指定風(fēng)險(xiǎn)評(píng)估管理人員、風(fēng)險(xiǎn)評(píng)估人員和風(fēng)險(xiǎn)評(píng)估分析人員,并授權(quán)風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)開展風(fēng)險(xiǎn)評(píng)估工作。第二十六條評(píng)估管理人員組織制定風(fēng)險(xiǎn)評(píng)估任務(wù)計(jì)劃書(附件3),明確風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)的計(jì)劃安排,主要包括:(一)團(tuán)隊(duì)組織:包括成員名單、角色、職責(zé)等內(nèi)容;(二)工作計(jì)劃:描述各階段的工作安排,包括工作內(nèi)容、時(shí)間進(jìn)度和各階段成果清單等內(nèi)容。第二十七條評(píng)估管理人員組織設(shè)計(jì)評(píng)估方案,評(píng)估方案包括風(fēng)險(xiǎn)檢查表(附件4)、信息收集方式、風(fēng)險(xiǎn)分析方法等。第二十八條設(shè)計(jì)風(fēng)險(xiǎn)檢查表時(shí)遵循以下過程:(一)分析評(píng)估對(duì)象的業(yè)務(wù)目標(biāo)和IT服務(wù)目標(biāo);(二)識(shí)別實(shí)現(xiàn)IT目標(biāo)的工作流程和資源;(三)識(shí)別影響工作流程和資源中的關(guān)鍵因素,主要考慮各流程要素的活動(dòng)內(nèi)容、關(guān)聯(lián)關(guān)系、流程目的、實(shí)現(xiàn)方式、所需資源等;(四)根據(jù)關(guān)鍵因素設(shè)計(jì)風(fēng)險(xiǎn)檢查項(xiàng)、檢查指標(biāo)和評(píng)價(jià)權(quán)重,形成風(fēng)險(xiǎn)檢查表。第二十九條評(píng)估管理人員通過風(fēng)險(xiǎn)評(píng)估啟動(dòng)會(huì)等形式啟動(dòng)具體風(fēng)險(xiǎn)評(píng)估工作。第六章信息收集

第三十條評(píng)估管理人員將風(fēng)險(xiǎn)檢查表分發(fā)給評(píng)估人員,并告知信息收集方法及填寫要求。

第三十一條評(píng)估人員通過調(diào)閱文檔、收集日志、現(xiàn)場訪談、工具測評(píng)等方式獲取風(fēng)險(xiǎn)評(píng)估所需信息。信息內(nèi)容包括但不限于:IT制度及執(zhí)行情況、技術(shù)文檔、以往審計(jì)報(bào)告、風(fēng)險(xiǎn)管理報(bào)告、日志記錄、訪談?dòng)涗?、測試報(bào)告等。第三十二條評(píng)估人員根據(jù)采集的信息,填寫風(fēng)險(xiǎn)檢查表,并保留證據(jù)。

第三十三條評(píng)估管理人員督查信息收集進(jìn)展情況,按計(jì)劃收回風(fēng)險(xiǎn)檢查表,并審核填報(bào)信息質(zhì)量。必要時(shí),可要求評(píng)估人員補(bǔ)充信息和附加證據(jù)。第三十四條評(píng)估管理人員將風(fēng)險(xiǎn)檢查表提交評(píng)估分析人員。第七章風(fēng)險(xiǎn)分析第三十五條評(píng)估分析人員按評(píng)估方案確定的風(fēng)險(xiǎn)分析方法對(duì)風(fēng)險(xiǎn)檢查表進(jìn)行匯總、梳理,評(píng)定風(fēng)險(xiǎn)等級(jí),分析風(fēng)險(xiǎn)成因,提出風(fēng)險(xiǎn)處置建議,形成風(fēng)險(xiǎn)評(píng)估報(bào)告(附件5)。報(bào)告包括但不限于以下內(nèi)容:(一)風(fēng)險(xiǎn)評(píng)估任務(wù)概述(二)風(fēng)險(xiǎn)評(píng)估活動(dòng)描述(三)風(fēng)險(xiǎn)分析,包括總體風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)占比分析、風(fēng)險(xiǎn)對(duì)比分析、風(fēng)險(xiǎn)趨勢分析(四)風(fēng)險(xiǎn)成因分析(五)風(fēng)險(xiǎn)處置建議(六)詳細(xì)風(fēng)險(xiǎn)列表第三十六條評(píng)估分析人員將風(fēng)險(xiǎn)評(píng)估報(bào)告提交評(píng)估管理人員。

第三十七條評(píng)估管理人員定期督查風(fēng)險(xiǎn)分析進(jìn)展情況,指導(dǎo)風(fēng)險(xiǎn)分析工作,組織審核風(fēng)險(xiǎn)評(píng)估報(bào)告,形成正式報(bào)告提交風(fēng)險(xiǎn)管理部負(fù)責(zé)人。

第三十八條風(fēng)險(xiǎn)管理部將風(fēng)險(xiǎn)評(píng)估報(bào)告上報(bào)信息科技管理委員會(huì),并通過風(fēng)險(xiǎn)評(píng)估任務(wù)總結(jié)會(huì)等形式,通報(bào)風(fēng)險(xiǎn)評(píng)估情況。

第三十九條風(fēng)險(xiǎn)管理部將風(fēng)險(xiǎn)評(píng)估資料歸檔管理。第八章附則第四十條本管理辦法由某銀行總行制定并負(fù)責(zé)解釋和修訂。第四十一條本管理辦法自發(fā)布之日起執(zhí)行。物業(yè)安保培訓(xùn)方案為規(guī)范保安工作,使保安工作系統(tǒng)化/規(guī)范化,最終使保安具備滿足工作需要的知識(shí)和技能,特制定本教學(xué)教材大綱。一、課程設(shè)置及內(nèi)容全部課程分為專業(yè)理論知識(shí)和技能訓(xùn)練兩大科目。其中專業(yè)理論知識(shí)內(nèi)容包括:保安理論知識(shí)、消防業(yè)務(wù)知識(shí)、職業(yè)道德、法律常識(shí)、保安禮儀、救護(hù)知識(shí)。作技能訓(xùn)練內(nèi)容包括:崗位操作指引、勤務(wù)技能、消防技能、軍事技能。二.培訓(xùn)的及要求培訓(xùn)目的1)保安人員培訓(xùn)應(yīng)以保安理論知識(shí)、消防知識(shí)、法律常識(shí)教學(xué)為主,在教學(xué)過程中,應(yīng)要求學(xué)員全面熟知保安理論知識(shí)及消防專業(yè)知識(shí),在工作中的操作與運(yùn)用,并基本掌握現(xiàn)場保護(hù)及處理知識(shí)2)職業(yè)道德課程的教學(xué)應(yīng)根據(jù)不同的崗位元而予以不同的內(nèi)容,使保安在各自不同的工作崗位上都能養(yǎng)成具有本職業(yè)特點(diǎn)的良好職業(yè)道德和行為規(guī)范)法律常識(shí)教學(xué)是理論課的主要內(nèi)容之一,要求所有保安都應(yīng)熟知國家有關(guān)法律、法規(guī),成為懂法、知法、守法的公民,運(yùn)用法律這一有力武器與違法犯罪分子作斗爭。工作入口門衛(wèi)守護(hù),定點(diǎn)守衛(wèi)及區(qū)域巡邏為主要內(nèi)容,在日常管理和發(fā)生突發(fā)事件時(shí)能夠運(yùn)用所學(xué)的技能保護(hù)公司財(cái)產(chǎn)以及自身安全。2、培訓(xùn)要求1)保安理論培訓(xùn)通過培訓(xùn)使保安熟知

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論