信息科技风险自评价表资料VIP免费

信息科技风险自评估表一、信息科技治理序号风险类别风险点控制目标风险分析参考依据1董事会或高级管理层职责对信息科技战略的审查批准并审查信息科技战略；保证信息科技战略与银行总体业务战略和重大策略相一致；定期评估信息科技及其风险管理工作的总体效力和效率。信息风险管理缺乏长期规划，无法指导信息安全工作开展。ISO27001：2005管理层职责：建立信息安全方针，确保信息安全目标和计划的建立，进行信息安全管理体系的评审；ISO27001：2005信息安全方针文档：信息安全方针文档应经过管理层的批准，并向所有员工和外部相关方公布和沟通；ISO27001：2005信息安全方针评审：应按策划的时间间隔或当发生重大变化时，对信息安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性。2对本行信息科技风险管理现状的掌握情况定期听取信息科技风险管理部门报告；组织进行独立有效的信息科技风险审计；对审计报告和监管意见的整改情况进行监督。无法掌握现有风险，对存在的信息安全风险针对性的改进无法得到有力的推进。Corbit信息技术审计指南-决定技术方向：IT管理层理解并使用技术基础设施计划；技术基础设施计划上的变化，以确定相关的成本和风险，这些变化要反映在IT长短期计划的变化中；IT管理层要理解监控和评估正在出现技术的过程，并要将适当的技术合并到当前的IT基础设施之中；IT管理层要理解系统评估技术计划意外的过程。序号风险类别风险点控制目标风险分析参考依据3对信息科技建设的支持建立合理的人才激励体制；确保为信息科技风险管理工作拨付所需资金；建立规范的职业道德行为和廉政标准。对信息安全风险的改进缺乏有效资源Corbit信息技术审计指南-管理信息技术投资：高级管理层应执行预算编制过程，按照机构的长期和短期计划以及IT的长期和短期计划，保证年度IT运作预算的建立和批准。应调查资金的选择。4组织架构组织信息科技管理委员会的建立由来自高级管理层、信息科技部分和主要业务部分的代表组成；定期向董事会和高级管理层汇报信息科技战略规划的效力、信息科技预算和实际支出、信息科技的整体性能；对信息科技建设及管理情况进行有效的协调。信息安全工作缺乏统一组织进行协调。等级保护-安全管理机构-岗位设置c)应成立指导和管理信息安全工作的委员会或领导小组。5首席信息官的设置直接参与本银行与信息科技运用有关的业务发展决策；建立切实有效的信息科技部分；确保信息科技风险管理的有效性。信息安全工作缺乏统一有效的领导和责任人。等级保护-安全管理机构-岗位设置c)信息安全工作的委员会或领导小组最高领导应由单位主管领导委任或授权。6信息科技部门的职责岗位设置完整合理；人员具有相应的技能和专业知识，制定有合理的培训计划；重要岗位制定详细完整的工作说明。缺乏具有专业知识和技能的专职人员；信息安全工作无法有效的协调。等级保护-安全管理机构-岗位设置a)应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；b)应配备专职安全管理员，不可兼任；d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。7信息科技风险管理部分的职责可直接向CIO或CRO汇报；实施持续的信息科技风险评估；协调有关信息科技风险管理策略的制定。序号风险类别风险点控制目标风险分析参考依据8信息科技内部审计岗位在内审部门内部设立；配备足够的专业人员；制定完整的信息科技审计策略和流程；制定信息科技内审计划并落实。信息安全工作缺乏有效的监督和评价，信息安全风险管理无法有效的落实和改进。等级保护-安全管理机构-审核和检查a)安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；b)应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；c)应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；d)应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动...