1附件省农村合作金融机构信息科技风险管理五年规划二〇一二年三月五日2第一章引言.................................................................3第二章全省农合机构信息科技风险管理现状.....................................5第一节信息科技风险管理主要成效.............................................5一、信息科技治理取得一定成效........................................5二、信息科技风险管理策略构建取得一定成效............................6三、信息科技风险评估取得初步成效....................................7四、信息系统安全等级保护取得初步进展................................7五、业务连续性管理初上轨道..........................................8第二节信息科技风险管理存在的问题...........................................8一、信息科技治理不够健全............................................8二、信息科技风险管理策略不完善......................................9三、风险控制层面的“三重控制”机制未有效构建.......................10四、数据大集中系统安全等级定级偏低.................................11五、业务连续性管理还比较薄弱.......................................11六、信息科技风险管理绩效体系尚未建立...............................12第三章信息科技风险管理五年规划目标和实施路线..............................12第一节信息科技风险管理五年规划总体目标....................................13第二节信息科技风险管理五年规划实施路线....................................14一、持续完善信息科技治理...........................................14二、逐步完善信息科技风险管理策略...................................17三、构建信息科技风险控制层面的“三重控制”.........................20四、全面贯彻落实信息系统安全等级保护...............................22五、持续完善业务连续性管理体系.....................................22六、加强分中心和法人联社的信息科技风险管理.........................24七、探索建立信息科技风险管理绩效体系...............................25第四章2012年信息科技风险管理工作计划......................................25一、进一步完善信息科技治理.........................................26二、初步建立信息科技风险管理策略...................................27三、初步构建风险控制层面“三重控制”...............................29四、落实信息系统安全等级保护.......................................30五、初步建立业务连续性管理体系.....................................30六、落实信息科技风险隐患的整改工作.................................323第一章引言信息科技风险指信息科技在全省农合机构运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理指通过建立有效的机制,实现对信息科技风险的识别、计量、监测、和控制,促进全省农合机构安全、持续、稳健运行,推动业务创新,提高信息科技使用水平,增强核心竞争力和可持续发展能力。信息科技风险管理主要范围包括信息科技治理、信息科技风险管理策略、信息科技风险控制、信息系统安全等级保护、业务连续性管理和信息科技风险管理绩效体系等。其中,信息科技治理主要涉及信息科技管理、信息科技风险管理、信息科技审计“三道防线”建设,信息科技风险管理策略包括风险管理目标规划及信息系统架构风险管理策略、信息安全管理策略、生产运行风险管理策略、开发测试和维护风险管理策略、外包风险管理策略等具体风险管理策略;信息科技风险控制包括由事前评估识别、事中监测检查、事后审计核查组成的“三重控制”;信息系统安全等级保护包括建立信息系统安全等级划分标准,制定信息系统安全控制基线,并在此基础上采用相应的安全技术实现信息系统安全等级保护;业务连续性管理包括业务影响分析、业务连续性计划、突发事...
