信息科技风险自评估表1 - 统计图表.docx

难等问题项目文档的不完善，增加了项目失败的可能性影响生产系统的稳定性，导致数据泄漏等安全事件的发生。正。建立容量规划以适应由于经济金融环境变化产生的业务发展和交易量非计划性增加；容量规划应涵盖与生产环。信息安全管理制度混乱，无法形成完整体系，缺乏可操作性且得不到有效改进。关键工作缺乏规范性，工作流程补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的

难等问题项目文档的不完善，增加了项目失败的可能性影响生产系统的稳定性，导致数据泄漏等安全事件的发生。

正。建立容量规划以适应由于经济金融环境变化产生的业务发展和交易量非计划性增加；容量规划应涵盖与生产环

。信息安全管理制度混乱，无法形成完整体系，缺乏可操作性且得不到有效改进。关键工作缺乏规范性，工作流程

补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的

信息科技风险自评估表

一、信息科技治理

序号风险类别风险点控制目标风险分析参考依据

1ISO27001：2005管理层职责：

建立信息安全方针，确保信息安全目标和计划的建立，进

对信息科技战略的审查

董事会或

高级管理

层职责

2

对本行信息科技

风险管理现状的

掌握情况

批准并审查信息科技战略；保证信息科技战略与银行总体业务战略和重大策略相一致；定期评估信息科技及其风险管理工作的总体效力和效率。

定期听取信息科技风险管理部门报告；组织进行独立有效的信息科技风险审计；对审计报告和监管意见的整改情况进行监督。

信息风险管理缺乏长期规划，无法指导信息安全工作开展。

无法掌握现有风险，对存在的信息安全风险针对性的改进无法得到有力的推进。

行信息安全管理体系的评审；

ISO27001：2005信息安全方针文档：

信息安全方针文档应经过管理层的批准，并向所有员工和外部相关方公布和沟通；

ISO27001：2005信息安全方针评审：

应按策划的时间间隔或当发生重大变化时，对信息安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性。

Corbit信息技术审计指南-决定技术方向：

IT管理层理解并使用技术基础设施计划；

技术基础设施计划上的变化，以确定相关的成本和风险，这些变化要反映在IT长短期计划的变化中；

IT管理层要理解监控和评估正在出现技术的过程，并要将适当的技术合并到当前的IT基础设施之中；

IT管理层要理解系统评估技术计划意外的过程。

易和活动使用增强的认证方法。风险分析用户获得不当权限，有意或者无意的造成系统破坏或信息泄露。用户获得信息安全管理体系要求。序号151617风险类别用户认证和访问控制风险点授权机制用户审查认证机制控制目

易和活动使用增强的认证方法。风险分析用户获得不当权限，有意或者无意的造成系统破坏或信息泄露。用户获得

信息安全管理体系要求。序号151617风险类别用户认证和访问控制风险点授权机制用户审查认证机制控制目

要事项进行检查和说明，如系统日志中记录的未成功登录，重要系统文件的访问，对用户帐号进行修改等信息，以

测试的变更可能导致系统中断；缺乏验证的变更无法准确的评估其有效性和安全性。变更前的系统状态无法及时恢

序号

3

4

5

6

7

风险类别

组织架构

风险点

对信息科技建设的支持

组织信息科技管理委员会的建立

首席信息官的设置

信息科技部门的职责

信息科技风险管理部分的职责

控制目标

建立合理的人才激励体制；确保为信息科技风险管理工作拨付所需资金；建立规范的职业道德行为和廉政标准。

由来自高级管理层、信息科技部分和主要业务部分的代表组成；定期向董事会和高级管理层汇报信息科技战略规划的效力、信息科技预算和实际支出、信息科技的整体性能；对信息科技建设及管理情况进行有效的协调。

直接参与本银行与信息科技运用有关的业务发展决策；建立切实有效的信息科技部分；确保信息科技风险管理的有效性。

岗位设置完整合理；人员具有相应的技能和专业知识，制定有合理的培训计划；重要岗位制定详细完整的工作说明。

可直接向CIO或CRO汇报；实施持续的信息科技风险评估；协调有关信息科技风险管理策略的制定。

风险分析

对信息安全风险的改进缺乏有效资源

信息安全工作缺乏统一组织进行协调。

信息安全工作缺乏统一有效的领