信息科技風(fēng)險(xiǎn)管理策略

1、附件：信息科技風(fēng)險(xiǎn)管理分類應(yīng)對策略根據(jù)信息科技風(fēng)險(xiǎn)分類情況，技風(fēng)險(xiǎn)分類應(yīng)對策略如下：A1. 信息科技治理風(fēng)險(xiǎn)應(yīng)對策略以二級風(fēng)險(xiǎn)為限，制定信息科信息科技治理風(fēng)險(xiǎn)包括三個(gè)二級風(fēng)險(xiǎn)：信息科技組織風(fēng)險(xiǎn)、 道德文化風(fēng)險(xiǎn)以及人員管理風(fēng)險(xiǎn)。每個(gè)二級風(fēng)險(xiǎn)的內(nèi)容和應(yīng)對策略如下：風(fēng)險(xiǎn) 編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略1.1信息科技組織風(fēng)險(xiǎn)在信息科技風(fēng)險(xiǎn)管理機(jī)構(gòu)及專 業(yè)委員會(huì)設(shè)置、履職等方面的 不確定因素，以及在部門/崗位設(shè)置、職責(zé)劃分、垂直歸口管 科技風(fēng)險(xiǎn)管理委員會(huì)、信息科技部、 稽核審計(jì)部、風(fēng)險(xiǎn)管理部、人力資源建立完善的信息科技治理架構(gòu)。以法 定代表人為第責(zé)任人，囊括理事會(huì)、監(jiān)事會(huì)、風(fēng)險(xiǎn)管理委員會(huì)、信息理等方面

2、的不確定因素所帶來的影響。部、監(jiān)察部等部門。明確各部門在信 息科技風(fēng)險(xiǎn)管理工作中的職責(zé)； 每個(gè)部門根據(jù)在信息科技風(fēng)險(xiǎn)管 理中的職責(zé)設(shè)立相應(yīng)的崗位，合理分配相應(yīng)的責(zé)、權(quán)、利，執(zhí)行信息科技風(fēng)險(xiǎn)管理工作；省聯(lián)社各部門應(yīng)指導(dǎo)、監(jiān)督辦事 處、各縣級農(nóng)村合作金融機(jī)構(gòu)相應(yīng)1.2道德文化風(fēng)險(xiǎn)在文化培育、融合、再造等過 程中的不確定因素，以及員工 在價(jià)值觀認(rèn)冋、行為規(guī)范遵循 等方面的不確定因素所帶來的部門的信息科技風(fēng)險(xiǎn)管理工作。在建立道德、誠信、公正的氛圍，對 員工進(jìn)行相關(guān)的培訓(xùn)，作為員工日常工作的行為準(zhǔn)則之一；建立暢通的溝通渠道，任何與陜西省農(nóng)村合作金融機(jī)構(gòu)道德文化標(biāo) 準(zhǔn)的偏離都得到及時(shí)和充分的反映，并被立即

3、調(diào)查和糾正。建立元善的人員招聘、培訓(xùn)、考核、 激勵(lì)、離職等制度和流程，并確保得到有效執(zhí)行； 加強(qiáng)信息科技風(fēng)險(xiǎn)管理專業(yè)人員1.3人員管理風(fēng)險(xiǎn)影響。在從人員聘用到離職整個(gè)服務(wù)期間內(nèi)的不確定因素所帶來的 影響。配備，提高信息科技風(fēng)險(xiǎn)管理水 平；對重要崗位制定詳細(xì)的工作手冊 并適時(shí)更新；風(fēng)險(xiǎn) 編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略 為員工提供信息科技風(fēng)險(xiǎn)管理制 度和流程的培訓(xùn)，提高員工風(fēng)險(xiǎn)管 理意識(shí)；對人員結(jié)構(gòu)、能力、素質(zhì)等進(jìn)行定 期評估，并組織專業(yè)培訓(xùn)，提高人 才隊(duì)伍的專業(yè)技能；制定關(guān)鍵崗位信息科技員工流失 防范措施并定期評估人員流失風(fēng) 險(xiǎn)；制定關(guān)鍵崗位輪崗計(jì)劃并執(zhí)行；建立信息科技工作職責(zé)不相容矩 陣，將

4、不相容職責(zé)/崗位分離，并 定期檢查。A2.信息科技戰(zhàn)略風(fēng)險(xiǎn)應(yīng)對策略信息科技戰(zhàn)略風(fēng)險(xiǎn)包括戰(zhàn)略規(guī)劃風(fēng)險(xiǎn)和戰(zhàn)略執(zhí)行風(fēng)險(xiǎn)。每個(gè)二級風(fēng)險(xiǎn)的內(nèi)容和應(yīng)對策略如下:風(fēng)險(xiǎn) 編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略1.4戰(zhàn)略管理風(fēng)險(xiǎn)在戰(zhàn)略規(guī)劃制定、調(diào)整、銜接等過程中的不確疋性因素所 帶來的影響。 按照陜西省農(nóng)村合作金融機(jī)構(gòu)總 體業(yè)務(wù)規(guī)劃制定信息科技戰(zhàn)略；在陜西省農(nóng)村合作金融機(jī)構(gòu)總 體業(yè)務(wù)規(guī)劃進(jìn)行調(diào)整時(shí)，相應(yīng) 的，應(yīng)及時(shí)調(diào)整信息科技戰(zhàn)略， 以確保和總體業(yè)務(wù)規(guī)劃的一致性。A3.信息科技運(yùn)維風(fēng)險(xiǎn)應(yīng)對策略信息科技運(yùn)維風(fēng)險(xiǎn)包括九個(gè)二級風(fēng)險(xiǎn):備份管理風(fēng)險(xiǎn)、運(yùn)維環(huán)境風(fēng)險(xiǎn)、容量管理風(fēng)險(xiǎn)、問題管理風(fēng)險(xiǎn)、記錄管理風(fēng)險(xiǎn)、事件管理風(fēng)險(xiǎn)、發(fā)布管理

5、風(fēng)險(xiǎn)、變更管理風(fēng)險(xiǎn)以及資產(chǎn)管理風(fēng)險(xiǎn)。每個(gè)二級,胡卩人及風(fēng)險(xiǎn)的內(nèi)容和應(yīng)對策略如下：風(fēng)險(xiǎn)號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述3.1 備份管理風(fēng)在從制定備份策略、 執(zhí)風(fēng)險(xiǎn)應(yīng)對策略建立完善的數(shù)據(jù)中心管理制度，完善系險(xiǎn)編號風(fēng)險(xiǎn)名稱八風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略行備份、備份恢復(fù)等一 系列過程中的不確定 因素所帶來的影響。統(tǒng)（程序和配置）和數(shù)據(jù)等的備份策略，包括備份范圍、備份頻率、備份檢查、備份恢復(fù)性測試等內(nèi)容；配置備份工作所必須的軟硬件資源、 人力資源以及空間資源等。備份介質(zhì)的保存環(huán)境應(yīng)當(dāng)符合相關(guān)標(biāo)準(zhǔn)（如防火、防水、防磁、防盜、溫濕度等）；備份介質(zhì)的傳遞重要工作必須由專 人和專用運(yùn)輸工具負(fù)責(zé)；對備份的結(jié)果進(jìn)行檢查，任何異常應(yīng)立即查

6、明原因并解決；定期進(jìn)行備份恢復(fù)性測試，確保備份數(shù)據(jù)的完整、準(zhǔn)確、有效；存儲(chǔ)敏感數(shù)據(jù)的介質(zhì)，在設(shè)備維修、 用途變更或銷毀時(shí)，采用消磁等完全1.5運(yùn)維環(huán)境風(fēng)險(xiǎn)信息科技運(yùn)維環(huán)境， 如 相關(guān)的系統(tǒng)、設(shè)施、設(shè) 備等在運(yùn)營過程中所產(chǎn)生的不確定因素所 帶來的影響。清除數(shù)據(jù)的安全萬式。制定信息科技運(yùn)維環(huán)境的維護(hù)和管理制度，確保信息科技運(yùn)行在一個(gè)穩(wěn)定的環(huán)境中；采用人工和技術(shù)等手段對信息科技運(yùn)維環(huán)境的各種設(shè)施、設(shè)備進(jìn)行預(yù)防 性維護(hù)和監(jiān)控，發(fā)現(xiàn)的問題應(yīng)立即跟進(jìn)；建立服務(wù)水平管理相關(guān)的制度和流1.6容量管理風(fēng)險(xiǎn)在信息系統(tǒng)性能、容量規(guī)劃、容量監(jiān)測和處理等過程中的不確定因素所帶來的影響。. 程，對信息科技運(yùn)行服務(wù)水平進(jìn)行

7、考 核。制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變 化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長。容量 規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān) 設(shè)備.1.7事件管理風(fēng)險(xiǎn)在事件從查明、記錄到解決全過程中的不確111 制定系統(tǒng)性能、 容量監(jiān)測和處理的萬 法；由系統(tǒng)自動(dòng)檢測或人工定期查看，確保系統(tǒng)穩(wěn)定運(yùn)行。 制定事件管理流程，包括事件查明和記錄、歸類和初步支持、事件調(diào)查和分析、定因素所帶來的影響。 事件升級、解決事件和恢復(fù)服務(wù)、事件 終止以及負(fù)責(zé)事件并跟蹤、監(jiān)督、控制 和協(xié)調(diào)解決全過程；在事件發(fā)生后，應(yīng)按照事件管理流程 立即響應(yīng)以盡快解決。1.8問題管理風(fēng)在問題申報(bào)、解決、技險(xiǎn)術(shù)援助、支持服務(wù)等過程中存在的不確定因建立并完善有

8、效的問題管理流程，以確 保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進(jìn)行記錄、分類和索引；rz RA編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略素所帶來的影響。 定朋對問題進(jìn)行匯總分析，以求從根源上解決問題。1.9記錄管理風(fēng)險(xiǎn)對應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè) 備、防火墻、主機(jī)、數(shù) 據(jù)庫等所產(chǎn)生的日志的記錄、監(jiān)控、復(fù)核、保存等過程中存在的 不確定因素所帶來的 影響。 建立完整的日志管理規(guī)定，完整采集并 保存應(yīng)用系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、防 火墻、主機(jī)等產(chǎn)生的交易日志和系統(tǒng)日志等；設(shè)置專門崗位對日志進(jìn)行監(jiān)控和管理，尤其是未經(jīng)授權(quán)的訪問、對敏感1.10發(fā)布管理風(fēng)險(xiǎn)在監(jiān)督應(yīng)用系統(tǒng)和軟 件等的發(fā)展、試驗(yàn)、部 署和支持過程中的不確

9、定因素所帶來的影 響。. 信息的訪問、操作等應(yīng)格外關(guān)汪； 日志應(yīng)得到妥善保存與備份。制定軟件版本管理規(guī)范及系統(tǒng)版本命名 規(guī)范，軟件版本的發(fā)布和開發(fā)過程必須按照規(guī)定的流程執(zhí)行；建立各重要系統(tǒng)的配置基線，納入統(tǒng)一的配置管理數(shù)據(jù)庫，并由專人負(fù) 責(zé)；定期對配置數(shù)據(jù)庫中的配置項(xiàng)與實(shí) 際配置的一致性進(jìn)行檢查，并對不一致的配置項(xiàng)進(jìn)行確認(rèn)、調(diào)整；建立發(fā)布管理流程，確保系統(tǒng)或軟件 的發(fā)布處在一個(gè)可控的流程中；1.11變更管理風(fēng)險(xiǎn)在信息系統(tǒng)相關(guān)的軟 件、硬件、和網(wǎng)絡(luò)等變 更過程中的不確定因素所帶來的影響。管理層應(yīng)審核對系統(tǒng)或軟件的發(fā)布；新系統(tǒng)或軟件發(fā)布后，應(yīng)保留先前的版本和環(huán)境以備恢復(fù)。制訂嚴(yán)密的變更處理流程，明

10、確變更控 制中各崗位的職責(zé)，并遵循流程實(shí)施控制和管理；所有涉及生產(chǎn)環(huán)境的變更，變更前必1.12資產(chǎn)管理風(fēng)險(xiǎn)包括信息科技資產(chǎn)的運(yùn)行維護(hù)風(fēng)險(xiǎn)和處置風(fēng)險(xiǎn)。運(yùn)行維護(hù)風(fēng)險(xiǎn)是指在資產(chǎn)使用、維護(hù)、管理、租賃、抵押、保須有回退和應(yīng)急方案;制定變更管理的文檔管理流程。對變更情況進(jìn)行及時(shí)登記、備案和存檔， 并將變更情況及時(shí)通報(bào)相關(guān)部門和相關(guān)崗位的人員。對信息資產(chǎn)進(jìn)行梳理，建立信息資產(chǎn)清 單，明確各資產(chǎn)的負(fù)責(zé)人、使用人、保 管人等相關(guān)責(zé)任人，制定各自的職責(zé)和權(quán)力； V . A . 、 Z . 、亠、二二、住U將信息系統(tǒng)及具屮的信息資產(chǎn)進(jìn)行值等萬面中的不確疋分類管理，包括數(shù)據(jù)、軟件、硬件、因素所帶來的影響。處J置風(fēng)險(xiǎn)

11、是指在資產(chǎn)處服務(wù)、文檔、設(shè)備、人員及其他共八種類型； 置制度執(zhí)行、方式選按照國家信息安全等級保護(hù)管理辦擇、時(shí)機(jī)把握、價(jià)格評法（公通字【2007】43號）的規(guī)定 估等方面中的不確定 因素所帶來的影響。及信息系統(tǒng)安全等級保護(hù)定級指風(fēng)險(xiǎn) 編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略南( GB/T 2224U-2UU8 )、信息系統(tǒng)安全等級保護(hù)基本要求(GB/T22239-2008 )的要求，對信息系統(tǒng)分 級并按級別進(jìn)行保護(hù)；審批并記錄信息科技資產(chǎn)運(yùn)行維護(hù) 和處置中的各種業(yè)務(wù)；管理層定期檢查信息科技資產(chǎn)清單與實(shí)際情況的一致性，并對可能發(fā)現(xiàn)的問題及時(shí)跟進(jìn)。A4.信息安全風(fēng)險(xiǎn)應(yīng)對策略信息安全風(fēng)險(xiǎn)包括八個(gè)方面：物理和環(huán)

12、境安全風(fēng)險(xiǎn)、訪問控制風(fēng)險(xiǎn)、應(yīng)用安全風(fēng)險(xiǎn)、系統(tǒng)軟件安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、終端安全風(fēng)險(xiǎn)、 移動(dòng)安全風(fēng)險(xiǎn)和數(shù)據(jù)安全風(fēng)險(xiǎn)。每個(gè)二級風(fēng)險(xiǎn)的內(nèi)容和應(yīng)對策略如下:風(fēng)險(xiǎn) 編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略1.13物理和環(huán)境安全風(fēng)險(xiǎn)在物理層次上為使信息科技 運(yùn)行環(huán)境受到保護(hù)，不受偶然或惡意的原因而遭到破壞的 過程中的不確定因素所帶來 的風(fēng)險(xiǎn)。合理選擇數(shù)據(jù)中心的地理位置，并經(jīng)過管理層的批準(zhǔn)；制定信息科技設(shè)施、數(shù)據(jù)中心 等信息科技環(huán)境的安全管理制 度，包括設(shè)備安全管理、介質(zhì)安全管理、人員出入等，并確 保有效執(zhí)行；根據(jù)國家的規(guī)定，重要或敏感 的業(yè)務(wù)信息處理系統(tǒng)應(yīng)放在安 全的地方，并設(shè)置有適當(dāng)?shù)陌?全區(qū)域，安全區(qū)域的出

13、入口有 安全障礙和入口控制，設(shè)備應(yīng) 有物理的保護(hù)以防止非法進(jìn) 入、危害及破壞； 嚴(yán)格控制相關(guān)人員，包括第三 方人員進(jìn)入安全區(qū)域，并記錄 所有人員的出入信息。對敏感性技術(shù)相關(guān)工作的人員，應(yīng)有 嚴(yán)格的審查程序，包括身份驗(yàn) 證和背景調(diào)查；采用其他人工或技術(shù)手段防止風(fēng)險(xiǎn)編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略Iy P丄亠牛打Lf r/Ai一 tI丄tL-L-VA-、未授權(quán)的侵入。1.14訪問控制風(fēng)險(xiǎn)人未經(jīng)授權(quán)對信息科技資源的訪問所帶來的影響。建立統(tǒng)一的用戶身份管理基礎(chǔ)設(shè) 施，向應(yīng)用系統(tǒng)提供集中的用戶身 份認(rèn)證服務(wù)；明確定義包括終端用戶、系統(tǒng) 開發(fā)人員、系統(tǒng)測試人員、計(jì) 算機(jī)操作人員、系統(tǒng)管理員和 用戶管理員等

14、不同用戶組的訪 問權(quán)限。制定主機(jī)系統(tǒng)及網(wǎng)絡(luò)的訪問控 制制度，系統(tǒng)權(quán)限管理規(guī)定；根據(jù)“訪問控制分級”、“需 求導(dǎo)向”和“最小授權(quán)”的原 則對用戶的權(quán)限申請進(jìn)行審 批，并定期對用戶，尤其是關(guān) 鍵崗位用戶、最高權(quán)限用戶等的權(quán)限進(jìn)行檢查；每個(gè)內(nèi)部員工具有范圍內(nèi)唯一 的身份標(biāo)識(shí)，用戶在訪問應(yīng)用 系統(tǒng)之前，必須提交身份標(biāo)識(shí)， 并對其進(jìn)行認(rèn)證；在發(fā)生用戶離職或崗位變動(dòng)時(shí)及時(shí)更新其訪問權(quán)限；對各類系統(tǒng)及網(wǎng)絡(luò)環(huán)境設(shè)置密 碼安全策略，包括密碼長度、 復(fù)雜度、有效期、歷史密碼記1.15應(yīng)用安全風(fēng)險(xiǎn)在應(yīng)用系統(tǒng)的使用、運(yùn)行過程中的不確定因素所帶來的影 響。7.憶次數(shù)等。1加強(qiáng)職責(zé)劃分，對關(guān)鍵或敏感岡位 進(jìn)行雙重控制。米

15、取安全的方式處理保密信息的輸入和輸出，防止信息泄露 或被盜取、篡改。確保系統(tǒng)按預(yù)先定義的方式處1.16系統(tǒng)軟件安全風(fēng)險(xiǎn)在操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng) 等系統(tǒng)軟件的使用、運(yùn)行過程中的不確定因素所帶來的影響。理例外情況，當(dāng)系統(tǒng)被迫終止 時(shí)向用戶提供必要信息。 制定每種類型操作系統(tǒng)的基本安 全要求，確保所有系統(tǒng)滿足基本安全要求。.制定最高權(quán)限系統(tǒng)賬戶的審批、驗(yàn)證和監(jiān)控流程，并確保 最高權(quán)限用戶的操作日志被記錄和監(jiān)察定期檢查可用的安全補(bǔ)丁，并風(fēng)險(xiǎn)編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略1.17 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)為使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)， 受偶然的或者惡意的原因而 遭到破壞、更改、泄露，系統(tǒng)連續(xù)

16、可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷的過程中的不確定因素所帶來的影響。1.18終端安全風(fēng)險(xiǎn)報(bào)告補(bǔ)丁管理狀態(tài)在系統(tǒng)日志中記錄不成功的登 錄、重要系統(tǒng)文件的訪問、對 用戶賬戶的修改等有關(guān)重要事 項(xiàng)。建立主機(jī)入侵檢測機(jī)制，發(fā)現(xiàn) 主機(jī)系統(tǒng)中的異常操作行為， 以及對主機(jī)發(fā)起的攻擊行為， 并及時(shí)報(bào)警。建立網(wǎng)絡(luò)安全管理制度，網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和相關(guān)的運(yùn)營維護(hù)管理規(guī)范；將網(wǎng)絡(luò)劃分為不同的邏輯安全 域，根據(jù)域的性質(zhì)定義生產(chǎn)域 或測試域、內(nèi)部域或外部域， 結(jié)合不同域之間的連通性和域 的可信程度等，對整個(gè)網(wǎng)絡(luò)進(jìn) 行物理或邏輯分區(qū)，并建立不 同域的訪問控制機(jī)制；在各安全域的邊界，部署網(wǎng)絡(luò) 安全訪問措施，包括防火墻、 入

17、侵檢測、VPN ；米用人工或技術(shù)手段對網(wǎng)絡(luò)進(jìn) 行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)并處理 非法入侵、網(wǎng)絡(luò)異常等情況； 激活網(wǎng)絡(luò)信息安全工具的功能 和設(shè)置以便記錄及報(bào)告信息安 全政策所規(guī)定的網(wǎng)絡(luò)安全事 項(xiàng)，并立即解決； 建立防病毒安全政策和策略、 全面網(wǎng)絡(luò)病毒查殺機(jī)制。所有 連入我省農(nóng)村合作金融機(jī)構(gòu)內(nèi) 部域的電腦及其他設(shè)備，都應(yīng) 安裝殺毒軟件，并在接入之前 進(jìn)行病毒掃描；制定防毒庫升級策略和掃描策 略，定期進(jìn)行病毒庫更新和病 毒掃描，病毒庫升級記錄和掃 描記錄應(yīng)經(jīng)復(fù)核。為確保所有終端用戶設(shè)備，如配備切實(shí)有效的系統(tǒng)，確保所有終臺(tái)式個(gè)人計(jì)算機(jī)（ PC）、便攜端用戶設(shè)備的安全，并定期對所有式計(jì)算機(jī)、柜員終端、自動(dòng)柜員

18、機(jī)（ATM ）、存折打印機(jī)、設(shè)備進(jìn)行安全檢查風(fēng)險(xiǎn)編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略T719移動(dòng)設(shè)備安全風(fēng)險(xiǎn)讀卡器、銷售終端（POS ）和個(gè)人數(shù)字助理（PDA ）等的安 全所進(jìn)行的一系列工作過程 中的不確定因素所帶來的影 響。為確保各種移動(dòng)存儲(chǔ)設(shè)備、程辦公等的安全所進(jìn)行的一系列工作過程中的不確定因 根據(jù)實(shí)際業(yè)務(wù)的變化、新技術(shù)制定移動(dòng)存儲(chǔ)和遠(yuǎn)程辦公的相關(guān) 安全機(jī)制；素所帶來的影響。的發(fā)展，定期對安全機(jī)制進(jìn)行 檢查與復(fù)核；嚴(yán)格限制移動(dòng)設(shè)備在生產(chǎn)環(huán)境中的使用。1.20數(shù)據(jù)安全風(fēng)險(xiǎn)為確保數(shù)據(jù)的保密性、完整性和有效性，所米取的一系列工 作過程中的不確定因素所帶 對所有納入保護(hù)范圍的信息明按照重要程度和敏感程

19、度對數(shù)據(jù) 進(jìn)行分級保護(hù)和管理。來的影響。確信息所有者和信息管理者， 并制定相應(yīng)的職責(zé)和權(quán)力， 制定相關(guān)制度和流程，嚴(yán)格管 理數(shù)據(jù)信息的采集、處理、存 貯、傳輸、分發(fā)、備份、恢復(fù)、 清理和銷毀；采用技術(shù)手段防范數(shù)據(jù)在傳 輸、處理、存儲(chǔ)過程中岀現(xiàn)泄 露或被篡改的風(fēng)險(xiǎn)。A5. 系統(tǒng)開發(fā)風(fēng)險(xiǎn)應(yīng)對策略系統(tǒng)開發(fā)風(fēng)險(xiǎn)包括項(xiàng)目組合管理風(fēng)險(xiǎn)、項(xiàng)目生命周期管理風(fēng)先排定和進(jìn)度安排制定完整的項(xiàng)目管理規(guī)章制度，包括項(xiàng)目審批流程、 參與部門的職責(zé)險(xiǎn)以及變更管理風(fēng)險(xiǎn)。每個(gè)二級風(fēng)險(xiǎn)的內(nèi)容和應(yīng)對策略如下：風(fēng)險(xiǎn)編號3.2風(fēng)險(xiǎn)名稱項(xiàng)目組合管理風(fēng)險(xiǎn)風(fēng)險(xiǎn)描述在對的項(xiàng)目組合（而非單個(gè)項(xiàng)目）進(jìn)行管理時(shí)，因在項(xiàng)目優(yōu)先級排定，以及相關(guān)的人、財(cái)

20、、物、時(shí)間等資源安排的過程及風(fēng)險(xiǎn)應(yīng)對策略. 根據(jù)信息科技戰(zhàn)略規(guī)劃、計(jì)劃以及可以利用的資源，對項(xiàng)目進(jìn)行優(yōu)先排定和進(jìn)度安排；結(jié)果的不確定因素所帶來的在實(shí)際業(yè)務(wù)發(fā)生變化或戰(zhàn)略變 化時(shí)，及時(shí)更新和維護(hù)項(xiàng)目優(yōu)3.3項(xiàng)目生命周期管理在從項(xiàng)目可行性研究到需求 風(fēng)險(xiǎn)調(diào)研、系統(tǒng)設(shè)計(jì)、開發(fā)管理、風(fēng)險(xiǎn) 編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略系統(tǒng)測試、系統(tǒng)實(shí)施、項(xiàng)目乂 檔管理以及項(xiàng)目退出等的整 個(gè)生命周期過程中的產(chǎn)生的建立項(xiàng)目實(shí)施前和實(shí)施后評價(jià)戈U分、時(shí)間進(jìn)度和財(cái)務(wù)預(yù)算管理、質(zhì)量檢測、風(fēng)險(xiǎn)評估等；不確定因素所帶來的影響。機(jī)制；管理層對項(xiàng)目周期管理進(jìn)行明 確定義，應(yīng)當(dāng)至少包括立項(xiàng)、 可行性分析、制定需求、方案 設(shè)計(jì)、程序開發(fā)

21、、系統(tǒng)測試、 系統(tǒng)驗(yàn)收、使用培訓(xùn)、實(shí)施操 作和維護(hù)等方面。并采取適當(dāng) 的系統(tǒng)開發(fā)方法，控制項(xiàng)目的 生命周期；采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控 制項(xiàng)目生命周期內(nèi)各階段的質(zhì) 量； 業(yè)務(wù)和系統(tǒng)需求應(yīng)經(jīng)業(yè)務(wù)部門 和信息科技部門共同確認(rèn)；將信息安全納入系統(tǒng)設(shè)計(jì)過程 中，包括系統(tǒng)和數(shù)據(jù)訪問權(quán)限、 數(shù)據(jù)備份和保護(hù)要求、數(shù)據(jù)安 全、身份驗(yàn)證、容量要求、審 計(jì)要求、流程控制等； 將開發(fā)環(huán)境、測試環(huán)境和生產(chǎn) 環(huán)境相互獨(dú)立，并建立規(guī)范的 管理制度對三個(gè)環(huán)境進(jìn)行嚴(yán)格管理；上線實(shí)施前完成充分的功能測 試和非功能測試，對測試過程進(jìn)行嚴(yán)格審查； 建立上線實(shí)施計(jì)劃，以及應(yīng)急回退計(jì)劃，并經(jīng)管理層審批； 項(xiàng)目文檔，包括各種紙版和電 子

22、版文檔及源代碼等，應(yīng)得到妥善保管；風(fēng)險(xiǎn)管理部門和稽核部應(yīng)參與 大規(guī)模系統(tǒng)開發(fā)，保證系統(tǒng)開 發(fā)符合陜西省農(nóng)村合作金融機(jī)1.21項(xiàng)目變更風(fēng)險(xiǎn)在系統(tǒng)建設(shè)過程中，因各種因素導(dǎo)致項(xiàng)目變更所產(chǎn)生的不確定因素所帶來的影響。構(gòu)信息科技風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。 建立完善的項(xiàng)目變更管理制度，并以其來規(guī)范變更流程；依照項(xiàng)目變更管理的要求對項(xiàng) 目變更流程加以控制，在變更 的發(fā)起，評審，執(zhí)行，用戶接風(fēng)險(xiǎn)編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略受測試等階段都應(yīng)經(jīng)過相應(yīng)級 別的審批。A6.信息科技外包風(fēng)險(xiǎn)應(yīng)對策略信息科技外包風(fēng)險(xiǎn)包括外包策略風(fēng)險(xiǎn)和外包生命周期管理風(fēng)險(xiǎn)。每個(gè)二級風(fēng)險(xiǎn)的內(nèi)容和應(yīng)對策略如下：風(fēng)險(xiǎn) 編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)管理策略1

23、.22外包策略風(fēng)險(xiǎn)在確定外包策略（如核心業(yè)務(wù)和能力、 適合外包的范圍和級別等的確定，以 及外包服務(wù)等）的過程和結(jié)果的不確定因素所帶來的影響。建立正式的系統(tǒng)設(shè)計(jì)開發(fā)外包管 理政策，在進(jìn)行信息系統(tǒng)外包時(shí)，應(yīng)根據(jù)風(fēng)險(xiǎn)控制和實(shí)際需要，合理確定外包的原則和范圍，認(rèn)真分析. 和評估外包存在的潛在風(fēng)險(xiǎn)，并制定相應(yīng)的風(fēng)險(xiǎn)防范措施；不得將信息科技管理職能外包；定期根據(jù)外包策略對陜西省農(nóng)1.23外包生命周期管理風(fēng)險(xiǎn)包括外包商選擇風(fēng)險(xiǎn)、外包合同風(fēng)險(xiǎn)和外包成果交付與知識(shí)轉(zhuǎn)移風(fēng)險(xiǎn)。.外包商選擇風(fēng)險(xiǎn)：是指在選擇外包商時(shí)，所需要進(jìn)行的一系列工作，如審查、評估外包商的資質(zhì)、 專業(yè)經(jīng)驗(yàn)、經(jīng)驗(yàn)、能力等過程中 的不確定因素所帶來的

24、影響。外包合同風(fēng)險(xiǎn)：包括外包合同 訂立與生效風(fēng)險(xiǎn)、外包合同執(zhí) 行風(fēng)險(xiǎn)及外包合同收尾風(fēng)險(xiǎn)。 合同訂立與生效風(fēng)險(xiǎn)是指在村合作金融機(jī)構(gòu)的所有外包項(xiàng)目進(jìn)行逐一分析、評估。客觀評估外包商的資質(zhì)、服務(wù)能力、經(jīng)驗(yàn)、項(xiàng)目管理能力、 財(cái)務(wù)狀況和風(fēng)險(xiǎn)評估能力；.外包合同條款應(yīng)適當(dāng)，符合外包業(yè)務(wù)需要，責(zé)任義務(wù)劃分清 楚，外包范圍界定明確，考核 指標(biāo)明確，并有必要的、靈活性的條款；外包合同應(yīng)經(jīng)過風(fēng)險(xiǎn)管理部門和法律方面專業(yè)審核；與外包商在外包合同簽訂過 程中不確定因素所帶來的影 響；合同執(zhí)行風(fēng)險(xiǎn)是指合同文 件保管、合同履行、合同變 更、履約監(jiān)督、爭議處理等過程中 對外包商的財(cái)務(wù)狀況以及支持 IT外包業(yè)務(wù)的技術(shù)和關(guān)鍵人

25、員進(jìn)行有效地監(jiān)督和管理； 定期對外包工作進(jìn)行評估，對 發(fā)現(xiàn)的問題及時(shí)跟進(jìn)解決；不確定因素所帶來的影響；合 同收尾風(fēng)險(xiǎn)是指文件歸檔、結(jié)算復(fù)核、合同終止等過程中不 確定因素所帶來的影響。外包成果交付與知識(shí)轉(zhuǎn)移風(fēng)在與外包服務(wù)提供商的合同中 均包括了知識(shí)轉(zhuǎn)移的要求。根 據(jù)合同條款的要求對外包商交 付的技術(shù)進(jìn)行核實(shí)，并對技術(shù) 順利交付獲取必要的培訓(xùn)與支風(fēng)險(xiǎn) 編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)管理策略對外包工作成果 付過程中，以及相關(guān)知識(shí)轉(zhuǎn)移 過程中的不確定因素所帶來 的影響。持服務(wù)。A7. 業(yè)務(wù)連續(xù)性管理風(fēng)險(xiǎn)應(yīng)對策略業(yè)務(wù)連續(xù)性管理風(fēng)險(xiǎn)包括兩個(gè)二級風(fēng)險(xiǎn)： 業(yè)務(wù)連續(xù)性計(jì)劃制 定和維護(hù)風(fēng)險(xiǎn)和業(yè)務(wù)連續(xù)性計(jì)劃實(shí)施風(fēng)險(xiǎn)。 每個(gè)二級風(fēng)險(xiǎn)的內(nèi)容 和應(yīng)對策略如下：風(fēng)險(xiǎn)編號風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)應(yīng)對策略1.24業(yè)務(wù)連續(xù)性計(jì)劃制定和維護(hù)風(fēng)險(xiǎn)由于業(yè)務(wù)連續(xù)性計(jì)劃的缺失、 制定、維護(hù)等過程中的不確定 因素所帶來的影響。根據(jù)自身的規(guī)模和復(fù)雜程度以及業(yè)務(wù)的重要性有針對性地制定業(yè)務(wù)連續(xù)性計(jì)劃。內(nèi)容應(yīng)包括： 應(yīng)急組織及相應(yīng)職責(zé)；突發(fā)事件分級及 每個(gè)級別的界定范圍、響應(yīng)時(shí)間及處置簡要流程；因意外事件導(dǎo)致業(yè) 務(wù)運(yùn)行中斷的可能性及其影響分 析；重要信息系統(tǒng)應(yīng)急預(yù)案；災(zāi)難恢復(fù)計(jì)劃；資源需求及獲取方式； 運(yùn)行恢復(fù)的優(yōu)先順序；與內(nèi)外部相關(guān)各方的溝通安排；人員培訓(xùn)、 業(yè). 務(wù)連續(xù)性計(jì)劃的演練及更新；所有重要信息系統(tǒng)應(yīng)急預(yù)案、 災(zāi)難恢復(fù)計(jì)