信息科技風(fēng)險管理方案計劃策略

1、附件：信息科技風(fēng)險管理分類應(yīng)對策略根據(jù)信息科技風(fēng)險分類情況, 技風(fēng)險分類應(yīng)對策略如下：以二級風(fēng)險為限，制定信息科A1.信息科技治理風(fēng)險應(yīng)對策略信息科技治理風(fēng)險包括三個二級風(fēng)險：信息科技組織風(fēng)險、道德文化風(fēng)險以及人員管理風(fēng)險。每個二級風(fēng)險的內(nèi)容和應(yīng)對策略如下:風(fēng)險編號1.1風(fēng)險名稱信息科技組織風(fēng)險風(fēng)險描述風(fēng)險應(yīng)對策略在信息科技風(fēng)險管理機構(gòu)及專業(yè)委員會設(shè)置、履職等方面的不確定因素，以及在部門/崗位設(shè)置、職責(zé)劃分、垂直歸口管科技風(fēng)險管理委員會、信息科技部、 稽核審計部、風(fēng)險管理部、人力資源建立完善的信息科技治理架構(gòu)。以法 定代表人為第一責(zé)任人，囊括理事會、監(jiān)事會、風(fēng)險管理委員會、信息理等方面的不確定

2、因素所帶來的影響。部、監(jiān)察部等部門。明確各部門在信息科技風(fēng)險管理工作中的職責(zé)；每個部門根據(jù)在信息科技風(fēng)險管理中的職責(zé)設(shè)立相應(yīng)的崗位，合理分配相應(yīng)的責(zé)、權(quán)、禾（J,執(zhí)行信息科技風(fēng)險管理工作；省聯(lián)社各部門應(yīng)指導(dǎo)、監(jiān)督辦事道德文化風(fēng)險在文化培育、融合、再造等過程中的不確定因素，以及員工在價值觀認同、行為規(guī)范遵循,等方面的不確定因素所帶來的影響。人員管理風(fēng)險在從人員聘用到離職整個服務(wù)期間內(nèi)的不確定因素所帶來的 影響。處、各縣級農(nóng)村合作金副機構(gòu)相應(yīng)部門的信息科技風(fēng)險管理工作。在建立道德、誠信、公正的氛圍，對員工進行相關(guān)的培訓(xùn)，作為員工日常工作的行為準(zhǔn)則之一；建立暢通的溝通渠道,任何與陜西省農(nóng)村合作金融機

3、構(gòu)道德文化標(biāo) 準(zhǔn)的偏離都得到及時和充分的反 映，并被立即調(diào)查和糾正。建立完善的人員招聘、培訓(xùn)、考核、 激勵、離職等制度和流程，并確保得到有效執(zhí)行;配備，提高信息科技風(fēng)險管理水 平；對重要崗位制定詳細的工作手冊 并適時更新；風(fēng)險編號風(fēng)險描述風(fēng)險應(yīng)對策略為員工提供信息科技風(fēng)險管理制度和流程的培訓(xùn)，提高員工風(fēng)險管 理意識；對人員結(jié)構(gòu)、能力、素質(zhì)等進行定 期評估，并組織專業(yè)培訓(xùn)，提高人 才隊伍的專業(yè)技能；制定關(guān)鍵崗位信息科技員工流失 防范措施并定期評估人員流失風(fēng) 險；制定關(guān)鍵崗位輪崗計劃并執(zhí)行；建立信息科技工作職責(zé)不相容矩 陣，將不相容職責(zé)/崗位分離，并 定期檢查。A2.信息科技戰(zhàn)略風(fēng)險應(yīng)對策略信息科

4、技戰(zhàn)略風(fēng)險包括戰(zhàn)略規(guī)劃風(fēng)險和戰(zhàn)略執(zhí)行風(fēng)險。每個二級風(fēng)險的內(nèi)容和應(yīng)對策略如下:風(fēng)險編號1.4風(fēng)險名稱戰(zhàn)略管理風(fēng)險風(fēng)險描述在戰(zhàn)略規(guī)劃制定、調(diào)整、銜接等過程中的不確定性因素所 帶來的影響。風(fēng)險應(yīng)對策略按照陜西省農(nóng)村合作金融機構(gòu)總 體業(yè)務(wù)規(guī)劃制定信息科技戰(zhàn)略；在陜西省農(nóng)村合作金融機構(gòu)總 體業(yè)務(wù)規(guī)劃進行調(diào)整時，相應(yīng) 的，應(yīng)及時調(diào)整信息科技戰(zhàn)略, 以確保和總體業(yè)務(wù)規(guī)劃的一致性。A3.信息科技運維風(fēng)險應(yīng)對策略信息科技運維風(fēng)險包括九個二級風(fēng)險：備份管理風(fēng)險、運維環(huán)境風(fēng)險、容量管理風(fēng)險、問題管理風(fēng)險、記錄管理風(fēng)險、事件管理風(fēng)險、發(fā)布管理風(fēng)險、變更管理風(fēng)險以及資產(chǎn)管理風(fēng)險。每個一檔風(fēng)險的內(nèi)舉和應(yīng)對策略如下:風(fēng)險

5、1 - 1- -_; , 一 八爰二 風(fēng)險名稱風(fēng)險描述風(fēng)險應(yīng)對策略編號. 1IL_3.1 備份管理風(fēng)在從制定備份策略、 執(zhí)建立完善的數(shù)據(jù)中心管理制度，完善系編號風(fēng)險名稱風(fēng)險描述險行備份、備份恢復(fù)等一 .系列過程中的/、確定 因素所帶來的影響。風(fēng)險應(yīng)對策略1.5運維環(huán)境風(fēng)險信息科技運維環(huán)境， 如 相關(guān)的系統(tǒng)、設(shè)施、設(shè) 備等在運營過程中所產(chǎn)生的不確定因素所 帶來的影響。1.6容量管理風(fēng)險在信息系統(tǒng)性能、容量 規(guī)劃、容量監(jiān)測和處理等過程中的不確定因素所帶來的影響。1.7事件管理風(fēng)在事件從查明、 記錄到 解決全過程中的不確 定因素所帶來的影響。統(tǒng)（程序和配置）和數(shù)據(jù)等的備份策略,包括備份范圍、備份頻率

6、、備份檢查、備份恢復(fù)性測試等內(nèi)容；配置備份工作所必須的軟硬件資源、 人力資源以及空間資源等。備份介質(zhì)的保存環(huán)境應(yīng)當(dāng)符合相關(guān)標(biāo)準(zhǔn)（如防火、防水、防磁、防盜、溫濕度等）； 備份介質(zhì)的傳遞重要工作必須由專 人和專用運輸工具負責(zé)；對備份的結(jié)果進行檢查，任何異常應(yīng)立即查明原因并解決；定期進行備份恢復(fù)性測試，確保備份數(shù)據(jù)的完整、準(zhǔn)確、有效；存儲敏感數(shù)據(jù)的介質(zhì)，在設(shè)備維修、 用途變更或銷毀時，采用消磁等完全 清除數(shù)據(jù)的安全方式。制定信息科技運維環(huán)境的維護和管理制 度，確保信息科技運行在一個穩(wěn)定的環(huán)境中；采用人工和技術(shù)等手段對信息科技運維環(huán)境的各種設(shè)施、設(shè)備進行預(yù)防 性維護和監(jiān)控，發(fā)現(xiàn)的問題應(yīng)立即跟 進；建立

7、服務(wù)水平管理相關(guān)的制度和流 程，對信息科技運行服務(wù)水平進行考 核。制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān) 制定系統(tǒng)性能、 容量監(jiān)測和處理的方 法；由系統(tǒng)自動檢測或人工定期查看，確保系統(tǒng)穩(wěn)定運行。制定事件管理流程，包括事件查明和記錄、歸類和初步支持、事件調(diào)查和分析、事件升級、解決事件和恢復(fù)服務(wù)、事件 終止以及負責(zé)事件并跟蹤、監(jiān)督、控制 和協(xié)調(diào)解決全過程；在事件發(fā)生后，應(yīng)按照事件管理流程 立即響應(yīng)以盡快解決。1.8 問題管理風(fēng)在問題中報、 解決、技建立并完善有效的問題管理流程，以確險術(shù)援助、支持服務(wù)等過保全面地追蹤、分析和解決信息系統(tǒng)

8、問程中存在的不確定因題，并對問題進行記錄、分類和索引;風(fēng)險I 編號風(fēng)險描述素所帶來的影響。1.9記錄管理風(fēng)對應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè) 備、防火墻、主機、 據(jù)庫等所產(chǎn)生的日志建立完整的日志管理規(guī)定，完整采集并 保存應(yīng)用系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、防火墻、主機等產(chǎn)生的交易日志和系統(tǒng)日的記錄、監(jiān)控、復(fù)核、風(fēng)險應(yīng)對策略定期對問題進行匯總分析，以求從根源上解決問題。保存等過程中存在的 不確定因素所帶來的 影響。1.10發(fā)布管理風(fēng)在監(jiān)督應(yīng)用系統(tǒng)和軟件等的發(fā)展、試驗、部 署和支持過程中的不制定軟件版本管理規(guī)范及系統(tǒng)版本命名 規(guī)范，軟件版本的發(fā)布和開發(fā)過程必須1.11變更管理風(fēng)確定因素所帶來的影 響。按照規(guī)定的流程執(zhí)行；

9、建立各重要系統(tǒng)的配置基線，納入統(tǒng)一的配置管理數(shù)據(jù)庫，并由專人負定期對配置數(shù)據(jù)庫中的配置項與實際配置的一致性進行檢查， 致的配置項進行確認、調(diào)整;并對不一建立發(fā)布管理流程，確保系統(tǒng)或軟件 的發(fā)布處在一個可控的流程中； 管理層應(yīng)審核對系統(tǒng)或軟件的發(fā)布;新系統(tǒng)或軟件發(fā)布后， 應(yīng)保留先前的 版本和環(huán)境以備恢復(fù)。志等；設(shè)置專門崗位對日志進行監(jiān)控和管 理，尤其是未經(jīng)授權(quán)的訪問、對敏感 信息的訪問、操作等應(yīng)格外關(guān)注; 日志應(yīng)得到妥善保存與備份。在信息系統(tǒng)相關(guān)的軟 件、硬件、和網(wǎng)絡(luò)等變 更過程中的不確定因制訂嚴密的變更處理流程，明確變更控 制中各崗位的職責(zé)，并遵循流程實施控素所帶來的影響。制和管理;所有涉及生

10、產(chǎn)環(huán)境的變更，變更前必須有回退和應(yīng)急方案;制定變更管理的文檔管理流程。對變更情況進行及時登記、備案和存檔， 并將變更情況及時通報相關(guān)部門和 相關(guān)崗位的人員。1.12資產(chǎn)管理風(fēng)包括信息科技資產(chǎn)的 運行維護風(fēng)險和處置 風(fēng)險。運行維護風(fēng)險是對信息資產(chǎn)進行梳理，建立信息資產(chǎn)清 單，明確各資產(chǎn)的負責(zé)人、使用人、保 管人等相關(guān)責(zé)任人，制定各自的職責(zé)和指在資產(chǎn)使用、維護、管理、租賃、抵押、保值等方面中的不確定 因素所帶來的影響。置風(fēng)險是指在資產(chǎn)處種類型；置制度執(zhí)行、方式選權(quán)力；將信息系統(tǒng)及其中的信息資產(chǎn)進行 分類管理，包括數(shù)據(jù)、軟件、硬件、 服務(wù)、文檔、設(shè)備、人員及其他共八按照國家信息安全等級保護管理辦擇、

11、時機把握、價格評法（公通字【2007】43號）的規(guī)定 估等方面中的不確定 因素所帶來的影響。及信息系統(tǒng)安全等級保護定級指編號風(fēng)險描述風(fēng)險應(yīng)對策略南(GB/T 22240-2008 )、信息系統(tǒng)安全等級保護基本要求(GB/T22239-2008 )的要求，對信息系統(tǒng)分 級并按級別進行保護；審批并記錄信息科技資產(chǎn)運行維護 和處置中的各種業(yè)務(wù)；管理層定期檢查信息科技資產(chǎn)清單 與實際情況的一致性，并對可能發(fā)現(xiàn)的問題及時跟進。A4.信息安全風(fēng)險應(yīng)對策略信息安全風(fēng)險包括八個方面：物理和環(huán)境安全風(fēng)險、訪問控制風(fēng)險、應(yīng)用安全風(fēng)險、系統(tǒng)軟件安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險、終端安全風(fēng)險、移動安全風(fēng)險和數(shù)據(jù)安全風(fēng)險。每個二

12、級風(fēng)險的內(nèi)容和應(yīng)對策略如下：風(fēng)險 編號風(fēng)險名稱風(fēng)險描述風(fēng)險應(yīng)對策略1.13物理和環(huán)境安全風(fēng)險在物理層次上為使信息科技運行環(huán)境受到保護，不受偶然或惡意的原因而遭到破壞的 過程中的不確定因素所帶來 的風(fēng)險。 合理選擇數(shù)據(jù)中心的地理位置，并經(jīng)過管理層的批準(zhǔn)；制定信息科技設(shè)施、數(shù)據(jù)中心 等信息科技環(huán)境的安全管理制.度，包括設(shè)備安全管理、介質(zhì) 安全管理、人員出入等，并確 保有效執(zhí)行；根據(jù)國家的規(guī)定，重要或敏感的業(yè)務(wù)信息處理系統(tǒng)應(yīng)放在安全的地方，并設(shè)置有適當(dāng)?shù)陌?全區(qū)域，安全區(qū)域的出入口有安全障礙和入口控制，設(shè)備應(yīng) 有物理的保護以防止非法進 入、危害及破壞；嚴格控制相關(guān)人員，包括第三 方人員進入安全區(qū)域，

13、并記錄 所有人員的出入信息。對敏感 加十土夫粕壬T/上M A日嚴格的審查程序，包括身份驗證和背景調(diào)查；采用其他人工或技術(shù)手段防止編號風(fēng)險名稱風(fēng)險應(yīng)對策略未授權(quán)的侵入。1.14訪問控制風(fēng)險因未經(jīng)授權(quán)對信息科技資源的訪問所帶來的影響。建立統(tǒng)一的用戶身份管理基礎(chǔ)設(shè) 施，向應(yīng)用系統(tǒng)提供集中的用戶身 份認證服務(wù)；明確定義包括終端用戶、系統(tǒng) 開發(fā)人員、系統(tǒng)測試人員、計 算機操作人員、系統(tǒng)管理員和 用戶管理員等不同用戶組的訪 問權(quán)限。制定主機系統(tǒng)及網(wǎng)絡(luò)的訪問控 制制度，系統(tǒng)權(quán)限管理規(guī)定；根據(jù)“訪問控制分級”、“需求導(dǎo)向”和“最小授權(quán)”的原 則對用戶的權(quán)限申請進行審 批，并定期對用戶，尤其是關(guān) 鍵崗位用戶、最

14、高權(quán)限用戶等.的權(quán)限進行檢查；每個內(nèi)部員工具有范圍內(nèi)唯一 的身份標(biāo)識，用戶在訪問應(yīng)用系統(tǒng)之前，必須提交身份標(biāo)識,.并對其進行認證；在發(fā)生用戶離職或崗位變動時.及時更新其訪問權(quán)限；對各類系統(tǒng)及網(wǎng)絡(luò)環(huán)境設(shè)置密 碼安全策略，包括密碼長度、 復(fù)雜度、有效期、歷史密碼記. 憶次數(shù)等。1.15應(yīng)用安全風(fēng)險在應(yīng)用系統(tǒng)的使用、運行過程中的不確定因素所帶來的影 響。加強職責(zé)劃分，對關(guān)鍵或敏感崗位 進行雙重控制。采取安全的方式處理保密信息的輸入和輸出，防止信息泄露 或被盜取、篡改。確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止 時向用戶提供必要信息。1.16系統(tǒng)軟件安全風(fēng)險在操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等系統(tǒng)軟

15、件的使用、運行過程中的不確定因素所帶來的影制定每種類型操作系統(tǒng)的基本安 全要求，確保所有系統(tǒng)滿足基本安全要求。響。制定最高權(quán)限系統(tǒng)賬戶的審 批、驗證和監(jiān)控流程，并確保 最高權(quán)限用戶的操作日志被記 錄和監(jiān)察。定期檢查可用的安全補丁，并編號風(fēng)險名稱風(fēng)險應(yīng)對策略報告補丁管理狀態(tài)。在系統(tǒng)日志中記錄不成功的登 錄、重要系統(tǒng)文件的訪問、對 用戶賬戶的修改等有關(guān)重要事 項。建立主機入侵檢測機制，發(fā)現(xiàn) 主機系統(tǒng)中的異常操作行為， 以及對主機發(fā)起的攻擊行為， 并及時報警。1.17網(wǎng)絡(luò)安全風(fēng)險1.18終端安全風(fēng)險為使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護， 受偶然的或者惡意的原因而 遭到破壞、更改、泄露，系

16、統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷的過程中的不確定因素所帶來的影響。為確保所有終端用戶設(shè)備，如臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM ）、存折打印機、建立網(wǎng)絡(luò)安全管理制度，網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和相關(guān)的運營維護管理規(guī)范；將網(wǎng)絡(luò)劃分為不同的邏輯安全 域，根據(jù)域的性質(zhì)定義生產(chǎn)域 或測試域、內(nèi)部域或外部域， 結(jié)合不同域之間的連通性和域 的可信程度等，對整個網(wǎng)絡(luò)進 行物理或邏輯分區(qū)，并建立不同域的訪問控制機制；在各安全域的邊界，部署網(wǎng)絡(luò) *安全訪問措施，包括防火墻、 入侵檢測、VPN ;采用人工或技術(shù)手段對網(wǎng)絡(luò)進 行實時監(jiān)控，及時發(fā)現(xiàn)并處理 非法入侵、網(wǎng)絡(luò)異常等情況； 激

17、活網(wǎng)絡(luò)信息安全工具的功能和設(shè)置以便記錄及報告信息安 全政策所規(guī)定的網(wǎng)絡(luò)安全事 項，并立即解決；建立防病毒安全政策和策略、 全面網(wǎng)絡(luò)病毒查殺機制。所有 連入我省農(nóng)村合作金融機構(gòu)內(nèi)部域的電腦及其他設(shè)備，都應(yīng) 安裝殺毒軟件，并在接入之前 進行病毒掃描；制定防毒庫升級簫略和掃描簫略，定期進行病毒庫更新和病 毒掃描，病毒庫升級記錄和掃 描記錄應(yīng)經(jīng)復(fù)核。配備切實有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進行安全檢查。編號風(fēng)險描述讀卡器、銷售終端（個人數(shù)字助理（1.19移動設(shè)備安全風(fēng)險1.20數(shù)據(jù)安全風(fēng)險POS）和PDA ）等的安全所進行的一系列工作過程 中的不確定因素所帶來的影 響。為確保各

18、種移動存儲設(shè)備、程辦公等的安全所進行的一 系列工作過程中的不確定因 根據(jù)實際業(yè)務(wù)的變化、新技術(shù)為確保數(shù)據(jù)的保密性、完整性風(fēng)險應(yīng)對策略制定移動存儲和遠程辦公的相關(guān) 安全機制；素所帶來的影響。的發(fā)展，定期對安全機制進行檢查與復(fù)核；嚴格限制移動設(shè)備在生產(chǎn)環(huán)境-二的使用。和有效性，所采取的一系列工 作過程中的不確定因素所帶 對所有納入保護范圍的信息明按照重要程度和敏感程度對數(shù)據(jù) 進行分級保護和管理。來的影響。確信息所有者和信息管理者， 并制定相應(yīng)的職責(zé)和權(quán)力， 制定相關(guān)制度和流程，嚴格管 理數(shù)據(jù)信息的采集、處理、存 貯、傳輸、分發(fā)、備份、恢復(fù)、 清理和銷毀；采用技術(shù)手段防范數(shù)據(jù)在傳 輸、處理、存儲過程

19、中出現(xiàn)泄 露或被篡改的風(fēng)險。A5. 系統(tǒng)開發(fā)風(fēng)險應(yīng)對策略系統(tǒng)開發(fā)風(fēng)險包括項目組合管理風(fēng)險、項目生命周期管理風(fēng)險以及變更管理風(fēng)險。每個二級風(fēng)險的內(nèi)容和應(yīng)對策略如下：風(fēng)險 編號3.2風(fēng)險名稱項目組合管理風(fēng)險風(fēng)險描述在對的項目組合（而非單個項目）進行管理時，因在項目優(yōu)先級排定，以及相關(guān)的人、 財、 物、時間等資源安排的過程及結(jié)果的不確定因素所帶來的 影響。3.3 項目生命周期管理風(fēng)險應(yīng)對策略根據(jù)信息科技戰(zhàn)略規(guī)劃、計劃以及可以利用的資源， 對項目進行優(yōu)先 排定和進度安排；在實際業(yè)務(wù)發(fā)生變化或戰(zhàn)略變 化時，及時更新和維護項目優(yōu) 先排定和進度安排。在從項目可行性研究到需求 調(diào)研、系統(tǒng)設(shè)計、開發(fā)管理、制定完

20、整的項目管理規(guī)章制度，包括項目審批流程、參與部門的職責(zé)編號風(fēng)險名稱風(fēng)險描述風(fēng)險應(yīng)對策略系統(tǒng)測試、系統(tǒng)實施、項目文 檔管理以及項目退出等的整 個生命周期過程中的產(chǎn)生的 建立項目實施前和實施后評價劃分、時間進度和財務(wù)預(yù)算管理、 質(zhì)量檢測、風(fēng)險評估等；/、確定因素所帶來的影響。 機制；管理層對項目周期管理進行明 確定義，應(yīng)當(dāng)至少包括立項、 可行性分析、制定需求、方案 設(shè)計、程序開發(fā)、系統(tǒng)測試、 系統(tǒng)驗收、使用培訓(xùn)、實施操 作和維護等方面。并采取適當(dāng) 的系統(tǒng)開發(fā)方法，控制項目的 生命周期；采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控 制項目生命周期內(nèi)各階段的質(zhì) 量；業(yè)務(wù)和系統(tǒng)需求應(yīng)經(jīng)業(yè)務(wù)部門 和信息科技部門共同確認；將

21、信息安全納入系統(tǒng)設(shè)計過程 中，包括系統(tǒng)和數(shù)據(jù)訪問權(quán)限、 數(shù)據(jù)備份和保護要求、數(shù)據(jù)安 全、身份驗證、容量要求、審 計要求、流程控制等；將開發(fā)環(huán)境、測試環(huán)境和生產(chǎn) 環(huán)境相互獨立，并建立規(guī)范的 管理制度對三個環(huán)境進行嚴格管理；上線實施前完成充分的功能測 試和非功能測試，對測試過程進行嚴格審查；建立上線實施計劃，以及應(yīng)急回退計劃，并經(jīng)管理層審批； 項目文檔，包括各種紙版和電 子版文檔及源代碼等，應(yīng)得到妥善保管；風(fēng)險管理部門和稽核部應(yīng)參與 大規(guī)模系統(tǒng)開發(fā)，保證系統(tǒng)開 發(fā)符合陜西省農(nóng)村合作金融機1.21項目變更風(fēng)險在系統(tǒng)建設(shè)過程中，因各種因素導(dǎo)致項目變更所產(chǎn)生的不確定因素所帶來的影響。構(gòu)信息科技風(fēng)險管理標(biāo)

22、準(zhǔn)。 建立完善的項目變更管理制度，并以其來規(guī)范變更流程；依照項目變更管理的要求對項 目變更流程加以控制，在變更 的發(fā)起，評審，執(zhí)行，用戶接風(fēng)險 編號風(fēng)險名稱風(fēng)險描述風(fēng)險應(yīng)對策略受測試等階段都應(yīng)經(jīng)過相應(yīng)級 別的審批。A6.信息科技外包風(fēng)險應(yīng)對策略信息科技外包風(fēng)險包括外包策略風(fēng)險和外包生命周期管理風(fēng)險。每個二級風(fēng)險的內(nèi)容和應(yīng)對策略如下:風(fēng)險編號1.22風(fēng)險名稱風(fēng)險描述風(fēng)險管理策略外包策略風(fēng)險在確定外包策略（如核心業(yè)務(wù)和能力、 適合外包的范圍和級別等的確定，以 及外包服務(wù)等）的過程和結(jié)果的不確定因素所帶來的影響。建立正式的系統(tǒng)設(shè)計開發(fā)外包管 理政策，在進行信息系統(tǒng)外包時，應(yīng)根據(jù)風(fēng)險控制和實際需要，合

23、理確定外包的原則和范圍，認真分析和評估外包存在的潛在風(fēng)險，并制定相應(yīng)的風(fēng)險防范措施；不得將信息科技管理職能外包；定期根據(jù)外包策略對陜西省農(nóng)村合 作金融機構(gòu) 的所 有夕卜包項,日進行逐一分析、評估?？陀^評估外包商的資質(zhì)、服務(wù)能力、經(jīng)驗、項目管理能力、 財務(wù)狀況和風(fēng)險評估能力；.外包合同條款應(yīng)適當(dāng)，符合外包業(yè)務(wù)需要，責(zé)任義務(wù)劃分清楚，外包范圍界定明確，考核指標(biāo)明確，并有必要的、靈活性的條款；外包合同應(yīng)經(jīng)過風(fēng)險管理部門和法律方面專業(yè)審核；1.23 外包生命 包括外包商選擇風(fēng)險、外包合同風(fēng)險周期管理 和外包成果交付與知識轉(zhuǎn)移風(fēng)險。風(fēng)險.外包商選擇風(fēng)險：是指在選擇外.包商時，所需要進行的一系列工 作，如

24、審查、評估外包商的資質(zhì)、專業(yè)經(jīng)驗、經(jīng)驗、能力等過程中的不確定因素所帶來的影響。外包合同風(fēng)險：包括外包合同 訂立與生效風(fēng)險、外包合同執(zhí) 行風(fēng)險及外包合同收尾風(fēng)險。合同訂立與生效風(fēng)險是指在與外包商在外包合同簽訂過 程中不確定因素所帶來的影 響；合同執(zhí)行風(fēng)險是指合同文 件保管、合同履行、合同變 更、履約監(jiān)督、爭議處理等過程中對外包商的財務(wù)狀況以及支持IT外包業(yè)務(wù)的技術(shù)和關(guān)鍵人 員進行有效地監(jiān)督和管理； 定期對外包工作進行評估，對 發(fā)現(xiàn)的問題及時跟進解決；不確定因素所帶來的影響；合 同收尾風(fēng)險是指文件歸檔、結(jié)算復(fù)核、合同終止等過程中不 確定因素所帶來的影響。外包成果交付與知識轉(zhuǎn)移風(fēng)在與外包服務(wù)提供商的

25、合同中 均包括了知識轉(zhuǎn)移的要求。根 據(jù)合同條款的要求對外包商交 付的技術(shù)進行核實，并對技術(shù) 順利交付獲取必要的培訓(xùn)與支風(fēng)險 編號風(fēng)險名稱風(fēng)險描述風(fēng)險管理策略險：是指對外包工作成果的交 付過程中，以及相關(guān)知識轉(zhuǎn)移 過程中的不確定因素所帶來 的影響。持服務(wù)。A7. 業(yè)務(wù)連續(xù)性管理風(fēng)險應(yīng)對策略業(yè)務(wù)連續(xù)性管理風(fēng)險包括兩個二級風(fēng)險： 業(yè)務(wù)連續(xù)性計劃制 定和維護風(fēng)險和業(yè)務(wù)連續(xù)性計劃實施風(fēng)險。 每個二級風(fēng)險的內(nèi)容 和應(yīng)對策略如下：風(fēng)險編號風(fēng)險名稱風(fēng)險描述風(fēng)險應(yīng)對策略1.24業(yè)務(wù)連續(xù)性計劃制定和維護風(fēng)險由于業(yè)務(wù)連續(xù)性計劃的缺失、 制定、維護等過程中的不確定 因素所帶來的影響。 根據(jù)自身的規(guī)模和復(fù)雜程度以及業(yè)務(wù)的重要性有針對性地制定業(yè)務(wù)連續(xù)性計劃。內(nèi)容應(yīng)包括： 應(yīng)急組織及相應(yīng)職責(zé)；突發(fā)事件分級及 每個級別的界定范圍、響應(yīng)時間及處置簡要流程；因意外事件導(dǎo)致業(yè) 務(wù)運行中斷的可能性及其影響分析；重要信息系統(tǒng)應(yīng)急預(yù)案；災(zāi)難恢復(fù)計劃；資源需求及獲取方式； 運行恢復(fù)的優(yōu)先順序；與內(nèi)外部相關(guān)各方的溝通安排；人員培訓(xùn)、 業(yè)務(wù)連續(xù)性計劃的演練及更新； .所有重要信息系統(tǒng)應(yīng)急預(yù)案、 災(zāi)難恢