信息科技风险自评估表-

共享知识分享快乐信息科技风险自评估表一、信息科技治理序号风险类别风险点控制目标风险分析参考依据1ISO27001：2005 管理层职责：建立信息安全方针，确保信息安全目标和计划的建立，进董事会或高级管理层职责对信息科技战略的审查批准并审查信息科技战略；保证信息科技战略与银行总体业务战略和重大策略相一致；定期评估信息科技及其风险管理工作的总体效力和效率。行信息安全管理体系的评审；信息风险管理缺 ISO27001：2005 信息安全方针文档：乏长期规划，无法信息安全方针文档应经过管理层的批准，并向所有员工和指导信息安全工外部相关方公布和沟通；作开展。 ISO27001：2005 信息安全方针评审：应按策划的时间间隔或当发生重大变化时，对信息安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性。2Corbit 信息技术审计指南-决定技术方向：定期听取信息科技风险管理部无法掌握现有风IT管理层理解并使用技术基础设施计划；对本行信息科技门报告；组织进行独立有效的险，对存在的信息技术基础设施计划上的变化，以确定相关的成本和风险，风险管理现状的掌握情况信息科技风险审计；对审计报告和监管意见的整改情况进行监督。安全风险针对性的改进无法得到有力的推进。这些变化要反映在IT长短期计划的变化中；IT管理层要理解监控和评估正在出现技术的过程，并要将适当的技术合并到当前的IT基础设施之中；IT 管理层要理解系统评估技术计划意外的过程。卑微如蝼蚁、坚强似大象共享知识分享快乐序号3风险类别风险点对信息科技建设的支持控制目标建立合理的人才激励体制；确保为信息科技风险管理工作拨付所需资金；建立规范的职业道德行为和廉政标准。风险分析对信息安全风险的改进缺乏有效资源参考依据Corbit信息技术审计指南-管理信息技术投资：高级管理层应执行预算编制过程，按照机构的长期和短期计划以及 IT 的长期和短期计划，保证年度 IT 运作预算的建立和批准。应调查资金的选择。4由来自高级管理层、信息科技部分和主要业务部分的代表组等级保护-安全管理机构-岗位设置c) 应成立指导和管理信息安全工作的委员会或领导小组。组织信息科技管理委员会的建立成；定期向董事会和高级管理层汇报信息科技战略规划的效力、信息科技预算和实际支出、信息科技的整体性能；对信息科技建设及管理情况进行有效的协调。信息安全工作缺乏统一组织进行协调。5直接参与本银行与信息科技运等级保护-安全管理机构-岗位设置组织架构首席信息官的设置用有关的业务发展决策；建立切实有效的信息科技部分；确保信息科技风险管理的有效信息安全工作缺乏统一有效的领导和责任人。c)信息安全工作的委员会或领导小组最高领导应由单位主管领导委任或授权。67信息科技部门的职责信息科技风险管理部分的职责性。岗位设置完整合理；人员具有相应的技能和专业知识，制定有合理的培训计划；重要岗位制定详细完整的工作说明。可直接向 CIO 或 CRO 汇报；实施持续的信息科技风险评估；协调有关信息科技风险管理策缺乏具有专业知识和技能的专职人员；信息安全工作无法有效的协调。等级保护-安全管理机构-岗位设置a) 应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；b) 应配备专职安全管理员，不可兼任；d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。略的制定。卑微如蝼蚁、坚强似大象共享知识分享快乐序号风险类别风险点控制目标风险分析参考依据8等级保护-安全管理机构-审核和检查a) 安全管理员应负责定期进行安全检查，检查内容包括系信息科技内部审计岗位在内审部门内部设立；配备足够的专业人员；制定完整的信息科技审计策略和流程；制定信息科技内审计划并落实。信息安全工作缺乏有效的监督和评价，信息安全风险管理无法有效的落实和改进。统日常运行、系统漏洞和数据备份等情况；b) 应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；c) 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；9信息安全管理制d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。 ISO27001：2005 总要求制度建设流程完善的规章制度和管理办法的制定、审批和修订流程。度混乱，无法形成组织应根据整体业务活动和风险，建立、实施、运行、监完整体系，缺乏可视、评审、保持并改进文件化的信息安全管理体系。操作性且得不到10制度建设制度体系涵盖运行、安全、开发等各重要部分；对关键部分应有详细的管理规定和操作细则。有效改进。关键工作缺乏规范性，工作流程混乱，直接导致信息安全事件。ISO27001：2005-控制目标：1、信息安全方针；2、信息安全组织；3、资产管理；4、人力资源安全；5、物理与环境安全；6、通讯及操作管理； 7、访问控制；8、信息系统的获取、开发和维护；9、信息安全事故管理；10、业务连续性管理；11、符合性。二、信息科技风险管理序号风险类别风险点控制目标风险分析参考依据卑微如蝼蚁、坚强似大象共享知识分享快乐序号风险类别风险点控制目标风险分析参考依据1112信息科技风险管理信息科技风险管理策略风险识别和评估流程等级保护-控制项：策略内容应包括：1、信息分级与保护；2、应用系统开发、测1、物理安全；2、网络安全；3、主机安全；4、应用安全；试和维护；3、信息科技运行和安全策略考虑不 5、数据安全；6、安全管理制度；7、安全管理机构；8、维护；4、访问控制；5、物理完善，没有完整包人员安全管理；9、系统运维管理；10、系统建设管理。安全；6、人员安全；7、业务含信息安全各方 ISO27001：2005-控制目标：连续性与应急处置面，制定的安全策 1、信息安全方针；2、信息安全组织；3、资产管理；4、略内容存在疏漏。人力资源安全；5、物理与环境安全；6、通讯及操作管理；7、访问控制；8、信息系统的获取、开发和维护；9、信息安全事故管理；10、业务连续性管理；11、符合性。准确定位存在隐患的区域；评计算机等级保护制度；价风险对其业务的潜在影响；ISO27001：2005 信息安全管理体系要求。对风险进行分类排序；确定风险防范活动及必备资源的优先1314风险防范措施风险计量和监测机制级。1、明确的信息科技风险管理策略、技术标准和操作规程等，并定期公示；2、识别潜在风险区域，对这些区域进行详细的独立监控，并建立适当的控制结构。范围涵盖所有的重要部分，包含项目实施、系统性能、事故与投诉、问题整改、外包服务无法了解现有系统存在的风险，无法有效的指导信息安全的改进，提高信息系统安全性。水平、运行操作、外包项目等。三、信息安全卑微如蝼蚁、坚强似大象共享知识分享快乐序号风险类别风险点控制目标风险分析参考依据1516授权机制用户审查完整的审批流程；以“必需知道”和“最小授权”为原则；权限收回流程。定期对系统所有用户进行审查；每个系统的所有用户使用唯一 ID；用户变化时应及时检ISO27001 访问控制-控制策略：应建立文件化的访问控制策略，并根据对访问的业务和安用户获得不当权全要求进行评审；限，有意或者无意 ISO27001 访问控制-用户注册：的造成系统破坏应建立正式的用户注册和解除注册程序，以允许和撤销对或信息泄露。于所有信息系统和服务的访问；ISO27001 访问控制-特权管理：应限制和控制特权的使用和分配。用户获得不当权ISO27001 访问控制-用户访问权限的评审：限，有意或者无意管理者应按照策划的时间间隔通过正式的流程对用户的访的造成系统破坏问权限进行评审。用户认证查和更新。或信息泄露。17和访问控制等级保护-应用安全-身份鉴别：a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别b) 应对同一用户采用两种或两种以上组合的鉴别技术实认证机制与信息访问级别相匹配的用户认证机制；高风险交易和活动使用增强的认证方法。用户获得不当权限，有意或者无意的造成系统破坏或信息泄露。现用户身份鉴别c) 应提供用户身份标识唯一性和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用d) 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数卑微如蝼蚁、坚强似大象共享知识分享快乐序号风险类别风险点控制目标风险分析参考依据18等级保护-安全管理机构-岗位设置a) 应设立信息安全管理工作的职能部门，设立安全主管、信息安全管理完善的信息安全管理流程、组织架构和职责分配。管理混乱信息安安全管理各个方面的负责人岗位，并定义各负责人的职责全策略无法正确 b) 应设立系统管理员、网络管理员、安全管理员岗位，并及时的实施；信息定义各个工作岗位的职责安全责任无法明 c) 应成立指导和管理信息安全工作的委员会或领导小组，确。其最高领导应由单位主管领导委任或授权d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求19信息安全策略包含完整的内容：1、组织信息安全；2、资ISO27001：2005-控制目标：1、信息安全方针；2、信息安全组织；3、资产管理；4、信息安全管理信息安全策略产管理；3、人员安全；4、物理和环境安全；5、通信和操作安全；6、访问控制；7、身份认证；8、信息系统的获取、开发和维护；9、信息安全事故管安全策略考虑不人力资源安全；5、物理与环境安全；6、通讯及操作管理；完善