20XX年度信息科技风险管理报告
一、信息科技风险管理整体情况
20XX年公司信息系统运行平稳,重要信息系统未发生计划外中断,未发生重大信息科技风险事件。
20XX年公司信息科技风险管理工作以监管政策为导向,坚持生产安全运行为基础,从关键风险指标体系建设、业务连续性管理、信息科技风险管理、客户信息保护等方面持续完善管理体系。加强信息科技基础建设,查漏补缺,完善数据中心设备设施,建设数据中心异地数据灾备,提升网络安全防护水平。全年未发生重特大信息科技风险事件,公司信息安全处于优良水平。
二、信息科技风险管理工作成效
(一)信息科技关键风险指标
20XX年全年重要信息系统可用率稳定,保持在99.99%以上,高于监管要求的重要信息系统可用率指标99.85%。投产变更实施成功率反映软件交付的质量,20XX年投产变更实施成功率100%。
(二)业务连续性管理
一是制定疫情期间业务连续性管理方案并组织实施,确保疫情期间公司系统平稳运行,业务正常开展。二是开展业务连续性演练,完成了系统的主备切换演练、主备专线网络切换演练。
(五)信息科技风险管理其他重点领域
一是在制度建设方面,按照公司制度三级管理体系,确保信息安全管理的落实及覆盖。一级体系《信息科技管理办法》;二级体系,包括项目开发、科技外包、系统运行维护、信息系统安全等各类管理办法;三级体系,变更维护、网络、数据、设备、IT基础设施等操作手册、应急预案。二是在信息安全管理方面,开展公司6个系统的风险评估,以及2个系统的信息安全等级保护测评。三是在运行维护建设方面,部署完善监控平台,实现系统级和应用级监控。完成日志审计系统、堡垒机、数据库审计系统、异地数据灾备系统的建设。四是落实监管要求方面,对照监管要求和公司制度,建立外包供应商的准入、评估体系,对外包人员、外包项目和外包开发环境进行管控。强化外包人员的准入及日常管理,包括人员面试、入场离场管理、日常考勤、考核管理等。五是在客户信息安全管理方面,初步梳理公司客户信息安全管理的现状及相关法律法规,制定信息安全管理方案,开展了数据防泄露的技术调研工作。
三、信息科技风险管理存在的问题
(一)业务连续性管理
重要信息系统应急演练覆盖率未做到全覆盖,应急演练内容主要涉及主备机切换演练,部分演练报告未包含应急演练组织架构、问题整改计划等内容。
(二)系统运行维护
信息科技运维人员配置仍存在缺口,系统运维人员不足,数据库管理、网络管理均依赖总行信息技术部支持,且未配备专职的信息安全管理人员。
四、20XX年重点工作计划
(一)完善信息科技管理制度
一是修订完善制度。针对发现的问题,完善信息科技风险管理程序,新增服务水平管理、项目后评估和风险管理等内容。二是排查现有的制度体系,并参照监管要求、外部审计结果,根据公司实际情况补充制定所需的各项管理制度。
(二)加强信息科技风险日常监测工作
加强关键风险指标的监测分析,建立关键风险指标的分析监控模型,重点关注指标同比、环比值发生较大变化或突破指标阈值的情形,形成关键指标分析报告;三是依据监管发文适时开展信息科技风险问题梳理或排查。
(三)强化业务连续性管理体系
建立常态化的业务连续性工作机制,进一步完善业务连续性管理工作,完善灾备建设,通过灾备建设咨询,分析系统资源建设目标与现状的差距,形成灾备资源建设计划和方案等。
(四)加强客户信息安全管控
一是加强信息系统权限管理,明确管理要求,严格审批流程,人员调岗或离职时及时动态调整;二是加强系统权限事后监督,定期对信息系统权限管理情况、超权限访问客户信息情况进行监测评估;三是加强员工行为管理,将客户信息安全管理纳入公司各级管理者和员工培训的重要内容,明确规范要求和处罚标准,加强检查监督。
科技部
20XX年XX月
《信息科技风险管理报告》相关文档:
采购合同风险管理10-26
EPC总承包合同计价模式及风险管理研究04-12
金融行业劳动合同风险管理04-21
银行风险管理部副经理竞聘演讲稿05-04
EPC总承包合同计价模式及风险管理研究05-07
EPC项目风险管理与探讨05-07
EPC工程总承包项目的风险因素与风险管理05-07
风险管理练习题(第6-10章 )05-17
商业银行信息科技风险管理指引07-02
信息科技风险管理.doc07-02
