某銀行信息科技風(fēng)險(xiǎn)識別與評價(jià)管理辦法

1、某銀行信息科技風(fēng)險(xiǎn)識別與評估管理辦法第一章總則第一條 為規(guī)范信息科技風(fēng)險(xiǎn)評估工作，提高某銀行信息科技風(fēng)險(xiǎn)管理水平, 促進(jìn)我行業(yè)務(wù)安全、持續(xù)、穩(wěn)健發(fā)展，根據(jù)國家信息安全法律、法規(guī)及銀行業(yè)信 息科技監(jiān)管要求及某銀行信息科技風(fēng)險(xiǎn)管理策略，結(jié)合我行風(fēng)險(xiǎn)管理實(shí)際情 況，特制定本辦法。第二條 本辦法屬于信息科技風(fēng)險(xiǎn)類“管理辦法”，適用于某銀行信息科技 匸作全過程的風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)評估對象包括信息科技組織、管理過程和信息資產(chǎn)。第三條信息科技風(fēng)險(xiǎn)，是指信息科技在合規(guī)管理、支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運(yùn) 營過程中，山于管理流程及資源缺失或不足、人為因素和技術(shù)漏洞產(chǎn)生的操作、 法律、聲譽(yù)等風(fēng)險(xiǎn)。第四條信息科技風(fēng)險(xiǎn)評佔(zhàn)是指在信

2、息科技風(fēng)險(xiǎn)事件發(fā)生之前或之后（但還 沒有結(jié)束），該事件給信息系統(tǒng)的硏發(fā)、生產(chǎn)等各個(gè)方面造成的影響和損失的可 能性進(jìn)行量化評估的工作。第五條 本辦法所指的信息科技風(fēng)險(xiǎn)類型及來源包括但不限于以下內(nèi)容：（-）信息科技總體風(fēng)險(xiǎn)是指信息科技在策略、制度、物理環(huán)境、軟件、硬 件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。（二）信息系統(tǒng)風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控 及下線過程中由于技術(shù)和管理缺陷產(chǎn)生的風(fēng)險(xiǎn)。（三）研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、 編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。（四）運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中訪問管理、操作管理、 變更

3、管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。（五）外包風(fēng)險(xiǎn)是指本行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān) 控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。第六條 信息科技風(fēng)險(xiǎn)評估是識別、計(jì)量、評價(jià)信息科技風(fēng)險(xiǎn)的活動，旨在 客觀反映信息科技對我行發(fā)展戰(zhàn)略的支撐程度。第七條 風(fēng)險(xiǎn)評估應(yīng)遵循“全面覆蓋、突出重點(diǎn)、持續(xù)跟進(jìn)”的原則。第八條 總行、一級分行的信息科技風(fēng)險(xiǎn)評估（含自評估）工作應(yīng)遵照本 辦法執(zhí)行。第二章角色分工第九條 風(fēng)險(xiǎn)評估可山總行信息科技管理委員會或一級分行發(fā)起，承擔(dān)機(jī)構(gòu) 是風(fēng)險(xiǎn)管理部，風(fēng)險(xiǎn)管理部負(fù)責(zé)組建風(fēng)險(xiǎn)評估實(shí)施團(tuán)隊(duì)。風(fēng)險(xiǎn)評佔(zhàn)實(shí)施團(tuán)隊(duì)山 管理層、相關(guān)業(yè)務(wù)和技術(shù)骨干等人員組成，

4、評估工作角色分為：評估管理人員、 評估人員、評估分析人員。（一）評估管理人員山風(fēng)險(xiǎn)管理部信息科技風(fēng)險(xiǎn)管理崗擔(dān)任，負(fù)責(zé)組織、 管理、監(jiān)督風(fēng)險(xiǎn)評估任務(wù)，包括：1. 制定風(fēng)險(xiǎn)評估任務(wù)計(jì)劃2. 設(shè)計(jì)風(fēng)險(xiǎn)評估方案3. 審核風(fēng)險(xiǎn)評估報(bào)告4. 確認(rèn)風(fēng)險(xiǎn)處置建議5. 跟蹤風(fēng)險(xiǎn)評估任務(wù)進(jìn)度6. 控制風(fēng)險(xiǎn)評估任務(wù)質(zhì)量（二）評佔(zhàn)人員負(fù)責(zé)按照風(fēng)險(xiǎn)評佔(zhàn)任務(wù)要求，收集并提供信息和證據(jù)，如 實(shí)反映信息科技工作現(xiàn)狀。評佔(zhàn)人員山評佔(zhàn)對象所涉及的相關(guān)技術(shù)或業(yè)務(wù)骨干 人員擔(dān)任；（三）評佔(zhàn)分析人員負(fù)責(zé)匯總、整理和分析采集到的信息與證據(jù)材料，編 寫風(fēng)險(xiǎn)評估報(bào)告。評佔(zhàn)分析人員山行內(nèi)經(jīng)驗(yàn)豐富的專業(yè)人員擔(dān)任，必要時(shí)可聘請 業(yè)內(nèi)專業(yè)人員。第十

5、條 在同一風(fēng)險(xiǎn)評估任務(wù)中，評估實(shí)施團(tuán)隊(duì)成員不少于三人，評估管理 人員和評估分析人員不得兼任評估人員。第三章風(fēng)險(xiǎn)評估計(jì)劃第十一條總行和一級分行每年度應(yīng)開展一次整體信息科技風(fēng)險(xiǎn)評估，兩次 以上專項(xiàng)信息科技風(fēng)險(xiǎn)評估。笫十二條 信息科技風(fēng)險(xiǎn)評估要以信息科技風(fēng)險(xiǎn)監(jiān)測信息、數(shù)據(jù)以及其他有 關(guān)信息為基礎(chǔ)，遵循科學(xué)、透明和個(gè)案處理的原則進(jìn)行。第十三條 出現(xiàn)以下情況時(shí)，應(yīng)結(jié)合本單位以往風(fēng)險(xiǎn)評估情況，確定是否 啟動專項(xiàng)信息科技風(fēng)險(xiǎn)評估：（一）新系統(tǒng)上線后或已有系統(tǒng)進(jìn)行重大變更；（二）信息科技運(yùn)行中發(fā)現(xiàn)重大紐:漏或隱患；（三）內(nèi)部或同業(yè)出現(xiàn)重大信息科技事件；（四）信息科技審計(jì)中發(fā)現(xiàn)重大問題；（五）監(jiān)管機(jī)構(gòu)發(fā)布風(fēng)險(xiǎn)提

6、示；（六）其他情況。第十四條 一級分行根據(jù)總行風(fēng)險(xiǎn)評估工作要求，結(jié)合本行實(shí)際情況制定風(fēng) 險(xiǎn)評估計(jì)劃，并報(bào)總行備案。第四章 風(fēng)險(xiǎn)識別與評估方法第十五條 風(fēng)險(xiǎn)評估通過人工評估或自動化工具測評等手 段識別、分析支 撐IT H標(biāo)的流程和資源中存在的缺失或不足，判斷風(fēng)險(xiǎn)優(yōu)先級，提出風(fēng)險(xiǎn)處 置建議。第十六條 總行信息科技管理委員會或一級分行發(fā)起風(fēng)險(xiǎn)評估任務(wù)，并下達(dá) 任務(wù)書。評佔(zhàn)管理人員依據(jù)任務(wù)書組織編寫風(fēng)險(xiǎn)評估任務(wù)il劃書和風(fēng)險(xiǎn)評估方 案。第十七條 評佔(zhàn)管理人員組織人員依據(jù)評佔(zhàn)對象的業(yè)務(wù)H標(biāo)識別IT服務(wù) LI標(biāo)，進(jìn)而分析支撐IT LI標(biāo)的流程和資源，并針對流程要素和資源要素設(shè)計(jì)風(fēng) 險(xiǎn)檢查表。第十八條 評估

7、人員依據(jù)風(fēng)險(xiǎn)檢查表，釆用人工或自動化工具對評佔(zhàn)對象的 信息科技狀況進(jìn)行信息收集。信息收集可采用調(diào)查、檢查、安全測試等方式：（一）調(diào)查包括問卷調(diào)查、遠(yuǎn)程訪談、現(xiàn)場訪談等；（二）檢查包括文檔檢查、代碼檢查、流程檢查等；（三）安全測試包括人工測試、自動化測試以及綜合性滲透測試等。第十九條 評估分析人員采用定性或定量的計(jì)算方法，依據(jù)各類風(fēng)險(xiǎn)對實(shí)現(xiàn) IT H標(biāo)的影響，計(jì)算岀評估對象的風(fēng)險(xiǎn)優(yōu)先值或級別，并進(jìn)行分析：（一）風(fēng)險(xiǎn)成因分析，分析誘發(fā)風(fēng)險(xiǎn)的主觀因素和客觀因素。主觀因素包 括流程缺失、控制不足或無效等；客觀因素包括資源缺乏、內(nèi)外環(huán)境影響等。（二）風(fēng)險(xiǎn)占比分析，依據(jù)對IT目標(biāo)的影響程度，分析評估對象當(dāng)

8、前狀 態(tài)下各類、各級風(fēng)險(xiǎn)占比情況；（三）風(fēng)險(xiǎn)對比分析，對同次任務(wù)中不同機(jī)構(gòu)的風(fēng)險(xiǎn)狀態(tài)進(jìn)行對比，分析各類風(fēng)險(xiǎn)在不同機(jī)構(gòu)的分布狀況及影響；（四）風(fēng)險(xiǎn)趨勢分析，對不同時(shí)期的相同任務(wù)結(jié)果進(jìn)行對比，分析同一風(fēng) 險(xiǎn)的增強(qiáng)或減弱情況，了解風(fēng)險(xiǎn)的發(fā)展趨勢。第二十條 風(fēng)險(xiǎn)分析可采用以下手段：（一）專家經(jīng)驗(yàn)；（二）風(fēng)險(xiǎn)分析模型；（三）風(fēng)險(xiǎn)分析工具。笫二十一條 評佔(zhàn)分析人員針對風(fēng)險(xiǎn)評估任務(wù)中揭示的風(fēng)險(xiǎn)類型和狀態(tài)，結(jié) 合組織機(jī)構(gòu)、業(yè)務(wù)需求和安全要求，提出風(fēng)險(xiǎn)處置建議，包括降低、轉(zhuǎn)移或消除 風(fēng)險(xiǎn)的措施、預(yù)期效果等。第二十二條 評估分析人員編寫風(fēng)險(xiǎn)評估報(bào)告，內(nèi)容包括風(fēng)險(xiǎn)評估任務(wù)描述、 風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處置建議等。評佔(zhàn)報(bào)告經(jīng)

9、評佔(zhàn)管理人員審核后提交信息科技管理 員訃二十三條 風(fēng)險(xiǎn)評估過程（附件1）分為三個(gè)階段：風(fēng)險(xiǎn)評估準(zhǔn)備、信息收集 和風(fēng)險(xiǎn)識別分析。第五章風(fēng)險(xiǎn)評估準(zhǔn)備第二十四條 根據(jù)風(fēng)險(xiǎn)評估計(jì)劃，總行信息科技管理委員會或一級分行提出信 息科技風(fēng)險(xiǎn)評估任務(wù)，編制風(fēng)險(xiǎn)評估任務(wù)書（附件2 ）,明確任務(wù)U標(biāo)、評估對 象、評估范圉、任務(wù)起止時(shí)間、風(fēng)險(xiǎn)管理部門等。第二十五條風(fēng)險(xiǎn)管理部組建風(fēng)險(xiǎn)評估團(tuán)隊(duì)，指定風(fēng)險(xiǎn)評佔(zhàn)管理人員、風(fēng)險(xiǎn)評 估人員和風(fēng)險(xiǎn)評估分析人員，并授權(quán)風(fēng)險(xiǎn)評估團(tuán)隊(duì)開展風(fēng)險(xiǎn)評估工作。第二十六條 評估管理人員組織制定風(fēng)險(xiǎn)評估任務(wù)計(jì)劃書（附件3）,明確風(fēng) 險(xiǎn)評估實(shí)施活動的計(jì)劃安排，主要包括：（一）團(tuán)隊(duì)組織：包括成員名單、角

10、色、職責(zé)等內(nèi)容；（二）工作計(jì)劃：描述各階段的工作安排，包括工作內(nèi)容、時(shí)間進(jìn)度和各階段成果清單等內(nèi)容。第二十七條 評估管理人員組織設(shè)計(jì)評估方案，評估方案包括風(fēng)險(xiǎn)檢查表（附 件4 ）、信息收集方式、風(fēng)險(xiǎn)分析方法等。第二十八條設(shè)計(jì)風(fēng)險(xiǎn)檢查表時(shí)遵循以下過程：（一）分析評估對象的業(yè)務(wù)目標(biāo)和IT服務(wù)目標(biāo)；（二）識別實(shí)現(xiàn)IT目標(biāo)的工作流程和資源；（三）識別影響工作流程和資源中的關(guān)鍵因素，主要考慮各流程要素的活 動內(nèi)容、關(guān)聯(lián)關(guān)系、流程目的、實(shí)現(xiàn)方式、所需資源等；（四）根據(jù)關(guān)鍵因素設(shè)計(jì)風(fēng)險(xiǎn)檢查項(xiàng)、檢查指標(biāo)和評價(jià)權(quán)重，形成風(fēng)險(xiǎn)檢查 表。第二十九條 評估管理人員通過風(fēng)險(xiǎn)評估啟動會等形式啟動具體風(fēng)險(xiǎn)評佔(zhàn)工 作。第六章

11、信息q攵隼第三十條評估管理人員活疏險(xiǎn)益查表分發(fā)給評估人員，并告知信息收集方 法及填寫要求。第三十一條 評估人員通過調(diào)閱文檔、收集日志、現(xiàn)場訪談、工具測評等方式 獲取風(fēng)險(xiǎn)評估所需信息。信息內(nèi)容包括但不限于：IT制度及執(zhí)行情況、技術(shù)文 檔、以往審計(jì)報(bào)告、風(fēng)險(xiǎn)管理報(bào)告、日志記錄、訪談記錄、測試報(bào)告等。第三十二條評估人員根據(jù)釆集的信息，填寫風(fēng)險(xiǎn)檢查表，并保留證據(jù)。第三十三條 評估管理人員督查信息收集進(jìn)展悄況，按訃劃收回風(fēng)險(xiǎn)檢查表， 并審核填報(bào)信息質(zhì)量。必要時(shí)，可要求評估人員補(bǔ)充信息和附加證據(jù)。第三十四條 評估管理人員將風(fēng)險(xiǎn)檢查表提交評估分析人員。第七章風(fēng)險(xiǎn)分析第三十五條評估分析人員按評估方案確定的風(fēng)險(xiǎn)分析方法對風(fēng)險(xiǎn)檢查表進(jìn) 行匯總、梳理，評定風(fēng)險(xiǎn)等級，分析風(fēng)險(xiǎn)成因，提出風(fēng)險(xiǎn)處置建議，形成風(fēng)險(xiǎn)評 估報(bào)告（附件5 ）o報(bào)告包括但不限于以下內(nèi)容：（一） 風(fēng)險(xiǎn)評估任務(wù)概述（二）風(fēng)險(xiǎn)評估活動描述（三）風(fēng)險(xiǎn)分析，包括總體風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)占比分析、風(fēng)險(xiǎn)對比分析、風(fēng) 險(xiǎn)趨勢分析（四）風(fēng)險(xiǎn)成因分析（五）風(fēng)險(xiǎn)處置建議（六）詳細(xì)風(fēng)險(xiǎn)列表第三十六條 評估分析人員將風(fēng)險(xiǎn)評估報(bào)告提交評估管理人員。第三十七條 評估管