全面風(fēng)險清單-信息系統(tǒng)管理風(fēng)險（2023年11月-雷澤佳編制）

全面風(fēng)險清單——信息系統(tǒng)管理風(fēng)險（2023年11月）序號控制目標(biāo)一級流程二級流程風(fēng)險描述信息系統(tǒng)管理總目標(biāo)：保障單位信息系統(tǒng)正常安全有效運行，加強信息系統(tǒng)安全管理，提高信息系統(tǒng)建設(shè)與運行維護(hù)水平，促進(jìn)單位有效實施內(nèi)部控制，更好地發(fā)揮信息化的支撐保障作用，提高工作效率和現(xiàn)代化管理水平，減少或消除人為操作因素,保護(hù)信息安全。信息系統(tǒng)管理合規(guī)目標(biāo)：合理建設(shè)信息系統(tǒng)管理組織架構(gòu)，信息系統(tǒng)建設(shè)管理嚴(yán)格依照信息化項目管理的整體流程，從項目計劃到項目上線經(jīng)過后評價，做好完備的記錄歸檔工作，不違反信息披露的監(jiān)管部門要求；信息系統(tǒng)的終結(jié)管理，要嚴(yán)格按照相關(guān)電子數(shù)據(jù)檔案保管的要求，將重要數(shù)據(jù)做好備份留底或數(shù)據(jù)銷毀工作；信息系統(tǒng)管理資產(chǎn)安全目標(biāo)：信息系統(tǒng)戰(zhàn)略規(guī)劃與單位整體經(jīng)營策略相統(tǒng)一，確保資金投入的有效性；做好信息系統(tǒng)訪問的安全措施，確保單位各業(yè)務(wù)部門資產(chǎn)數(shù)據(jù)的安全，防止商業(yè)秘密泄露；監(jiān)控信息系統(tǒng)外包服務(wù)，避免導(dǎo)致單位權(quán)益受損或遭受違約損失；信息系統(tǒng)的硬件和網(wǎng)絡(luò)資源在終結(jié)時，做好相應(yīng)的資產(chǎn)評估工作，確保IT資產(chǎn)不遭受額外損失；開展風(fēng)險評估工作，對于網(wǎng)絡(luò)硬件及軟件資產(chǎn)，做出完整的記錄評估，確保資產(chǎn)的使用、調(diào)配等工作處于合理的監(jiān)管范圍；信息系統(tǒng)管理財務(wù)報告目標(biāo)：對于準(zhǔn)確的財務(wù)核算，提供全面的業(yè)務(wù)數(shù)據(jù)和相應(yīng)的數(shù)據(jù)鉤稽邏輯關(guān)系；及時記錄、安全保存存貨及固定、無形資產(chǎn)等數(shù)據(jù)，為財務(wù)報表提供正確的數(shù)據(jù)源；信息系統(tǒng)管理經(jīng)營目標(biāo)：科學(xué)制訂信息系統(tǒng)戰(zhàn)略規(guī)劃及年度計劃，培養(yǎng)和鍛煉IT技術(shù)人才，保障單位信息系統(tǒng)方面的開發(fā)、維護(hù)和安全技術(shù)，確保信息系統(tǒng)建設(shè)的正確方向和對單位經(jīng)濟(jì)發(fā)展的支撐；管理組織架構(gòu)設(shè)置科學(xué)、運行高效，有效實施信息化項目，確保單位的各項業(yè)務(wù)工作能借助信息系統(tǒng)平臺，實現(xiàn)高效辦公和流程控制；信息系統(tǒng)重要數(shù)據(jù)的備份和恢復(fù)性測試工作及時到位，防范系統(tǒng)出錯帶來的數(shù)據(jù)受損；信息系統(tǒng)的硬件和軟件終結(jié)工作科學(xué)，防范終結(jié)不徹底造成的信息外泄風(fēng)險；系統(tǒng)風(fēng)險評估工作的定期開展，保障了信息系統(tǒng)在支持業(yè)務(wù)工作流程時，排除各項風(fēng)險因素。信息系統(tǒng)管理戰(zhàn)略目標(biāo)：信息系統(tǒng)發(fā)展規(guī)劃以單位的經(jīng)營發(fā)展戰(zhàn)略為依據(jù)，數(shù)據(jù)輸入、處理、輸出操作均處于合理的權(quán)限范圍內(nèi)，確保信息系統(tǒng)的發(fā)展助力單位經(jīng)營目標(biāo)的實現(xiàn)；有效設(shè)置信息系統(tǒng)、合理保管后臺數(shù)據(jù)，并建立有效的信息系統(tǒng)管理隊伍，確保信息系統(tǒng)安全運行，為實現(xiàn)單位信息化發(fā)展戰(zhàn)略規(guī)劃提供有力的保障。信息系統(tǒng)開發(fā)控制目標(biāo)：按規(guī)定時間完成信息系統(tǒng)的開發(fā)和驗收工作；防止系統(tǒng)在開發(fā)過程中可能出現(xiàn)錯誤和偏差，使系統(tǒng)設(shè)計合理、正確；縮短開發(fā)周期，提高信息系統(tǒng)開發(fā)質(zhì)量，降低系統(tǒng)開發(fā)成本，提高開發(fā)效率和效益。信息系統(tǒng)開發(fā)信息系統(tǒng)建設(shè)規(guī)劃信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島（各信息系統(tǒng)數(shù)據(jù)混亂，難以協(xié)調(diào)統(tǒng)一，后期數(shù)據(jù)治理成本居高不下）或重復(fù)建設(shè)（由于規(guī)劃缺乏中長期考慮，僅看重短期利益，系統(tǒng)倉促上線，雖然能滿足一時需求，但帶來的后果是無法適應(yīng)用的發(fā)展，導(dǎo)致二次建設(shè)、重復(fù)建設(shè)，甚至系統(tǒng)棄用），導(dǎo)致單位經(jīng)營管理效率低下；沒有將信息化與單位業(yè)務(wù)需求結(jié)合，降低了信息系統(tǒng)的應(yīng)用價值；信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實體業(yè)務(wù)和戰(zhàn)略目標(biāo)不一致，影響單位的戰(zhàn)略目標(biāo)的實現(xiàn)；信息系統(tǒng)建設(shè)缺乏項目計劃或計劃不當(dāng)，導(dǎo)致項目進(jìn)度滯后、費用超支、質(zhì)量低下；信息化規(guī)劃未經(jīng)嚴(yán)格、規(guī)范的審核審批，可能導(dǎo)致信息化規(guī)劃不合理、不科學(xué)，難以實現(xiàn)對單位未來信息化建設(shè)工作的指導(dǎo)作用，進(jìn)而影響單位信息化建設(shè)工作的進(jìn)行。信息系統(tǒng)開發(fā)總體風(fēng)險系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無法利用信息系統(tǒng)實施有效控制；開發(fā)團(tuán)隊經(jīng)驗不足可能造成信息系統(tǒng)開發(fā)時間過長；時間和費用超出預(yù)算可能造成信息系統(tǒng)開發(fā)成本過高；系統(tǒng)開發(fā)技術(shù)過于復(fù)雜、技術(shù)不成熟或過時用戶需求的多樣性以及用戶的數(shù)量和重視程度可能加大系統(tǒng)分析工作的工作量。信息系統(tǒng)自行開發(fā)制定項目計劃：信息系統(tǒng)建設(shè)缺乏項目計劃或者計劃不當(dāng)，導(dǎo)致項目進(jìn)度滯后、費用超支、質(zhì)量低下；開展需求分析：新建系統(tǒng)需要進(jìn)行充分的需求論證，而實際上往往立項需求及開發(fā)過程中的需求變更論證并不充分，這可能導(dǎo)致系過程中頻繁修改，增加項目開發(fā)成本，影響系統(tǒng)上下進(jìn)度；需求本身不合理，對信息系統(tǒng)提出的功能、性能、安全性等方面的要求不符合業(yè)務(wù)處理和控制的需要；需求定義不準(zhǔn)確；追加需求；需要更長的需求定義時間；缺乏有效的需求變更管理等；技術(shù)上不可行、經(jīng)濟(jì)上成本效益倒掛，或與國家有關(guān)法規(guī)制度存在沖突；需求文檔表述不準(zhǔn)確、不完整，未能真實全面地表達(dá)單位需求，存在表述缺失、表述不一致甚至表述錯誤等問題；信息化需求未經(jīng)過業(yè)務(wù)部門和信息部門的初步審核，可能使得信息化需求與相關(guān)部門業(yè)務(wù)不一致，或者該項需求不具有可行性，導(dǎo)致后期人力物力浪費；系統(tǒng)設(shè)計（總體設(shè)計和詳細(xì)設(shè)計）：設(shè)計方案不能完全滿足用戶需求，不能實現(xiàn)需求文檔規(guī)定的目標(biāo)；設(shè)計方案未能有效控制建設(shè)開發(fā)成本，不能保證建設(shè)質(zhì)量和進(jìn)度；設(shè)計方案不全面，導(dǎo)致后續(xù)變更頻繁；設(shè)計方案沒有考慮信息系統(tǒng)建成后對單位內(nèi)控管理的影響，導(dǎo)致系統(tǒng)運行后衍生新的風(fēng)險；客戶、開發(fā)方對系統(tǒng)功能的理解有差異；設(shè)計方案是優(yōu)化的，但不能完全實現(xiàn)；設(shè)計方案基于某一些特定的成員或技術(shù)，而這些特定的成員或技術(shù)有變化等；系統(tǒng)開發(fā)：開發(fā)過程未得到有效監(jiān)控，致使信息系統(tǒng)不能滿足單位業(yè)務(wù)處理的需求；預(yù)算批準(zhǔn)的等待時間比預(yù)期延長：系統(tǒng)使用范圍改變，用戶要增加、刪除或修改一些功能，需要重新考慮系統(tǒng)的設(shè)計方案：開發(fā)團(tuán)隊內(nèi)部溝通不暢，程序員之間的工作交接出現(xiàn)缺口：沒有切實可行的系統(tǒng)備份方案：系統(tǒng)測試計劃不完善，系統(tǒng)設(shè)計過于理想化，不易實施等；編程和系統(tǒng)測試：編程結(jié)果與設(shè)計不符；各程序員編程風(fēng)格差異大，程序可讀性差，導(dǎo)致后期維護(hù)困難，維護(hù)成本高；缺乏有效的程序版本控制，導(dǎo)致重復(fù)修改或修改不一致等問題；測試不充分；單個模塊正常運行但多個模塊集成運行時出錯，開發(fā)環(huán)境下測試正常而生產(chǎn)環(huán)境下運行出錯，開發(fā)人員自測正常而業(yè)務(wù)部門用戶使用時出錯，導(dǎo)致系統(tǒng)上線后可能出現(xiàn)嚴(yán)重問題；安全檢測：未依照項目立項時確定的網(wǎng)絡(luò)安全保護(hù)等級及相關(guān)規(guī)定進(jìn)行技術(shù)檢測；未根據(jù)整改意見對系統(tǒng)進(jìn)行整改并由并再次提交復(fù)檢申請；初步驗收：系統(tǒng)開發(fā)上線前，未進(jìn)行初步驗收或驗收執(zhí)行不到位，可能帶來系統(tǒng)無法使用、運行不穩(wěn)定等問題；上線試運行：缺乏完整可行的上線計劃，導(dǎo)致系統(tǒng)上線混亂無序；人員培訓(xùn)不足，不能正確使用系統(tǒng)，導(dǎo)致業(yè)務(wù)處理錯誤，或者未能充分利用系統(tǒng)功導(dǎo)致開發(fā)成本浪費；初始數(shù)據(jù)準(zhǔn)備設(shè)置不合格，導(dǎo)致新舊系統(tǒng)數(shù)據(jù)不一致、業(yè)務(wù)處理錯誤；系統(tǒng)實際使用質(zhì)量差，不易操作，沒有實現(xiàn)用戶預(yù)期的功能，滿意度不高；信息系統(tǒng)上線后未經(jīng)測試，可能導(dǎo)致相關(guān)功能不能滿足需求，或者系統(tǒng)的運行狀況不穩(wěn)定等，進(jìn)而給單位的業(yè)務(wù)發(fā)展帶來影響；培訓(xùn)不到位，可能導(dǎo)致業(yè)務(wù)人員業(yè)務(wù)水平不足導(dǎo)致信息系統(tǒng)上線工作推進(jìn)困難等。信息系統(tǒng)業(yè)務(wù)外包選擇外包服務(wù)商：由于單位與外包服務(wù)商之間本質(zhì)上是一種委托一代理關(guān)系，合作雙方的信息不對稱容易誘發(fā)道德風(fēng)險，外包服務(wù)商可能會實施損害單位利益的自利行為，如偷工減料、放松管理、信息泄密等；簽訂外包合同：由于合同條款不準(zhǔn)確、不完善，可能導(dǎo)致單位的正當(dāng)權(quán)益無法得到有效保障；持續(xù)跟蹤評價外包服務(wù)商的服務(wù)過程：單位缺乏外包服務(wù)跟蹤評價機(jī)制或跟蹤評價不到位，可能導(dǎo)致外包服務(wù)質(zhì)量水平不能滿足單位信息系統(tǒng)開發(fā)需求。信息系統(tǒng)的外購調(diào)試軟件產(chǎn)品選型和供應(yīng)商選擇：軟件產(chǎn)品選型不當(dāng)，產(chǎn)品在功能、性能、易用性等方面無法滿足單位需求；軟件供應(yīng)商選擇不當(dāng)，產(chǎn)品的支持服務(wù)能力不足，產(chǎn)品的后續(xù)升級缺乏保障；服務(wù)提供商選擇：服務(wù)提供商選擇不當(dāng),削弱了外購軟件產(chǎn)品的功能發(fā)揮，導(dǎo)致無法有效滿足用戶需求。信息系統(tǒng)驗收未對信息系統(tǒng)的功能模塊履行嚴(yán)格的驗收程序，導(dǎo)致后續(xù)使用信息系統(tǒng)出現(xiàn)錯誤的可能性增大，增加后續(xù)模塊維護(hù)和修改的成本。信息系統(tǒng)升級與變更申請當(dāng)單位業(yè)務(wù)變更時，未針對信息系統(tǒng)進(jìn)行相應(yīng)的升級或變更，可能導(dǎo)致信息系統(tǒng)不能滿足單位業(yè)務(wù)處理的需求，降低系統(tǒng)運營效率，不恰當(dāng)增加員工工作量。信息系統(tǒng)運行與維護(hù)控制目標(biāo)：確保信息系統(tǒng)正常持續(xù)穩(wěn)定、安全可靠運行,即信息系統(tǒng)能夠持續(xù)運行,提高系統(tǒng)運維質(zhì)量和效率，加強信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力和水平，防止未經(jīng)授權(quán)的訪問和信息泄露；信息系統(tǒng)運行與維護(hù)日常運行維護(hù)系統(tǒng)運行維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無法正常運行；沒有建立規(guī)范的信息系統(tǒng)日常運行管理規(guī)范，計算機(jī)軟硬件的內(nèi)在隱患易于爆發(fā)可能導(dǎo)致單位信息系統(tǒng)出錯；沒有執(zhí)行例行檢查，導(dǎo)致一些人為惡意攻擊會長期隱藏在系統(tǒng)中，可能造成嚴(yán)重?fù)p失；信息系統(tǒng)的運行情況未經(jīng)定期、規(guī)范檢查，可能導(dǎo)致問題無法被及時發(fā)現(xiàn)，隱患未被及時解決，對單位的業(yè)務(wù)流轉(zhuǎn)帶來影響；單位信息系統(tǒng)數(shù)據(jù)未能定期備份，可能導(dǎo)致?lián)p壞后無法恢復(fù)，從而造成重大損失；信息系統(tǒng)數(shù)據(jù)未能定期備份,可能導(dǎo)致?lián)p壞后無法恢復(fù),從而造成重大損失；信息系統(tǒng)維護(hù)工作中相關(guān)材料沒有得到妥善保存可能造成信息系統(tǒng)維護(hù)及對各單位的綜合考核工作無據(jù)可依。系統(tǒng)變更單位沒有建立嚴(yán)格的變更申請、審批、執(zhí)行、測試流程，導(dǎo)致系統(tǒng)隨意變更；系統(tǒng)變更后的效果達(dá)不到預(yù)期目標(biāo)安全管理硬件設(shè)備分布物理范圍廣，設(shè)備種類繁多，安全管理難度大，可能導(dǎo)致設(shè)備生命周期短；業(yè)務(wù)部門信息安全意識薄弱，對系統(tǒng)和信息安全缺乏有效的監(jiān)管手段；少數(shù)員工可能惡意或非惡意濫用系統(tǒng)資源，造成系統(tǒng)運行效率降低；對系統(tǒng)程序的缺陷或漏洞安全防護(hù)不夠，導(dǎo)致遭受黑客攻擊，造成信息泄露；對各種計算機(jī)病毒防范清理不力，導(dǎo)致系統(tǒng)運行不穩(wěn)定甚至癱瘓；系統(tǒng)權(quán)限設(shè)置不符合不相容職責(zé)相互分離的要求，且新增用戶未經(jīng)有效審批或權(quán)限變更未經(jīng)有效審批；缺乏對信息系統(tǒng)操作人員的嚴(yán)密監(jiān)控，可能導(dǎo)致舞弊和利用計算機(jī)犯罪；欠缺或沒有實施物理訪問安全的限制，危害信息系統(tǒng)的安全;信息系統(tǒng)相關(guān)人員發(fā)生崗