信息科技风险管理报告.docx

《信息科技风险管理报告.docx》由会员分享，可在线阅读，更多相关《信息科技风险管理报告.docx（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXXX有限责任公司20XX年度信息科技风险管理报告一、信息科技风险管理整体情况20XX年公司信息系统运行平稳，重要信息系统未发生计划 外中断，未发生重大信息科技风险事件。20XX年公司信息科技风险管理工作以监管政策为导向，坚 持生产安全运行为基础，从关键风险指标体系建设、业务连续性 管理、信息科技风险管理、客户信息保护等方面持续完善管理体 系。加强信息科技基础建设，查漏补缺，完善数据中心设备设施， 建设数据中心异地数据灾备，提升网络安全防护水平。全年未发 生重特大信息科技风险事件，公司信息安全处于优良水平。二、信息科技风险管理工作成效（-）信息科技关键风险指标20XX年全年重要信息系统可用率

2、稳定，保持在99. 99%以上， 高于监管要求的重要信息系统可用率指标99. 85%O投产变更实 施成功率反映软件交付的质量，20XX年投产变更实施成功率 100%。（二）业务连续性管理一是制定疫情期间业务连续性管理方案并组织实施，确保疫 情期间公司系统平稳运行，业务正常开展。二是开展业务连续性 演练，完成了系统的主备切换演练、主备专线网络切换演练。（五）信息科技风险管理其他重点领域一是在制度建设方面，按照公司制度三级管理体系，确保信 息安全管理的落实及覆盖。一级体系信息科技管理办法；二 级体系，包括项目开发、科技外包、系统运行维护、信息系统安 全等各类管理办法；三级体系，变更维护、网络、数据

3、、设备、 IT基础设施等操作手册、应急预案。二是在信息安全管理方面， 开展公司6个系统的风险评估，以及2个系统的信息安全等级保 护测评。三是在运行维护建设方面，部署完善监控平台，实现系 统级和应用级监控。完成日志审计系统、堡垒机、数据库审计系 统、异地数据灾备系统的建设。四是落实监管要求方面，对照监 管要求和公司制度，建立外包供应商的准入、评估体系，对外包 人员、外包项目和外包开发环境进行管控。强化外包人员的准入 及日常管理，包括人员面试、入场离场管理、日常考勤、考核管 理等。五是在客户信息安全管理方面，初步梳理公司客户信息安 全管理的现状及相关法律法规，制定信息安全管理方案，开展了 数据防泄

4、露的技术调研工作。三、信息科技风险管理存在的问题（一）业务连续性管理重要信息系统应急演练覆盖率未做到全覆盖，应急演练内容 主要涉及主备机切换演练，部分演练报告未包含应急演练组织架 构、问题整改计划等内容。（二）系统运行维护信息科技运维人员配置仍存在缺口，系统运维人员不足，数 据库管理、网络管理均依赖总行信息技术部支持，且未配备专职 的信息安全管理人员。四、20XX年重点工作计划（一）完善信息科技管理制度一是修订完善制度。针对发现的问题，完善信息科技风险管 理程序，新增服务水平管理、项目后评估和风险管理等内容。二 是排查现有的制度体系，并参照监管要求、外部审计结果，根据 公司实际情况补充制定所需

5、的各项管理制度。（二）加强信息科技风险日常监测工作加强关键风险指标的监测分析，建立关键风险指标的分析监 控模型，重点关注指标同比、环比值发生较大变化或突破指标阈 值的情形，形成关键指标分析报告；三是依据监管发文适时开展 信息科技风险问题梳理或排查。（三）强化业务连续性管理体系建立常态化的业务连续性工作机制，进一步完善业务连续性 管理工作，完善灾备建设，通过灾备建设咨询，分析系统资源建设 目标与现状的差距，形成灾备资源建设计划和方案等。（四）加强客户信息安全管控一是加强信息系统权限管理，明确管理要求，严格审批流程, 人员调岗或离职时及时动态调整；二是加强系统权限事后监督, 定期对信息系统权限管理情况、超权限访问客户信息情况进行监 测评估；三是加强员工行为管理，将客户信息安全管理纳入公司 各级管理者和员工培训的重要内容，明确规范要求和处罚标准, 加强检查监督。科技部20XX年XX月