信息科技风险提示是通过借助前期信息科技风险检查、审计发现、监管机构信息通报等渠道获取风险指标,评估当前信息科技管理和技术控制的合规性、充分性和有效性,以及存在的信息科技风险,针对发现的风险提出整改要求并监督实施的风险防范及控制过程。
风险提示遵循原则
▼▼客观公正原则
应以事实为基础,客观公正地开展信息科技风险提示。
▼▼持续性原则
信息科技风险提示应按照规定的周期持续进行,检验安全措施的有效性及对安全环境变化的适应性,每次提示应跟踪上次提示发现风险的整改落实情况。
▼▼全面性原则
信息科技风险提示范围应贯穿于信息科技建设的全过程,包括组织架构、规章制度、项目研发、运行维护、信息科技、外包管理等领域。
▼▼保密性原则
参与风险分析的人员应严格遵守信息保密的法律法规及信息保密管理制度,承担保密责任和义务。
风险提示情形
信息科技部门发生下列情形时,风险管理部门应对其进行风险提示:
-
信息科技部门因内控机制不健全、管理不善、管控措施不到位等,发生影响或可能影响重要业务情形。
-
涉及到信息科技治理中有关于董事会及管理层缺乏相关流程、信息科技岗位配备不足的情况要进行分析具体原因后给予提示。
-
涉及到信息科技知识产权、声誉出现相关问题时,应给予分析提示。
应对以下关于信息安全管理方面的事件进行深入分析并给予风险提示。包括:
-
信息安全组织架构不合理、信息安全意识低下 -
信息安全管理机制不健全、策略未执行 -
信息资产、电子文档等管理不合理 -
对于第三方管理管控措施不完善 -
机房安全管理执行不到位 -
网络、服务器、操作系统管理策略未完全执行或者策略失效 -
用户桌面处于未管控状态 -
数据库管理以及数据管理不完善。
开发管理过程、系统测试过程、系统上下线过程措施失效时应对问题汇总分析,并给予信息科技部门进行提示。
运行过程管理进行监控,如相关运行指标出现低于阀值的情况,应给予科技部门进行风险提示。
考虑信息科技的业务连续性管理的相关指标要求,当根据相关收集数据统计分析后,发现低于相关阀值的情况要进行风险提示。
外包的管控措施进行相关阀值的监控,通过分析后如发生超标情况,应给予提示。
监管机构对其信息科技风险进行提示的,作为风险管理部应跟踪相关风险提示的落实整改情况,在下次相关问题的提示中,作为附件进行监督检查,并检查其有效性。
风险提示方式
当风险具有强烈的传染性或连锁效应,可能引发行业性、区域性或系统性科技风险,对辖区科技风险业稳健运行和科技稳定造成巨大影响时,风险管理部门可约见有关信息科技负责人谈话,明确风险性质和危害程度、督促采取处置和整改措施。
作者:李鹏飞(转载请获本人授权,并注明作者与出处)
获取更多资源与话题讨论
阅读更多文章▼▼
原文始发于微信公众号(微言晓意):信息科技风险提示管理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论