信息科技風險提示管理

信息科技風險提示是通過借助前期信息科技風險檢查、審計發現、監管機構信息通報等渠道獲取風險指標，評估當前信息科技管理和技術控制的合規性、充分性和有效性，以及存在的信息科技風險，針對發現的風險提出整改要求并監督實施的風險防范及控制過程。

風險提示遵循原則

▼▼客觀公正原則

應以事實為基礎，客觀公正地開展信息科技風險提示。

▼▼持續性原則

信息科技風險提示應按照規定的周期持續進行，檢驗安全措施的有效性及對安全環境變化的適應性，每次提示應跟蹤上次提示發現風險的整改落實情況。

▼▼全面性原則

信息科技風險提示范圍應貫穿于信息科技建設的全過程，包括組織架構、規章制度、項目研發、運行維護、信息科技、外包管理等領域。

▼▼保密性原則

參與風險分析的人員應嚴格遵守信息保密的法律法規及信息保密管理制度，承擔保密責任和義務。

風險提示情形

信息科技部門發生下列情形時，風險管理部門應對其進行風險提示：

• 信息科技部門因內控機制不健全、管理不善、管控措施不到位等，發生影響或可能影響重要業務情形。
• 涉及到信息科技治理中有關于董事會及管理層缺乏相關流程、信息科技崗位配備不足的情況要進行分析具體原因后給予提示。
• 涉及到信息科技知識產權、聲譽出現相關問題時，應給予分析提示。

應對以下關于信息安全管理方面的事件進行深入分析并給予風險提示。包括：

• 信息安全組織架構不合理、信息安全意識低下
• 信息安全管理機制不健全、策略未執行
• 信息資產、電子文檔等管理不合理
• 對于第三方管理管控措施不完善
• 機房安全管理執行不到位
• 網絡、服務器、操作系統管理策略未完全執行或者策略失效
• 用戶桌面處于未管控狀態
• 數據庫管理以及數據管理不完善。

開發管理過程、系統測試過程、系統上下線過程措施失效時應對問題匯總分析，并給予信息科技部門進行提示。

運行過程管理進行監控，如相關運行指標出現低于閥值的情況，應給予科技部門進行風險提示。

考慮信息科技的業務連續性管理的相關指標要求，當根據相關收集數據統計分析后，發現低于相關閥值的情況要進行風險提示。

外包的管控措施進行相關閥值的監控，通過分析后如發生超標情況，應給予提示。

監管機構對其信息科技風險進行提示的，作為風險管理部應跟蹤相關風險提示的落實整改情況，在下次相關問題的提示中，作為附件進行監督檢查，并檢查其有效性。

風險提示方式

風險情況通報將采用內部OA就相關問題給予不同級別的提示，在發出提示反饋期內，如未收到反饋，風險管理部門可進行進一步溝通確認。

當風險具有強烈的傳染性或連鎖效應，可能引發行業性、區域性或系統性科技風險，對轄區科技風險業穩健運行和科技穩定造成巨大影響時，風險管理部門可約見有關信息科技負責人談話，明確風險性質和危害程度、督促采取處置和整改措施。