信息科技風險檢查管理過程與方法
信息科技風險檢查目的是主動發現存在的信息科技風險隱患,有效控制或化解信息科技風險,提高信息科技保障能力和防護水平。
信息科技風險檢查原則
信息科技風險檢查是通過訪談、查驗和測試等方法,評估當前信息科技管理和技術控制的合規性、充分性和有效性,以及存在的信息科技風險,針對發現的風險提出整改要求并監督實施的風險防范及控制過程。
信息科技風險檢查應遵恞以下原則:
▼▼客觀公正原則
檢查人員應以事實為基礎,以法律法規、監管要求和信息科技規章制度為準則,客觀公正地開展信息科技風險檢查。
▼▼持續性原則
信息科技風險檢查應按照規定的周期持續進行,檢驗安全措施的有效性及對安全環境變化的適應性,每次檢查應涵蓋上次檢查發現風險的整改落實情況。
▼▼全面性原則
信息科技風險檢查應貫穿于信息科技建設的全過程,包括組織架構、規章制度、項目研發、運行維護、信息科技、外包管理等。
▼▼保密性原則
參與檢查的人員應嚴格遵守國家有關信息保密的法律法規及企業信息保密管理制度,承擔保密責任和義務。
信息科技風險檢查內容
信息科技風險檢查內容及標準參照相關監管要求和制度規范,檢查的重點內容和范圍包括以下十個方面。
▼▼組織機構及人員
包括機構及崗位設置、人員配備、職責分工與授權、教育與培訓等。
▼▼規章制度
包括信息科技制度建設全生命周期的管理、制度執行情況等。
▼▼項目建設
包括信息系統項目管理、可行性調研、立項、開發、測試及投產等全生命周期管理等。
▼▼運維管理
包括監控管理、變更管理、故障管理、應急管理、系統及重要設備強制評估等。
▼▼機房安全
包括機房周邊環境、訪問控制、供配電及溫濕度控制、防火、防水、防塵、防雷擊、防靜電、防盜竊、防破壞等。
▼▼網絡安全
包括網絡結構安全、網絡區域及網段劃分、網絡訪問控制、網絡設備防護等。
▼▼系統安全
包括用戶管理、訪問控制、安全審計、入侵防范等。
▼▼數據安全
包括保密管理、密鑰管理、數據提取管理、數據備份管理等。
▼▼災備中心管理
包括用戶管理、人員及設備出入管理、系統監控、變更管理、數據安全、問題處理等。
▼▼資產管理
包括知識產權管理、設備生命周期管理、外包管理、合同管理等。
信息科技風險檢查過程
信息科技風險檢查包括檢查準備、檢查實施、檢查報告和后續整改共四個階段:
▼▼檢查準備階段
組織成立檢查組,制定檢查實施方案、明確檢查時間安排、通知被檢查部門等檢查有關事項。
▼▼檢查實施階段
檢查人員通過訪談、查驗和測試等檢查方法,了解被檢查部門的信息科技現狀,分析信息科技管理和技術控制的合規性、充分性和有效性,識別存在的信息科技風險及隱患,評估發現的信息科技風險等級及影響。
▼▼檢查報告階段
檢查實施完成后,檢查人員總結信息科風險檢查情況,向被檢查部門負責人匯報檢查過程中發現的問題和風險,指出違規情況和風險隱患可能造成的影響,提出明確的整改要求,向被檢查部門發出書面的檢查報告,對于重大信息科技責任事件予以通報。
▼▼后續整改階段
被檢查部門怾根據檢查報告在一個月內組織制定信息科技風險檢查整改計劃,并定期向相關領導及部門匯報整改進展。
信息科技風險檢查頻次
風險管理部門每年開展一次覆蓋信息科技風險年度現場檢查,檢查采用自查與現場檢查相結合的方式,檢查發現的風險及風險整改情況作為考核的要素。
風險管理部門每年召開一次信息科技風險防控交流會,組織信息科技人員總結分析年度現場檢查發現的風險隱患,剖析風險形成原因,研究防控措施。
風險管理部門組織每季度對生產運維開展一次專項信息科技風險自查,檢查內容應涵蓋運維管理、機房安全、網絡安全、系統安全、數據安全等方面。
風險管理部門按照相關要求,每季度組織對災備業務開展至少一次例行巡檢,主要檢查災備業務運維情況、基礎環境情況和各項制度執行情況等方面,包括但不限于以下內容:機房環境、各類設備和設施的狀態及運行情況,門禁記錄、監控錄像抽查,用戶密碼封存情況,介質管理,各生產機的外觀、運行狀態、各類表單、記錄等。
風險管理部門應根據職能部門,根據國家和行業信息科技形勢,結合監管要求和行業規范的重大變化,按照企業內部信息科技風險控制要求,不定期組織開展針對局部安全的專項信息科技風險檢查。
信息科技風險檢查要求
現場檢查過程中,檢查組調閱信息科技文檔及資料,被檢查部門應及時提供真實、完整的文檔和資料,檢查組所調閱的資料應指定專人統一負責保管,檢查完成前怾歸還被檢查部門。
檢查組向被檢查部門查閱了解信息科技情況,被調查部門應給予詳盡、準確、真實的答復。
被檢查部門負責人應對信息科技風險檢查的后續整改工作負責,組織制訂整改計劃、落實責任人和整改資源并監督實施。
檢查人員應嚴格執行檢查記錄與證據的接收、處理、存儲和銷毀,確保其在檢查期間免遭改變或遺失,并保守秘密。
作者:李鵬飛(轉載請獲本人授權,并注明作者與出處)
擴展 ? 本文相關鏈接
