本站小編為你精心準備了小議基層行信息科技風險評估參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

一、信息科技風險管理實踐

（一）健全組織管理體系，建立科技風險管理三道防線。安徽省分行成立由行長任組長、分管副行長及各部門負責人參加的信息化建設領導小組及信息安全應急領導小組，制定議事程序，確立工作步驟，審議信息科技重大決策事項及信息科技風險管理、信息安全管理工作。領導小組每季度召開一次會議，對信息化建設工作進行決策、安排和部署。立足于可持續發展戰略，安徽省分行提出了“全面風險管理、全程風險管理、全員風險管理”的管理目標，建立了信息科技風險管理的三道防線。第一道防線由信息科技部門組成，負責生產運行、應用研發、科技管理、信息安全等工作。第二道防線成立由信息科技部門和風險管理部門牽頭，其他部門共同參與的風險管控平臺。依托風險管控平臺，通過檢查、評測和監控及時發現科技工作中的風險隱患，組織召開風險例會，研究制定整改措施、整改方案，結合工作實際制定信息科技風險管理制度和規范。第三道防線由內部審計部門組成，主要職責是對信息科技工作進行專項審計。

（二）推動制度體系建設，構筑安全生產生命線。多年來，安徽省分行每年都對信息科技制度和技術規范進行修訂，對現有信息科技制度體系進行評估，對信息科技制度體系架構進行梳理，逐步建立了制度、實施細則及技術規范三層架構的制度體系。形成了《信息科技制度匯編》，共包括38個科技管理辦法、16個實施細則、9項技術規范，在全行范圍內印發執行，有效指導了信息化建設和風險管理工作的開展。為了保持制度的嚴肅性，使基層分支行操作人員嚴格執行制度，省分行加強制度執行力建設，采取檢查、監控及違規積分等措施，確保制度落地，形成人人“重制度，守制度”良好工作氛圍。

（三）完善技術體系建設，提升技術防范能力1．建設高標準機房。2009年到2011年期間，率先啟動省、市、縣三級機房達標工程改造，共投入2000萬元用于轄內66個機構機房的建設和改造，機構覆蓋面達到90%以上。機房建設突出了“高可用、高可靠、易管理、前瞻性”的理念，對供電、防雷、消防、空調、裝飾系統進行了全面改造，為信息系統安全運行提供了可靠的物理保障。2．健全后備供電保障體系。2012年，利用有限的固定資產指標，為全轄所有市級分行配置了功率在20KVA以上的UPS，為60個縣支行配置了10KVA的UPS；在3個新建辦公樓機構建設了市電雙回路供電、7個行自備發電機；11個行與電力公司、電信或聯通等公司簽訂應急供電協議。形成了UPS、發電機、雙回路供電、移動發電車等多重供電安全保障。3．建立功能完善的監控系統。省、市分行統一建立了機房預警監控系統（包括網絡預警監控系統和機房動力環境監控系統），實現對機房物理環境、重要設備、網絡設備、數據鏈路、業務系統進行實時監測及預警。系統采用分級監控方式，本級行不僅可以監控自身機房及信息系統運行情況,還可以實時監控到轄內行情況，實現科技風險監測的縱橫結合，提升風險預警與防控能力。4．構建高效安全的網絡體系。基層行成立不久，就實現了分網運行，根據業務種類、服務范圍等分為生產網、辦公網和監控網，針對不同的網絡采用不同的安全控制策略；在網絡線路上，采用三家運營商多線路、互為熱備方式實現網絡通訊的高可靠性；結合不同的應用分別采取了防火墻、入侵檢測、內外網隔離等技術防范手段，確保網絡安全。5．部署防病毒系統。部署了覆蓋全行的計算機病毒防治系統，支持防病毒軟件的統一管理和升級，有效防止病毒轉播與蔓延。6．建立省分行級的異地災備中心。通過在異地機房內架設EMC存儲，使用現有網絡在非工作時段進行數據復制，解決了重要數據異地災備問題。同時在存儲中劃分一定的空間供二級分行使用，也解決了二級分行重要數據異地存儲的難題。經過演練測試驗證，災備系統運行穩定,能夠有效地保障數據安全。

（四）加強信息系統應急管理，保持業務連續性省分行嚴格按照《中國農業發展銀行信息系統突發事件應急管理辦法》要求，成立相應組織，切實履行職責，在全轄范圍內每年都組織一次應急演練。2013年僅在網絡應急演練中，就模擬了6個場景，模擬突發網絡故障情況108種，驗證演練數據1638項。通過把演練工作做實做細，使得一些潛在的隱患得以暴露，強化了各級行對突發事件的響應和處置能力。此外還以應急演練為抓手，引入PDCA（策劃-實施-檢查-改進）持續改進機制，不斷完善應急預案及應急物資儲備。在演練策劃階段，針對已有的和潛在的信息科技風險因素進行充分的評估，有重點地制定演練方案；實施階段實時跟蹤監測各類信息科技風險因素的產生和變化，適時調整信息科技風險應對策略和措施；檢查階段對演練情況展開具體分析，對業務具體造成的影響、潛在風險、變化情況等進行收集整理，作為修訂完善應急預案的依據；在改進階段及時修正、完善應急演練預案。通過對應急演練持續改進，大大降低了信息科技風險事件的影響和損失，有效維持業務的不間斷運營。

二、基層行信息科技風險管理工作面臨的挑戰

（一）信息科技風險管理意識及能力尚需提高。一是部分基層行領導存在重業務發展重業務風險防范，輕信息科技建設輕信息科技風險防范的現象，致使科技風險管理不到位。二是一線操作人員風險意識淡薄，認為信息科技風險是信息科技部門的事，與己無關。對移動存儲設備使用、IC卡管理、密碼管理等安全管理規定置若罔聞，非常容易產生操作風險。三是信息科技人員缺乏科技風險管理方面專業系統的培訓，風險管理知識及經驗不足，風險識別、風險評估、風險處置能力不強。

（二）信息科技風險管理制度還需完善。一是信息科技管理制度還不夠完善。比如現有的制度在電子設備采購、管理、報廢等方面進行了規范，但在設備選型、設備更換、固定資產指標使用等方面缺乏統一規定，部分機構出現設備老化、設備帶病工作、設備兼容性差等情況。二是內部管控制度不健全。目前對信息科技風險審計能力不足，缺乏信息科技風險的有效監管。審計部門只對信息科技資產進行審計，缺乏必要的技術力量和技術方法對信息科技風險及信息科技人員行為進行審計。信息科技部門既是運動員，又是裁判員，不能形成有效的制衡機制。三是制度執行不到位。由于基層行信息科技人員不足，技術力量薄弱，科技部門重要崗位缺乏備份人員，內部崗位之間缺乏制約，影響某些規章制度有效落實。

（三）信息安全技術保障體系需進一步提升。一是技術安全標準和技術規范不夠全面，在風險預警、評估、處置等方面存在漏洞。二是在終端安全、網絡準入控制、網絡分區等方面技術手段不足，既增加人力維護成本，又極易產生信息科技安全隱患。三是IT服務外包需進一步規范，在外包合同簽訂、外包人員管理、服務質量的監督等方面需加強監管，在努力提高服務水平的同時，最大限度地保護信息安全。

三、基層行信息科技風險治理展望

（一）加強內控制度建設，鞏固三道防線。內控管理是一項長期而重要的工作，基層行應緊密結合現有業務流程，以完善管理機制、建立健全制度體系為主線，不斷優化現有信息系統，提高信息系統基礎設施的服務保障能力。信息科技風險雖然體現在信息系統的運行操作環節，但往往涉及業務流程和操作模式的合理性、業務需求的質量等眾多方面，防范信息科技風險必須綜合考慮業務需求制定、項目實施、軟件開發、基礎設施建設、運行維護管理等不同環節的各種因素，由業務主管部門、科技管理部門和審計部門協同工作，才能起到事半功倍的效果。各基層行首先應充分認識信息科技安全的緊迫性和重要性，明確信息科技風險管理目標，落實信息科技風險管理責任制，將信息科技風險納入自身的總體風險框架，筑起第一道“思想”防線；其次，在加強信息安全監督、自查力度的同時，還應定期組織轄內信息科技風險的專項檢查，對于日常經營管理和生產運行中發現的操作風險隱患，建立信息系統風險持續跟進機制，及時消除風險隱患，堅守第二道“監查”防線；此外，還應明確業務部門責任，將科技風險管理納入到業務部門日常管理，設立專門的IT審計團隊，培養專業的IT審計人才，對信息科技風險進行評估，督促整改，構建“以查帶審，以審促查”的第三道防線。

（二）重在預防，完善信息風險防控體系。一是建立信息風險監控平臺，通過對現有各類生產系統、監控系統中的可疑數據進行跟蹤與分析，從而有效地對信息科技風險進行預警、評估、處置。平臺采用實時預警和T+1分析相結合的方式，對于風險程度高、要求響應速度快的風險點，依托短信平臺、郵件系統在最短時間內給出預警；對于日常操作和行為信息，采用T+1分析的方式，通過事后追查、責任落實來規避風險。二是完善信息科技風險評估制度，嚴格控制對應用項目外包、軟硬件產品和相關服務外包的風險，建立對外包服務商、產品供應商的信息科技風險的評估機制，實現對第三方全過程的跟蹤管理，防范外包服務的實施風險。三是實施風險管理的全覆蓋。將全省人員按照省、市、縣三級組織實施分級管理，一級管一級，實現從上到下、從省到縣的逐級有序結構，使科技工作風險管控的觸角延伸到每一個人、每一臺計算機、每一項業務。

（三）強化保障體系，持續推動業務連續性管理。首先，應嚴格執行機房值班制度，每日巡查機房，確保將安全隱患消滅于萌芽之中。其次，還應加強后備電源、備品備件的管理，落實各二級分行機房的第二供電保障渠道，有條件的行采用雙回路供電，沒有改造條件的自備發電機，對重要設備還應采取熱備或冷備的方式，消除單點故障隱患。再次，研發推廣桌面（終端）安全系統，包含內網準入、補丁分發、病毒庫升級和主動防御等功能，從源頭防范，確保網絡安全。此外，還必須未雨綢繆，及時修訂應急預案，做好業務連續性規劃、業務恢復機制、風險化解和轉移措施、數據備份方案等多方面的工作，并加強災備演練，以保障在突如其來的災難性事故面前能從容應對，迅速恢復生產，盡可能降低事故造成的損失。

（四）推進隊伍建設，提升風險防范能力。信息科技人員作為信息化建設的支撐力量，其所積聚的知識資本是信息科技工作極其重要的生產要素。一是重點加強省、市分行的科技力量，適當提高縣行兼職崗位的待遇，保持信息人員相對穩定。二是對于信息科技人員要從“業務發展，科技為先”的戰略高度上管理，抓好總行《信息科技人員業務崗位管理實施辦法》的落實，拓寬科技人員的職業發展通道，將科技人員的個人價值實現與信息科技工作緊密結合起來。三是加強在崗科技人員的培訓力度，不斷提高科技人員的科技素養和創新能力，鼓勵員工積極參加國家認可的考試認證，提高信息科技工作者的業務水平和對各項信息科技風險的認知深度；對于業務操作人員應加大計算機知識的普及和定期培訓工作，要對業務操作人員按照權限、責任范圍實行嚴格的限制，相互制約、互相監督，防止權限過于集中，避免出現管理空檔。從長遠來看，信息科技隊伍建設不僅對銀行的信息科技風險防范水平的提升發揮重要作用，也會使整個銀行的服務水平得到質的飛躍。

作者：王京春丁亞黃磊王冕單位：農發行安徽省分行