还剩1页未读,继续阅读
文本内容:
有限责任公司年度信息科技风险管理报XXXX20XX告
一、信息科技风险管理整体情况20XX年公司信息系统运行平稳,重要信息系统未发生计划外中断,未发生重大信息科技风险事件20XX年公司信息科技风险管理工作以监管政策为导向,坚持生产安全运行为基础,从关键风险指标体系建设、业务连续性管理、信息科技风险管理、客户信息保护等方面持续完善管理体系加强信息科技基础建设,查漏补缺,完善数据中心设备设施,建设数据中心异地数据灾备,提升网络安全防护水平全年未发生重特大信息科技风险事件,公司信息安全处于优良水平
二、信息科技风险管理工作成效(-)信息科技关键风险指标20XX年全年重要信息系统可用率稳定,保持在
99.99%以上,高于监管要求的重要信息系统可用率指标
99.85%投产变更实施成功O率反映软件交付的质量,20XX年投产变更实施成功率100%
(二)业务连续性管理一是制定疫情期间业务连续性管理方案并组织实施,确保疫情期间公司系统平稳运行,业务正常开展二是开展业务连续性演练,完成了系统的主备切换演练、主备专线网络切换演练
(五)信息科技风险管理其他重点领域一是在制度建设方面,按照公司制度三级管理体系,确保信息安全管理的落实及覆盖一级体系《信息科技管理办法》;二级体系,包括项目开发、科技外包、系统运行维护、信息系统安全等各类管理办法;三级体系,变更维护、网络、数据、设备、IT基础设施等操作手册、应急预案二是在信息安全管理方面,开展公司6个系统的风险评估,以及2个系统的信息安全等级保护测评三是在运行维护建设方面,部署完善监控平台,实现系统级和应用级监控完成日志审计系统、堡垒机、数据库审计系统、异地数据灾备系统的建设四是落实监管要求方面,对照监管要求和公司制度,建立外包供应商的准入、评估体系,对外包人员、外包项目和外包开发环境进行管控强化外包人员的准入及日常管理,包括人员面试、入场离场管理、日常考勤、考核管理等五是在客户信息安全管理方面,初步梳理公司客户信息安全管理的现状及相关法律法规,制定信息安全管理方案,开展了数据防泄露的技术调研工作
三、信息科技风险管理存在的问题
(一)业务连续性管理重要信息系统应急演练覆盖率未做到全覆盖,应急演练内容主要涉及主备机切换演练,部分演练报告未包含应急演练组织架构、问题整改计划等内容
(二)系统运行维护信息科技运维人员配置仍存在缺口,系统运维人员不足,数据库管理、网络管理均依赖总行信息技术部支持,且未配备专职的信息安全管理人员
四、20XX年重点工作计划
(一)完善信息科技管理制度一是修订完善制度针对发现的问题,完善信息科技风险管理程序,新增服务水平管理、项目后评估和风险管理等内容二是排查现有的制度体系,并参照监管要求、外部审计结果,根据公司实际情况补充制定所需的各项管理制度
(二)加强信息科技风险日常监测工作加强关键风险指标的监测分析,建立关键风险指标的分析监控模型,重点关注指标同比、环比值发生较大变化或突破指标阈值的情形,形成关键指标分析报告;三是依据监管发文适时开展信息科技风险问题梳理或排查
(三)强化业务连续性管理体系建立常态化的业务连续性工作机制,进一步完善业务连续性管理工作,完善灾备建设,通过灾备建设咨询,分析系统资源建设目标与现状的差距,形成灾备资源建设计划和方案等
(四)加强客户信息安全管控一是加强信息系统权限管理,明确管理要求,严格审批流程,人员调岗或离职时及时动态调整;二是加强系统权限事后监督,定期对信息系统权限管理情况、超权限访问客户信息情况进行监测评估;三是加强员工行为管理,将客户信息安全管理纳入公司各级管理者和员工培训的重要内容,明确规范要求和处罚标准,加强检查监督科技部20XX年XX月。