附件：信息科技风险管理分类应对策略根据信息科技风险分类情况，以二级风险为限，制定信息科技风险分类应对策略如下：A1.信息科技治理风险应对策略信息科技治理风险包括三个二级风险：信息科技组织风险、道德文化风险以及人员管理风险。

每个二级风险的内容和应对策略如下：风险编号风险名称风险描述风险应对策略1.1信息科技组织在信息科技风险管理机构及专建立完善的信息科技治理架构。

以法风险业委员会设置、履职等方面的定代表人为第一责任人，囊括理事不确定因素，以及在部门/岗位会、监事会、风险管理委员会、信息设置、职责划分、垂直归口管科技风险管理委员会、信息科技部、理等方面的不确定因素所带来稽核审计部、风险管理部、人力资源的影响。

部、监察部等部门。

明确各部门在信息科技风险管理工作中的职责；每个部门根据在信息科技风险管理中的职责设立相应的岗位，合理分配相应的责、权、利，执行信息科技风险管理工作；省联社各部门应指导、监督办事处、各县级农村合作金融机构相应部门的信息科技风险管理工作。

1.2道德文化风险在文化培育、融合、再造等过在建立道德、诚信、公正的氛围，对程中的不确定因素，以及员工员工进行相关的培训，作为员工日常在价值观认同、行为规范遵循工作的行为准则之一；等方面的不确定因素所带来的影响。

建立畅通的沟通渠道，任何与陕西省农村合作金融机构道德文化标准的偏离都得到及时和充分的反映，并被立即调查和纠正。

1.3人员管理风险在从人员聘用到离职整个服务建立完善的人员招聘、培训、考核、期间内的不确定因素所带来的激励、离职等制度和流程，并确保得影响。

到有效执行；加强信息科技风险管理专业人员配备，提高信息科技风险管理水平；对重要岗位制定详细的工作手册并适时更新；风险风险名称风险描述风险应对策略编号为员工提供信息科技风险管理制度和流程的培训，提高员工风险管理意识；对人员结构、能力、素质等进行定期评估，并组织专业培训，提高人才队伍的专业技能；制定关键岗位信息科技员工流失防范措施并定期评估人员流失风险；制定关键岗位轮岗计划并执行；建立信息科技工作职责不相容矩阵，将不相容职责/岗位分离，并定期检查。

A2.信息科技战略风险应对策略信息科技战略风险包括战略规划风险和战略执行风险。

每个二级风险的内容和应对策略如下：风险风险名称风险描述风险应对策略编号1.4战略管理风险在战略规划制定、调整、衔接按照陕西省农村合作金融机构总等过程中的不确定性因素所体业务规划制定信息科技战略；带来的影响。

在陕西省农村合作金融机构总体业务规划进行调整时，相应的，应及时调整信息科技战略，以确保和总体业务规划的一致性。

A3.信息科技运维风险应对策略信息科技运维风险包括九个二级风险：备份管理风险、运维环境风险、容量管理风险、问题管理风险、记录管理风险、事件管理风险、发布管理风险、变更管理风险以及资产管理风险。

每个二级风险的内容和应对策略如下：风险风险名称风险描述风险应对策略编号3.1备份管理风在从制定备份策略、执建立完善的数据中心管理制度，完善系风险编号风险名称风险描述风险应对策略险行备份、备份恢复等一统（程序和配置）和数据等的备份策略，系列过程中的不确定包括备份范围、备份频率、备份检查、因素所带来的影响。

备份恢复性测试等内容；配置备份工作所必须的软硬件资源、人力资源以及空间资源等。

备份介质的保存环境应当符合相关标准（如防火、防水、防磁、防盗、温湿度等）；备份介质的传递重要工作必须由专人和专用运输工具负责；对备份的结果进行检查，任何异常应立即查明原因并解决；定期进行备份恢复性测试，确保备份数据的完整、准确、有效；存储敏感数据的介质，在设备维修、用途变更或销毁时，采用消磁等完全清除数据的安全方式。

1.5运维环境风信息科技运维环境，如制定信息科技运维环境的维护和管理制险相关的系统、设施、设度，确保信息科技运行在一个稳定的环备等在运营过程中所境中；产生的不确定因素所带来的影响。

采用人工和技术等手段对信息科技运维环境的各种设施、设备进行预防性维护和监控，发现的问题应立即跟进；建立服务水平管理相关的制度和流程，对信息科技运行服务水平进行考核。

1.6容量管理风在信息系统性能、容量制定容量规划，以适应由于外部环境变险规划、容量监测和处理化产生的业务发展和交易量增长。

容量等过程中的不确定因规划应涵盖生产系统、备份系统及相关素所带来的影响。

设备；制定系统性能、容量监测和处理的方法；由系统自动检测或人工定期查看，确保系统稳定运行。

1.7事件管理风在事件从查明、记录到制定事件管理流程，包括事件查明和记险解决全过程中的不确录、归类和初步支持、事件调查和分析、定因素所带来的影响。

事件升级、解决事件和恢复服务、事件终止以及负责事件并跟踪、监督、控制和协调解决全过程；在事件发生后，应按照事件管理流程立即响应以尽快解决。

1.8问题管理风在问题申报、解决、技建立并完善有效的问题管理流程，以确险术援助、支持服务等过保全面地追踪、分析和解决信息系统问程中存在的不确定因题，并对问题进行记录、分类和索引；风险编号风险名称风险描述风险应对策略素所带来的影响。

定期对问题进行汇总分析，以求从根源上解决问题。

1.9记录管理风对应用系统、网络设建立完整的日志管理规定，完整采集并险备、防火墙、主机、数保存应用系统、数据库、网络设备、防据库等所产生的日志火墙、主机等产生的交易日志和系统日的记录、监控、复核、志等；保存等过程中存在的不确定因素所带来的影响。

设置专门岗位对日志进行监控和管理，尤其是未经授权的访问、对敏感信息的访问、操作等应格外关注；日志应得到妥善保存与备份。

1.10发布管理风在监督应用系统和软制定软件版本管理规范及系统版本命名险件等的发展、试验、部规范，软件版本的发布和开发过程必须署和支持过程中的不按照规定的流程执行；确定因素所带来的影响。

建立各重要系统的配置基线，纳入统一的配置管理数据库，并由专人负责；定期对配置数据库中的配置项与实际配置的一致性进行检查，并对不一致的配置项进行确认、调整；建立发布管理流程，确保系统或软件的发布处在一个可控的流程中；管理层应审核对系统或软件的发布；新系统或软件发布后，应保留先前的版本和环境以备恢复。

1.11变更管理风在信息系统相关的软制订严密的变更处理流程，明确变更控险件、硬件、和网络等变制中各岗位的职责，并遵循流程实施控更过程中的不确定因制和管理；素所带来的影响。

所有涉及生产环境的变更，变更前必须有回退和应急方案；制定变更管理的文档管理流程。

对变更情况进行及时登记、备案和存档，并将变更情况及时通报相关部门和相关岗位的人员。

1.12资产管理风包括信息科技资产的对信息资产进行梳理，建立信息资产清险运行维护风险和处置单，明确各资产的负责人、使用人、保风险。

运行维护风险是管人等相关责任人，制定各自的职责和指在资产使用、维护、权力；管理、租赁、抵押、保值等方面中的不确定因素所带来的影响。

处置风险是指在资产处将信息系统及其中的信息资产进行分类管理，包括数据、软件、硬件、服务、文档、设备、人员及其他共八种类型；置制度执行、方式选按照国家《信息安全等级保护管理办择、时机把握、价格评法》（公通字【2007】43号）的规定估等方面中的不确定因素所带来的影响。

及《信息系统安全等级保护定级指风险风险名称风险描述风险应对策略编号南》（GB/T 22240-2008）、《信息系统安全等级保护基本要求》（GB/T22239-2008）的要求，对信息系统分级并按级别进行保护；审批并记录信息科技资产运行维护和处置中的各种业务；管理层定期检查信息科技资产清单与实际情况的一致性，并对可能发现的问题及时跟进。

A4.信息安全风险应对策略信息安全风险包括八个方面：物理和环境安全风险、访问控制风险、应用安全风险、系统软件安全风险、网络安全风险、终端安全风险、移动安全风险和数据安全风险。

每个二级风险的内容和应对策略如下：风险风险名称风险描述风险应对策略编号1.13 物理和环境安全风在物理层次上为使信息科技合理选择数据中心的地理位置，并险运行环境受到保护，不受偶然经过管理层的批准；或恶意的原因而遭到破坏的过程中的不确定因素所带来的风险。

制定信息科技设施、数据中心等信息科技环境的安全管理制度，包括设备安全管理、介质安全管理、人员出入等，并确保有效执行；根据国家的规定，重要或敏感的业务信息处理系统应放在安全的地方，并设置有适当的安全区域，安全区域的出入口有安全障碍和入口控制，设备应有物理的保护以防止非法进入、危害及破坏；严格控制相关人员，包括第三方人员进入安全区域，并记录所有人员的出入信息。

对敏感性技术相关工作的人员，应有严格的审查程序，包括身份验证和背景调查；采用其他人工或技术手段防止风险风险名称风险描述风险应对策略编号未授权的侵入。

1.14访问控制风险因未经授权对信息科技资源建立统一的用户身份管理基础设的访问所带来的影响。

施，向应用系统提供集中的用户身份认证服务；明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。

制定主机系统及网络的访问控制制度，系统权限管理规定；根据“访问控制分级”、“需求导向”和“最小授权”的原则对用户的权限申请进行审批，并定期对用户，尤其是关键岗位用户、最高权限用户等的权限进行检查；每个内部员工具有范围内唯一的身份标识，用户在访问应用系统之前，必须提交身份标识，并对其进行认证；在发生用户离职或岗位变动时及时更新其访问权限；对各类系统及网络环境设置密码安全策略，包括密码长度、复杂度、有效期、历史密码记忆次数等。

1.15应用安全风险在应用系统的使用、运行过程加强职责划分，对关键或敏感岗位中的不确定因素所带来的影进行双重控制。

响。

采取安全的方式处理保密信息的输入和输出，防止信息泄露或被盗取、篡改。

确保系统按预先定义的方式处理例外情况，当系统被迫终止时向用户提供必要信息。

1.16系统软件安全风险在操作系统、数据库管理系统制定每种类型操作系统的基本安等系统软件的使用、运行过程全要求，确保所有系统满足基本安中的不确定因素所带来的影全要求。

响。

制定最高权限系统账户的审批、验证和监控流程，并确保最高权限用户的操作日志被记录和监察。

定期检查可用的安全补丁，并风险风险名称风险描述风险应对策略编号报告补丁管理状态。

在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项。

建立主机入侵检测机制，发现主机系统中的异常操作行为，以及对主机发起的攻击行为，并及时报警。

1.17网络安全风险为使网络系统的硬件、软件及建立网络安全管理制度，网络安全其系统中的数据受到保护，不系统的建设标准和相关的运营维受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统护管理规范；将网络划分为不同的逻辑安全连续可靠正常地运行，网络服域，根据域的性质定义生产域务不中断的过程中的不确定或测试域、内部域或外部域，因素所带来的影响。