信息科技风险自评估表一、 信息科技治理序号风险类别风险点控制目标风险分析参考依据1董事会或高级管理层职责对信息科技战略的审查批准并审查信息科技战略;保证信息科技战略与银行总体业务战略和重大策略相一致;定期评估信息科技及其风险管理工作的总体效力和效率。信息风险管理缺乏长期规划,无法指导信息安全工作开展。ISO27001:2005 管理层职责:建立信息安全方针,确保信息安全目标和计划的建立,进行信息安全管理体系的评审;ISO27001:2005信息安全方针文档:信息安全方针文档应经过管理层的批准,并向所有员工和外部相关方公布和沟通;ISO27001:2005信息安全方针评审:应按策划的时间间隔或当发生重大变化时,对信息安全方针文档进行评审,以确保其持续的适宜性、充分性和有效性。2对本行信息科技风险管理现状的掌握情况定期听取信息科技风险管理部门报告;组织进行独立有效的信息科技风险审计;对审计报告和监管意见的整改情况进行监督。无法掌握现有风险,对存在的信息安全风险针对性的改进无法得到有力的推进。Corb
