PWC-唐山银行2015年信息科技风险全面评估报告-201505.pdf

www.pwc.com

唐山银行2015年信息科技

风险全面评估报告 2015年5 月

第一部分 –基础信息及方法论

PwC 2

内容

 信息科技风险评估步骤

 信息科技风险评估工作范围

 信息科技风险评估工作内容

 信息科技风险评估工作时间表

 信息科技风险衡量标准

PwC 3

信息科技风险评估步骤 获得 发现 评估 交付 针对即将评估的具 在具体信息系统 架 根据上一步骤的具 最终交付为：评估 体规章、制度、方 构、系统分级、组 体发现项，评估过 过程中发现的不足、 法、规程、细则、 成、数据结构、数 程包括对规章、制 与全球最佳实践的 报告、记录及实际 据平台、数据库、 度、规程、操作规 差距及改进不足与 操作规范等进行收 事件管理、问题管 范、安全管理等的 缩小相应差距的建 集的过程，其中包 理、变更管理、整 完整性、有效性及 议项等。其目的： 括与相关责任人的 体信息科技安全流 合理性，对信息科 提高唐山银行各部 访谈等。本次评估 程、安全操作规范、 技关键系统与流程， 门管理人员对信息 主要包括 ：规划计 信息科技管控及策 对系统的可集成性 科技风险管理重要 划、人员岗位、信 略、信息科技服务 与可扩展性及针对 性的认知 ，促进唐 息系统、网络系统、 管理、信息科技风 银行业务发展的长 山银行加强现有信 数据系统、安全系 险管理机制及业务 期支撑等方面进行 息科技全面管理， 统、信息科技项目 连续性的管理策略、 具体评估，评估将 提高信息系统运行 管理、信息科技服 演练等过程中，以 为唐山银行信息科 的效果与效率，促 务管理、服务外包 及通过多次与相关 技部在针对信息科 进唐山银行信息科 管理、信息科技安 责任人的访谈过程 技风险方面做具体 技管理符合法律、 全管理、物理安全 中了解到的某些具 提示，并分别针对 法规及监管的相关 管理、信息科技风 体观