风险控制矩阵_信息安全管理

内控与合规风险管理标准-信息安全管理

1概述

信息安全管理，主要是指在信息科技运行过程中对基础设施及环境安全、网络及通讯安全、主机及系统安全、软件安全、安全技术与使用、操作与维护安全、项目与工程安全、应用系统开发安全、密码技术及使用、外来人员安全、科技文档安全、安全监督与问题整改等一系列活动的管理。

成立以分管信息科技部行长为组长，信息科技部、风险管理部、内审部负责人为副组长的信息安全工作小组，全面掌握本行信息安全，并向信息科技管理委员会负责。

2基本控制目标

1. 经营目标

1.1 针对全行范围，信息安全管理应该保障业务运行的需要，提高业务保密性。

2. 合规目标

2.1 针对全行范围，建立规范的信息安全管理架构和程序，满足信息安全管理要求。

3外部监管文件

《企业内部控制应用指引第18号-信息系统》

《商业银行内部控制指引》

《商业银行信息科技风险管理指引》

《信息安全等级保护管理办法》

4业务风险提示

N/A

管理