韩雨 / CIO工作内容片段
Created 2013-04-08 Modifyed 2013-04-08

888 Words

思维导图文件下载

首席信息官的职责

  • 直接参与企业与信息科技运用有关的业务发展决策

  • 确保信息科技战略,尤其是信息系统开发战略,符合总体业务战略和信息科技风险管理策略

  • 负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责

  • 确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构

  • 组织专业培训,提高人才队伍的专业技能

  • 履行信息科技风险管理其他相关工作

内部控制

内部环境

内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等

风险评估

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略

控制活动

控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内

信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。

内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。

信息科技

战略

业务连续性计划

预算

整体状况

信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况

风险

  • 信息科技风险管理的年度报告
  • 掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制
  • 全面的信息科技风险管理策略
    • 信息分级与保护
    • 信息系统开发、测试和维护
    • 信息科技运行和维护
    • 访问控制
    • 物理安全
    • 人员安全
    • 业务连续性计划与应急处置
  • 年度应急演练结果

安全策略

  • 建立健全安全管理制度
  • 计算机主机房的值班及人员出入管理登记制度
  • 信息安全策略
    • 安全制度管理
    • 信息安全组织管理
    • 资产管理
    • 人员安全管理
    • 物理与环境安全管理
    • 通信与运营管理
    • 访问控制管理
    • 系统开发与维护管理
    • 信息安全事故管理
    • 业务连续性管理
    • 合规性管理
  • 安全等级
    • 划分标准
    • 安全等级保护的具体办法
    • 公安部会同制定