全面風(fēng)險(xiǎn)清單-信息系統(tǒng)管理風(fēng)險(xiǎn)（2023年11月-雷澤佳編制）

全面風(fēng)險(xiǎn)清單——信息系統(tǒng)管理風(fēng)險(xiǎn)（2023年11月）序號(hào)控制目標(biāo)一級(jí)流程二級(jí)流程風(fēng)險(xiǎn)描述信息系統(tǒng)管理總目標(biāo)：保障單位信息系統(tǒng)正常安全有效運(yùn)行，加強(qiáng)信息系統(tǒng)安全管理，提高信息系統(tǒng)建設(shè)與運(yùn)行維護(hù)水平，促進(jìn)單位有效實(shí)施內(nèi)部控制，更好地發(fā)揮信息化的支撐保障作用，提高工作效率和現(xiàn)代化管理水平，減少或消除人為操作因素,保護(hù)信息安全。信息系統(tǒng)管理合規(guī)目標(biāo)：合理建設(shè)信息系統(tǒng)管理組織架構(gòu)，信息系統(tǒng)建設(shè)管理嚴(yán)格依照信息化項(xiàng)目管理的整體流程，從項(xiàng)目計(jì)劃到項(xiàng)目上線經(jīng)過(guò)后評(píng)價(jià)，做好完備的記錄歸檔工作，不違反信息披露的監(jiān)管部門要求；信息系統(tǒng)的終結(jié)管理，要嚴(yán)格按照相關(guān)電子數(shù)據(jù)檔案保管的要求，將重要數(shù)據(jù)做好備份留底或數(shù)據(jù)銷毀工作；信息系統(tǒng)管理資產(chǎn)安全目標(biāo)：信息系統(tǒng)戰(zhàn)略規(guī)劃與單位整體經(jīng)營(yíng)策略相統(tǒng)一，確保資金投入的有效性；做好信息系統(tǒng)訪問(wèn)的安全措施，確保單位各業(yè)務(wù)部門資產(chǎn)數(shù)據(jù)的安全，防止商業(yè)秘密泄露；監(jiān)控信息系統(tǒng)外包服務(wù)，避免導(dǎo)致單位權(quán)益受損或遭受違約損失；信息系統(tǒng)的硬件和網(wǎng)絡(luò)資源在終結(jié)時(shí)，做好相應(yīng)的資產(chǎn)評(píng)估工作，確保IT資產(chǎn)不遭受額外損失；開展風(fēng)險(xiǎn)評(píng)估工作，對(duì)于網(wǎng)絡(luò)硬件及軟件資產(chǎn)，做出完整的記錄評(píng)估，確保資產(chǎn)的使用、調(diào)配等工作處于合理的監(jiān)管范圍；信息系統(tǒng)管理財(cái)務(wù)報(bào)告目標(biāo)：對(duì)于準(zhǔn)確的財(cái)務(wù)核算，提供全面的業(yè)務(wù)數(shù)據(jù)和相應(yīng)的數(shù)據(jù)鉤稽邏輯關(guān)系；及時(shí)記錄、安全保存存貨及固定、無(wú)形資產(chǎn)等數(shù)據(jù)，為財(cái)務(wù)報(bào)表提供正確的數(shù)據(jù)源；信息系統(tǒng)管理經(jīng)營(yíng)目標(biāo)：科學(xué)制訂信息系統(tǒng)戰(zhàn)略規(guī)劃及年度計(jì)劃，培養(yǎng)和鍛煉IT技術(shù)人才，保障單位信息系統(tǒng)方面的開發(fā)、維護(hù)和安全技術(shù)，確保信息系統(tǒng)建設(shè)的正確方向和對(duì)單位經(jīng)濟(jì)發(fā)展的支撐；管理組織架構(gòu)設(shè)置科學(xué)、運(yùn)行高效，有效實(shí)施信息化項(xiàng)目，確保單位的各項(xiàng)業(yè)務(wù)工作能借助信息系統(tǒng)平臺(tái)，實(shí)現(xiàn)高效辦公和流程控制；信息系統(tǒng)重要數(shù)據(jù)的備份和恢復(fù)性測(cè)試工作及時(shí)到位，防范系統(tǒng)出錯(cuò)帶來(lái)的數(shù)據(jù)受損；信息系統(tǒng)的硬件和軟件終結(jié)工作科學(xué)，防范終結(jié)不徹底造成的信息外泄風(fēng)險(xiǎn)；系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作的定期開展，保障了信息系統(tǒng)在支持業(yè)務(wù)工作流程時(shí)，排除各項(xiàng)風(fēng)險(xiǎn)因素。信息系統(tǒng)管理戰(zhàn)略目標(biāo)：信息系統(tǒng)發(fā)展規(guī)劃以單位的經(jīng)營(yíng)發(fā)展戰(zhàn)略為依據(jù)，數(shù)據(jù)輸入、處理、輸出操作均處于合理的權(quán)限范圍內(nèi)，確保信息系統(tǒng)的發(fā)展助力單位經(jīng)營(yíng)目標(biāo)的實(shí)現(xiàn)；有效設(shè)置信息系統(tǒng)、合理保管后臺(tái)數(shù)據(jù)，并建立有效的信息系統(tǒng)管理隊(duì)伍，確保信息系統(tǒng)安全運(yùn)行，為實(shí)現(xiàn)單位信息化發(fā)展戰(zhàn)略規(guī)劃提供有力的保障。信息系統(tǒng)開發(fā)控制目標(biāo)：按規(guī)定時(shí)間完成信息系統(tǒng)的開發(fā)和驗(yàn)收工作；防止系統(tǒng)在開發(fā)過(guò)程中可能出現(xiàn)錯(cuò)誤和偏差，使系統(tǒng)設(shè)計(jì)合理、正確；縮短開發(fā)周期，提高信息系統(tǒng)開發(fā)質(zhì)量，降低系統(tǒng)開發(fā)成本，提高開發(fā)效率和效益。信息系統(tǒng)開發(fā)信息系統(tǒng)建設(shè)規(guī)劃信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島（各信息系統(tǒng)數(shù)據(jù)混亂，難以協(xié)調(diào)統(tǒng)一，后期數(shù)據(jù)治理成本居高不下）或重復(fù)建設(shè)（由于規(guī)劃缺乏中長(zhǎng)期考慮，僅看重短期利益，系統(tǒng)倉(cāng)促上線，雖然能滿足一時(shí)需求，但帶來(lái)的后果是無(wú)法適應(yīng)用的發(fā)展，導(dǎo)致二次建設(shè)、重復(fù)建設(shè)，甚至系統(tǒng)棄用），導(dǎo)致單位經(jīng)營(yíng)管理效率低下；沒(méi)有將信息化與單位業(yè)務(wù)需求結(jié)合，降低了信息系統(tǒng)的應(yīng)用價(jià)值；信息系統(tǒng)的戰(zhàn)略、規(guī)劃和預(yù)算與實(shí)體業(yè)務(wù)和戰(zhàn)略目標(biāo)不一致，影響單位的戰(zhàn)略目標(biāo)的實(shí)現(xiàn)；信息系統(tǒng)建設(shè)缺乏項(xiàng)目計(jì)劃或計(jì)劃不當(dāng)，導(dǎo)致項(xiàng)目進(jìn)度滯后、費(fèi)用超支、質(zhì)量低下；信息化規(guī)劃未經(jīng)嚴(yán)格、規(guī)范的審核審批，可能導(dǎo)致信息化規(guī)劃不合理、不科學(xué)，難以實(shí)現(xiàn)對(duì)單位未來(lái)信息化建設(shè)工作的指導(dǎo)作用，進(jìn)而影響單位信息化建設(shè)工作的進(jìn)行。信息系統(tǒng)開發(fā)總體風(fēng)險(xiǎn)系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無(wú)法利用信息系統(tǒng)實(shí)施有效控制；開發(fā)團(tuán)隊(duì)經(jīng)驗(yàn)不足可能造成信息系統(tǒng)開發(fā)時(shí)間過(guò)長(zhǎng)；時(shí)間和費(fèi)用超出預(yù)算可能造成信息系統(tǒng)開發(fā)成本過(guò)高；系統(tǒng)開發(fā)技術(shù)過(guò)于復(fù)雜、技術(shù)不成熟或過(guò)時(shí)用戶需求的多樣性以及用戶的數(shù)量和重視程度可能加大系統(tǒng)分析工作的工作量。信息系統(tǒng)自行開發(fā)制定項(xiàng)目計(jì)劃：信息系統(tǒng)建設(shè)缺乏項(xiàng)目計(jì)劃或者計(jì)劃不當(dāng)，導(dǎo)致項(xiàng)目進(jìn)度滯后、費(fèi)用超支、質(zhì)量低下；開展需求分析：新建系統(tǒng)需要進(jìn)行充分的需求論證，而實(shí)際上往往立項(xiàng)需求及開發(fā)過(guò)程中的需求變更論證并不充分，這可能導(dǎo)致系過(guò)程中頻繁修改，增加項(xiàng)目開發(fā)成本，影響系統(tǒng)上下進(jìn)度；需求本身不合理，對(duì)信息系統(tǒng)提出的功能、性能、安全性等方面的要求不符合業(yè)務(wù)處理和控制的需要；需求定義不準(zhǔn)確；追加需求；需要更長(zhǎng)的需求定義時(shí)間；缺乏有效的需求變更管理等；技術(shù)上不可行、經(jīng)濟(jì)上成本效益倒掛，或與國(guó)家有關(guān)法規(guī)制度存在沖突；需求文檔表述不準(zhǔn)確、不完整，未能真實(shí)全面地表達(dá)單位需求，存在表述缺失、表述不一致甚至表述錯(cuò)誤等問(wèn)題；信息化需求未經(jīng)過(guò)業(yè)務(wù)部門和信息部門的初步審核，可能使得信息化需求與相關(guān)部門業(yè)務(wù)不一致，或者該項(xiàng)需求不具有可行性，導(dǎo)致后期人力物力浪費(fèi)；系統(tǒng)設(shè)計(jì)（總體設(shè)計(jì)和詳細(xì)設(shè)計(jì)）：設(shè)計(jì)方案不能完全滿足用戶需求，不能實(shí)現(xiàn)需求文檔規(guī)定的目標(biāo)；設(shè)計(jì)方案未能有效控制建設(shè)開發(fā)成本，不能保證建設(shè)質(zhì)量和進(jìn)度；設(shè)計(jì)方案不全面，導(dǎo)致后續(xù)變更頻繁；設(shè)計(jì)方案沒(méi)有考慮信息系統(tǒng)建成后對(duì)單位內(nèi)控管理的影響，導(dǎo)致系統(tǒng)運(yùn)行后衍生新的風(fēng)險(xiǎn)；客戶、開發(fā)方對(duì)系統(tǒng)功能的理解有差異；設(shè)計(jì)方案是優(yōu)化的，但不能完全實(shí)現(xiàn)；設(shè)計(jì)方案基于某一些特定的成員或技術(shù)，而這些特定的成員或技術(shù)有變化等；系統(tǒng)開發(fā)：開發(fā)過(guò)程未得到有效監(jiān)控，致使信息系統(tǒng)不能滿足單位業(yè)務(wù)處理的需求；預(yù)算批準(zhǔn)的等待時(shí)間比預(yù)期延長(zhǎng)：系統(tǒng)使用范圍改變，用戶要增加、刪除或修改一些功能，需要重新考慮系統(tǒng)的設(shè)計(jì)方案：開發(fā)團(tuán)隊(duì)內(nèi)部溝通不暢，程序員之間的工作交接出現(xiàn)缺口：沒(méi)有切實(shí)可行的系統(tǒng)備份方案：系統(tǒng)測(cè)試計(jì)劃不完善，系統(tǒng)設(shè)計(jì)過(guò)于理想化，不易實(shí)施等；編程和系統(tǒng)測(cè)試：編程結(jié)果與設(shè)計(jì)不符；各程序員編程風(fēng)格差異大，程序可讀性差，導(dǎo)致后期維護(hù)困難，維護(hù)成本高；缺乏有效的程序版本控制，導(dǎo)致重復(fù)修改或修改不一致等問(wèn)題；測(cè)試不充分；單個(gè)模塊正常運(yùn)行但多個(gè)模塊集成運(yùn)行時(shí)出錯(cuò)，開發(fā)環(huán)境下測(cè)試正常而生產(chǎn)環(huán)境下運(yùn)行出錯(cuò)，開發(fā)人員自測(cè)正常而業(yè)務(wù)部門用戶使用時(shí)出錯(cuò)，導(dǎo)致系統(tǒng)上線后可能出現(xiàn)嚴(yán)重問(wèn)題；安全檢測(cè)：未依照項(xiàng)目立項(xiàng)時(shí)確定的網(wǎng)絡(luò)安全保護(hù)等級(jí)及相關(guān)規(guī)定進(jìn)行技術(shù)檢測(cè)；未根據(jù)整改意見對(duì)系統(tǒng)進(jìn)行整改并由并再次提交復(fù)檢申請(qǐng)；初步驗(yàn)收：系統(tǒng)開發(fā)上線前，未進(jìn)行初步驗(yàn)收或驗(yàn)收?qǐng)?zhí)行不到位，可能帶來(lái)系統(tǒng)無(wú)法使用、運(yùn)行不穩(wěn)定等問(wèn)題；上線試運(yùn)行：缺乏完整可行的上線計(jì)劃，導(dǎo)致系統(tǒng)上線混亂無(wú)序；人員培訓(xùn)不足，不能正確使用系統(tǒng)，導(dǎo)致業(yè)務(wù)處理錯(cuò)誤，或者未能充分利用系統(tǒng)功導(dǎo)致開發(fā)成本浪費(fèi)；初始數(shù)據(jù)準(zhǔn)備設(shè)置不合格，導(dǎo)致新舊系統(tǒng)數(shù)據(jù)不一致、業(yè)務(wù)處理錯(cuò)誤；系統(tǒng)實(shí)際使用質(zhì)量差，不易操作，沒(méi)有實(shí)現(xiàn)用戶預(yù)期的功能，滿意度不高；信息系統(tǒng)上線后未經(jīng)測(cè)試，可能導(dǎo)致相關(guān)功能不能滿足需求，或者系統(tǒng)的運(yùn)行狀況不穩(wěn)定等，進(jìn)而給單位的業(yè)務(wù)發(fā)展帶來(lái)影響；培訓(xùn)不到位，可能導(dǎo)致業(yè)務(wù)人員業(yè)務(wù)水平不足導(dǎo)致信息系統(tǒng)上線工作推進(jìn)困難等。信息系統(tǒng)業(yè)務(wù)外包選擇外包服務(wù)商：由于單位與外包服務(wù)商之間本質(zhì)上是一種委托一代理關(guān)系，合作雙方的信息不對(duì)稱容易誘發(fā)道德風(fēng)險(xiǎn)，外包服務(wù)商可能會(huì)實(shí)施損害單位利益的自利行為，如偷工減料、放松管理、信息泄密等；簽訂外包合同：由于合同條款不準(zhǔn)確、不完善，可能導(dǎo)致單位的正當(dāng)權(quán)益無(wú)法得到有效保障；持續(xù)跟蹤評(píng)價(jià)外包服務(wù)商的服務(wù)過(guò)程：?jiǎn)挝蝗狈ν獍?wù)跟蹤評(píng)價(jià)機(jī)制或跟蹤評(píng)價(jià)不到位，可能導(dǎo)致外包服務(wù)質(zhì)量水平不能滿足單位信息系統(tǒng)開發(fā)需求。信息系統(tǒng)的外購(gòu)調(diào)試軟件產(chǎn)品選型和供應(yīng)商選擇：軟件產(chǎn)品選型不當(dāng)，產(chǎn)品在功能、性能、易用性等方面無(wú)法滿足單位需求；軟件供應(yīng)商選擇不當(dāng)，產(chǎn)品的支持服務(wù)能力不足，產(chǎn)品的后續(xù)升級(jí)缺乏保障；服務(wù)提供商選擇：服務(wù)提供商選擇不當(dāng),削弱了外購(gòu)軟件產(chǎn)品的功能發(fā)揮，導(dǎo)致無(wú)法有效滿足用戶需求。信息系統(tǒng)驗(yàn)收未對(duì)信息系統(tǒng)的功能模塊履行嚴(yán)格的驗(yàn)收程序，導(dǎo)致后續(xù)使用信息系統(tǒng)出現(xiàn)錯(cuò)誤的可能性增大，增加后續(xù)模塊維護(hù)和修改的成本。信息系統(tǒng)升級(jí)與變更申請(qǐng)當(dāng)單位業(yè)務(wù)變更時(shí)，未針對(duì)信息系統(tǒng)進(jìn)行相應(yīng)的升級(jí)或變更，可能導(dǎo)致信息系統(tǒng)不能滿足單位業(yè)務(wù)處理的需求，降低系統(tǒng)運(yùn)營(yíng)效率，不恰當(dāng)增加員工工作量。信息系統(tǒng)運(yùn)行與維護(hù)控制目標(biāo)：確保信息系統(tǒng)正常持續(xù)穩(wěn)定、安全可靠運(yùn)行,即信息系統(tǒng)能夠持續(xù)運(yùn)行,提高系統(tǒng)運(yùn)維質(zhì)量和效率，加強(qiáng)信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力和水平，防止未經(jīng)授權(quán)的訪問(wèn)和信息泄露；信息系統(tǒng)運(yùn)行與維護(hù)日常運(yùn)行維護(hù)系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無(wú)法正常運(yùn)行；沒(méi)有建立規(guī)范的信息系統(tǒng)日常運(yùn)行管理規(guī)范，計(jì)算機(jī)軟硬件的內(nèi)在隱患易于爆發(fā)可能導(dǎo)致單位信息系統(tǒng)出錯(cuò)；沒(méi)有執(zhí)行例行檢查，導(dǎo)致一些人為惡意攻擊會(huì)長(zhǎng)期隱藏在系統(tǒng)中，可能造成嚴(yán)重?fù)p失；信息系統(tǒng)的運(yùn)行情況未經(jīng)定期、規(guī)范檢查，可能導(dǎo)致問(wèn)題無(wú)法被及時(shí)發(fā)現(xiàn)，隱患未被及時(shí)解決，對(duì)單位的業(yè)務(wù)流轉(zhuǎn)帶來(lái)影響；單位信息系統(tǒng)數(shù)據(jù)未能定期備份，可能導(dǎo)致?lián)p壞后無(wú)法恢復(fù)，從而造成重大損失；信息系統(tǒng)數(shù)據(jù)未能定期備份,可能導(dǎo)致?lián)p壞后無(wú)法恢復(fù),從而造成重大損失；信息系統(tǒng)維護(hù)工作中相關(guān)材料沒(méi)有得到妥善保存可能造成信息系統(tǒng)維護(hù)及對(duì)各單位的綜合考核工作無(wú)據(jù)可依。系統(tǒng)變更單位沒(méi)有建立嚴(yán)格的變更申請(qǐng)、審批、執(zhí)行、測(cè)試流程，導(dǎo)致系統(tǒng)隨意變更；系統(tǒng)變更后的效果達(dá)不到預(yù)期目標(biāo)安全管理硬件設(shè)備分布物理范圍廣，設(shè)備種類繁多，安全管理難度大，可能導(dǎo)致設(shè)備生命周期短；業(yè)務(wù)部門信息安全意識(shí)薄弱，對(duì)系統(tǒng)和信息安全缺乏有效的監(jiān)管手段；少數(shù)員工可能惡意或非惡意濫用系統(tǒng)資源，造成系統(tǒng)運(yùn)行效率降低；對(duì)系統(tǒng)程序的缺陷或漏洞安全防護(hù)不夠，導(dǎo)致遭受黑客攻擊，造成信息泄露；對(duì)各種計(jì)算機(jī)病毒防范清理不力，導(dǎo)致系統(tǒng)運(yùn)行不穩(wěn)定甚至癱瘓；系統(tǒng)權(quán)限設(shè)置不符合不相容職責(zé)相互分離的要求，且新增用戶未經(jīng)有效審批或權(quán)限變更未經(jīng)有效審批；缺乏對(duì)信息系統(tǒng)操作人員的嚴(yán)密監(jiān)控，可能導(dǎo)致舞弊和利用計(jì)算機(jī)犯罪；欠缺或沒(méi)有實(shí)施物理訪問(wèn)安全的限制，危害信息系統(tǒng)的安全;信息系統(tǒng)相關(guān)人員發(fā)生崗