CIO工作内容片段
首席信息官的职责
-
直接参与企业与信息科技运用有关的业务发展决策
-
确保信息科技战略,尤其是信息系统开发战略,符合总体业务战略和信息科技风险管理策略
-
负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责
-
确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构
-
组织专业培训,提高人才队伍的专业技能
-
履行信息科技风险管理其他相关工作
内部控制
内部环境
内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等
风险评估
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略
控制活动
控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内
信息与沟通
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
内部监督
内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
信息科技
战略
业务连续性计划
预算
整体状况
信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况
风险
- 信息科技风险管理的年度报告
- 掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制
- 全面的信息科技风险管理策略
- 信息分级与保护
- 信息系统开发、测试和维护
- 信息科技运行和维护
- 访问控制
- 物理安全
- 人员安全
- 业务连续性计划与应急处置
- 年度应急演练结果
安全策略
- 建立健全安全管理制度
- 计算机主机房的值班及人员出入管理登记制度
- 信息安全策略
- 安全制度管理
- 信息安全组织管理
- 资产管理
- 人员安全管理
- 物理与环境安全管理
- 通信与运营管理
- 访问控制管理
- 系统开发与维护管理
- 信息安全事故管理
- 业务连续性管理
- 合规性管理
- 安全等级
- 划分标准
- 安全等级保护的具体办法
- 公安部会同制定