开展信息安全评估的背景
信息安全是公司系统运行和业务运营的重要保障，是资金安全的重要前提。开展信息系统安全评估，可以全面掌握公司信息系统安全的总体情况，对标先进企业的信息安全优秀实践，提升公司信息安全的管理水平。技建设和管理的指导意见》，明确规定了非银机构应将信息科技风险纳入全面风险管理体系，建立常态化的风险识别、监测和管控机制，每年对全部重要信息系统至少开展一次风险评估，及时发现风险并采取有效控制措施。
主要措施
一方面，把握需求，精准选择适合的外部专业机构。信息系统安全评估的准备阶段，公司积极调研信息系统安全评估的主要内容，并向其他财务公司请教其在信息系统安全评估中的优秀经验和做法。与此同时，公司广泛征求属地监管部门、公司经营层、业务部门、信息部门以及合规风险部门对信息系统安全的意见和想法，结合公司目前管理提升需要，以及年度预算的范围，最终梳理出符合公司信息系统安全评估的需求以及评估重点。
由于公司的核心业务系统属于招行托管，信息系统安全评估专业性强，重要性级别高，还涉及到对系统的外包管理，面对公司IT审计人员不足的情况，交控财务遵循了大多数财务公司的惯例，在明确了公司需求的基础上，精准选择专业外部机构帮助实施本次信息系统安全评估。
另一方面，对标监管，全力以赴完成信息安全评估。对标中国银保监会的《商业银行信息科技风险管理指引》中有关财务公司在信息安全和信息科技外包两个领域的信息科技风险管理要求，通过审查评估重要业务信息系统TMS以及相关网络设备、服务器以及机房的安全性，重点关注系统运维风险，及时发现运行风险隐患，提高信息安全保障水平。
本次专项评估工作分为确定项目范围和评估计划、识别现状并制定评估程序、执行评估程序并沟通评估发现、提出整改建议并出具评估报告等4个阶段，在执行评估程序时，公司采用了询问、观察、检查、重新执行等评估方式，并按照既定的抽样策略抽取了一定的样本。由于公司的核心系统TMS的服务器在深圳，评估团队需要进入招行中心机房才能完成对系统的信息安全评估工作。公司积极与招商银行南京分行的合作伙伴联系，提前将需求清单发送至招行，在获得招行的批准后，评估团队安排了深圳当地的团队进行现场评估，有效防范了可能因出行导致的疫情感染风险，缩短了差旅时间的同时，避免了相关费用的产生。
通过本次评估，提高了公司全员对信息安全和科技外包管理的认识，明确了信息系统安全的重要性，加快了公司科技化推进进度。