商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案本帖最后由 infosec123 于 2009-9-23 17:16 编辑背景为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。
该指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。
现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。
目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。
需求分析合规性需求:近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。
其中与银行业信息科技风险相关的法律、法规与行业监管指引有:2002年,美国国会发布了SOX《萨班斯[url=;2004年9月30日,中国银监会发布了[url=;2006年,银监会发布《电子银行安全评估指引》、《[url=;2006年6月,国务院国资委出台了《中央企业全面风险管理指引》;2007年,公安部明确了《信息系统等级保护基本要求与实施指南》;2009年3月,银监会发布《商业银行信息科技风险管理指引》;谷安天下依据信息科技风险管理体系,从整体上分为IT治理、IT管理、IT控制与审计三个方面,并在此基础上结合多年的行业咨询经验,陆续开发了IT风险管理咨询服务与IT风险管控系列软件系统。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引商业银行信息科技风险管理指引1、引言1.1 目的1.2 范围1.3 定义2、风险管理框架2.1 风险识别和评估2.1.1 信息系统漏洞评估2.1.2 安全事件监测和响应2.2 风险治理与策略2.2.1 监督与审查机制2.2.2 风险管理策略的制定与更新2.3 风险控制与监测2.3.1 访问控制管理2.3.2 风险评估与监测工具2.4 风险通报与沟通2.4.1 内部风险通报机制2.4.2 外部风险信息共享3、风险识别与评估3.1 业务风险3.1.1 客户信息安全风险3.1.2 交易运营风险3.2 技术风险3.2.1 网络安全风险3.2.2 数据管理风险3.3 外部环境风险3.3.1 法律法规风险3.3.2 自然灾害风险4、风险治理与策略4.1 信息安全组织与责任4.1.1 信息安全管理组织架构 4.1.2 信息安全责任分工4.2 风险管理策略4.2.1 信息安全目标与指标 4.2.2 风险管理流程4.3 内部控制与合规要求4.3.1 内部控制流程与制度4.3.2 合规性要求与监督5、风险控制与监测5.1 访问控制与身份认证5.1.1 用户权限管理5.1.2 口令与密钥管理5.2 安全事件与漏洞监测5.2.1 安全事件响应流程 5.2.2 漏洞评估与修复5.3 备份与恢复5.3.1 数据备份策略5.3.2 灾难恢复计划6、风险通报与沟通6.1 内部风险通报6.1.1 内部风险报告机制6.1.2 内部风险沟通会议6.2 外部风险信息共享6.2.1 外部风险信息收集与分析6.2.2 合作伙伴与监管机构沟通附件:- 附件1:信息安全管理组织架构图- 附件2:风险评估工具使用指南法律名词及注释:1、信息安全:指对信息资源进行保护,确保其机密性、完整性和可用性的一系列措施和手段。
2、风险管理:指通过识别、评估和应对各类风险,以达到有效控制和降低风险水平的过程。
3、访问控制:指对系统资源的使用进行控制,确保只有经授权的用户、程序和进程能够访问资源。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引引言当前,信息技术在商业银行中的应用已经成为一个不可避免的趋势。
随着信息技术的广泛应用,商业银行信息系统也逐渐成为商业银行运营的核心系统。
信息系统的故障或者安全问题都将对银行业务的正常运转产生严重影响,甚至会威胁到商业银行的稳定和客户的资产安全。
因此,商业银行必须高度重视信息科技风险管理,制定并执行科学的风险管理政策和措施,全面加强信息科技风险的防范和控制,保障银行系统的正常运转和客户资产的安全。
一、商业银行信息科技风险管理的概念和意义商业银行信息科技风险管理是指商业银行对信息系统在建设、运行、维护中存在的各种风险进行预防、识别、评估、监控、控制和处理的过程。
包括各种技术性、管理性、组织性等原因导致的风险。
商业银行信息科技风险管理的意义在于,其可以保证银行系统的安全运行,防止因为信息技术问题而导致的不可预测的经济损失或者声誉损失,并且提高了银行运营的效率和客户满意度。
二、商业银行信息科技风险管理的基本原则1.全面风险管理商业银行信息科技风险管理必须全面、系统、科学,覆盖银行信息系统存在的所有风险和所有环节,从建设、运维、数据安全、人为操作等方面全面进行防范和控制。
2.风险评估与分类商业银行应该对系统中可能存在的风险进行评估,建立风险分类模型,并对不同等级的风险实施不同的管理控制措施。
例如,对高风险的风险点要进行重点防范和控制。
3.合理的防范和控制措施商业银行应该在原则上坚持从源头上预防风险,同时合理安排多重的防护和控制措施,做到及时发现并应对风险事件。
4.风险应急预案的制定商业银行应该针对系统存在的风险,制定相应的风险应急预案,以便在风险事件发生时可以快速、有效地控制和处理风险事件。
5.科学、全面的监控手段商业银行应该通过建立全面、科学的监控系统来及时发现和预防风险。
同时,应该制定合理的监控指标和阈值,建立预警机制,及时发现风险事件的动态变化,以便对其进行及时的调整和应对。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引在当今数字化时代,商业银行利用信息技术提供金融服务已成为常态。
然而,随之而来的是信息技术风险的增加,这对商业银行的稳健经营提出了挑战。
因此,科技风险管理成为商业银行重要的工作之一。
信息科技风险的特点信息科技风险是商业银行在信息化建设和运营过程中面临的一种特殊风险,具有以下几个特点:1.普遍性:信息科技风险涉及到商业银行每一个信息化环节,任何一个环节出现问题都可能造成严重后果。
2.多样性:信息科技风险种类繁多,包括网络安全风险、系统故障风险、信息泄露风险等。
3.迅速变化:随着技术的不断发展,信息科技风险也在不断变化,要求商业银行能随时应对新的风险挑战。
信息科技风险管理原则在信息科技风险管理中,商业银行需要遵循以下原则:1.风险管理全员参与原则:风险管理是全行员的责任,应该建立整体风险管理意识。
2.科学决策原则:决策应该建立在科学、客观的风险评估基础上,避免主观决策带来的隐患。
3.风险防范原则:预防胜于治疗,商业银行应该加强风险的预防意识,建立健全的风险防范机制。
4.持续改进原则:信息科技风险管理是一个不断完善的过程,需要持续改进管理措施,适应新的风险形势。
信息科技风险管理框架商业银行可以建立如下信息科技风险管理框架:1.风险识别与评估:商业银行应该对自身信息科技风险进行全面的识别与评估,包括对风险的来源、形式、影响等进行综合评估。
2.风险防范与控制:商业银行应该建立健全的信息科技风险防范机制,包括技术控制、管理控制等方面,减少风险造成的损失。
3.风险监控与报告:商业银行应该建立有效的风险监控机制,及时发现并报告风险情况,以便及时应对和处理。
4.应急响应与处置:商业银行应该建立完善的信息科技风险应急响应与处置机制,确保在发生风险时能够迅速应对并有效处置。
结语信息科技风险管理事关商业银行的安全稳健经营,商业银行应该高度重视信息科技风险管理工作,并按照规范的管理流程和原则进行落实。
商业银行信息科技风险管理指引—(正式版)
商业银行信息科技风险管理指引—(正式版) 商业银行信息科技风险管理指引正式版目录:第一章 \t引言\t\t1.1 背景\t\t1.2 目的和范围\t\t1.3 定义和缩写\t\t第二章 \t风险管理框架\t\t2.1 整体风险管理框架\t\t2.2 信息科技风险管理流程\t\t2.3 风险识别和评估\t\t\t2.3.1 内部控制要点\t\t\t2.3.2 外部环境因素\t\t\t2.3.3 风险识别和分级评估\t\t2.4 风险应对\t\t\t2.4.1 风险治理\t\t\t2.4.2 风险管理策略\t\t\t2.4.3 风险防范和控制\t\t\t2.4.4 风险监测和评价\t\t\t2.4.5 应急响应和恢复\t\t2.5 风险监管和报告\t\t第三章 \t信息科技风险管理要素\t\t3.1 组织结构和职责\t\t\t3.1.1 信息科技风险管理委员会\t \t\t3.1.2 风险管理部门\t\t\t3.1.3 内部稽核部门\t\t\t3.1.4 各业务部门\t\t3.2 信息科技风险管理框架\t\t\t3.2.1 风险管理政策和指导原则\t \t\t3.2.2 风险管理流程\t\t\t3.2.3 风险分类和评估\t\t\t3.2.4 风险应对和控制\t\t\t3.2.5 风险监测和报告\t\t3.3 信息科技风险管理工具\t \t\t3.3.1 风险管理信息系统\t \t\t3.3.2 风险评估和监测工具\t \t\t3.3.3 应急响应和恢复工具\t \t第四章 \t信息科技风险领域\t\t4.1 系统安全风险\t\t\t4.1.1 网络安全\t\t\t4.1.2 数据安全\t\t\t4.1.3 身份认证和访问控制\t \t4.2 业务连续性风险\t\t\t4.2.1 业务连续性规划\t\t\t4.2.2 冗余和备份机制\t\t\t4.2.3 业务恢复测试\t\t4.3 第三方风险\t\t\t4.3.1 第三方评估和监测\t \t\t4.3.2 合同和协议管理\t \t\t4.3.3 第三方准入控制\t \t4.4 IT项目风险管理\t\t\t4.4.1 项目风险评估\t\t\t4.4.2 项目管理流程\t\t\t4.4.3 项目监控和评估\t \t第五章 \t信息科技风险监管\t \t5.1 监管要求\t\t\t5.1.1 法律法规\t\t\t5.1.2 监管机构要求\t\t5.2 监管报告\t\t\t5.2.1 内部监测报告\t\t\t5.2.2 监管部门报告\t\t\t5.2.3 外部披露\t\t附件:附件1、信息科技风险评估工具附件3、第三方评估表格附件4、IT项目风险评估表格法律名词及注释:1.《商业银行法》商业银行法是指中国国家法律对商业银行的规范和管理的法律文件。
商业银行信息科技外包服务的风险管理与控制
商业银行信息科技外包服务的风险管理与控制随着信息技术的不断发展,商业银行也逐渐意识到信息技术在业务中扮演着重要的角色。
与此信息科技外包服务也成为了商业银行的重要选择之一。
信息科技外包服务可以帮助商业银行降低成本、提高效率、加强技术能力,但同时也带来了一定的风险。
商业银行在选择和管理信息科技外包服务时,需进行风险管理与控制,以确保信息技术的安全性和稳定性,保障银行的正常运营。
一、信息科技外包服务的风险1. 数据安全风险商业银行作为金融机构,涉及大量的客户信息和资金流动。
一旦发生数据泄露或数据造假等安全问题,将给银行和客户带来严重的损失,甚至影响整个金融系统的稳定。
在信息科技外包服务中,数据安全风险是一个极为关键的问题。
2. 服务稳定性风险商业银行的业务需要7*24小时不间断运行,一旦信息科技外包服务出现故障或服务不稳定,将直接影响银行的业务运作,给客户带来不便,严重时还可能导致金融风险。
3. 业务流程风险信息科技外包服务涉及到商业银行的业务流程,一旦外包服务商无法按照约定的流程和标准执行,将导致银行的业务受到影响,甚至出现混乱。
4. 法律合规风险在信息科技外包服务过程中,外包服务商需要处理银行的大量数据和信息,如不合规操作将可能违反相关法律法规,给银行带来法律风险。
1. 选择合适的外包服务商商业银行在选择信息科技外包服务时,需进行严格的筛选和评估,确保外包服务商具备良好的信誉和稳定的技术实力。
外包服务商应当拥有相关的安全认证和资质,能够满足银行的业务需求和安全要求。
2. 签订严格的合同商业银行和外包服务商在签订合需明确双方的责任和义务,包括数据安全、服务水平、业务流程、法律合规等方面的要求和规定。
合同中还应包括外包服务商的安全承诺和相应的违约责任,以提高合同的约束力。
3. 加强监管和审计商业银行需要建立专门的监管团队,对外包服务商进行定期的监督和审计,确保外包服务商的服务稳定性和合规性。
监管团队需要建立完善的监管制度和审计流程,及时发现和解决问题。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引信息科技对于商业银行的发展具有重要意义,然而,信息科技也带来了一系列的风险。
为了有效管理这些风险,商业银行需要制定相应的信息科技风险管理指引。
本文将讨论商业银行信息科技风险以及如何制定和执行信息科技风险管理指引。
1. 商业银行信息科技风险的特点商业银行信息科技风险主要包括数据安全风险、系统故障风险和技术变革风险等。
在数字化时代,大量客户数据储存在电子系统中,数据安全风险成为商业银行面临的主要挑战。
此外,系统故障或技术故障可能导致交易中断和服务中断。
技术的不断变革也给银行带来了风险,因为新技术的引入可能会导致新的安全漏洞或系统不稳定性。
2. 信息科技风险管理指引的重要性信息科技风险管理指引对于商业银行具有重要意义。
首先,它能够帮助银行识别和评估可能存在的风险,并制定相应的控制措施。
其次,信息科技风险管理指引能够规范银行的信息科技操作和管理流程,确保安全性和可靠性。
此外,指引的制定还能为银行员工提供科学、统一的工作流程,提高工作效率。
3. 商业银行信息科技风险管理指引的要素商业银行信息科技风险管理指引需要包括以下要素:3.1 风险评估和管理:指导银行对信息科技风险进行评估,并制定相应的风险管理计划。
银行应确保对重要风险进行全面、准确的评估,并实施合适的风险管理措施。
3.2 安全控制措施:明确银行信息科技操作的安全控制措施,包括身份验证、访问控制、加密技术等。
银行应设立专门的信息安全管理部门,负责安全策略的制定和执行。
3.3 突发事件应急处理:制定应对信息科技突发事件的应急处理措施,包括事前准备、事中处理和事后评估。
银行应建立紧急通讯机制和系统恢复机制,确保在突发事件发生时能够迅速作出应对。
3.4 员工培训和监督:确保银行员工具备必要的信息科技安全知识和技能。
银行应定期组织培训活动,提高员工的风险意识和技术能力。
同时,银行应建立监督机制,对员工的信息科技操作进行监控和检查。
商业银行的科技风险管理
在发现重大科技风险或突发事件时,及时提交临时报告。
报告审查
建立报告审查机制,对提交的报告进行审核,确保信息的准确性 和完整性。
风险报告内容与格式
风险描述
详细描述风险事件的性质、原 因、影响范围和潜在损失。
风险评估结果
包括风险等级、影响程度、可 能造成的损失等方面的评估结 果。
基本情况
包括风险事件的发生时间、地 点、涉及业务领域等基本信息 。
详细描述
2019年,某知名商业银行遭受了大规模的网络攻击,攻击者利用该银行内部系 统的安全漏洞,窃取了大量客户的个人信息和交易数据,给银行和客户造成了 重大损失。
案例二:数据泄露事件
总结词
数据泄露事件是指商业银行在处理客户信息时因管理不善或技术故障导致客户信 息外泄的风险。
详细描述
2020年,某商业银行因为系统故障导致客户信息泄露,涉及上百万客户的姓名、 身份证号、银行卡号等敏感信息,引起了社会广泛关注和监管部门的高度重视。
确定评估范围和对象
明确需要评估的科技系统和业务 流程,确定评估的重点和目标。
制定风险管理计划
根据风险评估结果和排序,制定 相应的风险管理计划,包括风险 预警、应急处置等方面的措施。
03
商业银行科技风险的防范与 控制
风险防范措施
建立完善的风险管理体系
提升技术防范能力
商业银行应建立健全的风险管理体系,明 确科技风险的管理目标、原则和流程,确 保科技风险得到有效控制。
风险识别方法
风险清单法
通过列举商业银行科技系统中可能存 在的风险点,形成风险清单,以便全 面了解和掌握潜在风险。
流程图法
通过对商业银行科技系统的业务流程 进行绘制和分析,找出可能存在的风 险环节和问题点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行信息科技风险管理解决方案本帖最后由 infosec123 于 2009-9-23 17:16 编辑背景为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。
该指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。
现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。
目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。
需求分析合规性需求:近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。
其中与银行业信息科技风险相关的法律、法规与行业监管指引有:2002年,美国国会发布了SOX《萨班斯[url=;2004年9月30日,中国银监会发布了[url=;2006年,银监会发布《电子银行安全评估指引》、《[url=;2006年6月,国务院国资委出台了《中央企业全面风险管理指引》;2007年,公安部明确了《信息系统等级保护基本要求与实施指南》;2009年3月,银监会发布《商业银行信息科技风险管理指引》;谷安天下依据信息科技风险管理体系,从整体上分为IT治理、IT管理、IT控制与审计三个方面,并在此基础上结合多年的行业咨询经验,陆续开发了IT风险管理咨询服务与IT风险管控系列软件系统。
信息安全风险管理需求银行业随着信息化工作的不断深入,信息系统的开发、维护与运行均面临较大的挑战,如何保障业务的持续运营,如何支撑银行各项业务的风险管理,如何保障客户与自身信息的安全,成为各商业银行信息科技部门与风险管理部门的重要任务,因此信息科技风险的管理就显得迫在眉睫。
商业银行针对信息科技风险需要审视:• 是否对所有潜在的重大IT风险都进行了识别、评估和管理?• 面对数量众多的IT风险,应如何对其进行管理?• 如何在全行范围内推行全面IT风险管理?• 如何将IT风险管理体制与企业日常IT管理和运营相融合?• IT风险管理的角色、责任和义务是否合理或明确?• 如何增强风险意识,培育风险管理文化?《信息科技风险管理指引》解析本次颁布的《商业银行信息科技风险管理指引》共十一章七十六条,涵盖了信息科技风险管理的各个领域,同时针对银行现有的组织架构,对各部门也明确提出了风险管理的要求,下文将就主要条款做一个深入的解析。
第一章总则,明确了指引的目标和适用范围,指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理,明确提出了信息科技治理的概念,明确了信息科技风险管理的责任人,董事会的相关职责,并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。
此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责,互相协作共同完善信息科技风险管理的架构。
第三章信息科技风险管理,明确要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,制定全面的信息科技风险管理策略,建立持续的信息科技风险计量和监测机制。
本章是从信息科技风险管理部门的角度,提出商业银行信息科技风险管理的事前控制(第一道防线)。
第四章信息安全,明确要求信息科技部门负责落实信息安全管理职能,负责建立和实施信息分类和保护体系,通过建立有效管理用户认证和访问控制的流程保障业务安全,通过设立物理安全保护区域保障物理安全,通过将网络划分为不同的逻辑安全域保障网络安全,通过操作系统和系统软件的安全控制保障系统安全,同时加强信息系统、终端设备、传输控制、信息保护等方面的安全,并对员工进行持续培训,通过建立信息安全体系,全面控制信息安全方面风险,此章是参考了国内外信息安全最佳实践(ISO27000与等级保护),针对信息科技部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第五章系统开发、测试与维护,明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,采取适当的项目管理方法,控制信息科技项目相关的风险。
采取适当的系统开发方法,控制信息系统的生命周期。
应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求。
此章是针对软件开发与项目实施部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第六章信息科技运行,明确了商业银行数据中心物理环境要求、人员岗位职责要求,并要求商业银行制定详尽的信息科技运行操作说明,建立事故管理及处置机制及时响应信息系统运行事故,建立服务水平管理相关的制度和流程,建立连续监控信息系统性能的相关程序,制定容量规划应及时进行维护和适当的系统升级,制定有效的变更管理流程以确保生产环境的完整性和可靠性等。
此章主要参考了ITIL最佳实践,针对数据中心与运行部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第七章业务连续性管理,明确要求商业银行根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。
此章主要参考了BCP最佳实践,针对业务运营部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第八章外包管理,明确商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职能的履行,针对外包方选择、外包谈判、外包协议,外包执行中的信息安全等方面提出了明确要求,此章是针对商业银行各部门的外包合作,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第九章内部审计,明确商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。
至少应每三年进行一次全面审计。
在进行大规模系统开发时,要求信息科技风险管理部门和内部审计部门参与,进行专项审计等。
此章主要针对内部审计部门职责,提出信息科技风险管理的事后控制(第三道防线)的重要组成部分。
第十章外部审计,明确商业银行在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
此章主要从外部审计角度,提出信息科技风险管理的事后控制(第三道防线)的重要组成部分。
通过指引解析,我们可以看出,指引的编写借鉴了Cobit、ISO27001、ITIL、CMM、BCP等国内外的最佳实践,为商业银行的信息科技风险管理指明了方向。
同时,本指引从商业银行信息科技相关的每一个主要部门的角度出发,分别提出具体的监管要求,从而使得本指引具备非常强的可操作性。
解决方案建立适合商业银行的IT风险管理框架谷安天下依据IT风险管理原则与IT风险管理生命周期方法论,综合通过差距风险获得的具体需求,设计、规划IT风险管理的目标框架,指导IT风险管理机制与体制建设。
组织体系建设建立IT风险管理组织,采用条线与层级相结合的矩阵式管理模式;建立常设IT风险管理的专业团队,采用虚拟团队的方式向全行提供IT风险管理专业服务;并设立必要的实体化专业支撑中心。
管理流程制定融合IT风险管理生命周期与主要IT流程,针对IT操作风险与信息安全风险,建立总体与具体两个层面的风险管理流程,明确各层面IT风险评估流程的触发机制,将风险与安全管理工作制度化、日常化,确保其有效执行。
控制体系建立根据风险评估结果、IT风险管理原则及控制策略设计控制措施,通过完善的IT风险制度体系加以明确,并通过风险监测与再评估实现对IT风险控制的持续改进。
技术架构完善完善信息安全规划的基础设施/技术架构,设计IT风险管理技术架构,并推动安全信息管理技术平台的建设以及推广。
通过IT风险管理框架,商业银行可以:形成3道防线◆第一道防线:由策略保障体系、组织保障体系、技术保障体系构成完备的信息科技风险管理体制与基础安全控制设施,形成事前防范的第一道防线,为业务运行安全打下良好的基础。
◆第二道防线:由运行保障体系构成事中控制的第二道防线。
通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患,确保业务系统持续、可靠地运行。
◆第三道防线:由应用恢复保障体系与内外部审计构成事后控制的第三道防线。
针对各种突发灾难事件,建立灾难恢复与业务持续性计划,进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。
通过内外部审计,保障IT风险管控体系的有效运行。
利用2种风险控制手段◆事件识别—为获得组织的第一手的风险资料,需要对IT风险事件进行分类,建立IT风险事件的管理组织与流程,制定风险事件响应机制。
事件的收集与分析也可用于预测未来发生系统故障的可能性,及时采取必要的控制控制。
◆风险管理—风险管理包括风险评估与风险控制,风险评估是指从风险管理角度,运用科学的方法和手段,系统地分析信息与信息系统所面临的威胁及其存在的脆弱性,评估风险事件一旦发生可能造成的危害程度;风险控制是对已经评估出来的风险要进行风险控制措施的规划与实施,以建立有效的IT风险控制及日常运作机制,把IT风险降到组织可以接受的水平。
利用2种监督措施◆风险检查—安全检查工作一般由风险管理部门和信息安全管理部门来负责实施,经常性的检查,有利于落实信息风险管理的方针与策略,及时发现在技术、人员及流程方面存在的风险隐患,也有利于提高员工安全意识,保证业务的持续运行。