商业银行信息科技风险管理解决方案
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引商业银行信息科技风险管理指引1.引言1.1 目的1.2 背景1.3 范围1.4 参考文献2.概述2.1 风险管理定义2.2 信息科技风险管理的重要性2.3 信息科技风险管理的目标3.风险识别与评估3.1 风险识别的方法3.2 风险评估的过程3.3 风险评估的工具和技术3.4 风险评估的结果4.风险监测与控制4.1 风险监测的目标4.2 风险监测的方法4.3 风险控制的原则4.4 风险控制的措施5.风险应对与应急5.1 应对风险的策略5.2 应急响应的准备工作5.3 应急响应的流程5.4 应急响应的演练6.风险监督与纠正6.1 风险监督的目的6.2 风险监督的方法6.3 风险纠正的流程6.4 风险纠正的效果评估7.信息科技风险管理的组织架构7.1 职责分工7.2 相关部门的合作与协调7.3 资源投入与调配8.员工培训与意识8.1 培训计划与内容8.2 培训方式与工具8.3 培训效果的评估8.4 员工风险意识的培养附件:附件1:风险识别与评估工具使用手册附件2:风险监测与控制流程图附件4:风险监督与纠正报告示例法律名词及注释:1.信息安全法:指中华人民共和国国家安全法。
2.数据隐私法:指中华人民共和国网络安全法。
3.商业秘密:指商业银行合法拥有的,不为公众所知悉,对其在国际市场竞争中具有实质性意义并且其合法权益得以保护的商业信息。
4.个人信息:指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份的各种信息。
5.技术风险:指因信息技术的发展和应用而引起的可能对商业银行信息系统和信息技术基础设施以及信息资源等造成损失的各类风险。
商业银行信息科技治理制度
商业银行信息科技治理制度商业银行信息科技治理制度第一章总则为规范商业银行(以下简称本行)的信息科技治理,提升信息科技工作和风险管理水平,根据《商业银行信息科技风险管理指引》(XXX〔2009〕19号)及有关文件,制定本制度。
本制度所称信息科技治理是指本行在运用信息技术过程中,为实现信息科技工作既定目标所做出的制度安排,包括组织架构、技术架构、运行机制和激励约束等。
本行信息科技治理的目标是健全信息科技治理组织和技术架构,明确决策和管理职责,优化资源配置,有效控制信息科技风险,确保信息科技战略与业务发展目标相适应,增强核心竞争力和可持续发展能力。
第二章组织架构信息科技治理组织架构:本行建立从董事会、高级管理层,到委员会、领导小组,直至相关部门的信息科技治理组织架构。
本行建立信息科技管理委员会,下设信息安全及其他信息科技具体工作领导小组。
本行建立业务连续性管理委员会,下设信息科技及其他条线的突发事件应急处置领导小组。
本行建立由信息科技部门、风险管理部门以及审计部门构成的信息科技风险三道防线结构。
第三章组织职责董事会是本单位信息科技治理的最高决策机构。
董事会审议批准信息科技工作年度报告,由信息科技管理委员会组织编制,内容包括但不限于治理架构建设、战略规划制定、科技预算和投资等。
董事会审议批准信息科技风险管理年度报告,由业务连续性管理委员会组织编制,内容包括但不限于信息科技风险总体情况、业务连续性管理和外包风险管理等。
董事会每年听取内部审计部门独立有效的信息科技工作及风险管理工作审计报告,要对报告给予确认并落实整改。
董事会授权业务连续性管理委员会及其下设的信息科技应急处置领导小组,根据行业管理机构要求,迅速处置并及时报告信息科技重大突发事件。
或指定人员。
2.成员:信息科技部门负责人、风险管理部门负责人、审计部门负责人等相关部门负责人。
3.外部顾问:可聘请信息安全领域专业人士担任顾问。
二)职责1.制定并正式发布信息安全管理制度,明确信息安全管理的组织架构、责任制、管理流程和控制措施等内容。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引商业银行信息科技风险管理指引1、引言1.1 目的1.2 范围1.3 定义2、风险管理框架2.1 风险识别和评估2.1.1 信息系统漏洞评估2.1.2 安全事件监测和响应2.2 风险治理与策略2.2.1 监督与审查机制2.2.2 风险管理策略的制定与更新2.3 风险控制与监测2.3.1 访问控制管理2.3.2 风险评估与监测工具2.4 风险通报与沟通2.4.1 内部风险通报机制2.4.2 外部风险信息共享3、风险识别与评估3.1 业务风险3.1.1 客户信息安全风险3.1.2 交易运营风险3.2 技术风险3.2.1 网络安全风险3.2.2 数据管理风险3.3 外部环境风险3.3.1 法律法规风险3.3.2 自然灾害风险4、风险治理与策略4.1 信息安全组织与责任4.1.1 信息安全管理组织架构 4.1.2 信息安全责任分工4.2 风险管理策略4.2.1 信息安全目标与指标 4.2.2 风险管理流程4.3 内部控制与合规要求4.3.1 内部控制流程与制度4.3.2 合规性要求与监督5、风险控制与监测5.1 访问控制与身份认证5.1.1 用户权限管理5.1.2 口令与密钥管理5.2 安全事件与漏洞监测5.2.1 安全事件响应流程 5.2.2 漏洞评估与修复5.3 备份与恢复5.3.1 数据备份策略5.3.2 灾难恢复计划6、风险通报与沟通6.1 内部风险通报6.1.1 内部风险报告机制6.1.2 内部风险沟通会议6.2 外部风险信息共享6.2.1 外部风险信息收集与分析6.2.2 合作伙伴与监管机构沟通附件:- 附件1:信息安全管理组织架构图- 附件2:风险评估工具使用指南法律名词及注释:1、信息安全:指对信息资源进行保护,确保其机密性、完整性和可用性的一系列措施和手段。
2、风险管理:指通过识别、评估和应对各类风险,以达到有效控制和降低风险水平的过程。
3、访问控制:指对系统资源的使用进行控制,确保只有经授权的用户、程序和进程能够访问资源。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引引言当前,信息技术在商业银行中的应用已经成为一个不可避免的趋势。
随着信息技术的广泛应用,商业银行信息系统也逐渐成为商业银行运营的核心系统。
信息系统的故障或者安全问题都将对银行业务的正常运转产生严重影响,甚至会威胁到商业银行的稳定和客户的资产安全。
因此,商业银行必须高度重视信息科技风险管理,制定并执行科学的风险管理政策和措施,全面加强信息科技风险的防范和控制,保障银行系统的正常运转和客户资产的安全。
一、商业银行信息科技风险管理的概念和意义商业银行信息科技风险管理是指商业银行对信息系统在建设、运行、维护中存在的各种风险进行预防、识别、评估、监控、控制和处理的过程。
包括各种技术性、管理性、组织性等原因导致的风险。
商业银行信息科技风险管理的意义在于,其可以保证银行系统的安全运行,防止因为信息技术问题而导致的不可预测的经济损失或者声誉损失,并且提高了银行运营的效率和客户满意度。
二、商业银行信息科技风险管理的基本原则1.全面风险管理商业银行信息科技风险管理必须全面、系统、科学,覆盖银行信息系统存在的所有风险和所有环节,从建设、运维、数据安全、人为操作等方面全面进行防范和控制。
2.风险评估与分类商业银行应该对系统中可能存在的风险进行评估,建立风险分类模型,并对不同等级的风险实施不同的管理控制措施。
例如,对高风险的风险点要进行重点防范和控制。
3.合理的防范和控制措施商业银行应该在原则上坚持从源头上预防风险,同时合理安排多重的防护和控制措施,做到及时发现并应对风险事件。
4.风险应急预案的制定商业银行应该针对系统存在的风险,制定相应的风险应急预案,以便在风险事件发生时可以快速、有效地控制和处理风险事件。
5.科学、全面的监控手段商业银行应该通过建立全面、科学的监控系统来及时发现和预防风险。
同时,应该制定合理的监控指标和阈值,建立预警机制,及时发现风险事件的动态变化,以便对其进行及时的调整和应对。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引在当今数字化时代,商业银行利用信息技术提供金融服务已成为常态。
然而,随之而来的是信息技术风险的增加,这对商业银行的稳健经营提出了挑战。
因此,科技风险管理成为商业银行重要的工作之一。
信息科技风险的特点信息科技风险是商业银行在信息化建设和运营过程中面临的一种特殊风险,具有以下几个特点:1.普遍性:信息科技风险涉及到商业银行每一个信息化环节,任何一个环节出现问题都可能造成严重后果。
2.多样性:信息科技风险种类繁多,包括网络安全风险、系统故障风险、信息泄露风险等。
3.迅速变化:随着技术的不断发展,信息科技风险也在不断变化,要求商业银行能随时应对新的风险挑战。
信息科技风险管理原则在信息科技风险管理中,商业银行需要遵循以下原则:1.风险管理全员参与原则:风险管理是全行员的责任,应该建立整体风险管理意识。
2.科学决策原则:决策应该建立在科学、客观的风险评估基础上,避免主观决策带来的隐患。
3.风险防范原则:预防胜于治疗,商业银行应该加强风险的预防意识,建立健全的风险防范机制。
4.持续改进原则:信息科技风险管理是一个不断完善的过程,需要持续改进管理措施,适应新的风险形势。
信息科技风险管理框架商业银行可以建立如下信息科技风险管理框架:1.风险识别与评估:商业银行应该对自身信息科技风险进行全面的识别与评估,包括对风险的来源、形式、影响等进行综合评估。
2.风险防范与控制:商业银行应该建立健全的信息科技风险防范机制,包括技术控制、管理控制等方面,减少风险造成的损失。
3.风险监控与报告:商业银行应该建立有效的风险监控机制,及时发现并报告风险情况,以便及时应对和处理。
4.应急响应与处置:商业银行应该建立完善的信息科技风险应急响应与处置机制,确保在发生风险时能够迅速应对并有效处置。
结语信息科技风险管理事关商业银行的安全稳健经营,商业银行应该高度重视信息科技风险管理工作,并按照规范的管理流程和原则进行落实。
商业银行信息科技风险管理指引—(正式版)
商业银行信息科技风险管理指引—(正式版) 商业银行信息科技风险管理指引正式版目录:第一章 \t引言\t\t1.1 背景\t\t1.2 目的和范围\t\t1.3 定义和缩写\t\t第二章 \t风险管理框架\t\t2.1 整体风险管理框架\t\t2.2 信息科技风险管理流程\t\t2.3 风险识别和评估\t\t\t2.3.1 内部控制要点\t\t\t2.3.2 外部环境因素\t\t\t2.3.3 风险识别和分级评估\t\t2.4 风险应对\t\t\t2.4.1 风险治理\t\t\t2.4.2 风险管理策略\t\t\t2.4.3 风险防范和控制\t\t\t2.4.4 风险监测和评价\t\t\t2.4.5 应急响应和恢复\t\t2.5 风险监管和报告\t\t第三章 \t信息科技风险管理要素\t\t3.1 组织结构和职责\t\t\t3.1.1 信息科技风险管理委员会\t \t\t3.1.2 风险管理部门\t\t\t3.1.3 内部稽核部门\t\t\t3.1.4 各业务部门\t\t3.2 信息科技风险管理框架\t\t\t3.2.1 风险管理政策和指导原则\t \t\t3.2.2 风险管理流程\t\t\t3.2.3 风险分类和评估\t\t\t3.2.4 风险应对和控制\t\t\t3.2.5 风险监测和报告\t\t3.3 信息科技风险管理工具\t \t\t3.3.1 风险管理信息系统\t \t\t3.3.2 风险评估和监测工具\t \t\t3.3.3 应急响应和恢复工具\t \t第四章 \t信息科技风险领域\t\t4.1 系统安全风险\t\t\t4.1.1 网络安全\t\t\t4.1.2 数据安全\t\t\t4.1.3 身份认证和访问控制\t \t4.2 业务连续性风险\t\t\t4.2.1 业务连续性规划\t\t\t4.2.2 冗余和备份机制\t\t\t4.2.3 业务恢复测试\t\t4.3 第三方风险\t\t\t4.3.1 第三方评估和监测\t \t\t4.3.2 合同和协议管理\t \t\t4.3.3 第三方准入控制\t \t4.4 IT项目风险管理\t\t\t4.4.1 项目风险评估\t\t\t4.4.2 项目管理流程\t\t\t4.4.3 项目监控和评估\t \t第五章 \t信息科技风险监管\t \t5.1 监管要求\t\t\t5.1.1 法律法规\t\t\t5.1.2 监管机构要求\t\t5.2 监管报告\t\t\t5.2.1 内部监测报告\t\t\t5.2.2 监管部门报告\t\t\t5.2.3 外部披露\t\t附件:附件1、信息科技风险评估工具附件3、第三方评估表格附件4、IT项目风险评估表格法律名词及注释:1.《商业银行法》商业银行法是指中国国家法律对商业银行的规范和管理的法律文件。
XX银行信息科技风险管理办法
第一章总则为建立健全信息科技风险管理体系,防范信息科技风险,提高信息科技风险管理水平,根据《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》、《银行业金融机构信息科技外包风险管理指引》等法律法规和监管要求,结合本行实际,制定本办法。
术语释义(一)信息科技。
系指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,包括进行信息科技管理,建立完整的管理组织架构,制定完善的管理制度和流程等。
(二) 信息科技风险。
系指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷等产生的操作、法律和声誉等风险。
(三) 信息科技风险管理。
系指通过建立信息科技风险的识别、评估、应对、监测和持续改进的方法和流程,实施具体的风险管控措施,将信息科技风险降低或者控制在适当水平,增强银行核心竞争力和可持续发展能力。
管理原则(一) 协调统一原则。
本行信息科技风险管理充分考虑管理目标与业务发展、成本与效益之间的关系,协调统一确定全行信息科技风险管理策略。
(二)全面覆盖原则。
信息科技风险覆盖到全行各条线、部门、岗位、人员和业务环节,本行全体人员均是信息安全和风险防范工作的参预者和责任人。
(三) 预防优先原则。
本行信息科技风险管理秉承事前预防重于事后控制、日常防控重于应急处理的原则,注重信息科技风险管理工作的主动性与前瞻性,降低风险发生的可能性。
(四)动态管理原则。
根据外部监管要求,本行业务及信息科技发展情况,在发展过程中动态调整、持续优化信息科技风险管理策略和工作机制。
合用范围。
本办法合用于本行各级机构、部门、岗位人员及业务环节。
第二章职责分工本行董事会是本行信息科技风险管理的最高决策机构。
其中,董事会风险管理委员会负责落实董事会信息科技风险管理职责,稽核部负责落实董事会审计监督职责。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引信息科技对于商业银行的发展具有重要意义,然而,信息科技也带来了一系列的风险。
为了有效管理这些风险,商业银行需要制定相应的信息科技风险管理指引。
本文将讨论商业银行信息科技风险以及如何制定和执行信息科技风险管理指引。
1. 商业银行信息科技风险的特点商业银行信息科技风险主要包括数据安全风险、系统故障风险和技术变革风险等。
在数字化时代,大量客户数据储存在电子系统中,数据安全风险成为商业银行面临的主要挑战。
此外,系统故障或技术故障可能导致交易中断和服务中断。
技术的不断变革也给银行带来了风险,因为新技术的引入可能会导致新的安全漏洞或系统不稳定性。
2. 信息科技风险管理指引的重要性信息科技风险管理指引对于商业银行具有重要意义。
首先,它能够帮助银行识别和评估可能存在的风险,并制定相应的控制措施。
其次,信息科技风险管理指引能够规范银行的信息科技操作和管理流程,确保安全性和可靠性。
此外,指引的制定还能为银行员工提供科学、统一的工作流程,提高工作效率。
3. 商业银行信息科技风险管理指引的要素商业银行信息科技风险管理指引需要包括以下要素:3.1 风险评估和管理:指导银行对信息科技风险进行评估,并制定相应的风险管理计划。
银行应确保对重要风险进行全面、准确的评估,并实施合适的风险管理措施。
3.2 安全控制措施:明确银行信息科技操作的安全控制措施,包括身份验证、访问控制、加密技术等。
银行应设立专门的信息安全管理部门,负责安全策略的制定和执行。
3.3 突发事件应急处理:制定应对信息科技突发事件的应急处理措施,包括事前准备、事中处理和事后评估。
银行应建立紧急通讯机制和系统恢复机制,确保在突发事件发生时能够迅速作出应对。
3.4 员工培训和监督:确保银行员工具备必要的信息科技安全知识和技能。
银行应定期组织培训活动,提高员工的风险意识和技术能力。
同时,银行应建立监督机制,对员工的信息科技操作进行监控和检查。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行信息科技风险管理解决方案本帖最后由 infosec123 于 2009-9-23 17:16 编辑背景为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。
该指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。
现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。
目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。
需求分析合规性需求:近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。
其中与银行业信息科技风险相关的法律、法规与行业监管指引有:2002年,美国国会发布了SOX《萨班斯[url=;2004年9月30日,中国银监会发布了[url=;2006年,银监会发布《电子银行安全评估指引》、《[url=;2006年6月,国务院国资委出台了《中央企业全面风险管理指引》;2007年,公安部明确了《信息系统等级保护基本要求与实施指南》;2009年3月,银监会发布《商业银行信息科技风险管理指引》;谷安天下依据信息科技风险管理体系,从整体上分为IT治理、IT管理、IT控制与审计三个方面,并在此基础上结合多年的行业咨询经验,陆续开发了IT风险管理咨询服务与IT风险管控系列软件系统。
信息安全风险管理需求银行业随着信息化工作的不断深入,信息系统的开发、维护与运行均面临较大的挑战,如何保障业务的持续运营,如何支撑银行各项业务的风险管理,如何保障客户与自身信息的安全,成为各商业银行信息科技部门与风险管理部门的重要任务,因此信息科技风险的管理就显得迫在眉睫。
商业银行针对信息科技风险需要审视:• 是否对所有潜在的重大IT风险都进行了识别、评估和管理?• 面对数量众多的IT风险,应如何对其进行管理?• 如何在全行范围内推行全面IT风险管理?• 如何将IT风险管理体制与企业日常IT管理和运营相融合?• IT风险管理的角色、责任和义务是否合理或明确?• 如何增强风险意识,培育风险管理文化?《信息科技风险管理指引》解析本次颁布的《商业银行信息科技风险管理指引》共十一章七十六条,涵盖了信息科技风险管理的各个领域,同时针对银行现有的组织架构,对各部门也明确提出了风险管理的要求,下文将就主要条款做一个深入的解析。
第一章总则,明确了指引的目标和适用范围,指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理,明确提出了信息科技治理的概念,明确了信息科技风险管理的责任人,董事会的相关职责,并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。
此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责,互相协作共同完善信息科技风险管理的架构。
第三章信息科技风险管理,明确要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,制定全面的信息科技风险管理策略,建立持续的信息科技风险计量和监测机制。
本章是从信息科技风险管理部门的角度,提出商业银行信息科技风险管理的事前控制(第一道防线)。
第四章信息安全,明确要求信息科技部门负责落实信息安全管理职能,负责建立和实施信息分类和保护体系,通过建立有效管理用户认证和访问控制的流程保障业务安全,通过设立物理安全保护区域保障物理安全,通过将网络划分为不同的逻辑安全域保障网络安全,通过操作系统和系统软件的安全控制保障系统安全,同时加强信息系统、终端设备、传输控制、信息保护等方面的安全,并对员工进行持续培训,通过建立信息安全体系,全面控制信息安全方面风险,此章是参考了国内外信息安全最佳实践(ISO27000与等级保护),针对信息科技部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第五章系统开发、测试与维护,明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,采取适当的项目管理方法,控制信息科技项目相关的风险。
采取适当的系统开发方法,控制信息系统的生命周期。
应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求。
此章是针对软件开发与项目实施部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第六章信息科技运行,明确了商业银行数据中心物理环境要求、人员岗位职责要求,并要求商业银行制定详尽的信息科技运行操作说明,建立事故管理及处置机制及时响应信息系统运行事故,建立服务水平管理相关的制度和流程,建立连续监控信息系统性能的相关程序,制定容量规划应及时进行维护和适当的系统升级,制定有效的变更管理流程以确保生产环境的完整性和可靠性等。
此章主要参考了ITIL最佳实践,针对数据中心与运行部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第七章业务连续性管理,明确要求商业银行根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。
此章主要参考了BCP最佳实践,针对业务运营部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第八章外包管理,明确商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职能的履行,针对外包方选择、外包谈判、外包协议,外包执行中的信息安全等方面提出了明确要求,此章是针对商业银行各部门的外包合作,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第九章内部审计,明确商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。
至少应每三年进行一次全面审计。
在进行大规模系统开发时,要求信息科技风险管理部门和内部审计部门参与,进行专项审计等。
此章主要针对内部审计部门职责,提出信息科技风险管理的事后控制(第三道防线)的重要组成部分。
第十章外部审计,明确商业银行在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
此章主要从外部审计角度,提出信息科技风险管理的事后控制(第三道防线)的重要组成部分。
通过指引解析,我们可以看出,指引的编写借鉴了Cobit、ISO27001、ITIL、CMM、BCP等国内外的最佳实践,为商业银行的信息科技风险管理指明了方向。
同时,本指引从商业银行信息科技相关的每一个主要部门的角度出发,分别提出具体的监管要求,从而使得本指引具备非常强的可操作性。
解决方案建立适合商业银行的IT风险管理框架谷安天下依据IT风险管理原则与IT风险管理生命周期方法论,综合通过差距风险获得的具体需求,设计、规划IT风险管理的目标框架,指导IT风险管理机制与体制建设。
组织体系建设建立IT风险管理组织,采用条线与层级相结合的矩阵式管理模式;建立常设IT风险管理的专业团队,采用虚拟团队的方式向全行提供IT风险管理专业服务;并设立必要的实体化专业支撑中心。
管理流程制定融合IT风险管理生命周期与主要IT流程,针对IT操作风险与信息安全风险,建立总体与具体两个层面的风险管理流程,明确各层面IT风险评估流程的触发机制,将风险与安全管理工作制度化、日常化,确保其有效执行。
控制体系建立根据风险评估结果、IT风险管理原则及控制策略设计控制措施,通过完善的IT风险制度体系加以明确,并通过风险监测与再评估实现对IT风险控制的持续改进。
技术架构完善完善信息安全规划的基础设施/技术架构,设计IT风险管理技术架构,并推动安全信息管理技术平台的建设以及推广。
通过IT风险管理框架,商业银行可以:形成3道防线◆第一道防线:由策略保障体系、组织保障体系、技术保障体系构成完备的信息科技风险管理体制与基础安全控制设施,形成事前防范的第一道防线,为业务运行安全打下良好的基础。
◆第二道防线:由运行保障体系构成事中控制的第二道防线。
通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患,确保业务系统持续、可靠地运行。
◆第三道防线:由应用恢复保障体系与内外部审计构成事后控制的第三道防线。
针对各种突发灾难事件,建立灾难恢复与业务持续性计划,进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。
通过内外部审计,保障IT风险管控体系的有效运行。
利用2种风险控制手段◆事件识别—为获得组织的第一手的风险资料,需要对IT风险事件进行分类,建立IT风险事件的管理组织与流程,制定风险事件响应机制。
事件的收集与分析也可用于预测未来发生系统故障的可能性,及时采取必要的控制控制。
◆风险管理—风险管理包括风险评估与风险控制,风险评估是指从风险管理角度,运用科学的方法和手段,系统地分析信息与信息系统所面临的威胁及其存在的脆弱性,评估风险事件一旦发生可能造成的危害程度;风险控制是对已经评估出来的风险要进行风险控制措施的规划与实施,以建立有效的IT风险控制及日常运作机制,把IT风险降到组织可以接受的水平。
利用2种监督措施◆风险检查—安全检查工作一般由风险管理部门和信息安全管理部门来负责实施,经常性的检查,有利于落实信息风险管理的方针与策略,及时发现在技术、人员及流程方面存在的风险隐患,也有利于提高员工安全意识,保证业务的持续运行。