商业银行信息科技风险管理解决方案
商业银行信息科技风险管理理论、方法及技术研究
商业银行信息科技风险管理理论、方法及技术研究作为信息科技引入最早、应用最广的行业之一,我国银行业在业务处理、客户服务、产品创新、管理决策等领域对信息科技的依赖呈现出越来越深入的特点。
近年来,信息科技已经成为银行实现战略目标和日常业务运营最重要的基础平台,也发展成为客户服务、业务管理方面的一项核心竞争力。
但信息科技在给银行带来各种竞争优势和效益的同时,也给银行带来了信息科技风险。
一、银行信息科技风险管理面临的挑战为了应对日益突出的信息科技风险,越来越多的银行开始重视信息科技风险的管理,并开始进行相关探索。
当前我国多数银行已经将信息科技风险管理作为高级管理层的一项重要工作,建立了覆盖全面信息科技风险领域的管理框架,组建了独立的管理部门和相关机制。
但我们必须意识到这些探索距离有效的风险管理要求尚存在明显差距,尤其以下几方面内容值得特别关注:1.银行缺少信息科技风险管理框架我国很少有银行能够进行主动的信息科技风险管理工作,缺乏能够与银行业特点密切结合的风险管理理论和框架是造成该现状的主要原因。
2.信息科技风险管理手段欠缺我国银行在应对信息科技风险过程中,缺乏对于关键风险指标、风险控制自评估、风险清单、事件收集和分析工具、信息科技风险诊断工具等先进管理工具和手段的了解和应用。
3.信息科技风险管理制度、流程不足我国不少银行尚未建立起与较为完善的信息科技管理制度对应的科技风险管理制度和流程,部分已经制定的信息科技风险管理制度和流程在完整性上亦存在不足。
4.科技风险管理机制尚待完善我国银行业在信息科技风险方面缺乏有效的管理机制。
少数银行即使已经建立针对信息科技风险管理的专门组织机构,也由于资源投入及管理意识等方面的限制,缺乏清晰的岗位角色、有效的汇报和沟通机制等,使得信息科技风险管理形同虚设,其参与银行战略和决策制定的程度明显不足。
上述信息科技风险管理面临的挑战都凸显了一个事实:我国银行需要加快在信息科技风险管理方面的努力和探索,通过对先进技术手段、最佳实践的多方尝试,结合前沿管理工具的运用,寻求出一套适合银行的有效的信息科技风险管理体系。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引引言当前,信息技术在商业银行中的应用已经成为一个不可避免的趋势。
随着信息技术的广泛应用,商业银行信息系统也逐渐成为商业银行运营的核心系统。
信息系统的故障或者安全问题都将对银行业务的正常运转产生严重影响,甚至会威胁到商业银行的稳定和客户的资产安全。
因此,商业银行必须高度重视信息科技风险管理,制定并执行科学的风险管理政策和措施,全面加强信息科技风险的防范和控制,保障银行系统的正常运转和客户资产的安全。
一、商业银行信息科技风险管理的概念和意义商业银行信息科技风险管理是指商业银行对信息系统在建设、运行、维护中存在的各种风险进行预防、识别、评估、监控、控制和处理的过程。
包括各种技术性、管理性、组织性等原因导致的风险。
商业银行信息科技风险管理的意义在于,其可以保证银行系统的安全运行,防止因为信息技术问题而导致的不可预测的经济损失或者声誉损失,并且提高了银行运营的效率和客户满意度。
二、商业银行信息科技风险管理的基本原则1.全面风险管理商业银行信息科技风险管理必须全面、系统、科学,覆盖银行信息系统存在的所有风险和所有环节,从建设、运维、数据安全、人为操作等方面全面进行防范和控制。
2.风险评估与分类商业银行应该对系统中可能存在的风险进行评估,建立风险分类模型,并对不同等级的风险实施不同的管理控制措施。
例如,对高风险的风险点要进行重点防范和控制。
3.合理的防范和控制措施商业银行应该在原则上坚持从源头上预防风险,同时合理安排多重的防护和控制措施,做到及时发现并应对风险事件。
4.风险应急预案的制定商业银行应该针对系统存在的风险,制定相应的风险应急预案,以便在风险事件发生时可以快速、有效地控制和处理风险事件。
5.科学、全面的监控手段商业银行应该通过建立全面、科学的监控系统来及时发现和预防风险。
同时,应该制定合理的监控指标和阈值,建立预警机制,及时发现风险事件的动态变化,以便对其进行及时的调整和应对。
银行科技风险工作计划
银行科技风险工作计划
年初工作计划:
1. 完善银行科技风险管理制度,确保相关政策、规定和流程的完善性和适用性。
2. 梳理银行科技风险管理过程,对各类风险进行细致分析,制定相应的风险防范和控制策略。
3. 提升人员技能和知识水平,加强员工的培训和能力建设,提高专业技术水平和应对风险的能力。
4. 加强信息系统安全管理,提升系统的防护能力和安全性,确保银行科技的稳定和可靠。
5. 加强对外部环境的监测和趋势分析,及时了解行业动态和发展趋势,为风险管理提供依据和支持。
6. 完善灾备体系和应急预案,加强对重大风险事故的预警和应对能力,确保业务的连续性和安全性。
以上为本年度的工作计划,将认真贯彻执行,确保银行科技领域的风险管理工作得到有效的提升和改进。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引在当今数字化时代,商业银行利用信息技术提供金融服务已成为常态。
然而,随之而来的是信息技术风险的增加,这对商业银行的稳健经营提出了挑战。
因此,科技风险管理成为商业银行重要的工作之一。
信息科技风险的特点信息科技风险是商业银行在信息化建设和运营过程中面临的一种特殊风险,具有以下几个特点:1.普遍性:信息科技风险涉及到商业银行每一个信息化环节,任何一个环节出现问题都可能造成严重后果。
2.多样性:信息科技风险种类繁多,包括网络安全风险、系统故障风险、信息泄露风险等。
3.迅速变化:随着技术的不断发展,信息科技风险也在不断变化,要求商业银行能随时应对新的风险挑战。
信息科技风险管理原则在信息科技风险管理中,商业银行需要遵循以下原则:1.风险管理全员参与原则:风险管理是全行员的责任,应该建立整体风险管理意识。
2.科学决策原则:决策应该建立在科学、客观的风险评估基础上,避免主观决策带来的隐患。
3.风险防范原则:预防胜于治疗,商业银行应该加强风险的预防意识,建立健全的风险防范机制。
4.持续改进原则:信息科技风险管理是一个不断完善的过程,需要持续改进管理措施,适应新的风险形势。
信息科技风险管理框架商业银行可以建立如下信息科技风险管理框架:1.风险识别与评估:商业银行应该对自身信息科技风险进行全面的识别与评估,包括对风险的来源、形式、影响等进行综合评估。
2.风险防范与控制:商业银行应该建立健全的信息科技风险防范机制,包括技术控制、管理控制等方面,减少风险造成的损失。
3.风险监控与报告:商业银行应该建立有效的风险监控机制,及时发现并报告风险情况,以便及时应对和处理。
4.应急响应与处置:商业银行应该建立完善的信息科技风险应急响应与处置机制,确保在发生风险时能够迅速应对并有效处置。
结语信息科技风险管理事关商业银行的安全稳健经营,商业银行应该高度重视信息科技风险管理工作,并按照规范的管理流程和原则进行落实。
商业银行信息科技风险管理指引—(正式版)
商业银行信息科技风险管理指引—(正式版) 商业银行信息科技风险管理指引正式版目录:第一章 \t引言\t\t1.1 背景\t\t1.2 目的和范围\t\t1.3 定义和缩写\t\t第二章 \t风险管理框架\t\t2.1 整体风险管理框架\t\t2.2 信息科技风险管理流程\t\t2.3 风险识别和评估\t\t\t2.3.1 内部控制要点\t\t\t2.3.2 外部环境因素\t\t\t2.3.3 风险识别和分级评估\t\t2.4 风险应对\t\t\t2.4.1 风险治理\t\t\t2.4.2 风险管理策略\t\t\t2.4.3 风险防范和控制\t\t\t2.4.4 风险监测和评价\t\t\t2.4.5 应急响应和恢复\t\t2.5 风险监管和报告\t\t第三章 \t信息科技风险管理要素\t\t3.1 组织结构和职责\t\t\t3.1.1 信息科技风险管理委员会\t \t\t3.1.2 风险管理部门\t\t\t3.1.3 内部稽核部门\t\t\t3.1.4 各业务部门\t\t3.2 信息科技风险管理框架\t\t\t3.2.1 风险管理政策和指导原则\t \t\t3.2.2 风险管理流程\t\t\t3.2.3 风险分类和评估\t\t\t3.2.4 风险应对和控制\t\t\t3.2.5 风险监测和报告\t\t3.3 信息科技风险管理工具\t \t\t3.3.1 风险管理信息系统\t \t\t3.3.2 风险评估和监测工具\t \t\t3.3.3 应急响应和恢复工具\t \t第四章 \t信息科技风险领域\t\t4.1 系统安全风险\t\t\t4.1.1 网络安全\t\t\t4.1.2 数据安全\t\t\t4.1.3 身份认证和访问控制\t \t4.2 业务连续性风险\t\t\t4.2.1 业务连续性规划\t\t\t4.2.2 冗余和备份机制\t\t\t4.2.3 业务恢复测试\t\t4.3 第三方风险\t\t\t4.3.1 第三方评估和监测\t \t\t4.3.2 合同和协议管理\t \t\t4.3.3 第三方准入控制\t \t4.4 IT项目风险管理\t\t\t4.4.1 项目风险评估\t\t\t4.4.2 项目管理流程\t\t\t4.4.3 项目监控和评估\t \t第五章 \t信息科技风险监管\t \t5.1 监管要求\t\t\t5.1.1 法律法规\t\t\t5.1.2 监管机构要求\t\t5.2 监管报告\t\t\t5.2.1 内部监测报告\t\t\t5.2.2 监管部门报告\t\t\t5.2.3 外部披露\t\t附件:附件1、信息科技风险评估工具附件3、第三方评估表格附件4、IT项目风险评估表格法律名词及注释:1.《商业银行法》商业银行法是指中国国家法律对商业银行的规范和管理的法律文件。
商业银行信息科技外包服务的风险管理与控制
商业银行信息科技外包服务的风险管理与控制商业银行作为金融行业的重要组成部分,信息科技外包服务已经成为其日常运营中不可或缺的一部分。
而随着信息科技的发展,商业银行外包服务的规模和复杂度也在不断增加,这为银行业务带来了巨大的便利和效率提升的也带来了一定的风险和挑战。
为了有效管理和控制这些风险,商业银行需要进行全面的风险管理和控制,确保外包服务能够顺利进行,同时保障银行的信息安全和业务稳定。
本文将探讨商业银行信息科技外包服务的风险管理与控制。
一、信息科技外包服务的概念和特点信息科技外包服务是指商业银行将部分或全部信息科技业务全部或部分外包给专业的服务提供商,以便获得更灵活、高效和成本可控的信息科技服务。
外包服务可以包括软件开发、系统维护、数据处理、网络管理等各个环节。
信息科技外包服务的特点主要包括以下几点:1. 灵活性:外包服务可以根据银行的实际需求进行灵活定制,不必受限于内部资源和技术能力。
2. 专业性:外包服务提供商通常是专业的信息科技公司,拥有丰富的技术经验和专业知识,可以为商业银行提供更优质的服务。
3. 成本控制:通过外包服务,商业银行可以将信息科技成本控制在可接受的范围内,避免因内部资源不足而造成的额外开支。
4. 高效性:外包服务提供商通常能够提供更高效的技术支持和服务响应,可以大大提升银行的信息科技运营效率。
5. 风险管理:信息科技外包服务可以将一部分信息科技风险外包给专业服务提供商,减轻银行自身的风险负担。
尽管信息科技外包服务为商业银行带来了诸多便利和优势,但在实际运营过程中也存在一定的风险和挑战。
商业银行信息科技外包服务的风险主要包括以下几个方面:1. 信息安全风险:商业银行向外包服务提供商提供了大量敏感信息和数据,一旦这些数据泄露或遭受攻击,将给银行带来严重的信息安全风险。
2. 业务连续性风险:外包服务提供商的技术故障或服务中断可能导致商业银行的业务中断,对银行的业务稳定性和客户信任造成严重影响。
商业银行信息科技外包服务的风险管理与控制
商业银行信息科技外包服务的风险管理与控制随着信息技术的不断发展,商业银行也逐渐意识到信息技术在业务中扮演着重要的角色。
与此信息科技外包服务也成为了商业银行的重要选择之一。
信息科技外包服务可以帮助商业银行降低成本、提高效率、加强技术能力,但同时也带来了一定的风险。
商业银行在选择和管理信息科技外包服务时,需进行风险管理与控制,以确保信息技术的安全性和稳定性,保障银行的正常运营。
一、信息科技外包服务的风险1. 数据安全风险商业银行作为金融机构,涉及大量的客户信息和资金流动。
一旦发生数据泄露或数据造假等安全问题,将给银行和客户带来严重的损失,甚至影响整个金融系统的稳定。
在信息科技外包服务中,数据安全风险是一个极为关键的问题。
2. 服务稳定性风险商业银行的业务需要7*24小时不间断运行,一旦信息科技外包服务出现故障或服务不稳定,将直接影响银行的业务运作,给客户带来不便,严重时还可能导致金融风险。
3. 业务流程风险信息科技外包服务涉及到商业银行的业务流程,一旦外包服务商无法按照约定的流程和标准执行,将导致银行的业务受到影响,甚至出现混乱。
4. 法律合规风险在信息科技外包服务过程中,外包服务商需要处理银行的大量数据和信息,如不合规操作将可能违反相关法律法规,给银行带来法律风险。
1. 选择合适的外包服务商商业银行在选择信息科技外包服务时,需进行严格的筛选和评估,确保外包服务商具备良好的信誉和稳定的技术实力。
外包服务商应当拥有相关的安全认证和资质,能够满足银行的业务需求和安全要求。
2. 签订严格的合同商业银行和外包服务商在签订合需明确双方的责任和义务,包括数据安全、服务水平、业务流程、法律合规等方面的要求和规定。
合同中还应包括外包服务商的安全承诺和相应的违约责任,以提高合同的约束力。
3. 加强监管和审计商业银行需要建立专门的监管团队,对外包服务商进行定期的监督和审计,确保外包服务商的服务稳定性和合规性。
监管团队需要建立完善的监管制度和审计流程,及时发现和解决问题。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引信息科技对于商业银行的发展具有重要意义,然而,信息科技也带来了一系列的风险。
为了有效管理这些风险,商业银行需要制定相应的信息科技风险管理指引。
本文将讨论商业银行信息科技风险以及如何制定和执行信息科技风险管理指引。
1. 商业银行信息科技风险的特点商业银行信息科技风险主要包括数据安全风险、系统故障风险和技术变革风险等。
在数字化时代,大量客户数据储存在电子系统中,数据安全风险成为商业银行面临的主要挑战。
此外,系统故障或技术故障可能导致交易中断和服务中断。
技术的不断变革也给银行带来了风险,因为新技术的引入可能会导致新的安全漏洞或系统不稳定性。
2. 信息科技风险管理指引的重要性信息科技风险管理指引对于商业银行具有重要意义。
首先,它能够帮助银行识别和评估可能存在的风险,并制定相应的控制措施。
其次,信息科技风险管理指引能够规范银行的信息科技操作和管理流程,确保安全性和可靠性。
此外,指引的制定还能为银行员工提供科学、统一的工作流程,提高工作效率。
3. 商业银行信息科技风险管理指引的要素商业银行信息科技风险管理指引需要包括以下要素:3.1 风险评估和管理:指导银行对信息科技风险进行评估,并制定相应的风险管理计划。
银行应确保对重要风险进行全面、准确的评估,并实施合适的风险管理措施。
3.2 安全控制措施:明确银行信息科技操作的安全控制措施,包括身份验证、访问控制、加密技术等。
银行应设立专门的信息安全管理部门,负责安全策略的制定和执行。
3.3 突发事件应急处理:制定应对信息科技突发事件的应急处理措施,包括事前准备、事中处理和事后评估。
银行应建立紧急通讯机制和系统恢复机制,确保在突发事件发生时能够迅速作出应对。
3.4 员工培训和监督:确保银行员工具备必要的信息科技安全知识和技能。
银行应定期组织培训活动,提高员工的风险意识和技术能力。
同时,银行应建立监督机制,对员工的信息科技操作进行监控和检查。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行信息科技风险管理解决方案本帖最后由 infosec123 于 2009-9-23 17:16 编辑背景为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。
该指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。
现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。
目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。
需求分析合规性需求:近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。
其中与银行业信息科技风险相关的法律、法规与行业监管指引有:2002年,美国国会发布了SOX《萨班斯[url=file:///E:/GooAnn/培训事业部/IT风险/美国萨班斯法案.htm]—[/url]奥克斯利法案》;2004年9月30日,中国银监会发布了[url=file:///E:/GooAnn/培训事业部/IT风险/银行内部评价控制办法/商业银行内部控制评价试行办法2.htm]《商业银行内部控制评价办法》[/url];2006年,银监会发布《电子银行安全评估指引》、《[url=file:///E:/GooAnn/培训事业部/IT风险/银监会发布《银行业金融机构信息系统风险管理指引》.htm]银行业金融机构信息系统风险管理指引[/url]》和《[url=file:///E:/GooAnn/培训事业部/IT风险/银行业金融机构内部审计指引.htm]银行业金融机构内部审计指引[/url]》;2006年6月,国务院国资委出台了《中央企业全面风险管理指引》;2007年,公安部明确了《信息系统等级保护基本要求与实施指南》;2009年3月,银监会发布《商业银行信息科技风险管理指引》;谷安天下依据信息科技风险管理体系,从整体上分为IT治理、IT管理、IT控制与审计三个方面,并在此基础上结合多年的行业咨询经验,陆续开发了IT风险管理咨询服务与IT 风险管控系列软件系统。
信息安全风险管理需求银行业随着信息化工作的不断深入,信息系统的开发、维护与运行均面临较大的挑战,如何保障业务的持续运营,如何支撑银行各项业务的风险管理,如何保障客户与自身信息的安全,成为各商业银行信息科技部门与风险管理部门的重要任务,因此信息科技风险的管理就显得迫在眉睫。
商业银行针对信息科技风险需要审视:• 是否对所有潜在的重大IT风险都进行了识别、评估和管理?• 面对数量众多的IT风险,应如何对其进行管理?• 如何在全行范围内推行全面IT风险管理?• 如何将IT风险管理体制与企业日常IT管理和运营相融合?• IT风险管理的角色、责任和义务是否合理或明确?• 如何增强风险意识,培育风险管理文化?《信息科技风险管理指引》解析本次颁布的《商业银行信息科技风险管理指引》共十一章七十六条,涵盖了信息科技风险管理的各个领域,同时针对银行现有的组织架构,对各部门也明确提出了风险管理的要求,下文将就主要条款做一个深入的解析。
第一章总则,明确了指引的目标和适用范围,指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理,明确提出了信息科技治理的概念,明确了信息科技风险管理的责任人,董事会的相关职责,并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。
此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责,互相协作共同完善信息科技风险管理的架构。
第三章信息科技风险管理,明确要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,制定全面的信息科技风险管理策略,建立持续的信息科技风险计量和监测机制。
本章是从信息科技风险管理部门的角度,提出商业银行信息科技风险管理的事前控制(第一道防线)。
第四章信息安全,明确要求信息科技部门负责落实信息安全管理职能,负责建立和实施信息分类和保护体系,通过建立有效管理用户认证和访问控制的流程保障业务安全,通过设立物理安全保护区域保障物理安全,通过将网络划分为不同的逻辑安全域保障网络安全,通过操作系统和系统软件的安全控制保障系统安全,同时加强信息系统、终端设备、传输控制、信息保护等方面的安全,并对员工进行持续培训,通过建立信息安全体系,全面控制信息安全方面风险,此章是参考了国内外信息安全最佳实践(ISO27000与等级保护),针对信息科技部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第五章系统开发、测试与维护,明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,采取适当的项目管理方法,控制信息科技项目相关的风险。
采取适当的系统开发方法,控制信息系统的生命周期。
应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求。
此章是针对软件开发与项目实施部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第六章信息科技运行,明确了商业银行数据中心物理环境要求、人员岗位职责要求,并要求商业银行制定详尽的信息科技运行操作说明,建立事故管理及处置机制及时响应信息系统运行事故,建立服务水平管理相关的制度和流程,建立连续监控信息系统性能的相关程序,制定容量规划应及时进行维护和适当的系统升级,制定有效的变更管理流程以确保生产环境的完整性和可靠性等。
此章主要参考了ITIL最佳实践,针对数据中心与运行部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第七章业务连续性管理,明确要求商业银行根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。
此章主要参考了BCP最佳实践,针对业务运营部门,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第八章外包管理,明确商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职能的履行,针对外包方选择、外包谈判、外包协议,外包执行中的信息安全等方面提出了明确要求,此章是针对商业银行各部门的外包合作,提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。
第九章内部审计,明确商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。
至少应每三年进行一次全面审计。
在进行大规模系统开发时,要求信息科技风险管理部门和内部审计部门参与,进行专项审计等。
此章主要针对内部审计部门职责,提出信息科技风险管理的事后控制(第三道防线)的重要组成部分。
第十章外部审计,明确商业银行在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
此章主要从外部审计角度,提出信息科技风险管理的事后控制(第三道防线)的重要组成部分。
通过指引解析,我们可以看出,指引的编写借鉴了Cobit、ISO27001、ITIL、CMM、BCP 等国内外的最佳实践,为商业银行的信息科技风险管理指明了方向。
同时,本指引从商业银行信息科技相关的每一个主要部门的角度出发,分别提出具体的监管要求,从而使得本指引具备非常强的可操作性。
解决方案建立适合商业银行的IT风险管理框架谷安天下依据IT风险管理原则与IT风险管理生命周期方法论,综合通过差距风险获得的具体需求,设计、规划IT风险管理的目标框架,指导IT风险管理机制与体制建设。
组织体系建设建立IT风险管理组织,采用条线与层级相结合的矩阵式管理模式;建立常设IT风险管理的专业团队,采用虚拟团队的方式向全行提供IT风险管理专业服务;并设立必要的实体化专业支撑中心。
管理流程制定融合IT风险管理生命周期与主要IT流程,针对IT操作风险与信息安全风险,建立总体与具体两个层面的风险管理流程,明确各层面IT风险评估流程的触发机制,将风险与安全管理工作制度化、日常化,确保其有效执行。
控制体系建立根据风险评估结果、IT风险管理原则及控制策略设计控制措施,通过完善的IT风险制度体系加以明确,并通过风险监测与再评估实现对IT风险控制的持续改进。
技术架构完善完善信息安全规划的基础设施/技术架构,设计IT风险管理技术架构,并推动安全信息管理技术平台的建设以及推广。
通过IT风险管理框架,商业银行可以:形成3道防线第一道防线:由策略保障体系、组织保障体系、技术保障体系构成完备的信息科技风险管理体制与基础安全控制设施,形成事前防范的第一道防线,为业务运行安全打下良好的基础。
第二道防线:由运行保障体系构成事中控制的第二道防线。
通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患,确保业务系统持续、可靠地运行。
第三道防线:由应用恢复保障体系与内外部审计构成事后控制的第三道防线。
针对各种突发灾难事件,建立灾难恢复与业务持续性计划,进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。
通过内外部审计,保障IT风险管控体系的有效运行。
利用2种风险控制手段事件识别—为获得组织的第一手的风险资料,需要对IT风险事件进行分类,建立IT 风险事件的管理组织与流程,制定风险事件响应机制。