商业银行信息科技风险管理解决方案

商业银行信息科技风险管理解决方案

本帖昴后由infosecl23于2009-9-23 17:16编辑

n匕日

冃艮

为加强商业银行的信息科技风险管理，提升信息科技风险笛理能力，09年3月份银监会

正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样, 是商

业银行而临的主要风险。现阶段商业银行已经基本完成了信息化建设，在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下，国际银行业金融机构的信息科技风险有增大的趋势，国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前，国际上宣布实施新资本协议的国家和地区都按照新协议的要求, 明确将操作风险纳

入资本监管的范畴，而信息科技风险是操作风险的重要组成部分。

需求分析合规性需求：

近年来，国家各部门不断推岀了各种监管要求，对IT管控领域也提出了明确的要求。

英中与银行业信息科技风险相关的法律、法规与行业监管指引有：

2002年，美国国会发布了SOX《萨班斯［url二f订亡:〃/E:/GooAnn/培训事业部/IT风

险/ 美国萨班斯法案.htn）］-［/url］奥克斯利法案》；

2004年9月30 H,中国银监会发布了［url二file：///E:/GooAnn/培训事业部/IT风险/

银行内部评价控制办法/商业银行内部控制评价试行办法2. htm］《商业银行内部控制评价办法》［/url］;

2006年，银监会发布《电子银行安全评估指引》、《［url二f订e:///E:/GooAnn/培训事业部/IT风险/银监会发布《银行业金融机构信息系统风险管理指引》.htm］银行业金融机构信息系统风险管理指引［/url］》和«［url=file：///E：/GooAnn./培训事业部/IT风险/银行业金融机构内部审计•指引・htm］银行业金融机构内部审讣指引［/url］》；

2006年6月，国务院国资委岀台了《中央企业全而风险管理指引》；

2007年，公安部明确了《信息系统等级保护基本要求与实施指南》；

2009年3月.银监会发布《商业银行信息科技风险管理指引》；

谷安天下依据信息科技风险管理体系，从整体上分为IT治理、IT管理、IT控制与审计三个方面，并在此基础上结合多年的行业咨询经验，陆续开发了IT风险管理咨询服务与IT 风险管控系列软件系统。

信息安全风险管理需求

银行业随着信息化工作的不断深入，信息系统的开发、维护与运行均面临较大的挑战, 如何保障业务的持续运营，如何支撑银行各项业务的风险管理，如何保障客户与自身信息的安全，

成为各商业银行信息科技部门与风险管理部门的重要任务，因此信息科技风险的

管理就显得迫在眉睫。商业银行针对信息科技风险需要审视:

・是否对所有潜在的重大IT风险都进行了识别、评估和管理?

・而对数量众多的IT风险，应如何对英进行管理？

・如何在全行范用内推行全面IT风险管理？

・如何将IT风险管理体制与企业日常IT管理和运营相融合?

・IT风险管理的角色、责任和义务是否合理或明确？

・如何增强风险意识，培育风险管理文化？

《信息科技风险管理指引》解析本次颁布的《商业银行信息科技风险管理指引》共十一章七十六条，涵盖了信息科技风险管理的各个领域，同时针对银行现有的组织架构，对各部门也明确提出了风险管理的要求，下文将就主要条款做一个深入的解析。

第一章总则，明确了指引的目标和适用范围，指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方而的应用，并包括进行信息科技治理，建立完整的笛理组织架构，制订完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计戢、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理，明确提出了信息科技治理的槪念，明确了信息科技风险管理的责任人，董事会的相关职责，并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作，并直接向首席信息官或首席风险官（风险管理委员会）报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审汁部门在信息科技风险管理中承担不同的角色和职责，互相协作共同完善信息科技风险管理的架构。第三章信息科技风险管理，明确要求商业银行应制立符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风

险评估计划，制左全而的信息科技风险管理策略, 建立持续的信息科技风险计量和监测机制。本章是从信息科技风险管理部门的角度，提岀商业银行信息科技风险管理的事前控制（第一道防线）。

第四章信息安全，明确要求信息科技部门负责落实信息安全管理职能，负责建立和实施信息分类和保护体系，通过建立有效管理用户认证和访问控制的流程保障业务安全，通过设立物理安全保护区域保障物理安全，通过将网络划分为不同的逻借安全域保障网络安全，通过操作系统和系统软件的安全控制保障系统安全，同时加强信息系统、终端设备、传输控制、信息保护等方而的安全，并对员工进行持续培训，通过建立信息安全体系，全而控制信息安全方面风险，此章是参考了国内外信息安全最佳实践＜IS027000与等级保护），针对信息科技部门，提出信息科技风险管理的事中控制（第二道防线）的重要组成部分。

第五章系统开发、测试与维护，明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废，制定制度和流程，采取适当的项目管理方法，控制信息科技项目相关的风险。采取适当的系统开发方法，控制信息系统的生命周期。应制立相关控制信息系统变更的制度和流程，确保系统的可靠性、完整性和可维护性，应制左并落实相关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求。此章是针对软件开发与项目实施部门，提出信息科技风险管理的事中控制（第二道防线）的重要组成部分。

第六章信息科技运行，明确了商业银行数据中心物理环境要求、人员岗位职责要求，并要求商业银行制左详尽的信息科技运行操作说明，建立事故管理及处置机制及时响应信息系统运行事故，建立服务水平管理相关的制度和流程，建立连续监控信息系统性能的相关程序，制定容量规划应及时进行维护和适肖的系统升级，制泄有效的变更管理流程以确保生产环境的完整性和可靠性等。此章主要参考了ITIL最佳实践，针对数据中心与运行部门，提出信息科技风险管理的事中控制（第二道防线）的重要组成部分。

第七章业务连续性管理，明确要求商业银行根据自身业务的性质、规模和复杂程度制立适当的业务连续性规划，以确保在出现无法预见的中断时，系统仍能持续运行并提供服务；泄期对规划进行更新和演练，以保证其有效性。此章主要参考了BCP最佳实践，针对业务运营部门，提岀信息科技风险管理的事中控制（第二道防线）的重要组成部分。

第八章外包管理，明确商业银行不得将其信息科技管理责任外包，应合理谨慎监督外包职能的履行，针对外包方选择、外包谈判、外包协议，外包执行中的信息安全等方而提出了明确要求，此章是针对商业银行各部门的外包合作，提出信息科技风险管理的事中控制（第二道防线）的重要组成部分。

第九章内部审il•，明确商业银行内部审il•部门应根据业务的性质、规模和复杂程度，对相关系统及其控制的适当性和有效性进行监测。至少应每三年进行一次全而审汁。在进

行大规模系统开发时，要求信息科技风险管理部门和内部审计部门参与，进行专项审计等。

此章主要针对内部审计部门职责，提出信息科技风险管理的事后控制（第三道防线）的重

要组成部分。