商业银行信息科技风险管理解决方案

1、解决方案 商业银行信息科技风险管理解决方案 本帖昴后由infosecl23于2009-9-23 17:16编辑 n匕日 冃艮 为加强商业银行的信息科技风险管理，提升信息科技风险笛理能力，09年3月份银监 会正式发布了商业银行信息科技风险管理指引（以下简称指引），这是继出台有 关商业银行操作风险管理指引、商业银行市场风险管理指引和商业银行合规风 险管理指引等一系列的监管文件之后，银监会发布的又一重要风险管理指引。该指引适 用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市 信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、 金融租赁公司、汽

2、车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏 洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样, 是商业银行而临的主要风险。现阶段商业银行已经基本完成了信息化建设，在金融管制放 松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下，国际银行业金 融机构的信息科技风险有增大的趋势，国际银行业和监管当局都日益重视信息科技与操作 风险的管理和监管。目前，国际上宣布实施新资本协议的国家和地区都按照新协议的要求, 明确将操作风险纳入资本监管的范畴，而信息科技风险是操作风险的重

3、要组成部分。 需求分析合规性需求： 近年来，国家各部门不断推岀了各种监管要求，对IT管控领域也提出了明确的要求。 英中与银行业信息科技风险相关的法律、法规与行业监管指引有： 2002年，美国国会发布了 SOX萨班斯url二f订亡:/E:/GooAnn/培训事业部/IT风险/ 美国萨班斯法案.htn）-/url奥克斯利法案； 贝脚内客7 解决方案 2004年9月30 H,中国银监会发布了 url二file：/E:/GooAnn/培训事业部/IT风险/ 银行内部评价控制办法/商业银行内部控制评价试行办法2. htm商业银行内部控制评价办 法/url; 2006年，银监会发布电子银行安全评估指引、u

4、rl二f订e:/E:/GooAnn/培训 事业部/IT风险/银监会发布银行业金融机构信息系统风险管理指引.htm银行业金融机 构信息系统风险管理指引/url和url=file：/E：/GooAnn./培训事业部/IT风险/银行 业金融机构内部审计指引htm银行业金融机构内部审讣指引/url； 2006年6月，国务院国资委岀台了中央企业全而风险管理指引； 2007年，公安部明确了信息系统等级保护基本要求与实施指南； 2009年3月.银监会发布商业银行信息科技风险管理指引； 谷安天下依据信息科技风险管理体系，从整体上分为IT治理、IT管理、IT控制与审计 三个方面，并在此基础上结合多年的行业咨询经

5、验，陆续开发了 IT风险管理咨询服务与IT 风险管控系列软件系统。 信息安全风险管理需求 银行业随着信息化工作的不断深入，信息系统的开发、维护与运行均面临较大的挑战, 如何保障业务的持续运营，如何支撑银行各项业务的风险管理，如何保障客户与自身信息 的安全，成为各商业银行信息科技部门与风险管理部门的重要任务，因此信息科技风险的 贝脚内客7 解决方* 管理就显得迫在眉睫。商业银行针对信息科技风险需要审视: 是否对所有潜在的重大IT风险都进行了识别、评估和管理? 而对数量众多的IT风险，应如何对英进行管理？ 如何在全行范用内推行全面IT风险管理？ 如何将IT风险管理体制与企业日常IT管理和运营相融合

6、? IT风险管理的角色、责任和义务是否合理或明确？ 如何增强风险意识，培育风险管理文化？ 信息科技风险管理指引解析本次颁布的商业银行信息科技风险 管理指引共十一章七十六条，涵盖了信息科技风险管理的各个领域，同时针对银行现有 的组织架构，对各部门也明确提出了风险管理的要求，下文将就主要条款做一个深入的解 析。 第一章总则，明确了指引的目标和适用范围，指出信息科技是指计算机、通信、微电 子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方而的 应用，并包括进行信息科技治理，建立完整的笛理组织架构，制订完善的管理制度和流程。 信息科技风险管理的目标是通过建立有效的机制，实现对商

7、业银行信息科技风险的识别、 计戢、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术 使用水平，增强核心竞争力和可持续发展能力。 第二章信息科技治理，明确提出了信息科技治理的槪念，明确了信息科技风险管理的 责任人，董事会的相关职责，并明确要求商业银行应设立或指派一个特定部门负责信息科 解决方* 技风险管理工作，并直接向首席信息官或首席风险官（风险管理委员会）报告工作。此章 最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审汁部门在信息科技风 险管理中承担不同的角色和职责，互相协作共同完善信息科技风险管理的架构。 第三章信息科技风险管理，明确要求商业银行应制立符合

8、银行总体业务规划的信息科 技战略、信息科技运行计划和信息科技风险评估计划，制左全而的信息科技风险管理策略, 建立持续的信息科技风险计量和监测机制。本章是从信息科技风险管理部门的角度，提岀 商业银行信息科技风险管理的事前控制（第一道防线）。 第四章信息安全，明确要求信息科技部门负责落实信息安全管理职能，负责建立和实 施信息分类和保护体系，通过建立有效管理用户认证和访问控制的流程保障业务安全，通 过设立物理安全保护区域保障物理安全，通过将网络划分为不同的逻借安全域保障网络安 全，通过操作系统和系统软件的安全控制保障系统安全，同时加强信息系统、终端设备、 传输控制、信息保护等方而的安全，并对员工进行

9、持续培训，通过建立信息安全体系，全 而控制信息安全方面风险，此章是参考了国内外信息安全最佳实践IS027000与等级保护）， 针对信息科技部门，提出信息科技风险管理的事中控制（第二道防线）的重要组成部分。 第五章系统开发、测试与维护，明确要求对信息系统进行需求分析、规划、采购、开 发、测试、部署、维护、升级和报废，制定制度和流程，采取适当的项目管理方法，控制 信息科技项目相关的风险。采取适当的系统开发方法，控制信息系统的生命周期。应制立 相关控制信息系统变更的制度和流程，确保系统的可靠性、完整性和可维护性，应制左并 落实相关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、保密

10、 性和可用性等具体要求。此章是针对软件开发与项目实施部门，提出信息科技风险管理的 事中控制（第二道防线）的重要组成部分。 第六章信息科技运行，明确了商业银行数据中心物理环境要求、人员岗位职责要求， 并要求商业银行制左详尽的信息科技运行操作说明，建立事故管理及处置机制及时响应信 息系统运行事故，建立服务水平管理相关的制度和流程，建立连续监控信息系统性能的相 关程序，制定容量规划应及时进行维护和适肖的系统升级，制泄有效的变更管理流程以确 保生产环境的完整性和可靠性等。此章主要参考了 ITIL最佳实践，针对数据中心与运行部 门，提出信息科技风险管理的事中控制（第二道防线）的重要组成部分。 第七章业务

11、连续性管理，明确要求商业银行根据自身业务的性质、规模和复杂程度制 立适当的业务连续性规划，以确保在出现无法预见的中断时，系统仍能持续运行并提供服 务；泄期对规划进行更新和演练，以保证其有效性。此章主要参考了 BCP最佳实践，针对 业务运营部门，提岀信息科技风险管理的事中控制（第二道防线）的重要组成部分。 第八章外包管理，明确商业银行不得将其信息科技管理责任外包，应合理谨慎监督外 包职能的履行，针对外包方选择、外包谈判、外包协议，外包执行中的信息安全等方而提 出了明确要求，此章是针对商业银行各部门的外包合作，提出信息科技风险管理的事中控 制（第二道防线）的重要组成部分。 第九章内部审il，明确商

12、业银行内部审il部门应根据业务的性质、规模和复杂程度， 贝脚内客7 解决方* 对相关系统及其控制的适当性和有效性进行监测。至少应每三年进行一次全而审汁。在进 行大规模系统开发时，要求信息科技风险管理部门和内部审计部门参与，进行专项审计等。 此章主要针对内部审计部门职责，提出信息科技风险管理的事后控制（第三道防线）的重 要组成部分。 第十章外部审计，明确商业银行在符合法律、法规和监管要求的情况下，委托具备相 应资质的外部审计机构进行信息科技外部审计。此章主要从外部审汁角度，提出信息科技 风险管理的事后控制（第三道防线）的重要组成部分。 通过指引解析，我们可以看出,指引的编写借鉴了 Cobit、I

13、S027001、ITIL、CMM、BCP 等国内外的最佳实践，为商业银行的信息科技风险管理指明了方向。同时，本指引从商业 银行信息科技相关的每一个主要部门的角度出发，分别提岀具体的监管要求，从而使得本 指引具备非常强的可操作性。 解决方案建立适合商业银行的IT风险管理框架 谷安天下依据IT风险管理原则与IT风险管理生命周期方法论，综合通过差距风险获得 的具体需求，设讣、规划IT风险管理的目标框架，指导IT风险管理机制与体制建设。 组织体系建设 建立IT风险管理组织，采用条线与层级相结合的矩阵式管理模式：建立常设IT风险管 理的专业团队，采用虚拟团队的方式向全行提供IT风险管理专业服务；并设立必

14、要的实体 化专业支撑中心。 管理流程制定 融合IT风险管理生命周期与主要IT流程，针对IT操作风险与信息安全风险，建立总 体与具体两个层面的风险管理流程，明确各层而IT风险评估流程的触发机制，将风险与安 全管理工作制度化、日常化，确保其有效执行。 控制体系建立 根据风险评估结果、IT风险管理原则及控制策略设讣控制措施，通过完善的IT风险制 度体系加以明确，并通过风险监测与再评估实现对IT风险控制的持续改进。 技术架构完善 完善信息安全规划的基础设施/技术架构，设汁IT风险管理技术架构，并推动安全信息 管理技术平台的建设以及推广。 通过IT风险管理框架，商业银行可以： 形成3道防线 第一道防线：

15、由策略保障体系、组织保障体系、技术保障体系构成完备的信息科技风险 管理体制与基础安全控制设施，形成事前防范的第一道防线，为业务运行安全打下良好的 基础。 贝脚内客7 解决方* 第二逍防线：由运行保障体系构成事中控制的第二道防线。通过周密的生产调度、安全 运维管理、安全监测预警，及时排除安全隐患，确保业务系统持续、可靠地运行。 第三道防线：由应用恢复保障体系与内外部审计构成事后控制的第三道防线。针对各种 突发灾难事件，建立灾难恢复与业务持续性讣划，进行应急演练，形成快速响应、快速恢 复的机制，将灾难造成的损失降到组织可以接受的程度。通过内外部审计，保障IT风险管 控体系的有效运行。 利用2种风险

16、控制手段 事件识别一为获得组织的第一手的风险资料，需要对IT风险事件进行分类，建立IT 风险事件的管理组织与流程，制泄风险事件响应机制。事件的收集与分析也可用于预测未 来发生系统故障的可能性，及时采取必要的控制控制。 风险管理一风险管理包括风险评估与风险控制，风险评估是指从风险管理角度，运用科 学的方法和手段，系统地分析信息与信息系统所而临的威胁及其存在的脆弱性，评估风险 事件一旦发生可能造成的危害程度：风险控制是对已经评估岀来的风险要进行风险控制措 施的规划与实施，以建立有效的IT风险控制及日常运作机制，把IT风险降到组织可以接 受的水平。 利用2种监督措施 风险检查一安全检査工作一般由风险

17、管理部门和信息安全管理部门来负责实施，经常性 的检查，有利于落实信息风险管理的方针与策略，及时发现在技术、人员及流程方而存在 的风险隐患，也有利于提髙员工安全意识，保证业务的持续运行。 IT审计一审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。 利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门 阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也 可外聘的第三方审计机构对组织进行外部审核。 与英他控制体系的结合 等级保护：公安部及银监会的等级保护要求； 贝脚内客7 解决方* ISMS：利用IS027001建立信息安全管理

18、体系； ITSM：利用IS020000建立IT服务管理体系； CMMI：利用CMMI对软件开发过程进行管理： BCP：利用BS25999. BCI或DRII进行业务连续性管理: 建立IT风险管理与控制系统平台 IT风险管控系列软件目前包括如下主要模块： 风险评估管理-GooRisk GooRisk信息科技风险评估软件提供了系统化的风险评估方法论和行业风险知识库，包 括评估范用立义，安全现状调査，资产威胁分析、漏洞分析、风险综合分析、风险控制措 施等主要功能，帮助客户快速自动化的评估自身的资产风险与流程风险。 风险控制管理-GooISMS GooISMS风险管理体系建设软件提供了 IT风险管理体系规划与管理体系建设的方法论 和行业模板库，包括体系规划，体系设计，体系实施，体系保障等主要功能，帮助客户快 速建立安全管理体系，通过内部审汁、管理评审等管理过程，保障体系的有效运行。 风险运营管理-GooProcess GooProcess信息科技风险运营管理软件提供了基本的信息安全日常运作流程，通过自 动化工作流引擎，可自主泄义帐号管理、权限管理、人员安全、设备安全、物理安全、安 全检查、安全事件、安全