提升信息科技風(fēng)險管理能力

[導(dǎo)讀]為加強商業(yè)銀行的信息科技風(fēng)險管理，提升信息科技風(fēng)險管理能力，09年3月份銀監(jiān)會正式發(fā)布了《商業(yè)銀行信息科技風(fēng)險管理指引》（以下簡稱《指引》），這是繼出臺有關(guān)《商業(yè)銀行操作風(fēng)險管理指引》、《商業(yè)銀行市場風(fēng)險管理指引》和《商業(yè)銀行合規(guī)風(fēng)險管理指引》等一系列的監(jiān)管文件之后，銀監(jiān)會發(fā)布的又一重要風(fēng)險管理指引。該指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機構(gòu)參照執(zhí)行。ISO9001認證
　　為加強商業(yè)銀行的信息科技風(fēng)險管理，提升信息科技風(fēng)險管理能力，09年3月份銀監(jiān)會正式發(fā)布了《商業(yè)銀行信息科技風(fēng)險管理指引》（以下簡稱《指引》），這是繼出臺有關(guān)《商業(yè)銀行操作風(fēng)險管理指引》、《商業(yè)銀行市場風(fēng)險管理指引》和《商業(yè)銀行合規(guī)風(fēng)險管理指引》等一系列的監(jiān)管文件之后，銀監(jiān)會發(fā)布的又一重要風(fēng)險管理指引。該指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機構(gòu)參照執(zhí)行。ISO9000認證

　　信息科技風(fēng)險是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風(fēng)險。它和操作風(fēng)險、信用風(fēng)險、市場風(fēng)險一樣，是商業(yè)銀行面臨的主要風(fēng)險。現(xiàn)階段商業(yè)銀行已經(jīng)基本完成了信息化建設(shè)，在金融管制放松、業(yè)務(wù)全球化、金融創(chuàng)新步伐加快以及信息技術(shù)的迅猛發(fā)展的大背景下，國際銀行業(yè)金融機構(gòu)的信息科技風(fēng)險有增大的趨勢，國際銀行業(yè)和監(jiān)管當(dāng)局都日益重視信息科技與操作風(fēng)險的管理和監(jiān)管。目前，國際上宣布實施新資本協(xié)議的國家和地區(qū)都按照新協(xié)議的要求，明確將操作風(fēng)險納入資本監(jiān)管的范疇，而信息科技風(fēng)險是操作風(fēng)險的重要組成部分。

　　需求分析

　　合規(guī)性需求：

　　近年來，國家各部門不斷推出了各種監(jiān)管要求，對IT管控領(lǐng)域也提出了明確的要求。其中與銀行業(yè)信息科技風(fēng)險相關(guān)的法律、法規(guī)與行業(yè)監(jiān)管指引有：

　　2002年，美國國會發(fā)布了SOX《薩班斯-奧克斯利法案》；

　　2004年9月30日，中國銀監(jiān)會發(fā)布了《商業(yè)銀行內(nèi)部控制評價辦法》；

　　2006年，銀監(jiān)會發(fā)布《電子銀行安全評估指引》 、《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》和《銀行業(yè)金融機構(gòu)內(nèi)部審計指引》；

　　2006年6月，國務(wù)院國資委出臺了《中央企業(yè)全面風(fēng)險管理指引》；

　　2007年，公安部明確了《信息系統(tǒng)等級保護基本要求與實施指南》；

　　2009年3月，銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風(fēng)險管理指引》；

　　谷安天下依據(jù)信息科技風(fēng)險管理體系，從整體上分為IT治理、IT管理、IT控制與審計三個方面，并在此基礎(chǔ)上結(jié)合多年的行業(yè)咨詢經(jīng)驗，陸續(xù)開發(fā)了IT風(fēng)險管理咨詢服務(wù)與IT風(fēng)險管控系列軟件系統(tǒng)。

　　信息安全風(fēng)險管理需求

　　銀行業(yè)隨著信息化工作的不斷深入，信息系統(tǒng)的開發(fā)、維護與運行均面臨較大的挑戰(zhàn)，如何保障業(yè)務(wù)的持續(xù)運營，如何支撐銀行各項業(yè)務(wù)的風(fēng)險管理，如何保障客戶與自身信息的安全，成為各商業(yè)銀行信息科技部門與風(fēng)險管理部門的重要任務(wù)，因此信息科技風(fēng)險的管理就顯得迫在眉睫。商業(yè)銀行針對信息科技風(fēng)險需要審視：

　　? 是否對所有潛在的重大IT風(fēng)險都進行了識別、評估和管理？

　　? 面對數(shù)量眾多的IT風(fēng)險，應(yīng)如何對其進行管理？

　　? 如何在全行范圍內(nèi)推行全面IT風(fēng)險管理？

　　? 如何將IT風(fēng)險管理體制與企業(yè)日常IT管理和運營相融合？

　　? IT風(fēng)險管理的角色、責(zé)任和義務(wù)是否合理或明確？

　　? 如何增強風(fēng)險意識，培育風(fēng)險管理文化？

　　《信息科技風(fēng)險管理指引》解析

　　本次頒布的《商業(yè)銀行信息科技風(fēng)險管理指引》共十一章七十六條，涵蓋了信息科技風(fēng)險管理的各個領(lǐng)域，同時針對銀行現(xiàn)有的組織架構(gòu)，對各部門也明確提出了風(fēng)險管理的要求，下文將就主要條款做一個深入的解析。

　　第一章 總則，明確了指引的目標(biāo)和適用范圍，指出信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。信息科技風(fēng)險管理的目標(biāo)是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風(fēng)險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。

　　第二章 信息科技治理，明確提出了信息科技治理的概念，明確了信息科技風(fēng)險管理的責(zé)任人，董事會的相關(guān)職責(zé)，并明確要求商業(yè)銀行應(yīng)設(shè)立或指派一個特定部門負責(zé)信息科技風(fēng)險管理工作，并直接向首席信息官或首席風(fēng)險官（風(fēng)險管理委員會）報告工作。此章最重要的是明確了商業(yè)銀行風(fēng)險管理部門、信息科技部門以及內(nèi)部審計部門在信息科技風(fēng)險管理中承擔(dān)不同的角色和職責(zé)，互相協(xié)作共同完善信息科技風(fēng)險管理的架構(gòu)。

　　第三章 信息科技風(fēng)險管理，明確要求商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風(fēng)險評估計劃，制定全面的信息科技風(fēng)險管理策略，建立持續(xù)的信息科技風(fēng)險計量和監(jiān)測機制。本章是從信息科技風(fēng)險管理部門的角度，提出商業(yè)銀行信息科技風(fēng)險管理的事前控制（第一道防線）。

　　第四章 信息安全，明確要求信息科技部門負責(zé)落實信息安全管理職能，負責(zé)建立和實施信息分類和保護體系，通過建立有效管理用戶認證和訪問控制的流程保障業(yè)務(wù)安全，通過設(shè)立物理安全保護區(qū)域保障物理安全，通過將網(wǎng)絡(luò)劃分為不同的邏輯安全域保障網(wǎng)絡(luò)安全，通過操作系統(tǒng)和系統(tǒng)軟件的安全控制保障系統(tǒng)安全，同時加強信息系統(tǒng)、終端設(shè)備、傳輸控制、信息保護等方面的安全，并對員工進行持續(xù)培訓(xùn)，通過建立信息安全體系，全面控制信息安全方面風(fēng)險，此章是參考了國內(nèi)外信息安全最佳實踐（ISO27000與等級保護），針對信息科技部門，提出信息科技風(fēng)險管理的事中控制（第二道防線）的重要組成部分。

　　第五章 系統(tǒng)開發(fā)、測試與維護，明確要求對信息系統(tǒng)進行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護、升級和報廢，制定制度和流程，采取適當(dāng)?shù)捻椖抗芾矸椒ǎ刂菩畔⒖萍柬椖肯嚓P(guān)的風(fēng)險。采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護性，應(yīng)制定并落實相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開發(fā)、測試、維護過程中數(shù)據(jù)的完整性、保密性和可用性等具體要求。此章是針對軟件開發(fā)與項目實施部門，提出信息科技風(fēng)險管理的事中控制（第二道防線）的重要組成部分。

　　第六章 信息科技運行，明確了商業(yè)銀行數(shù)據(jù)中心物理環(huán)境要求、人員崗位職責(zé)要求，并要求商業(yè)銀行制定詳盡的信息科技運行操作說明，建立事故管理及處置機制及時響應(yīng)信息系統(tǒng)運行事故，建立服務(wù)水平管理相關(guān)的制度和流程，建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，制定容量規(guī)劃應(yīng)及時進行維護和適當(dāng)?shù)南到y(tǒng)升級，制定有效的變更管理流程以確保生產(chǎn)環(huán)境的完整性和可靠性等。此章主要參考了ITIL最佳實踐，針對數(shù)據(jù)中心與運行部門，提出信息科技風(fēng)險管理的事中控制（第二道防線）的重要組成部分。

　　第七章 業(yè)務(wù)連續(xù)性管理，明確要求商業(yè)銀行根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)；定期對規(guī)劃進行更新和演練，以保證其有效性。此章主要參考了BCP最佳實踐，針對業(yè)務(wù)運營部門，提出信息科技風(fēng)險管理的事中控制（第二道防線）的重要組成部分。

　　第八章 外包管理，明確商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行，針對外包方選擇、外包談判、外包協(xié)議，外包執(zhí)行中的信息安全等方面提出了明確要求，此章是針對商業(yè)銀行各部門的外包合作，提出信息科技風(fēng)險管理的事中控制（第二道防線）的重要組成部分。

　　第九章 內(nèi)部審計，明確商業(yè)銀行內(nèi)部審計部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進行監(jiān)測。至少應(yīng)每三年進行一次全面審計。在進行大規(guī)模系統(tǒng)開發(fā)時，要求信息科技風(fēng)險管理部門和內(nèi)部審計部門參與，進行專項審計等。此章主要針對內(nèi)部審計部門職責(zé)，提出信息科技風(fēng)險管理的事后控制（第三道防線）的重要組成部分。

　　第十章 外部審計，明確商業(yè)銀行在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計機構(gòu)進行信息科技外部審計。此章主要從外部審計角度，提出信息科技風(fēng)險管理的事后控制（第三道防線）的重要組成部分。

　　通過指引解析，我們可以看出，指引的編寫借鑒了Cobit、ISO27000、ITIL、CMM、BCP等國內(nèi)外的最佳實踐，為商業(yè)銀行的信息科技風(fēng)險管理指明了方向。同時，本指引從商業(yè)銀行信息科技相關(guān)的每一個主要部門的角度出發(fā)，分別提出具體的監(jiān)管要求，從而使得本指引具備非常強的可操作性。

　　建立適合商業(yè)銀行的IT風(fēng)險管理框架

　　谷安天下依據(jù)IT風(fēng)險管理原則與IT風(fēng)險管理生命周期方法論，綜合通過差距風(fēng)險獲得的具體需求，設(shè)計、規(guī)劃IT風(fēng)險管理的目標(biāo)框架，指導(dǎo)IT風(fēng)險管理機制與體制建設(shè)。

　　組織體系建設(shè)

　　建立IT風(fēng)險管理組織，采用條線與層級相結(jié)合的矩陣式管理模式;建立常設(shè)IT風(fēng)險管理的專業(yè)團隊，采用虛擬團隊的方式向全行提供IT風(fēng)險管理專業(yè)服務(wù);并設(shè)立必要的實體化專業(yè)支撐中心。

　　管理流程制定

　　融合IT風(fēng)險管理生命周期與主要IT流程，針對IT操作風(fēng)險與信息安全風(fēng)險，建立總體與具體兩個層面的風(fēng)險管理流程，明確各層面IT風(fēng)險評估流程的觸發(fā)機制，將風(fēng)險與安全管理工作制度化、日?；_保其有效執(zhí)行。

　　控制體系建立

　　根據(jù)風(fēng)險評估結(jié)果、IT風(fēng)險管理原則及控制策略設(shè)計控制措施，通過完善的IT風(fēng)險制度體系加以明確，并通過風(fēng)險監(jiān)測與再評估實現(xiàn)對IT風(fēng)險控制的持續(xù)改進。


　　技術(shù)架構(gòu)完善

　　完善信息安全規(guī)劃的基礎(chǔ)設(shè)施/技術(shù)架構(gòu)，設(shè)計IT風(fēng)險管理技術(shù)架構(gòu)，并推動安全信息管理技術(shù)平臺的建設(shè)以及推廣。

　　通過IT風(fēng)險管理框架，商業(yè)銀行可以形成三道防線：

　　u 第一道防線：由策略保障體系、組織保障體系、技術(shù)保障體系構(gòu)成完備的信息科技風(fēng)險管理體制與基礎(chǔ)安全控制設(shè)施，形成事前防范的第一道防線，為業(yè)務(wù)運行安全打下良好的基礎(chǔ)。

　　u 第二道防線：由運行保障體系構(gòu)成事中控制的第二道防線。通過周密的生產(chǎn)調(diào)度、安全運維管理、安全監(jiān)測預(yù)警，及時排除安全隱患，確保業(yè)務(wù)系統(tǒng)持續(xù)、可靠地運行。

　　u 第三道防線：由應(yīng)用恢復(fù)保障體系與內(nèi)外部審計構(gòu)成事后控制的第三道防線。針對各種突發(fā)災(zāi)難事件，建立災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計劃，進行應(yīng)急演練，形成快速響應(yīng)、快速恢復(fù)的機制，將災(zāi)難造成的損失降到組織可以接受的程度。通過內(nèi)外部審計，保障IT風(fēng)險管控體系的有效運行。

　　利用兩種風(fēng)險控制手段

　　u 事件識別--為獲得組織的第一手的風(fēng)險資料，需要對IT風(fēng)險事件進行分類，建立IT風(fēng)險事件的管理組織與流程，制定風(fēng)險事件響應(yīng)機制。事件的收集與分析也可用于預(yù)測未來發(fā)生系統(tǒng)故障的可能性，及時采取必要的控制措施。

　　u 風(fēng)險管理--風(fēng)險管理包括風(fēng)險評估與風(fēng)險控制，風(fēng)險評估是指從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估風(fēng)險事件一旦發(fā)生可能造成的危害程度;風(fēng)險控制是對已經(jīng)評估出來的風(fēng)險要進行風(fēng)險控制措施的規(guī)劃與實施 ,以建立有效的IT風(fēng)險控制及日常運作機制，把IT風(fēng)險降到組織可以接受的水平。

　　利用兩種監(jiān)督措施

　　u 風(fēng)險檢查--安全檢查工作一般由風(fēng)險管理部門和信息安全管理部門來負責(zé)實施，經(jīng)常性的檢查，有利于落實信息風(fēng)險管理的方針與策略，及時發(fā)現(xiàn)在技術(shù)、人員及流程方面存在的風(fēng)險隱患，也有利于提高員工安全意識，保證業(yè)務(wù)的持續(xù)運行。

　　u IT審計--審核工作是審計機構(gòu)對組織的信息安全控制措施是否完備所做的鑒證過程。利用審核機制進行獨立的體系審核是一種強有力的監(jiān)督機制。可以由組織的內(nèi)部稽核部門階段性地組建立審核組，培訓(xùn)審核員，有效地管理在組織中開展的信息安全審核工作，也可外聘的第三方審計機構(gòu)對組織進行外部審核。

　　與其他控制體系的結(jié)合

　　u 等級保護：公安部及銀監(jiān)會的等級保護要求;

　　u ISMS：利用ISO27001建立信息安全管理體系;

　　u ITSM：利用ISO20000建立IT服務(wù)管理體系;

　　u CMMI：利用CMMI對軟件開發(fā)過程進行管理;

　　u BCP：利用BS25999、BCI或DRII進行業(yè)務(wù)連續(xù)性管理;

　　建立IT風(fēng)險管理與控制系統(tǒng)平臺

　　IT風(fēng)險管控系列軟件目前包括如下主要模塊：

　　風(fēng)險評估管理-GooRisk

　　GooRisk信息科技風(fēng)險評估軟件提供了系統(tǒng)化的風(fēng)險評估方法論和行業(yè)風(fēng)險知識庫，包括評估范圍定義，安全現(xiàn)狀調(diào)查，資產(chǎn)威脅分析、漏洞分析、風(fēng)險綜合分析、風(fēng)險控制措施等主要功能，幫助客戶快速自動化的評估自身的資產(chǎn)風(fēng)險與流程風(fēng)險。

　　風(fēng)險控制管理-GooISMS

　　GooISMS風(fēng)險管理體系建設(shè)軟件提供了IT風(fēng)險管理體系規(guī)劃與管理體系建設(shè)的方法論和行業(yè)模板庫，包括體系規(guī)劃，體系設(shè)計，體系實施，體系保障等主要功能，幫助客戶快速建立安全管理體系，通過內(nèi)部審計、管理評審等管理過程，保障體系的有效運行。

　　風(fēng)險運營管理-GooProcess

　　GooProcess信息科技風(fēng)險運營管理軟件提供了基本的信息安全日常運作流程，通過自動化工作流引擎，可自主定義帳號管理、權(quán)限管理、人員安全、設(shè)備安全、物理安全、安全檢查、安全事件、安全培訓(xùn)、通知公告等流程，將安全管理流程真正落地。

　　風(fēng)險審計管理-GooAudit

　　GooAudit安全風(fēng)險審計管理軟件提供了信息安全風(fēng)險審計檢查工具與審計管理流程，包括了各種業(yè)務(wù)、系統(tǒng)、設(shè)備的安全檢查列表，符合性測試、實質(zhì)性測試工具，定期審計管理流程，以及審計底稿、審計報告的管理。

　　風(fēng)險知識管理-GooAwareness

　　GooAwareness安全風(fēng)險知識管理軟件為企業(yè)提供了信息安全相關(guān)知識的管理與共享平臺，包括安全通告、內(nèi)部知識庫、外部資料庫、標(biāo)準(zhǔn)與法規(guī)、案例警示、常用模板、知識地圖、個人知識庫等基本功能，方便安全知識的獲取與管理，全面提高員工信息安全意識。

本頁關(guān)鍵詞：提升信息科技風(fēng)險管理能力