商业银行信息科技风险管理解决方案

商业银行信息科技风险管理解决方案

本帖最后由 infosec123 于 2009-9-23 17:16 编辑

背景

为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，09年3月份银监会正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样，是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设，在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下，国际银行业金融机构的信息科技风险有增大的趋势，国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前，国际上宣布实施新资本协议的国家和地区都按照新协议的要求，明确将操作风险纳入资本监管的范畴，而信息科技风险是操作风险的重要组成部分。

需求分析合规性需求：

近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有：

2002年，美国国会发布了SOX《萨班斯[url=;

2004年9月30日，中国银监会发布了[url=;

2006年，银监会发布《电子银行安全评估指引》、《[url=;

2006年6月，国务院国资委出台了《中央企业全面风险管理指引》;

2007年，公安部明确了《信息系统等级保护基本要求与实施指南》;

2009年3月，银监会发布《商业银行信息科技风险管理指引》;

谷安天下依据信息科技风险管理体系，从整体上分为IT治理、IT管理、IT控制与审计三个方面，并在此基础上结合多年的行业咨询经验，陆续开发了IT风险管理咨询服务与IT风险管控系列软件系统。

信息安全风险管理需求

银行业随着信息化工作的不断深入，信息系统的开发、维护与运行均面临较大的挑战，如何保障业务的持续运营，如何支撑银行各项业务的风险管理，如何保障客户与自身信息的安全，成为各商业银行信息科技部门与风险管理部门的重要任务，因此信息科技风险的管理就显得迫在眉睫。商业银行针对信息科技风险需要审视：

• 是否对所有潜在的重大IT风险都进行了识别、评估和管理？

• 面对数量众多的IT风险，应如何对其进行管理？

• 如何在全行范围内推行全面IT风险管理？

• 如何将IT风险管理体制与企业日常IT管理和运营相融合？

• IT风险管理的角色、责任和义务是否合理或明确？

• 如何增强风险意识，培育风险管理文化？

《信息科技风险管理指引》解析本次颁布的《商业银行信息科技风险管理指引》共十一章七十六条，涵盖了信息科技风险管理的各个领域，同时针对银行现有的组织架构，对各部门也明确提出了风险管理的要

求，下文将就主要条款做一个深入的解析。

第一章总则，明确了指引的目标和适用范围，指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使

用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理，明确提出了信息科技治理的概念，明确了信息科技风险管理的责任人，董事会的相关职责，并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作，并直接向首席信息官或首席风险官（风险管理委员会）报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责，互相协作共同完善信息科技风险管理的架构。

第三章信息科技风险管理，明确要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，制定全面的信息科技风险管理策略，建立持续的信息科技风险计量和监测机制。本章是从信息科技风险管理部门的角度，提出商业银行信息科技风险管理的事前控制（第一道防线）。

第四章信息安全，明确要求信息科技部门负责落实信息安全管理职能，负责建立和实施信息分类和保护体系，通过建立有效管理用户认证和访问控制的流程保障业务安全，通过设立物理安全保护区域保障物理安全，通过将网络划分为不同的逻辑安全域保障网络安全，通过操作系统和系统软件的安全控制保障系统安全，同时加强信息系统、终端设备、传输控制、信息保护等方面的安全，并对员工进行持续培训，通过建立信息安全体系，全面控制信息安全方面风险，此章是参考了国内外信息安全最佳实践（ISO27000与等级保护），针对信息科技部门，提出信息科技风险管理的事中控制（第二道防线）的重要组成部分。

第五章系统开发、测试与维护，明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废，制定制度和流程，采取适当的项目管理方法，控制信息科技项目相关的风险。采取适当的系统开发方法，控制信息系统的生命周期。应制定相关控制信息系统变更的制度和流程，确保系统的可靠性、完整性和可维护性，应制定并落实相关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求。此章是针对软件开发与项目实施部门，提出信息科技风险管理的事中控制（第二道防线）的

重要组成部分。

第六章信息科技运行，明确了商业银行数据中心物理环境要求、人员岗位职责要求，并要求商业银行制定详尽的信息科技运行操作说明，建立事故管理及处置机制及时响应信息系统运行事故，建立服务水平管理相关的制度