信息科技風險管理咨詢

來源：    發布日期：2017.12.11   點擊量：

    銀行企業高度依賴信息科技，信息科技重在安全，而關注安全即關注風險。認識到信息科技風險作為銀行風險重要組成部分，樹立并強化全面的信息科技風險意識，著力加強和完善相關規劃、建設和管理工作，繼而建立全面的信息安全和信息科技風險管理體系，是銀行企業面臨的一項緊迫課題。
    就信息科技風險管理整體性工作而言，銀監會發布的《商業銀行信息科技風險管理指引》無疑是國內各銀行企業一致遵從的“標準”，但如何理解科技風險，如何解讀合規要求，如何與商業銀行IT內控對接，如何確保落地，往往給相關管理者帶來諸多困惑。
    安言咨詢從事信息安全專業咨詢，重點關注金融銀行業，先后為包括建設銀行、交通銀行、農業銀行、招商銀行、廣發銀行等機構提供過專業咨詢服務，對銀行企業實施IT治理、信息科技風險管理和內控合規有著深刻的理解，并為此專門提出一套解決方案。
    我們認為，銀監會《商業銀行信息科技風險管理指引》與國際權威的COSO-ERM企業全面風險管理框架有著高度的一致性，這意味著，銀行企業在IT領域實施風險管理，必然遵循企業全面風險管理的總體框架，并與包括市場風險、信用風險、流動風險等在內的傳統業務風險保持對接，在操作風險領域實現風險識別、評價、控制和監測。

    -現狀調研：結合外部風險環境和內部發展要求，對信息科技風險管理現狀進行分析，并做合規差距分析
    -風險評估：整體進行風險識別與評估，分級定位突出問題
    -架構設計：從企業戰略到IT戰略，繼而明確信息科技風險管理目標并做目標分解，確定發展原則和策略。從合規管理、組織架構及職責、考核評價、培訓教育等治理層面，到風險管理、控制框架（含體系融合）和保障機制等管控層面，進行整體架構設計。進而設計關鍵任務
    -項目規劃：通過信息科技風險管理差距分析確定改進需求，繼而確定改進措施，對改進措施進行分析整合，設計各類項目。進行項目優先級和依賴關系分析，確定實施路線，做投資管理，并做可行性分析，最終確定信息科技風險管理項目目錄

    以COSO-ERM為總體框架，充分借鑒包括ISO27001、ISO20000、ISO22301（原BS25999）、ISO38500、CMMI、CobiT、ISO31000等權威標準，整體規劃，階段實施，逐步實現管理體系建設、優化與融合，這是銀行企業在信息科技風險管理體系建設方面可行的思路。

可參照的權威標準和最佳實踐

    為此，安言咨詢提出了所謂“三段論”的解決方案，即經過三個規劃和發展階段，建設層層遞進的三個體系，在三個層面上，依靠三重保障，落實三類工具，最終實現可與業務風險管理對接的全面的信息科技風險管理。

    建立信息科技風險管理綜合評價體系，對信息科技風險管理涉及各個方面的工作績效進行量化分析（有效性測量），包括風險管理、風險控制、制度流程、崗位職責、人員意識等。其次，在量化分析基礎上，以能力成熟度模式（CMM）建立綜合評價體系。基于綜合評價結果，可做歷史比對和趨勢分析，實現目標化管理。

    在整體規劃期間，銀行企業需高度重視信息科技風險管理戰略目標與企業整體發展戰略的一致性，并在落實三道防線的組織架構、全生命周期的風險管理機制、高度整合的風險控制框架、自適應的合規管理、多層次的意識培訓，以及績效評價和保障機制等方面做好設計和規劃，從而確保信息科技風險管理體系藍圖能最終實現。

信息科技風險管理體系-組織規劃

信息科技風險管理咨詢建設
-信息科技治理：明確指出商業銀行信息科技的第一責任人并要求建立從上到下的一系列相關信息科技機構和責任人，要求商業銀行各級管理層，都要清晰定義各自的信息安全職責。設立專門的信息安全管理部門或機構，并要注重對相關人員的培訓。同時要求確定風險識別、計量、監測和監控機制、事件上報機制和報告審計、制度審核等流程要求，并對知識產權和信息科技風險披露提出要求。
-信息科技風險管理：要求建立符合銀行總體業務規劃的信息科技戰略、運行計劃和風險評估計劃。商業銀行所制定風險管理策略應包括：信息分級與保護；信息系統開發、測試和維護；信息科技運行和維護；訪問控制；物理安全；人員安全；業務連續性計劃與應急處理。并對風險識別、評估流程、風險防范、風險計量和監測機制、持續性提出了要求。同時提出對外資銀行或有境外機構的中資銀行應該遵守境內外監管機構關于信息科技風險管理的要求，并防范因監管差異所造成的風險。
-信息安全：明確了建立信息分類和保護體系、落實信息安全管理的責任部門。并對信息安全管理機制提出了明確要求，指出信息安全策略應包括：安全制度管理、信息安全組織管理、資產管理、人員安全管理、物理與環境安全管理、通信與運營管理、訪問控制管理、系統開發與維護管理、信息安全事故管理、業務連續性管理、合規性管理。尤其對用戶認證和訪問控制、物理安全、網絡安全、操作系統和系統軟件安全、信息系統安全、日志安全、加密技術、終端設備安全、客戶信息安全、人員培訓等方面進行了更為細致的要求。
-信息系統開發、測試和維護：從信息系統生命周期從發，針對信息系統研發過程中的：需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢等各個方面提出安全控制要求。并對項目開發過程的進度控制、風險控制、事件控制、驗收測試也同樣提出了安全要求。
-信息科技運行：針對商業銀行的信息科技運行安全控制要求。包括：數據中心物理安全、第三方人員安全、人員（崗位）職責、交易記錄管理、信息存儲安全、運行操作規范機制、事故管理及處理機制、服務水平管理、系統性能監控、容量規劃、系統升級管理、變更管理等各方面管理要求。
-業務連續性管理：為確保商業銀行在出現無法預見的中斷時，系統仍能持續運行并提供服務為目。對銀行意外事件風險評估、技術措施、運營連續性策略、業務連續性計劃和年度應急演練等內容提出了要求。
-外包：就商業銀行與外包方的外包風險方面進行了安全控制要求，并明確了信息科技管理責任不得外包。涉及：重要外包上報要求、外包協議簽署或變更時的主要事項、外包談判考慮因素、雙方關系管理考慮因素、敏感信息安全、外包應急措施、外包合同審核等方面。
-內部審計：明確了內審部門的獨立性，定義了商業銀行內審責任，對銀行內審范圍和頻率的定義、內審啟動條件等方面提出明確的管控要求。
-外部審計：明確了外審部門的來源，指出了外審結果流程要求，提出了被審核銀行的誠實配合要求和對外審機構的保密要求。

信息科技風險管理策略建設成果示例（部分）：
  

相關客戶案例：