|
|
|
|
|
|
2017-09-26
通過開展信息科技風險管理咨詢工作,全面、準確地了解銀行的信息科技風險管理現狀,基于銀監會發布的《商業銀行信息科技風險管理指引》、《數據中心監管指引》、《業務連續性管理指引》、《信息科技外包風險監管指引》等監管合規要求,結合商業銀行自身現狀,完善信息科技治理架構,涉及信息科技風險管理合規框架,開展信息科技風險評估并建立風險持續檢測機制,指導商業銀行在信息安全、信息系統開發維護、科技運行、業務連續性、信息科技外包等領域建立并完善各類風險控制措施,有效滿足監管要求。 構建合規框架 以《商業銀行信息科技風險管理指引》為框架,關聯映射各類內外部合規要求,包括但不限于內部現有制度文件、ISO27001、ISO20000、CMMI等。確保各類合規要求均被有效整合在信息科技風險合規框架內。基于整體合規框架的要求,指導銀行完善現有信息科技風險管理組織架構,進一步明確信息科技風險管理職責歸屬,優化跨部門協調工作機制。 規劃科技風險建設藍圖 基于銀行信息科技風險管理現狀,規劃3到5年的信息科技風險管理整體工作目標,結合現有不足,繪制體系建設發展路線圖。從管理、技術、意識能力三大方面...
2015-02-09
《商業銀行信息科技風險管理指引》共十一章七十六條,涵蓋了信息科技風險管理的各個領域,同時針對銀行現有的組織架構,對各部門也明確提出了風險管理的要求,以下將就主要條款做一個深入的解析。 第一章總則,明確了指引的目標和適用范圍,指出信息科技是指計算機、通信、微電子和軟件工程等現代信息技術,在商業銀行業務交易處理、經營管理和內部控制等方面的應用,并包括進行信息科技治理,建立完整的管理組織架構,制訂完善的管理制度和流程。信息科技風險管理的目標是通過建立有效的機制,實現對商業銀行信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健運行,推動業務創新,提高信息技術使用水平,增強核心競爭力和可持續發展能力。 第二章信息科技治理,明確提出了信息科技治理的概念,明確了信息科技風險管理的責任人,董事會的相關職責,并明確要求商業銀行應設立或指派一個特定部門負責信息科技風險管理工作,并直接向首席信息官或首席風險官(風險管理委員會)報告工作。此章最重要的是明確了商業銀行風險管理部門、信息科技部門以及內部審計部門在信息科技風險管理中承擔不同的角色和職責,互相協作共同完善信息科技風險管理的架構。 第三章...
2017-09-25
等級保護與ISO/IEC 27001概念對比信息系統安全等級保護是指對信息系統實行等級化的保護和管理。根據信息系統對國家利益、公共利益和社會穩定的重要性,實行分級、分類、分階段實施保護,確保信息安全和系統安全正常運行,其核心是對信息系統安全分等級、按標準進行建設、管理和監督。等級保護的主要內容涉及四個方面:(1)對信息系統按重要性實行分級保護;(2)對系統中使用的信息安全產品實行按分級許可管理;(3)對等級系統的安全服務資質分級許可管理;(4)對信息系統中發生的信息安全事件分等級響應、處置。信息安全管理體系國際標準起源于英國的BS 7799標準,后逐漸形成國際標準ISO/IEC 27001,該標準主要由兩大部分組成:ISO 27001是“信息安全管理體系要求” (Specification for Information Security Management Systems),是在組織內部建立信息安全管理體系(ISMS)的一套規范,其中詳細說明了建立、實施、運行、監視、評審、保持和改進信息安全管理體系的模型和要求,其最終目的,通過規范的過程,建立適合組織實際要求的信息安全管理體系。ISO/IEC 27002即“信息安全管理實施指南” (Code of practice for Information Security Management Systems),提...
2017-09-25
《商業銀行信息科技風險管理指引》共十一章七十六條,涵蓋了信息科技風險管理的各個領域,同時針對銀行現有的組織架構,對各部門也明確提出了風險管理的要求,以下將就主要條款做一個深入的解析。第一章總則,明確了指引的目標和適用范圍,指出信息科技是指計算機、通信、微電子和軟件工程等現代信息技術,在商業銀行業務交易處理、經營管理和內部控制等方面的應用,并包括進行信息科技治理,建立完整的管理組織架構,制訂完善的管理制度和流程。信息科技風險管理的目標是通過建立有效的機制,實現對商業銀行信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健運行,推動業務創新,提高信息技術使用水平,增強核心競爭力和可持續發展能力。第二章信息科技治理,明確提出了信息科技治理的概念,明確了信息科技風險管理的責任人,董事會的相關職責,并明確要求商業銀行應設立或指派一個特定部門負責信息科技風險管理工作,并直接向首席信息官或首席風險官(風險管理委員會)報告工作。此章最重要的是明確了商業銀行風險管理部門、信息科技部門以及內部審計部門在信息科技風險管理中承擔不同的角色和職責,互相協作共同完善信息科技風險管理的架構。第三章信...
2015-02-09
等級保護與ISO/IEC 27001概念對比 信息系統安全等級保護是指對信息系統實行等級化的保護和管理。根據信息系統對國家利益、公共利益和社會穩定的重要性,實行分級、分類、分階段實施保護,確保信息安全和系統安全正常運行,其核心是對信息系統安全分等級、按標準進行建設、管理和監督。 等級保護的主要內容涉及四個方面: (1)對信息系統按重要性實行分級保護; (2)對系統中使用的信息安全產品實行按分級許可管理; (3)對等級系統的安全服務資質分級許可管理; (4)對信息系統中發生的信息安全事件分等級響應、處置。 信息安全管理體系國際標準起源于英國的BS 7799標準,后逐漸形成國際標準ISO/IEC 27001,該標準主要由兩大部分組成:ISO 27001是“信息安全管理體系要求” (Specification for Information Security Management Systems),是在組織內部建立信息安全管理體系(ISMS)的一套規范,其中詳細說明了建立、實施、運行、監視、評審、保持和改進信息安全管理體系的模型和要求,其最終目的,通過規范的過程,建立適合組織實際要求的信息安全管理體系。ISO/IEC 27002即“信息安全管理實施指南” (Code of practice for Information Security Management Systems...
