|
|
|
|
|
|
客戶背景:
山東分行的IT建設在建行內部是領先的。
項目情況:
風險管理是在我國金融業全面開放的背景下銀行業近期發展的關鍵管理活動之一。《新巴塞爾資本協議》中定義的經營風險,包括IT系統給公司帶來的風險。商業銀行面臨的風險是多方面的,IT系統的安全穩定運行對銀行業金融機構來說尤為重要。正是基于對風險管理體系化建設的考慮,山東建行于2006年2月啟動實施針對省行信息科技條線的信息安全管理體系(ISMS)建設項目,并于同年年底接受并通過了BSI的認證審核。
難點特點:
此項目整個過程經歷了準備、實現、運行、認證四個階段,主要解決了以下問題:建立的ISMS務必體現銀行業自身特點并適合銀行業特殊需求;強調過程管理,確保與信息安全相關的資源、技術、管理等因素處于受控狀態;重點放在業務連續性管理、訪問控制、人員安全、第三方安全管理等領域,有效降低風險,提高業務連續保障能力;建立專業化的信息安全管理隊伍,形成持續改進的信息安全管理機制。
最終成果:
該客戶于2007年1月正式獲得UKAS認可的ISO27001證書,為國內銀行業第一家獲得ISO27001信息安全管理體系認證的銀行機構。通過ISMS建設實施,山東建行明確了“以保證業務連續性為根本目標”等十大管理原則,提出了“全面保障、積極防護、動態管理、持續改進”的信息安全方針;形成了持續改進的信息安全管理機制,提升了信息安全管理水平;并與風險內控體系、ISO9000質量管理體系實現融合,建成了“三標”融合的內部管理機制。
