ISO27001與銀行信息科技風險管理指引對比映射
來源: 發布日期: 點擊量:
《商業銀行信息科技風險管理指引》共十一章七十六條,涵蓋了信息科技風險管理的各個領域,同時針對銀行現有的組織架構,對各部門也明確提出了風險管理的要求,以下將就主要條款做一個深入的解析。
第一章總則,明確了指引的目標和適用范圍,指出信息科技是指計算機、通信、微電子和軟件工程等現代信息技術,在商業銀行業務交易處理、經營管理和內部控制等方面的應用,并包括進行信息科技治理,建立完整的管理組織架構,制訂完善的管理制度和流程。信息科技風險管理的目標是通過建立有效的機制,實現對商業銀行信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健運行,推動業務創新,提高信息技術使用水平,增強核心競爭力和可持續發展能力。
第二章信息科技治理,明確提出了信息科技治理的概念,明確了信息科技風險管理的責任人,董事會的相關職責,并明確要求商業銀行應設立或指派一個特定部門負責信息科技風險管理工作,并直接向首席信息官或首席風險官(風險管理委員會)報告工作。此章最重要的是明確了商業銀行風險管理部門、信息科技部門以及內部審計部門在信息科技風險管理中承擔不同的角色和職責,互相協作共同完善信息科技風險管理的架構。
第三章信息科技風險管理,明確要求商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃,制定全面的信息科技風險管理策略,建立持續的信息科技風險計量和監測機制。本章是從信息科技風險管理部門的角度,提出商業銀行信息科技風險管理的事前控制(第一道防線)。
第四章信息安全,明確要求信息科技部門負責落實信息安全管理職能,負責建立和實施信息分類和保護體系,通過建立有效管理用戶認證和訪問控制的流程保障業務安全,通過設立物理安全保護區域保障物理安全,通過將網絡劃分為不同的邏輯安全域保障網絡安全,通過操作系統和系統軟件的安全控制保障系統安全,同時加強信息系統、終端設備、傳輸控制、信息保護等方面的安全,并對員工進行持續培訓,通過建立信息安全體系,全面控制信息安全方面風險,此章是參考了國內外信息安全最佳實踐(ISO27000與等級保護),針對信息科技部門,提出信息科技風險管理的事中控制(第二道防線)的重要組成部分。
第五章系統開發、測試與維護,明確要求對信息系統進行需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢,制定制度和流程,采取適當的項目管理方法,控制信息科技項目相關的風險。采取適當的系統開發方法,控制信息系統的生命周期。應制定相關控制信息系統變更的制度和流程,確保系統的可靠性、完整性和可維護性,應制定并落實相關制度、標準和流程,確保信息系統開發、測試、維護過程中數據的完整性、保密性和可用性等具體要求。此章是針對軟件開發與項目實施部門,提出信息科技風險管理的事中控制(第二道防線)的重要組成部分。
第六章信息科技運行,明確了商業銀行數據中心物理環境要求、人員崗位職責要求,并要求商業銀行制定詳盡的信息科技運行操作說明,建立事故管理及處置機制及時響應信息系統運行事故,建立服務水平管理相關的制度和流程,建立連續監控信息系統性能的相關程序,制定容量規劃應及時進行維護和適當的系統升級,制定有效的變更管理流程以確保生產環境的完整性和可靠性等。此章主要參考了ITIL最佳實踐,針對數據中心與運行部門,提出信息科技風險管理的事中控制(第二道防線)的重要組成部分。
第七章業務連續性管理,明確要求商業銀行根據自身業務的性質、規模和復雜程度制定適當的業務連續性規劃,以確保在出現無法預見的中斷時,系統仍能持續運行并提供服務;定期對規劃進行更新和演練,以保證其有效性。此章主要參考了BCP最佳實踐,針對業務運營部門,提出信息科技風險管理的事中控制(第二道防線)的重要組成部分。
第八章外包管理,明確商業銀行不得將其信息科技管理責任外包,應合理謹慎監督外包職能的履行,針對外包方選擇、外包談判、外包協議,外包執行中的信息安全等方面提出了明確要求,此章是針對商業銀行各部門的外包合作,提出信息科技風險管理的事中控制(第二道防線)的重要組成部分。
第九章內部審計,明確商業銀行內部審計部門應根據業務的性質、規模和復雜程度,對相關系統及其控制的適當性和有效性進行監測。至少應每三年進行一次全面審計。在進行大規模系統開發時,要求信息科技風險管理部門和內部審計部門參與,進行專項審計等。此章主要針對內部審計部門職責,提出信息科技風險管理的事后控制(第三道防線)的重要組成部分。
第十章外部審計,明確商業銀行在符合法律、法規和監管要求的情況下,委托具備相應資質的外部審計機構進行信息科技外部審計。此章主要從外部審計角度,提出信息科技風險管理的事后控制(第三道防線)的重要組成部分。
通過指引解析,我們可以看出,指引的編寫借鑒了Cobit、ISO27000、ITIL、CMM、BCP等國內外的最佳實踐,為商業銀行的信息科技風險管理指明了方向。同時,本指引從商業銀行信息科技相關的每一個主要部門的角度出發,分別提出具體的監管要求,從而使得本指引具備非常強的可操作性。
相關知識:
