|
|
|
|
|
|
客戶背景:
“浙商銀行”是經中國銀監會批準設立的全國性股份制商業銀行,全稱為“浙商銀行股份有限公司”。浙商銀行于2004年8月18日正式開業,總行設在浙江省杭州市。截至2014年6月末,浙商銀行股東24家,注冊資本115億元,監管資本380余億元、總資產近6000億元。
項目情況:
浙商銀行信息安全管理體系建設和認證項目自2014年7月啟動,項目組通過現場調研、風險評估、體系設計、制度修訂和完善等工作,在8月底正式發布了信息安全管理體系。在體系試運行期間,安言咨詢梳理了各項信息安全工作職責,幫助浙商銀行信息科技部更好的落實各項信息安全管理工作,并通過內部審核、管理評審、信息科技風險指標監測等工作驗證和評價了體系實施效果。
難點特點:
浙商銀行信息科技部自2007年起就已經根據ISO27001標準以及銀監會和人民銀行各項監管要求逐步建立了各項信息安全和信息科技風險管理的規章制度和實施細則,并在實際工作中得到很好的落實。近幾年,在銀監會關于信息科技風險管理的檢查工作中,浙商銀行均能在12家股份制商業銀行中排名前三。在此基礎上,安言咨詢根據多年的咨詢和研究成果, 針對商業銀行對信息安全管理的需求建立了商業銀行總體合規框架,作為體系建設工作開展的基礎。合規體系框架以商業銀行信息科技風險管理指引、ISO27001標準、信息系統等級保護標準以及其他相關法律法規要求為輸入,以ISO27001標準作為基礎框架,使各類標準及合規要求向ISO27001的114控制項進行映射,對相同要求進行合并,對細化要求進行融入,對框架外要求進行整理,最終建立一個完善的信息安全管理框架。以這個總體合規模型作為信息安全管理體系建設的基礎,既著眼全局、不遺漏,同時又突出重點,符合銀行業自身特點,具有較強的針對性。在體系運行期間,我們梳理了各項信息安全工作職責,列明各項工作的責任崗位、工作頻率、工作內容及工作輸出,幫助信息科技部員工能夠更好的執行信息安全工作。同時,我們根據PDCA模型,通過對信息科技風險的識別、評價、控制和監測,實現對信息科技風險的動態管理。
最終成果:
在體系運行期間,依靠浙商銀行信息科技部全體員工切實按照體系文件的要求執行信息安全和信息科技風險管理的各項工作,最終以零不符合項通過ISCCC的認證審核,順利獲取認證證書。
