银行企业高度依赖信息科技,信息科技重在安全,而关注安全即关注风险。认识到信息科技风险作为银行风险重要组成部分,树立并强化全面的信息科技风险意识,着力加强和完善相关规划、建设和管理工作,继而建立全面的信息安全和信息科技风险管理体系,是银行企业面临的一项紧迫课题。
就信息科技风险管理整体性工作而言,银监会发布的《商业银行信息科技风险管理指引》无疑是国内各银行企业一致遵从的“标准”,但如何理解科技风险,如何解读合规要求,如何与商业银行it内控对接,如何确保落地,往往给相关管理者带来诸多困惑。
安言咨询从事信息安全专业咨询,重点关注金融银行业,先后为包括建设银行、交通银行、农业银行、招商银行、广发银行等机构提供过专业咨询服务,对银行企业实施it治理、信息科技风险管理和内控合规有着深刻的理解,并为此专门提出一套解决方案。
我们认为,银监会《商业银行信息科技风险管理指引》与国际权威的coso-erm企业全面风险管理框架有着高度的一致性,这意味着,银行企业在it领域实施风险管理,必然遵循企业全面风险管理的总体框架,并与包括市场风险、信用风险、流动风险等在内的传统业务风险保持对接,在操作风险领域实现风险识别、评价、控制和监测。
-现状调研:结合外部风险环境和内部发展要求,对信息科技风险管理现状进行分析,并做合规差距分析
-风险评估:整体进行风险识别与评估,分级定位突出问题
-架构设计:从企业战略到it战略,继而明确信息科技风险管理目标并做目标分解,确定发展原则和策略。从合规管理、组织架构及职责、考核评价、培训教育等治理层面,到风险管理、控制框架(含体系融合)和保障机制等管控层面,进行整体架构设计。进而设计关键任务
-项目规划:通过信息科技风险管理差距分析确定改进需求,继而确定改进措施,对改进措施进行分析整合,设计各类项目。进行项目优先级和依赖关系分析,确定实施路线,做投资管理,并做可行性分析,最终确定信息科技风险管理项目目录
以coso-erm为总体框架,充分借鉴包括iso27001、iso20000、iso22301(原bs25999)、iso38500、cmmi、cobit、iso31000等权威标准,整体规划,阶段实施,逐步实现管理体系建设、优化与融合,这是银行企业在信息科技风险管理体系建设方面可行的思路。
可参照的权威标准和最佳实践
为此,安言咨询提出了所谓“三段论”的解决方案,即经过三个规划和发展阶段,建设层层递进的三个体系,在三个层面上,依靠三重保障,落实三类工具,最终实现可与业务风险管理对接的全面的信息科技风险管理。
建立信息科技风险管理综合评价体系,对信息科技风险管理涉及各个方面的工作绩效进行量化分析(有效性测量),包括风险管理、风险控制、制度流程、岗位职责、人员意识等。其次,在量化分析基础上,以能力成熟度模式(cmm)建立综合评价体系。 基于综合评价结果,可做历史比对和趋势分析,实现目标化管理。
在整体规划期间,银行企业需高度重视信息科技风险管理战略目标与企业整体发展战略的一致性,并在落实三道防线的组织架构、全生命周期的风险管理机制、高度整合的风险控制框架、自适应的合规管理、多层次的意识培训,以及绩效评价和保障机制等方面做好设计和规划,从而确保信息科技风险管理体系蓝图能最终实现。
信息科技风险管理体系-组织规划
信息科技风险管理咨询建设
-信息科技治理:明确指出商业银行信息科技的第一责任人并要求建立从上到下的一系列相关信息科技机构和责任人,要求商业银行各级管理层,都要清晰定义各自的信息安全职责。设立专门的信息安全管理部门或机构,并要注重对相关人员的培训。同时要求确定风险识别、计量、监测和监控机制、事件上报机制和报告审计、制度审核等流程要求,并对知识产权和信息科技风险披露提出要求。
-信息科技风险管理:要求建立符合银行总体业务规划的信息科技战略、运行计划和风险评估计划。商业银行所制定风险管理策略应包括:信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处理。并对风险识别、评估流程、风险防范、风险计量和监测机制、持续性提出了要求。同时提出对外资银行或有境外机构的中资银行应该遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。
-信息安全:明确了建立信息分类和保护体系、落实信息安全管理的责任部门。并对信息安全管理机制提出了明确要求,指出信息安全策略应包括:安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。尤其对用户认证和访问控制、物理安全、网络安全、操作系统和系统软件安全、信息系统安全、日志安全、加密技术、终端设备安全、客户信息安全、人员培训等方面进行了更为细致的要求。
-信息系统开发、测试和维护:从信息系统生命周期从发,针对信息系统研发过程中的:需求分析、规划、采购、开发、测试、部署、维护、升级和报废等各个方面提出安全控制要求。并对项目开发过程的进度控制、风险控制、事件控制、验收测试也同样提出了安全要求。
-信息科技运行:针对商业银行的信息科技运行安全控制要求。包括:数据中心物理安全、第三方人员安全、人员(岗位)职责、交易记录管理、信息存储安全、运行操作规范机制、事故管理及处理机制、服务水平管理、系统性能监控、容量规划、系统升级管理、变更管理等各方面管理要求。
-业务连续性管理:为确保商业银行在出现无法预见的中断时,系统仍能持续运行并提供服务为目。对银行意外事件风险评估、技术措施、运营连续性策略、业务连续性计划和年度应急演练等内容提出了要求。
-外包:就商业银行与外包方的外包风险方面进行了安全控制要求,并明确了信息科技管理责任不得外包。涉及:重要外包上报要求、外包协议签署或变更时的主要事项、外包谈判考虑因素、双方关系管理考虑因素、敏感信息安全、外包应急措施、外包合同审核等方面。
-内部审计:明确了内审部门的独立性,定义了商业银行内审责任,对银行内审范围和频率的定义、内审启动条件等方面提出明确的管控要求。
-外部审计:明确了外审部门的来源,指出了外审结果流程要求,提出了被审核银行的诚实配合要求和对外审机构的保密要求。