監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

加強(qiáng)商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理的必要性

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

  為加強(qiáng)商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理,提升信息科技風(fēng)險(xiǎn)管理能力,09年3月份銀監(jiān)會(huì)正式發(fā)布了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》(以下簡(jiǎn)稱《指引》),這是繼出臺(tái)有關(guān)《商業(yè)銀行操作風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行市場(chǎng)風(fēng)險(xiǎn)管理指引》和《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》等一系列的監(jiān)管文件之后,銀監(jiān)會(huì)發(fā)布的又一重要風(fēng)險(xiǎn)管理指引。該指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)參照?qǐng)?zhí)行。   信息科技風(fēng)險(xiǎn)是指信息科技在商業(yè)銀行運(yùn)用過程中,由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。它和操作風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)一樣,是商業(yè)銀行面臨的主要風(fēng)險(xiǎn)?,F(xiàn)階段商業(yè)銀行已經(jīng)基本完成了信息化建設(shè),在金融管制放松、業(yè)務(wù)全球化、金融創(chuàng)新步伐加快以及信息技術(shù)的迅猛發(fā)展的大背景下,國際銀行業(yè)金融機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)有增大的趨勢(shì),國際銀行業(yè)和監(jiān)管當(dāng)局都日益重視信息科技與操作風(fēng)險(xiǎn)的管理和監(jiān)管。目前,國際上宣布實(shí)施新資本協(xié)議的國家和地區(qū)都按照新協(xié)議的要求,明確將操作風(fēng)險(xiǎn)納入資本監(jiān)管的范疇,而信息科技風(fēng)險(xiǎn)是操作風(fēng)險(xiǎn)的重要組成部分。   需求分析   合規(guī)性需求:   近年來,國家各部門不斷推出了各種監(jiān)管要求,對(duì)IT管控領(lǐng)域也提出了明確的要求。其中與銀行業(yè)信息科技風(fēng)險(xiǎn)相關(guān)的法律、法規(guī)與行業(yè)監(jiān)管指引有:   2002年,美國國會(huì)發(fā)布了SOX《薩班斯—奧克斯利法案》;   2004年9月30日,中國銀監(jiān)會(huì)發(fā)布了《商業(yè)銀行內(nèi)部控制評(píng)價(jià)辦法》;   2006年,銀監(jiān)會(huì)發(fā)布《電子銀行安全評(píng)估指引》 、《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》和《銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引》;   2006年6月,國務(wù)院國資委出臺(tái)了《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》;   2007年,公安部明確了《信息系統(tǒng)等級(jí)保護(hù)基本要求與實(shí)施指南》;   2009年3月,銀監(jiān)會(huì)發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》;   谷安天下依據(jù)信息科技風(fēng)險(xiǎn)管理體系,從整體上分為IT治理、IT管理、IT控制與審計(jì)三個(gè)方面,并在此基礎(chǔ)上結(jié)合多年的行業(yè)咨詢經(jīng)驗(yàn),陸續(xù)開發(fā)了IT風(fēng)險(xiǎn)管理咨詢服務(wù)與IT風(fēng)險(xiǎn)管控系列軟件系統(tǒng)。   信息安全風(fēng)險(xiǎn)管理需求   銀行業(yè)隨著信息化工作的不斷深入,信息系統(tǒng)的開發(fā)、維護(hù)與運(yùn)行均面臨較大的挑戰(zhàn),如何保障業(yè)務(wù)的持續(xù)運(yùn)營,如何支撐銀行各項(xiàng)業(yè)務(wù)的風(fēng)險(xiǎn)管理,如何保障客戶與自身信息的安全,成為各商業(yè)銀行信息科技部門與風(fēng)險(xiǎn)管理部門的重要任務(wù),因此信息科技風(fēng)險(xiǎn)的管理就顯得迫在眉睫。商業(yè)銀行針對(duì)信息科技風(fēng)險(xiǎn)需要審視:   是否對(duì)所有潛在的重大IT風(fēng)險(xiǎn)都進(jìn)行了識(shí)別、評(píng)估和管理?    面對(duì)數(shù)量眾多的IT風(fēng)險(xiǎn),應(yīng)如何對(duì)其進(jìn)行管理?   如何在全行范圍內(nèi)推行全面IT風(fēng)險(xiǎn)管理?    如何將IT風(fēng)險(xiǎn)管理體制與企業(yè)日常IT管理和運(yùn)營相融合?    IT風(fēng)險(xiǎn)管理的角色、責(zé)任和義務(wù)是否合理或明確?   如何增強(qiáng)風(fēng)險(xiǎn)意識(shí),培育風(fēng)險(xiǎn)管理文化?   《信息科技風(fēng)險(xiǎn)管理指引》解析   本次頒布的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》共十一章七十六條,涵蓋了信息科技風(fēng)險(xiǎn)管理的各個(gè)領(lǐng)域,同時(shí)針對(duì)銀行現(xiàn)有的組織架構(gòu),對(duì)各部門也明確提出了風(fēng)險(xiǎn)管理的要求,下文將就主要條款做一個(gè)深入的解析。   第一章 總則,明確了指引的目標(biāo)和適用范圍,指出信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù),在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用,并包括進(jìn)行信息科技治理,建立完整的管理組織架構(gòu),制訂完善的管理制度和流程。信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制,實(shí)現(xiàn)對(duì)商業(yè)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制,促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行,推動(dòng)業(yè)務(wù)創(chuàng)新,提高信息技術(shù)使用水平,增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。   第二章 信息科技治理,明確提出了信息科技治理的概念,明確了信息科技風(fēng)險(xiǎn)管理的責(zé)任人,董事會(huì)的相關(guān)職責(zé),并明確要求商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作,并直接向首席信息官或首席風(fēng)險(xiǎn)官(風(fēng)險(xiǎn)管理委員會(huì))報(bào)告工作。此章最重要的是明確了商業(yè)銀行風(fēng)險(xiǎn)管理部門、信息科技部門以及內(nèi)部審計(jì)部門在信息科技風(fēng)險(xiǎn)管理中承擔(dān)不同的角色和職責(zé),互相協(xié)作共同完善信息科技風(fēng)險(xiǎn)管理的架構(gòu)。   第三章 信息科技風(fēng)險(xiǎn)管理,明確要求商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評(píng)估計(jì)劃,制定全面的信息科技風(fēng)險(xiǎn)管理策略,建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)機(jī)制。本章是從信息科技風(fēng)險(xiǎn)管理部門的角度,提出商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的事前控制(第一道防線)。   第四章 信息安全,明確要求信息科技部門負(fù)責(zé)落實(shí)信息安全管理職能,負(fù)責(zé)建立和實(shí)施信息分類和保護(hù)體系,通過建立有效管理用戶認(rèn)證和訪問控制的流程保障業(yè)務(wù)安全,通過設(shè)立物理安全保護(hù)區(qū)域保障物理安全,通過將網(wǎng)絡(luò)劃分為不同的邏輯安全域保障網(wǎng)絡(luò)安全,通過操作系統(tǒng)和系統(tǒng)軟件的安全控制保障系統(tǒng)安全,同時(shí)加強(qiáng)信息系統(tǒng)、終端設(shè)備、傳輸控制、信息保護(hù)等方面的安全,并對(duì)員工進(jìn)行持續(xù)培訓(xùn),通過建立信息安全體系,全面控制信息安全方面風(fēng)險(xiǎn),此章是參考了國內(nèi)外信息安全最佳實(shí)踐(ISO27000與等級(jí)保護(hù)),針對(duì)信息科技部門,提出信息科技風(fēng)險(xiǎn)管理的事中控制(第二道防線)的重要組成部分。   第五章 系統(tǒng)開發(fā)、測(cè)試與維護(hù),明確要求對(duì)信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測(cè)試、部署、維護(hù)、升級(jí)和報(bào)廢,制定制度和流程,采取適當(dāng)?shù)捻?xiàng)目管理方法,控制信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法,控制信息系統(tǒng)的生命周期。應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程,確保系統(tǒng)的可靠性、完整性和可維護(hù)性,應(yīng)制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程,確保信息系統(tǒng)開發(fā)、測(cè)試、維護(hù)過程中數(shù)據(jù)的完整性、保密性和可用性等具體要求。此章是針對(duì)軟件開發(fā)與項(xiàng)目實(shí)施部門,提出信息科技風(fēng)險(xiǎn)管理的事中控制(第二道防線)的重要組成部分。   第六章 信息科技運(yùn)行,明確了商業(yè)銀行數(shù)據(jù)中心物理環(huán)境要求、人員崗位職責(zé)要求,并要求商業(yè)銀行制定詳盡的信息科技運(yùn)行操作說明,建立事故管理及處置機(jī)制及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故,建立服務(wù)水平管理相關(guān)的制度和流程,建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序,制定容量規(guī)劃應(yīng)及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級(jí),制定有效的變更管理流程以確保生產(chǎn)環(huán)境的完整性和可靠性等。此章主要參考了ITIL最佳實(shí)踐,針對(duì)數(shù)據(jù)中心與運(yùn)行部門,提出信息科技風(fēng)險(xiǎn)管理的事中控制(第二道防線)的重要組成部分。   第七章 業(yè)務(wù)連續(xù)性管理,明確要求商業(yè)銀行根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃,以確保在出現(xiàn)無法預(yù)見的中斷時(shí),系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù);定期對(duì)規(guī)劃進(jìn)行更新和演練,以保證其有效性。此章主要參考了BCP最佳實(shí)踐,針對(duì)業(yè)務(wù)運(yùn)營部門,提出信息科技風(fēng)險(xiǎn)管理的事中控制(第二道防線)的重要組成部分。   第八章 外包管理,明確商業(yè)銀行不得將其信息科技管理責(zé)任外包,應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行,針對(duì)外包方選擇、外包談判、外包協(xié)議,外包執(zhí)行中的信息安全等方面提出了明確要求,此章是針
發(fā)布:2007-04-14 11:34    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
辦公管理系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普工單管理系統(tǒng)其他應(yīng)用

員工管理軟件 工作日程管理軟件 門禁考勤系統(tǒng) 門禁管理系統(tǒng) 電話管理系統(tǒng) 設(shè)備管理系統(tǒng) 工單管理系統(tǒng) 設(shè)備管理系統(tǒng)免費(fèi)版 免費(fèi)工單管理系統(tǒng) 免費(fèi)日程管理軟件 日程管理軟件免費(fèi)下載 電話管理軟件下載 門禁管理系統(tǒng) 工單管理軟件