加強商業(yè)銀行的信息科技風險管理的必要性

申請免費試用、咨詢電話：400-8352-114

　　為加強商業(yè)銀行的信息科技風險管理，提升信息科技風險管理能力，09年3月份銀監(jiān)會正式發(fā)布了《商業(yè)銀行信息科技風險管理指引》（以下簡稱《指引》），這是繼出臺有關《商業(yè)銀行操作風險管理指引》、《商業(yè)銀行市場風險管理指引》和《商業(yè)銀行合規(guī)風險管理指引》等一系列的監(jiān)管文件之后，銀監(jiān)會發(fā)布的又一重要風險管理指引。該指引適用于在中華人民共和國境內依法設立的法人商業(yè)銀行。政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮(zhèn)銀行、貸款公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業(yè)金融機構參照執(zhí)行。 　　信息科技風險是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。它和操作風險、信用風險、市場風險一樣，是商業(yè)銀行面臨的主要風險。現階段商業(yè)銀行已經基本完成了信息化建設，在金融管制放松、業(yè)務全球化、金融創(chuàng)新步伐加快以及信息技術的迅猛發(fā)展的大背景下，國際銀行業(yè)金融機構的信息科技風險有增大的趨勢，國際銀行業(yè)和監(jiān)管當局都日益重視信息科技與操作風險的管理和監(jiān)管。目前，國際上宣布實施新資本協(xié)議的國家和地區(qū)都按照新協(xié)議的要求，明確將操作風險納入資本監(jiān)管的范疇，而信息科技風險是操作風險的重要組成部分。 　　需求分析 　　合規(guī)性需求： 　　近年來，國家各部門不斷推出了各種監(jiān)管要求，對IT管控領域也提出了明確的要求。其中與銀行業(yè)信息科技風險相關的法律、法規(guī)與行業(yè)監(jiān)管指引有： 　　2002年，美國國會發(fā)布了SOX《薩班斯—奧克斯利法案》； 　　2004年9月30日，中國銀監(jiān)會發(fā)布了《商業(yè)銀行內部控制評價辦法》； 　　2006年，銀監(jiān)會發(fā)布《電子銀行安全評估指引》 、《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》和《銀行業(yè)金融機構內部審計指引》； 　　2006年6月，國務院國資委出臺了《中央企業(yè)全面風險管理指引》； 　　2007年，公安部明確了《信息系統(tǒng)等級保護基本要求與實施指南》； 　　2009年3月，銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風險管理指引》； 　　谷安天下依據信息科技風險管理體系，從整體上分為IT治理、IT管理、IT控制與審計三個方面，并在此基礎上結合多年的行業(yè)咨詢經驗，陸續(xù)開發(fā)了IT風險管理咨詢服務與IT風險管控系列軟件系統(tǒng)。 　　信息安全風險管理需求 　　銀行業(yè)隨著信息化工作的不斷深入，信息系統(tǒng)的開發(fā)、維護與運行均面臨較大的挑戰(zhàn)，如何保障業(yè)務的持續(xù)運營，如何支撐銀行各項業(yè)務的風險管理，如何保障客戶與自身信息的安全，成為各商業(yè)銀行信息科技部門與風險管理部門的重要任務，因此信息科技風險的管理就顯得迫在眉睫。商業(yè)銀行針對信息科技風險需要審視： 　　是否對所有潛在的重大IT風險都進行了識別、評估和管理？ 　　 面對數量眾多的IT風險，應如何對其進行管理？ 　　如何在全行范圍內推行全面IT風險管理？ 　　 如何將IT風險管理體制與企業(yè)日常IT管理和運營相融合？ 　　 IT風險管理的角色、責任和義務是否合理或明確？ 　　如何增強風險意識，培育風險管理文化？ 　　《信息科技風險管理指引》解析 　　本次頒布的《商業(yè)銀行信息科技風險管理指引》共十一章七十六條，涵蓋了信息科技風險管理的各個領域，同時針對銀行現有的組織架構，對各部門也明確提出了風險管理的要求，下文將就主要條款做一個深入的解析。 　　第一章 總則，明確了指引的目標和適用范圍，指出信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在商業(yè)銀行業(yè)務交易處理、經營管理和內部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。信息科技風險管理的目標是通過建立有效的機制，實現對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。 　　第二章 信息科技治理，明確提出了信息科技治理的概念，明確了信息科技風險管理的責任人，董事會的相關職責，并明確要求商業(yè)銀行應設立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。此章最重要的是明確了商業(yè)銀行風險管理部門、信息科技部門以及內部審計部門在信息科技風險管理中承擔不同的角色和職責，互相協(xié)作共同完善信息科技風險管理的架構。 　　第三章 信息科技風險管理，明確要求商業(yè)銀行應制定符合銀行總體業(yè)務規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風險評估計劃，制定全面的信息科技風險管理策略，建立持續(xù)的信息科技風險計量和監(jiān)測機制。本章是從信息科技風險管理部門的角度，提出商業(yè)銀行信息科技風險管理的事前控制（第一道防線）。 　　第四章 信息安全，明確要求信息科技部門負責落實信息安全管理職能，負責建立和實施信息分類和保護體系，通過建立有效管理用戶認證和訪問控制的流程保障業(yè)務安全，通過設立物理安全保護區(qū)域保障物理安全，通過將網絡劃分為不同的邏輯安全域保障網絡安全，通過操作系統(tǒng)和系統(tǒng)軟件的安全控制保障系統(tǒng)安全，同時加強信息系統(tǒng)、終端設備、傳輸控制、信息保護等方面的安全，并對員工進行持續(xù)培訓，通過建立信息安全體系，全面控制信息安全方面風險，此章是參考了國內外信息安全最佳實踐（ISO27000與等級保護），針對信息科技部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。 　　第五章 系統(tǒng)開發(fā)、測試與維護，明確要求對信息系統(tǒng)進行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護、升級和報廢，制定制度和流程，采取適當的項目管理方法，控制信息科技項目相關的風險。采取適當的系統(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。應制定相關控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護性，應制定并落實相關制度、標準和流程，確保信息系統(tǒng)開發(fā)、測試、維護過程中數據的完整性、保密性和可用性等具體要求。此章是針對軟件開發(fā)與項目實施部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。 　　第六章 信息科技運行，明確了商業(yè)銀行數據中心物理環(huán)境要求、人員崗位職責要求，并要求商業(yè)銀行制定詳盡的信息科技運行操作說明，建立事故管理及處置機制及時響應信息系統(tǒng)運行事故，建立服務水平管理相關的制度和流程，建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關程序，制定容量規(guī)劃應及時進行維護和適當的系統(tǒng)升級，制定有效的變更管理流程以確保生產環(huán)境的完整性和可靠性等。此章主要參考了ITIL最佳實踐，針對數據中心與運行部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。 　　第七章 業(yè)務連續(xù)性管理，明確要求商業(yè)銀行根據自身業(yè)務的性質、規(guī)模和復雜程度制定適當的業(yè)務連續(xù)性規(guī)劃，以確保在出現無法預見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務；定期對規(guī)劃進行更新和演練，以保證其有效性。此章主要參考了BCP最佳實踐，針對業(yè)務運營部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。 　　第八章 外包管理，明確商業(yè)銀行不得將其信息科技管理責任外包，應合理謹慎監(jiān)督外包職能的履行，針對外包方選擇、外包談判、外包協(xié)議，外包執(zhí)行中的信息安全等方面提出了明確要求，此章是針