商业银行信息科技风险管理需求解决方案

2009年版商业银行信息科技风险管理需求解决方案谷安天下李华第1页共8页作者简介：李华，谷安天下公司合伙人，CISA,CISSP,ISO27001LA,ITILFoundation,项目经理。10年IT风险与信息安全领域工作经验，主要从事IT风险管理、IT内部控制、IT治理、信息安全风险评估与规划、信息安全管理体系咨询等方面工作，具备丰富的实践经验。曾服务的主要客户有：某证券交易所、某大型银行、某大型石油企业、中国电信、中国移动等。作为谷安天下IT风险管理学院特聘讲师主要提供CISA、CISSP、信息安全等高端培训。背景为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，09年3月份银监会正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。信息科技风险管理需求分析合规性需求：近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有：2002年，美国国会发布了SOX《萨班斯—奥克斯利法案》；2004年9月30日，中国银监会发布了《商业银行内部控制评价办法》；2006年，银监会发布《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》；2006年6月，国务院国资委出台了《中央企业全面风险管理指引》；2007年，公安部明确了《信息系统等级保护基本要求与实施指南》；2009年3月，银监会发布《商业银行信息科技风险管理指引》；各商业银行如何满足日益严格的各类IT监管要求，成为银行风险管理部门、合规部门、信息科技部门以及审计部门面临的挑战。IT风险管理需求银行业随着信息化工作的不断深入，信息系统的开发、维护与运行均面临较大的挑战，如何保障业务的持续运营，如何支撑银行各项业务的风险管理，如何保障客户与自身信息的第2页共8页安全，成为各商业银行信息科技部门与风险管理部门的重要任务，因此信息科技风险的管理就显得迫在眉睫。商业银行针对信息科技风险需要审视：•是否对所有潜在的重大IT风险都进行了识别、评估和管理？•面对数量众多的IT风险，应如何对其进行管理？•如何在全行范围内推行全面IT风险管理？•如何将IT风险管理体制与企业日常IT管理和运营相融合？•IT风险管理的角色、责任和义务是否合理或明确？•如何增强风险意识，培育风险管理文化？组建并管理IT风险管理团队IT风险管理组织结构建立在IT治理目标组织架构的基础上，遵循IT治理的工作成果，从IT风险管理的主要工作与活动开始，逐步识别并定义IT风险管理的角色，并根据角色模型设计组织架构，确保IT风险管理的各项工作能够得到落实。IT风险管理生命周期以及生命周期各阶段的工作如下图所示：IT风险生命周期管理从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计IT风险管理的职能与组织架构。从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计银行业IT风险管理的职能与组织架构。第3页共8页对于IT风险管理的角色的定位如下图所示。设计IT风险管理框架体系IT风险管理框架体系主要包括如下五个体系框架IT风险管理策略体系：建立企业IT风险管理策略，明确管理层对信息科技风险管理第4页共8页的期望与承诺，描述对企业信息科技风险进行有效管理的方法，规定人员操作的流程与规范，制定系统配置规格、使用策略等。IT风险管理组织体系：建立完成组织信息科技风险管理目标的组织机构，包括跨部门的信息科技风险管理委员会、工作小组、第三方安全服务组织等。IT风险管理运行保障体系：建立日常科技风险运行与维护机制，包括运行监控、问题处理、变更管理等。重点是建立生产运行中安全的问题处理机制，形成完善的运行保障机制，及时、准确、快速地处理运行中的问题，强调执行过程的安全。IT风险管理技术保障体系：应用先进成熟的技术手段与产品，降低安全风险，包括产品的购置与配置加固、防病毒、加强安全域和网络访问控制，统一监控管理平台、统一身份认证与授权管理平台等。应急恢复保障体系：业务连续性计划及灾难恢复规划的实施，包括建立数据灾难备份中心，各个业务系统及IT系统的应急方案，其目标是控制事态发展，保障生命财产安全，恢复正常生产运行状态。IT风险审计体系：审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审核。建设IT风险管理制度与流程信息系统的开发和实施信息系统的采购和开发信息系统的采购和开发涉及系统的设计、采购/建造和布置，以支持业务目标的实现。制度与流程建设需要建立一套考虑到银行在安全、可用性和处理完整性等方面的要求的生命周期系统开发方法。采购新的技术基础设施采购和维护技术基础设施的流程涉及支持应用和通信的系统的设计、采购/建造和布置。基础设施组件，包括服务器、网络和数据库，对于信息处理的安全和可靠是至关重要的。在制度与流程建设中，需要制定并遵守相应的流程，确保基础设施系统，包括网络设备和软件，是根据它们要支持的财务应用程序的需要采购的。应用系统和技术基础设施的安装和测试系统安装测试和确认涉及新系统向生产环境的移植，它确保系统可以按照设计意图运行。没有合适的测试，系统将不能按照预想的方式运行，可能提供无效的信息，这将导致信息和报告的不可靠。在制度与流程建设中，需要制定应用软件和技术基础设施相关技术上的测试策略。信息系统的变更和维护第5页共8页开发和维护政策及流程开发和维护政策及流程涉及软件开发生命周期方法论、采购流程、应用的开发和维护以及相应的文档。这一领域相关的政策和操作程序使得企业能够持续地、有目标地进行商业运作。在制度与流程建设中，需要制定软件开发生命周期方法论和相应的流程、政策。变更管理变更管理表明了企业是如何通过调整系统功能来帮助业务活动满足财务报告目标的。在在制度与流程建设中，需要制定应用变动、系统维护的变更管理程序。系统配置管理系统配置管理保证安全、可获得的控制在系统中建立起来，并且在其生命周期内得到保持。在这方面的能力不足会导致系统安全和可靠性蒙受风险，并将允许对于系统和数据的非法访问。在制度与流程建设中，需要对系统基础设施，包括防火墙、服务器和其它有关设备，以及对应用软件和数据存储系统等配置管理程序，并建立配置基准。系统的操作和运行操作管理操作管理的好坏体现了一个组织通过保持可靠的应用系统来记录、处理和报告财务信息的水平。在这方面的能力缺乏将严重影响企业的财务报告。在制度与流程建设中，需要制定IT操作的标准程序，包括账户管理、批处理管理、系统操作管理、数据操作管理等。服务水平的确定和管理服务水平的确定和管理决定了企业如何满足其客户对其产品功能和业务操作的期望，进而满足其客户的业务目标。在这方面的能力缺乏将严重影响企业的财务报告和信息披露。在在制度与流程建设中，需要定义和管理服务水平来支持财务报告系统的要求。并定义一种框架，建立关键绩效指标，从内部和外部来管理服务水平协议。外包服务管理外包服务管理包括使用外包服务来支持财务应用和相关系统。在制度与流程建设中，需要定义第三方服务管理的程序。系统与信息安全管理信息安全管理策略系统安全方面的管理包括通过物理和逻辑上的控制来防止非法访问。在制度与流程建设中，需要参照ISO27001和国家信息安全等级保护标准，制定完整的系统安全策略体系。信息安全管理机制包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略涉及以下领域：（一）安全制度管理。（二）信息安全组织管理。第6页共8页（三）资产管理。（四）人员安全管理。（五）物理与环境安全管理。（六）通信与运营管理。（七）访问控制管理。（八）系统开发与维护管理。（九）信息安全事故管理。（十）业务连续性管理。（十一）合规性管理。问题和事故管理问题和事故管理表明一个企业是如何对异常事件进行鉴别、记录和反应的。在制度与流程建设中，需要制定和执行问题管理系统，来确保所有标准操作之外的操作事件（如事故、问题和错误）都能得到及时的记录、分析和解决。制定安全事故响应流程，以支持对于非法活动的及时反应和调查。数据管理数据管理涉及用于管理信息完整性、准确性、授权和有效性的控制和程序，对信息的记录、处理和报告起支持作用。在制度与流程建设中，需要制定相应的政策和流程用于数据的处理、分发、保留和报告的输出。IT风险管理软件平台方案IT风险管理已经成为银行风险管理的重要组成部分，急需建立信息化平台支撑IT风险管理的日常工作。风险评估、风险控制、风险监控、监督与审计、风险沟通等工作均涉及大量的日常工作，需要建立相关的系统平台来满足银行IT风险管理相关部门的需求，谷安公司经过多年的行业经验积累，推出了国内首家IT风险管理平台系统。第7页共8页SecurityOperationsManagement安全风险运营管理ITRiskAssessment信息科技风险评估Monitor&AuditIT风险审计管理Planning&ISMS风险管理体系建设安全策略ITSecurityPolicy风险评估管理Goo-Risk风险控制管理Goo-ISMS风险运营管理Goo-Process风险审计管理Goo-Audit风险意识管理Goo-AwarenessSecurityOperationsManagement安全风险运营管理SecurityOperationsManagement安全风险运营管理ITRiskAssessment信息科技风险评估ITRiskAssessment信息科技风险评估Monitor&AuditIT风险审计管理Planning&ISMS风险管理体系建设安全策略ITSecurityPolicy安全策略ITSecurityPolicy风险评估管理Goo-Risk风险评估管理Goo-Risk风险控制管理Goo-ISMS风险控制管理Goo-ISMS风险运营管理Goo-Process风险审计管理Goo-Audit风险意识管理Goo-AwarenessIT风险管控系列软件目前包括如下主要模块：风险评估管理-GooRiskGooRisk信息科技风险评估软件提供了系统化的风险评估方法论和行业风险知识库，包括评估范围定义，安全现状调查，资产威胁分析、漏洞分析、风险综合分析、风险控制措施等主要功能，帮助客户快速自动化的评估自身的资产风险与流程风险。风险控制管理-GooISMSGooISMS风险管理体系建设软件提供了IT风险管理体系规划与管理体系建设的方法论和行业模板库，包括体系规划，体系设计，体系实施，体系保障等主要功能，帮助客户快速建立安全管理体系，通过内部审计、管理评审等管理过程，保障体系的有效运行。风险运营管理-GooProcessGooProcess信息科技风险运营管理软件提供了基本的信息安全日常运作流程，通过自动化工作流引擎，可自主定义帐号管理、权限管理、人员安全、设备安全、物理安全、安全检查、安全事件、安全培训、通知公告等流程，将安全管理流程真正落地。风险审计管理-GooAuditGooAudit安全风险审计管理软件提供了信息安全风险审计检查工具与审计管理流程，包括了各种业务、系统、设备的安全检查列表，符合性测试、实质性测试工具，定期审计管理流程，以及审计底稿、审计报告的管理。风险知识管理-GooA