加強商業(yè)銀行的信息科技風險管理的必要性

申請免費試用、咨詢電話：400-8352-114

　　為加強商業(yè)銀行的信息科技風險管理，提升信息科技風險管理能力，09年3月份銀監(jiān)會正式發(fā)布了《商業(yè)銀行信息科技風險管理指引》（以下簡稱《指引》），這是繼出臺有關(guān)《商業(yè)銀行操作風險管理指引》、《商業(yè)銀行市場風險管理指引》和《商業(yè)銀行合規(guī)風險管理指引》等一系列的監(jiān)管文件之后，銀監(jiān)會發(fā)布的又一重要風險管理指引。該指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀公司等其他銀行業(yè)金融機構(gòu)參照執(zhí)行。 　　信息科技風險是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。它和操作風險、信用風險、市場風險一樣，是商業(yè)銀行面臨的主要風險?，F(xiàn)階段商業(yè)銀行已經(jīng)基本完成了信息化建設(shè)，在金融管制放松、業(yè)務(wù)全球化、金融創(chuàng)新步伐加快以及信息技術(shù)的迅猛發(fā)展的大背景下，國際銀行業(yè)金融機構(gòu)的信息科技風險有增大的趨勢，國際銀行業(yè)和監(jiān)管當局都日益重視信息科技與操作風險的管理和監(jiān)管。目前，國際上宣布實施新資本協(xié)議的國家和地區(qū)都按照新協(xié)議的要求，明確將操作風險納入資本監(jiān)管的范疇，而信息科技風險是操作風險的重要組成部分。 　　需求分析 　　合規(guī)性需求： 　　近年來，國家各部門不斷推出了各種監(jiān)管要求，對IT管控領(lǐng)域也提出了明確的要求。其中與銀行業(yè)信息科技風險相關(guān)的法律、法規(guī)與行業(yè)監(jiān)管指引有： 　　2002年，美國國會發(fā)布了SOX《薩班斯—奧克斯利法案》； 　　2004年9月30日，中國銀監(jiān)會發(fā)布了《商業(yè)銀行內(nèi)部控制評價辦法》； 　　2006年，銀監(jiān)會發(fā)布《電子銀行安全評估指引》 、《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》和《銀行業(yè)金融機構(gòu)內(nèi)部審計指引》； 　　2006年6月，國務(wù)院國資委出臺了《中央企業(yè)全面風險管理指引》； 　　2007年，公安部明確了《信息系統(tǒng)等級保護基本要求與實施指南》； 　　2009年3月，銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風險管理指引》； 　　谷安天下依據(jù)信息科技風險管理體系，從整體上分為IT治理、IT管理、IT控制與審計三個方面，并在此基礎(chǔ)上結(jié)合多年的行業(yè)咨詢經(jīng)驗，陸續(xù)開發(fā)了IT風險管理咨詢服務(wù)與IT風險管控系列軟件系統(tǒng)。 　　信息安全風險管理需求 　　銀行業(yè)隨著信息化工作的不斷深入，信息系統(tǒng)的開發(fā)、維護與運行均面臨較大的挑戰(zhàn)，如何保障業(yè)務(wù)的持續(xù)運營，如何支撐銀行各項業(yè)務(wù)的風險管理，如何保障客戶與自身信息的安全，成為各商業(yè)銀行信息科技部門與風險管理部門的重要任務(wù)，因此信息科技風險的管理就顯得迫在眉睫。商業(yè)銀行針對信息科技風險需要審視： 　　是否對所有潛在的重大IT風險都進行了識別、評估和管理？ 　　 面對數(shù)量眾多的IT風險，應如何對其進行管理？ 　　如何在全行范圍內(nèi)推行全面IT風險管理？ 　　 如何將IT風險管理體制與企業(yè)日常IT管理和運營相融合？ 　　 IT風險管理的角色、責任和義務(wù)是否合理或明確？ 　　如何增強風險意識，培育風險管理文化？ 　　《信息科技風險管理指引》解析 　　本次頒布的《商業(yè)銀行信息科技風險管理指引》共十一章七十六條，涵蓋了信息科技風險管理的各個領(lǐng)域，同時針對銀行現(xiàn)有的組織架構(gòu)，對各部門也明確提出了風險管理的要求，下文將就主要條款做一個深入的解析。 　　第一章 總則，明確了指引的目標和適用范圍，指出信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。信息科技風險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。 　　第二章 信息科技治理，明確提出了信息科技治理的概念，明確了信息科技風險管理的責任人，董事會的相關(guān)職責，并明確要求商業(yè)銀行應設(shè)立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。此章最重要的是明確了商業(yè)銀行風險管理部門、信息科技部門以及內(nèi)部審計部門在信息科技風險管理中承擔不同的角色和職責，互相協(xié)作共同完善信息科技風險管理的架構(gòu)。 　　第三章 信息科技風險管理，明確要求商業(yè)銀行應制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風險評估計劃，制定全面的信息科技風險管理策略，建立持續(xù)的信息科技風險計量和監(jiān)測機制。本章是從信息科技風險管理部門的角度，提出商業(yè)銀行信息科技風險管理的事前控制（第一道防線）。 　　第四章 信息安全，明確要求信息科技部門負責落實信息安全管理職能，負責建立和實施信息分類和保護體系，通過建立有效管理用戶認證和訪問控制的流程保障業(yè)務(wù)安全，通過設(shè)立物理安全保護區(qū)域保障物理安全，通過將網(wǎng)絡(luò)劃分為不同的邏輯安全域保障網(wǎng)絡(luò)安全，通過操作系統(tǒng)和系統(tǒng)軟件的安全控制保障系統(tǒng)安全，同時加強信息系統(tǒng)、終端設(shè)備、傳輸控制、信息保護等方面的安全，并對員工進行持續(xù)培訓，通過建立信息安全體系，全面控制信息安全方面風險，此章是參考了國內(nèi)外信息安全最佳實踐（ISO27000與等級保護），針對信息科技部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。 　　第五章 系統(tǒng)開發(fā)、測試與維護，明確要求對信息系統(tǒng)進行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護、升級和報廢，制定制度和流程，采取適當?shù)捻椖抗芾矸椒?，控制信息科技項目相關(guān)的風險。采取適當?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。應制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護性，應制定并落實相關(guān)制度、標準和流程，確保信息系統(tǒng)開發(fā)、測試、維護過程中數(shù)據(jù)的完整性、保密性和可用性等具體要求。此章是針對軟件開發(fā)與項目實施部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。 　　第六章 信息科技運行，明確了商業(yè)銀行數(shù)據(jù)中心物理環(huán)境要求、人員崗位職責要求，并要求商業(yè)銀行制定詳盡的信息科技運行操作說明，建立事故管理及處置機制及時響應信息系統(tǒng)運行事故，建立服務(wù)水平管理相關(guān)的制度和流程，建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，制定容量規(guī)劃應及時進行維護和適當?shù)南到y(tǒng)升級，制定有效的變更管理流程以確保生產(chǎn)環(huán)境的完整性和可靠性等。此章主要參考了ITIL最佳實踐，針對數(shù)據(jù)中心與運行部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。 　　第七章 業(yè)務(wù)連續(xù)性管理，明確要求商業(yè)銀行根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復雜程度制定適當?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)；定期對規(guī)劃進行更新和演練，以保證其有效性。此章主要參考了BCP最佳實踐，針對業(yè)務(wù)運營部門，提出信息科技風險管理的事中控制（第二道防線）的重要組成部分。 　　第八章 外包管理，明確商業(yè)銀行不得將其信息科技管理責任外包，應合理謹慎監(jiān)督外包職能的履行，針對外包方選擇、外包談判、外包協(xié)議，外包執(zhí)行中的信息安全等方面提出了明確要求，此章是針