加強(qiáng)商業(yè)銀行的信息科技風(fēng)險管理的必要性

申請免費(fèi)試用、咨詢電話：400-8352-114

　　為加強(qiáng)商業(yè)銀行的信息科技風(fēng)險管理，提升信息科技風(fēng)險管理能力，09年3月份銀監(jiān)會正式發(fā)布了《商業(yè)銀行信息科技風(fēng)險管理指引》（以下簡稱《指引》），這是繼出臺有關(guān)《商業(yè)銀行操作風(fēng)險管理指引》、《商業(yè)銀行市場風(fēng)險管理指引》和《商業(yè)銀行合規(guī)風(fēng)險管理指引》等一系列的監(jiān)管文件之后，銀監(jiān)會發(fā)布的又一重要風(fēng)險管理指引。該指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)參照執(zhí)行。 　　信息科技風(fēng)險是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險。它和操作風(fēng)險、信用風(fēng)險、市場風(fēng)險一樣，是商業(yè)銀行面臨的主要風(fēng)險。現(xiàn)階段商業(yè)銀行已經(jīng)基本完成了信息化建設(shè)，在金融管制放松、業(yè)務(wù)全球化、金融創(chuàng)新步伐加快以及信息技術(shù)的迅猛發(fā)展的大背景下，國際銀行業(yè)金融機(jī)構(gòu)的信息科技風(fēng)險有增大的趨勢，國際銀行業(yè)和監(jiān)管當(dāng)局都日益重視信息科技與操作風(fēng)險的管理和監(jiān)管。目前，國際上宣布實施新資本協(xié)議的國家和地區(qū)都按照新協(xié)議的要求，明確將操作風(fēng)險納入資本監(jiān)管的范疇，而信息科技風(fēng)險是操作風(fēng)險的重要組成部分。 　　需求分析 　　合規(guī)性需求： 　　近年來，國家各部門不斷推出了各種監(jiān)管要求，對IT管控領(lǐng)域也提出了明確的要求。其中與銀行業(yè)信息科技風(fēng)險相關(guān)的法律、法規(guī)與行業(yè)監(jiān)管指引有： 　　2002年，美國國會發(fā)布了SOX《薩班斯—奧克斯利法案》； 　　2004年9月30日，中國銀監(jiān)會發(fā)布了《商業(yè)銀行內(nèi)部控制評價辦法》； 　　2006年，銀監(jiān)會發(fā)布《電子銀行安全評估指引》 、《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引》和《銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計指引》； 　　2006年6月，國務(wù)院國資委出臺了《中央企業(yè)全面風(fēng)險管理指引》； 　　2007年，公安部明確了《信息系統(tǒng)等級保護(hù)基本要求與實施指南》； 　　2009年3月，銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風(fēng)險管理指引》； 　　谷安天下依據(jù)信息科技風(fēng)險管理體系，從整體上分為IT治理、IT管理、IT控制與審計三個方面，并在此基礎(chǔ)上結(jié)合多年的行業(yè)咨詢經(jīng)驗，陸續(xù)開發(fā)了IT風(fēng)險管理咨詢服務(wù)與IT風(fēng)險管控系列軟件系統(tǒng)。 　　信息安全風(fēng)險管理需求 　　銀行業(yè)隨著信息化工作的不斷深入，信息系統(tǒng)的開發(fā)、維護(hù)與運(yùn)行均面臨較大的挑戰(zhàn)，如何保障業(yè)務(wù)的持續(xù)運(yùn)營，如何支撐銀行各項業(yè)務(wù)的風(fēng)險管理，如何保障客戶與自身信息的安全，成為各商業(yè)銀行信息科技部門與風(fēng)險管理部門的重要任務(wù)，因此信息科技風(fēng)險的管理就顯得迫在眉睫。商業(yè)銀行針對信息科技風(fēng)險需要審視： 　　是否對所有潛在的重大IT風(fēng)險都進(jìn)行了識別、評估和管理？ 　　 面對數(shù)量眾多的IT風(fēng)險，應(yīng)如何對其進(jìn)行管理？ 　　如何在全行范圍內(nèi)推行全面IT風(fēng)險管理？ 　　 如何將IT風(fēng)險管理體制與企業(yè)日常IT管理和運(yùn)營相融合？ 　　 IT風(fēng)險管理的角色、責(zé)任和義務(wù)是否合理或明確？ 　　如何增強(qiáng)風(fēng)險意識，培育風(fēng)險管理文化？ 　　《信息科技風(fēng)險管理指引》解析 　　本次頒布的《商業(yè)銀行信息科技風(fēng)險管理指引》共十一章七十六條，涵蓋了信息科技風(fēng)險管理的各個領(lǐng)域，同時針對銀行現(xiàn)有的組織架構(gòu)，對各部門也明確提出了風(fēng)險管理的要求，下文將就主要條款做一個深入的解析。 　　第一章 總則，明確了指引的目標(biāo)和適用范圍，指出信息科技是指計算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。信息科技風(fēng)險管理的目標(biāo)是通過建立有效的機(jī)制，實現(xiàn)對商業(yè)銀行信息科技風(fēng)險的識別、計量、監(jiān)測和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。 　　第二章 信息科技治理，明確提出了信息科技治理的概念，明確了信息科技風(fēng)險管理的責(zé)任人，董事會的相關(guān)職責(zé)，并明確要求商業(yè)銀行應(yīng)設(shè)立或指派一個特定部門負(fù)責(zé)信息科技風(fēng)險管理工作，并直接向首席信息官或首席風(fēng)險官（風(fēng)險管理委員會）報告工作。此章最重要的是明確了商業(yè)銀行風(fēng)險管理部門、信息科技部門以及內(nèi)部審計部門在信息科技風(fēng)險管理中承擔(dān)不同的角色和職責(zé)，互相協(xié)作共同完善信息科技風(fēng)險管理的架構(gòu)。 　　第三章 信息科技風(fēng)險管理，明確要求商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計劃和信息科技風(fēng)險評估計劃，制定全面的信息科技風(fēng)險管理策略，建立持續(xù)的信息科技風(fēng)險計量和監(jiān)測機(jī)制。本章是從信息科技風(fēng)險管理部門的角度，提出商業(yè)銀行信息科技風(fēng)險管理的事前控制（第一道防線）。 　　第四章 信息安全，明確要求信息科技部門負(fù)責(zé)落實信息安全管理職能，負(fù)責(zé)建立和實施信息分類和保護(hù)體系，通過建立有效管理用戶認(rèn)證和訪問控制的流程保障業(yè)務(wù)安全，通過設(shè)立物理安全保護(hù)區(qū)域保障物理安全，通過將網(wǎng)絡(luò)劃分為不同的邏輯安全域保障網(wǎng)絡(luò)安全，通過操作系統(tǒng)和系統(tǒng)軟件的安全控制保障系統(tǒng)安全，同時加強(qiáng)信息系統(tǒng)、終端設(shè)備、傳輸控制、信息保護(hù)等方面的安全，并對員工進(jìn)行持續(xù)培訓(xùn)，通過建立信息安全體系，全面控制信息安全方面風(fēng)險，此章是參考了國內(nèi)外信息安全最佳實踐（ISO27000與等級保護(hù)），針對信息科技部門，提出信息科技風(fēng)險管理的事中控制（第二道防線）的重要組成部分。 　　第五章 系統(tǒng)開發(fā)、測試與維護(hù)，明確要求對信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護(hù)、升級和報廢，制定制度和流程，采取適當(dāng)?shù)捻椖抗芾矸椒ǎ刂菩畔⒖萍柬椖肯嚓P(guān)的風(fēng)險。采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護(hù)性，應(yīng)制定并落實相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開發(fā)、測試、維護(hù)過程中數(shù)據(jù)的完整性、保密性和可用性等具體要求。此章是針對軟件開發(fā)與項目實施部門，提出信息科技風(fēng)險管理的事中控制（第二道防線）的重要組成部分。 　　第六章 信息科技運(yùn)行，明確了商業(yè)銀行數(shù)據(jù)中心物理環(huán)境要求、人員崗位職責(zé)要求，并要求商業(yè)銀行制定詳盡的信息科技運(yùn)行操作說明，建立事故管理及處置機(jī)制及時響應(yīng)信息系統(tǒng)運(yùn)行事故，建立服務(wù)水平管理相關(guān)的制度和流程，建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，制定容量規(guī)劃應(yīng)及時進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級，制定有效的變更管理流程以確保生產(chǎn)環(huán)境的完整性和可靠性等。此章主要參考了ITIL最佳實踐，針對數(shù)據(jù)中心與運(yùn)行部門，提出信息科技風(fēng)險管理的事中控制（第二道防線）的重要組成部分。 　　第七章 業(yè)務(wù)連續(xù)性管理，明確要求商業(yè)銀行根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；定期對規(guī)劃進(jìn)行更新和演練，以保證其有效性。此章主要參考了BCP最佳實踐，針對業(yè)務(wù)運(yùn)營部門，提出信息科技風(fēng)險管理的事中控制（第二道防線）的重要組成部分。 　　第八章 外包管理，明確商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行，針對外包方選擇、外包談判、外包協(xié)議，外包執(zhí)行中的信息安全等方面提出了明確要求，此章是針