《银行信息科技风险管理策略.docx》由会员分享,可在线阅读,更多相关《银行信息科技风险管理策略.docx(14页珍藏版)》请在第一文库网上搜索。
1、*银行信息科技风险管理策略信息科技在银行的广泛应用,使其成为银行稳健运营和提高竞争力的基础和保障,信息科技在促进银行业务发展的同时,也使银行业面对巨大的技术风险,一旦信息科技方面发生问题,将会直接影响到银行业务的连续性,甚至会影响到银行的运营安全。因此,商业银行加强银行信息科技风险管理,确保银行信息系统的安全、稳定、持续有效运行,已经直接关系到银行的运营和发展。一、信息科技风险定义信息科技风险定义。在中国银保监会下发的商业辍行信息科技风险管理指引中,对商业银行的信息科技风险做了如下定义:“信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”。二
2、、信息科技风险来源信息科技风险主要来自四个方面:一是自然原因导致的风险,包括地震、台风等自然灾害造成的风险;二是系统风险,是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬件设备老化、应用和系统软件质量缺陷等;三是管理缺陷导致的风险,主要体现在由管理制度的缺失或组织架构的制衡机制不完善,引起的管理或制度的空白及漏洞;四是由人员有意或无意的违规操作引起的操作风险。三、信息科技风险管理目标通过建立有效的信息科技风险管理机制,实现对本行信息科技风险的识别、分析和评估、控制、监测及报告,促进本行信息系统安全稳定的运行,推动业务创新,提高信息技术使用水平,增强本行核心竞争力和可持续发展能力。四、信息科
3、技风险管理原则(一)事前预防为主原则:在风险发生以前建立有效的风险管理措施,降低风险发生的可能性或减少风险可能造成的损失。(二)全面性原则:信息科技风险管理应全行各部门、岗位、人员以及操作环节中,使信息科技风险能够被识别、评估、计量、监测和控制。(三)成本效益原则:对风险管理措施的实施成本和风险可能造成的损失进行分析比较,选取成本效益最佳的风险防控方案。五、信息科技风险管理内容本行信息科技风险管理内容主要包括有信息科技风险治理风险、信息科技战略风险、信息科技运维风险、信息安全风险、系统开发风险、信息科技外包风险、业务连续性管理风险和法律法规分析等八大领域的风险管理。六、信息科技风险管理策略根据
4、信息科技风险管理的内容,我行制定的信息科技风险应对策略如下:(一)信息科技治理风险信息科技治理风险包括信息科技组织风险、信息科技风险管理策体制风险以及人员管理风险。每个风险的内容和应对策略如下:风险编号风险名称风险描述风险应对策略1.1信息科技组织风险在信息科技风险管理机构及专业委员会设置、履职等方面的不确定因素,以及在部门/岗位设置、职责划分、垂直归口管理等方面的不确定因素所带来的影响。建立完善的信息科技治理架构。以法定代表人为第一责任人,囊括董事会、风险管理委员会、信息科技风险管理委员会、科技部、风险管理部。明确各部门在信息科技风险管理工作中的职责。每个部门根据在信息科技风险管理中的职责设
5、立相应的岗位,合理分配相应的责、权、利,执行信息科技风险管理工作。总行科技部应指导、监督、分支机构开展信息科技风险管理工作,并对信息科技风险管理工作开展现场检查。1.2信息科技管理体制风险在监管指引、本行信息科技风险管理制度执行过程中的不确定因素,以及员工在价值观认同、行为规范遵循等方面的不确定因素所带来的影响。完善制度体系建设以提升信息科技治理机制有效性,一是切实认识到信息科技治理完备性是董事会的职责所在,实现信息科技治理与公司治理协调发展;二是完善决策机制,建立健全相关制度明确董事会、信息科技管理委员会、首席信息官在信息科技治理方面的职责,切实提升履职实效。科技部组织架构图中增加版本管理和
6、质量管理岗,以组建质量控制团队为契机,加强组织建设与制度建设,结合项目管理制度,建立信息科技项目的质量管控机制,并加大项目实施过程中的质量管控力度,确保质量管控机制落地。建立健全版本管理机制,厘清配置管理职责,在部门职责、开发中心职责中增加版本管理相关职责,强化配置管理岗的履职能力。按照监管要求,并结合本行的实际在业务连续性管理办法中补充高管的业务连续性日常管理职责。在应急管理组织架构中明确应急指挥层、应急执行层和应急保障层的部门组成及职责。1.3人员管理风险在从人员聘用到离职整个服务期间内的不确定因素所带来的影建立完善的人员招聘、培训、考核、激励、离职等制度和流程,并确保得到有效执行。响。加
7、强信息科技风险管理专业人员配备,提高信息科技风险管理水平。对重要岗位制定详细的工作手册并适时更新。为员工提供信息科技风险管理制度和流程的培训,提高员工风险管理意识。对人员结构、能力、素质等进行定期评估,并组织专业培训1,提高人才队伍的专业技能。制定关键岗位信息科技员工流失防范措施并定期评估人员流失风险。制定关键岗位轮岗计划并执行。建立信息科技工作职责不相容矩阵,将不相容职责/岗位分离,并定期检查。(二)信息科技战略风险信息科技战略风险包括战略规划风险和战略执行风险。风险的内容和应对策略如下:风险编号风险名称风险描述风险应对策略2.1战略管理风险在战略规划制定、调整、衔接等过程中的不确定性因素所
8、带来的影响。按照我行总体业务规划和信息科技发展的实际需要制定信息科技战略。按照我行信息科技战略和信息科技外包的实际需要制定信息科技外包战略。在我行总体业务规划进行调整时,相应的,应及时调整信息科技战略和信息科技外包战略,以确保和总体业务规划的一致性。(三)信息科技运维风险信息科技运维风险包括九个种类风险:备份管理风险、运维环境风险、容量管理风险、问题管理风险、记录管理风险、事件管理风险、发布管理风险、变更管理风险以及资产管理风险。风险的内容和应对策略如下:风险编号风险名称风险描述风险应对策略3.1备份管理风险在从制定备份策略、执建立完善的数据中心管理制度,完善系统(程序和配置)和数据等的备份策
9、略,包括备份范围、备份频率、备份检查、备份恢复性测试等内容。配置备份工作所必须的软硬件资源、人力资源以及空间资源等。备份介质的保存环境应当符合相关标准(如防火、防水、防磁、防盗、温湿度等)。仃备份、备份既复等一系列过程中的不确定因素所带来的影响。备份介质的传递重要工作必须由专人和专用运输工具负责。对备份的结果进行检查,任何异常应立即查明原因并解决。定期进行备份恢复性测试,确保备份数据的完整、准确、有效。存储敏感数据的介质,在设备维修、用途变更或销毁时,采用消磁等完全清除数据的安全方式。3.2运维环境风险信息科技运维环境,如相关的系统、设施、设备等在运营过程中所产生的不确定因素所带来的影响。制定
10、信息科技运维环境的维护和管理制度,确保信息科技运行在一个稳定的环境中。采用人工和技术等手段对信息科技运维环境的各种设施、设备进行预防性维护和监控,发现的问题应立即跟进。建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。3.3容员管理风险在信息系统性能、容量规划、容量监测和处理等过程中的不确定因素所带来的影响。制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备。制定系统性能、容量监测和处理的方法。由系统自动检测或人工定期查看,确保系统稳定运行。3.4事件管理风险在事件从查明、记录到解决全过程中的不确定因素所带来的影响。制定事
11、件管理流程,包括事件查明和记录、归类和初步支持、事件调查和分析、事件升级、解决事件和恢复服务、事件终止以及负责事件并跟踪、监督、控制和协调解决全过程。在事件发生后,应按照事件管理流程立即响应以尽快解决。3.5问题管理风险在问题申报、解决、技术援助、支持服务等过程中存在的不确定因建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引。素所带来的影响。定期对问题进行汇总分析,以求从根源上解决问题。3.6记录管理风险对应用系统、网络设备、防火墙、主机、数据库等所产生的日志的记录、监控、复核、保存等过程中存在的不确定因素所带来的影响。建立完整的日志管理规定
12、,完整采集并保存应用系统、数据库、网络设备、防火墙、主机等产生的交易日志和系统日志等。设置专门岗位对日志进行监控和管理,尤其是未经授权的访问、对敏感信息的访问、操作等应格外关注。日志应得到妥善保存与备份。3.7发布管理风险在监督应用系统和软件等的发展、试验、部署和支持过程中的不确定因素所带来的影响。制定软件版本管理规范及系统版本命名规范,软件版本的发布和开发过程必须按照规定的流程执行。建立各重要系统的配置基线,纳入统一的配置管理数据库,并由专人负责。定期对配置数据库中的配置项与实际配置的一致性进行检查,并对不一致的配置项进行确认、调整。建立发布管理流程,确保系统或软件的发布处在一个可控的流程中
13、。科技部管理层应审核对系统或软件的发布。新系统或软件发布后,应保留先前的版本和环境以备恢复。3.8变更管理风险在信息系统相关的软件、硬件、和网络等变更过程中的不确定因索所带来的影响。制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理。所有涉及生产环境的变更,变更前必须有回退和应急方案。制定变更管理的文档管理流程。对变更情况进行及时登记、备案和存档,并将变更情况及时通报相关部门和相关岗位的人儿3.9资产管理风险包括信息科技资产的运行维护风险和处置风险。运行维护风险是指在资产使用、维护、管理、租赁、抵押、保值等方面中的不确定因素所带来的影响。处对信息资产进行梳理,建立信息
14、资产清单,明确各资产的负责人、使用人、保管人等相关责任人,制定各自的职责和权力。将信息系统及其中的信息资产进行分类管理,包括数据、软件、硬件、服务、文档、设备、人员及其他共八种类型。置风险是指在资产处置制度执行、方式选择、时机把握、价格评估等方面中的不确定因素所带来的影响。按照国家信息安全等级保护管理办法(公通字200743号)的规定及信息系统安全等级保护定级指南(GB/T22240-2008)、信息系统安全等级保护基本要求(GB/T22239-2008)的要求,对信息系统分级并按级别进行保护。审批并记录信息科技资产运行维护和处置中的各种业务。管理层定期检查信息科技资产清单与实际情况的一致性,
15、并对可能发现的问题及时跟进。(四)信息安全风险信息安全风险包括八个方面:物理和环境安全风险、访问控制风险、应用安全风险、系统软件安全风险、网络安全风险、终端安全风险、移动安全风险和数据安全风险。风险的内容和应对策略如下:风险编号风险名称风险描述风险应对策略4.1物理和环境安全风险在物理层次上为使信息科技运行环境受到保护,不受偶然或恶意的原因而遭到破坏的过程中的不确定因素所带来的风险。合理选择数据中心的地理位置,并经过管理层的批准。制定信息科技设施、数据中心等信息科技环境的安全管理制度,包括设备安全管理、介质安全管理、人员出入等,并确保有效执行。根据国家的规定,重要或敏感的业务信息处理系统应放在安全的地方,并设置有适当的安全区域,安全区域的出入口有安全障碍和入口控制,设备应有物理的保护以防止非法进入、危害及破坏。严格控制相关人员,包括第三方人员进入安全区域,并记录所有人员的出入信息。对敏感性技术相关工作的人员,应有严格的审查程序,包括身份验证和背景调查。采用其他人工或技术手段防止未授权的侵入。4.2访问控制风险因未经授权对信息