《银行信息科技风险管理策略.docx》由会员分享,可在线阅读,更多相关《银行信息科技风险管理策略.docx(14页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、*银行信息科技风险管理策略信息科技在银行的广泛应用,使其成为银行稳健运营和 提高竞争力的基础和保障,信息科技在促进银行业务发展的 同时,也使银行业面对巨大的技术风险,一旦信息科技方面 发生问题,将会直接影响到银行业务的连续性,甚至会影响 到银行的运营安全。因此,商业银行加强银行信息科技风险 管理,确保银行信息系统的安全、稳定、持续有效运行,已经 直接关系到银行的运营和发展。一、信息科技风险定义信息科技风险定义。在中国银保监会下发的商业银行 信息科技风险管理指引中,对商业银行的信息科技风险做 了如下定义:“信息科技在商业银行运用过程中,由于自然因 素、人为因素、技术漏洞和管理缺陷产生的操作、法律
2、和声 誉等风险”。二、信息科技风险来源信息科技风险主要来自四个方面:一是自然原因导致的 风险,包括地震、台风等自然灾害造成的风险;二是系统风险, 是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬 件设备老化、应用和系统软件质量缺陷等;三是管理缺陷导 致的风险,主要体现在由管理制度的缺失或组织架构的制衡 机制不完善,引起的管理或制度的空白及漏洞;四是由人员 有意或无意的违规操作引起的操作风险。三、信息科技风险管理目标通过建立有效的信息科技风险管理机制,实现对本行信取的一系列工作过程 中的不确定因素所带 来的影响。对所有纳入保护范围的信息明确信息所 有者和信息管理者,并制定相应的职责和 权力。
3、制定相关制度和流程,严格管理数据信息 的采集、处理、存贮、传输、分发、备份、 恢复、清理和销毁。采用技术手段防范数据在传输、处理、存 储过程中出现泄露或被篡改的风险。(五)系统开发风险系统开发风险包括项目组合管理风险、项目生命周期管理风险以及变更管理风险。风险的内容和应对策略如下:风险编号风险名称风险描述风险应对策略5. 1项目组合管理风险在对的项目组合(而非 单个项目)进行管理 时,因在项目优先级排 定,以及相关的人、财、 物、时间等资源安排的 过程及结果的不确定 因素所带来的影响。根据信息科技战略规划、计划以及可以利 用的资源,对项目进行优先排定和进度安 排。在实际业务发生变化或战略变化时
4、,及时 更新和维护项目优先排定和进度安排。5.2项目生命 周期管理 风险在从项目可行性研究 到需求调研、系统设 计、开发管理、系统测 试、系统实施、项目文 档管理以及项目退出 等的整个生命周期过 程中的产生的不确定 因素所带来的影响。制定完整的项目管理规章制度,包括项目 审批流程、参与部门的职责划分、时间进 度和财务预算管理、质量检测、风险评估 等。建立项目实施前和实施后评价机制。管理层对项目周期管理进行明确定义,应 当至少包括立项、可行性分析、制定需求、 方案设计、程序开发、系统测试、系统验 收、使用培训、实施操作和维护等方面。 并采取适当的系统开发方法,控制项目的 生命周期。采取适当的系统
5、开发方法,控制项目生命 周期内各阶段的质量。业务和系统需求应经业务部门和信息科 技部门共同确认。将信息安全纳入系统设计过程中,包括系 统和数据访问权限、数据备份和保护要 求、数据安全、身份验证、容量要求、审 计要求、流程控制等。将开发环境、测试环境和生产环境相互独 立,并建立规范的管理制度对三个环境进 行严格管理。5.3项目变更 风险在系统建设过程中,因 各种因素导致项目变 更所产生的不确定因 素所带来的影响。上线实施前完成充分的功能测试和非功 能测试,对测试过程进行严格审查。 建立上线实施计划,以及应急回退计划, 并经管理层审批。项目文档,包括各种纸版和电子版文档及 源代码等,应得到妥善保管
6、。风险管理部门应参与大规模系统开发,保 证系统开发符合我行机构信息科技风险 管理标准。建立完善的项目变更管理制度,并以其来 规范变更流程。依照项目变更管理的要求对项目变更流 程加以控制,在变更的发起,评审,执行, 用户接受测试等阶段都应经过相应级别 的审批。(六)信息科技外包风险信息科技外包风险包括外包策略风险和外包生命周期管理风险。风险的内容和应对策略如下:风险 编号风险名称风险描述风险管理策略6. 1外包策略 风险在确定外包策略(如 核心业务和能力、适 合外包的范围和级别 等的确定,以及外包 服务等)的过程和结 果的不确定因素所带 来的影响。建立正式的系统设计开发外包管理政策, 在进行信息
7、系统外包时,应根据风险控制 和实际需要,合理确定外包的原则和范围, 认真分析和评估外包存在的潜在风险,并 制定相应的风险防范措施。不得将信息科技管理职能外包。定期根据外包策略对我行所有外包项目进 行逐一分析、评估。6.2外包生命 周期管理 风险包括外包商选择风 险、外包合同风险和 外包成果交付与知识 转移风险。客观评估外包商的资质、服务能力、经验、 项目管理能力、财务状况和风险评估能力U外包商选择风险:是 指在选择外包商时, 所需要进行的一系列 工作,如审查、评估 外包商的资质、专业 经验、经验、能力等 过程中的不确定因素 所带来的影响。外包合同条款应适当,符合外包业务需要, 责任义务划分清楚
8、,外包范围界定明确, 考核指标明确,并有必要的、灵活性的条 款。外包合同风险:包括 外包合同订立与生效 风险、外包合同执行 风险及外包合同收尾 风险。合同订立与生 效风险是指在与外包 商在外包合同签订过 程中不确定因素所带 来的影响;合同执行 风险是指合同文件保 管、合同履行、合同 变更、履约监督、争 议处理等过程中不确 定因素所带来的影 响;合同收尾风险是 指文件归档、结算复 核、合同终止等过程 中不确定因素所带来 的影响。外包合同应经过风险管理部门和法律方面 专业审核。外包成果交付与知识 转移风险:是指对外 包工作成果的交付过 程中,以及相关知识 转移过程中的不确定 因素所带来的影响。对外
9、包商的财务状况以及支持IT外包业 务的技术和关键人员进行有效地监督和管 理。定期对外包工作进行评估,对发现的问题 及时跟进解决。在与外包服务提供商的合同中均包括了知 识转移的要求。根据合同条款的要求对外 包商交付的技术进行核实,并对技术顺利 交付获取必要的培训与支持服务。(七)业务连续性管理风险业务连续性管理风险包括业务连续性计划制定和维护 风险和业务连续性计划实施风险。风险的内容和应对策略如 下:风险 编号风险名称风险描述风险应对策略7. 1业务连续 性计划制 定和维护 风险由于业务连续性计划 的缺失、制定、维护 等过程中的不确定因 素所带来的影响。根据自身的规模和复杂程度以及业务的重 要性
10、有针对性地制定业务连续性计划。内 容应包括:应急组织及相应职责;突发事 件分级及每个级别的界定范围、响应时间 及处置简要流程;因意外事件导致业务运 行中断的可能性及其影响分析;重要信息 系统应急预案;灾难恢复计划;资源需求 及获取方式;运行恢复的优先顺序;与内 外部相关各方的沟通安排;人员培训、业 务连续性计划的演练及更新。所有重要信息系统应急预案、灾难恢复计 划中应包括回切、回退方案。在业务流程、信息科技技术等发生变化时, 或风险状况变化时,应及时评估、并更新 业务连续性计划。7.2业务连续 性计划实 施风险业务连续性计划在实 施工程中的不确定因 素所带来的影响。根据业务连续性计划的要求,配
11、备足够的 资源和专业人员,并能满足实现业务连续 性计划的要求。建立预测性的业务影响性分析机制,评估 因意外事件导致其业务运行中断的可能性 及其影响。根据自身业务的特点和业务的实际运行情 况,定期或不定期对业务连续性计划进行 测试与演练,并根据演练或测试结果,对 业务连续性计划进行完善。(八)法律法规风险法律法规风险包括合规风险和知识产权风险。风险的内 容和应对策略如下:风险 编号风险名称风险描述风险应对策略8. 1合规风险在信息科技内部规章 制度建立、修订、执 行、监督、整改等过 程中的不确定因素带 来的影响;建立信息科技管理规章/制度的制定、执行 和维护流程,已发布实施的主要规章制度 均遵循
12、这些流程。以及在信息科技工作 中在符合法律、法规 及相关监管部门的规 定等方面的不确定因 素所带来的影响。对已发布实施的主要制度规章和管理办法 的执行情况组织评审工作,并进行监督, 保留监督管理文档。对所发现的管理制度 设计或执行方面存在的问题,应分析其原 因并制定相应的整改方案和补救措施。根据相关法律、法规和监管部门的规定进 行自查,对发现的问题进行跟进解决。由外部第三方、独立审计师根据外部合规 要求对我行信息科技工作进行评估、审计, 对发现的问题查找原因,并解决。8.2知识产权 风险在知识产权获取、使 用、保护等过程中的 不确定因素所带来的 影响。存在正式的软件政策及标准,并传达给所 有员
13、工。所有软件的安装和/或使用遵循授权协议 的规定及经过管理层的授权。采用抽查等各种手段查看各用户软件的使 用情况。息科技风险的识别、分析和评估、控制、监测及报告,促进 本行信息系统安全稳定的运行,推动业务创新,提高信息技 术使用水平,增强本行核心竞争力和可持续发展能力。四、信息科技风险管理原则(一)事前预防为主原则:在风险发生以前建立有效的 风险管理措施,降低风险发生的可能性或减少风险可能造成 的损失。(二)全面性原则:信息科技风险管理应全行各部门、 岗位、人员以及操作环节中,使信息科技风险能够被识别、 评估、计量、监测和控制。(三)成本效益原则:对风险管理措施的实施成本和风 险可能造成的损失
14、进行分析比较,选取成本效益最佳的风险 防控方案。五、信息科技风险管理内容本行信息科技风险管理内容主要包括有信息科技风险 治理风险、信息科技战略风险、信息科技运维风险、信息安 全风险、系统开发风险、信息科技外包风险、业务连续性管 理风险和法律法规分析等八大领域的风险管理。六、信息科技风险管理策略根据信息科技风险管理的内容,我行制定的信息科技风 险应对策略如下:(一)信息科技治理风险信息科技治理风险包括信息科技组织风险、信息科技风 险管理策体制风险以及人员管理风险。每个风险的内容和应对策略如下:风险 编号风险名称风险描述风险应对策略1.1信息科技 组织风险在信息科技风险管理 机构及专业委员会设 置
15、、履职等方面的不确 定因素,以及在部门/ 岗位设置、职责划分、 垂直归口管理等方面 的不确定因素所带来 的影响。建立完善的信息科技治理架构。以法定代 表人为第一责任人,囊括董事会、风险管 理委员会、信息科技风险管理委员会、科 技部、风险管理部。明确各部门在信息科 技风险管理工作中的职责。每个部门根据在信息科技风险管理中的 职责设立相应的岗位,合理分配相应的 责、权、利,执行信息科技风险管理工作。总行科技部应指导、监督、分支机构开展 信息科技风险管理工作,并对信息科技风 险管理工作开展现场检查。1.2信息科技 管理体制 风险在监管指引、本行信息 科技风险管理制度执 行过程中的不确定因 素,以及员
16、工在价值 观认同、行为规范遵循 等方面的不确定因素 所带来的影响。完善制度体系建设以提升信息科技治理 机制有效性,一是切实认识到信息科技治 理完备性是董事会的职责所在,实现信息 科技治理与公司治理协调发展;二是完善 决策机制,建立健全相关制度明确董事 会、信息科技管理委员会、首席信息官在 信息科技治理方面的职责,切实提升履职 实效。科技部组织架构图中增加版本管理和质 量管理岗,以组建质量控制团队为契机, 加强组织建设与制度建设,结合项目管理 制度,建立信息科技项目的质量管控机 制,并加大项目实施过程中的质量管控力 度,确保质量管控机制落地。建立健全版 本管理机制,厘清配置管理职责,在部门 职责
17、、开发中心职责中增加版本管理相关 职责,强化配置管理岗的履职能力。按照监管要求,并结合本行的实际在业务 连续性管理办法中补充高管的业务连续 性日常管理职责。在应急管理组织架构中 明确应急指挥层、应急执行层和应急保障 层的部门组成及职责。1.3人员管理 风险在从人员聘用到离职 整个服务期间内的不 确定因素所带来的影建立完善的人员招聘、培训、考核、激励、 离职等制度和流程,并确保得到有效执 行。响。加强信息科技风险管理专业人员配备,提 高信息科技风险管理水平。对重要岗位制定详细的工作手册并适时 更新。为员工提供信息科技风险管理制度和流 程的培训,提高员工风险管理意识。对人员结构、能力、素质等进行定
18、期评估, 并组织专业培训1,提高人才队伍的专业技 能。制定关键岗位信息科技员工流失防范措 施并定期评估人员流失风险。制定关键岗位轮岗计划并执行。建立信息科技工作职责不相容矩阵,将不 相容职责/岗位分离,并定期检查。(二)信息科技战略风险信息科技战略风险包括战略规划风险和战略执行风险。 风险的内容和应对策略如下:风险 编号风险名称风险描述风险应对策略2. 1战略管理 风险在战略规划制定、调 整、衔接等过程中的不 确定性因素所带来的 影响。按照我行总体业务规划和信息科技发展 的实际需要制定信息科技战略。按照我行信息科技战略和信息科技外包 的实际需要制定信息科技外包战略。在我行总体业务规划进行调整时
19、,相应 的,应及时调整信息科技战略和信息科 技外包战略,以确保和总体业务规划的 一致性。(三)信息科技运维风险信息科技运维风险包括九个种类风险:备份管理风险、 运维环境风险、容量管理风险、问题管理风险、记录管理风 险、事件管理风险、发布管理风险、变更管理风险以及资产 管理风险。风险的内容和应对策略如下:风险 编号风险名称风险描述风险应对策略3. 1备份管理 风险在从制定备份策略、执 行备份、备份恢复等一 系列过程中的不确定 因素所带来的影响。建立完善的数据中心管理制度,完善系统 (程序和配置)和数据等的备份策略,包括备份范围、备份频率、备份检查、备份 恢复性测试等内容。配置备份工作所必须的软硬
20、件资源、人力 资源以及空间资源等。备份介质的保存环 境应当符合相关标准(如防火、防水、防 磁、防盗、温湿度等)。备份介质的传递重要工作必须由专人和 专用运输工具负责。对备份的结果进行检查,任何异常应立即 查明原因并解决。定期进行备份恢复性测试,确保备份数据 的完整、准确、有效。存储敏感数据的介质,在设备维修、用途 变更或销毁时,采用消磁等完全清除数据 的安全方式。3.2运维环境 风险信息科技运维环境,如 相关的系统、设施、设 备等在运营过程中所 产生的不确定因素所 带来的影响。制定信息科技运维环境的维护和管理制 度,确保信息科技运行在一个稳定的环境 中。采用人工和技术等手段对信息科技运维 环境
21、的各种设施、设备进行预防性维护和 监控,发现的问题应立即跟进。建立服务水平管理相关的制度和流程,对 信息科技运行服务水平进行考核。3.3容量管理 风险在信息系统性能、容量 规划、容量监测和处理 等过程中的不确定因 素所带来的影响。制定容量规划,以适应由于外部环境变化 产生的业务发展和交易量增长。容量规划 应涵盖生产系统、备份系统及相关设备。制定系统性能、容量监测和处理的方法。由系统自动检测或人工定期查看,确保系 统稳定运行。3.4事件管理 风险在事件从查明、记录到 解决全过程中的不确 定因素所带来的影响。制定事件管理流程,包括事件查明和记 录、归类和初步支持、事件调查和分析、 事件升级、解决事
22、件和恢复服务、事件终 止以及负责事件并跟踪、监督、控制和协 调解决全过程。在事件发生后,应按照事件管理流程立即 响应以尽快解决。3.5问题管理 风险在问题申报、解决、技 术援助、支持服务等过 程中存在的不确定因建立并完善有效的问题管理流程,以确保 全面地追踪、分析和解决信息系统问题, 并对问题进行记录、分类和索引。素所带来的影响。定期对问题进行汇总分析,以求从根源上 解决问题。3.6记录管理 风险对应用系统、网络设 备、防火墙、主机、数 据库等所产生的日志 的记录、监控、复核、 保存等过程中存在的 不确定因素所带来的 影响。建立完整的日志管理规定,完整采集并保 存应用系统、数据库、网络设备、防
23、火墙、 主机等产生的交易日志和系统日志等。设置专门岗位对日志进行监控和管理,尤 其是未经授权的访问、对敏感信息的访 问、操作等应格外关注。日志应得到妥善保存与备份。3. 7发布管理 风险在监督应用系统和软 件等的发展、试验、部 署和支持过程中的不 确定因素所带来的影 响。制定软件版本管理规范及系统版本命名 规范,软件版本的发布和开发过程必须按 照规定的流程执行。建立各重要系统的配置基线,纳入统一的 配置管理数据库,并由专人负责。定期对配置数据库中的配置项与实际配 置的一致性进行检查,并对不一致的配置 项进行确认、调整。建立发布管理流程,确保系统或软件的发 布处在一个可控的流程中。科技部管理层应
24、审核对系统或软件的发 布。新系统或软件发布后,应保留先前的版本 和环境以备恢复。3.8变更管理 风险在信息系统相关的软 件、硬件、和网络等变 更过程中的不确定因 素所带来的影响。制订严密的变更处理流程,明确变更控制 中各岗位的职责,并遵循流程实施控制和 管理。所有涉及生产环境的变更,变更前必须有 回退和应急方案。制定变更管理的文档管理流程。对变更情 况进行及时登记、备案和存档,并将变更 情况及时通报相关部门和相关岗位的人 员。3.9资产管理 风险包括信息科技资产的 运行维护风险和处置 风险。运行维护风险是 指在资产使用、维护、 管理、租赁、抵押、保 值等方面中的不确定 因素所带来的影响。处对信
25、息资产进行梳理,建立信息资产清 单,明确各资产的负责人、使用人、保管 人等相关责任人,制定各自的职责和权 力。将信息系统及其中的信息资产进行分类 管理,包括数据、软件、硬件、服务、文 档、设备、人员及其他共八种类型。置风险是指在资产处 置制度执行、方式选 择、时机把握、价格评 估等方面中的不确定 因素所带来的影响。按照国家信息安全等级保护管理办法 (公通字2007 43号)的规定及信 息系统安全等级保护定级指南(GB/T 22240-2008)、信息系统安全等级保护 基本要求(GB/T 22239-2008)的要求, 对信息系统分级并按级别进行保护。审批并记录信息科技资产运行维护和处 置中的各
26、种业务。管理层定期检查信息科技资产清单与实 际情况的一致性,并对可能发现的问题及 时跟进。()信息安全风险信息安全风险包括八个方面:物理和环境安全风险、访 问控制风险、应用安全风险、系统软件安全风险、网络安全 风险、终端安全风险、移动安全风险和数据安全风险。风险 的内容和应对策略如下:险号 风缴风险名称风险描述风险应对策略4. 1物理和环 境安全风 险在物理层次上为使信 息科技运行环境受到 保护,不受偶然或恶意 的原因而遭到破坏的 过程中的不确定因素 所带来的风险。合理选择数据中心的地理位置,并经过管 理层的批准。制定信息科技设施、数据中心等信息科技 环境的安全管理制度,包括设备安全管 理、介
27、质安全管理、人员出入等,并确保 有效执行。根据国家的规定,重要或敏感的业务信息 处理系统应放在安全的地方,并设置有适 当的安全区域,安全区域的出入口有安全 障碍和入口控制,设备应有物理的保护以 防止非法进入、危害及破坏。严格控制相关人员,包括第三方人员进入 安全区域,并记录所有人员的出入信息。 对敏感性技术相关工作的人员,应有严格 的审查程序,包括身份验证和背景调查。采用其他人工或技术手段防止未授权的 侵入。4.2访问控制 风险因未经授权对信息科 技资源的访问所带来建立统一的用户身份管理基础设施,向应 用系统提供集中的用户身份认证服务。的影响。明确定义包括终端用户、系统开发人员、 系统测试人员
28、、计算机操作人员、系统管 理员和用户管理员等不同用户组的访问 权限。制定主机系统及网络的访问控制制度,系 统权限管理规定。根据“访问控制分级”、“需求导向”和 “最小授权”的原则对用户的权限申请进 行审批,并定期对用户,尤其是关键岗位 用户、最高权限用户等的权限进行检查。每个内部员工具有范围内唯一的身份标 识,用户在访问应用系统之前,必须提交 身份标识,并对其进行认证。在发生用户离职或岗位变动时及时更新 其访问权限。对各类系统及网络环境设置密码安全策 略,包括密码长度、复杂度、有效期、历 史密码记忆次数等。4.3应用安全 风险在应用系统的使用、运 行过程中的不确定因 素所带来的影响。加强职责划
29、分,对关键或敏感岗位进行双 重控制。采取安全的方式处理保密信息的输入和 输出,防止信息泄露或被盗取、篡改。确保系统按预先定义的方式处理例外情 况,当系统被迫终止时向用户提供必要信 息。4.4系统软件 安全风险在操作系统、数据库管 理系统等系统软件的 使用、运行过程中的不 确定因素所带来的影 响。制定每种类型操作系统的基本安全要求, 确保所有系统满足基本安全要求。制定最高权限系统账户的审批、验证和监 控流程,并确保最高权限用户的操作日志 被记录和监察。定期检查可用的安全补丁,并报告补丁管 理状态。在系统日志中记录不成功的登录、重要系 统文件的访问、对用户账户的修改等有关 重要事项。建立主机入侵检
30、测机制,发现主机系统中 的异常操作行为,以及对主机发起的攻击 行为,并及时报警。4.5网络安全 风险为使网络系统的硬件、 软件及其系统中的数建立网络安全管理制度,网络安全系统的 建设标准和相关的运营维护管理规范。据受到保护,不受偶然 的或者恶意的原因而 遭到破坏、更改、泄露, 系统连续可靠正常地 运行,网络服务不中断 的过程中的不确定因 素所带来的影响。将网络划分为不同的逻辑安全域,根据域 的性质定义生产域或测试域、内部域或外 部域,结合不同域之间的连通性和域的可 信程度等,对整个网络进行物理或逻辑分 区,并建立不同域的访问控制机制。在各安全域的边界,部署网络安全访问措 施,包括防火墙、入侵检
31、测、VPNo采用人工或技术手段对网络进行实时监 控,及时发现并处理非法入侵、网络异常 等情况。激活网络信息安全工具的功能和设置以 便记录及报告信息安全政策所规定的网 络安全事项,并立即解决。建立防病毒安全政策和策略、全面网络病 毒查杀机制o所有连入我行机构内部域的 电脑及其他设备,都应安装杀毒软件,并 在接入之前进行病毒扫描。制定防毒库升级策略和扫描策略,定期进 行病毒库更新和病毒扫描,病毒库升级记 录和扫描记录应经复核。4.6终端安全 风险为确保所有终端用户 设备,如台式个人计算 机(PC)、便携式计算 机、柜员终端、自动柜 员机(ATM)、存折打 印机、读卡器、销售终 端(POS)和个人数字 助理(PDA)等的安全 所进行的一系列工作 过程中的不确定因素 所带来的影响。配备切实有效的系统,确保所有终端用户 设备的安全,并定期对所有设备进行安全 检查。4.7移动设备 安全风险为确保各种移动存储 设备、远程办公等的安 全所进行的一系列工 作过程中的不确定因 素所带来的影响。制定移动存储和远程办公的相关安全机 制。根据实际业务的变化、新技术的发展,定 期对安全机制进行检查与复核。严格限制移动设备在生产环境中的使用04.8数据安全 风险为确保数据的保密性、 完整性和有效性,所采按照重要程度和敏感程度对数据进行分 级保护和管理。
限制150内