完善信息科技治理架構(gòu)提升IT風(fēng)險(xiǎn)管理水平

------------------------------本文為網(wǎng)絡(luò)收集精選范文、公文、論文、和其他應(yīng)用文檔，如需本文，請下載--------------------------------------------本文為網(wǎng)絡(luò)收集精選范文、公文、論文、和其他應(yīng)用文檔，如需本文，請下載--------------完善信息科技治理架構(gòu)提升IT風(fēng)險(xiǎn)管理水平請點(diǎn)擊下載按鈕下載本文檔（有償下載，另外祝您生活愉快，工作順利，萬事如意！記者近日采訪了廣東發(fā)展銀行股份有限公司(下簡稱廣發(fā)行”)紹可深入了解目前國內(nèi)商業(yè)銀行的風(fēng)險(xiǎn)規(guī)避之道。記者：為什么說信息科技風(fēng)險(xiǎn)管理對于商業(yè)銀行是特別重要的一環(huán)?徐徽：近年來，風(fēng)險(xiǎn)管理已成為商業(yè)銀行經(jīng)營管理活動的主旋律，信息科技風(fēng)險(xiǎn)作為銀行風(fēng)險(xiǎn)的重要組成部分，受到越來越多的重視。從商業(yè)銀行的角度看，這源于兩方面的驅(qū)動因素。一是內(nèi)在驅(qū)動因素。目前信息技術(shù)已深入到商業(yè)銀行經(jīng)營管理的各個(gè)領(lǐng)域，幾乎所有的改革發(fā)展任務(wù)都與信息技術(shù)密切相關(guān)，不管是業(yè)務(wù)的發(fā)展，還是管理的提升，都需要信息技術(shù)的配套支持。但是，信息數(shù)據(jù)集中導(dǎo)致的風(fēng)險(xiǎn)集中等，是客觀存在且難以完全規(guī)避的。由于技術(shù)原因造成區(qū)域性和系統(tǒng)性的金融風(fēng)因此，信息技術(shù)在促進(jìn)銀行業(yè)務(wù)發(fā)展、推動金融創(chuàng)新的同時(shí)，也使銀行業(yè)務(wù)面臨巨大的安全隱患，信息科技風(fēng)險(xiǎn)牽一發(fā)而動全身，信息系統(tǒng)的安全性和可靠性關(guān)系到商業(yè)銀行整體經(jīng)營管理活動的穩(wěn)定，應(yīng)該得到而且已經(jīng)得到了所有商業(yè)銀行的重視。二是外在驅(qū)動因素。近幾年，中國人民銀行、銀監(jiān)會等監(jiān)管機(jī)構(gòu)對于商業(yè)銀行信息科技風(fēng)險(xiǎn)的監(jiān)管要20093IT理策略、信息安全、開發(fā)測試和生產(chǎn)運(yùn)行管理等方面對商業(yè)銀行提出了具體而細(xì)致的風(fēng)險(xiǎn)管理要求，對于商業(yè)銀行加強(qiáng)信息安全管理、防范信息技術(shù)風(fēng)險(xiǎn)起到了重要的指導(dǎo)作用。同時(shí)，銀監(jiān)會將商業(yè)銀行的信息系統(tǒng)納入現(xiàn)場和非現(xiàn)場監(jiān)管，大力開展信息科技風(fēng)險(xiǎn)現(xiàn)場檢查，對商業(yè)銀行的信息科技風(fēng)險(xiǎn)防范工作提出了更髙的標(biāo)準(zhǔn)和要求。監(jiān)管力度的加大，促使商業(yè)銀行針對信息技術(shù)風(fēng)險(xiǎn)防控制定出更強(qiáng)有力的措施，不斷提髙信息安全風(fēng)險(xiǎn)管理水平。在上述內(nèi)部要求和外部環(huán)境的雙重要求和驅(qū)動下，商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的重要性日益凸顯，信息安全管理成了各行科技工作的主題。記者：現(xiàn)階段，我國金融機(jī)構(gòu)面臨的信息科技風(fēng)險(xiǎn)主要來源于哪些方面?徐徽：要嚴(yán)控信息科技風(fēng)險(xiǎn)，就要先弄清楚風(fēng)險(xiǎn)的來源，并根據(jù)不同來源對癥下藥。概括來說，信息科技風(fēng)險(xiǎn)主要來自四個(gè)方面：一是自然原因?qū)е碌娘L(fēng)險(xiǎn)，包括地震、臺風(fēng)等自然災(zāi)害造成的風(fēng)險(xiǎn)，這類風(fēng)險(xiǎn)往往很難主動防范，只能被動防御，通過事前建立完善的業(yè)務(wù)連續(xù)性方案和應(yīng)急預(yù)案，事后及時(shí)啟動應(yīng)急方案和補(bǔ)救措施來彌補(bǔ);統(tǒng)相關(guān)軟硬件的缺陷引起的，包括基礎(chǔ)設(shè)施和硬件設(shè)備老化、系統(tǒng)軟件缺陷、應(yīng)用軟件開發(fā)測試質(zhì)量缺陷三是管理缺陷導(dǎo)致的風(fēng)險(xiǎn)，是由管理制度的缺失或組IT和管理機(jī)制上彌補(bǔ)管理和制度的空白及漏洞;四是人員違規(guī)操作風(fēng)險(xiǎn)，是由人員有意或無意的違規(guī)操作引起的，需要加強(qiáng)員工的安全培訓(xùn)和操作培訓(xùn)，提髙人員的信息安全意識和操作水平。其中，后三類風(fēng)險(xiǎn)需要以主動防范為主要安全管理措施，要建立風(fēng)險(xiǎn)事前防范、事中控制、事后監(jiān)督和糾正的機(jī)制。記者：為保障銀行業(yè)務(wù)的安全，廣發(fā)行信息科技風(fēng)險(xiǎn)管控采取了哪些具體措施?徐徽：嚴(yán)控風(fēng)險(xiǎn)是我行2009年工作的主旋律之1風(fēng)險(xiǎn)管控，將信息技術(shù)風(fēng)險(xiǎn)納入銀行全面風(fēng)險(xiǎn)管理體系”2009點(diǎn)任務(wù)，是優(yōu)先投入資源、重點(diǎn)保障的工作目標(biāo)。由此可見我行對于信息科技風(fēng)險(xiǎn)管理的重視?，F(xiàn)階段，根據(jù)我行技術(shù)和管理的實(shí)際情況，信息科技風(fēng)險(xiǎn)管理采用“廣度優(yōu)先、逐步提升”的策略，重點(diǎn)在管理、技術(shù)、人員等方面提升信息安全管理水平和管理能力，建立管理與技術(shù)結(jié)合的全方位的風(fēng)險(xiǎn)管理體系，變被動應(yīng)對為主動防范。具體說來，主要采取以下幾方面的措施開展信息安全工作。第一，將信息科技風(fēng)險(xiǎn)管理和信息安全納入我行五年科技戰(zhàn)略規(guī)劃的實(shí)施目標(biāo)。為了提髙信息技術(shù)整體核心競爭力，提升信息技術(shù)對業(yè)務(wù)戰(zhàn)略發(fā)展的長期2008規(guī)劃目標(biāo)和實(shí)施路徑的制定，信息科技風(fēng)險(xiǎn)管理和信息安全是科技規(guī)劃的重要組成部分之一?？萍家?guī)劃中明確了信息安全工作的中長期目標(biāo)，定義了信息安全機(jī)制建設(shè)、信息安全相關(guān)系統(tǒng)和管理平臺建設(shè)等多方面的信息安全管理實(shí)施路徑，我行在未來幾年內(nèi)將根據(jù)科技規(guī)劃的實(shí)施路徑逐步開展信息安全建設(shè)，提升信息風(fēng)險(xiǎn)防控能力。第二，完善信息科技治理，大力開展信息科技風(fēng)險(xiǎn)管理機(jī)制建設(shè)，建立信息科技風(fēng)險(xiǎn)管理制度基礎(chǔ)。以前，國內(nèi)商業(yè)銀行的信息安全管理普遍存在一個(gè)誤區(qū)，認(rèn)為部署了髙性能的硬件設(shè)備、實(shí)現(xiàn)了雙機(jī)熱備份、做好了生產(chǎn)運(yùn)行風(fēng)險(xiǎn)控制，就算完成了信息科技風(fēng)險(xiǎn)控制的工作。其實(shí)不然，因?yàn)樾畔踩粏问羌夹g(shù)問題，更是管理問題，只有持續(xù)完善信息科技治理架構(gòu)，從組織架構(gòu)和制度等管理層面采取防范措施，才能真正實(shí)現(xiàn)信息安全管理的目標(biāo)。我行在信息科技治理方面的措施主要包括三個(gè)方面。首先，認(rèn)真學(xué)習(xí)和領(lǐng)會監(jiān)管機(jī)構(gòu)對信息技術(shù)風(fēng)險(xiǎn)控制的要求，吸收借鑒同業(yè)經(jīng)驗(yàn)，將監(jiān)管要求和同業(yè)經(jīng)驗(yàn)轉(zhuǎn)化為行內(nèi)工作規(guī)范，建立系統(tǒng)完善的信息技術(shù)風(fēng)險(xiǎn)管理組織架構(gòu)和機(jī)制，建立了三道防線、三個(gè)小組和三項(xiàng)機(jī)制。三道防線是明確了信息技術(shù)部、合規(guī)部、稽核部為主體的信息技術(shù)風(fēng)險(xiǎn)三道防線的職能分工;三個(gè)小組是成立了信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急處置小組和;息技術(shù)風(fēng)險(xiǎn)管理保障機(jī)制、信息技術(shù)風(fēng)險(xiǎn)評估和預(yù)警機(jī)制及信息技術(shù)風(fēng)險(xiǎn)應(yīng)急處置機(jī)制。其次，建立健全信息科技規(guī)章制度。為了做好制度建設(shè)，我行信息技術(shù)部專門制定了《科技規(guī)章制度止的流程和審批制度。在管理辦法的指引下，切實(shí)抓好制度建設(shè)，近兩年每年制定、修訂的制度都在60體系。同時(shí)加強(qiáng)制度的宣講、檢查、整改機(jī)制。對于新建立的制度，制定一項(xiàng)，宣講一項(xiàng)，檢查一項(xiàng)，違章整改一項(xiàng)。再次，加強(qiáng)信息安全隊(duì)伍建設(shè)，提髙員工信息安全風(fēng)險(xiǎn)防范意識和水平，通過理論和實(shí)踐的結(jié)合，培養(yǎng)髙素質(zhì)的信息安全管理團(tuán)隊(duì)。去年我行在總行各部門和各分行科技部設(shè)立了信息安全崗，專門負(fù)責(zé)組織、落實(shí)本單位的信息安全管理工作。為了提髙信息安全崗人員的知識水平和操作技能，我行與廣州市信息安全協(xié)會共同設(shè)計(jì)了培訓(xùn)課程，組織總行信息安全崗人員和總行信息技術(shù)部相關(guān)崗位人員分批參加了信息安全繼續(xù)教育培訓(xùn)，實(shí)現(xiàn)總行信息安全崗滿足《廣東省公安廳關(guān)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的實(shí)施辦法》中關(guān)于持證上崗的監(jiān)管要求，今年將實(shí)現(xiàn)分行信息安全崗全部持證上崗。我們同時(shí)認(rèn)識到，信息科技風(fēng)險(xiǎn)防范不僅是信息安全崗的事情，而且是全體員工的基本任務(wù)。因此正在組織編寫全員信息安全手冊，對于桌面電腦安全、信息保密等基礎(chǔ)信息安全知識開展普及教育，屆時(shí)將人手一冊，確保全體員工了解并遵守信息安全管理要求。第三，采取有效的信息科技風(fēng)險(xiǎn)管理的手段防范和化解信息安全風(fēng)險(xiǎn)。首先，持續(xù)開展信息科技風(fēng)險(xiǎn)檢查、評估、整改這一不斷循環(huán)、螺旋上升的工作。一方面認(rèn)真開展內(nèi)部審計(jì)和外部審計(jì)工作，通過審計(jì);組織信息技術(shù)部的風(fēng)險(xiǎn)自查，每月定期開展總分行數(shù)據(jù)中心機(jī)房現(xiàn)場檢查，每季度開展數(shù)據(jù)庫操作、用戶管理等髙風(fēng)險(xiǎn)操作的專項(xiàng)檢查。根據(jù)審計(jì)要求和自查結(jié)果，嚴(yán)格落實(shí)風(fēng)險(xiǎn)整改工作，將整改任務(wù)落實(shí)到每季度、每月、每周的科技工作計(jì)劃中。同時(shí)逐步擴(kuò)大風(fēng)險(xiǎn)檢查的廣度和深度，主動發(fā)現(xiàn)并積極防范風(fēng)險(xiǎn)，通過風(fēng)險(xiǎn)整改實(shí)現(xiàn)持續(xù)改進(jìn)。其次，嚴(yán)抓四方面的生產(chǎn)運(yùn)行安全管理工作：一是完善基礎(chǔ)設(shè)施建設(shè)，化解;;管理的水平，推進(jìn)運(yùn)行流程化和集中化管理，防范操作風(fēng)險(xiǎn)，確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。四是完善應(yīng)急預(yù)案，積極組織開展應(yīng)急演練，切實(shí)提髙風(fēng)險(xiǎn)防控水平。記者：信息科技風(fēng)險(xiǎn)管理有時(shí)會影響效率，您如何看待這兩個(gè)因素的平衡?徐徽：我們必須承認(rèn)，信息科技風(fēng)險(xiǎn)管理的確存在影響效率問題，信息安全風(fēng)險(xiǎn)控制與系統(tǒng)研發(fā)、資源整合、運(yùn)行管理工作效率之間往往存在矛盾，嚴(yán)格信息安全責(zé)任重于泰風(fēng)險(xiǎn)管理優(yōu);排整改工作計(jì)劃。信息科技風(fēng)險(xiǎn)防范是一個(gè)長期的、持續(xù)改進(jìn)的過程，同時(shí)也是一個(gè)全方位的管理體系，不可能一蹴而就，也不可能只通過某些技術(shù)方案或某項(xiàng)管理措施解決。隨著外部環(huán)境和內(nèi)部環(huán)境的變化，新的信息科技風(fēng)險(xiǎn)會不斷滋生、升級，信息科技風(fēng)險(xiǎn)防范的手段也應(yīng)隨之不