當(dāng)今世界,信息科技的發(fā)展日新月異,管理模式不斷革新,我們?nèi)绾尾拍茉谇ё內(nèi)f化中穩(wěn)穩(wěn)把握住安全這根韁繩呢?需要借助信息科技風(fēng)險管理體系建設(shè)來統(tǒng)一視角,借鑒國際先進(jìn)標(biāo)準(zhǔn)和a1實踐,研究和建立一套適合農(nóng)業(yè)銀行自身特點的信息科技風(fēng)險管理方法。農(nóng)業(yè)銀行科技產(chǎn)品部門在信息化的道路上,不斷探索信息科技風(fēng)險管理體系建設(shè)的方法,取得了一定經(jīng)驗和成果,概括來說就是“三個5”,即5個階段、5個措施以及5個提升。
  信息科技風(fēng)險管理體系建設(shè)的實施過程
  貫徹ISO27001標(biāo)準(zhǔn)是推動農(nóng)業(yè)銀行信息科技風(fēng)險管理體系建設(shè)和檢驗工作成果的重要手段。繼農(nóng)行數(shù)據(jù)中心通過ISO27001認(rèn)證后,農(nóng)行總行科技與產(chǎn)品管理局、軟件開發(fā)中心于2012年3月啟動了信息科技風(fēng)險管理體系建設(shè)項目,并于2013年12月以零不符合項的成績順利通過ISO27001信息安全管理體系認(rèn)證。目前,總行科技產(chǎn)品部門已經(jīng)全部通過了ISO27001認(rèn)證,向構(gòu)建全行信息科技風(fēng)險管理體系的目標(biāo)邁出堅實的一步。信息科技風(fēng)險管理體系建設(shè)過程共分為項目籌備、現(xiàn)狀調(diào)研、風(fēng)險評估、體系實現(xiàn)和體系運(yùn)行5個階段。
  1. 項目籌備階段
  首要是健全工作機(jī)制,在項目初期,農(nóng)行總行科技產(chǎn)品部門就組建了項目領(lǐng)導(dǎo)小組和項目組,從各條線抽調(diào)業(yè)務(wù)骨干,全程參與項目建設(shè)過程,確保信息科技風(fēng)險管理體系建設(shè)能與各職能部門的工作有效結(jié)合,避免安全工作與實際工作脫離,充分體現(xiàn)了“信息安全,人人有責(zé)”的特點。信息科技風(fēng)險管理體系建設(shè)項目組的建立,打通了部門之間的風(fēng)險管理工作壁壘,為風(fēng)險管理組織有效溝通奠定了基礎(chǔ)。
  2.現(xiàn)狀調(diào)研階段
  項目建設(shè)組通過人員訪談、問卷調(diào)研、技術(shù)評估、現(xiàn)場走查、制度調(diào)閱等多種方式,深入各領(lǐng)域,充分了解安全管理的現(xiàn)狀,為風(fēng)險評估和體系建設(shè)提供有效素材。調(diào)研內(nèi)容不僅僅局限于ISO27001的標(biāo)準(zhǔn),同時還將“商業(yè)銀行信息系統(tǒng)風(fēng)險管理指引”與“等級保護(hù)”的相關(guān)內(nèi)容也納入調(diào)研內(nèi)容,將常規(guī)建設(shè)與重點建設(shè)相結(jié)合,兩者并重。
  3. 風(fēng)險評估階段
  匯總調(diào)研階段掌握的信息,通過資產(chǎn)風(fēng)險評估、應(yīng)用系統(tǒng)風(fēng)險評估,以及項目組開發(fā)出的基于流程的風(fēng)險評估方法,從“點”、“線”、“面”三個維度,對農(nóng)業(yè)銀行存在的威脅和脆弱點進(jìn)行了詳細(xì)分析,充分揭示風(fēng)險;同時針對ISO27001控制項要求,對每個控制項的符合情況進(jìn)行分析,得出與ISO27001標(biāo)準(zhǔn)存在的差距,為后期體系建設(shè)打下基礎(chǔ)。在此期間,項目組注重風(fēng)險評估過程的工具化、流程化、以及風(fēng)險評估工作的知識轉(zhuǎn)移,為風(fēng)險評估和管理工作奠定基礎(chǔ),做到單向工作與全面工作相對接,兩者并舉。
  4. 信息科技風(fēng)險管理體系實現(xiàn)階段
  農(nóng)業(yè)銀行經(jīng)過多年的信息安全建設(shè),已經(jīng)形成了具有自身特色的工作體系。因此在風(fēng)險管理體系實施過程中,采用了將ISO27001標(biāo)準(zhǔn)融入現(xiàn)有信息安全管理活動中的實現(xiàn)方式。首先是結(jié)合標(biāo)準(zhǔn)要求,對現(xiàn)有的安全管理制度要求進(jìn)行梳理;其次是根據(jù)風(fēng)險評估和差距分析得出的結(jié)果,搭建適合農(nóng)業(yè)銀行的風(fēng)險管理體系架構(gòu);最后是針對相關(guān)薄弱環(huán)節(jié),補(bǔ)充管理要求,完善信息科技風(fēng)險管理體系。在標(biāo)準(zhǔn)允許的情況下盡可能采用現(xiàn)有的制度要求,整個項目建設(shè)僅新建了31個制度,但梳理出了162個文件,引用了56個文件,保證了ISO27001的管理要求順利落實而不會影響現(xiàn)有的工作秩序,使新體系文件落地執(zhí)行得到了工作人員的理解和支持,避免出現(xiàn)建設(shè)與應(yīng)用“兩張皮”的現(xiàn)象。
  5. 信息科技風(fēng)險管理體系運(yùn)行階段
  為確保安全管理要求得到有效的貫徹執(zhí)行,在體系制度發(fā)布后,我們針對體系內(nèi)容開展了專項的制度培訓(xùn),對重要制度內(nèi)容進(jìn)行解讀,同時根據(jù)制度要求建立檢查機(jī)制,督促管理要求的執(zhí)行。本階段特點是將體系內(nèi)審工作融人到了實際的安全檢查工作中,使內(nèi)審與日常檢查充分融合,而不是為了體系認(rèn)證而單獨(dú)搞內(nèi)審,解決體系認(rèn)證與長遠(yuǎn)建設(shè)相統(tǒng)一。
  體系建設(shè)成果與經(jīng)驗分享
  如何全方位管理信息科技風(fēng)險,是農(nóng)業(yè)銀行信息科技風(fēng)險管理體系建設(shè)實踐的核心目標(biāo),該項體系建設(shè)成果可以總結(jié)5大措施。
  1. 識別面臨的信息科技風(fēng)險
  從農(nóng)業(yè)銀行信息科技工作的實際情況出發(fā),將繁冗復(fù)雜的信息科技風(fēng)險歸納為五個領(lǐng)域,即“IT管理”、“軟件開發(fā)”、“運(yùn)行管理”、“基礎(chǔ)架構(gòu)管理”、“數(shù)據(jù)安全管理”。該五個領(lǐng)域是農(nóng)業(yè)銀行的信息科技風(fēng)險管理工作出發(fā)點和落腳點。
  2. 確高頓息科技風(fēng)險管理的策略方針
  信息科技風(fēng)險管理必須服從企業(yè)的整體風(fēng)險偏好,所有信息科技風(fēng)險管理工作都必須圍繞這個原則來開展。經(jīng)過多年風(fēng)險管理的經(jīng)驗積累,農(nóng)業(yè)銀行目前已經(jīng)確立了穩(wěn)健型風(fēng)險管理戰(zhàn)略,即強(qiáng)調(diào)以承擔(dān)適度風(fēng)險換取適中回報。企業(yè)級的風(fēng)險管理戰(zhàn)略同樣影響著信息科技風(fēng)險管理方針,農(nóng)行信息科技風(fēng)險管理方針可以總結(jié)為“安全與發(fā)展并舉、管理與服務(wù)并重。”我們要在風(fēng)險管理和科技建設(shè)之間找到一種平衡,即以良好的風(fēng)險管理來服務(wù)科技建設(shè),通過安全保發(fā)展;同時以持續(xù)發(fā)展為風(fēng)險管理做支撐,通過發(fā)展促安全。我們參照ISO27001,以及信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn),確定為“風(fēng)險分級管理、系統(tǒng)分級保護(hù)”的信息安全風(fēng)險管理策略。在信息科技風(fēng)險管理工作中,我們首先要采用分級管理的思路,分清主次先后、輕重緩急,在重點解決主要矛盾的前提下,兼顧次要矛盾。
  3. 建高頓息科技風(fēng)險管理的組織體系
  管理信息科技風(fēng)險,首先要建高頓息科技風(fēng)險管理的組織體系。農(nóng)業(yè)銀行目前的信息科技風(fēng)險管理組織體系分為決策機(jī)構(gòu)和實施機(jī)構(gòu)。決策機(jī)構(gòu)作為信息科技風(fēng)險管理工作的*6領(lǐng)導(dǎo)機(jī)構(gòu),采用“三會一層”的組織形式,其中高級管理層下設(shè)風(fēng)險管理委員會(操作風(fēng)險管理委員會),是信息科技風(fēng)險管理組織的直接領(lǐng)導(dǎo)和指揮單位。實施機(jī)構(gòu)是信息科技風(fēng)險管理工作的實施主體,參考巴塞爾協(xié)議提出的布局方式,建立了風(fēng)險管理“三道防線”。其中:科技產(chǎn)品部門是信息科技風(fēng)險管理的*9道防線,承擔(dān)全行信息科技風(fēng)險的直接管理職責(zé);風(fēng)險管理部門是信息科技風(fēng)險管理工作的第二道防線,是全行信息科技相關(guān)操作風(fēng)險政策制定和管理體系建設(shè)部門,協(xié)助相關(guān)部門識別、評估、監(jiān)測及控制信息科技風(fēng)險;審計部門是信息科技風(fēng)險的第三道防線,評價信息科技風(fēng)險管理工作的有效性。
  4. 厘清信息科技風(fēng)險管理的基本要素
  信息科技風(fēng)險管理工作開展的基本要素可以分為兩個方面,一是通過制度來確定信息科技風(fēng)險管理工作的依據(jù)和標(biāo)準(zhǔn),以及風(fēng)險控制的管理手段,即信息科技風(fēng)險管理的制度體系;二是通過技術(shù)來提供信息科技風(fēng)險管理的支撐手段,即信息科技風(fēng)險管理的技術(shù)體系。
  5. 建高頓息科技風(fēng)險管理機(jī)制
  為了讓信息科技風(fēng)險管理體系持續(xù)運(yùn)轉(zhuǎn)和優(yōu)化,參考ISO20071標(biāo)準(zhǔn)的風(fēng)險管理模型,結(jié)合農(nóng)業(yè)銀行科技部門職能,對各項工作進(jìn)行了梳理和定位,建立了具有農(nóng)業(yè)銀行特色的“雙PDCA”信息科技風(fēng)險管理機(jī)制(見圖1)。我們將信息科技風(fēng)險管理機(jī)制劃分為確定范疇、風(fēng)險識別、風(fēng)險分析與評價、風(fēng)險控制、監(jiān)測與檢查、溝通與協(xié)調(diào)六個部分,形成了發(fā)現(xiàn)定位風(fēng)險、計算評價風(fēng)險、處置控制風(fēng)險、監(jiān)測跟蹤風(fēng)險的完整工作鏈條。
  
  通過總結(jié)歸納上述五大措施的經(jīng)驗成果,我們得到了農(nóng)業(yè)銀行信息科技風(fēng)險管理體系的整體架構(gòu)(見圖2)。
  
  我們通過建設(shè)以策略方針為核心,以組織體系、制度規(guī)范體系、技術(shù)體系為支撐,以管理機(jī)制為驅(qū)動的信息科技風(fēng)險管理體系,基本實現(xiàn)對農(nóng)業(yè)銀行信息科技風(fēng)險標(biāo)準(zhǔn)化和流程化的管理。
  提升信息科技風(fēng)險管理水平
  信息科技風(fēng)險管理體系建設(shè)完成后,農(nóng)業(yè)銀行信息科技風(fēng)險管理視圖得到統(tǒng)一,農(nóng)業(yè)銀行信息科技風(fēng)險管理水平得到有效提升。
  1.提升風(fēng)險管理體系化
  經(jīng)過ISO27001體系的認(rèn)證,農(nóng)行信息科技風(fēng)險管理體系構(gòu)建了統(tǒng)一的風(fēng)險視圖,統(tǒng)籌了各領(lǐng)域的風(fēng)險管控工作。使網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、運(yùn)維、人員等成為信息科技的一個整體,形成一張資源網(wǎng),對于“木桶”短板缺陷能夠做到及時發(fā)現(xiàn)、及時處理,實現(xiàn)信息科技風(fēng)險可識別、可監(jiān)測、可控制。
  2.提升體系建設(shè)與管理融合化
  目前農(nóng)行信息科技風(fēng)險管理體系與現(xiàn)有組織機(jī)構(gòu)和職能充分融合。與各專業(yè)條線的現(xiàn)有風(fēng)險管控機(jī)制和流程充分融合,與農(nóng)業(yè)銀行企業(yè)文化充分融合。通過該系統(tǒng)的建立,ISO27001標(biāo)準(zhǔn)的13控制域與實際五個工作域進(jìn)行對接,ISO27001標(biāo)準(zhǔn)與現(xiàn)有管理方式得到充分融合。
  3. 提升設(shè)計與研發(fā)安全的規(guī)范化
  信息科技風(fēng)險管理體系是對銀監(jiān)會信息科技風(fēng)險管理指引、信息系統(tǒng)等級保護(hù)、CMMI、ISO20000相關(guān)要求和標(biāo)準(zhǔn)的貫徹落實,涵蓋IT管理、軟件開發(fā)、運(yùn)行管理、基礎(chǔ)架構(gòu)管理和數(shù)據(jù)安全管理五大管控領(lǐng)域。該系統(tǒng)對于如伺控制和降低信息系統(tǒng)建設(shè)風(fēng)險,不斷提升信息化項目立項以及信息系統(tǒng)開發(fā)、測試、投產(chǎn)和下線全生命周期的安全管理和風(fēng)險控制能力,提高運(yùn)維風(fēng)險管控水平,落實安全技術(shù)措施具有重要的指導(dǎo)和規(guī)范作用。
  4.提升評估和檢查流程化
  通過信息科技風(fēng)險管理體系的建設(shè),我行建立了信息科技風(fēng)險管理機(jī)制,建立了風(fēng)險評估指標(biāo)、風(fēng)險監(jiān)測指標(biāo)、安全檢查指標(biāo)三大指標(biāo)評價體系。我們能夠定期進(jìn)行風(fēng)險評估,以識別農(nóng)業(yè)銀行面臨的信息科技風(fēng)險,并評價這些風(fēng)險可能造成的影響并輔以安全檢查作為推進(jìn)信息安全體系改進(jìn)和完善的重要手段。目前,信息系統(tǒng)的風(fēng)險評估、檢查工作已納入日常定期執(zhí)行工作范圍,并得到規(guī)范。
  5. 提升風(fēng)險管理前瞻性
  目前,農(nóng)業(yè)銀行在管理層面,初步建立了一套覆蓋全領(lǐng)域的、行之有效的風(fēng)險監(jiān)測方法和指標(biāo),結(jié)束了信息科技風(fēng)險管理工作以往的“事件驅(qū)動”的被動狀態(tài);基礎(chǔ)設(shè)施層面的各類監(jiān)控系統(tǒng)得到日臻完善,基本實現(xiàn)風(fēng)險管理關(guān)口的前移。
   FRM官方微信  
  掃一掃微信,*9時間獲取2014年FRM考試報名時間和考試時間提醒
  
  高頓網(wǎng)校特別提醒:已經(jīng)報名2014年FRM考試的考生可按照復(fù)習(xí)計劃有效進(jìn)行!另外,高頓網(wǎng)校2014年FRM考試輔導(dǎo)高清課程已經(jīng)開通,通過針對性地講解、訓(xùn)練、答疑、???,對學(xué)習(xí)過程進(jìn)行全程跟蹤、分析、指導(dǎo),可以幫助考生全面提升備考效果。
  報考指南:2014年FRM考試報考指南
  免費(fèi)題庫:2014年FRM考試免費(fèi)題庫
  考試輔導(dǎo):FRM考試招生專題
  高清網(wǎng)課:FRM考試網(wǎng)絡(luò)課程