銀行科技風險規(guī)劃方案

1、銀行科技風險規(guī)劃方案技術創(chuàng)新，變革未來銀行業(yè)信息科技風險建設現狀初級階段整體管理粗放外包管控能力弱三道防線弱技術變遷快監(jiān)管要求高制度不成體系專業(yè)不足模型使用不當銀行業(yè)信息科技風險建設趨勢信息科技風險相關政策2003，國家信息化領導小組關于加強信息安全保障工作的意見中辦發(fā)27號文件20032002.8，中國人民銀行關于加強銀行數據集中安全工作的指導意見（銀發(fā)2002260號文件）20042005200620072008200920102004.5，國信辦關于做好重要信息系統(tǒng)災難備份工作的通知2005.4，國務院信息化工作辦公室重要信息系統(tǒng)災難恢復指南2007.7，國信辦國家信息安全“十一五”規(guī)劃

2、2010.4，商業(yè)銀行數據中心監(jiān)管指引2011.12，商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引 網上銀行安全風險管理指引20112009.3，商業(yè)銀行信息科技風險管理指引(銀監(jiān)會19號文)2008.4，銀行業(yè)重要信息系統(tǒng)突發(fā)事件應急管理規(guī)范（試行）2008.3，保險業(yè)信息系統(tǒng)災難恢復管理指引2008.2，銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范2013近年來，監(jiān)管部門對信息科技風險管理高2007.6 ,國家質量監(jiān)督檢驗檢疫總局重要信息系統(tǒng)災難恢復規(guī)度范重（視GB，/T 2提09出88了20明07確）2006.8，關于印發(fā)“銀行業(yè)金融機構信息系統(tǒng)風險管理指引”的的通要知求(銀。監(jiān)發(fā)國20內06各63商號) 業(yè)銀行在信息

3、系統(tǒng)軟硬2006.4，關于進一步加強銀行業(yè)金融機構信息安全保障工作的指導意件見建（設銀發(fā)和2安006全12風3號險文件管）理方面投入了大量資 源，注意防范各類信息科技風險。銀行業(yè)金融機構信息科技外包風險監(jiān)管指引、中國銀監(jiān)會中資商業(yè)銀行行政許可事項實施辦法信息科技風險定義與目標信息科技風險管理信息科技治理信息科技審計業(yè)務持續(xù)性管理信息安全管理信息科技運行項目開發(fā)、 測試外包管理信息科技風險是指信息科技在商業(yè)銀行運用過程中，由于自然因 素、人為因素、技術漏洞和管理缺陷產生的操作、 法律和聲譽風險。商業(yè)銀行信息科技風險管理指引第四條信息科技風險管理的目標是通過建立有效的機制，實現對商業(yè)銀行信息科技

4、風險的識別、計量、監(jiān)測和控制，促進銀行安全、 持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使 用水平，增強核心競爭力和可持續(xù)發(fā)展能力。商業(yè)銀行信息科技風險管理指引第五條2009年3月，銀監(jiān)會頒布了商業(yè)銀行信息科技風險管理指引信息科技風險建設應遵循的標準和規(guī)范信息科技風險建設內容信 息 科 技 風 險 管 理 體 系完善IT風險管理組織架構建立IT風險管理方法論建立IT風險管理制度體系建立IT風險管理平臺信息科技風險管理組織結構決策機構IT風險管理的最高決策組織一般以委員會形式存在可以聘請外部專家參與決策對IT風險管理的最終結果負責管理機構根據決策制定IT風險管理的相關政策和制度協(xié)調各執(zhí)行機構的工

5、作配合解決IT風險管理中遇到的問題可以聘請外部專家參與管理關注IT風險管理的階段性工作成果執(zhí)行機構IT風險管理工作的具體執(zhí)行機構對所有IT行為進行TI風險管理設定專人進行IT風險管理工作審 計 機 構 的 全 方 位 審 計三道防線稽核審計部即對IT風險的內審和外審，職責落在審計部門3.審計監(jiān)督信息科技專項審計，是指 對信息科技安全事故進行 的調查、分析和評估，或 審計部門根據風險評估結 果對認為必要的特殊事項 進行的審計。風險管理部即如何防范IT風險，職責落在風險管理部門全員參與，主要職責落在科技部門1.信息科技管理2.信息科技風險管理信息科技管理包括信息安 全，開發(fā)測試和維護，運 行、業(yè)務

6、連續(xù)性以及外包 等領域的管理工作。科技部零售部授 信部理財業(yè)務部資金營運部 信息科技風險管理包括制定信息科技風險評估計劃，制定全面的信息科技風險 管理策略，制定持續(xù)的風 險識別和評估流程。商業(yè)銀行應依據信息科技 風險管理策略和風險評估 結果，實施全面的風險防 范措施。商業(yè)銀行應建立 持續(xù)的信息科技風險計量 和監(jiān)測機制。信息科技風險管理的關鍵是要建立三道防線，三道防線相互作用，形成立體防護網信息科技風險管理方法論風險識別風險計量風險控制風險監(jiān)測信息科技風險管理制度體系商業(yè)銀行信息科技風險管理指引技術規(guī)范管理辦 法科技培訓管理辦 法科技進步推動獎 管理辦法信息科技治理信息科技 風險管理信息安全信息

7、系統(tǒng)開發(fā) 測試和維護信息科技運行業(yè)務連續(xù)性 管理外包審計信息科技管理委 員會工作規(guī)則科技制度管理辦 法科技文檔管理辦 法科技人員績效考 核管理辦法信息科技 風險管理辦法辦公計算機管理 實施細則計算機防病毒實 施細則外來人員管理實 施細則信息安全事故責 任追究管理細則信息安全 管理辦法數據安全管理實 施細則密鑰資源管理實 施細則網絡管理實施細 則科技項目 管理辦法項目測試規(guī)范項目經理手冊系統(tǒng)設計規(guī)范系統(tǒng)開發(fā)規(guī)范操作管理辦法運行中心交接班 規(guī)范事件管理辦法安全事件實施細 則生產故障事件實 施細則問題管理辦法變更管理辦法機房管理辦法中心機房管理制 度運行中心監(jiān)控管 理規(guī)范信息系統(tǒng)運行維 護管理規(guī)定非

8、災備應急實施 細則業(yè)務連續(xù)性 管理辦法應急管理辦法科技外包服務 管理辦法信息科技 審計辦法紅色：辦法級 藍色：細則級 黑色：規(guī)范手冊重要信息系統(tǒng)程 序修改與維護管 理規(guī)定數據管理辦法生產數據管理實 施細則配置管理辦法服務水平管理辦 法災備應急實施細 則計算機系統(tǒng)應急 預案信息科技風險標準與制度風險檢查項風險點跟蹤表非功能需求規(guī)范運維文檔移交規(guī)范操作水平體系容量估算統(tǒng)一策略風險評估與改進 主要文檔資產清單非功能需求標準風 險 檢 查 項 模 板非 功 能 需 求 規(guī) 范系 統(tǒng) 立 項研發(fā)測 試運 行 全 生 命 周 期如何轉換？制定各中心指標開發(fā)中心指標測試部門指標數據中心指標指標如何制定？信息

9、科技風險計量標準中心層系統(tǒng)層指標層OLA系統(tǒng)重要等級SLAUC從中心、系統(tǒng)和指標 三個層面設計操作水平 指標評估體系以及遵循的原則故障 嚴重等級中心基準分操作指標評分規(guī)則評估體系信息科技風險評估與改進安全條線應用架構條線職能化制度化技術架構條線業(yè)務IT支持條線數據中心相關職能條線信息科技風險監(jiān)測-關鍵監(jiān)測項目立項過程監(jiān)測項目實施過程監(jiān)測 生產運維項目后評估人員風險監(jiān)測策略匹配信息科技風險監(jiān)測-工具或平臺適應性要求依據監(jiān)測內容使用不同廠商提供的監(jiān)測工具依據監(jiān)測的復雜度使用不同的風險監(jiān)測工具工具或平臺的運行必須有明確的前提條件并且參數化監(jiān)測必須以不同的方式進行過程和結果分析建立信息科技風險管理平臺

10、信息科技風險管理平臺信息集成流程集成工具集成高效與安全的平衡信息科技風險管控措施事中控制事后處理應急處置管理操作水平管理完備的控制措施異常情況總是無 法規(guī)避的，如網 絡中斷、關聯(lián)系 統(tǒng)故障、行外系 統(tǒng)故障等“不可 抗力”總會存在具備持續(xù)的事后 跟蹤監(jiān)控手段具備有效的事中控 制手段事前規(guī)避風險自查與整改系統(tǒng)自身不存在設計性缺陷專題一：需求、開發(fā)、測試和運維與全面風險管理開發(fā)運維風險專業(yè)互通問題應用架構與數據 架構的建設依據 不充分規(guī)范執(zhí)行不徹底測試規(guī)范與執(zhí)行不匹配專業(yè)與培訓不足專題一：需求、開發(fā)、測試和運維與全面風險管理開發(fā)運維提升 與激勵測試提升架構的靈活性正向激勵提升專業(yè)性提升規(guī)范的適用性業(yè)

11、務連續(xù)性業(yè)務連續(xù)性管理委員會董事會主管部門執(zhí)行部門辦公后勤保衛(wèi)/人力/財務/法律等部門內部審計部門業(yè)務連續(xù)性日常管理組織架構高級管理層管理機構風險管理部門或綜合管理部門業(yè)務條線部門及信息科技部門執(zhí)行層執(zhí)行機構決策層決策機構保障部門保障機構審計部門業(yè)務連續(xù)性應急處置組織架構高級管理人員辦公后勤/人力/財務/保衛(wèi)/法律等應急決策層應急指揮層執(zhí)行部門業(yè)務條線部門及信息科技部門保障部門應急執(zhí)行層應急保障層主管部門負責人執(zhí)行部門負責人保障部門負責人稽核審計部高管層和業(yè)務連續(xù)性管理相關部門負責人組成監(jiān)管要求監(jiān)管要求業(yè)務連續(xù)性制定規(guī)劃 維護規(guī)劃評估概 率影響建立制 度體系確認 有效性信息科技風險 業(yè)務連續(xù)性

12、管理采取控制 措施業(yè)務連續(xù)性應急管理咨詢快速響應、準確決策、精確調配、協(xié)同指揮應急溝通能力資源調配能力信息共享能力事件預警能力組織過程能力輔助決策能力溝通決策容災應急管理容災應急管理重要的6大能力資源業(yè)務連續(xù)性應急管理咨詢容災應急咨詢服務的內容完善的災難恢復方案、恢復計劃進行過業(yè)務連續(xù)性計劃演練完成管理指揮系統(tǒng)配置專業(yè)人員培訓全方 位演練信息技術和業(yè)務系統(tǒng)的有效統(tǒng)一人 員流程技 術災難恢復計劃業(yè)務連續(xù)性應急管理咨詢惠普咨詢下的容災應急管理指揮的五大特點信息溝通智能化通信互聯(lián)一體化資源調度合理化執(zhí)行過程可視化響應過程自動化資源日歷人員排程現場監(jiān)控 指揮跟蹤自動預案執(zhí)行 可實現“一鍵式” 執(zhí)行信息

13、內容模板 動態(tài)內容發(fā)布短信集成郵件集成全 力 打 造 高 效 可 靠 的 應 急 處 置 系 統(tǒng)業(yè)務連續(xù)性應急管理指揮系統(tǒng)專業(yè)的美工界面設 計采用Flex的技術， 可擴展性強，支持 縮微圖/縮放功能/ 自動跟蹤等多種功 能和展示形式與惠普容災應 急咨詢最佳實 踐經驗的完美 結合成熟的流程引擎強大的維護能力 和軟件擴展能力高效穩(wěn)定的開發(fā)團隊定制化需求實現的資 源支持致力于滿足客戶服務 的實施團隊軟件特點采用工作流引擎實現流程管理、流程引擎符合WFMC國際標準 系統(tǒng)預留有外圍系統(tǒng)接口，如 短信、郵件、流程接入/接出、任 務調度接口；支持AD集成支持二次開發(fā)、預留二次開發(fā)SDK、易于擴展為應急指揮平

14、臺或 自動切換調度平臺采用開放式架構、系統(tǒng)模塊可 選擇配置、采用通用的數據交換 方式滿足724小時運行、系統(tǒng)容 錯/冗余及備份恢復能力強復雜流程的多人合作 場景下的指揮溝通采用B/S結構，支持 IE6.0及以上標準瀏 覽器訪問；系統(tǒng)菜單 簡潔明了，使用方便容災應急管理指揮系統(tǒng)軟件的優(yōu)勢應用案例：招商銀行、浦發(fā)銀行、郵儲銀行信息安全架構規(guī)劃思路和方法需求分析需求匯總功能設計架構實施首先進行信息安全風險評估文檔閱讀和評價人員訪談現場評估問卷調查網絡架構分析安全設備評估網絡安全掃描主機人工評估應用文檔分析開發(fā)人員訪談應用滲透測試安全管理信息收集基礎架構信息收集應用信息收集資 產 調 研安全管理類信息

15、收集安全技術類信息收集然后進行ISMS評估與差距分析分析信息安全要求ISO27001控制 ISO27001控制點要點求監(jiān)管/等保要求監(jiān)管/等保要求來源 信息安全工作目標重要 中信銀行現狀 性描述結果支撐說明ISMS差距分析 結果所需工作描述ISMS一二三級 文件ISMS四級 文件技術支撐沒有一份管理層批準并頒布的體現信 息安全方向和目標的安全方針文件。 也沒有信息安全方向和目標的具體體 現。只在計算機管理制度和信 息技術安全管理辦法中有一些零散 的信息安全要求和需求。月報； 3、合規(guī)審計定期出具的風險 提示； 4、來自業(yè)務部門的一些數據。目前的量化數據還不夠多，不能體現 完整的信息安全現狀。例

16、如信息資產 清單中沒有CIA等安全屬性、在系統(tǒng) 運行月報中量化數據較少等等。目前沒有一份管理層批準并頒布信息評審和修訂要符合等保的要求GB/T 22239-2008 等保基本要求 7.2.1.3目前有由高級管理層組成的信息技術 委員會，負責中信銀行的信息安全領 導職責，主要職責包括：審議全行信 息化建設規(guī)劃；審定全行重要信息安 全事項；審定全行主要信息技術工作度（修訂版）中有對信息技術委員 會職責的描述，其中包括：審議全行 信息化建設規(guī)劃；審定全行重要信息 安全事項；審定全行主要信息技術工 作制度；審定其他有關全行信息技術 工作的重大事項等。針文檔信息安全方針文檔是指體 現組織信息安全方向和目

17、5.1.1 信息安全方 標的文檔，應通過管理層員和外部相關方，如信息 安全方針、信息安全辦理 辦法等。的批準，并傳達給所有雇 管理制度要符合等保的要求要求 7.2.1.1建立由高級管理層正式批GB/T 22239-2008 等保基本 準頒布的體現中信銀行信息安全目標、方向和基本 要求以及管理層承諾的信 息安全方針。中缺少一份由高級管理 從以下渠道了解信息安全現狀：的安全方針文件。1.制定信息安全方針文層批準并頒布的體現 1、來自內部（合規(guī)審計部）和外部件。布信息安全方針文件。1-初始級信息安全政策信息安全方向和目標 檢查、評估、審計的結果； 2、運行2.由高級管理層正式批準頒不需要不需要針評審

18、應按計劃的時間間隔或當時進行信息安全方針評 審，以確保它的持續(xù)適宜 性、充分性和有效性。5.1.2 信息安全方 導致IT環(huán)境重大變化發(fā)生 制定和發(fā)布要符合等保的要求GB/T 22239-2008 等保基本要求 7.2.1.2對信息安全方針進行定期 評審，如有修訂，需要通 過正式的途徑進行發(fā)布。中缺少一份由高級管理 安全方針。層批準并頒布的體現 信息安全方向和目標 的安全方針文件。別1 制定并發(fā)布信息安全方0-沒有級 針；于信息安全體系文件進行評 審。目前沒有一份管理層批準并頒布信息 安全方針。2 定期或根據需要不定期對 ISMS審核管理規(guī)定 不需要不需要指導和支持信息安全工作。一、建立健全信息

19、安全保障組織體系 建立和完善統(tǒng)一的信息安全領導協(xié)調機構。建立由高層行領導負責、 相關各部門負責人及內部專家組成的高級管理層應通過清晰的 信息安全領導協(xié)調機構，理順關系， 方向、說明性承諾、明確 增進部門間協(xié)同配合、優(yōu)化資源配置 的信息安全職責分配和確 、提高信息安全管理決策的效率和科的信息安全管理委員會來 息安全保障工作。建立健全各級信息安全管理機 構，分支機構應設立信息安全管理崗 位。要充實信息安全管理人員，進一 步明確信息安全管理部門、運營部門 和應用部門的信息安全管理職責分 工，科學制定安全規(guī)劃，有效組織實息安全的承諾工作。如建立由高層參與 明確辦事機構，統(tǒng)一協(xié)調各部門的信 第一條1.建

20、立由高層行領導負責、相關各部門負責人及內 部專家組成的信息安全領 導協(xié)調機構；2.建立健全各級信息安全6.1.1 管理層對信 認，來支持組織內的安全 學性，決策指揮信息安全重大事宜。 2006 人民銀行銀發(fā)123號 管理機構，分支機構應設立信息安全管理崗位；3.明確信息安全管理部門、運營部門和應用部門的 信息安全管理職責分工， 以滿足信息安全管理體系 達到3級的要求。高目前有由高級管理層 制度；審定其他有關全行信息技術工 組成的信息技術委員 作的重大事項等。會，負責中信銀行的信息安全領導職責。 在中信銀行信息技術委員會工作制建立健全信息安全保障組 織體系；建立健全各級信息安全管息安全管理崗位；

21、3 明確信息安全管理部門、 運營部門和應用部門的信息 安全管理職責分工1-初始級 理機構，在分支機構設立信 信息安全政策不需要不需要圍繞ISO27001的133個控制點進行分析綜合ISO27001控制點要求、等保/監(jiān)管安全要求、風險評估中了解到的現狀和ISMS差距分析結果總結每一項控制點的近期信息安全工作目標，以及為實現該目標所需進行的工作、對應的方針策略、制 度流程及相關的技術支撐規(guī)劃信息安全管理制度體系最后進行規(guī)劃安全架構建設的關鍵活動ISMS體系建設建立完整的信息安全文件體系，實現并維持ISMS運行，通過PDCA持續(xù)化改進ISMS信息資產管理進行信息資產識別與定級，建立和實施信息分類和保護體系，保障XX銀行信息資產的機密性、 完整性和可用性第三方管理加強對第三方訪問XX銀行信息資產的安全管理，確保第三方交付的服務符合協(xié)議要求人員管理加強人員入職、在職、離職的安全管理，為XX銀行的信息安全提供人員安全保障物理環(huán)境管理保障辦公和機房設備和環(huán)境的安全，保障人員安全，為XX銀行的業(yè)務發(fā)展提供物理安全保障應用管理規(guī)范應用系統(tǒng)生命周期的安全管理和控制，以保護XX銀行應用信息系統(tǒng)的安全性安全審計管理所有生產系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預防欺詐安全監(jiān)控對于重要活動采用計算機系統(tǒng)實施連續(xù)記錄和監(jiān)督檢查，并定期評審監(jiān)視活動的結果運維管理加強和規(guī)范XX銀行信息系統(tǒng)日常運維