當(dāng)今世界,信息科技的發(fā)展日新月異,管理模式不斷革新,我們?nèi)绾尾拍茉谇ё內(nèi)f化中穩(wěn)穩(wěn)把握住安全這根韁繩呢?需要借助信息科技風(fēng)險(xiǎn)管理體系建設(shè)來(lái)統(tǒng)一視角,借鑒國(guó)際先進(jìn)標(biāo)準(zhǔn)和a1實(shí)踐,研究和建立一套適合農(nóng)業(yè)銀行自身特點(diǎn)的信息科技風(fēng)險(xiǎn)管理方法。農(nóng)業(yè)銀行科技產(chǎn)品部門(mén)在信息化的道路上,不斷探索信息科技風(fēng)險(xiǎn)管理體系建設(shè)的方法,取得了一定經(jīng)驗(yàn)和成果,概括來(lái)說(shuō)就是“三個(gè)5”,即5個(gè)階段、5個(gè)措施以及5個(gè)提升。
  信息科技風(fēng)險(xiǎn)管理體系建設(shè)的實(shí)施過(guò)程
  貫徹ISO27001標(biāo)準(zhǔn)是推動(dòng)農(nóng)業(yè)銀行信息科技風(fēng)險(xiǎn)管理體系建設(shè)和檢驗(yàn)工作成果的重要手段。繼農(nóng)行數(shù)據(jù)中心通過(guò)ISO27001認(rèn)證后,農(nóng)行總行科技與產(chǎn)品管理局、軟件開(kāi)發(fā)中心于2012年3月啟動(dòng)了信息科技風(fēng)險(xiǎn)管理體系建設(shè)項(xiàng)目,并于2013年12月以零不符合項(xiàng)的成績(jī)順利通過(guò)ISO27001信息安全管理體系認(rèn)證。目前,總行科技產(chǎn)品部門(mén)已經(jīng)全部通過(guò)了ISO27001認(rèn)證,向構(gòu)建全行信息科技風(fēng)險(xiǎn)管理體系的目標(biāo)邁出堅(jiān)實(shí)的一步。信息科技風(fēng)險(xiǎn)管理體系建設(shè)過(guò)程共分為項(xiàng)目籌備、現(xiàn)狀調(diào)研、風(fēng)險(xiǎn)評(píng)估、體系實(shí)現(xiàn)和體系運(yùn)行5個(gè)階段。
  1. 項(xiàng)目籌備階段
  首要是健全工作機(jī)制,在項(xiàng)目初期,農(nóng)行總行科技產(chǎn)品部門(mén)就組建了項(xiàng)目領(lǐng)導(dǎo)小組和項(xiàng)目組,從各條線(xiàn)抽調(diào)業(yè)務(wù)骨干,全程參與項(xiàng)目建設(shè)過(guò)程,確保信息科技風(fēng)險(xiǎn)管理體系建設(shè)能與各職能部門(mén)的工作有效結(jié)合,避免安全工作與實(shí)際工作脫離,充分體現(xiàn)了“信息安全,人人有責(zé)”的特點(diǎn)。信息科技風(fēng)險(xiǎn)管理體系建設(shè)項(xiàng)目組的建立,打通了部門(mén)之間的風(fēng)險(xiǎn)管理工作壁壘,為風(fēng)險(xiǎn)管理組織有效溝通奠定了基礎(chǔ)。
  2.現(xiàn)狀調(diào)研階段
  項(xiàng)目建設(shè)組通過(guò)人員訪(fǎng)談、問(wèn)卷調(diào)研、技術(shù)評(píng)估、現(xiàn)場(chǎng)走查、制度調(diào)閱等多種方式,深入各領(lǐng)域,充分了解安全管理的現(xiàn)狀,為風(fēng)險(xiǎn)評(píng)估和體系建設(shè)提供有效素材。調(diào)研內(nèi)容不僅僅局限于ISO27001的標(biāo)準(zhǔn),同時(shí)還將“商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)管理指引”與“等級(jí)保護(hù)”的相關(guān)內(nèi)容也納入調(diào)研內(nèi)容,將常規(guī)建設(shè)與重點(diǎn)建設(shè)相結(jié)合,兩者并重。
  3. 風(fēng)險(xiǎn)評(píng)估階段
  匯總調(diào)研階段掌握的信息,通過(guò)資產(chǎn)風(fēng)險(xiǎn)評(píng)估、應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評(píng)估,以及項(xiàng)目組開(kāi)發(fā)出的基于流程的風(fēng)險(xiǎn)評(píng)估方法,從“點(diǎn)”、“線(xiàn)”、“面”三個(gè)維度,對(duì)農(nóng)業(yè)銀行存在的威脅和脆弱點(diǎn)進(jìn)行了詳細(xì)分析,充分揭示風(fēng)險(xiǎn);同時(shí)針對(duì)ISO27001控制項(xiàng)要求,對(duì)每個(gè)控制項(xiàng)的符合情況進(jìn)行分析,得出與ISO27001標(biāo)準(zhǔn)存在的差距,為后期體系建設(shè)打下基礎(chǔ)。在此期間,項(xiàng)目組注重風(fēng)險(xiǎn)評(píng)估過(guò)程的工具化、流程化、以及風(fēng)險(xiǎn)評(píng)估工作的知識(shí)轉(zhuǎn)移,為風(fēng)險(xiǎn)評(píng)估和管理工作奠定基礎(chǔ),做到單向工作與全面工作相對(duì)接,兩者并舉。
  4. 信息科技風(fēng)險(xiǎn)管理體系實(shí)現(xiàn)階段
  農(nóng)業(yè)銀行經(jīng)過(guò)多年的信息安全建設(shè),已經(jīng)形成了具有自身特色的工作體系。因此在風(fēng)險(xiǎn)管理體系實(shí)施過(guò)程中,采用了將ISO27001標(biāo)準(zhǔn)融入現(xiàn)有信息安全管理活動(dòng)中的實(shí)現(xiàn)方式。首先是結(jié)合標(biāo)準(zhǔn)要求,對(duì)現(xiàn)有的安全管理制度要求進(jìn)行梳理;其次是根據(jù)風(fēng)險(xiǎn)評(píng)估和差距分析得出的結(jié)果,搭建適合農(nóng)業(yè)銀行的風(fēng)險(xiǎn)管理體系架構(gòu);最后是針對(duì)相關(guān)薄弱環(huán)節(jié),補(bǔ)充管理要求,完善信息科技風(fēng)險(xiǎn)管理體系。在標(biāo)準(zhǔn)允許的情況下盡可能采用現(xiàn)有的制度要求,整個(gè)項(xiàng)目建設(shè)僅新建了31個(gè)制度,但梳理出了162個(gè)文件,引用了56個(gè)文件,保證了ISO27001的管理要求順利落實(shí)而不會(huì)影響現(xiàn)有的工作秩序,使新體系文件落地執(zhí)行得到了工作人員的理解和支持,避免出現(xiàn)建設(shè)與應(yīng)用“兩張皮”的現(xiàn)象。
  5. 信息科技風(fēng)險(xiǎn)管理體系運(yùn)行階段
  為確保安全管理要求得到有效的貫徹執(zhí)行,在體系制度發(fā)布后,我們針對(duì)體系內(nèi)容開(kāi)展了專(zhuān)項(xiàng)的制度培訓(xùn),對(duì)重要制度內(nèi)容進(jìn)行解讀,同時(shí)根據(jù)制度要求建立檢查機(jī)制,督促管理要求的執(zhí)行。本階段特點(diǎn)是將體系內(nèi)審工作融人到了實(shí)際的安全檢查工作中,使內(nèi)審與日常檢查充分融合,而不是為了體系認(rèn)證而單獨(dú)搞內(nèi)審,解決體系認(rèn)證與長(zhǎng)遠(yuǎn)建設(shè)相統(tǒng)一。
  體系建設(shè)成果與經(jīng)驗(yàn)分享
  如何全方位管理信息科技風(fēng)險(xiǎn),是農(nóng)業(yè)銀行信息科技風(fēng)險(xiǎn)管理體系建設(shè)實(shí)踐的核心目標(biāo),該項(xiàng)體系建設(shè)成果可以總結(jié)5大措施。
  1. 識(shí)別面臨的信息科技風(fēng)險(xiǎn)
  從農(nóng)業(yè)銀行信息科技工作的實(shí)際情況出發(fā),將繁冗復(fù)雜的信息科技風(fēng)險(xiǎn)歸納為五個(gè)領(lǐng)域,即“IT管理”、“軟件開(kāi)發(fā)”、“運(yùn)行管理”、“基礎(chǔ)架構(gòu)管理”、“數(shù)據(jù)安全管理”。該五個(gè)領(lǐng)域是農(nóng)業(yè)銀行的信息科技風(fēng)險(xiǎn)管理工作出發(fā)點(diǎn)和落腳點(diǎn)。
  2. 確高頓息科技風(fēng)險(xiǎn)管理的策略方針
  信息科技風(fēng)險(xiǎn)管理必須服從企業(yè)的整體風(fēng)險(xiǎn)偏好,所有信息科技風(fēng)險(xiǎn)管理工作都必須圍繞這個(gè)原則來(lái)開(kāi)展。經(jīng)過(guò)多年風(fēng)險(xiǎn)管理的經(jīng)驗(yàn)積累,農(nóng)業(yè)銀行目前已經(jīng)確立了穩(wěn)健型風(fēng)險(xiǎn)管理戰(zhàn)略,即強(qiáng)調(diào)以承擔(dān)適度風(fēng)險(xiǎn)換取適中回報(bào)。企業(yè)級(jí)的風(fēng)險(xiǎn)管理戰(zhàn)略同樣影響著信息科技風(fēng)險(xiǎn)管理方針,農(nóng)行信息科技風(fēng)險(xiǎn)管理方針可以總結(jié)為“安全與發(fā)展并舉、管理與服務(wù)并重。”我們要在風(fēng)險(xiǎn)管理和科技建設(shè)之間找到一種平衡,即以良好的風(fēng)險(xiǎn)管理來(lái)服務(wù)科技建設(shè),通過(guò)安全保發(fā)展;同時(shí)以持續(xù)發(fā)展為風(fēng)險(xiǎn)管理做支撐,通過(guò)發(fā)展促安全。我們參照ISO27001,以及信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn),確定為“風(fēng)險(xiǎn)分級(jí)管理、系統(tǒng)分級(jí)保護(hù)”的信息安全風(fēng)險(xiǎn)管理策略。在信息科技風(fēng)險(xiǎn)管理工作中,我們首先要采用分級(jí)管理的思路,分清主次先后、輕重緩急,在重點(diǎn)解決主要矛盾的前提下,兼顧次要矛盾。
  3. 建高頓息科技風(fēng)險(xiǎn)管理的組織體系
  管理信息科技風(fēng)險(xiǎn),首先要建高頓息科技風(fēng)險(xiǎn)管理的組織體系。農(nóng)業(yè)銀行目前的信息科技風(fēng)險(xiǎn)管理組織體系分為決策機(jī)構(gòu)和實(shí)施機(jī)構(gòu)。決策機(jī)構(gòu)作為信息科技風(fēng)險(xiǎn)管理工作的*6領(lǐng)導(dǎo)機(jī)構(gòu),采用“三會(huì)一層”的組織形式,其中高級(jí)管理層下設(shè)風(fēng)險(xiǎn)管理委員會(huì)(操作風(fēng)險(xiǎn)管理委員會(huì)),是信息科技風(fēng)險(xiǎn)管理組織的直接領(lǐng)導(dǎo)和指揮單位。實(shí)施機(jī)構(gòu)是信息科技風(fēng)險(xiǎn)管理工作的實(shí)施主體,參考巴塞爾協(xié)議提出的布局方式,建立了風(fēng)險(xiǎn)管理“三道防線(xiàn)”。其中:科技產(chǎn)品部門(mén)是信息科技風(fēng)險(xiǎn)管理的*9道防線(xiàn),承擔(dān)全行信息科技風(fēng)險(xiǎn)的直接管理職責(zé);風(fēng)險(xiǎn)管理部門(mén)是信息科技風(fēng)險(xiǎn)管理工作的第二道防線(xiàn),是全行信息科技相關(guān)操作風(fēng)險(xiǎn)政策制定和管理體系建設(shè)部門(mén),協(xié)助相關(guān)部門(mén)識(shí)別、評(píng)估、監(jiān)測(cè)及控制信息科技風(fēng)險(xiǎn);審計(jì)部門(mén)是信息科技風(fēng)險(xiǎn)的第三道防線(xiàn),評(píng)價(jià)信息科技風(fēng)險(xiǎn)管理工作的有效性。
  4. 厘清信息科技風(fēng)險(xiǎn)管理的基本要素
  信息科技風(fēng)險(xiǎn)管理工作開(kāi)展的基本要素可以分為兩個(gè)方面,一是通過(guò)制度來(lái)確定信息科技風(fēng)險(xiǎn)管理工作的依據(jù)和標(biāo)準(zhǔn),以及風(fēng)險(xiǎn)控制的管理手段,即信息科技風(fēng)險(xiǎn)管理的制度體系;二是通過(guò)技術(shù)來(lái)提供信息科技風(fēng)險(xiǎn)管理的支撐手段,即信息科技風(fēng)險(xiǎn)管理的技術(shù)體系。
  5. 建高頓息科技風(fēng)險(xiǎn)管理機(jī)制
  為了讓信息科技風(fēng)險(xiǎn)管理體系持續(xù)運(yùn)轉(zhuǎn)和優(yōu)化,參考ISO20071標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管理模型,結(jié)合農(nóng)業(yè)銀行科技部門(mén)職能,對(duì)各項(xiàng)工作進(jìn)行了梳理和定位,建立了具有農(nóng)業(yè)銀行特色的“雙PDCA”信息科技風(fēng)險(xiǎn)管理機(jī)制(見(jiàn)圖1)。我們將信息科技風(fēng)險(xiǎn)管理機(jī)制劃分為確定范疇、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析與評(píng)價(jià)、風(fēng)險(xiǎn)控制、監(jiān)測(cè)與檢查、溝通與協(xié)調(diào)六個(gè)部分,形成了發(fā)現(xiàn)定位風(fēng)險(xiǎn)、計(jì)算評(píng)價(jià)風(fēng)險(xiǎn)、處置控制風(fēng)險(xiǎn)、監(jiān)測(cè)跟蹤風(fēng)險(xiǎn)的完整工作鏈條。
  
  通過(guò)總結(jié)歸納上述五大措施的經(jīng)驗(yàn)成果,我們得到了農(nóng)業(yè)銀行信息科技風(fēng)險(xiǎn)管理體系的整體架構(gòu)(見(jiàn)圖2)。
  
  我們通過(guò)建設(shè)以策略方針為核心,以組織體系、制度規(guī)范體系、技術(shù)體系為支撐,以管理機(jī)制為驅(qū)動(dòng)的信息科技風(fēng)險(xiǎn)管理體系,基本實(shí)現(xiàn)對(duì)農(nóng)業(yè)銀行信息科技風(fēng)險(xiǎn)標(biāo)準(zhǔn)化和流程化的管理。
  提升信息科技風(fēng)險(xiǎn)管理水平
  信息科技風(fēng)險(xiǎn)管理體系建設(shè)完成后,農(nóng)業(yè)銀行信息科技風(fēng)險(xiǎn)管理視圖得到統(tǒng)一,農(nóng)業(yè)銀行信息科技風(fēng)險(xiǎn)管理水平得到有效提升。
  1.提升風(fēng)險(xiǎn)管理體系化
  經(jīng)過(guò)ISO27001體系的認(rèn)證,農(nóng)行信息科技風(fēng)險(xiǎn)管理體系構(gòu)建了統(tǒng)一的風(fēng)險(xiǎn)視圖,統(tǒng)籌了各領(lǐng)域的風(fēng)險(xiǎn)管控工作。使網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、運(yùn)維、人員等成為信息科技的一個(gè)整體,形成一張資源網(wǎng),對(duì)于“木桶”短板缺陷能夠做到及時(shí)發(fā)現(xiàn)、及時(shí)處理,實(shí)現(xiàn)信息科技風(fēng)險(xiǎn)可識(shí)別、可監(jiān)測(cè)、可控制。
  2.提升體系建設(shè)與管理融合化
  目前農(nóng)行信息科技風(fēng)險(xiǎn)管理體系與現(xiàn)有組織機(jī)構(gòu)和職能充分融合。與各專(zhuān)業(yè)條線(xiàn)的現(xiàn)有風(fēng)險(xiǎn)管控機(jī)制和流程充分融合,與農(nóng)業(yè)銀行企業(yè)文化充分融合。通過(guò)該系統(tǒng)的建立,ISO27001標(biāo)準(zhǔn)的13控制域與實(shí)際五個(gè)工作域進(jìn)行對(duì)接,ISO27001標(biāo)準(zhǔn)與現(xiàn)有管理方式得到充分融合。
  3. 提升設(shè)計(jì)與研發(fā)安全的規(guī)范化
  信息科技風(fēng)險(xiǎn)管理體系是對(duì)銀監(jiān)會(huì)信息科技風(fēng)險(xiǎn)管理指引、信息系統(tǒng)等級(jí)保護(hù)、CMMI、ISO20000相關(guān)要求和標(biāo)準(zhǔn)的貫徹落實(shí),涵蓋IT管理、軟件開(kāi)發(fā)、運(yùn)行管理、基礎(chǔ)架構(gòu)管理和數(shù)據(jù)安全管理五大管控領(lǐng)域。該系統(tǒng)對(duì)于如伺控制和降低信息系統(tǒng)建設(shè)風(fēng)險(xiǎn),不斷提升信息化項(xiàng)目立項(xiàng)以及信息系統(tǒng)開(kāi)發(fā)、測(cè)試、投產(chǎn)和下線(xiàn)全生命周期的安全管理和風(fēng)險(xiǎn)控制能力,提高運(yùn)維風(fēng)險(xiǎn)管控水平,落實(shí)安全技術(shù)措施具有重要的指導(dǎo)和規(guī)范作用。
  4.提升評(píng)估和檢查流程化
  通過(guò)信息科技風(fēng)險(xiǎn)管理體系的建設(shè),我行建立了信息科技風(fēng)險(xiǎn)管理機(jī)制,建立了風(fēng)險(xiǎn)評(píng)估指標(biāo)、風(fēng)險(xiǎn)監(jiān)測(cè)指標(biāo)、安全檢查指標(biāo)三大指標(biāo)評(píng)價(jià)體系。我們能夠定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,以識(shí)別農(nóng)業(yè)銀行面臨的信息科技風(fēng)險(xiǎn),并評(píng)價(jià)這些風(fēng)險(xiǎn)可能造成的影響并輔以安全檢查作為推進(jìn)信息安全體系改進(jìn)和完善的重要手段。目前,信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估、檢查工作已納入日常定期執(zhí)行工作范圍,并得到規(guī)范。
  5. 提升風(fēng)險(xiǎn)管理前瞻性
  目前,農(nóng)業(yè)銀行在管理層面,初步建立了一套覆蓋全領(lǐng)域的、行之有效的風(fēng)險(xiǎn)監(jiān)測(cè)方法和指標(biāo),結(jié)束了信息科技風(fēng)險(xiǎn)管理工作以往的“事件驅(qū)動(dòng)”的被動(dòng)狀態(tài);基礎(chǔ)設(shè)施層面的各類(lèi)監(jiān)控系統(tǒng)得到日臻完善,基本實(shí)現(xiàn)風(fēng)險(xiǎn)管理關(guān)口的前移。
   FRM官方微信  
  掃一掃微信,*9時(shí)間獲取2014年FRM考試報(bào)名時(shí)間和考試時(shí)間提醒
  
  高頓網(wǎng)校特別提醒:已經(jīng)報(bào)名2014年FRM考試的考生可按照復(fù)習(xí)計(jì)劃有效進(jìn)行!另外,高頓網(wǎng)校2014年FRM考試輔導(dǎo)高清課程已經(jīng)開(kāi)通,通過(guò)針對(duì)性地講解、訓(xùn)練、答疑、??迹瑢?duì)學(xué)習(xí)過(guò)程進(jìn)行全程跟蹤、分析、指導(dǎo),可以幫助考生全面提升備考效果。
  報(bào)考指南:2014年FRM考試報(bào)考指南
  免費(fèi)題庫(kù):2014年FRM考試免費(fèi)題庫(kù)
  考試輔導(dǎo):FRM考試招生專(zhuān)題
  高清網(wǎng)課:FRM考試網(wǎng)絡(luò)課程