绿盟科技发布金融行业安全月刊201701期,该月刊为绿盟科技金融事业部主办的面向金融行业客户的信息安全类刊物。安全月刊分政策解读、行业研究、漏洞聚焦以及产品动态4个栏目,主要介绍最新安全动态、国家及行业政策(要求)落地指导、前沿技术以及安全解决方案等内容。《商业银行信息科技风险管理指引》解读
银监会相关负责人在答记者问时指出:“和原《指引》相比,新《指引》具有以下六个较鲜明的特点:
- 一是管理范畴由信息系统风险拓展至信息科技风险,全面覆盖了商业银行信息科技活动的各个环节,进一步明确了信息科技与银行业务的关系;
- 二是适用范围由银行业金融机构变为法人商业银行,其他银行业金融机构参照执行;
- 三是信息科技治理作为首要内容提出,充实并细化了对商业银行在治理层面的具体要求;
- 四是以三个独立章节的内容阐述了信息科技风险管理和内外部审计要求,特别是要求审计贯穿信息科技活动的整个过程之中;
- 五是参照国际国内的标准和成功实践,对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求,使操作性更强;
- 六是加强了对客户信息保护的要求。
本次颁布的新《指引》共十一章七十六条,将对我国银行业信息科技风险管理产生积极作用。
- 首先,《指引》规定了董事会和高级管理层在信息科技风险管理中承担的主要责任,提出要构建信息科技风险管理的“三道防线”(即信息科技管理、信息科技风险管理、信息科技风险审计),要求商业银行在决策层设立首席信息官,有利于商业银行加强信息科技治理;
- 其次,新《指引》对商业银行在具体操作层面提供了可供借鉴、操作性强的较高要求,有利于促进商业银行信息科技风险管理水平的持续提升;
- 另外,对敏感信息保护要求的提出,特别是对外包服务环节信息保护的要求,将促使商业银行进一步加强客户信息保护,为广大储户提供更加安全的服务。
第一章总则
明确了指引的目标和适用范围,指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理
提出了信息科技治理的要求,明确了信息科技风险管理的责任人,董事会的相关职责,并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。
银监会在监管工作中清楚认识到:银行领导在信息科技风险管理方面,普遍没有给予足够的重视。因此银监会明确了董事会和高级管理层在其中的责任,为信息科技风险管理建立必要的信息科技治理环境,打下必要的基础。信息科技风险管理工作涉及到全行三个重要条线,并需要各行人员的配合与执行,因此董事会和高级管理层应起到实际的领导与指导作用,协调各条线之间的关系,信息科技风险管理才能真正抓好与落实。
首席信息官的职责设定,还可以参考银监会内部征求意见的《商业银行首席信息官办法》。虽然未正式发布,但也有一定的参考价值。
本章确立了“三道防线”,明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责,互相协作共同完善信息科技风险管理的架构。
本章还提出“商业银行应设立或指派一个特定部门负责信息科技风险管理工作”,此部门从长期看,在该银行已经基本实现“全面风险管理”或向这个方面靠拢的情况下,应该是银行的风险管理部门;如果银行的风险管理工作仍然分散在各个条线,如风险管理部门主要管理信用风险,运营管理部管理操作风险等,那么信息科技风险管理工作可能首先需要由IT部门承担,但这不能完全符合银监会的“三道防线”要求。这类银行可能需要配合整体风险管理理念的步调,来最终确定究竟是哪个部门牵头负责。
第三章信息科技风险管理
要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,制定全面的信息科技风险管理策略,建立持续的信息科技风险计量和监测机制。本章是从信息科技风险管理部门的角度,提出商业银行信息科技风险管理的事前控制。
绿盟科技在服务实践中发现,国内大部分银行都缺少明确的长期发展目标,IT部门也同样缺少信息科技战略与相应规划。银监会要求信息科技战略、运行计划等依据总体业务规划来实现,是十分必要的,这样才能保证信息科技风险管理工作能真正支撑银行业务和整体发展。
本章的主要内容还要求银行建立信息科技风险管理策略,这是整体工作的重要组成部分。信息科技风险管理策略内容与第四章的信息安全内容看似有所重复,其实它是信息科技风险管理部门的工作框架,风险管理策略与相关的文档即为其工作内容。
本章工作中,信息科技风险的计量与监测机制是难点,绿盟科技在项目实践中研究总结出了一套有较强落地性的方法,选取风险的各方面关键点与指标形成监测体系,并结合银行现有技术平台进行收集、分析与评价,并实时提示重要信息与告警,达到了阶段性的目标。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880