當今世界,信息科技的發展日新月異,管理模式不斷革新,我們如何才能在千變萬化中穩穩把握住安全這根韁繩呢?需要借助信息科技風險管理體系建設來統一視角,借鑒國際先進標準和a1實踐,研究和建立一套適合農業銀行自身特點的信息科技風險管理方法。農業銀行科技產品部門在信息化的道路上,不斷探索信息科技風險管理體系建設的方法,取得了一定經驗和成果,概括來說就是“三個5”,即5個階段、5個措施以及5個提升。
  信息科技風險管理體系建設的實施過程
  貫徹ISO27001標準是推動農業銀行信息科技風險管理體系建設和檢驗工作成果的重要手段。繼農行數據中心通過ISO27001認證后,農行總行科技與產品管理局、軟件開發中心于2012年3月啟動了信息科技風險管理體系建設項目,并于2013年12月以零不符合項的成績順利通過ISO27001信息安全管理體系認證。目前,總行科技產品部門已經全部通過了ISO27001認證,向構建全行信息科技風險管理體系的目標邁出堅實的一步。信息科技風險管理體系建設過程共分為項目籌備、現狀調研、風險評估、體系實現和體系運行5個階段。
  1. 項目籌備階段
  首要是健全工作機制,在項目初期,農行總行科技產品部門就組建了項目領導小組和項目組,從各條線抽調業務骨干,全程參與項目建設過程,確保信息科技風險管理體系建設能與各職能部門的工作有效結合,避免安全工作與實際工作脫離,充分體現了“信息安全,人人有責”的特點。信息科技風險管理體系建設項目組的建立,打通了部門之間的風險管理工作壁壘,為風險管理組織有效溝通奠定了基礎。
  2.現狀調研階段
  項目建設組通過人員訪談、問卷調研、技術評估、現場走查、制度調閱等多種方式,深入各領域,充分了解安全管理的現狀,為風險評估和體系建設提供有效素材。調研內容不僅僅局限于ISO27001的標準,同時還將“商業銀行信息系統風險管理指引”與“等級保護”的相關內容也納入調研內容,將常規建設與重點建設相結合,兩者并重。
  3. 風險評估階段
  匯總調研階段掌握的信息,通過資產風險評估、應用系統風險評估,以及項目組開發出的基于流程的風險評估方法,從“點”、“線”、“面”三個維度,對農業銀行存在的威脅和脆弱點進行了詳細分析,充分揭示風險;同時針對ISO27001控制項要求,對每個控制項的符合情況進行分析,得出與ISO27001標準存在的差距,為后期體系建設打下基礎。在此期間,項目組注重風險評估過程的工具化、流程化、以及風險評估工作的知識轉移,為風險評估和管理工作奠定基礎,做到單向工作與全面工作相對接,兩者并舉。
  4. 信息科技風險管理體系實現階段
  農業銀行經過多年的信息安全建設,已經形成了具有自身特色的工作體系。因此在風險管理體系實施過程中,采用了將ISO27001標準融入現有信息安全管理活動中的實現方式。首先是結合標準要求,對現有的安全管理制度要求進行梳理;其次是根據風險評估和差距分析得出的結果,搭建適合農業銀行的風險管理體系架構;最后是針對相關薄弱環節,補充管理要求,完善信息科技風險管理體系。在標準允許的情況下盡可能采用現有的制度要求,整個項目建設僅新建了31個制度,但梳理出了162個文件,引用了56個文件,保證了ISO27001的管理要求順利落實而不會影響現有的工作秩序,使新體系文件落地執行得到了工作人員的理解和支持,避免出現建設與應用“兩張皮”的現象。
  5. 信息科技風險管理體系運行階段
  為確保安全管理要求得到有效的貫徹執行,在體系制度發布后,我們針對體系內容開展了專項的制度培訓,對重要制度內容進行解讀,同時根據制度要求建立檢查機制,督促管理要求的執行。本階段特點是將體系內審工作融人到了實際的安全檢查工作中,使內審與日常檢查充分融合,而不是為了體系認證而單獨搞內審,解決體系認證與長遠建設相統一。
  體系建設成果與經驗分享
  如何全方位管理信息科技風險,是農業銀行信息科技風險管理體系建設實踐的核心目標,該項體系建設成果可以總結5大措施。
  1. 識別面臨的信息科技風險
  從農業銀行信息科技工作的實際情況出發,將繁冗復雜的信息科技風險歸納為五個領域,即“IT管理”、“軟件開發”、“運行管理”、“基礎架構管理”、“數據安全管理”。該五個領域是農業銀行的信息科技風險管理工作出發點和落腳點。
  2. 確高頓息科技風險管理的策略方針
  信息科技風險管理必須服從企業的整體風險偏好,所有信息科技風險管理工作都必須圍繞這個原則來開展。經過多年風險管理的經驗積累,農業銀行目前已經確立了穩健型風險管理戰略,即強調以承擔適度風險換取適中回報。企業級的風險管理戰略同樣影響著信息科技風險管理方針,農行信息科技風險管理方針可以總結為“安全與發展并舉、管理與服務并重。”我們要在風險管理和科技建設之間找到一種平衡,即以良好的風險管理來服務科技建設,通過安全保發展;同時以持續發展為風險管理做支撐,通過發展促安全。我們參照ISO27001,以及信息安全等級保護相關標準,確定為“風險分級管理、系統分級保護”的信息安全風險管理策略。在信息科技風險管理工作中,我們首先要采用分級管理的思路,分清主次先后、輕重緩急,在重點解決主要矛盾的前提下,兼顧次要矛盾。
  3. 建高頓息科技風險管理的組織體系
  管理信息科技風險,首先要建高頓息科技風險管理的組織體系。農業銀行目前的信息科技風險管理組織體系分為決策機構和實施機構。決策機構作為信息科技風險管理工作的*6領導機構,采用“三會一層”的組織形式,其中高級管理層下設風險管理委員會(操作風險管理委員會),是信息科技風險管理組織的直接領導和指揮單位。實施機構是信息科技風險管理工作的實施主體,參考巴塞爾協議提出的布局方式,建立了風險管理“三道防線”。其中:科技產品部門是信息科技風險管理的*9道防線,承擔全行信息科技風險的直接管理職責;風險管理部門是信息科技風險管理工作的第二道防線,是全行信息科技相關操作風險政策制定和管理體系建設部門,協助相關部門識別、評估、監測及控制信息科技風險;審計部門是信息科技風險的第三道防線,評價信息科技風險管理工作的有效性。
  4. 厘清信息科技風險管理的基本要素
  信息科技風險管理工作開展的基本要素可以分為兩個方面,一是通過制度來確定信息科技風險管理工作的依據和標準,以及風險控制的管理手段,即信息科技風險管理的制度體系;二是通過技術來提供信息科技風險管理的支撐手段,即信息科技風險管理的技術體系。
  5. 建高頓息科技風險管理機制
  為了讓信息科技風險管理體系持續運轉和優化,參考ISO20071標準的風險管理模型,結合農業銀行科技部門職能,對各項工作進行了梳理和定位,建立了具有農業銀行特色的“雙PDCA”信息科技風險管理機制(見圖1)。我們將信息科技風險管理機制劃分為確定范疇、風險識別、風險分析與評價、風險控制、監測與檢查、溝通與協調六個部分,形成了發現定位風險、計算評價風險、處置控制風險、監測跟蹤風險的完整工作鏈條。
  
  通過總結歸納上述五大措施的經驗成果,我們得到了農業銀行信息科技風險管理體系的整體架構(見圖2)。
  
  我們通過建設以策略方針為核心,以組織體系、制度規范體系、技術體系為支撐,以管理機制為驅動的信息科技風險管理體系,基本實現對農業銀行信息科技風險標準化和流程化的管理。
  提升信息科技風險管理水平
  信息科技風險管理體系建設完成后,農業銀行信息科技風險管理視圖得到統一,農業銀行信息科技風險管理水平得到有效提升。
  1.提升風險管理體系化
  經過ISO27001體系的認證,農行信息科技風險管理體系構建了統一的風險視圖,統籌了各領域的風險管控工作。使網絡、系統、應用、運維、人員等成為信息科技的一個整體,形成一張資源網,對于“木桶”短板缺陷能夠做到及時發現、及時處理,實現信息科技風險可識別、可監測、可控制。
  2.提升體系建設與管理融合化
  目前農行信息科技風險管理體系與現有組織機構和職能充分融合。與各專業條線的現有風險管控機制和流程充分融合,與農業銀行企業文化充分融合。通過該系統的建立,ISO27001標準的13控制域與實際五個工作域進行對接,ISO27001標準與現有管理方式得到充分融合。
  3. 提升設計與研發安全的規范化
  信息科技風險管理體系是對銀監會信息科技風險管理指引、信息系統等級保護、CMMI、ISO20000相關要求和標準的貫徹落實,涵蓋IT管理、軟件開發、運行管理、基礎架構管理和數據安全管理五大管控領域。該系統對于如伺控制和降低信息系統建設風險,不斷提升信息化項目立項以及信息系統開發、測試、投產和下線全生命周期的安全管理和風險控制能力,提高運維風險管控水平,落實安全技術措施具有重要的指導和規范作用。
  4.提升評估和檢查流程化
  通過信息科技風險管理體系的建設,我行建立了信息科技風險管理機制,建立了風險評估指標、風險監測指標、安全檢查指標三大指標評價體系。我們能夠定期進行風險評估,以識別農業銀行面臨的信息科技風險,并評價這些風險可能造成的影響并輔以安全檢查作為推進信息安全體系改進和完善的重要手段。目前,信息系統的風險評估、檢查工作已納入日常定期執行工作范圍,并得到規范。
  5. 提升風險管理前瞻性
  目前,農業銀行在管理層面,初步建立了一套覆蓋全領域的、行之有效的風險監測方法和指標,結束了信息科技風險管理工作以往的“事件驅動”的被動狀態;基礎設施層面的各類監控系統得到日臻完善,基本實現風險管理關口的前移。
   FRM官方微信  
  掃一掃微信,*9時間獲取2014年FRM考試報名時間和考試時間提醒
  
  高頓網校特別提醒:已經報名2014年FRM考試的考生可按照復習計劃有效進行!另外,高頓網校2014年FRM考試輔導高清課程已經開通,通過針對性地講解、訓練、答疑、模考,對學習過程進行全程跟蹤、分析、指導,可以幫助考生全面提升備考效果。
  報考指南:2014年FRM考試報考指南
  免費題庫:2014年FRM考試免費題庫
  考試輔導:FRM考試招生專題
  高清網課:FRM考試網絡課程