• ?

    綠盟科技

    首頁->解決方案->金融行業解決方案->信息科技風險管理解決方案

    解決方案

    信息科技風險管理解決方案

    安全挑戰

          2009年3月,中國銀監會發布了《商業銀行信息科技風險管理指引》(簡稱《指引》),代替2006年11月的《銀行業金融機構信息系統風險管理指引》,要求各商業銀行從發布之日起遵照執行。這標志著銀行業信息科技風險管理工作進入了新階段。

          依照國家有關法律、等級保護要求,銀監會有關規定以及ISO27001國際標準的要求,商業銀行應通過信息科技風險評估,實現對商業銀行信息科技風險的識別、計量、評價和控制;建立信息科技風險管理的三道防線,并通過體系的有效實施、運作、維護和完善,使風險降低到可以接受的程度,同時提升銀行的信息安全管理水平和市場競爭力。

          在這種形勢下,商業銀行為了貫徹落實《指引》的各項規定與要求,強化信息科技風險管理工作,提高自身信息安全管理能力,需要制訂相應的明確工作方案。


    解決方案
          為達到這個目標,應以《指引》為綱指導商業銀行信息科技風險管理工作的全過程,充分識別信息系統的現狀及存在的問題,設計出合理的改進思路,及相關的規劃及計劃。由于《指引》是綱領性的文件,不會涉及操作方法的內容,因此在項目執行過程中綠盟科技會參考其他成熟標準和規范,如ISO27000系列標準、等級保護基本要求等。

    信息科技風險管理三道防線


          由于商業銀行實施風險管理與信息安全項目涉及內容很多,范圍較廣,每項工作都會占用相當的人力和時間。綠盟科技通過分析商業銀行現有需求,建議在進行實施實施過程中注重風險評估階段的調研工作,有些基礎數據可以統一進行,避免重復工作,要把一階段的輸出成果做為下階段的輸入內容。為商業銀行進行《指引》差距分析時,綠盟科技會同時考慮對與ISO27001的差距分析。可采取長短期相結合、分階段進行的方式,對項目進行整體把控,做到評估結果標準化、體系建設階段化、安全培訓持續化。項目通常分為以下兩個階段進行:

    • 信息科技風險評估階段:風險評估階段主要匯總商業銀行現有安全現狀,為下一步建立信息科技風險管理體系進行數據采集工作。主要以風險評估手段對商業銀行現有的信息科技風險管理制度文檔進行分析和梳理,整理相關制度名錄,并進行總體分析。并與《指引》要進行相關差距分析,通過現場評估調研,全面了解商業銀行現有信息科技風險管理現狀與監管要求之間的差異。
    • 信息科技風險管理與信息安全體系建設階段:是根據信息科技風險評估的結果,基于《指引》,等級保護##基本要求,制定整體未來3年安全規劃,根據差距分析報告,建立并完善信息科技風險管理框架和信息安全體系的建設,從組織體系、管理體系、技術體系和運維體系的建設,并通過建立信息科技審計機制,不斷完善信息科技風險管理體系。


    方案價值

    • 滿足行業合規要求,達到同級別銀行的先進水平
    • 協助建立自身的信息科技風險管理體系,有效控制相關風險,更好地進行業務運營
    • 梳理協調銀行內部三道防線之間的合作關系,提高風險管理效率
    • 建立有針對性的長期發展規劃,明確工作方向
    • 保證并提高業務連續性
    • 有效控制外包風險


    方案優勢

    • 緊隨監管部門工作思路與動向
    • 信息科技風險管理與信息安全管理合理地融合
    • 同時考慮中國銀監會、公安部等多方面的監管要求,有效降低信息科技風險管理成本
    • 參考國內眾多信息科技風險管理案例,有效保障成功率
    破解11选5的密码出号