|
|
|
|
|
|
2017-09-26
通过开展信息科技风险管理咨询工作,全面、准确地了解银行的信息科技风险管理现状,基于银监会发布的《商业银行信息科技风险管理指引》、《数据中心监管指引》、《业务连续性管理指引》、《信息科技外包风险监管指引》等监管合规要求,结合商业银行自身现状,完善信息科技治理架构,涉及信息科技风险管理合规框架,开展信息科技风险评估并建立风险持续检测机制,指导商业银行在信息安全、信息系统开发维护、科技运行、业务连续性、信息科技外包等领域建立并完善各类风险控制措施,有效满足监管要求。 构建合规框架 以《商业银行信息科技风险管理指引》为框架,关联映射各类内外部合规要求,包括但不限于内部现有制度文件、ISO27001、ISO20000、CMMI等。确保各类合规要求均被有效整合在信息科技风险合规框架内。基于整体合规框架的要求,指导银行完善现有信息科技风险管理组织架构,进一步明确信息科技风险管理职责归属,优化跨部门协调工作机制。 规划科技风险建设蓝图 基于银行信息科技风险管理现状,规划3到5年的信息科技风险管理整体工作目标,结合现有不足,绘制体系建设发展路线图。从管理、技术、意识能力三大方面...
2015-02-09
《商业银行信息科技风险管理指引》共十一章七十六条,涵盖了信息科技风险管理的各个领域,同时针对银行现有的组织架构,对各部门也明确提出了风险管理的要求,以下将就主要条款做一个深入的解析。 第一章总则,明确了指引的目标和适用范围,指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理,明确提出了信息科技治理的概念,明确了信息科技风险管理的责任人,董事会的相关职责,并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责,互相协作共同完善信息科技风险管理的架构。 第三章...
2017-09-25
等级保护与ISO/IEC 27001概念对比信息系统安全等级保护是指对信息系统实行等级化的保护和管理。根据信息系统对国家利益、公共利益和社会稳定的重要性,实行分级、分类、分阶段实施保护,确保信息安全和系统安全正常运行,其核心是对信息系统安全分等级、按标准进行建设、管理和监督。等级保护的主要内容涉及四个方面:(1)对信息系统按重要性实行分级保护;(2)对系统中使用的信息安全产品实行按分级许可管理;(3)对等级系统的安全服务资质分级许可管理;(4)对信息系统中发生的信息安全事件分等级响应、处置。信息安全管理体系国际标准起源于英国的BS 7799标准,后逐渐形成国际标准ISO/IEC 27001,该标准主要由两大部分组成:ISO 27001是“信息安全管理体系要求” (Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。ISO/IEC 27002即“信息安全管理实施指南” (Code of practice for Information Security Management Systems),提...
2017-09-25
《商业银行信息科技风险管理指引》共十一章七十六条,涵盖了信息科技风险管理的各个领域,同时针对银行现有的组织架构,对各部门也明确提出了风险管理的要求,以下将就主要条款做一个深入的解析。第一章总则,明确了指引的目标和适用范围,指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章信息科技治理,明确提出了信息科技治理的概念,明确了信息科技风险管理的责任人,董事会的相关职责,并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责,互相协作共同完善信息科技风险管理的架构。第三章信...
2015-02-09
等级保护与ISO/IEC 27001概念对比 信息系统安全等级保护是指对信息系统实行等级化的保护和管理。根据信息系统对国家利益、公共利益和社会稳定的重要性,实行分级、分类、分阶段实施保护,确保信息安全和系统安全正常运行,其核心是对信息系统安全分等级、按标准进行建设、管理和监督。 等级保护的主要内容涉及四个方面: (1)对信息系统按重要性实行分级保护; (2)对系统中使用的信息安全产品实行按分级许可管理; (3)对等级系统的安全服务资质分级许可管理; (4)对信息系统中发生的信息安全事件分等级响应、处置。 信息安全管理体系国际标准起源于英国的BS 7799标准,后逐渐形成国际标准ISO/IEC 27001,该标准主要由两大部分组成:ISO 27001是“信息安全管理体系要求” (Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。ISO/IEC 27002即“信息安全管理实施指南” (Code of practice for Information Security Management Systems...
版权所有©上海安言信息技术有限公司 2014-2015
