ISO27001與銀行信息科技風(fēng)險(xiǎn)管理指引對比映射

來源：    發(fā)布日期：   點(diǎn)擊量：

《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》共十一章七十六條，涵蓋了信息科技風(fēng)險(xiǎn)管理的各個(gè)領(lǐng)域，同時(shí)針對銀行現(xiàn)有的組織架構(gòu)，對各部門也明確提出了風(fēng)險(xiǎn)管理的要求，以下將就主要條款做一個(gè)深入的解析。

第一章總則，明確了指引的目標(biāo)和適用范圍，指出信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險(xiǎn)的識別、計(jì)量、監(jiān)測和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。

第二章信息科技治理，明確提出了信息科技治理的概念，明確了信息科技風(fēng)險(xiǎn)管理的責(zé)任人，董事會(huì)的相關(guān)職責(zé)，并明確要求商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向首席信息官或首席風(fēng)險(xiǎn)官（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。此章最重要的是明確了商業(yè)銀行風(fēng)險(xiǎn)管理部門、信息科技部門以及內(nèi)部審計(jì)部門在信息科技風(fēng)險(xiǎn)管理中承擔(dān)不同的角色和職責(zé)，互相協(xié)作共同完善信息科技風(fēng)險(xiǎn)管理的架構(gòu)。

第三章信息科技風(fēng)險(xiǎn)管理，明確要求商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評估計(jì)劃，制定全面的信息科技風(fēng)險(xiǎn)管理策略，建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測機(jī)制。本章是從信息科技風(fēng)險(xiǎn)管理部門的角度，提出商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的事前控制（第一道防線）。

第四章信息安全，明確要求信息科技部門負(fù)責(zé)落實(shí)信息安全管理職能，負(fù)責(zé)建立和實(shí)施信息分類和保護(hù)體系，通過建立有效管理用戶認(rèn)證和訪問控制的流程保障業(yè)務(wù)安全，通過設(shè)立物理安全保護(hù)區(qū)域保障物理安全，通過將網(wǎng)絡(luò)劃分為不同的邏輯安全域保障網(wǎng)絡(luò)安全，通過操作系統(tǒng)和系統(tǒng)軟件的安全控制保障系統(tǒng)安全，同時(shí)加強(qiáng)信息系統(tǒng)、終端設(shè)備、傳輸控制、信息保護(hù)等方面的安全，并對員工進(jìn)行持續(xù)培訓(xùn)，通過建立信息安全體系，全面控制信息安全方面風(fēng)險(xiǎn)，此章是參考了國內(nèi)外信息安全最佳實(shí)踐（ISO27000與等級保護(hù)），針對信息科技部門，提出信息科技風(fēng)險(xiǎn)管理的事中控制（第二道防線）的重要組成部分。

第五章系統(tǒng)開發(fā)、測試與維護(hù)，明確要求對信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護(hù)、升級和報(bào)廢，制定制度和流程，采取適當(dāng)?shù)捻?xiàng)目管理方法，控制信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護(hù)性，應(yīng)制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開發(fā)、測試、維護(hù)過程中數(shù)據(jù)的完整性、保密性和可用性等具體要求。此章是針對軟件開發(fā)與項(xiàng)目實(shí)施部門，提出信息科技風(fēng)險(xiǎn)管理的事中控制（第二道防線）的重要組成部分。

第六章信息科技運(yùn)行，明確了商業(yè)銀行數(shù)據(jù)中心物理環(huán)境要求、人員崗位職責(zé)要求，并要求商業(yè)銀行制定詳盡的信息科技運(yùn)行操作說明，建立事故管理及處置機(jī)制及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，建立服務(wù)水平管理相關(guān)的制度和流程，建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，制定容量規(guī)劃應(yīng)及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級，制定有效的變更管理流程以確保生產(chǎn)環(huán)境的完整性和可靠性等。此章主要參考了ITIL最佳實(shí)踐，針對數(shù)據(jù)中心與運(yùn)行部門，提出信息科技風(fēng)險(xiǎn)管理的事中控制（第二道防線）的重要組成部分。

第七章業(yè)務(wù)連續(xù)性管理，明確要求商業(yè)銀行根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；定期對規(guī)劃進(jìn)行更新和演練，以保證其有效性。此章主要參考了BCP最佳實(shí)踐，針對業(yè)務(wù)運(yùn)營部門，提出信息科技風(fēng)險(xiǎn)管理的事中控制（第二道防線）的重要組成部分。

第八章外包管理，明確商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行，針對外包方選擇、外包談判、外包協(xié)議，外包執(zhí)行中的信息安全等方面提出了明確要求，此章是針對商業(yè)銀行各部門的外包合作，提出信息科技風(fēng)險(xiǎn)管理的事中控制（第二道防線）的重要組成部分。

第九章內(nèi)部審計(jì)，明確商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測。至少應(yīng)每三年進(jìn)行一次全面審計(jì)。在進(jìn)行大規(guī)模系統(tǒng)開發(fā)時(shí)，要求信息科技風(fēng)險(xiǎn)管理部門和內(nèi)部審計(jì)部門參與，進(jìn)行專項(xiàng)審計(jì)等。此章主要針對內(nèi)部審計(jì)部門職責(zé)，提出信息科技風(fēng)險(xiǎn)管理的事后控制（第三道防線）的重要組成部分。
第十章外部審計(jì)，明確商業(yè)銀行在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息科技外部審計(jì)。此章主要從外部審計(jì)角度，提出信息科技風(fēng)險(xiǎn)管理的事后控制（第三道防線）的重要組成部分。

通過指引解析，我們可以看出，指引的編寫借鑒了Cobit、ISO27000、ITIL、CMM、BCP等國內(nèi)外的最佳實(shí)踐，為商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理指明了方向。同時(shí)，本指引從商業(yè)銀行信息科技相關(guān)的每一個(gè)主要部門的角度出發(fā)，分別提出具體的監(jiān)管要求，從而使得本指引具備非常強(qiáng)的可操作性。

相關(guān)知識：