客戶(hù)背景:
“浙商銀行”是經(jīng)中國(guó)銀監(jiān)會(huì)批準(zhǔn)設(shè)立的全國(guó)性股份制商業(yè)銀行����,全稱(chēng)為“浙商銀行股份有限公司”����。浙商銀行于2004年8月18日正式開(kāi)業(yè)�����,總行設(shè)在浙江省杭州市�����。截至2014年6月末�,浙商銀行股東24家�,注冊(cè)資本115億元,監(jiān)管資本380余億元�����、總資產(chǎn)近6000億元�。
項(xiàng)目情況:
浙商銀行信息安全管理體系建設(shè)和認(rèn)證項(xiàng)目自2014年7月啟動(dòng),項(xiàng)目組通過(guò)現(xiàn)場(chǎng)調(diào)研�����、風(fēng)險(xiǎn)評(píng)估�����、體系設(shè)計(jì)�、制度修訂和完善等工作�����,在8月底正式發(fā)布了信息安全管理體系�����。在體系試運(yùn)行期間���,安言咨詢(xún)梳理了各項(xiàng)信息安全工作職責(zé),幫助浙商銀行信息科技部更好的落實(shí)各項(xiàng)信息安全管理工作���,并通過(guò)內(nèi)部審核�����、管理評(píng)審��、信息科技風(fēng)險(xiǎn)指標(biāo)監(jiān)測(cè)等工作驗(yàn)證和評(píng)價(jià)了體系實(shí)施效果���。
難點(diǎn)特點(diǎn):
浙商銀行信息科技部自2007年起就已經(jīng)根據(jù)ISO27001標(biāo)準(zhǔn)以及銀監(jiān)會(huì)和人民銀行各項(xiàng)監(jiān)管要求逐步建立了各項(xiàng)信息安全和信息科技風(fēng)險(xiǎn)管理的規(guī)章制度和實(shí)施細(xì)則,并在實(shí)際工作中得到很好的落實(shí)��。近幾年�����,在銀監(jiān)會(huì)關(guān)于信息科技風(fēng)險(xiǎn)管理的檢查工作中,浙商銀行均能在12家股份制商業(yè)銀行中排名前三�����。在此基礎(chǔ)上����,安言咨詢(xún)根據(jù)多年的咨詢(xún)和研究成果�, 針對(duì)商業(yè)銀行對(duì)信息安全管理的需求建立了商業(yè)銀行總體合規(guī)框架,作為體系建設(shè)工作開(kāi)展的基礎(chǔ)��。合規(guī)體系框架以商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引���、ISO27001標(biāo)準(zhǔn)���、信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)以及其他相關(guān)法律法規(guī)要求為輸入,以ISO27001標(biāo)準(zhǔn)作為基礎(chǔ)框架�����,使各類(lèi)標(biāo)準(zhǔn)及合規(guī)要求向ISO27001的114控制項(xiàng)進(jìn)行映射��,對(duì)相同要求進(jìn)行合并,對(duì)細(xì)化要求進(jìn)行融入�,對(duì)框架外要求進(jìn)行整理,最終建立一個(gè)完善的信息安全管理框架����。以這個(gè)總體合規(guī)模型作為信息安全管理體系建設(shè)的基礎(chǔ),既著眼全局�、不遺漏,同時(shí)又突出重點(diǎn)��,符合銀行業(yè)自身特點(diǎn)���,具有較強(qiáng)的針對(duì)性��。在體系運(yùn)行期間���,我們梳理了各項(xiàng)信息安全工作職責(zé),列明各項(xiàng)工作的責(zé)任崗位�����、工作頻率�、工作內(nèi)容及工作輸出,幫助信息科技部員工能夠更好的執(zhí)行信息安全工作。同時(shí)�����,我們根據(jù)PDCA模型�,通過(guò)對(duì)信息科技風(fēng)險(xiǎn)的識(shí)別、評(píng)價(jià)�、控制和監(jiān)測(cè),實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的動(dòng)態(tài)管理�����。
最終成果:
在體系運(yùn)行期間���,依靠浙商銀行信息科技部全體員工切實(shí)按照體系文件的要求執(zhí)行信息安全和信息科技風(fēng)險(xiǎn)管理的各項(xiàng)工作,最終以零不符合項(xiàng)通過(guò)ISCCC的認(rèn)證審核����,順利獲取認(rèn)證證書(shū)。
