• 快捷搜索
  • 全站搜索

中国银行:数据中心风险管理体系应运而生

2014-09-09 16:24:46作者:中国银行数据中心总经理 孟茜编辑:金融咨询网
中国银行数据中心为应对数据运维管理中的运维风险和合规风险,以风险基线为核心,建立起一整套分层次、递进式、全链条、重实效的风险管理体系,该体系实现了对风险的规范化、科学化、精细化、体系化管理,大大提升了银行的风险管控能力。

        1. 风险管理框架

        风险管理框架以COSO企业风险管理(ERM)为基础,运用层次分析法,划分领域层、目标层、控制层三级架构。领域层依据我国银行业监管要求,分为信息科技治理、信息科技风险管理、信息安全管理等7个与数据中心风险直接相关的领域。目标层参考业界最佳实践,明确领域层二十余个具体管控对象,例如对于事件、问题、配置、变更、发布等8个方面实施的风险控制。控制层为实现目标层更为具体的风险管控要求。

        2. 合规风险基线

        基于风险管理框架,我们对国内外监管要求进行科学分类和逐项分析,并特别提炼出各海外监管机构的重点关注领域。数据分析显示,海外监管机构对安全审计最为关注,相应监管条款占比高达15%,其中尤其重视生产运维的内部控制及合规管理;故障管理(10%)、第三方管理(10%)紧随其后。如图2所示。

图2.jpg

        随之,我们对监管要求进行深入的差异性分析,总结各监管机构的监管偏好。以访问控制为例,多数海外监管机构都要求对IT资源的访问情况进行监控,尤其是对特权用户、远程用户等敏感权限用户行为的监控,但侧重点大不相同,如:卢森堡重点关注对访问主体身份的验证,要求确保可在任何时候对所有信息系统访问及数据输入的访问身份进行检查及记录;美国重点关注访问日志的完整性、机密性和可用性,要求银行严格控制和监控日志文件的访问;澳门重点关注访问监控技术工具的使用,要求银行采用安全工具监控所有重要信息系统未经授权的访问等。

        殊途同归,我们依据海内外监管要求及业界最佳实践的逐一的映射,形成合规风险基线。同时,本着“就高不就低”的原则,落实相应的风险防范措施。

        3.运维风险基线

        运维风险基线的建立思路是以信息资产为核心,开展对资产价值、威胁、脆弱性的分析,形成覆盖数据中心所有信息资产的全面、完整、科学的风险基线,继而开展风险评估、明确风险等级、制定风险处置计划。

        运维风险基线建设过程中,关键流程分“资产识别、威胁和脆弱性评估”两个部分,包括数据中心6大类资产,百余项固有脆弱性,以及可能利用这些脆弱性的内外部威胁。

        4. 风险控制

        在全面识别合规和运维风险的基础上,我们通过管理制度、技术工具、风险应对等三种方式进行风险控制,进行事前、事中、事后各阶段的运维风险管控。

        事前,部署覆盖机房环境、硬件、系统、网络、应用层面的自动化监控平台,从基础组件和应用交易两个维度进行端到端实时监控。经过近年来的不懈努力,目前自动化监控覆盖所有关键IT组件,做到异常事件的有效预警。事中,开展7×24小时全球一体化运维值班服务,确保第一时间进行应急响应和快速处置。事后,建立问题管理和后评价机制,排查症结,防微杜渐,深层次挖掘分析系统缺陷和不足,提升IT服务质量。

        以上,靠制度管人、按流程分责、照标准做事的运维机制已建立统一的运维流程管理平台,利用工具手段将管控措施嵌入到数据中心各项日常管理流程之中,实现对核心运维流程的闭环支撑和自动化管控。

        5. 持续完善

        风险管理是一个动态变化的过程,需要建立PDCA的持续完善机制。通过定期评估、触发式评估、第三方审计等方式,对风险管控措施进行紧密跟踪、及时完善、确保落实。

        中国银行数据中心的风险管理体系在“两地三中心”生产运维格局和海外整合转型项目进程中得到有效实施和验证,实现对风险的规范化、科学化、精细化、体系化管理,全面提升风险控制能力。同时,体系于2012年通过ISO20000服务管理体系认证,于2013年以“零不符合项”通过ISO27001信息安全管理体系认证,于2013年8月以“零不符合项”通过独立第三方审计机构依据ISAE3402国际审计标准的安全评估,于2014年5月顺利通过印度尼西亚金融服务管理局对数据中心运维风险管理的现场检查。

(文章来源:《金融电子化》杂志)

首页 上一页 1 2

扫码即可手机
阅读转发此文

本文评论

相关文章