• 快捷搜索
  • 全站搜索

农行信息科技风险管理以ISO27001为纲

2014-08-10 11:16:46作者:中国农业银行科技与产品管理局局长 于进编辑:
信息科技的发展催生了信息科技风险管理体系的建设需求,农业银行基于ISO27001标准,经过筹备、调研、评估、实现和运行五个阶段,建立起农行的信息科技风险管理体系,实现全方位管理信息科技风险,做到风险管理的体系化、规范化和流程化,初步建立起一套相对完善的信息科技风险管理防范体系。

当今世界,信息科技的发展日新月异,管理模式不断革新,我们如何才能在千变万化中稳稳把握住安全这根缰绳呢?需要借助信息科技风险管理体系建设来统一视角,借鉴国际先进标准和最佳实践,研究和建立一套适合农业银行自身特点的信息科技风险管理方法。农业银行科技产品部门在信息化的道路上,不断探索信息科技风险管理体系建设的方法,取得了一定经验和成果,概括来说就是“三个5”,即5个阶段、5个措施以及5个提升。

农行于进.jpg

信息科技风险管理体系建设的实施过程

        贯彻ISO27001标准是推动农业银行信息科技风险管理体系建设和检验工作成果的重要手段。继农行数据中心通过ISO27001认证后,农行总行科技与产品管理局、软件开发中心于2012年3月启动了信息科技风险管理体系建设项目,并于2013年12月以零不符合项的成绩顺利通过ISO27001信息安全管理体系认证。目前,总行科技产品部门已经全部通过了ISO27001认证,向构建全行信息科技风险管理体系的目标迈出坚实的一步。信息科技风险管理体系建设过程共分为项目筹备、现状调研、风险评估、体系实现和体系运行5个阶段。

        1. 项目筹备阶段

        首要是健全工作机制,在项目初期,农行总行科技产品部门就组建了项目领导小组和项目组,从各条线抽调业务骨干,全程参与项目建设过程,确保信息科技风险管理体系建设能与各职能部门的工作有效结合,避免安全工作与实际工作脱离,充分体现了“信息安全,人人有责”的特点。信息科技风险管理体系建设项目组的建立,打通了部门之间的风险管理工作壁垒,为风险管理组织有效沟通奠定了基础。

        2.现状调研阶段

        项目建设组通过人员访谈、问卷调研、技术评估、现场走查、制度调阅等多种方式,深入各领域,充分了解安全管理的现状,为风险评估和体系建设提供有效素材。调研内容不仅仅局限于ISO27001的标准,同时还将“商业银行信息系统风险管理指引”与“等级保护”的相关内容也纳入调研内容,将常规建设与重点建设相结合,两者并重。

        3. 风险评估阶段

        汇总调研阶段掌握的信息,通过资产风险评估、应用系统风险评估,以及项目组开发出的基于流程的风险评估方法,从“点”、“线”、“面”三个维度,对农业银行存在的威胁和脆弱点进行了详细分析,充分揭示风险;同时针对ISO27001控制项要求,对每个控制项的符合情况进行分析,得出与ISO27001标准存在的差距,为后期体系建设打下基础。在此期间,项目组注重风险评估过程的工具化、流程化、以及风险评估工作的知识转移,为风险评估和管理工作奠定基础,做到单向工作与全面工作相对接,两者并举。

        4. 信息科技风险管理体系实现阶段

        农业银行经过多年的信息安全建设,已经形成了具有自身特色的工作体系。因此在风险管理体系实施过程中,采用了将ISO27001标准融入现有信息安全管理活动中的实现方式。首先是结合标准要求,对现有的安全管理制度要求进行梳理;其次是根据风险评估和差距分析得出的结果,搭建适合农业银行的风险管理体系架构;最后是针对相关薄弱环节,补充管理要求,完善信息科技风险管理体系。在标准允许的情况下尽可能采用现有的制度要求,整个项目建设仅新建了31个制度,但梳理出了162个文件,引用了56个文件,保证了ISO27001的管理要求顺利落实而不会影响现有的工作秩序,使新体系文件落地执行得到了工作人员的理解和支持,避免出现建设与应用“两张皮”的现象。

        5. 信息科技风险管理体系运行阶段

        为确保安全管理要求得到有效的贯彻执行,在体系制度发布后,我们针对体系内容开展了专项的制度培训,对重要制度内容进行解读,同时根据制度要求建立检查机制,督促管理要求的执行。本阶段特点是将体系内审工作融人到了实际的安全检查工作中,使内审与日常检查充分融合,而不是为了体系认证而单独搞内审,解决体系认证与长远建设相统一。

体系建设成果与经验分享

        如何全方位管理信息科技风险,是农业银行信息科技风险管理体系建设实践的核心目标,该项体系建设成果可以总结5大措施。

        1. 识别面临的信息科技风险

        从农业银行信息科技工作的实际情况出发,将繁冗复杂的信息科技风险归纳为五个领域,即“IT管理”、“软件开发”、“运行管理”、“基础架构管理”、“数据安全管理”。该五个领域是农业银行的信息科技风险管理工作出发点和落脚点。

        2. 确立信息科技风险管理的策略方针

        信息科技风险管理必须服从企业的整体风险偏好,所有信息科技风险管理工作都必须围绕这个原则来开展。经过多年风险管理的经验积累,农业银行目前已经确立了稳健型风险管理战略,即强调以承担适度风险换取适中回报。企业级的风险管理战略同样影响着信息科技风险管理方针,农行信息科技风险管理方针可以总结为“安全与发展并举、管理与服务并重。”我们要在风险管理和科技建设之间找到一种平衡,即以良好的风险管理来服务科技建设,通过安全保发展;同时以持续发展为风险管理做支撑,通过发展促安全。我们参照ISO27001,以及信息安全等级保护相关标准,确定为“风险分级管理、系统分级保护”的信息安全风险管理策略。在信息科技风险管理工作中,我们首先要采用分级管理的思路,分清主次先后、轻重缓急,在重点解决主要矛盾的前提下,兼顾次要矛盾。

        3. 建立信息科技风险管理的组织体系

        管理信息科技风险,首先要建立信息科技风险管理的组织体系。农业银行目前的信息科技风险管理组织体系分为决策机构和实施机构。决策机构作为信息科技风险管理工作的最高领导机构,采用“三会一层”的组织形式,其中高级管理层下设风险管理委员会(操作风险管理委员会),是信息科技风险管理组织的直接领导和指挥单位。实施机构是信息科技风险管理工作的实施主体,参考巴塞尔协议提出的布局方式,建立了风险管理“三道防线”。其中:科技产品部门是信息科技风险管理的第一道防线,承担全行信息科技风险的直接管理职责;风险管理部门是信息科技风险管理工作的第二道防线,是全行信息科技相关操作风险政策制定和管理体系建设部门,协助相关部门识别、评估、监测及控制信息科技风险;审计部门是信息科技风险的第三道防线,评价信息科技风险管理工作的有效性。

        4. 厘清信息科技风险管理的基本要素

        信息科技风险管理工作开展的基本要素可以分为两个方面,一是通过制度来确定信息科技风险管理工作的依据和标准,以及风险控制的管理手段,即信息科技风险管理的制度体系;二是通过技术来提供信息科技风险管理的支撑手段,即信息科技风险管理的技术体系。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章

案例案例
农行信息科技风险管理以ISO27001为纲

信息科技的发展催生了信息科技风险管理体系的建设需求,农业银行基于ISO27001标准,经过筹备、调研、评估、实现和运行五个阶段,