• 快捷搜索
  • 全站搜索

华融湘江银行信息安全体系建设实践

2013-04-17 13:41:41作者:华融湘江银行副行长 蒋俊文编辑:
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信赖、放心的金融服务平台。加大信息安全技术投入,加强信息安全管理,有力保障了业务健康快速发展。

随着现代科学技术的发展,信息科技已经成为银行实现发展战略、业务运营、金融创新的基础平台,同时信息科技的安全性、可靠性直接关系到整个银行体系的安全和稳定。华融湘江银行自2010年成立以来,以创建“好银行”为目标,坚持“立足湖南、依托湖南、服务湖南、支持湖南”的发展思路,着力打造“小、精、专、新、特”的经营特色,致力于服务地方经济、服务中小企业、服务广大客户,全力打造成为客户信赖、放心的金融服务平台。在人民银行、银监部门的正确指导下,加大信息安全技术投入,加强信息安全管理,有力保障了业务健康快速发展。

一、迅速完成整合,实现信息系统安全无缝对接

        华融湘江银行是在改革重组原“四行一社”基础上组建的一家区域性股份制商业银行。新银行组建前,各行社都已建立比较完备的业务系统和管理系统,但各行社信息化程度不一,技术力量参差不齐,业务品种各异,管理模式各具特色。尽快实现IT系统的整合成为当时各项工作的重中之重。

        2010年3月1日,华融湘江银行重组办公室组建了信息科技整合小组,开始了紧张有序的IT整合工作。在充分考虑实际应用并兼顾未来发展需要的基础上,按照全面支持“以客户为中心”的理念,实现“大会计、大集中、一本账”、本外币一体化、7×24小时服务、总行一级清算的业务体系等要求,集中整合渠道系统,加强电子渠道信息化基础建设,构建功能完善、综合性的服务平台体系,实现数据集中,建立全行数据中心,构建统一的基础数据平台。经过近7个月的业务整合和IT研发,全面实现了核心业务系统、信贷管理系统、财务系统、基础数据平台、基础网络架构和柜面设施的整合工作,实现了电话银行、网上银行、短信银行的无缝链接。2010年10月12日开业前顺利完成了全行的数据大集中,实现了财务核算、业务流程、运营管理、业务制度、风险管控、信贷审批、凭证印章、对外形象的统一,达到了数据集中、系统统一、外联对接、报表统一的要求,实现了新银行IT系统与监管部门系统接口平滑过渡。短短几个月时间便完成了IT系统整合工作,这在国内城商行重组中尚属首例,创造了一个“华融奇迹”。

二、高层强力推动,搭建信息安全管理组织架构

        在实现全行数据大集中之后,信息系统自身风险和内外部攻击的风险不断积聚,信息安全已不再是传统的防病毒、防火墙、入侵检测“三大件”,进行信息安全体系建设迫在眉睫。

        信息科技风险管理覆盖了系统开发测试、运行维护、信息安全等方面内容,抓好信息科技风险管理,就抓好了信息安全。华融湘江银行高度重视,将信息科技风险管理纳入全行风险管理范畴。董事会下设风险管理委员会,统一管理全行的信息科技风险管理工作,定期听取信息科技管理情况评估报告,安排内审部门进行审计,确定潜在风险区域并及时警示;经营管理层设立了信息科技管理委员会,提高了信息科技规划与决策能力。

        同时,积极构建信息科技风险控制的“三道防线”。信息科技部、各业务条线管理部门作为信息科技风险控制的第一道防线,对本专业条线风险管理工作直接负责,通过“自我评估、自我检查、自我整改、自我培训”,对风险主动进行识别、评估、报告和化解,履行风险控制职能。风险管理部、法律合规部等部门作为信息科技风险控制的第二道防线,负责全行风险管理工作的统筹、支持和监控,组织制订内部控制和风险管理的政策、标准和要求,为一道防线提供内部控制和风险管理的方法、工具和流程,促进内部控制和风险管理的一致性和有效性,同时积极组织开展各类风险检查、评估与监测:稽核、监察等部门作为信息科技风险控制的第三道防线,负责对风验管理体系建设、实施、运行情况及风险的识别、评估、应对和监测情况进行独立评估,全面审查评价风险管理和内部控制的适当性和有效性,确保国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行。

        每道防线都配备了信息安全管理人员,如信息科技部配备了多名专职安全员,风险管理部、稽核部也分别配置专业的IT风险管理和审计人员。

三、强化制度约束,完善信息安全管理制度体系

        华融湘江银行遵循监管要求,结合自身实际,确立了信息安全管理目标:有效保护信息及信息处理环境,支持业务持续运营;提高应对新型信息安全威胁的能力,支持业务创新;保护客户信息和资金安全,维护华融湘江银行声誉;提高合规管理能力,满足监管要求。并确立了“全面管理、预防为主、分级保护、合规审慎”的信息安全管理原则,明确了对不同等级信息资产的信息安全管理偏好,为信息安全管理指引方向。按照以上目标和原则,华融湘江银行完善信息安全制度框架体系,先后制订了一系列信息安全管理制度。

        1.信息科技风险管理方面
        按照银监会《商业银行信息科技风险管理指引》,制订了配套的信息安全管理政策、管理办法、操作规范和指南,构建了信息安全管理整体框架,明确了信息安全管理对象、角色及各对象全生命周期的安全管理要求,规范运维中的安全管理行为:统一全行安全评估的尺度和方法;明确应急管理要求和信息系统责任事故的责任认定。《华融湘江银行信息科技基本管理办法》进一步明确董事会风险管理委员会、风险管理部门、审计部门有关信息科技风险管理职责。

        2.运维制度建设方面
        2012年上半年制订了《信息系统投产管理办法》,并拟定了《应用系统运行维护实施细则》、《批处理管理办法》等规章制度。

        3.规范操作流程方面
        制订了《投产总结报告模板》、《项目投产流程》、《系统投产审批单》、《系统投产清单》、《系统版本更新操作步骤》、《系统投产操作步骤》、《新增机构操作模板》、《新增自助设备操作模板》、《数据维护计划模板》和《季末工作方案》等模板和规范性文件,为规范化运维夯实基础。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章