首页>>咨询服务>>科技风险管理咨询服务

【什么是信息科技风险管理】

为加强商业银行的操作风险管理,推动商业银行进一步完善公司治理结构,提升风险管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,银监会制定了《商业银行信息科技风险管理指引》,要求各商业银行按照《指引》的精神,加强银行信息科技风险管控。该《指引》共分11章节:
第一章  总 则:概要介绍《指引》的目的、范围、目标和信息科技风险的定义。
第二章  信息科技治理:概要介绍董事会及其他内部管理组织的职责和要求。
第三章  信息科技风险管理:概要介绍风险管控的相关要求。
第四章  信息安全:阐述信息的安全策略要求。
第五章  信息系统开发、测试和维护:阐述信息系统的安全要求。
第六章  信息科技运行:描述信息科技风险管理体系在实施时的重点和要求。
第七章  业务连续性管理:描述对业务连续性的管理要求。
第八章  外 包:描述外包时的注意事项以及对外包商的管理要求。
第九章  内部审计:概述内审审计的相关要求。
第十章  外部审计:概述外部审计的相关要求。
第十一章 附 则: 其他相关要求。

 

【为什么要实施信息科技风险管理】

• 银监会明确要求各商业银行应遵照《指引》实施科技风险管理。
•《指引》涵盖了包括IT治理、信息安全管理、IT服务管理、业务连续性管理等内容,遵照执行,基本上可全面解决科技风险。
• 遵照《指引》的要求,可有效的融合各管理体系,避免多体系冲突重叠等问题。并有助于应对各方的检查和审计。

 

【怎么实施信息科技风险管理】

【整体思路】
以《指引》为基础,辅助于《商业银行数据中心监管指引》、《银行业商业机构外包风险管理指引》,参照国际标准,建立全面的信息科技风险管理体系,如下图所示:

 

 

【咨询流程】
在信息科技风险管理体系建立过程中,天帷信息技术将采用如下的工作流程及服务项目为商业银行提供安全咨询服务,确保将《商业银行信息科技风险管理指引》中的要求落到实处,满足商业银行安全、持续、稳健运行的要求,咨询流程共分为7个阶段:

 

【为什么选择天帷来实施信息科技风险管理咨询】

【完善的方法论与成功案例】
天帷信息技术的咨询方法论融合了《商业银行信息科技风险管理指引》的各项基础要求,同时又借助了体系架构完善、具体要求清晰的ISO27001及ISO20000等国际标准,方法论完善,容易执行实施且容易取得阶段性成果。该体系可以满足大多数法规及检查的要求,可以帮助商业银行减少对应不同检查带来的额外工作量,一劳永逸。本方法已在多家商业含义成功实施,已经具有成功案例。
【超越《指引》及标准基础要求的附加服务】
除《指引》及标准基础要求,天帷信息技术另外提供信息安全建立实施方法、优秀的信息安全工具等,这包括:信息安全现状调研评估系统、网络安全漏洞及薄弱点扫描工具、安全等级评估工具、风险评估模型工具库、控制措施工具库等。

 

ITIL® is a registered trade mark of AXELOS Limited