第九章 内部审计,明确商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。至少应每三年进行一次全面审计。在进行大规模系统开发时,要求信息科技风险管理部门和内部审计部门参与,进行专项审计等。此章主要针对内部审计部门职责,提出信息科技风险管理的事后控制(第三道防线)的重要组成部分。 DevOps培训
第十章 外部审计,明确商业银行在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。此章主要从外部审计角度,提出信息科技风险管理的事后控制(第三道防线)的重要组成部分。
通过指引解析,我们可以看出,指引的编写借鉴了Cobit、ISO27001、ITIL、CMM、BCP等国内外的最佳实践,为商业银行的信息科技风险管理指明了方向。同时,本指引从商业银行信息科技相关的每一个主要部门的角度出发,分别提出具体的监管要求,从而使得本指引具备非常强的可操作性。
解决方案
建立适合商业银行的IT风险管理框架
谷安天下依据IT风险管理原则与IT风险管理生命周期方法论,综合通过差距风险获得的具体需求,设计、规划IT风险管理的目标框架,指导IT风险管理机制与体制建设。
组织体系建设
建立IT风险管理组织,采用条线与层级相结合的矩阵式管理模式;建立常设IT风险管理的专业团队,采用虚拟团队的方式向全行提供IT风险管理专业服务;并设立必要的实体化专业支撑中心。
管理流程制定
融合IT风险管理生命周期与主要IT流程,针对IT操作风险与信息安全风险,建立总体与具体两个层面的风险管理流程,明确各层面IT风险评估流程的触发机制,将风险与安全管理工作制度化、日常化,确保其有效执行。
控制体系建立
根据风险评估结果、IT风险管理原则及控制策略设计控制措施,通过完善的IT风险制度体系加以明确,并通过风险监测与再评估实现对IT风险控制的持续改进。
技术架构完善
完善信息安全规划的基础设施/技术架构,设计IT风险管理技术架构,并推动安全信息管理技术平台的建设以及推广。
通过IT风险管理框架,商业银行可以:
形成3道防线
第一道防线:由策略保障体系、组织保障体系、技术保障体系构成完备的ITSM信息科技风险管理体制与基础安全控制设施,形成事前防范的第一道防线,为业务运行安全打下良好的基础。
