更多服务

特色服务

找学习资源

查报考信息

看备考资讯

备考工具箱

报考指南

报名入口

报名流程

考试动态

考试日历

备考指南

资料中心

福利政策

热门题库

全部

农行信息科技风险管理以ISO27001为纲

来源：高顿网校 2014-10-29

　　当今世界，信息科技的发展日新月异，管理模式不断革新，我们如何才能在千变万化中稳稳把握住安全这根缰绳呢？需要借助信息科技风险管理体系建设来统一视角，借鉴国际先进标准和a1实践，研究和建立一套适合农业银行自身特点的信息科技风险管理方法。农业银行科技产品部门在信息化的道路上，不断探索信息科技风险管理体系建设的方法，取得了一定经验和成果，概括来说就是“三个5”，即5个阶段、5个措施以及5个提升。

　　信息科技风险管理体系建设的实施过程

　　贯彻ISO27001标准是推动农业银行信息科技风险管理体系建设和检验工作成果的重要手段。继农行数据中心通过ISO27001认证后，农行总行科技与产品管理局、软件开发中心于2012年3月启动了信息科技风险管理体系建设项目，并于2013年12月以零不符合项的成绩顺利通过ISO27001信息安全管理体系认证。目前，总行科技产品部门已经全部通过了ISO27001认证，向构建全行信息科技风险管理体系的目标迈出坚实的一步。信息科技风险管理体系建设过程共分为项目筹备、现状调研、风险评估、体系实现和体系运行5个阶段。

　　1. 项目筹备阶段

　　首要是健全工作机制，在项目初期，农行总行科技产品部门就组建了项目领导小组和项目组，从各条线抽调业务骨干，全程参与项目建设过程，确保信息科技风险管理体系建设能与各职能部门的工作有效结合，避免安全工作与实际工作脱离，充分体现了“信息安全，人人有责”的特点。信息科技风险管理体系建设项目组的建立，打通了部门之间的风险管理工作壁垒，为风险管理组织有效沟通奠定了基础。

　　2．现状调研阶段

　　项目建设组通过人员访谈、问卷调研、技术评估、现场走查、制度调阅等多种方式，深入各领域，充分了解安全管理的现状，为风险评估和体系建设提供有效素材。调研内容不仅仅局限于ISO27001的标准，同时还将“商业银行信息系统风险管理指引”与“等级保护”的相关内容也纳入调研内容，将常规建设与重点建设相结合，两者并重。

　　3. 风险评估阶段

　　汇总调研阶段掌握的信息，通过资产风险评估、应用系统风险评估，以及项目组开发出的基于流程的风险评估方法，从“点”、“线”、“面”三个维度，对农业银行存在的威胁和脆弱点进行了详细分析，充分揭示风险；同时针对ISO27001控制项要求，对每个控制项的符合情况进行分析，得出与ISO27001标准存在的差距，为后期体系建设打下基础。在此期间，项目组注重风险评估过程的工具化、流程化、以及风险评估工作的知识转移，为风险评估和管理工作奠定基础，做到单向工作与全面工作相对接，两者并举。

　　4. 信息科技风险管理体系实现阶段

　　农业银行经过多年的信息安全建设，已经形成了具有自身特色的工作体系。因此在风险管理体系实施过程中，采用了将ISO27001标准融入现有信息安全管理活动中的实现方式。首先是结合标准要求，对现有的安全管理制度要求进行梳理；其次是根据风险评估和差距分析得出的结果，搭建适合农业银行的风险管理体系架构；最后是针对相关薄弱环节，补充管理要求，完善信息科技风险管理体系。在标准允许的情况下尽可能采用现有的制度要求，整个项目建设仅新建了31个制度，但梳理出了162个文件，引用了56个文件，保证了ISO27001的管理要求顺利落实而不会影响现有的工作秩序，使新体系文件落地执行得到了工作人员的理解和支持，避免出现建设与应用“两张皮”的现象。

　　5. 信息科技风险管理体系运行阶段

　　为确保安全管理要求得到有效的贯彻执行，在体系制度发布后，我们针对体系内容开展了专项的制度培训，对重要制度内容进行解读，同时根据制度要求建立检查机制，督促管理要求的执行。本阶段特点是将体系内审工作融人到了实际的安全检查工作中，使内审与日常检查充分融合，而不是为了体系认证而单独搞内审，解决体系认证与长远建设相统一。

　　体系建设成果与经验分享

　　如何全方位管理信息科技风险，是农业银行信息科技风险管理体系建设实践的核心目标，该项体系建设成果可以总结5大措施。

　　1. 识别面临的信息科技风险

　　从农业银行信息科技工作的实际情况出发，将繁冗复杂的信息科技风险归纳为五个领域，即“IT管理”、“软件开发”、“运行管理”、“基础架构管理”、“数据安全管理”。该五个领域是农业银行的信息科技风险管理工作出发点和落脚点。

　　2. 确高顿息科技风险管理的策略方针

　　信息科技风险管理必须服从企业的整体风险偏好，所有信息科技风险管理工作都必须围绕这个原则来开展。经过多年风险管理的经验积累，农业银行目前已经确立了稳健型风险管理战略，即强调以承担适度风险换取适中回报。企业级的风险管理战略同样影响着信息科技风险管理方针，农行信息科技风险管理方针可以总结为“安全与发展并举、管理与服务并重。”我们要在风险管理和科技建设之间找到一种平衡，即以良好的风险管理来服务科技建设，通过安全保发展；同时以持续发展为风险管理做支撑，通过发展促安全。我们参照ISO27001，以及信息安全等级保护相关标准，确定为“风险分级管理、系统分级保护”的信息安全风险管理策略。在信息科技风险管理工作中，我们首先要采用分级管理的思路，分清主次先后、轻重缓急，在重点解决主要矛盾的前提下，兼顾次要矛盾。

　　3. 建高顿息科技风险管理的组织体系

　　管理信息科技风险，首先要建高顿息科技风险管理的组织体系。农业银行目前的信息科技风险管理组织体系分为决策机构和实施机构。决策机构作为信息科技风险管理工作的*6领导机构，采用“三会一层”的组织形式，其中高级管理层下设风险管理委员会（操作风险管理委员会），是信息科技风险管理组织的直接领导和指挥单位。实施机构是信息科技风险管理工作的实施主体，参考巴塞尔协议提出的布局方式，建立了风险管理“三道防线”。其中：科技产品部门是信息科技风险管理的*9道防线，承担全行信息科技风险的直接管理职责；风险管理部门是信息科技风险管理工作的第二道防线，是全行信息科技相关操作风险政策制定和管理体系建设部门，协助相关部门识别、评估、监测及控制信息科技风险；审计部门是信息科技风险的第三道防线，评价信息科技风险管理工作的有效性。

　　4. 厘清信息科技风险管理的基本要素

　　信息科技风险管理工作开展的基本要素可以分为两个方面，一是通过制度来确定信息科技风险管理工作的依据和标准，以及风险控制的管理手段，即信息科技风险管理的制度体系；二是通过技术来提供信息科技风险管理的支撑手段，即信息科技风险管理的技术体系。

　　5. 建高顿息科技风险管理机制

　　为了让信息科技风险管理体系持续运转和优化，参考ISO20071标准的风险管理模型，结合农业银行科技部门职能，对各项工作进行了梳理和定位，建立了具有农业银行特色的“双PDCA”信息科技风险管理机制（见图1）。我们将信息科技风险管理机制划分为确定范畴、风险识别、风险分析与评价、风险控制、监测与检查、沟通与协调六个部分，形成了发现定位风险、计算评价风险、处置控制风险、监测跟踪风险的完整工作链条。

　　通过总结归纳上述五大措施的经验成果，我们得到了农业银行信息科技风险管理体系的整体架构（见图2）。

　　我们通过建设以策略方针为核心，以组织体系、制度规范体系、技术体系为支撑，以管理机制为驱动的信息科技风险管理体系，基本实现对农业银行信息科技风险标准化和流程化的管理。

　　提升信息科技风险管理水平

　　信息科技风险管理体系建设完成后，农业银行信息科技风险管理视图得到统一，农业银行信息科技风险管理水平得到有效提升。

　　1.提升风险管理体系化

　　经过ISO27001体系的认证，农行信息科技风险管理体系构建了统一的风险视图，统筹了各领域的风险管控工作。使网络、系统、应用、运维、人员等成为信息科技的一个整体，形成一张资源网，对于“木桶”短板缺陷能够做到及时发现、及时处理，实现信息科技风险可识别、可监测、可控制。

　　2．提升体系建设与管理融合化

　　目前农行信息科技风险管理体系与现有组织机构和职能充分融合。与各专业条线的现有风险管控机制和流程充分融合，与农业银行企业文化充分融合。通过该系统的建立，ISO27001标准的13控制域与实际五个工作域进行对接，ISO27001标准与现有管理方式得到充分融合。

　　3. 提升设计与研发安全的规范化

　　信息科技风险管理体系是对银监会信息科技风险管理指引、信息系统等级保护、CMMI、ISO20000相关要求和标准的贯彻落实，涵盖IT管理、软件开发、运行管理、基础架构管理和数据安全管理五大管控领域。该系统对于如伺控制和降低信息系统建设风险，不断提升信息化项目立项以及信息系统开发、测试、投产和下线全生命周期的安全管理和风险控制能力，提高运维风险管控水平，落实安全技术措施具有重要的指导和规范作用。

　　4．提升评估和检查流程化

　　通过信息科技风险管理体系的建设，我行建立了信息科技风险管理机制，建立了风险评估指标、风险监测指标、安全检查指标三大指标评价体系。我们能够定期进行风险评估，以识别农业银行面临的信息科技风险，并评价这些风险可能造成的影响并辅以安全检查作为推进信息安全体系改进和完善的重要手段。目前，信息系统的风险评估、检查工作已纳入日常定期执行工作范围，并得到规范。

　　5. 提升风险管理前瞻性

　　目前，农业银行在管理层面，初步建立了一套覆盖全领域的、行之有效的风险监测方法和指标，结束了信息科技风险管理工作以往的“事件驱动”的被动状态；基础设施层面的各类监控系统得到日臻完善，基本实现风险管理关口的前移。

　　扫一扫微信，*9时间获取2014年FRM考试报名时间和考试时间提醒

　　高顿网校特别提醒：已经报名2014年FRM考试的考生可按照复习计划有效进行！另外，高顿网校2014年FRM考试辅导高清课程已经开通，通过针对性地讲解、训练、答疑、模考，对学习过程进行全程跟踪、分析、指导，可以帮助考生全面提升备考效果。
　　报考指南：2014年FRM考试报考指南
　　免费题库：2014年FRM考试免费题库
　　考试辅导：FRM考试招生专题
　　高清网课：FRM考试网络课程

版权声明：本条内容自发布之日起，有效期为一个月。凡本网站注明“来源高顿教育”或“来源高顿网校”或“来源高顿”的所有作品，均为本网站合法拥有版权的作品，未经本网站授权，任何媒体、网站、个人不得转载、链接、转帖或以其他方式使用。经本网站合法授权的，应在授权范围内使用，且使用时必须注明“来源高顿教育”或“来源高顿网校”或“来源高顿”，并不得对作品中出现的“高顿”字样进行删减、替换等。违反上述声明者，本网站将依法追究其法律责任。本网站的部分资料转载自互联网，均尽力标明作者和出处。本网站转载的目的在于传递更多信息，并不意味着赞同其观点或证实其描述，本网站不对其真实性负责。如您认为本网站刊载作品涉及版权等问题，请与本网站联系(邮箱fawu@gaodun.com，电话：021-31587497)，本网站核实确认后会尽快予以处理。

展开全文咨询在线