freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

金融企業IT內控合規管理建設與實踐
2018-04-30 00:10:44

look.com.ua-120708.jpg

寫在前面

安全領域眾多,企業安全團隊負責人關注的是企業安全最后一公里的問題,偏重于安全有效性和最佳實踐,因此本專欄文章偏理論的討論少一些,偏實踐的多一些,這樣給大家的實際工作幫助可能更大一些?;ヂ摼W公司安全為什么能一定程度引領行業發展,還是因為從解決實際問題出發,很多看起來并不是高大上的話題,但卻是解決企業實際問題必須的。吾生有涯而學無涯,把有限的精力投到快速解決實際問題上去。

金融行業是牌照行業,接受嚴格的監管,典型特征是各項業務開展以及IT發展,必須遵守各項管理規定,合規是金融企業的底線和最低要求。同時為落實監管規定,以及企業內部各項管理要求,內部控制(簡稱“內控”)相對其他行業要求高出不少。在大型金融機構(如全國性商業銀行、股份制銀行、交易所、大型證券公司等),IT內控合規是廣義信息安全的一部分,而且是管理體系中很重要的一環,金融企業如何做好IT內控合規管理建設,本文嘗試做一些探討。?

一、總體介紹

1.1 合規、內控、風險管理的關系

沒有絕對的區分。合規管理是最基礎的層面,合規管理的目標是避免違反內外部法律、制度、規范,避免因不合規導致的風險。內控比合規管理更進一層,內控不但要求合規,還要審視“規”是不是完善,“規”有沒有配備相應的執行點,執行“規”的過程是不是有效。風險管理,特別是全面風險管理是風險管控的最高形式,風險按標準劃分為市場風險、信用風險、流動性風險、操作風險、法律風險。合規、內控只是操作風險管理的手段。大部分金融企業會設置首席風險官,屬于公司高級管理層。

雖然一般意義上:風險管理>內控>合規,但由于企業習慣將風險管理及其所包含的內控、合規活動統稱為內控合規管理,故本文所稱內控合規是指圍繞風險管理的一系列管理活動。由于從業經歷所限,本文只探討IT內控合規管理。

1.2 目標及領域

金融企業IT內控合規的目標是通過建立有效的機制,實現對金融企業IT風險的識別、計量、監測和控制,對外保障IT活動符合監管層各項管理要求,對內確保各項管理要求落地和控制措施有效,最終實現IT風險可控。

實踐中IT內控合規管理領域包括:信息科技風險管理、監督檢查、制度和公文管理、業務連續性管理、信息科技外包管理、分支機構管理,以及其他一些工作(比如寫信息技術部工作總結?)。根據不同企業對IT內控合規的定義理解,管理的領域可能會有一些不同。

很多企業內IT內控合規管理的崗位給人的印象就是“寫報告”的,這種說法比較通俗易懂,怎么寫好報告還是需要能力、知識、技能和邏輯架構功底,有很大技巧的,難以寫一份好報告是阻礙絕大多數安全負責人職位更進一步的主要原因。怎么寫好報告不在本文探討。

1.3 落地方法

在近三年的IT內控合規管理工作經歷中,總結出如下落地方法:外規對內規、內規對檢查、檢查對整改、整改對考核。

  • 外規對內規。將外部規范要求分解成元要求,去重合并,和內部規范一一對應,每條元要求對應的結果為四者其一:1、滿足要求;2、沖突;3、缺失。如果是2、3兩種情況,要么修訂內部規范,要么增加內部規范,以滿足外規要求。通過識別,外部規范分解成9大類、52小類、1249條元要求,去重合并后形成外規內規對應關系。外規對內規的梳理過程中發現了部分外規元要求沒有內規承接和沖突的情況。

  • 內規對檢查。依據監管要求、外部標準梳理出內部規范后,建立了一套適用的檢查標準,并進行全面覆蓋的檢查,包括常規檢查、專項檢查和事件驅動檢查。具體內容見第三章監督檢查。

  • 檢查對整改。建立了一套電子化系統,實現檢查計劃制定、檢查實施、報告管理、問題跟蹤等全過程的電子化管理。檢查發現和整改情況納入問題管理流程。

  • 整改對考核。檢查發現和整改情況納入團隊和個人當月和年度考核,實實在在影響個人收入。

我看到較多大型金融機構如銀行建立了外規條款數據庫,并可以根據關鍵字進行快速檢索查詢,供內部使用,取得不錯的效果。

下文分別介紹IT內控合規管理的各個領域。

二、信息科技風險管理

銀監會發過《商業銀行信息科技風險管理指引》,證監會(包括協會)發過《證券期貨經營機構信息技術治理工作指引(試行)》、《證券期貨經營機構信息技術治理工作指引(試行)》,對信息科技風險管理有明確管理要求。

注:銀行業“信息科技”的提法較多,證券基金期貨“信息技術”的提法較多,本文未做嚴格區分。

2.1 總體介紹

2.1.1 信息科技風險定義

信息科技風險是指在運用信息科技過程中,由于自然因素、人為因素、技術漏洞或管理缺陷產生的操作、法律和聲譽等風險。

2.1.2 管理原則

(1)事前預防為主原則。在風險發生以前建立有效的風險管理措施,降低風險發生的可能性或減少風險可能造成的損失。

(2)全面性原則。信息科技風險管理應覆蓋到全行各部門、崗位、人員及操作環節中,使信息科技風險能夠被識別、評估、計量、監測和控制。

(3)成本效益原則。對風險管理措施的實施成本與風險可能造成的損失進行分析比較,選取成本效益最佳的風險控制方案。

2.1.3 風險偏好與容忍度

需要根據董事會設定的風險偏好進行,在成本效益原則下,最大限度的完善信息科技風險管理體系,保障IT長期、穩定、健康的發展。

2.2 組織架構和職責

信息科技風險管理組織架構示例如下:

信息科技風險管理組織架構.png

圖1:信息科技風險管理組織

簡單介紹下金融機構信息科技三道防線設置,一般商業銀行提三道防線的概念比較多,其他證券保險基金期貨用此概念較少,但實際部門組織架構和崗位職責設置類似。

2.2.1 第一道防線:信息科技部門

  • 主要關注日常的風險管理

  • 識別、分析與評估、控制、監測及報告風險管理情況。

  • 信息技術部門各團隊嚴格執行各項風險管理政策和要求,定期評估。

2.2.2 第二道防線:風險管理部門

  • 側重制定風險管理政策、制度、流程,在第一道防線的基礎上對風險進行集中管理。

  • 在總部層面設立風險職能部門,監督和協調整個風險管理框架的有效性和完整性,與前臺部門保持相對獨立。

  • 對IT條線提供精細化的風險管理策略和支持。

2.2.3 第三道防線:稽核審計部門

  • 按期進行審計或稽核,與IT部門和風險管理部門保持獨立,對風險管理框架、內控體系的完整性和有效性提供獨立的審計發現和管理意見。

注意:一道防線和二道防線向經營管理層匯報和負責,而稽核審計部門一般直接向董事會匯報和負責,保持獨立性。

2.3 管理內容

2.3.1 IT治理

形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構,為公司信息科技的發展提供戰略方向和資源保障,并保證信息科技的戰略與全行業務戰略目標相一致。

2.3.2 信息安全

建立信息安全管理策略,技術措施,確保所有計算機操作系統和系統軟件的安全,并進行必要的員工培訓。這部分內容就是狹義的信息安全內容。

2.3.3 信息系統開發、測試和維護

信息科技部門應針對信息系統需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢環節,建立管理制度和流程,管理信息科技項目的排序、立項、審批和控制,并持續監控重大信息科技項目的進展情況。

2.3.4 信息科技運行

信息科技部門應對人員職責分配、數據保存、操作方法、服務水平、變更、故障、性能及容量管理,建立制度和流程,并對信息科技突發事件建立應急處置預案,嚴格執行突發事件報告制度,落實突發事件的處置職責。安全保衛部門負責信息系統機房的物理環境安全管理。

2.3.5 業務連續性管理

公司各相關機構應建立恢復服務和保證業務連續運行的管理機制和備用方案,并定期對其進行檢查和測試,保證在業務運行中斷時可以快速啟動備用方案,降低業務中斷帶來的影響。信息科技部門負責信息系統災難恢復方案制定、實施和維護。

2.3.6 外包管理

信息科技部門負責管理信息科技相關的外包業務,制定與信息科技外包業務有關的管理政策,保證信息科技外包服務有協議、服務合同和監督機制約束。

2.3.7 內部審計

審計部門應根據信息科技風險所涉及活動的性質、規模和復雜程度、信息科技應用情況以及信息科技風險評估結果,決定信息科技審計范圍和頻率,對信息科技風險管理的適當性和有效性進行審計和評價,向董事會提供獨立的信息科技風險審計意見。審計部應至少每三年進行一次全面的信息科技風險審計;公司在進行重大系統開發時,審計部門應參與其中,保證系統開發符合公司的信息科技風險管理要求。

2.3.8 外部審計

公司根據需要在符合法律、法規和監管要求的情況下,可以委托具備相應資質的外部審計機構進行信息科技外部審計。在委托外部審計機構進行外部審計時,應與其簽訂保密協議,并督促其嚴格遵守法律法規,保守公司的商業秘密和信息科技風險信息。

2.4 管理手段和流程

2.4.1 管理手段

信息科技風險隸屬于操作風險,管理手段一般遵從二道防線風險管理部門的管理手段。實際中,無論是銀行還是證券,都會按照二道防線下發的操作風險管理三大工具和要求開展工作。簡單介紹下三大工具:

操作風險管理三大工具,包括風險與控制自我評估(RCSA)、損失數據收集(LDC)和關鍵風險指標(KRI)。三大工具貫穿操作風險管理始終,為高效率、系統化的操作風險管理提供幫助。通常采取信息科技風險與控制自我評估、設置信息科技關鍵風險指標、信息科技風險監控報表三種手段對信息科技風險進行管理。

(1)信息科技風險與控制自我評估(RCSA),是識別和評估信息科技風險及風險控制措施有效性的管理手段。各相關部門應按照預先設定的工作方法,對其職責范圍內的信息科技風險管理現狀進行評價。信息科技風險與控制自我評估是信息科技風險管理持續改進的基礎工作和關鍵環節。

(2)損失數據收集(LDC),操作風險事件及損失數據收集是指依據監管規定、內部操作風險偏好與管理需求所定義的收集范圍,針對操作風險事件的相關信息進行數據收集、內容分析、整改方案設計與執行、損失分配和內外部報告等程序。通過持續開展損失數據收集,一方面可以動態反映企業操作風險損失的分布情況及發生誘因,為有效識別評估操作風險和強化管理提供線索和方向;另一方面可以逐步建立操作風險損失數據庫,為今后進行風險建模和計量積累數據。最終達到提高操作風險管理水平、降低風險損失的目的。

(3)信息科技關鍵風險指標(KRI),是反映信息科技風險水平的一系列統計指標,具有可量化的特點。關鍵風險指標用于監測可能造成重大信息科技風險事件的各項風險及控制措施,并作為反映風險變化情況的早期預警指標。通過對主要風險類型的早期預警并及時采取應對措施,避免重大信息科技風險事件的發生。

同時通過信息科技風險監控報表,定期匯總分析監控報表,能夠獲取信息科技風險情況,并能掌握到總體風險變化趨勢。

2.4.2 管理流程

公司的信息科技風險管理流程包括信息科技風險識別、分析與評估、控制、監測及報告等五個環節:

(1)風險識別

信息科技風險識別是指對公司具有脆弱性,可能受到威脅侵害,需要保護的信息資源或資產進行識別和分類,并對相關的威脅和脆弱性進行確認的過程。風險識別是風險管理的第一步,也是風險管理的基礎。信息科技風險具有一定的可變性,風險識別是一項持續性和系統性的工作,各相關單位應密切注意原有風險的變化,并隨時發現新的風險。

(2)風險分析與評估

信息科技風險分析是指對風險的可能性及其發生以后所造成的影響進行綜合度量。信息科技風險評估單位應通過定性或定量的評估方法,判斷風險的影響程度和發生可能性,確定風險的等級。

(3)風險控制

信息科技風險控制指根據公司的風險偏好及風險評估的結果建立相應的風險管理措施。通過建立事前預防、事中監控及事后復核的風險管控手段降低風險發生的可能性及其造成的影響,并根據公司的信息科技風險容忍程度采取規避、降低、轉移風險的方式,將風險控制到公司可接受的水平之內。

(4)風險監測

信息科技風險監測是指對信息科技風險進行定期或持續的檢查,及時發現新出現的信息科技風險以及風險管理措施出現的問題,并采取相應的補救措施,以保證公司的信息科技風險在不斷變化的內外部環境中,始終處于公司的風險容忍水平之下。應定期通過風險評估和審計等方式對風險的發展與變化情況進行持續監測,并根據需要對風險應對策略進行調整。

(5)風險報告

信息科技風險報告指信息科技部門、風險管理部門和審計部門依據特定的格式和程序對信息科技風險狀況進行描述、分析和評價,并形成的信息科技風險報告,相關部門按照規定的報告路線進行匯報。報告的內容應完整、客觀、清晰。

2.5 報告機制

需要建立信息科技風險報告機制,遵循以下原則:

  • 逐級上報。

  • 按IT業務條線及風險管理條線雙線匯報。

信息技術部門、風險管理部門和審計部門分別按照以下匯報路徑,向高級管理層和董事會報告全行信息科技風險狀況和重大信息科技風險事件:

  • 信息技術部門負責定期向高級管理層下設的風險控制委員會報告信息科技風險管理工作情況;

  • 風險管理部門負責定期向董事會下設的風險與資本管理委員會報告信息科技風險狀況;

  • 審計部門負責定期向董事會下設的審計委員會報告信息科技審計情況。


匯報路徑.png

圖2:匯報路徑示例

定期報告:信息技術部門向主管IT的公司領導匯報信息技術風險管理月報,向二道防線、三道防線匯報IT風險管理和IT內外部審計情況。

觸發式報告:由信息技術部在:

  • 發生重大信息科技風險事件;

  • 信息科技環境發生重大變化;

  • 監管機構要求時向公司領導匯報。

信息科技風險管理月報主要是向主管科技的公司領導匯報周期內IT運行情況(事件、容量、交易量、業務連續性等)、研發情況(開發質量、)、信息安全(數據安全、人員管理、審計問題),及其他事項。

除了向公司領導進行內部匯報外,還要按照監管要求向監管機關報送與信息科技風險有關的報告。

2.6 信息科技風險監控指標

信息科技風險管理在IT管理中日益重要,管理層需要全面了解公司信息科技風險及風險管控情況,并能夠一定程度上對可能發生的風險事件進行預警。銀監會等監管機構對銀行信息科技提出了一系列監管要求,需要及時發現合規問題和潛在風險,確保整體合規。為此我們設定了一系列監控指標,并進行整合和完善,建立了一套內容全面、標準統一、結構系統的信息科技風險監控指標體系。

實際工作中我們發現:

  • 監管要求來源渠道多,容易遺漏;

  • 不同渠道部分監管要求重復。

因此我們采?。?/p>

  • 建立信息科技風險庫;

  • 建立信息科技風險監控指標體系;

  • 監控指標體系運用。

2.6.1 建立信息科技風險庫

為了全面、體系化的識別出公日常管理中需要的信息科技風險監控指標,我們首先需要建立一套完整的信息科技風險庫。風險庫來源應該全面覆蓋行業監管合規要求、行業風險事件、行業標準、公司風險現狀和相關專家知識庫,保障風險庫的完備性。

建立信息科技風險庫.png

圖3:信息科技風險指標庫來源

信息科技風險識別.png

圖4:信息科技風險識別框架

基于“威脅×脆弱性 = 風險”的理論基礎,我們從監管要求、行業和公司歷史風險事件、業界最佳實踐標準等著手,從自然環境因素、人員因素、技術因素和業務因素等方面的威脅來分析出在人員、流程和技術等領域的脆弱性,進而識別出信息科技風險點,形成信息科技風險庫。

我們通過對人民銀行、銀監會等監管機構發布的監管要求和標準進行詳細解讀,逐條提煉出相對應的信息科技風險描述,同時將業界和公司歷史發生的信息科技風險事件案例作為風險識別的一個重要輸入,我們通過對監管機構發布的風險提示、披露的銀行業信息科技風險事件和內部過往信息科技風險事件的分析,提煉出各個風險案例中的風險點,并結合COBIT、ITIL、ISO27001、CMMI等國際標準和內部多年積累的風險知識庫的內容,構建形成信息科技風險庫,形成附錄一、信息科技風險庫示例(只列出一級和二級,三級未列出)。

2.6.2 建立信息科技風險監控指標體系

識別關鍵風險指標:基于前期建立的信息科技風險庫中各個風險點的進行全面的梳理和分析,在對所有風險點進行評估的基礎上,分析確定各個風險點的驅動因素,并進行關鍵信息科技風險指標識別。然后,從重要性、系統性、合規性、代表性和可操作性等原則對風險監控指標進行篩選。最后,在指標確定后,明確指標的含義和計算方法等關鍵屬性。

關鍵指標識別方法.png

圖5:信息科技風險關鍵指標識別方法

關鍵信息科技風險指標可以是客觀的量化指標,如信息系統可用率,也可以是偏重定性的指標,如信息科技組織架構合理性等;可以是客觀的,如災備系統覆蓋率,也可以是主觀評價型的,如信息科技組織架構成熟度等。

2.6.3 監控指標體系運用

監控指標體系運用在以下幾個方面:

  • 有效評估信息科技風險管理水平

  • 動態監測信息科技風險狀況

  • 合理配置信息科技風險管理資源

  • 及時采取管理措施

必要時通過專業數學建模方法論,可以構建信息科技風險預警模型和管理流程,預警風險并進行風險處置。

2.6.4 指標監測和報告

日常進行風險指標監測,并按月向二道防線和公司領主管領導匯報監測情況,對于監測到的異常需要進行及時處置。

三、監督檢查

依據監管要求、外部標準、內部規范梳理出一套適用的檢查標準,并進行全面覆蓋的檢查。通過識別,外部規范分解成9大類、52小類、1249條元要求,去重合并后形成外規內規對應關系,也就是信息科技風險檢查標準庫。

001.png

圖6:信息科技風險檢查標準庫

制定全年檢查計劃,建立常規檢查、專項檢查、事件驅動檢查相結合的方式,100%覆蓋信息科技風險檢查標準庫。某年監督檢查運行圖示例:

004.png

圖7:監督檢查運行圖示例

專項檢查圍繞信息科技風險領域,如外包管理、可用性管理、數據安全、業務連續性管理等。某年共開展19項專項檢查工作,提出改進完善建議200余個。

常規檢查注重變更、發布、值班等日常運維重點模塊,常規檢查方面,按周開展監督檢查,追蹤變更發布近萬個,追蹤發現違規問題XX個,同時提出風險規避建議近白條。

事件驅動檢查一般在發生可用性事件、信息安全事件或重大違規違紀事件發生后進行。檢查發現,全部納入問題管理流程進行跟蹤管理。通過問題跟蹤機制,歸口管理二、三道防線的檢查發現,可以充分確保問題統一歸口管理無遺漏,相關整改的方案可實施、進度有跟蹤、實施有成效。

002.png

圖8:監督檢查閉環管理流程

監督檢查是確保風險管理政策措施流程落地的有效保障,檢查方式、投入的資源、結果的運用在于風險管理者的決策和目標定位。

四、制度和公文管理

不管企業屬于什么行業、規模大小、發展快慢、戰略方向如何,都需要一套科學合理的制度體系,保證制度的合規性、有效性、可操作性及規范性,IT部門也是。

制度一般以條文形式展示,名稱通常冠以政策、規定、辦法、規程、細則、指引等;制度可以通過制度補丁的方式進行調整、補充和完善,制度補丁可以采取條文或非條文的形式展示,一般以修訂通知、補充通知或加強管理通知等標題體現。

以下不屬于制度:黨委、紀委、團委、工會等組織制定的制度;公司章程及公司章程規定的應當由股東大會、董事會及其專門委員會、監事會及其專門委員會制定的制度;除制度和制度補丁外,以公文形式印發的其他文件,如年度工作指導意見或考核辦法、階段性活動方案、系統操作手冊、風險提示、批復等;總分機構各部門以“電郵部通”或電子郵件形式下發的通知。

4.1 制度體系

制度體系應遵循架構合理、層級清晰、覆蓋全面的原則,制度體系一般包括三級:

  • 基本制度:是指用于規范業務條線行使經營管理職責基本事項的制度,名稱一般使用制度、規定、政策、章程等;

  • 專項制度:是指用于規范業務條線的工作方法和具體內容的制度,名稱一般使用管理辦法、管理規程等;

  • 作業制度:是專項制度的細化,用于規范具體的作業內容,名稱一般使用操作規程、操作細則、實施細則、指引等。

4.2 制度的起草

在起草制度過程中,應開展調查研究,廣泛征求制度執行部門和人員、部門內部相關人員的意見,以論證制度的必要性、有效性、合理性和可操作性。涉及其他部門職責或與其他部門關系緊密的制度,主辦部門應充分征求其意見,征求意見可采取發送征求意見函、召開制度會審會、簽報以及發文會簽等方式進行,其中發文會簽為此類制度在發文階段的必經程序。

制度內容一般應包括:總則(含目的依據、適用范圍、管理原則、職責分工、定義等)、管理流程、監督檢查及罰則(如有)、附則(含制定細則要求、解釋部門、施行日期、作廢聲明等)。

4.3 制度的評審

制度評審主要審查以下內容。

  • 是否符合法律、規則和準則的相關要求;

  • 是否與本公司有關制度協調一致、接口清晰;

  • 是否影響本公司制度整體架構的合理性和清晰性;

  • 制度描述的流程是否清晰并具有可操作性;

  • 是否符合本公司制度的規范性要求;

  • 評審人員可以對其認為的其他制度問題(如制度實用性和適宜性等)提出評審意見。

4.4 制度的發布

經評審、審核或審議通過的制度以公文形式印發。為便于制度維護和管理,印發的制度原則上應一文號對應一項制度。主辦部門應根據制度的印發時間,合理確定制度的施行日期,并在制度中明確。實際中很多情況是“本文自發布之日起施行”,不如確定日期更合適。

4.5 制度的維護

制度的維護包括制度的后續評估和制度改進。制度后續評估是指主辦部門對制度實際管理效果進行的自我評估,旨在發現制度存在的問題,評估是否需要對制度進行改進。后續評估包括以下內容。

  • 是否存在合規性、有效性、可操作性和規范性等制度問題,

  • 制度間是否存在重復、沖突;

  • 是否存在制度缺失和管理盲點;

  • 對制度實施梳理,摸清制度補丁情況,評估實施整合的可行性和必要性。

對執行層面反映意見較多的制度,主辦部門應及時進行后續評估。對于施行超過5年的制度,主辦部門必須進行制度后續評估,并將評估結果報同級制度主管部門。

在日常工作中,總分支機構各部門應多方面收集和整理制度信息,提高制度后續評估的效率和質量。制度信息包括:外部政策變化,總部制度的變化,制度解釋解答,基層操作人員反饋的制度問題,業務檢查發現的管理漏洞,外部或同業案件反映的管理漏洞和新風險,內部組織架構、管理和業務流程調整等。

制度改進是指根據制度后續評估結果和業務管理需要,主辦部門實施的制度新增、換版、修訂、補充以及整合工作。在實施制度改進工作前,主辦部門要評估制度改進的成本,兼顧制度的穩定性和執行的方便性,選擇印發制度補丁、增加新制度或換版方式對制度實施改進。對于制度存在較多補丁的,相關部門要結合部門制度架構的安排,對制度實施整合。一般情況下,一項制度的補丁不應超過3個。

制度補丁主要有以下幾種方式。

  • 修訂通知:是指針對具體制度條款實施調整的制度補丁,發文中應明確寫明作廢條款的內容以及對應替換條款的內容,一般情況下其發文標題擬為“關于修訂《XX公司×××》有關條款的通知”,并在文中注明解釋部門和施行日期。如同時補充了相關內容,應對補充內容進行獨立描述,并將發文標題擬為“關于《XX公司×××》的修訂補充通知”。

  • 補充通知:是指針對具體制度進行整體補充的制度補丁,不對原制度條款實施改變,發文中主要描述補充的內容,一般情況下其發文標題擬為“關于《XX公司×××》的補充通知”,并在文中注明解釋部門和施行日期。如屬對新增業務功能或管理內容的補充,也可采取條文的形式,一般情況下其發文標題擬為“關于印發《〈XX公司×××〉新增×××的補充規定》的通知”。

  • 加強管理通知:是指從某一類業務或管理出發提出的改進要求,對原有的一系列相關制度規定均實施改變的制度補丁,一般情況下其發文標題擬為“關于加強××管理的通知”,并在文中注明解釋部門和施行日期。

為加強制度補丁的關聯性和針對性,以便于制度查閱和學習的系統性,各部門在選擇制度補丁方式時,應盡可能采用“修訂通知”或“補充通知”的方式。如以“電郵部通”方式下發的通知涉及制度管理的,一般僅限于對制度進行強調或解釋,不得用于對制度進行補充和修訂。

4.6 制度的日常管理

制度應明確解釋部門,原則上由制度主辦部門負責解釋,特殊情況下應明確各部門解釋的范圍。低層級制度與高層級制度規定相抵觸時,以高層級制度規定為準,但制度解釋部門另有正式批復或回復的除外。

制度框架示例見附件二。

五、業務連續性管理

5.1 簡介

5.1.1 業務連續性管理的定義

英國標準協會(BSI):業務連續性管理(Business Continuity Management,BCM)是一個整體性的管理流程,它主要識別威脅組織的潛在影響,并且提供構建組織彈性和有效響應的框架,以保護組織關鍵利益相關方的利益、聲譽、品牌以及價值創造的活動。(BSI,BS25999,ISO22301的前身)

中國銀監會(CBRC):商業銀行為有效應對重要業務運營中斷事件,建設應急響應、恢復機制和管理能力框架,保障重要業務持續運營的一整套管理過程,包括:策略、組織架構、方法、標準和程序。(《商業銀行業務連續性監管指引》銀監發[2011]104號)

5.1.2 ISO 22301

ISO22301為第一份直接以業務連續性管理( Business Continuity Management,簡稱 BCM)為主題的國際標準。該標準的性質為要求(Requirements),因此將可用于審核與認證。除了ISO 22301外,另有屬于指引(Guidance)的 ISO 22313,ISO 22313 與ISO 22301合為具有完整架構的業務連續性管理國際標準。

5.1.3 BCM實施過程

根據國際良好實踐以及BCM的實施經驗,將BCM的實施過程總結為以下幾個關鍵步驟:

(1)制度和組織建設

建立BCM管理制度,組建總分支機構BCM管理組織架構,明確各部門職責

(2)BIA和RA

確定BCM的需求和管理策略,識別、分析、評價風險,確定防止、降低損失的控制措施;

(3)資源建設、預案制定

為滿足業務持續運營目標而開展的資源建設,根據RA的成果制定和完善預案;

(4)演練、維護和評估

通過演練提高組織應急處置能力,驗證資源可用性。評估BCM體系并持續改進;

(5)BCM企業文化建設

貫穿BCM整個過程,提高全員意識,將BCM融入企業文化中。

5.2 監管要求

5.2.1銀監會

2007年《商業銀行操作風險管理指引》:業務連續要求的重點為實現從系統到業務的提升;

2008年《銀行業重要信息系統突發事件應急管理規范》:明確銀行突發事件應對原則,日常管理以及應急管理組織架構;細化了危機事件預測預警和內外部上報流程;

2009年《商業銀行信息科技風險管理指引》:要求審閱連續性計劃和應急演練;

2010年《商業銀行數據中心監管指引》:明確數據中心的建設以及災備中心的系統、數據建設目標,以滿足業務連續的需求;

2011年《商業銀行業務連續性監管指引》:從全行層面明確規定了業務連續性管理建設各階段的要求,具有較強的規范性與可操作性;

2013年《商業銀行資本管理辦法》:明確要求業務連續性管理實施是標準法計提操作風險資本的前提條件之一。

5.2.2 中國人民銀行

2002年《關于加強銀行數據集中安全工作的指導意見》:規范銀行網絡可靠率、UPS供電時間、數據全備份頻率、災備中心建設、業務連續性計劃和演練要求;

2006年《關于進一步加強銀行業金融機構信息安全保障工作的指導意見》:強調銀行需建立災備中心,并定期進行災備演練;

2007年《銀行業信息系統災備恢復管理流程》:規范信息系統應急響應和災備恢復具體要求,規范災備恢復組織架構,明確各等級系統的RTO和RPO。

5.2.3 世界部分地區金融業監管機構發布的相關指引

世界部分地區金融業監管機構發布的相關指引.png

圖9:部分地區金融監管相關指引

5.3 業務影響分析和風險評估

5.3.1 術語定義

(1)業務連續性管理( Business Continuity Management, 簡稱BCM)

《商業銀行業務連續性監管指引》(銀監發〔2011〕104號)第二條:業務連續性管理是指商業銀行為有效應對重要業務運營中斷事件,建設應急響應、恢復機制和管理能力框架,保障重要業務持續運營的一整套管理過程,包括策略、組織架構、方法、標準和程序。

(2)重要業務

《商業銀行業務連續性監管指引》(銀監發〔2011〕104號)第三條:重要業務是指面向客戶、涉及賬務處理、時效性要求較高的銀行業務,其運營服務中斷會對商業銀行產生較大經濟損失或聲譽影響,或對公民、法人和其他組織的權益、社會秩序和公共利益、國家安全造成嚴重影響的業務。

(3)恢復時間目標和恢復時間點目標( RTO 和 RPO)

恢復時間目標(RecoveryTime Objective,RTO)分業務RTO和系統RTO,指業務或系統從中斷到恢復所需要的時間,是業務或系統恢復及時性的指標。 恢復時間點目標(Recovery Point Objective,RPO)分業務RPO和系統RPO,指業務或系統數據恢復到的時間點,是業務或系統恢復數據完整性的指標。

(4)業務影響分析

業務影響分析( Business Impact Analysis ,簡稱:BIA)是整個BCM流程建立的基礎工作,在這一過程中,通常會利用定量和定性分析相結合的方法對業務中斷可能導致的經濟與運營損失進行科學的分析,從而制定重要業務的恢復優先級、恢復目標(RTO與RPO)以及重要信息系統的恢復優先級和恢復目標等,通過BIA確定業務連續性管理的策略。

BCM就是解決運營中斷事件發生時需要用多少資源、多長時間、什么方式、恢復什么業務的問題,其中資源、時間、業務都是BIA的成果。

《商業銀行業務連續性監管指引》(銀監發〔2011〕104號)第二十三條:商業銀行應當通過業務影響分析識別和評估業務運營中斷所造成的影響和損失,明確業務連續性管理重點,根據業務重要程度實現差異化管理,確定各業務恢復優先順序和恢復指標。商業銀行應當至少每三年開展一次全面業務影響分析,并形成業務影響分析報告。

(5)風險評估

風險評估(Risk Assessment,簡稱:“RA”)是進行風險識別、風險分析和風險評價的整個過程,基于BCM的風險評估關注于可能對BIA所識別的重要業務造成中斷的各類威脅發生的可能性和影響程度,并針對潛在的威脅和影響制定進一步的風險管控措施。RA是BCM開展的基礎和主要需求來源之一。

BCM就是解決運營中斷事件發生時需要用多少資源、多長時間、什么方式、恢復什么業務的問題,其中資源、時間、業務都是BIA的成果,采用的方式就是RA后制定的風險管控和處置的具體措施。

《商業銀行業務連續性監管指引》(銀監發〔2011〕104號) 第二十八條:“商業銀行應當開展業務連續性風險評估,識別業務連續運營所需的關鍵資源,分析資源所面臨的各類威脅以及資源自身的脆弱性,確定資源的風險敞口。關鍵資源應當包括關鍵信息系統及其運行環境,關鍵的人員、業務場地、業務辦公設備、業務單據以及供應商等?!钡诙艞l:“商業銀行應當根據風險敞口制定降低、緩釋、轉移等應對策略。依據防范或控制風險的可行性和殘余風險的可接受程度,確定風險防范和控制的原則與措施?!?/p>

5.3.2 業務影響分析實施過程

業務影響分析實施過程包括重要業務和重要系統的識別,重要業務的影響分析過程及結果,重要系統的影響分析過程及結果,從而得出整個BIA成果,具體流程如下:

BIA.png

圖10:業務影響分析實施流程

恢復時間目標和恢復時間點目標(RTO 和 RPO):

  • 業務RTO,指的是業務恢復所需要的必須時間,是業務恢復及時性的指標。對于公司來說就是允許我們用多長時間恢復中斷的重要業務;

  • 業務RPO,指的是業務恢復到的時間點,是業務恢復數據完整性的指標。對于公司來說就是允許我們重要業務丟失多長時間的數據。

通過收集和分析銀監會、人民銀行等監管機構發布的監管要求,得出銀行業重要系統RTO和RPO的最低要求:

RPO與RTO.png

圖11:RTO和RPO監管要求

5.3.3 風險評估(RA)過程

(1)實施前內部方案討論

(2)確定RA的范圍和實施方式:

  • 參與范圍:重要業務歸屬部門、數據中心、各一級分支機構(業務和IT);

  • 評估對象:重要業務、總部IT運營、分支機構業務運營整體、分支機構IT運營等;

  • 實施方式:現場、非現場溝通和培訓/問卷調研分析等。

(3)RA調研問卷設計

根據業務和IT特點,結合評估對象差異性,有針對性的設計調研問卷和調研方式。

(4)RA試點反饋,優化問卷

選擇幾家總部部門、分支機構進行RA工作的試點,根據試點情況反饋調整整體實施方案和優化調研問卷。

(5)全面啟動RA工作

確定方案和問卷后統一組織總部各部門、各分支機構開展RA工作。

(6)分析整理,撰寫報告

各分支機構根據各自RA結果,撰寫分支機構RA報告;總部根據各部門反饋撰寫總部評估報告。

RA注意事項:

  • 各類風險對于業務或IT系統運營的中斷威脅,而非經濟損失。

  • 問卷只是工具,問卷上評估對象、可能性和影響打分規則、影響類別、威脅,高中低風險劃分都可以根據機構實際情況、風險偏好等進行客戶化調整。

  • 核心在于針對評估的高、中等級風險制定管控措施,不需大而全的措施,但要保障措施的可實施性,改進周期可自定,但不建議超1年,在下次RA時可分析措施的有效性。

5.4 BCP、演練和改進

5.4.1 術語說明

業務連續性計劃(Business Continuity Plan,簡稱“BCP”): 是一種策略規劃,當災難發生致使組織關鍵業務或服務中斷時,BCP 可以指導迅速恢復關鍵業務的正常與持續運作。BCP 是組織在實施BCM過程中的產出物,并在BCM 過程中不斷更新和完善。銀監會監管指引要求BCP主要內容應包括:重要業務及關聯關系、業務恢復優先次序;重要業務運營所需關鍵資源;應急指揮和危機通訊程序;各類預案以及預案維護、管理要求;殘余風險。

總體應急預案: 是商業銀行應對運營中斷事件的總體方案,包括總體組織架構、各層級預案的定位和銜接關系及對運營中斷事件的預警、報告、分析、決策、處理、恢復等處置程序??傮w預案通常用于處置導致大范圍業務運營中斷的事件。(銀監發[2011]104號)

根據對國內監管指引理解,BCP的關注點是保障企業持續性運作的策略,應急預案的關注點是具體應對業務中斷事件的處置方式。(國內監管要求2份文件,但國際上通用BCP即應急預案用于應急處置)。

5.4.2 內容

業務連續性計劃的主要內容應當包括:

  • 重要業務及關聯關系、業務恢復優先次序;

  • 重要業務運營所需關鍵資源;

  • 應急指揮和危機通訊程序;

  • 各類預案以及預案維護、管理要求;

  • 殘余風險。

專項應急預案的主要內容應當包括:

  • 應急組織架構及各部門、人員在預案中的角色、權限、職責分工;

  • 信息傳遞路徑和方式;

  • 運營中斷事件處置程序,包括預警、報告、決策、指揮、響應、回退等;

  • 運營中斷事件處置過程中的風險控制措施;

  • 運營中斷事件的危機處理機制;

  • 運營中斷事件的內部溝通機制和聯系方式;

  • 運營中斷事件的外部溝通機制和聯系方式;

  • 應急完成后的還原機制。

5.4.3 演練

(1)演練的目的

  • 檢驗應急預案的完整性、可操作性、有效性

  • 驗證業務連續性資源的可用性。包括:人員、IT系統、IT災備中心、辦公和業務場地、基礎公共資源、指揮中心、辦公及業務開展所需的其他資源等。

  • 提高運營中斷事件綜合處置能力。重要性:提高應急參與人員處置能力、熟悉處置流程、提高全員應急意識、提高應對信心 。

(2)監管的要求

《商業銀行業務連續性監管指引》(銀監發〔2011〕104號)第五章:業務連續性演練與持續改進 第一節:業務連續性計劃演練中,對演練計劃的制定、重要業務演練周期、演練時間點、演練重點(業務和IT配合、IT系統接管能力)、演練參與者(外部供應商要求)、外部機構演練、演練的記錄、總結、評估、改進等都提出要求。

(3)演練的方式

桌面演練(說)

  • 熟悉處置流程

  • 檢查角色分工

  • 檢查計劃內容

  • 為實戰演練準備

  • 場景簡單

實戰演練(做)

  • 真實資源調配

  • 真實系統切換

  • 真實場地轉移

  • 全方位檢驗應急處置的有效性

  • 場景復雜

5.4.4 持續改進

  • 每年需要對業務連續性管理體系的完整性、合理性、有效性組織一次自評估,或者委托第三方機構進行評估,并向高管層提交評估報告。

  • 每年需要對業務連續性管理文檔進行修訂,修訂內容包括:重要業務調整,制度調整,崗位職責與人員調整等,確保文檔的真實性、有效性。

  • 開發新產品時候,應同步考慮是否將其納入業務連續性管理范疇。對納入業務連續性管理的,應當在上線前制定業務連續性計劃并實施演練。

  • 在業務功能或關鍵資源發生重大變更時,應當及時對業務連續性相關文檔進行修訂。

  • 三年一次業務連續性管理的專項審計,在發生大范圍業務運營中斷事件后也要及時開展專項審計。

有部分企業采用了業務連續性管理系統(BCMS),進行業務連續性日常管理,也取得了一些不錯效果。

5.5 DRI組織及認證

5.5.1 國際災難恢復協會(DRI International)

DRI International 成立于1988年。其使命是通過提供教育和幫助,以及發布標準的基礎資源來推廣業務連續性規劃和災難恢復行業的通用知識體系;協助建立公共和私營機構之間的合作來推廣相關行業標準;通過對業務持續領域的專業人員進行認證,來提高獲認證人員的可信度和專業技能。

有關DRI?International 更多信息見:http://www.drii.org

5.5.2 DRI 中國委員會

DRI China委員會(DRI China Technical Committee,縮寫為DRICTC)是DRI China的核心機構,其宗旨是為DRI China的發展提供組織建設、戰略規劃等方面的建議和決策支持,幫助DRI China推進業務連續性管理(Business Continuity Management,BCM)、突發公共事件應急管理(Emergency Management, EM)以及信息系統災難恢復(Disaster Recovery, IT DR)在中國的發展,建立和完善相關行業標準,解決應用實踐中的問題,跟蹤國內外BCM的發展趨勢,促進BCM向科學化、專業化、規范化和國際化方向發展;協助DRI China在中國培養更多符合國際標準的BCM人才;為國內外BCM專業人士、管理人員、政府主管部門、學術機構及廠商,搭建行業內外信息溝通與交流平臺,促進相互合作,共同推進中國各行業BCM的應用和發展;提高中國政府和企業高層管理者對于防范及應對風險的認識和管理水平,增強其抵御災難并持續發展的能力。

DRI China技術委員會的性質是以政府、金融、保險、證券、電信、交通、能源等行業負責災難恢復(DR),應急管理(EM),業務持續性管理(BCM)的主管、以及該領域的專家、學者等自愿組成的學術性、公益性、非營利性組織。

有關DRI China 更多信息見:http://www.drichina.org/

5.5.3 有關業務連續性管理的國際認證

有關業務連續性管理的國際認證,認可度較高的是DRI?International 組織維護的國際認證體系,一共四種:

(1)MBCP(Master Business Continuity Professional)

DRI國際認證的最高級別,專門用于在業務連續性/災難恢復行業具有高級知識和技能的個人。?該認證是針對具有至少五年行業經驗。

(2)CBCP(Certified Business Continuity Professional)

CBCP認證要求:(1)在業務連續性/災難恢復行業擁有豐富知識和工作經驗的人員;(2)該級別需要超過兩年的經驗;(3)申請人必須能夠在專業實踐的五個主題領域中展示具體和實際的經驗。?

(3)ABCP(Associate Business Continuity Professional)

ABCP級別適用于行業經驗少于兩年的個人,對業務連續性管理知識最少且已成功通過資格考試的人員。?

(4)CFCP(Certified Functional Continuity Professional)

CFCP認證級別適用于在業務連續性/災難恢復行業具有知識和工作經驗的個人。該級別需要超過兩年的經驗。?申請人必須能夠在專業實踐的三個主題領域中展示具體的實踐經驗。

中國申請較多的BCM國際認證證書是CBCP,筆者的CBCP編號是:52519,同時擔任DRI China委員會委員。

六、信息科技外包管理

近年來,各金融機構處于業務快速發展時期,產品不斷豐富,開發需求持續增長,對研發產能需求很大,合理利用外包可以一定程度上減小自身隊伍快速膨脹帶來的人力資源波動風險,有效利用市場資源。同時通過引入外部公司資源,從而獲取IT 服務提供商的先進經驗,提升自身科技隊伍的管理及創新水平。但與此同時帶來了一系列外包管理風險?!肮ぷ骺梢酝獍?,責任不能外包”,成為監管層的明確要求。

6.1 監管要求

6.1.1 監管政策

  • 銀監會2009年發布《商業銀行信息科技風險管理指引》

  • 銀監會2010年發布《銀行業金融機構外包風險管理指引》

  • 銀監會2013年發布《銀行業金融機構信息科技外包風險監管指引》

6.1.2 監管提示

  • 關于開展信息科技外包風險專項治理工作的通知

  • 關于通報成立銀行業科技外包合作組織的函

  • 關于成立銀行業科技外包聯合監管平臺的通知

  • 關于組織開展2014年度銀行業重點外包服務機構外包風險管控工作的通知

  • 關于協同開展對銀行業重點外包服務機構外包服務風險聯合檢查的通知

  • 關于加強銀行業金融機構信息科技非駐場集中式外包風險管理的通知

  • 關于開展銀行業金融機構信息科技非駐場集中式外包監管評估工作的通知

6.2 IT外包管理重點

本文不專門細述IT外包管理,僅就重點做一些說明。

6.2.1 IT外包戰略

管理層需明確IT外包戰略,并成為公司信息科技發展戰略的重要組成部分,IT外包管理需要從戰略層面考慮,涵蓋整個信息科技建設周期。

平衡原則:保持外包風險、成本和效益的平衡。

核心能力:以不妨礙核心能力建設、積極掌握關鍵技術為導向。信息科技管理責任以及涉及公司戰略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能不外包。核心業務產品、影響公司核心競爭力的產品、需要快速響應業務的產品,原則上不外包,

風險控制:建立與自身規模、市場地位相適應的供應商關系管理策略,通過準入和退出機制控制各類高風險供應商的數量,防范行業壟斷和機構集中度風險,通過引入適當的競爭降低采購成本、提高服務質量,同時形成備份,合理控制供應商的數量。

6.2.2 IT外包治理-組織及職能

梳理公司層面和信息技術部門內部IT外包管理各流程中相關參與方的角色,明確各方的職責分工。

6.2.3 IT外包治理-制度

制定配套的IT外包管理制度

6.2.4 IT外包治理-外包商管理

制定供應商準入標準、評價標準、盡職調查模板等文檔,為實踐打下基礎。落實準入與盡職調查,形成重要供應商清單,并不斷補充調整,作為深入盡職調查的依據。

外包商管理.png圖12:外包商分類

6.2.5 IT外包治理-外包項目管理

建立外包項目生命周期閉環管理,覆蓋外包決策與立項、外包采購與合同、外包實施、外包結項與后評估的全生命周期管理。

建立是否外包的依據,外包可行性分析方法和模式決策分析模型,明確外包決策審批路徑。

建立電子化平臺,實施指紋考勤,周報監控,月度考核,季度應用,并每季度安排供應商高級經理現場述職及績效應用跟蹤。

及時、公開的獎懲機制,細致化合規要求,定義不同級別違規與獎勵,依據級別在相對應公示范圍公開公示獎懲。

價值+風控雙維度結項審核,從人力投放、合同交付、價值收益、合規風控層面進行嚴格的結項審核,合理運用尾款付款權益,提高結項結論應用能力。

后評價閉環管理及應用,將對項目實施的情況映射至相應的供應商,從人員、溝通、過程質量、交付質量、知識管理、用戶滿意度等維度對供應商進行評價,并將評價結果運用于新合同的決策階段,實現閉環管理。

6.2.6 IT外包治理-外包人員管理

嚴格的人員甄選面試機制,對選擇人員要求進行背景調查,入選后簽署保密承諾書和合規操作書;建立外包人員獎懲機制,明確獎懲認定標準和流程;外包人員團隊化管理模式,成立多個管理團隊,從逐個管人升級至管理團隊。

6.2.7 IT外包治理-外包安全管理

從外包網絡安全、外包終端安全、外包人員安全、外包場地安全四個維度加強外包安全管理。

6.2.8 IT外包治理-外包應急管理

將IT外包應急管理納入到現有的應急管理流程中,增加IT外包應急管理機制,防范IT外包服務中斷等主要外包風險。

6.2.9 IT外包治理-外包風險管理

將IT外包風險納入到現有的IT風險管理體系中進行統一管理,在IT外包事前、事中、事后分別采取相應的風險防范措施,并將核心風險放在事前進行控制。

IT外包管理后續有機會再深入探討。

七、分支機構管理

各金融機構基本都在全國各地分步有一些分支機構,比如銀行、證券,分支機構的規模都比較大,有的分支機構還有一定規模的信息技術部門。分支機構的IT風險管理也是重要內容。

7.1 管理內容

主要包括:合規管理、事件管理和問題管理、項目推廣、人才培養。

合規管理:明確分支機構需遵守的IT制度,并進行全覆蓋的檢查,檢查可以是遠程+現場方式結合進行。合規檢查情況納入當年度分支機構考核。

事件管理和問題管理:分支機構發生可用性事件和安全事件時,進行事件調查和處理。相關改進措施納入問題管理跟蹤督促。

項目推廣:每年總部會有一些重點工作,需要分支機構落實,放入項目推廣工作中。

人才培養:建立分支機構IT人才的認證模型,進行專業培訓和認證考試,科學評價各分支機構崗位人才勝任情況。

7.2 有效措施

  • 建立定期會議機制,比如季度分支機構IT工作例會,全體分支機構IT負責人和骨干參加。年度分支機構IT工作會議,通報各分支機構IT工作全年情況,表彰先進,督促后進。

  • 建立分支機構評級機制,分支機構根據規模大小分成ABC三類,同一類之間進行科技評級,通過評級機制,將改進優化的一些非合規類要求給到分支機構,相比檢查更有利于分支機構主動開展IT建設工作,評級注重的是未來持續發展能力。

  • 開展分支機構檢查并全覆蓋,確保分支機構管理要求落地。

八、其他工作

IT內控合規管理的其他工作,包括:信息科技監管評級、公共關系管理、年度IT工作總結等,這塊有機會再分享。

九、附錄

9.1 信息科技風險庫示例

一級領域 二級領域
1 信息科技治理 1.1 IT戰略規劃
1.2 IT組織結構管理
1.3 IT制度管理
1.4 IT人力資源管理
1.5 IT預算管理
1.6 IT培訓管理
2 信息科技風險管理 2.1 IT風險管理策略
2.2 IT風險識別與評估
2.3 IT風險處置
2.4 IT風險管理流程
3 信息安全 3.1 安全管理組織與機制
3.2 身份及訪問控制及管理
3.3 網絡安全管理
3.4 物理安全
3.5 數據安全管理
3.6 終端安全管理
3.7 資產管理
3.8 主機及系統安全管理
3.9 應用安全
3.10 人員安全
4 系統開發&測試 4.1 項目管理
4.2 產品分析設計與實現
4.3 需求管理
4.4 軟件設計和開發管理
4.5 版本管理
4.6 質量管理
4.7 上線投產管理
4.8 實施后評估
4.9 系統測試
4.10 驗收測試
4.11 軟件配置管理
4.12 開發、測試環境管理
5 信息科技運行 5.1 日常運維管理
5.2 日志管理
5.3 系統監控
5.4 事件管理
5.5 問題管理
5.6 性能和容量管理
5.7 配置管理
5.8 變更管理
5.9 服務水平管理
5.10 發布管理
5.11 備份管理
5.12 值班管理
5.13 操作管理????????
5.14 服務報告管理
5.15 服務請求管理
6 業務連續性 6.1 業務連續性管理體系
6.2 業務連續性管理策略
6.3 業務影響分析
6.4 BCP制定
6.5 BCP演練
6.6 BCP檢查與修訂
7 外包 7.1 外包策略
7.2 外包應急
7.3 外包合同管理
7.4 外包評價
7.5 外包項目管理
7.6 供應商管理
7.7 合作伙伴管理
8 審計 8.1 內部審計
8.2 外部審計
8.3 審計覆蓋
8.4 問題整改

?

9.2 制度框架示例

階層 階層含義 制度類型 用途 備注 舉例
一階制度 宏觀規定 總綱 管理體系綱領性文件 該階制度一般只有一個,最多不超過兩個 XX信息科技風險管理政策XX計算機運行管理規定XX業務連續性管理工作規定XX信息系統安全管理規定
規定 用于規范業務條線行使經營與管理職責的基本事項
二階制度 按照管理或技術領域進行劃分 管理辦法 規范業務條線的工作要求和流程,一般配對使用 管理辦法、技術規范可以有細則,也可以單獨存在 XX服務器配置規范(201X版)XX數據庫監控和檢查管理規范XXIT軟件外購管理辦法XX上網行為管理系統管理辦法XX互聯網服務系統安全管理辦法XX業務數據備份管理辦法XX入侵檢測系統管理辦法XX信息系統突發事件管理辦法XX病毒防治管理辦法......
管理流程
技術規范 規范技術要求,用于制訂某一個比較大的領域的技術規范
指引 非強制性的指導性制度,在條件允許的情況下應執行 如果需要進一步細化,三階制度宜使用參考手冊或參考細則
三階制度 對二階制度的細化或沒有二階制度配合的情況下用于獨立描述一個管理或技術領域 細則、管理要求 “細則”是對二階制度的細化;“管理要求”用于綜合類規定,在沒有二階制度配合的情況下用于獨立描述一個管理或技術領域 細則可以進一步劃分為:“操作細則”、“管理細則”、“實施細則” XX變更管理
守則 用于人員管理類規定
手冊 多為配套的操作說明 是否強制執行需要特別注明


?----------------------------------------我是分割線-----------------------------------------

利用工作生活之余的閑暇時間,我維護了“君哥的體歷”公眾號和“金融業企業安全建設”微信群(有興趣加入的企業安全負責人,請關注微信公眾號“君哥的體歷”,后臺留言,微信號+公司名稱,驗證身份后入群),將我從業十余年的一些體驗和經歷分享出來,純粹是自己人生迷??床磺宸较驎r的一種堅持,堅持沉淀分享,哪怕不知目標在何方。這過程中,會有欣賞、感謝,也會有抱怨、想法……?

這種分享,我理解為也是一種“開源”精神,代碼和項目開源很常見,體驗和經歷開源不多見,尤其是比較體系化的將如何在企業做安全建設的思路和實踐開源,需要自己靜下心來歸納總結提煉,在平常繁重的工作任務和需要全身心投入陪伴倆娃的同時,要做好“企業安全建設”這個開源項目,難度和挑戰更大。過程中,有西湖愜意的微風,也有沙漠般的烈日當頭。不忘初心,方得始終。初心易得,始終難守。

附注:

  • 聶君,信息安全從業人員,十余年金融行業信息安全從業經歷,默默無聞。好讀書,不求甚解。性格開朗,愛好足球。

本文作者:, 轉載請注明來自FreeBuf.COM

# 企業安全
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网