商业银行信息科技风险管理指引：银行业信息科技风险监管指引

绿盟科技金融事业部从建设和咨询的角度出发对《指引》进行解读，为银行在信息科技风险管理工作中提供参考借鉴。

 

商业银行为了贯彻落实《商业银行信息科技风险管理指引》的各项规定与要求，强化信息科技风险管理工作，提高自身信息安全管理能力，需要制订相应的明确工作方案绿盟科技金融事业部从建设和咨询的角度出发对《指引》进行解读，为银行在信息科技风险管理工作中提供参考借鉴。

上篇解读到《指引》第二章，本文从第三章内容开始继续进行解读

第三章 信息科技风险管理要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，制定全面的信息科技风险管理策略，建立持续的信息科技风险计量和监测机制本章是从信息科技风险管理部门的角度，提出商业银行信息科技风险管理的事前控制。

绿盟科技在服务实践中发现，国内大部分银行都缺少明确的长期发展目标，IT部门也同样缺少信息科技战略与相应规划银监会要求信息科技战略、运行计划等依据总体业务规划来实现，是十分必要的，这样才能保证信息科技风险管理工作能真正支撑银行业务和整体发展。

本章的主要内容还要求银行建立信息科技风险管理策略，这是整体工作的重要组成部分信息科技风险管理策略内容与第四章的信息安全内容看似有所重复，其实它是信息科技风险管理部门的工作框架，风险管理策略与相关的文档即为其工作内容。

本章工作中，信息科技风险的计量与监测机制是难点，绿盟科技在项目实践中研究总结出了一套有较强落地性的方法，选取风险的各方面关键点与指标形成监测体系，并结合银行现有技术平台进行收集、分析与评价，并实时提示重要信息与告警，达到了阶段性的目标。

绿盟科技还会在今后的项目持续完善这方面的机制第四章 信息安全本章内容由信息安全管理部门主要参考，建立自己的工作框架在各银行，信息安全管理部门通常为IT部门《指引》明确要求信息科技部门负责落实信息安全管理职能，负责建立和实施信息分类和保护体系，此章参考了信息安全最佳实践ISO27000系列标准，指导银行建立信息安全体系。

针对银行业内常见的问题，《指引》也专门强调了这些内容：建立有效管理用户认证和访问控制的流程保障业务安全，通过设立物理安全保护区域保障物理安全，通过将网络划分为不同的逻辑安全域保障网络安全，通过操作系统和系统软件的安全控制保障系统安全，同时加强信息系统、终端设备、传输控制、信息保护等方面的安全，并对员工进行持续培训，信息科技部门，提出信息科技风险管理事中控制的重要组成部分。

信息安全相关标准理论与实践，在安全业内已经比较成熟，可参考的制度文档与资料也较多，因此在项目中不存在难点需要注意信息安全最佳实践与银行特点的结合至本章为止，实际上信息科技风险管理的主体内容已经说明完毕（除9、10章的审计外）。

后面的开发、运行、外包等，其实已经在第三章、第四章的内容框架里包含了银监会之所以再用单独章节说明，是由于在以往的监管工作中发现第五至八章的问题普遍存在于国内银行中，风险隐患严重因此用专门章节，结合银行的典型情况加以强调。

第五章 系统开发、测试与维护《指引》明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废，制定制度和流程，采取适当的项目管理方法，控制信息科技项目相关的风险采取适当的系统开发方法，控制信息系统的生命周期。

应制定相关控制信息系统变更的制度和流程，确保系统的可靠性、完整性和可维护性，应制定并落实相关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求此章是针对软件开发与项目实施部门，提出信息科技风险管理的事中控制的重要组成部分。

银行普遍存在应用软件开发中只“注重业务功能，忽视安全功能”、“缺乏代码开发安全规范”等问题，导致软件开发完毕之后，很多问题在上线运行时才发现这一方面危害了业务运行的稳定性，一方面加大了问题解决的成本绿盟科技结合本章要求，运用创新的“应用开发安全生命周期模型（ADSL：Application Development Security Lifecycle）”，以需求设计、代码开发、测试、上线、运行和终止的全过程为主线，可以为有需要的银行客户解决问题。

在《指引》的要求中，绿盟科技的重点在安全需求设计、代码开发的安全规范与代码检查审计方面，并通过项目帮助客户掌握这些方法第六章 信息科技运行明确了商业银行数据中心物理环境要求、人员岗位职责要求，并要求商业银行制定详尽的信息科技运行操作说明，建立事故管理及处置机制及时响应信息系统运行事故，建立服务水平管理相关的制度和流程，建立连续监控信息系统性能的相关程序，制定容量规划应及时进行维护和适当的系统升级，制定有效的变更管理流程以确保生产环境的完整性和可靠性等。

此章主要参考了ITIL最佳实践，针对数据中心与运行部门，提出信息科技风险管理的事中控制的重要组成部分第七章 业务连续性管理明确要求商业银行根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划，以确保在出现无法预见的中断时，系统仍能持续运行并提供服务；定期对规划进行更新和演练，以保证其有效性。

此章主要参考了BCP最佳实践，针对业务运营部门，提出信息科技风险管理事中控制的重要组成部分银监会已经在2012年发布了《商业银行业务连续性监管指引》，绿盟科技会将本章内容与此指引内容结合起来为银行设计以RTO和RPO为中心，协助银行的信息科技风险管理部门梳理业务连续性工作。

需要注意的是，银行的信息科技风险管理部门可能不是业务连续性的管理部门，这种情况下，需要注意两个部门的工作协调第八章 外包管理明确商业银行不得将其信息科技管理责任外包，应合理谨慎监督外包职能的履行，针对外包方选择、外包谈判、外包协议，外包执行中的信息安全等方面提出了明确要求，此章是针对商业银行各部门的外包合作，提出信息科技风险管理的事中控制的重要组成部分。

 第九章 内部审计明确商业银行内部审计部门应根据业务的性质、规模和复杂程度，对相关系统及其控制的适当性和有效性进行监测至少应每三年进行一次全面审计在进行大规模系统开发时，要求信息科技风险管理部门和内部审计部门参与，进行专项审计等。

此章主要针对内部审计部门职责，提出信息科技风险管理的事后控制的重要组成部分第十章 外部审计明确商业银行在符合法律、法规和监管要求的情况下，委托具备相应资质的外部审计机构进行信息科技外部审计此章主要从外部审计角度，提出信息科技风险管理的事后控制的重要组成部分。

内外部审计由银行审计部门负责绿盟科技的相关服务项目中，以信息科技风险管理和信息安全管理为主要咨询内容，而也会结合在IT审计方面的实践，为银行审计部门提供参考方案和意见，以保证信息科技风险管理体系的完整性。

 其他相关指引与规范银监会在开展信息科技风险监管工作中，继《指引》之后，还不断出台新的指导和规范性文件从宏观、中观和微观三个层面对银行进行要求，一方面正在逐步形成完整的理论体系，一方面也可以使银行在贯彻实行中有更多可操作性的依据。

这些文件有：《商业银行数据中心监管指引》《商业银行外包风险管理指引》《商业银行业务连续性监管指引》《银行业金融机构重要信息系统投产及变更管理办法》《商业银行首席信息官管理办法》《网上银行安全风险管理指引》

《电子银行业务管理办法》《电子银行安全评估指引》这些文件都将在信息科技风险管理工作中参考借鉴，指导银行建立完备的信息科技风险管理体系阅读上篇点击此处：《独家解读：商业银行信息科技风险管理路在何方？》

请点击屏幕右上方“…”关注绿盟科技公众号NSFOCUS-weixin↑↑↑长按二维码，下载绿盟云APP