商业银行信息科技风险管理解决方案.docx

商业银行信息科技风险管理解决方案本帖最后由 infosec123 于 2009-9-23 17:16 编辑背景为加强商业银行的信息科技风险管理,提升信息科技风险管理能力, 09年3 月份银监会正式发布了《商业银行信息科技风险管理指引》( 以下简称《指引》), 这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样, 是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前, 国际上宣布实施新资本协议的国家和地区都按照新协议的要求, 明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。需求分析合规性需求: 近年来, 国家各部门不断推出了各种监管要求,对 IT 管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002 年, 美国国会发布了 SOX 《萨班斯[url=file:///E:/GooAnn/ 培训事业部/IT 风险/ ] —[/url] 奥克斯利法案》; 2004 年9月 30日, 中国银监会发布了[url=file:///E:/GooAnn/ 培训事业部/IT 风险/ 银行内部评价控制办法/ 商业银行内部控制评价试行办法 ] 《商业银行内部控制评价办法》[/url] ; 2006 年,银监会发布《电子银行安全评估指引》、《[url=file:///E:/GooAnn/ 培训事业部/IT 风险/ 银监会发布《银行业金融机构信息系统风险管理指引》.htm] 银行业金融机构信息系统风险管理指引[/url] 》和《[url=file:///E:/GooAnn/ 培训事业部/IT 风险/ ] 银行业金融机构内部审计指引[/url] 》; 2006 年6 月,国务院国资委出台了《中央企业全面风险管理指引》; 2007 年,公安部明确了《信息系统等级保护基本要求与实施指南》; 2009 年3 月,银监会发布《商业银行信息科技风险管理指引》; 谷安天下依据信息科技风险管理体系,从整体上分为 IT 治理、 IT 管理、 IT 控制与审计三个方面,并在此基础上结合多年的行业咨询经验,陆续开发了 IT 风险管理咨询服务与 IT 风险管控系列软件系统。信息安全风险管理需求银行业随着信息化工作的不断深入,信息系统的开发、维护与运行均面临较大的挑战,如何保障业务的持续运营,如何支撑银行各项业务的风险管理,如何保障客户与自身信息的安全,成为各商业银行信息科技部门与风