| 1、合规性需求: 近年来,国家各部门不断推出了各种监管要求,对 IT 管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002 年,美国国会发布了 SOX《萨班斯—奥克斯利法案》; 2004 年 9 月 30 日,中国银监会发布了《商业银行内部控制评价办法》; 2006 年,银监会发布《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》; 2006 年 6 月,国务院国资委出台了《中央企业全面风险管理指引》; 2007 年,公安部明确了《信息系统等级保护基本要求与实施指南》; 2009 年 3 月,银监会发布《商业银行信息科技风险管理指引》; 各商业银行如何满足日益严格的各类 IT 监管要求,成为银行风险管理部门、合规部门、信息科技部门以及审计部门面临的挑战。 2、 IT 风险管理需求: 银行业随着信息化工作的不断深入,信息系统的开发、维护与运行均面临较大的挑战,如何保障业务的持续运营,如何支撑银行各项业务的风险管理,如何保障客户与自身信息的安全,成为各商业银行信息科技部门与风险管理部门的重要任务,因此信息科技风险的管理就显得迫在眉睫。商业银行针对信息科技风险需要审视: •是否对所有潜在的重大 IT 风险都进行了识别、评估和管理? •面对数量众多的 IT 风险,应如何对其进行管理? •如何在全行范围内推行全面 IT 风险管理? •如何将 IT 风险管理体制与企业日常 IT 管理和运营相融合? •IT 风险管理的角色、责任和义务是否合理或明确? •如何增强风险意识,培育风险管理文化? |
IT 风险管理组织结构建立在 IT 治理目标组织架构的基础上,遵循 IT 治理的工作成果,从 IT 风险管理的主要工作与活动开始,逐步识别并定义 IT 风险管理的角色,并根据角色模型设计组织架构,确保 IT 风险管理的各项工作能够得到落实。IT 风险管理生命周期以及生命周期各阶段的工作如下图所示: |
IT 风险管理框架体系主要包括如下六个体系框架 1、 IT风险管理策略体系:建立企业IT风险管理策略,明确管理层对信息科技风险管理的期望与承诺,描述对企业信息科技风险进行有效管理的方法,规定人员操作的流程与规范,制定系统配置规格、使用策略等。 2、IT风险管理组织体系:建立完成组织信息科技风险管理目标的组织机构,包括跨部门的信息科技风险管理委员会、工作小组、第三方安全服务组织等。 3、IT风险管理运行保障体系:建立日常科技风险运行与维护机制,包括运行监控、问题处理、变更管理等。重点是建立生产运行中安全的问题处理机制,形成完善的运行保障机制,及时、准确、快速地处理运行中的问题,强调执行过程的安全。 4、IT风险管理技术保障体系:应用先进成熟的技术手段与产品,降低安全风险,包括产品的购置与配置加固、防病毒、加强安全域和网络访问控制,统一监控管理平台、统一身份认证与授权管理平台等。 5、应急恢复保障体系:业务连续性计划及灾难恢复规划的实施,包括建立数据灾难备份中心,各个业务系统及IT 系统的应急方案,其目标是控制事态发展,保障生命财产安全,恢复正常生产运行状态。 6、IT风险审计体系:审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组,培训审核员,有效地管理在组织中开展的信息安全审核工作,也可外聘的第三方审计机构对组织进行外部审核。 |
银行、
非银行金融机构
网站初期或展示性网站,信息与访问量小,只需要低配置即可满足要求。后期业务扩展时亦可基于云计算弹性特征随时增加配置。
证券、
期货行业
论坛、门户类网站,用户活跃性与访问量较高,选择快云服务器II型,保证足够的资源空间,提升访问速度。
政府、
事业单位
对官网、品牌较为重视的政府、企业等, 推荐快云服务器III型, 网站浏览更加流利顺畅,提升政府、品牌形象。
集团、
大型公司
视频、购物类网站,包含庞大的数据信息, 选择快云服务器IV型,迅速的信息处理能力保证网站的点播、交易正常进行。
新型
互联网企业
对开发、测试、环境要求较高的游戏软件类网站,推荐快云服务器V型,较高的资源配置带来更强劲的计算性能,保证业务需求。
