天津濱海農(nóng)村商業(yè)銀行信息科技

-10-天津濱海農(nóng)村商業(yè)銀行信息科技風(fēng)險評估審計咨詢方案

目錄第一章項目概述 -3-1.1 項目背景 -3-1.2 項目范圍重點 -3-第二章項目咨詢方案 -5-2.1風(fēng)險咨詢的工作方法和主要任務(wù) -5-2.2科技風(fēng)險管理現(xiàn)狀調(diào)研 -5-2.3差距分析與風(fēng)險評估審計 -6-2.4改進建議方案 -9-2.5整改落實及內(nèi)部管理機制優(yōu)化 -9-2.6培訓(xùn)及知識轉(zhuǎn)移 -10-2.7后續(xù)持續(xù)工作 -10-2.8預(yù)期咨詢成果 -11-第三章項目實施總體周期 -12-第一章項目概述項目背景近年來，我行面臨的市場競爭壓力日益激烈，信息化應(yīng)用已經(jīng)步入了深化、整合、轉(zhuǎn)型的關(guān)鍵時期，并且對信息科技的依賴度日益增強，信息系統(tǒng)已成為銀行實現(xiàn)經(jīng)營管理、業(yè)務(wù)運行、金融創(chuàng)新的基礎(chǔ)平臺。由于我行的信息科技風(fēng)險管理起步較晚，業(yè)務(wù)的快速發(fā)展，使得我行在業(yè)務(wù)連續(xù)性、信息安全等領(lǐng)域的風(fēng)險隱患逐漸積聚，一定程度上制約了我行業(yè)務(wù)的發(fā)展和金融產(chǎn)品創(chuàng)新。為此，希望通過聘請外部咨詢公司對我行信息科技風(fēng)險管理進行專業(yè)評估和審計，深入揭示我行在業(yè)務(wù)連續(xù)性管理、信息安全管理等領(lǐng)域的潛在風(fēng)險隱患，并提出相應(yīng)的解決建議。項目范圍重點本次信息科技風(fēng)險評估審計咨詢項目的主要范圍為：信息信息科技風(fēng)險管理中的信息安全管理、資產(chǎn)管理、人員管理、物理和環(huán)境安全、系統(tǒng)訪問控制、系統(tǒng)開發(fā)及測試、系統(tǒng)運行和維護、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)、外包管理等內(nèi)容進行全面評估審計。重點包括：1.對我行業(yè)務(wù)連續(xù)性計劃制定及執(zhí)行進行評估審計；2.對科技部軟件開發(fā)測試以及外包管理進行深入評估審計（必要時應(yīng)采用第三方工具進行檢測）；3.對信息系統(tǒng)在訪問控制、系統(tǒng)運行和維護中可能產(chǎn)生的信息安全、業(yè)務(wù)連續(xù)性風(fēng)險進行評估審計；4.系統(tǒng)運行和維護、應(yīng)急和災(zāi)難恢復(fù)等方面的控制情況；5.信息安全管理各個重點環(huán)節(jié)。通過上述評估審計工作，旨在真實反映我行信息科技風(fēng)險管理現(xiàn)狀，查找存在的風(fēng)險和控制缺陷，分析原因，剖析影響業(yè)務(wù)發(fā)展的主要因素，提出加強內(nèi)部控制和經(jīng)營管理的改善建議，促進信息科技風(fēng)險控制能力和業(yè)務(wù)水平的提高，提升我行信息科技風(fēng)險管理水平。第二章項目咨詢方案2.1風(fēng)險評估審計咨詢的工作方法和主要任務(wù)依據(jù)監(jiān)管要求，結(jié)合我行實際情況，在風(fēng)險合規(guī)部、審計部的全程參與和協(xié)作下，咨詢公司需完成系統(tǒng)性信息科技風(fēng)險管理解決方案，通過評估、規(guī)劃、建立、執(zhí)行、電子化工具建設(shè)等具體內(nèi)容，幫助我行實現(xiàn)風(fēng)險控制目標(biāo)。2.2科技風(fēng)險管理現(xiàn)狀調(diào)研以監(jiān)管評級要素指標(biāo)為參考，結(jié)合國內(nèi)外的先進經(jīng)驗和技術(shù)規(guī)范，從科技風(fēng)險管理組織架構(gòu)、科技風(fēng)險管理工作流程、科技風(fēng)險管理制度規(guī)范、科技風(fēng)險管理人員工作四個方面，系統(tǒng)地評估我行信息科技風(fēng)險管理體系的現(xiàn)狀，全面識別科技風(fēng)險環(huán)節(jié)和隱患。本部分工作內(nèi)容主要包括：了解信息科技風(fēng)險管理現(xiàn)狀、制度查閱、管理信息收集、研討交流、了解管理層期望、科技風(fēng)險管理相關(guān)部門訪談、經(jīng)理層訪談、技術(shù)人員訪談、對信息科技風(fēng)險管理體系及風(fēng)險環(huán)節(jié)進行評估、技術(shù)層面風(fēng)險環(huán)節(jié)評估、非技術(shù)層面風(fēng)險環(huán)節(jié)評估。2.3差距分析與風(fēng)險評估審計在現(xiàn)狀評估的基礎(chǔ)之上，對照銀監(jiān)會現(xiàn)場檢查的要求、重點檢查項和檢查點，對已收集的材料信息進行篩選、分類和整理，從信息科技治理、信息科技風(fēng)險、信息安全、信息系統(tǒng)開發(fā)測試及維護、信息科技運行、業(yè)務(wù)連續(xù)性管理、外包管理、內(nèi)審和外審9大方面綜合分析，系統(tǒng)性找出信息科技風(fēng)險管理的差距、漏洞和風(fēng)險環(huán)節(jié)，形成差距分析報告。信息系統(tǒng)技術(shù)風(fēng)險評估審計內(nèi)容應(yīng)包括以下17個方面：序號類別1系統(tǒng)開發(fā)、部署與運行管理2身份鑒別3訪問控制4交易安全5數(shù)據(jù)保密性6數(shù)據(jù)完整性7系統(tǒng)完整性8數(shù)據(jù)導(dǎo)入導(dǎo)出9剩余信息處理10密碼安全11輸入輸出合法性12異常處理13備份與故障恢復(fù)14日志與評估15系統(tǒng)容量與可用性管理16開發(fā)測試和外包管理17業(yè)務(wù)連續(xù)性性管理具體包括物理環(huán)境、網(wǎng)絡(luò)設(shè)施、主機系統(tǒng)平臺、應(yīng)用系統(tǒng)開發(fā)測試、業(yè)務(wù)連續(xù)性管理等。針對上述對象的具體評估審計內(nèi)容可能包括：1.物理環(huán)境安全：物理環(huán)境安全（機房環(huán)境、出入管理、監(jiān)控措施）；設(shè)備安全（設(shè)備管理、設(shè)備維護等）；介質(zhì)安全（各種存儲介質(zhì)管理、備份介質(zhì)管理、應(yīng)急介質(zhì)管理）。2.網(wǎng)絡(luò)平臺安全：網(wǎng)絡(luò)及邊界安全（網(wǎng)絡(luò)接入控制、訪問控制、邊界防護）；網(wǎng)絡(luò)系統(tǒng)安全設(shè)計（網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)服務(wù)質(zhì)量保證）；網(wǎng)絡(luò)設(shè)備安全功能及使用(網(wǎng)絡(luò)內(nèi)在安全措施配置管理等)；網(wǎng)絡(luò)訪問控制；網(wǎng)絡(luò)安全檢測分析；網(wǎng)絡(luò)連接；網(wǎng)絡(luò)可用性。3.操作系統(tǒng)/平臺安全：帳號安全；文件系統(tǒng)安全；網(wǎng)絡(luò)服務(wù)安全；系統(tǒng)訪問控制；日志及監(jiān)控審計；拒絕服務(wù)保護；補丁管理；病毒及惡意代碼防護；系統(tǒng)備份與恢復(fù)。4.數(shù)據(jù)庫安全：數(shù)據(jù)庫帳號安全；數(shù)據(jù)庫訪問控制；存儲過程安全；補丁管理；系統(tǒng)備份與恢復(fù)；日志及監(jiān)控審計。5.應(yīng)用系統(tǒng)安全：身份鑒別；訪問控制；交易的安全性；數(shù)據(jù)的安全性；密碼支持；異常處理；輸入輸出合法性；備份與故障恢復(fù)；安全審計；資源利用；安全管理；老舊應(yīng)用系統(tǒng)使用率和安全性評估。6.業(yè)務(wù)連續(xù)性：重要信息系統(tǒng)業(yè)務(wù)連續(xù)性管理；業(yè)務(wù)連續(xù)性計劃及執(zhí)行；業(yè)務(wù)替代手段等。7.開發(fā)測試及外包管理：需求分析；項目管理；測試管理；開發(fā)測試過程中的安全管理；外包商管理；外包人員管理等。2.4改進建議方案咨詢公司通過現(xiàn)場訪談、技術(shù)測試等工作，充分了解信息科技風(fēng)險管理、信息安全管理、資產(chǎn)管理、人員管理、物理和環(huán)境安全、系統(tǒng)訪問控制、系統(tǒng)開發(fā)及測試、系統(tǒng)運行和維護、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)、外包管理等的薄弱環(huán)節(jié)，針對重點控制缺陷，形成評估發(fā)現(xiàn)，并與我行進行確認(rèn)，以審慎的態(tài)度驗證發(fā)現(xiàn)的問題的準(zhǔn)確性與合理性。在差距分析的信息基礎(chǔ)之上，對于評估過程所發(fā)現(xiàn)的普通性控制薄弱環(huán)節(jié)，對存在的風(fēng)險缺陷和亟待改進方面提出具有建設(shè)性、可行性的整改建議，找出在組織、制度、流程、人員、執(zhí)行力等各個方面分別存在的信息科技風(fēng)險相關(guān)的問題的有效解決方案，同時對問題進行有效分解，保證每一條改進項都能夠找到對應(yīng)的、合理的優(yōu)化方案或解決辦法，為整體信息科技風(fēng)險管理框架體系的建立提供依據(jù)，為后續(xù)整改工作提供參考。2.5整改落實及內(nèi)部管理機制優(yōu)化為保證和配合我行信息科技風(fēng)險管理體系的有效建立與運轉(zhuǎn)，在充分了解信息科技內(nèi)部管理現(xiàn)狀的基礎(chǔ)上，落實與推進整改方案。對信息科技內(nèi)部的管理體系進行優(yōu)化、規(guī)范，規(guī)劃科技部內(nèi)部的組織設(shè)置、崗位設(shè)置、內(nèi)部流程，明確各個崗位在科技風(fēng)險管理體系的科技運行維護、日常管理工作中的工作范圍、工作職責(zé)。2.6培訓(xùn)及知識轉(zhuǎn)移為了提高全行信息科技風(fēng)險管理意識、加強信息科技風(fēng)險管理制度和工具的應(yīng)用推廣，咨詢公司IT咨詢規(guī)劃專家需提供對信息科技管理委員會、信息科技部門、審計部門、風(fēng)險管理部門以及關(guān)鍵業(yè)務(wù)部門等相關(guān)人員進行分批、分重點進行科技風(fēng)險知識培訓(xùn)，提高相關(guān)人員對科技風(fēng)險管理的認(rèn)識和職責(zé)定位，全面提高全行科技風(fēng)險管理的水平。結(jié)合主要檢查點，咨詢公司需輔助各部門人員進行全面的風(fēng)險模擬檢查演練，包括：科技部各條線科技風(fēng)險相關(guān)工作現(xiàn)場檢查、風(fēng)險管理部門科技風(fēng)險相關(guān)工作現(xiàn)場檢查、審計部門科技風(fēng)險相關(guān)工作現(xiàn)場檢查、各關(guān)鍵業(yè)務(wù)部門科技風(fēng)險相關(guān)工作現(xiàn)場檢查。科技風(fēng)險檢查模擬演練以提前預(yù)演的方式幫助相關(guān)人員了解銀監(jiān)局現(xiàn)場檢查流程和操作規(guī)程，以便讓我行各部門人員做好充足的知識和心理準(zhǔn)備，同時鞏固信息科技風(fēng)險培訓(xùn)成果，提升各部門人員的信息科技風(fēng)險意識。2.7后續(xù)工作后續(xù)工作預(yù)計在項目結(jié)束后的一年時間內(nèi)，對科技風(fēng)險管理的實際運行情況進行持續(xù)的追蹤和評估，以達到持續(xù)改進的效果。同時，風(fēng)險合規(guī)部和審計部后續(xù)將協(xié)同外部咨詢公司，及時響應(yīng)監(jiān)管政策的變化和重點要求，開展重點和專項監(jiān)督檢查工作。2.8預(yù)期咨詢成果1.完成差距分析報告；2.建立具有可操作性的銀行科技風(fēng)險管理相關(guān)體系文件；3.建立符合我行實際的信息科技風(fēng)險庫；4.完成日常風(fēng)險管控檢查項清單；5.完成信息科技風(fēng)險指標(biāo)清單；6.規(guī)劃我行的科技風(fēng)險管理相關(guān)應(yīng)用功能需求，如信息安全檢查、外包管理等管理需求。第三章項目實施總體周期總體項目周期預(yù)計為2個月左右（各階段主要工作內(nèi)容和工作周期預(yù)估如下表），后續(xù)1年內(nèi)，咨詢公司應(yīng)繼續(xù)提供咨詢服務(wù)，確保咨詢中發(fā)現(xiàn)的風(fēng)險問題得到有效控制和整改解決。以下為項目周期參考：項目階段時間主要工作項目準(zhǔn)備1周項目準(zhǔn)備階段：確認(rèn)項目目標(biāo)和期望組建項目團隊制定項目計劃準(zhǔn)備項目工