为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，2009年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》)，这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。 该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样，是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设，在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下，国际银行业金融机构的信息科技风险有增大的趋势，国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前，国际上宣布实施新资本协议的国家和地区都按照新协议的要求，明确将操作风险纳入资本监管的范畴，而信息科技风险是操作风险的重要组成部分。

需求分析

合规性需求

近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有：

2002年，美国国会发布了SOX《萨班斯—奥克斯利法案》；

2004年9月30日，中国银监会发布了《商业银行内部控制评价办法》；

2006年，银监会发布《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》；

2006年6月，国务院国资委出台了《中央企业全面风险管理指引》；

2007年，公安部明确了《信息系统等级保护基本要求与实施指南》；

2009年3月，银监会发布《商业银行信息科技风险管理指引》；

谷安天下依据信息科技风险管理体系，从整体上分为IT治理、IT管理、IT控制与审计三个方面，并在此基础上结合多年的行业咨询经验，陆续开发了IT风险管理咨询服务与IT风险管控系列软件系统。

信息安全风险管理需求

银行业随着信息化工作的不断深入，信息系统的开发、维护与运行均面临较大的挑战，如何保障业务的持续运营，如何支撑银行各项业务的风险管理，如何保障客户与自身信息的安全，成为各商业银行信息科技部门与风险管理部门的重要任务，因此信息科技风险的管理就显得迫在眉睫。商业银行针对信息科技风险需要审视：

• 是否对所有潜在的重大IT风险都进行了识别、评估和管理？

• 面对数量众多的IT风险，应如何对其进行管理？

• 如何在全行范围内推行全面IT风险管理？

• 如何将IT风险管理体制与企业日常IT管理和运营相融合？

• IT风险管理的角色、责任和义务是否合理或明确？

• 如何增强风险意识，培育风险管理文化？

《信息科技风险管理指引》解析

本次颁布的《商业银行信息科技风险管理指引》共十一章七十六条，涵盖了信息科技风险管理的各个领域，同时针对银行现有的组织架构，对各部门也明确提出了风险管理的要求，下文将就主要条款做一个深入的解析。

第一章 总则，明确了指引的目标和适用范围，指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章 信息科技治理，明确提出了信息科技治理的概念，明确了信息科技风险管理的责任人，董事会的相关职责，并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作，并直接向首席信息官或首席风险官(风险管理委员会)报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责，互相协作共同完善信息科技风险管理的架构。

第三章 信息科技风险管理，明确要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，制定全面的信息科技风险管理策略，建立持续的信息科技风险计量和监测机制。本章是从信息科技风险管理部门的角度，提出商业银行信息科技风险管理的事前控制(第一道防线)。

第四章 信息安全，明确要求信息科技部门负责落实信息安全管理职能，负责建立和实施信息分类和保护体系，通过建立有效管理用户认证和访问控制的流程保障业务安全，通过设立物理安全保护区域保障物理安全，通过将网络划分为不同的逻辑安全域保障网络安全，通过操作系统和系统软件的安全控制保障系统安全，同时加强信息系统、终端设备、传输控制、信息保护等方面的安全，并对员工进行持续培训，通过建立信息安全体系，全面控制信息安全方面风险，此章是参考了国内外信息安全最佳实践(ISO27000与等级保护)，针对信息科技部门，提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。

第五章 系统开发、测试与维护，明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废，制定制度和流程，采取适当的项目管理方法，控制信息科技项目相关的风险。采取适当的系统开发方法，控制信息系统的生命周期。应制定相关控制信息系统变更的制度和流程，确保系统的可靠性、完整性和可维护性，应制定并落实相关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求。此章是针对软件开发与项目实施部门，提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。

第六章 信息科技运行，明确了商业银行数据中心物理环境要求、人员岗位职责要求，并要求商业银行制定详尽的信息科技运行操作说明，建立事故管理及处置机制及时响应信息系统运行事故，建立服务水平管理相关的制度和流程，建立连续监控信息系统性能的相关程序，制定容量规划应及时进行维护和适当的系统升级，制定有效的变更管理流程以确保生产环境的完整性和可靠性等。此章主要参考了ITIL最佳实践，针对数据中心与运行部门，提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。

第七章 业务连续性管理，明确要求商业银行根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划，以确保在出现无法预见的中断时，系统仍能持续运行并提供服务；定期对规划进行更新和演练，以保证其有效性。此章主要参考了BCP最佳实践，针对业务运营部门，提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。

第八章 外包管理，明确商业银行不得将其信息科技管理责任外包，应合理谨慎监督外包职能的履行，针对外包方选择、外包谈判、外包协议，外包执行中的信息安全等方面提出了明确要求，此章是针对商业银行各部门的外包合作，提出信息科技风险管理的事中控制(第二道防线)的重要组成部分。

第九章 内部审计，明确商业银行内部审计部门应根据业务的性质、规模和复杂程度，对相关系统及其控制的适当性和有效性进行监测。至少应每三年进行一次全面审计。在进行大规模系统开发时，要求信息科技风险管理部门和内部审计部门参与，进行专项审计等。此章主要针对内部审计部门职责，提出信息科技风险管理的事后控制(第三道防线)的重要组成部分。

第十章 外部审计，明确商业银行在符合法律、法规和监管要求的情况下，委托具备相应资质的外部审计机构进行信息科技外部审计。此章主要从外部审计角度，提出信息科技风险管理的事后控制(第三道防线)的重要组成部分。

通过指引解析，我们可以看出，指引的编写借鉴了Cobit、ISO27000、ITIL、CMM、BCP等国内外的最佳实践，为商业银行的信息科技风险管理指明了方向。同时，本指引从商业银行信息科技相关的每一个主要部门的角度出发，分别提出具体的监管要求，从而使得本指引具备非常强的可操作性。

解决方案

建立适合商业银行的IT风险管理框架

谷安天下依据IT风险管理原则与IT风险管理生命周期方法论，综合通过差距风险获得的具体需求，设计、规划IT风险管理的目标框架，指导IT风险管理机制与体制建设。

组织体系建设

建立IT风险管理组织，采用条线与层级相结合的矩阵式管理模式；建立常设IT风险管理的专业团队，采用虚拟团队的方式向全行提供IT风险管理专业服务；并设立必要的实体化专业支撑中心。

管理流程制定

融合IT风险管理生命周期与主要IT流程，针对IT操作风险与信息安全风险，建立总体与具体两个层面的风险管理流程，明确各层面IT风险评估流程的触发机制，将风险与安全管理工作制度化、日常化，确保其有效执行。

控制体系建立

根据风险评估结果、IT风险管理原则及控制策略设计控制措施，通过完善的IT风险制度体系加以明确，并通过风险监测与再评估实现对IT风险控制的持续改进。

技术架构完善

完善信息安全规划的基础设施/技术架构，设计IT风险管理技术架构，并推动安全信息管理技术平台的建设以及推广。

通过IT风险管理框架，商业银行可以形成三道防线：

·第一道防线：由策略保障体系、组织保障体系、技术保障体系构成完备的信息科技风险管理体制与基础安全控制设施，形成事前防范的第一道防线，为业务运行安全打下良好的基础。

·第二道防线：由运行保障体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警，及时排除安全隐患，确保业务系统持续、可靠地运行。

·第三道防线：由应用恢复保障体系与内外部审计构成事后控制的第三道防线。针对各种突发灾难事件，建立灾难恢复与业务持续性计划，进行应急演练，形成快速响应、快速恢复的机制，将灾难造成的损失降到组织可以接受的程度。通过内外部审计，保障IT风险管控体系的有效运行。

利用两种风险控制手段

·事件识别——为获得组织的第一手的风险资料，需要对IT风险事件进行分类，建立IT风险事件的管理组织与流程，制定风险事件响应机制。

事件的收集与分析也可用于预测未来发生系统故障的可能性，及时采取必要的控制措施。

·风险管理——风险管理包括风险评估与风险控制，风险评估是指从风险管理角度，运用科学的方法和手段，系统地分析信息与信息系统所面临的威胁及其存在的脆弱性，评估风险事件一旦发生可能造成的危害程度；风险控制是对已经评估出来的风险要进行风险控制措施的规划与实施 ,以建立有效的IT风险控制及日常运作机制，把IT风险降到组织可以接受的水平。

利用两种监督措施

·风险检查——安全检查工作一般由风险管理部门和信息安全管理部门来负责实施，经常性的检查，有利于落实信息风险管理的方针与策略，及时发现在技术、人员及流程方面存在的风险隐患，也有利于提高员工安全意识，保证业务的持续运行。

·IT审计——审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审核。

与其他控制体系的结合

·等级保护：公安部及银监会的等级保护要求；

·ISMS：利用ISO27001建立信息安全管理体系；

·ITSM：利用ISO20000建立IT服务管理体系；

·CMMI：利用CMMI对软件开发过程进行管理；

·BCP：利用BS25999、BCI或DRII进行业务连续性管理。

建立IT风险管理与控制系统平台

IT风险管控系列软件目前包括如下主要模块：

风险评估管理-GooRisk

GooRisk信息科技风险评估软件提供了系统化的风险评估方法论和行业风险知识库，包括评估范围定义，安全现状调查，资产威胁分析、漏洞分析、风险综合分析、风险控制措施等主要功能，帮助客户快速自动化的评估自身的资产风险与流程风险。

风险控制管理-GooISMS

GooISMS风险管理体系建设软件提供了IT风险管理体系规划与管理体系建设的方法论和行业模板库，包括体系规划，体系设计，体系实施，体系保障等主要功能，帮助客户快速建立安全管理体系，通过内部审计、管理评审等管理过程，保障体系的有效运行。

风险运营管理-GooProcess

GooProcess信息科技风险运营管理软件提供了基本的信息安全日常运作流程，通过自动化工作流引擎，可自主定义帐号管理、权限管理、人员安全、设备安全、物理安全、安全检查、安全事件、安全培训、通知公告等流程，将安全管理流程真正落地。

风险审计管理-GooAudit

GooAudit安全风险审计管理软件提供了信息安全风险审计检查工具与审计管理流程，包括了各种业务、系统、设备的安全检查列表，符合性测试、实质性测试工具，定期审计管理流程，以及审计底稿、审计报告的管理。

风险知识管理-GooAwareness

GooAwareness安全风险知识管理软件为企业提供了信息安全相关知识的管理与共享平台，包括安全通告、内部知识库、外部资料库、标准与法规、案例警示、常用模板、知识地图、个人知识库等基本功能，方便安全知识的获取与管理，全面提高员工信息安全意识。

【作者简介：李华，谷安天下公司合伙人，CISA、CISSP、ISO27001 LA、ITIL Foundation 项目经理。】