企业信息科技安全的三道防线及解决方案

背景

近年来,移动互联、大数据处理、云计算、人工智能等一系列前沿技术与企业的业务创新深度融合,极大拓展地拓展了企业的业务空间和服务手段,但也使得IT风险越来越多,类型更加多样化、复杂化,越发难以管控,其可能造成的损失和影响也更加巨大。所谓信息科技风险,是指信息科技在规划、设计、研发或采购、运行、维护、监控及报废过程中由于人为因素、技术漏洞和管理缺陷产生的操作、法律、金融和声誉风险。

以银行业为例,新的技术为中小商业银行的经营发展提供了强大的动力,但也给IT风险防控带来巨大挑战:首先,IT基础架构日趋复杂,系统和数据持续增加,给核心系统的稳定运行带来严峻挑战;其次,网络攻击、电信欺诈持续升级。盗取客户资金和信息等网络犯罪日益猖獗,银行面临的各类网络安全威胁不断升级,形势更为复杂。再次,第三方接口不断接入,防范外部风险带来一定挑战。最后,数据的集中导致风险的集中,防范灾难性事件压力巨大。

信息科技风险管理的目标

信息科技风险管理的目标是通过建立有效的机制,实现商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、文件运行,推动业务创新,提升信息技术使用水平,增强核心竞争力和可持续发展能力。近年来随着信息科技与业务的发展,监管要求的不断提高,新的巴塞尔协议也已经将信息科技风险列入了操作风险之一,各商业银行深刻意识到信息科技风险控制的重要性,为此加强了信息科技、风险管理、IT审计人才的引进力度,逐步探索信息科技、信息科技风险、信息科技审计“三道防线”的建设,以促进信息科技在风险可控的基础上,使之发挥越来越重要的作用,如何有效防范信息科技风险,发挥信息科技风险“三道防线”的作用,就成了各商业银行共同研究的话题。

信息科技风险的危害

当今世界,随着技术的发展,外部环境的多变,而信息系统本身固有的脆弱性,以及在信息系统运行过程中,内部的操作不当、管理不严所造成的系统漏洞,都会被外部黑客内部不法分子所利用,造成信息科技风险事件的发生,给金融企业带来直接或间接的损失,甚至对一个行的命运,乃至整个国家金融体系造成严重打击,典型的信息科技风险事件包括:误操作事件、信息系统中断事件、信息泄露事件、信息系统故障、信息科技案件等。

三道防线

为应对这些挑战,国内很多企业,尤其是金融机构,在信息科技风险管理方面提出了“三道防线”的概念。信息科技风险管理“三道防线”是指依据职责分离原则,在组织内部构造出三支对风险管理承担不同职责的团队,相互之间协调配合,分工协作,并通过独立、有效的监控,提高组织的风险管理有效性。

“一道防线”是指组织业务及操作层面的网络安全管理,由组织的一线业务部门负责。职责是识别和管理网络安全固有风险,并对风险实施有效的控制措施,是整个网络安全保障工作的基础。“二道防线”是指网络安全风险的专职管理,由组织的风险管理部门和IT部门负责。职责是建立网络安全风险管理框架,实施独立的风险评估、计量、监测和报告,确保网络安全风险管理政策及措施有效执行,将风险控制在可接受水平。”三道防线“是指对网络安全独立的监督评价,即审计,由组织的审计监督部门负责。职责是对网络安全风险管理的相关控制、流程和系统进行独立审阅和检查,促进一、二道防线积极履职,进一步揭示网络安全风险,为一、二道防线提供改进建议。
企业信息科技安全的三道防线及解决方案_第1张图片

针对第一道防线提供:信息科技管理解决方案

信息科技部门处于信息科技风险管理的“第一道防线”,为履行“第一道防线”的信息科技管理职责,信息科技部门除承担信息系统的研发、测试、运维和管理以及基础设施的建设和运维工作之外,还应有效履行相应的信息科技检查及安全管理职能。一是加强IT制度体系建设,针对信息科技治理、系统运行管理、信息安全管理等重要领域,制定并不断完善管理制度体系,通过构建科学、完整的制度体系,促进信息科技管理及操作的规范化,减少各类IT风险事件的发生。二是做好信息安全防护。通过部署入侵防护系统、防病毒系统、信息防泄漏系统等安全产品并建立安全监测团队,定期进行漏洞扫描及渗透测试,全面保障网络安全。三是开展信息科技检查,通过有计划、分层次的安全监测和检查,准确识别并及时处置各种科技风险隐患。

针对第二道防线提供:信息科技风险管理解决方案

以银行为例,银行的合规风险部门处于信息科技风险管理的“第二道防线”,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。

针对第三道防线提供:信息科技风险审计解决方案

依旧以银行为例,银行内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。

内部审计部门应依据董事会要求以及监管的相关要求,针对全行信息科技治理、系统开发测试、信息安全、业务连续性、外包管理等重要领域,实施现场或非现场审计,揭示存在的风险尤其是系统性重大风险,提出针对性的改进建议。内部审计部门应利用相关工具促进整体审计效率,对信息科技风险一、二道防线的工作情况进行及时有效的检查和再评价,充分提升信息科技风险审计体系的整体效能。

你可能感兴趣的:(IT战略与IT治理,信息安全,三道防线,金融,合规,风控)