美国银行的信息科技风险管理.docVIP

美国银行的信息科技风险管理情况 一、美国银行的操作风险管理、业务持续性管理及信息科技风险管理分属于不同板块及部门 美国银行的操作风险管理属于风险管理条线的管理范畴，风险管理条线隶属于首席风险官。信息技术管理属于企业控制条线的管理范畴，其中信息技术管理部门隶属于首席技术官；信息管理部门下辖四个主要部门，分别是公司恢复能力管理部（即业务持续性管理）、信息安全咨询部、商业信息访问部、漏洞防范管理部，其中信息安全咨询部、商业信息访问部、漏洞防范管理部负责信息科技风险管理，即业务持续性管理与信息科技风险管理分属不同的部门。（如图1） 图1： 二、美国银行信息技术管理条线的管理内容及流程 美国银行的信息科技条线下辖四个主要部门，分别是公司恢复能力管理部（即业务持续性管理）、信息安全咨询部、商业信息访问部、漏洞防范管理部。分为信息科技支持与风险管理，业务持续性管理两个管理方向。具体内容如下： （一）信息科技风险管理的内容及管理流程 1.管理范畴及内容 信息科技风险的范畴为：由技术过时、新技术产生、技术架构、信息安全、内外部重大事件、监管制度调整、业务市场竞争性要求、业务模式变化、业务规模扩大等引发的信息技术风险。 信息科技风险管理的管理内容为：一是信息系统的风险管理及风险监测，包括对信息系统开发、测试和维护、信息科技运行等；二是信息安全管理；三是信息科技业务持续性管理；四是信息科技合规管理等。 2.管理职责 信息科技风险管理的职能部门主要是公司信息管理部门下辖的信息安全咨询部、商业信息访问部、漏洞防范管理部。其中信息安全咨询部负责制定全行通用性的信息科技风险评估的政策、制度、流程、标准等，并为首席技术官及各业务条线提供相应支持。商业信息访问部负责客户及员工的身份访问管理，信息技术安全性事件应急处置，制定信息安全业务持续性的政策、标准、基线等，开展信息技术风险意识培训，配合审计及监管机构完成相应工作。漏洞防范管理部负责通过风险分析协助各业务条线查找信息技术漏洞,流程改进分析，从技术上进行违规监测及合规检查等。如图2。 美国银行除上述三个部门负责信息科技及信息安全的技术支持和风险管理外，各业务部门均设有专门的信息技术团队，负责业务条线自身的系统开发及条线信息科技风险的评估。 图2： 3.管理流程： 信息科技风险主要通过风险点识别、风险程度评估、风险控制及缓释来完成。 （1）风险点识别：主要通过主动发现、自评估、内外部审计三条途径来实现。一是主动发现，即信息系统的开发运维人员，识别信息系统本身存在的风险点。二是自评估，系统的应用人员，通过自评估工具，对系统支持与业务运营、发展、风险控制的匹配风险开展相应评估。三是内外部审计，内外部审计机构按监管机构的要求，设计相应的评估流程和测量指标，识别可能存在的信息科技风险。 （2）风险程度评估：即对识别出的风险点，评估严重性程度、发生频率等，对风险的重要性进行排序。 （3）控制及缓释：即针对不同等级的信息科技风险，分别由信息系统管理人员、信息技术部门的负责人及相应的监管委员会评定其风险是否可接受，对于不可接受的责成整改并追踪相应的整改情况。 （二）业务持续性管理的内容及管理流程 1.管理范畴及内容 业务持续性风险的范畴为：交易对手、声誉、流动性、市场崩溃、以美国银行为对象的恐怖袭击、主要城市的瘫痪、25%-50% 员工不可用、基础设施故障等八大类风险。 业务持续性管理的管理内容为：一是规范全行预案建设；二是规范全行综合性演练；三是全行重大业务持续性突发事件的收集、分类、分析；四是全行各类重大业务持续性突发事件的响应策略；五是全行恢复策略；六是供应商的业务持续性能力管理；七是业务持续性管理体系维护。 2.管理职责 美国银行的业务持续性管理的职能部门主要是公司信息管理部门下辖的业务持续性管理部门，按照业务持续性管理各分项工作设立了6个职能团队，负责全行通用性的预案建设、演练、应急响应及恢复、供应商业务持续性能力等业务持续性管理制度、流程、标准、工具的建设，并向各业务条线及技术条线提供相关指导。如图3。 业务持续性管理部内不单独针对业务条线、技术条线及其他管理条线设立相应的支持团队，也不负责业务、信息科技、安全管理、工作场所、公关、财务、保险、法律、人力、供应商等方面进行专业性的细化。上述类别专业性的业务持续性管理政策、制度、标准及预案等制定工作原则上分别由各条线负责完成。其中：技术条线由公司信息管理条线下的商业信息访问部完成；其他管理条线分别由全行公关部门、公司工作场所管理部门、公司安全管理部门、公司财务部门、公司保险部门、公司法律部门、人力资源部门、供应商管理部门等的相应团队完成；各业务条线由条线内的业务持续性管理团队完成；但都受业务持续性管理总体要求的制约。 各业务条线配有专门的业务持续性管理团队，负责立