天津滨海农村商业银行信息科技

-10-天津滨海农村商业银行信息科技风险评估审计咨询方案

目录第一章项目概述 -3-1.1 项目背景 -3-1.2 项目范围重点 -3-第二章项目咨询方案 -5-2.1风险咨询的工作方法和主要任务 -5-2.2科技风险管理现状调研 -5-2.3差距分析与风险评估审计 -6-2.4改进建议方案 -9-2.5整改落实及内部管理机制优化 -9-2.6培训及知识转移 -10-2.7后续持续工作 -10-2.8预期咨询成果 -11-第三章项目实施总体周期 -12-第一章项目概述项目背景近年来，我行面临的市场竞争压力日益激烈，信息化应用已经步入了深化、整合、转型的关键时期，并且对信息科技的依赖度日益增强，信息系统已成为银行实现经营管理、业务运行、金融创新的基础平台。由于我行的信息科技风险管理起步较晚，业务的快速发展，使得我行在业务连续性、信息安全等领域的风险隐患逐渐积聚，一定程度上制约了我行业务的发展和金融产品创新。为此，希望通过聘请外部咨询公司对我行信息科技风险管理进行专业评估和审计，深入揭示我行在业务连续性管理、信息安全管理等领域的潜在风险隐患，并提出相应的解决建议。项目范围重点本次信息科技风险评估审计咨询项目的主要范围为：信息信息科技风险管理中的信息安全管理、资产管理、人员管理、物理和环境安全、系统访问控制、系统开发及测试、系统运行和维护、业务连续性和灾难恢复、外包管理等内容进行全面评估审计。重点包括：1.对我行业务连续性计划制定及执行进行评估审计；2.对科技部软件开发测试以及外包管理进行深入评估审计（必要时应采用第三方工具进行检测）；3.对信息系统在访问控制、系统运行和维护中可能产生的信息安全、业务连续性风险进行评估审计；4.系统运行和维护、应急和灾难恢复等方面的控制情况；5.信息安全管理各个重点环节。通过上述评估审计工作，旨在真实反映我行信息科技风险管理现状，查找存在的风险和控制缺陷，分析原因，剖析影响业务发展的主要因素，提出加强内部控制和经营管理的改善建议，促进信息科技风险控制能力和业务水平的提高，提升我行信息科技风险管理水平。第二章项目咨询方案2.1风险评估审计咨询的工作方法和主要任务依据监管要求，结合我行实际情况，在风险合规部、审计部的全程参与和协作下，咨询公司需完成系统性信息科技风险管理解决方案，通过评估、规划、建立、执行、电子化工具建设等具体内容，帮助我行实现风险控制目标。2.2科技风险管理现状调研以监管评级要素指标为参考，结合国内外的先进经验和技术规范，从科技风险管理组织架构、科技风险管理工作流程、科技风险管理制度规范、科技风险管理人员工作四个方面，系统地评估我行信息科技风险管理体系的现状，全面识别科技风险环节和隐患。本部分工作内容主要包括：了解信息科技风险管理现状、制度查阅、管理信息收集、研讨交流、了解管理层期望、科技风险管理相关部门访谈、经理层访谈、技术人员访谈、对信息科技风险管理体系及风险环节进行评估、技术层面风险环节评估、非技术层面风险环节评估。2.3差距分析与风险评估审计在现状评估的基础之上，对照银监会现场检查的要求、重点检查项和检查点，对已收集的材料信息进行筛选、分类和整理，从信息科技治理、信息科技风险、信息安全、信息系统开发测试及维护、信息科技运行、业务连续性管理、外包管理、内审和外审9大方面综合分析，系统性找出信息科技风险管理的差距、漏洞和风险环节，形成差距分析报告。信息系统技术风险评估审计内容应包括以下17个方面：序号类别1系统开发、部署与运行管理2身份鉴别3访问控制4交易安全5数据保密性6数据完整性7系统完整性8数据导入导出9剩余信息处理10密码安全11输入输出合法性12异常处理13备份与故障恢复14日志与评估15系统容量与可用性管理16开发测试和外包管理17业务连续性性管理具体包括物理环境、网络设施、主机系统平台、应用系统开发测试、业务连续性管理等。针对上述对象的具体评估审计内容可能包括：1.物理环境安全：物理环境安全（机房环境、出入管理、监控措施）；设备安全（设备管理、设备维护等）；介质安全（各种存储介质管理、备份介质管理、应急介质管理）。2.网络平台安全：网络及边界安全（网络接入控制、访问控制、边界防护）；网络系统安全设计（网络结构安全、网络服务质量保证）；网络设备安全功能及使用(网络内在安全措施配置管理等)；网络访问控制；网络安全检测分析；网络连接；网络可用性。3.操作系统/平台安全：帐号安全；文件系统安全；网络服务安全；系统访问控制；日志及监控审计；拒绝服务保护；补丁管理；病毒及恶意代码防护；系统备份与恢复。4.数据库安全：数据库帐号安全；数据库访问控制；存储过程安全；补丁管理；系统备份与恢复；日志及监控审计。5.应用系统安全：身份鉴别；访问控制；交易的安全性；数据的安全性；密码支持；异常处理；输入输出合法性；备份与故障恢复；安全审计；资源利用；安全管理；老旧应用系统使用率和安全性评估。6.业务连续性：重要信息系统业务连续性管理；业务连续性计划及执行；业务替代手段等。7.开发测试及外包管理：需求分析；项目管理；测试管理；开发测试过程中的安全管理；外包商管理；外包人员管理等。2.4改进建议方案咨询公司通过现场访谈、技术测试等工作，充分了解信息科技风险管理、信息安全管理、资产管理、人员管理、物理和环境安全、系统访问控制、系统开发及测试、系统运行和维护、业务连续性和灾难恢复、外包管理等的薄弱环节，针对重点控制缺陷，形成评估发现，并与我行进行确认，以审慎的态度验证发现的问题的准确性与合理性。在差距分析的信息基础之上，对于评估过程所发现的普通性控制薄弱环节，对存在的风险缺陷和亟待改进方面提出具有建设性、可行性的整改建议，找出在组织、制度、流程、人员、执行力等各个方面分别存在的信息科技风险相关的问题的有效解决方案，同时对问题进行有效分解，保证每一条改进项都能够找到对应的、合理的优化方案或解决办法，为整体信息科技风险管理框架体系的建立提供依据，为后续整改工作提供参考。2.5整改落实及内部管理机制优化为保证和配合我行信息科技风险管理体系的有效建立与运转，在充分了解信息科技内部管理现状的基础上，落实与推进整改方案。对信息科技内部的管理体系进行优化、规范，规划科技部内部的组织设置、岗位设置、内部流程，明确各个岗位在科技风险管理体系的科技运行维护、日常管理工作中的工作范围、工作职责。2.6培训及知识转移为了提高全行信息科技风险管理意识、加强信息科技风险管理制度和工具的应用推广，咨询公司IT咨询规划专家需提供对信息科技管理委员会、信息科技部门、审计部门、风险管理部门以及关键业务部门等相关人员进行分批、分重点进行科技风险知识培训，提高相关人员对科技风险管理的认识和职责定位，全面提高全行科技风险管理的水平。结合主要检查点，咨询公司需辅助各部门人员进行全面的风险模拟检查演练，包括：科技部各条线科技风险相关工作现场检查、风险管理部门科技风险相关工作现场检查、审计部门科技风险相关工作现场检查、各关键业务部门科技风险相关工作现场检查。科技风险检查模拟演练以提前预演的方式帮助相关人员了解银监局现场检查流程和操作规程，以便让我行各部门人员做好充足的知识和心理准备，同时巩固信息科技风险培训成果，提升各部门人员的信息科技风险意识。2.7后续工作后续工作预计在项目结束后的一年时间内，对科技风险管理的实际运行情况进行持续的追踪和评估，以达到持续改进的效果。同时，风险合规部和审计部后续将协同外部咨询公司，及时响应监管政策的变化和重点要求，开展重点和专项监督检查工作。2.8预期咨询成果1.完成差距分析报告；2.建立具有可操作性的银行科技风险管理相关体系文件；3.建立符合我行实际的信息科技风险库；4.完成日常风险管控检查项清单；5.完成信息科技风险指标清单；6.规划我行的科技风险管理相关应用功能需求，如信息安全检查、外包管理等管理需求。第三章项目实施总体周期总体项目周期预计为2个月左右（各阶段主要工作内容和工作周期预估如下表），后续1年内，咨询公司应继续提供咨询服务，确保咨询中发现的风险问题得到有效控制和整改解决。以下为项目周期参考：项目阶段时间主要工作项目准备1周项目准备阶段：确认项目目标和期望组建项目团队制定项目计划准备项目工