论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 9 篇帖子 ] 
作者 内容
 文章标题 : 关于信息科技风险管理部门
帖子发表于 : 2013-04-19 21:53 
离线
高级用户

注册: 2005-02-16 16:51
最近: 2013-05-31 23:39
拥有: 4,276.50 安全币

奖励: 0 安全币
在线: 3607 点
帖子: 286
地址: 北京
银监会《商业银行信息科技风险管理指引》要求商业银行应设立或指定信息科技风险管理部门,并专门章节对信息科技风险管理的具体内容进行了规定。《管理指引》发布3年多的时间,大部门银行都没有明确信息科技风险管理部门,信息科技风险管理的职责还是在信息科技部门。有部分银行为了满足监管要求,将信息科技风险管理部门设在风险管理部门,但实际运作效果和监管要求也相关甚远。目前,银监会已将信息科技风险管理纳入监管整体评级体系。
欢迎大家就以下几个问题,结合自身实践,谈谈自己的认识。
1、信息科技风险管理部门和信息科技部门的设置情况
2、信息科技风险管理和操作风险管理之间的关系
3、信息科技风险管理和信息安全管理在实务中的区别
4、信息科技风险管理部门的主要工作


--------本帖迄今已累计获得43安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于信息科技风险管理部门
帖子发表于 : 2013-04-20 07:03 
离线
新手

关注按钮

注册: 2011-12-31 17:10
最近: 2013-06-03 08:47
拥有: 415.00 安全币

奖励: 8 安全币
在线: 286 点
帖子: 13
和楼主看到的情况差不多。说说我个人的看法。

1、信息科技风险管理部门和信息科技部门的设置情况 -- 为信息科技风险管理单设一个部门没必要,从银行大风险管理的趋势看放到风险管理部门就行了,当然在银行业还需要个发展过程,走得快的银行在风险管理部已经有了这个岗位,今后还应会有小组乃至二级部。目前城商行和农信基本如楼主所说,在IT部门内设个信息科技管理岗位,先满足合规再说。今后这个岗位挪到风险管理部的可能性较大。

2、信息科技风险管理和操作风险管理之间的关系 -- 从定义看,个人感觉操作风险应包括信息科技风险。《商业银行操作风险管理指引》:“第三条 本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。” 看不出信息科技风险能超出这个范围。其他也有一些操作风险的定义也是这种情况,就不贴了。各银行的现状不太了解,貌似没有把这两个风险联系起来考虑,这与监管部门目前的政策有关系,也与各银行的风险管理发展水平有关系。大家不妨把工作做扎实,合理地推进,两个风险的关系自然会有个说法。

3、信息科技风险管理和信息安全管理在实务中的区别 4、信息科技风险管理部门的主要工作 -- 首先这与三道防线的设置有关。银监会的三道防线目前好像流传着两个版本:a、信息科技风险管理是第一道防线,由信息科技风险管理部门负责 b、信息科技管理(信息安全管理是重要内容)是第一道防线,由IT部门负责。我是赞同a的。信息科技风险管理部门应确定这项工作到底要怎么开展,是策略和方法的制订部门;而IT部门是配合与部分工作的执行部门。
信息科技风险管理部门应至少包括:
1、评估、识别本行的信息科技风险,并制订相应的风险处置方案
2、根据信息科技治理架构,把风险管理任务分配到每个部门与组织,大家一起执行。组织讨论-确定执行方案-执行-检查完善。
3、监控整体风险。监控工作可以分为3个步骤:“收集信息”-“分析”-“处置”,收集的时候,就需要IT部门的支持配合,因为信息科技风险的主要指标如机房状况、IT系统运行状况、外包状况都来自IT部门,信息科技风险管理部门分析之后判定是否存在风险,风险级别如何,并确定如何处置。当然有些常见的风险情形,那些可以简明判定的,由IT部门直接处理然后报告给风险管理部门就行了。这有赖于双方在事先确定的预案。
处置的时候IT部门可能又是主要的执行部门,如核心交换机负载太高了,信息科技风险管理部门要求降到预定阈值以下,这个事还是要IT部门来出方案。


--------本帖迄今已累计获得43安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于信息科技风险管理部门
帖子发表于 : 2013-04-25 14:06 
离线
高级用户

注册: 2009-03-03 22:26
最近: 2016-05-26 17:09
拥有: 2,715.00 安全币

奖励: 13 安全币
在线: 3373 点
帖子: 156
在一些外资行目前的情形来看,暂时没有信息安全风险岗位.
一般会有IT内的信息安全部门,来执行相应的信息安全风险评估等工作.
以及审计部门来执行信息安全审计工作.
希望未来能有更多的银行设立此类置位吧,各位兄弟也能多一些机会.


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于信息科技风险管理部门
帖子发表于 : 2013-04-26 09:59 
离线
超级用户

关注按钮

注册: 2007-09-14 11:58
最近: 2018-01-23 17:50
拥有: 7,579.10 安全币

奖励: 3533 安全币
在线: 3791 点
帖子: 583
地址: 大连市高新区
1.信息科技风险管理部门和信息科技部门的设置情况
执行部门基本在科技部,管理部门很多设置在风险管理部;管理和执行没大家想的那么复杂,一个行文,一个执行。
2、信息科技风险管理和操作风险管理之间的关系
操作风险4种风险:人员、系统、流程和外部事件,信息科技风险包含在操作风险之下。

3、信息科技风险管理和信息安全管理在实务中的区别
信息安全管理是信息科技风险管理的只一个域
4、信息科技风险管理部门的主要工作
一定没仔细看银监会2009年19号文 第十条 摘录如下:”信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。“


--------本帖迄今已累计获得60安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:关于信息科技风险管理部门
帖子发表于 : 2013-04-26 13:18 
离线
高级用户

关注按钮

注册: 2012-11-27 13:08
最近: 1970-01-01 08:00
拥有: 108.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 184
在08年前后专门研究过这方面,在银行领域,操作风险管理与信息安全的结合和相互推动点很多。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于信息科技风险管理部门
帖子发表于 : 2013-05-31 23:23 
离线
高级用户

注册: 2005-02-16 16:51
最近: 2013-05-31 23:39
拥有: 4,276.50 安全币

奖励: 0 安全币
在线: 3607 点
帖子: 286
地址: 北京
muzirenjie 写道:
1.信息科技风险管理部门和信息科技部门的设置情况
执行部门基本在科技部,管理部门很多设置在风险管理部;管理和执行没大家想的那么复杂,一个行文,一个执行。
2、信息科技风险管理和操作风险管理之间的关系
操作风险4种风险:人员、系统、流程和外部事件,信息科技风险包含在操作风险之下。

3、信息科技风险管理和信息安全管理在实务中的区别
信息安全管理是信息科技风险管理的只一个域
4、信息科技风险管理部门的主要工作
一定没仔细看银监会2009年19号文 第十条 摘录如下:”信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。“

从理论上来讲信息科技风险管理的定位以及其职能容易一些,想知道各位同仁实际工作中信息科技风险管理工作的开展情况。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于信息科技风险管理部门
帖子发表于 : 2013-06-01 08:21 
离线
中级用户

注册: 2010-01-09 17:36
最近: 2016-01-07 16:21
拥有: 233.00 安全币

奖励: 0 安全币
在线: 872 点
帖子: 73
从银行业125规划可以看到,银行科技风险有三道防线,信息科技部、风险管理、稽核审计,要求每个部门分别有信息安全岗、风险管理岗、安全审计岗,同时从组织架构上来说,风险管理要高于信息安全,风险管理人员要有懂信息科技的。


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:关于信息科技风险管理部门
帖子发表于 : 2013-06-03 09:18 
离线
新手

关注按钮

注册: 2013-06-03 09:18
最近: 1970-01-01 08:00
拥有: 0.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 1
这是传说中的三道防线吧[嘻嘻]@潜伏续集 @有才他们家王胖子 @Nicky_D @听花语观秋桐


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于信息科技风险管理部门
帖子发表于 : 2018-03-31 18:32 
离线
超级用户

注册: 2008-06-03 09:24
最近: 2018-03-31 21:34
拥有: 2,013.30 安全币

奖励: 4077 安全币
在线: 5749 点
帖子: 559
地址: 北京
selinux 写道:
从银行业125规划可以看到,银行科技风险有三道防线,信息科技部、风险管理、稽核审计,要求每个部门分别有信息安全岗、风险管理岗、安全审计岗,同时从组织架构上来说,风险管理要高于信息安全,风险管理人员要有懂信息科技的。

正解,前面有前辈说风险管理部是管理、科技部是执行,其实就是说的三道防线。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 9 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012