首页 理论教育 银行信息安全管理体系

银行信息安全管理体系

时间:2023-07-26 理论教育 版权反馈
【摘要】:银行信息安全管理委员会及其下设工作小组建议的工作职责包括:1)负责审议安全合规评估报告。6)协调银行内信息安全组织内部,以及和其他部门之间的工作。5)评估认定重大信息系统及信息安全事件造成的隐患、风险、损失和责任。

银行信息安全管理体系

基于上文所述的银行信息安全组织的构建原则,银行信息安全组织的构建从总体上可采取以下的架构,即安全决策层、安全管理层、安全执行层、安全监管层(包括安全合规层、安全审计层)(图5-1)。

978-7-111-52252-2-Part02-4.jpg

图5-1 银行信息安全组织架构概览图

1.安全决策层

不同银行在管理组织架构、治理结构、工作程序上存在一定的差异性,但从信息安全工作开展的原则上出发,为了便于信息安全工作在全行层面的有效推动开展并切实落地,建议设置独立的信息安全决策机构,如信息安全管理委员会,并酌情在其架构下设置信息安全工作小组。信息安全的决策层应定位为全行的信息安全决策机构,在决策层的组成上应纳入具备足够授权的高层管理者,建议的组成人员包括银行经营决策层分管科技的行领导、信息科技部门总经理、法律合规部门总经理、内审部门总经理,并结合银行管理组织架构、治理结构特点酌情纳入业务部门分管领导。

银行信息安全管理委员会及其下设工作小组建议的工作职责包括:

1)负责审议安全合规评估报告。

2)负责审议信息安全风险评估报告、信息安全风险管理工作报告。

3)审核重大信息安全风险的处置方案。

4)审核信息安全管理部门提交的与信息安全相关的策略、标准、总体规划、培训计划。

5)决策信息安全相关的重大事宜。

6)协调银行内信息安全组织内部,以及和其他部门之间的工作。

7)审核重大安全事件处理结果报告,并审批改进策略。

8)审议信息安全内审制度和年度审计计划、年度信息安全内部审计报告;督促已发现的安全审计问题的整改落实。

9)其他信息安全决策性工作。(www.xing528.com)

2.安全管理层

从提升银行信息安全管理效率的目的出发,通常在银行内规划设立专职的信息安全管理团队。在信息安全管理上,该安全团队应接受信息安全管理委员会的领导,并在其管理下开展信息安全相关管理工作。

1)安全管理层需要总体协调、推动信息安全各项管理工作。

2)组织搜集、整理并提供支持信息安全决策的相关数据、信息和资料。

3)审议银行内部信息安全管理的年度工作方案和工作计划。

4)每季度定期组织会议,制定全行信息安全制度及信息安全体系建设方案,监督、指导、评估、评价重大信息安全监管标准的遵从、落实、执行情况。

5)评估认定重大信息系统及信息安全事件造成的隐患、风险、损失和责任。

6)定期向信息科技部门报告信息安全战略规划的执行、信息安全整体状况及其他需要报告事项(图5-2)。

978-7-111-52252-2-Part02-5.jpg

图5-2 安全管理层

3.安全执行层

为了保障信息安全工作能够在全行范围内高效地开展,应明确识别与信息安全相关的岗位,确保其日常信息安全工作得以被指导、监控、检查、报告。从岗位分布看,可归类为信息科技条线信息安全执行岗位(如科技部门系统管理员等)与非科技条线信息安全执行岗位(如业务部门内设信息安全员岗位)。

4.安全监督层

为了充分地保证信息安全工作监管的独立性,信息安全的监管类岗位通常在银行的内审部门进行设置,专职开展信息安全的日常审计工作;安全监督层需要监督全行运行系统操作规程、管理办法、实施细则、应急计划和控制技术等的实施;安全监督层还需要根据行内外信息安全形势,制订年度和专项信息安全检查计划,并且需要对信息安全检查结果进行分析、总结,形成后续的信息安全工作方向的输入。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈