|
|
|
|
|
|
客户背景:
山东分行的IT建设在建行内部是领先的。
项目情况:
风险管理是在我国金融业全面开放的背景下银行业近期发展的关键管理活动之一。《新巴塞尔资本协议》中定义的经营风险,包括IT系统给公司带来的风险。商业银行面临的风险是多方面的,IT系统的安全稳定运行对银行业金融机构来说尤为重要。正是基于对风险管理体系化建设的考虑,山东建行于2006年2月启动实施针对省行信息科技条线的信息安全管理体系(ISMS)建设项目,并于同年年底接受并通过了BSI的认证审核。
难点特点:
此项目整个过程经历了准备、实现、运行、认证四个阶段,主要解决了以下问题:建立的ISMS务必体现银行业自身特点并适合银行业特殊需求;强调过程管理,确保与信息安全相关的资源、技术、管理等因素处于受控状态;重点放在业务连续性管理、访问控制、人员安全、第三方安全管理等领域,有效降低风险,提高业务连续保障能力;建立专业化的信息安全管理队伍,形成持续改进的信息安全管理机制。
最终成果:
该客户于2007年1月正式获得UKAS认可的ISO27001证书,为国内银行业第一家获得ISO27001信息安全管理体系认证的银行机构。通过ISMS建设实施,山东建行明确了“以保证业务连续性为根本目标”等十大管理原则,提出了“全面保障、积极防护、动态管理、持续改进”的信息安全方针;形成了持续改进的信息安全管理机制,提升了信息安全管理水平;并与风险内控体系、ISO9000质量管理体系实现融合,建成了“三标”融合的内部管理机制。
