|
|
|
|
|
|
客户背景:
“浙商银行”是经中国银监会批准设立的全国性股份制商业银行,全称为“浙商银行股份有限公司”。浙商银行于2004年8月18日正式开业,总行设在浙江省杭州市。截至2014年6月末,浙商银行股东24家,注册资本115亿元,监管资本380余亿元、总资产近6000亿元。
项目情况:
浙商银行信息安全管理体系建设和认证项目自2014年7月启动,项目组通过现场调研、风险评估、体系设计、制度修订和完善等工作,在8月底正式发布了信息安全管理体系。在体系试运行期间,安言咨询梳理了各项信息安全工作职责,帮助浙商银行信息科技部更好的落实各项信息安全管理工作,并通过内部审核、管理评审、信息科技风险指标监测等工作验证和评价了体系实施效果。
难点特点:
浙商银行信息科技部自2007年起就已经根据ISO27001标准以及银监会和人民银行各项监管要求逐步建立了各项信息安全和信息科技风险管理的规章制度和实施细则,并在实际工作中得到很好的落实。近几年,在银监会关于信息科技风险管理的检查工作中,浙商银行均能在12家股份制商业银行中排名前三。在此基础上,安言咨询根据多年的咨询和研究成果, 针对商业银行对信息安全管理的需求建立了商业银行总体合规框架,作为体系建设工作开展的基础。合规体系框架以商业银行信息科技风险管理指引、ISO27001标准、信息系统等级保护标准以及其他相关法律法规要求为输入,以ISO27001标准作为基础框架,使各类标准及合规要求向ISO27001的114控制项进行映射,对相同要求进行合并,对细化要求进行融入,对框架外要求进行整理,最终建立一个完善的信息安全管理框架。以这个总体合规模型作为信息安全管理体系建设的基础,既着眼全局、不遗漏,同时又突出重点,符合银行业自身特点,具有较强的针对性。在体系运行期间,我们梳理了各项信息安全工作职责,列明各项工作的责任岗位、工作频率、工作内容及工作输出,帮助信息科技部员工能够更好的执行信息安全工作。同时,我们根据PDCA模型,通过对信息科技风险的识别、评价、控制和监测,实现对信息科技风险的动态管理。
最终成果:
在体系运行期间,依靠浙商银行信息科技部全体员工切实按照体系文件的要求执行信息安全和信息科技风险管理的各项工作,最终以零不符合项通过ISCCC的认证审核,顺利获取认证证书。
