,组织还应该评估自身对这些风险的承受能力。通过有效的风险评估,组织可以更好地掌握其风险状况和最有效地使用风险管理资源。
(二)实施并运行信息安全管理体系
阐明并实施风险处置计划。在此过程中,组织应指明和分配适当的管理措施、资源(人员、时间和资金)、职责和优先级。针对不同的管理层次、岗位和职责制订不同的培训计划,记录并考核培训的效果。通过提高全员的信息安全意识,塑造企业的风险文化,保证意识和控制活动的同步,确保体系的持续有效性和实时性。同时,组织应搜集证据、记录信息安全管理活动,为将来的评审、检查做准备。
(三)监视并评审信息安全管理体系
监控、评审阶段主要用来加强、修订及改进已识别的控制措施和解决方案。对不合理、不充分的控制措施应及时采取纠正和预防。组织可通过多种方式检查和监视信息安全管理体系的运行状况,如收集安全审核的结果、事故、以及所有相关方的建议和反馈;定期评审残余风险和可接受风险的等级;通过内部审核和管理评审检查信息安全管理体系的有效性、符合性等。此外,组织应做好记录,并报告影响信息安全管理体系有效性或业绩的所有活动、事件。
(四)改进信息安全管理体系
基于评审结果或其他相关信息,采取纠正和预防措施,以持续改进信息安全管理体系,开始新一轮的pdca循环。改进活动和措施必须获得所有相关方的认可,并确保达到预期目的。
四、信息资产类操作风险管理的实施建议
iso27001是文件化的体系,它把传统的银行信息安全与it治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度。在国际标准化的大潮流下,将基于风险评估的iso27001体系要求引入业务流程和风险体系,规范现有业务运作,全面提升员工的风险意识和责任,从而有效地降低内部欺诈等各类风险发生的几率,做到从源头防范风险,保护客户信息。
银行风险管理部门在具体实施上述信息资产管理体系过程中,首先,应取得管理层的高度重视和支持,明确各部门及员工的职责,采用自上而下的推进方法,组织和动员全行员工共同参与此项工作,尤其是在资产识别和风险评估阶段,更离不开组织内员工的大力帮助。通过有效的教育和培训,逐步建立和发展信息安全风险管理的文化,提高和强化员工的信息安全风险管理意识与能力。其次,80%的操作风险都是由于有制度却未严格执行而造成的,即使再完善的管理和控制体系都将如同摆设。因此,要加强制度执行的权威性。推行管理问责制,加大风险责任追究;强化激励机制,除业务指标外,将风险指标纳入每一位员工的业绩衡量和薪酬激励;建立风险事件奖励举报制,加强民主监督,引导员工从被动的风险应对转变为积极的风险防范。同时,银行应根据自身业务及管理程序的特点,做好数据收集,建立风险事件管理平台,及时报告、响应、跟踪、分析各类风险事件,最大限度地降低损失。当然,要使这套体系得以有效运转,运用pd-ca的方法加以跟踪管理是至关重要的。
虽然各家银行还在不断探索和完善管理操作风险的有效方法。然而,毋庸置疑的是,由于信息资产在银行业机构中的重要地位,银行对操作风险管理的有效与否将在很大程度上取决于银行对其自身信息资产的风险管理能力。因此,银行必须高度重视和加强对信息资产的风险管理,以全面提高其操作风险的管理水平。本文从细化银行操作风险出发,提出了一种新的管理思路,尝试将信息资产作为商业银行一类特殊产品线,并使用iso27001标准和方法来强化对信息资产的管理,为全面分析和准确把握操作风险管理体系打下基础。然而,如何在操作风险管理的总体要求框架下将信息资产与另八类产品进行融合,是进一步探讨的内容。
上一页 [1] [2] [3]