工商银行信息科技风险管理体系建设研究
|
摘要
信息科技在银行的广泛应用,使其成为银行稳健运营和提高竞争力的基础和保障。但是信息科技在促进银行业务发展的同时,也使银行业面对巨大的技术风险,旦信息科技方面发生问题,将会直接影响到银行业务的连续性,甚至会影响到银行的安全。因此,商业银行加强银行信息科技风险管理,确保银行信息系统的安全、稳定、持续有效运行,己经直接关系到银行的运营和发展。
工商银行认识到信息系统安全对全行运营和发展的重要性,已经开始将信息科技风险管理纳入到全面风险管理之中,并做了一些基础性的工作,但仍然缺乏统一全局的信息科技风险管理体系。基于工商银行信息科技风险管理的现状,本文提出工商银行需要建立一套统一全局的信息科技风险管理体系,提升对信息科技风险的防控能力,从而促进工商银行持续、健康、稳定发展。
本文从内容上分为五个章节,第一章概要介绍本文的选题背景、逻辑框架和研究方法以及论文研究的创新之处;第二章主要介绍目前国内外信息科技风险领域相关研究及发展综述,以及当前通用的信息科技风险评估标准与规范;第三章介绍国内银行业信息科技风险管理普遍存在的共性问题,结合工商银行信息化建设过程分析工商银行信息科技风险管理存在的个性化问题,提出解决方案-构建信息科技风险管理体系;第四章阐述信息科技风险管理体系的含义以及建立信息科技风险管理体系的目的和意义,对体系进行架构设计,并逐层阐述设计思想;第五章在体系架构设计的基础上,制定具体的体系实施方案;第六章总结本论文研究的意义、创新点和不足。
本文共有两个创新之处。一是借鉴国际上通用的信息科技风险管理标准,结合工商银行信息科技风险管理实践,创新地提出了包含“信息科技管理、信息科技风险管理、信息科技审计”等三个层次的信息科技风险管理三道防线体系的概念,并以此构建统一全局的信息科技风险管理体系架构;二是以架构为指导,结合工商银行的信息科技发展战略、信息化水平和信息科技风险管理现状,制定了较为详细具体的建设实施方案。本文的研究思路和内容,对于工商银行及国内其他商业银行的信息科技风险管理,均具有理论指导和实践参考意义。
Through the information technology in banking, the wide application of information technology becomes the foundation and guarantee of bank operations and improving the competitive. While Information technology promoting banking development, it also makes the banking face more technical risks and once it happens, and affects the banking business continuity directly, even affects the safety of the bank. Therefore, the commercial Banks must strengthen the information technology risk management, ensure that the bank information system security, stability, effective operation, and directly related to the operation and development of commercial Banks.
Icbc has recognized the importance of the information system security, and begun to bring information technology risk management into comprehensive risk management, although it has made some basic works, but still lacks overall risk management system of information technology. Based on the above, icbc needs to establish a comprehensive risk management system of information technology to improve the ability of prevention and the control of the information technology risk management and promote the realization of core-competitiveness and strategic target.
This thesis will be divided into five chapters. The first chapter introduces the background, logical framework, research methods and research innovation of the thesis. The second chapter introduces the description of related research and development of information technology risk management field and the general information technology risk assessment standards and norms. In the third chapter, we investigated the current information technology risk management status of the banking industry and ICBC, and analyzed the common problems of the information technology risk management in the whole banking industry and the individual problems of ICBC, and then we proposed the construction of the information technology risk management system. The fourth chapter explains the connotation of the information technology risk management system, and designs the architecture and elaborates the purposes and meanings of the system architecture step by step. The main content of the fifth chapter is to formulate the specific implementation of system based on the architecture design. The sixth chapter summarizes the results, the significance, innovation and the insufficiency of the paper, and look forward to the future of the ICBC.
The innovations of this thesis are mainly focused on two aspects. The first aspect is based on the investigation of the international information technology risk management practical standards and the analysis of the information technology risk exist in the different layers of the ICBC's overall work, and proposed a comprehensive three-layer information technology risk management architecture which including "IT Manager, IT Risk Manager and IT Audit". The second aspect is that, the detailed construction solution is defined not only based on the ICBC's development strategy, but also with the guidance of the three-layer architecture. This thesis has important theory guiding and practical referring role for the information technology risk management of ICBC and other banks.
工商银行认识到信息系统安全对全行运营和发展的重要性,已经开始将信息科技风险管理纳入到全面风险管理之中,并做了一些基础性的工作,但仍然缺乏统一全局的信息科技风险管理体系。基于工商银行信息科技风险管理的现状,本文提出工商银行需要建立一套统一全局的信息科技风险管理体系,提升对信息科技风险的防控能力,从而促进工商银行持续、健康、稳定发展。
本文从内容上分为五个章节,第一章概要介绍本文的选题背景、逻辑框架和研究方法以及论文研究的创新之处;第二章主要介绍目前国内外信息科技风险领域相关研究及发展综述,以及当前通用的信息科技风险评估标准与规范;第三章介绍国内银行业信息科技风险管理普遍存在的共性问题,结合工商银行信息化建设过程分析工商银行信息科技风险管理存在的个性化问题,提出解决方案-构建信息科技风险管理体系;第四章阐述信息科技风险管理体系的含义以及建立信息科技风险管理体系的目的和意义,对体系进行架构设计,并逐层阐述设计思想;第五章在体系架构设计的基础上,制定具体的体系实施方案;第六章总结本论文研究的意义、创新点和不足。
本文共有两个创新之处。一是借鉴国际上通用的信息科技风险管理标准,结合工商银行信息科技风险管理实践,创新地提出了包含“信息科技管理、信息科技风险管理、信息科技审计”等三个层次的信息科技风险管理三道防线体系的概念,并以此构建统一全局的信息科技风险管理体系架构;二是以架构为指导,结合工商银行的信息科技发展战略、信息化水平和信息科技风险管理现状,制定了较为详细具体的建设实施方案。本文的研究思路和内容,对于工商银行及国内其他商业银行的信息科技风险管理,均具有理论指导和实践参考意义。
Through the information technology in banking, the wide application of information technology becomes the foundation and guarantee of bank operations and improving the competitive. While Information technology promoting banking development, it also makes the banking face more technical risks and once it happens, and affects the banking business continuity directly, even affects the safety of the bank. Therefore, the commercial Banks must strengthen the information technology risk management, ensure that the bank information system security, stability, effective operation, and directly related to the operation and development of commercial Banks.
Icbc has recognized the importance of the information system security, and begun to bring information technology risk management into comprehensive risk management, although it has made some basic works, but still lacks overall risk management system of information technology. Based on the above, icbc needs to establish a comprehensive risk management system of information technology to improve the ability of prevention and the control of the information technology risk management and promote the realization of core-competitiveness and strategic target.
This thesis will be divided into five chapters. The first chapter introduces the background, logical framework, research methods and research innovation of the thesis. The second chapter introduces the description of related research and development of information technology risk management field and the general information technology risk assessment standards and norms. In the third chapter, we investigated the current information technology risk management status of the banking industry and ICBC, and analyzed the common problems of the information technology risk management in the whole banking industry and the individual problems of ICBC, and then we proposed the construction of the information technology risk management system. The fourth chapter explains the connotation of the information technology risk management system, and designs the architecture and elaborates the purposes and meanings of the system architecture step by step. The main content of the fifth chapter is to formulate the specific implementation of system based on the architecture design. The sixth chapter summarizes the results, the significance, innovation and the insufficiency of the paper, and look forward to the future of the ICBC.
The innovations of this thesis are mainly focused on two aspects. The first aspect is based on the investigation of the international information technology risk management practical standards and the analysis of the information technology risk exist in the different layers of the ICBC's overall work, and proposed a comprehensive three-layer information technology risk management architecture which including "IT Manager, IT Risk Manager and IT Audit". The second aspect is that, the detailed construction solution is defined not only based on the ICBC's development strategy, but also with the guidance of the three-layer architecture. This thesis has important theory guiding and practical referring role for the information technology risk management of ICBC and other banks.
引文
[1].《中华人民共和国计算机信息系统安全保护条例》1994年
[2].《商业银行信息科技风险管理指引》 中国银行业监督管理委员 2009年3月
[3].中国银行业监督管理委员会网站http://www.cbrc.gov.cn
[4].中国工商银行股份有限公司网站http://www.icbc.com.cn
[5].中国工商银行总行内控合规部 中国工商银行操作风险管理手册 中国金融出版社2006年
[6].吴亚非等.信息科技风险风险评估.北京:清华大学出版社,2007
[7].范洪,冯登国.信息科技风险风险评估教程.北京:清华大学出版社,2007
[8].工商银行.《信息科技管理制度(2009版)》.工银办发[2009]30号
[9].工商银行.操作风险与控制自我评估管理办法(试行).工银办发[2009]932号
[10].(美)Shon Harris编著,石华耀等译.CISSP All-in-one Exam Guide Fourth Edition.北京:科学出版社,2009
[11].林晓轩.完善信息科技风险管理机制,防范银行信息科技风险.中国金融电脑,2008(5):10~12
[12].杨柏.走向集约化—中国工商银行信息化建设发展历程.每周电脑报,2000(03)
[13].陈立福等.信息科技风险风险评估实施及建议.华南金融电脑,2009(01):74
[14].李忠香.浅谈银行信息化建设.济南金融,2006(7):034
[15].徐崇岭.银行信息科技风险风险自评估的流程和方法.中国金融电脑,2007(2):8
[16].唐磊.商业银行信息科技风险现状与管理策略分析.中国金融电脑,2009(2):49~52
[17].严峻.我国银行业IT风险管理现状_趋势与对策.金融电子化,2007(8):56~58
[18].叶贵添.商业银行信息科技风险分析及管理策略.硅谷,2010(8):185
[19].徐晓霞.农村信用社信息科技风险管理的思考.金融研究,2008(12):77
[20].陈文雄.信息科技风险管理浅谈.中国信息主管网,2009.11.20
[21].常巍.国有商业银行风险研究.北京:中国财经出版社,2007
[22].马一民.金融体系的风险与安全北京:社会科学文献出版社,2007
[23].胡海华.银行信息化风险评价及监管研究.武汉:华中科技大学学报,2006(7):71-77
[24].吴文忠.信息化条件下的银行风险监管研究.广州:暨南大学学报,2006(4):17-23
[25].肖宇.中国农业银行信息化策略探讨.[硕士学位论文].四 :成都电子科技大学,2003
[26].匡景炜.A市商业银行信息安全风险管理体系研究.[硕士学位论文].甘肃:兰州大学,2009
[27].李德胜.我国商业银行信息科技风险评级体系重构研究.[硕士学位论文].山东:山东大学,2009
[28].陈朝晖.商业银行信息科技风险及防控策略研究[D]:[硕士学位论文].北京:北京交通大学,2009年
[29].杨爱民.我国商业银行信息化建设的十大战略对策.商场现代化,2008(12):23
[30].张雪霞.金融机构信息科技风险管理中的问题及建议.华南金融电脑,2009(1):84
[31].翟学荣等.信息系统信息安全风险管理的发展趋势分析.农业网络信息,2007(12):39
[32].陈光,匡兴华.信息系统安全风险评估研究,第十九届全国计算机安全学术交流会论文集.2004(7):62~64
[33].何茂春.商业银行信息科技风险的量化计量研究.金融论坛,2009(2):42~49
[34].李东卫.商业银行信息科技风险的分析与对策.中国金融电脑,2009(6):50~54
[35].李东卫.对商业银行信息科技风险的几点思考.金卡工程(经济与法),2008(9):89
[36].李勇.信息科技风险管理:银行业信息化建设的关口.中国金融电脑,2009(9):5
[37].赵相如.防范银行信息科技风险的建议.金融会计,2007(3):16
[38].汪锦丽、沈林楠.美国银行信息技术风险监管经验及借鉴.华南金融电脑 2004(7):6
[39].王庆.浅谈建立健全城市商业银行信息科技风险管理体系.现代经济信息,2010(7):43
[40].杨晏忠. 当前中国商业银行信息化建设存在的问题及应对措施.http://www.chinavalue.net/Media/Article.aspx?ArticleId=18657&PageId=1
[41].兰宇.国内银行信息化发展现状分析.硅谷,2009(1):186
[42].王渝次.信息系统灾难恢复的规划及实施.北京:北京交通大学出版社,2006
[43].侯澄.解读《商业银行信息科技风险管理指引》.中国金融电脑,2009(5):33
[44].陈文雄.信息科技风险管理贵在意识先行.中国金融电脑,2008(9):3~4
[45].张倩、张云志、祁妙.关于商业银行信息科技风险的调查与思考.中国信用卡,2009(2):16~20
[2].《商业银行信息科技风险管理指引》 中国银行业监督管理委员 2009年3月
[3].中国银行业监督管理委员会网站http://www.cbrc.gov.cn
[4].中国工商银行股份有限公司网站http://www.icbc.com.cn
[5].中国工商银行总行内控合规部 中国工商银行操作风险管理手册 中国金融出版社2006年
[6].吴亚非等.信息科技风险风险评估.北京:清华大学出版社,2007
[7].范洪,冯登国.信息科技风险风险评估教程.北京:清华大学出版社,2007
[8].工商银行.《信息科技管理制度(2009版)》.工银办发[2009]30号
[9].工商银行.操作风险与控制自我评估管理办法(试行).工银办发[2009]932号
[10].(美)Shon Harris编著,石华耀等译.CISSP All-in-one Exam Guide Fourth Edition.北京:科学出版社,2009
[11].林晓轩.完善信息科技风险管理机制,防范银行信息科技风险.中国金融电脑,2008(5):10~12
[12].杨柏.走向集约化—中国工商银行信息化建设发展历程.每周电脑报,2000(03)
[13].陈立福等.信息科技风险风险评估实施及建议.华南金融电脑,2009(01):74
[14].李忠香.浅谈银行信息化建设.济南金融,2006(7):034
[15].徐崇岭.银行信息科技风险风险自评估的流程和方法.中国金融电脑,2007(2):8
[16].唐磊.商业银行信息科技风险现状与管理策略分析.中国金融电脑,2009(2):49~52
[17].严峻.我国银行业IT风险管理现状_趋势与对策.金融电子化,2007(8):56~58
[18].叶贵添.商业银行信息科技风险分析及管理策略.硅谷,2010(8):185
[19].徐晓霞.农村信用社信息科技风险管理的思考.金融研究,2008(12):77
[20].陈文雄.信息科技风险管理浅谈.中国信息主管网,2009.11.20
[21].常巍.国有商业银行风险研究.北京:中国财经出版社,2007
[22].马一民.金融体系的风险与安全北京:社会科学文献出版社,2007
[23].胡海华.银行信息化风险评价及监管研究.武汉:华中科技大学学报,2006(7):71-77
[24].吴文忠.信息化条件下的银行风险监管研究.广州:暨南大学学报,2006(4):17-23
[25].肖宇.中国农业银行信息化策略探讨.[硕士学位论文].四 :成都电子科技大学,2003
[26].匡景炜.A市商业银行信息安全风险管理体系研究.[硕士学位论文].甘肃:兰州大学,2009
[27].李德胜.我国商业银行信息科技风险评级体系重构研究.[硕士学位论文].山东:山东大学,2009
[28].陈朝晖.商业银行信息科技风险及防控策略研究[D]:[硕士学位论文].北京:北京交通大学,2009年
[29].杨爱民.我国商业银行信息化建设的十大战略对策.商场现代化,2008(12):23
[30].张雪霞.金融机构信息科技风险管理中的问题及建议.华南金融电脑,2009(1):84
[31].翟学荣等.信息系统信息安全风险管理的发展趋势分析.农业网络信息,2007(12):39
[32].陈光,匡兴华.信息系统安全风险评估研究,第十九届全国计算机安全学术交流会论文集.2004(7):62~64
[33].何茂春.商业银行信息科技风险的量化计量研究.金融论坛,2009(2):42~49
[34].李东卫.商业银行信息科技风险的分析与对策.中国金融电脑,2009(6):50~54
[35].李东卫.对商业银行信息科技风险的几点思考.金卡工程(经济与法),2008(9):89
[36].李勇.信息科技风险管理:银行业信息化建设的关口.中国金融电脑,2009(9):5
[37].赵相如.防范银行信息科技风险的建议.金融会计,2007(3):16
[38].汪锦丽、沈林楠.美国银行信息技术风险监管经验及借鉴.华南金融电脑 2004(7):6
[39].王庆.浅谈建立健全城市商业银行信息科技风险管理体系.现代经济信息,2010(7):43
[40].杨晏忠. 当前中国商业银行信息化建设存在的问题及应对措施.http://www.chinavalue.net/Media/Article.aspx?ArticleId=18657&PageId=1
[41].兰宇.国内银行信息化发展现状分析.硅谷,2009(1):186
[42].王渝次.信息系统灾难恢复的规划及实施.北京:北京交通大学出版社,2006
[43].侯澄.解读《商业银行信息科技风险管理指引》.中国金融电脑,2009(5):33
[44].陈文雄.信息科技风险管理贵在意识先行.中国金融电脑,2008(9):3~4
[45].张倩、张云志、祁妙.关于商业银行信息科技风险的调查与思考.中国信用卡,2009(2):16~20