同ISO20000管理体系在数据中心的实践（一）【文件管理】。

一、概述

1.管理评审的定义和目标

管理评审是最高管理者为评价管理体系的适宜性、充分性和有效性所进行的活动。

管理评审的主要内容是组织的最高管理者就管理体系的现状、适宜性、充分性和有效性以及方针和目标的贯彻落实及实现情况进行的综合评价活动,其目的就是通过这种评价活动来总结管理体系的业绩,并从当前业绩中找出其与预期目标的差距,同时考虑任何可能的改进机会,并在研究分析的基础上,对组织在市场中所处地位及竞争对手的业绩予以评价,从而找出自身的改进方向。

管理评审的目标是通过运营管理体系定期评审,识别管理体系的改进机会和变更需要,确保数据中心服务能达到服务管理目标并满足信息安全管理要求。

2.建设背景及发展历程

(1)建设背景:根据ISO20000及ISO27001国际标准要求,建立管理评审管理流程。

(2)发展历程:

·2012年,根据ISO20000国际标准要求,建立管理评审管理流程。

·2013年,根据ISO27001国际标准要求,完善管理评审管理流程。

·2014年至今,根据实际运行经验,优化完善流程部分细节,例如完善固化管理评审的时间要求。

二、流程及运作

1.角色和职责

角色包括最高管理者、管理者代表、体系负责人和部门主管。其具体职责包括以下内容。

最高管理者、管理者代表的主要职责是参加管理评审会议,听取运营管理体系运行情况汇报,做出评审决议。

体系负责人的主要职责是组织制订《数据中心管理评审计划》,收集和准备管理评审材料,组织安排管理评审会议,参加管理评审会议,提出评审意见,编写管理评审报告,跟踪落实管理评审决议。

部门主管的主要职责是参加管理评审会议,提出评审意见,落实管理评审决议。

2.本管理流程的流程环节和关键活动介绍(流程的触发、输入和输出)

(1)管理评审包括管理评审策划、管理评审准备、召开评审会、发布评审报告和实施改进。

(2)流程触发:时间触发,即每年在规定时间启动本年度管理评审的策划、准备等活动。

(3)输入包括以下内容:

·服务级别协议指标达成情况,以及新增服务的运行情沅;

·客户反馈的建议和提出的新要求,包括业务目标和合规性要求等;

·相关方(如分行、业务部门、监管部门等)对管理体系的改进建议;

·运营管理体系的符合性情况,包括相关流程设计与标准的一致性、执行情况与对应规范的一致性等;

·上年度内审、管理评审、外部审核等持续改进要求的落实情况,纠正和预防措施等改进任务实施情况的跟踪;

·流程绩效结果;

·上年度信息安全风险评估结果;

·信息安全方针是否需要调整的需求;

·上年度有效性测量结果;

·其他同业组织的安全经验与教训等;

·可能影响管理体系和服务的外部要求变化,如法律法规、行业监管要求的变化、对当前和未来运营管理体系在人员、技术、信息和财务方面的资源需求的评估;

·已识别的运营管理体系的其他改进机会;

·数据中心组织架构或职能的变动情况;

·管理评审的输入可根据管理评审计划进行选择或调整。

(4)输出包括《管理评审报告》及通过管理评审产生的改进申请。

3.与其他流程的接口或集成

(1)管理体系范围内的各流程主要包括以下内容

·服务级别管理流程:将服务级别协议指标达成情况输出至管理评审。

·业务关系管理流程:将客户及相关方(如分行、业务部门、监管部门等)反馈的建议和要求输出至管理评审。

·内部审核管理沇程:将内审发现的持续改进落实情况输出至管理评审。

·信息安全风险评估:将上年度信息安全风险评估结果输出至管理评审。

·信息安全策略:将信息安全方针输出至管理评审,评审次年是否需要对其进行调整。

·有效性测量:将上年度有效性测量结果输出至管理评审,评审测量的方法、频度、阈值是否需要被调整,以及测量的指标是否需要被调整。

(2)持续改进管理流程:将管理评审产生的持续改进要求输入至持续改进流程。

4.本管理流程的运作机制

管理评审流程是由本流程负责人负责该流程的策划、监督、执行及改进,根据每年整体规划及管理要求策划管理评审的时间及次数,由体系负责人牵头完成管理评审的策划、准备、会议、报告、改进等活动。

5.本管理流程管理工具的介绍

目前暂无管理工具。

三、绩效管理

1.指标设置

(1)指标名称:管理评审按计划完成率。

(2)指标定义:管理评审按计划完成率=本年度管理评审按计划完成次数/本年度管理评审计划完成次数×100%。

2.考核

(1)考核方式:量化考核

(2)考核频率:每年至少一次。

(3)考核阈值:根据数据中心实际情况设置。

3.本管理流程的文化建设

数据中心建立管理评审管理流程,并通过每年度的计划、准备、会议、报告和改进等活动,加强自身对于管理评审的认识和了解。

四、持续改进

1.近三年的持续改进简述

(1)管理体系增加对于ISO27001的符合性要求,故在管理评审目标中增加满足合规性要求,增加信息安全管理方面的评审要素,如信息安全风险评估等输入。

(2)固化管理评审的时间要求,即“每年第三季度或第四季度完成管理评审工作”。

2.遇到的问题风险和处置措施

(1)风险:输入内容范围不完整。

处置措施:可将组织管理体系内各流程总结纳入管理评审,逐步丰富完善输入内容。

(2)风险:不能有效跟踪管理评审会议中领导的改进要求。

处置措施:将其纳入持续改进管理流程,进行跟踪管理。

3.未来展望

(1)将管理体系的管理评审活动与数据中心的年度工作总结进行有机的整合,避免重复工作,提升效率。

(2)建立运营体系管理平台工具,实时输出管理评审所需量化指标,以及以往管理评审的改进要求落实进展,实现最高管理者或管理者代表可实时了解体系运行情况的目标。

一、概述

1.安全审计的定义和目标

安全审计是指依据国内、国外监管及A银行、数据中心制度、规范和流程等,对数据中心内部控制执行情况进行的符合性检查,以评价、改进、提升风险管理、控制和治理效果。

安全审计的目标是及时发现存在的安全隐患,提出整改建议,落实防范措施,持续纠正偏差,确保数据中心运营管理体系和内控管理机制的充分性、有效性、合规性,提高安全生产运维水平。

2.建设背景及发展历程

为规范和完善数据中心安全审计工作,及时发现运维工作中存在的问题和隐患,督促落实预防措施,有效防范、控制和和降低各类安全风险,实现对信息系统安全体系的全面审计与评价,确保安全审计工作的严肃性与合规性,数据中心根据《商业银行信息科技风险管理指引》《商业银行数据中心监管指引》GB/T22080-2008《信息技术安全技术信息安全管理体系要求》等国内、外监管要求和技术标准,制订了安全审计管理规范。

·2013年7月,第一次编制安全审计管理规范。

·2014年11月、2015年8月,根据工作变化情况先后对规范进行了两次修订。

·2017年,依据工作实际情况再次修订规范。

二、流程及运作

1.角色和职责

(1)生产安全管理部负责统筹并开展内部审计工作,以及牵头组织、协调、配合外部审计方开展外部安全审计工作,其具体职责包括以下内容。

·生产安全管理部负责建立数据中心内部安全审计体系,明确安全审计内容,制订并维护本规范。

·生产安全管理部负责根据数据中心发展战略、工作重点及以往审计情况,明确数据中心年度安全审计计划,确定本年度内执行的日常审计内容和专项审计内容及时间安排。

·作为审计方,生产安全管理部负责按照内部审计计划开展日常审计及专项审计工作,并针对审计中发现的问题提出具体整改建议。

·生产安全管理部负责对审计部门所提交的部门自查结果和整改计划进行汇总及跟踪。

·生产安全管理部负责跟踪和管理内部审计整改工作,对问题整改效果进行验证,确定审计问题是否符合关闭条件,确保所有审计问题已完成整改。

·生产安全管理部负责根据外部审计方提出的文档调阅需求和调查问卷等,客观地收集、整理相应文档资料,并使之与调阅需求明确对应。调阅资料文档包括制度、规范、流程、策略、标准、运行报告和记录等。

(2)审计过程中,数据中心各部门作为被审计方,应积极配合审计,确保内、外审计工作有效开展,其具体职责包括以下内容:

·根据审计方的重点关注内容及检查要求,数据中心各部应对本部门涉及的信息系统生产运维管理情况进行自查,深入排查尚未满足审计要求的内容,提前开展整改工作或制订应答口径,并将部门自查结果和整改计划反馈至生产安全管理部门汇总。

·数据中心各部门应指派专人配合审计,其负责收集并提交审计所需资料和安排访谈等。

·数据中心各部门应根据审计方要求及时提供各类资料,包括:系统日志、变更需求、维护日志、运行日志和记录资料等,并配合审计方的电话访谈、面谈、询问和现场审计工作,客观答复,并对所提供资料及陈述事实的真实性和完整性负责。

·在审计过程中,数据中心各部门对审计工作的公正性和客观性进行监督。

·数据中心各部门对审计结果进行及时确认和反馈。对于已确认的问题，按照审计方提出的整改建议,制订具体的整改计划,并积极推动整改工作的完成。

·在整改过程中,对于需要其他部门或部门配合整改的问题,数据中心各部门主动协调上下游部门或数据中心其他部门共同解决问题。

2.本管理流程的流程环节和关键活动介绍(流程的触发、输入和输出)

安全审计包括日常审计流程、专项审计流程、外部审计流程和审计问题整改4个部分。

(1)日常审计流程

一般以月为单位定期开展日常审计,当日常审计结束后,审计人员应及时对审计中发现的问题及证据进行整理汇总、综合分析,并以日常合规检査问题反馈表的形式将其发布,同时,还应通过 NOTES邮件形式将其发送至被审计方进行确认、整改。

(2)专项审计流程

按照年度审计计划,专项审计采取审计小组的形式进行,包括审计准备、审计实施、审计完成三个阶段。专项审计结束后,由审计小组对最终审计结果进行整理汇总、综合分析,完成审计报告。对于此报告,审计小组在征求被审计方意见后,数据中心总经理室最终审定后签发审计报告,送被审计方及负责人。

(3)外部审计流程

外部审计是外部审计方对数据中心的信息科技建设能力、信息科技风险状况和控制成效进行的科学审慎的综合评价,外部审计流程包括前期准备、配合外部审计、问题沟通三个阶段。

(4)审计问题整改

对于安全审计中发现的问题,数据中心被审计部门应根据审计报告中的整改建议,在指定时间内以文档形式将问题的整改具体措施和整改时间计划反馈至审计部门,并严格遵照计划开展工作。

3.本管理流程与其他流程的接口或集成

明确负责安全审计中发现的问题的整改责任部门后,将其纳入持续改进流程进行改进跟踪。

4.本管理流程的运作机制

安全审计管理规范规定由本流程负责人负责该流程的策划、监督、执行及改进。安全审计主要包括日常审计、专项审计和外部审计三种类型。日常审计主要是生产安全管理部根据数据中心内部控制体系制度对数据中心的生产运维活动进行定期日常检查。专项审计即生产安全管理部门根据年度审计工作计划或新增的审计任务,制订专项安全审计计划,并在数据中心总经理室批准后执行计划。外部审计主要是生产安全管理部门根据外部审计方的文档调阅需求、访谈需求和现场检査需求,牵头配合外部审计,并与数据中心各部门起完成问题沟通。

5.本管理流程管理工具的介绍

目前暂无管理工具。

三、绩效管理

1.指标设置

(1)《数据中心日常合规检査手册》回顾数。

(2)日常生产活动合规率。

(3)数据中心负责的信息科技内(外)审问题按期整改率。

(4)生产活动日常合规检査按期整改率。

2.考核

(1)考核方式:量化考核。

(2)考核频率:定期执行。

(3)考核阈值:根据数据中心实际情况设置。

3.本管理流程的文化建设

安全审计管理规范自建立以来,数据中心每年均开展日常审计和专项审计,检查范围覆盖数据中心所有部门,发现各部门对安全审计的认识都在持续提高。在外部审计过程中,各部门均指定专门人员配合审计,这也促进了各部门对安全审计工作的认识和理解。

四、持续改进

1.近三年的持续改进简述

近三年增加应对外部安全审计职责的要求及流程,增加被审计问题的整改跟踪要求,并根据部门职责完善和修改部分描述。

2.遇到的问题风险和处置措施

无。

3.未来展望

未来数据中心将根据PDCA持续更新完善安全审计规范,争取通过安全审计工作来有效提高数据中心的安全生产运维水平。

文章摘自：管理体系在银行业数据中心的创新与实践