一、概述

1.内部审核的定义和目标

内部审核是组织内部发起对管理体系的审核活动,用于检查管理体系的符合性和有效性,以及生产运维工作的合规性和满足业务要求的程度,从而识别管理体系的改进机会。

2.建设背景及发展历程

(1)建设背景:根据ISO20000及ISO27001国际标准要求,建立内部审核流程。

(2)发展历程:

·2012年,根据ISO20000国际标准要求,建立内部审核流程。

·2013年,根据ISO27001国际标准要求,完善内部审核流程。

·2014年至今,根据实际运行经验,优化完善流程部分细节。

二、流程及运作

1.角色和职责

本规范涉及的角色分为:数据中心最高管理者、管理者代表、体系负责人、内审组长、内审组成员和被审核人等。这些角色涉及数据中心各部门及软件中心派驻部门。

(1)数据中心最高管理者、管理者代表的职责是确定审核目标,审批内部审核计划,听取审核汇报。

(2)体系负责人的职责是负责提出内审时间和审核重点,明确审核准则,审核内审报告。

(3)内审组长由生产安全管理部指定人员担任,其职责包括制订内审计划,组织编写内审检查表,负责内审前的通知,组织内审组成员实施内审,编写内审报告。

(4)内审组成员的职责是协助内审组长编写内审检查表,执行内审工作,协助编制内审报告。

(5)被审核人的职责是按照约定的时间接受内审,积极配合审核检查工作反馈工作真实情况,提供内审组要求的审核证据据。

2.内部审核流程的流程环节和关键活动介绍(流程的触发、输入和输出)

(1)内部审核包括内部审核准备、内部审核实施、内部审核问题发现、内部审核报告、内部审核发现整改实施与跟踪踪。

(2)流程触发:每年在规定时间启动本年度内部审核的策划和准备等活动,每年至少组织一次内部审核。

(3)出现以下情况时可按需增加临时的内部审核:

·运营管理体系的管理方针、目标、服务架构、组织架构或IT基础架构出现重大变化;

·出现重大事件或重大客户投诉;

·重点保障时期之前;

·采用的标准、适用的法律法规、监管要求等出现重大变化;

·外部审核前;

·最高管理者提出增加内部审核。

(4)输入包括监管要求、A银行信息科技管理要求、安全审计发现、数据中心最高管理者或管理者代表对本次审核的指示、体系负责人对本次审核的要求、以及上一年度工作执行记录等等。

(5)输出包括《数据中心内部审核计划》《数据中心内部审核检查表》《数据中心内部审核报告》和《数据中心内部审核发现》。

3.内部审核流程与其他流程的接口或集成

在明确负责《数据中心内部审核发现》的整改责任部门后,将其纳入持续改进流程进行改进跟踪。

4.内部审核流程的运作机制

内部审核流程是由本流程负责人负责该流程的策划、监督、执行及改进。每年内审前,体系负责人根据最高管理者或管理者代表的要求及以往安全审计、内部审核、外部审核及监管检査的结果,拟定本次内部审核的重点和审核时间,并提前一个月将其提交至内审执行部门。内审执行部门牵头完成内审的计划、准备、检査和报告等活动。

5.内部审核流程管理工具的介绍

目前暂无管理工具。

三、绩效管理

1.指标设置

(1)指标名称:内审次数。

(2)指标定义:本年度内开展的内部审核次数。

2.考核

(1)考核方式:量化考核。

(2)考核频率:每年至少一次。

(3)考核阈值:每年至少一次

3.内部审核流程的文化建设

内部审核流程自建立以来,数据中心每年开展内部审核,检查范围覆盖所有部门,发现各部门对内部审核的要求和作用都在不断提高。同时,在检查人员方面,检査组通过让各部门制度承办人和执行人实际参与到内部审核工作中,促进各部门对内审方法以及其他流程的具体情况的了解,提升各部门对于流程和规范执行情况的自查能力。

四、持续改进

1.近三年的持续改进简述

近三年数据中心主要调整了检查组构成,由最初完全由生产安全管理部人员承担,到目前由各部门制度承办人和执行人参与,这促进了各部门对于内部审校流程的认识和理解。

2.遇到的问题风险和处置措施

无。

3.未来展望

目前内部审核偏向于对制度流程合规性的审核,因此使用人工检查的方式。后续考虑加加强技术审核,通过引入专业安全工具,提高审核的深度和广度。

一、概述

1.持续改进的定义和目标

持续改进是针对当前管理体系不满意(合格水平)的现状,或者针对已发生的不合格,或者针对潜在的不合格制订改进目标和寻求改进机会的持续的过程。

持续改进使用监视和测量,审核发现和审核结论,数据分析,管理评审或其他方法(如自我评定结果),其结果通常是纠正措施或预防措施的产生。

持续改进的目的是为了提高组织管理体系的有效性和效率,实现组织的质量方针和质量目标,增加客户和其他相关方的满意度。组织要根据环境的变化调整组织的质量方针和质量目标,建立持续改进的机制。最高管理者应对持续改进作出承诺,全体员工要积极参与持续改进的活动。持续改进是永无止境的,因此,它应成为每个组织永恒的追求、永恒的目标、永恒的活动。组织改进机制的完善程度,将决定其质量管理体系有效性的实现程度。

2.建设背景及发展历程

(1)建设背景:根据ISO20000及ISO27001国际标准要求,建立持续改进管理流程。

(2)发展历程:

·2012年,根据ISO2000国际标准要求,建立服务改进管理流程,管理流程的管理范围是数据中心运营管理体系中对于质量部分制度文件的改进。

·2013年,根据IS027001国际标准要求,建立持续改进管理流程,管理流程的管理范围是数据中心运营管理体系中对于信息安全管理类制度文件的改进。

·2014年,随着数据中心运营管理体系的进一步融合,原服务改进管理流程被并入持续改进管理流程,因此,流程管理范围扩大为对于数据中心运营管理体系规章制度的改进。

·2015年,持续改进管理流程。根据实际执行情况,增加运营管理体系控制组对持续改进申请的评审方法,明确运营管理体系控制组通过会议或邮件方式对受理的持续改进申请进行评审。

二、流程及运作

1.角色和职责

角色包括改进申请人、运营管理体系控制组、改进任务责任人、改进任务执行人、流程负责人。其具体职责包括以下内容。

(1)改进申请人负责识别和提交改进需求,配合完成改进工作。数据中心全体员工均可作为改进申请人。

(2)运营管理体系控制组为数据中心运营管理体系的日常维护组织,牵头负责数据中心运营管理体系的改进,负责受理并确认改进申请,并对各项改进任务进行总体管理,包括拟定改进任务、分派改进任务、推进并监督改进任务的进展和完成情况。

(3)改进任务责任人由改进任务负责部门主管担任,负责管理具体改进任务,包括指定改进任务执行人,确定完成时间和验收标准,对改进任务的进展和完成质量负责。

(4)改进任务执行人负责承办和落实具体改进任务。

(5)流程负责人负责根据流程执行情况,主动识别和提交改进需求。

2.本管理流程的流程环节和关键活动介绍绍(流程的触发、输入和输出)

(1)持续改进包括如下主要活动:改进申请的提交、受理以及改进任务的分派。

(2)流程触发:事件触发,当发现目前管理体系存在不足的现状,或者有已发生的不合格或潜在的不合格时即可启动持续改进。

(3)输入包括以下内容:

·日常工作发现;

·流程负责人提出的改进建议;

·有效性测量结果;

·内部审核、管理评审、外部审核发现;

·业务关系管理流程负责人提供的客户改进建议。

(4)输出包括以下内容

·《数据中心持续改进任务单》;

·《数据中心持续改进跟踪表》。

3.与其他流程的接口或集成

(1)业务关系管理流程:将客户及相关方(如分行、业务部门、监管部门等)反馈的建议和要求输出至持续改进。

(2)内部审核管理流程:内审的发现项输出至持续改进。

(3)管理评审管理流程:将管理评审的待改进项输出至持续改进。

(4)有效性测量流程:将上年度有效性测量结果输出至持续改进,并检查测量指标、测量方法、测量频度、测量國值是否需要被调整。

4.本管理流程的运作机制

数据中心员工在日常工作中识别出的改进需求,客户关系管理流程负责人收集了客户反馈的改进建议,流程责任部门在制度执行过程中识别出的改进需求,或在有效性测量中识别出的改进需求,均需填写《数据中心持续改进申请表》并将其提交至数据中心运营管理体系控制组。体系控制组牵头负责数据中心运营管理体系的改进,负责受理并确认改进申请,并对各项改进任务进行总体管理,包括拟定改进任务、分派改进任务、推进并监督改进任务的进展和完成情况。改进任务责任人在接到持续改进任务单后,负责管理具体改进任务,包括指定改进任务执行人,确定完成时间和验收标准,对改进任务的进展和完成质量负责。

5.本管理流程管理工具的介绍

目前流程已实现工具化,可实现功能包括:提交持续改进申请、派发持续改进任务,处理持续改进任务,跟踪持续改进任务进展等。

三、绩效管理理

1.指标设置

(1)指标名称:改进任务按期完成率。

(2)指标定义:改进任务按期完成率=该时段按计划完成的改进任务数量/该时段计划内应完成的改进任务总数×100%。

2.考核

(1)考核方式:量化考核。

(2)考核频率:定期执行。

(3)考核阈值:根据数据中心实际情况设置。

3.本管理流程的文化建设

数据中心建立持续改进管理流程,并通过持续改进申请、持续改进评审、持续改进确认、持续改进执行及跟踪等活动,加强自身对于持续改进的认识和了解。

四、持续改进

1.近三年的持续改进简述

(1)将原服务改进管理规范内容纳入持续改进。

(2)根据实际执行情况,增加运营管理体系控制组对持续改进申请的评审方法。

2.遇到的问题风险和处置措施

风险:改进任务时间长的持续改进任务延期可能性较高。

处置措施:对于此类持续改进任务,定期跟踪其进展,避免任务延期。

3.未来展望

增强员工对管理体系持续改进的积极性和信心。通过对近几年的持续改进申请的分析,可以清晰发现,数据中心大部分的持续改进来源于内审、管审及外审,员工基于日常工作的持续改进数量较少,组织可以在改进管理体系的同时,采取奖金、流动红旗、通报表彰等方式对在管理体系改进中表现积极并取得效果的员工进行适当的表彰和奖励,以增加其信心,提高其积极性。

一、概述

1.风险评估的定义和目标

信息安全风险评估工作基于信息安全风险场景开展,其全面识别各部门工作职能范围内面临的信息安全风险,对风险进行量化分析和分级管控,将风险控制在可接受的范围内,最大限度降低生产运营风险。

2.建设背景及发展历程

(1)建设背景:根据ISO20000及ISO27001国际标准要求,建立信息安全风险评估规范。

(2)发展历程

·2012年,根据ISO20000国际标准要求,建立信息安全风险评估规范。

·2013年,根据ISO27001国际标准要求,完善信息安全风险评估规范。

·2016年,根据ISO27001:2013新国际标准要求,完善信息安全风险评估规范。

二、流程及运作

1.角色和职责

本规范涉及数据中心安全生产领导小组、生产安全管理和数据中心各部门。

(1)数据中心安全生产领导小组负责审定风险管理策略和评估风险结果,并实施全面的风险防范措施,协调风险处置过程中的重大资源调整,建立持续的风险计量和监测机制。

(2)生产安全管理部负责确定风险评估方法,制订风险评估计划,组织完成风险评估和风险处置工作,汇总风险评估报告及风险处置结果,检查风险评估工作执行情况。

(3)数据中心各部门负责根据数据中心风险评估计划执行风险评估,完成风险评估报告,对于确认由本部门处置或牵头处置的风险,明确部门主管为风险责任人,并组织制订处置计划,实施处置措施,及时向生产安全管理部报告处置结果,协助其持续完善风险评估工作。

2.风险评估的流程环节和关键活动介绍(流程的触发、输入和输出

(1)数据中心信息安全风险评估包括风险场景识别、风险识别和分析、风险处置和风险管理过程监督等环节。

(2)流程触发:数据中心每年在规定时间启动本年度信息安全风险评估的策划、准备等活动,每年至少组织一次风险评估工作。

(3)在下列情况下,可按需临时启动新的风险评估。

·信息系统运行环境发生重大变化,包括核心系统重大调整、信息系统运行环境架构性调整等。

·业务环境发生重大变化。

·管理上的重大改变或者技术革新。

·新的重大安全威胁、脆弱性的发现。

·信息安全管理法律法规发生变化。

(4)输入包括:外部监管机构、A银行及数据中心风险管理相关制度、国际信息安全风险管理标准、历次内外部审计发现的问题以及历次风险评估结果。

(5)输出包括:《数据中心信息安全风险评估表》。

3.风险评估与其他流程的接口或集成

风险评估结果可被输出至服务连续性管理流程以及供方管理流程。

4.风险评估的运作机制

信息安全风险评估是指由本规范负责人负责该规范的策划、监督、执行及改进。每年风险评估前,安全管理部门根据外部监管机构、A银行及数据中心风险管理相关制度、国际信息安全风险管理标准、历次内外部审计发现的问题以及历次风险评估结果,组织识别本次风险评估所使用的信息安全风险场景,确定各场景涉及包括保密性、可用性和完整性在内的哪些信息安全特性,编制风险场景库。同时,生产安全管理部门还应编制风险评估计划,明确风险评估的目的、范围、方法、风险分级标准、计划采用的风险接受准则及进度安排等,统一组织开展风险评估。

5.风险评估管理工具的介绍

目前暂无管理工具。

三、绩效管理

1.指标设置

(1)指标名称1:风险评估次数。

指标名称2:风险处置计划按计划完成率。

(2)指标定义1:本年度内开展的风险评估次数。

指标定义2:已完成的风险处置项数量/全部风险处置数量。

2.考核

(1)考核方式1:量化考核。

考核方式2:量化考核。

(2)考核频率:定期执行。

(3)考核國值:根据数据中心实际情况设置。

3.风险评估的文化建设

数据中心始终坚持风险评估工作全部门评估、全员参与。经过多年持续开展风险评估工作,各部门已逐步认可该项工作的重要意义,自身的安全风险意识得到提升,能主动识别并提出部门内、岗位上发现的风险,并将其统一纳入数据中心的风险管理体系中,确保其他部门都能全面掌握风险情况,从而充分调度资源,统一处置和化解风险。每年评估发现的风险数量呈逐年下降趋势,反映了通过风险评估工作的开展,数据中心的安全风险隐患得到了较好的识别和控制。

四、持续改进

1.近三年的持续改进简述

(1)根据ISO27001标准要求,确定基于资产、威胁、脆弱性的风险评估方法。

(2)为提高风险评估效率,将评估方法调整为基于风险场景的评估方法,设计三大类风险场景,包括各部门通用风险场景、运维视角风险场景、开发测试视角风险场景。

2遇到的问题风险和处置措施

无。

3.未来展望

目前,数据中心在量化风险级别时,只能根据员工经验对风险发生可能性和影响程度进行评分,缺少一套更为科学、准确的风险计量方法,这也是未来的研究方向之一。

文章摘自：管理体系在银行业数据中心的创新与实践