提升信息科技風(fēng)險(xiǎn)管理能力

[導(dǎo)讀]為加強(qiáng)商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理，提升信息科技風(fēng)險(xiǎn)管理能力，09年3月份銀監(jiān)會(huì)正式發(fā)布了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（以下簡稱《指引》），這是繼出臺(tái)有關(guān)《商業(yè)銀行操作風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行市場風(fēng)險(xiǎn)管理指引》和《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》等一系列的監(jiān)管文件之后，銀監(jiān)會(huì)發(fā)布的又一重要風(fēng)險(xiǎn)管理指引。該指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)參照?qǐng)?zhí)行。ISO9001認(rèn)證
　　為加強(qiáng)商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理，提升信息科技風(fēng)險(xiǎn)管理能力，09年3月份銀監(jiān)會(huì)正式發(fā)布了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（以下簡稱《指引》），這是繼出臺(tái)有關(guān)《商業(yè)銀行操作風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行市場風(fēng)險(xiǎn)管理指引》和《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》等一系列的監(jiān)管文件之后，銀監(jiān)會(huì)發(fā)布的又一重要風(fēng)險(xiǎn)管理指引。該指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)參照?qǐng)?zhí)行。ISO9000認(rèn)證

　　信息科技風(fēng)險(xiǎn)是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。它和操作風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)一樣，是商業(yè)銀行面臨的主要風(fēng)險(xiǎn)?，F(xiàn)階段商業(yè)銀行已經(jīng)基本完成了信息化建設(shè)，在金融管制放松、業(yè)務(wù)全球化、金融創(chuàng)新步伐加快以及信息技術(shù)的迅猛發(fā)展的大背景下，國際銀行業(yè)金融機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)有增大的趨勢(shì)，國際銀行業(yè)和監(jiān)管當(dāng)局都日益重視信息科技與操作風(fēng)險(xiǎn)的管理和監(jiān)管。目前，國際上宣布實(shí)施新資本協(xié)議的國家和地區(qū)都按照新協(xié)議的要求，明確將操作風(fēng)險(xiǎn)納入資本監(jiān)管的范疇，而信息科技風(fēng)險(xiǎn)是操作風(fēng)險(xiǎn)的重要組成部分。

　　需求分析

　　合規(guī)性需求：

　　近年來，國家各部門不斷推出了各種監(jiān)管要求，對(duì)IT管控領(lǐng)域也提出了明確的要求。其中與銀行業(yè)信息科技風(fēng)險(xiǎn)相關(guān)的法律、法規(guī)與行業(yè)監(jiān)管指引有：

　　2002年，美國國會(huì)發(fā)布了SOX《薩班斯-奧克斯利法案》；

　　2004年9月30日，中國銀監(jiān)會(huì)發(fā)布了《商業(yè)銀行內(nèi)部控制評(píng)價(jià)辦法》；

　　2006年，銀監(jiān)會(huì)發(fā)布《電子銀行安全評(píng)估指引》 、《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》和《銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引》；

　　2006年6月，國務(wù)院國資委出臺(tái)了《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》；

　　2007年，公安部明確了《信息系統(tǒng)等級(jí)保護(hù)基本要求與實(shí)施指南》；

　　2009年3月，銀監(jiān)會(huì)發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》；

　　谷安天下依據(jù)信息科技風(fēng)險(xiǎn)管理體系，從整體上分為IT治理、IT管理、IT控制與審計(jì)三個(gè)方面，并在此基礎(chǔ)上結(jié)合多年的行業(yè)咨詢經(jīng)驗(yàn)，陸續(xù)開發(fā)了IT風(fēng)險(xiǎn)管理咨詢服務(wù)與IT風(fēng)險(xiǎn)管控系列軟件系統(tǒng)。

　　信息安全風(fēng)險(xiǎn)管理需求

　　銀行業(yè)隨著信息化工作的不斷深入，信息系統(tǒng)的開發(fā)、維護(hù)與運(yùn)行均面臨較大的挑戰(zhàn)，如何保障業(yè)務(wù)的持續(xù)運(yùn)營，如何支撐銀行各項(xiàng)業(yè)務(wù)的風(fēng)險(xiǎn)管理，如何保障客戶與自身信息的安全，成為各商業(yè)銀行信息科技部門與風(fēng)險(xiǎn)管理部門的重要任務(wù)，因此信息科技風(fēng)險(xiǎn)的管理就顯得迫在眉睫。商業(yè)銀行針對(duì)信息科技風(fēng)險(xiǎn)需要審視：

　　? 是否對(duì)所有潛在的重大IT風(fēng)險(xiǎn)都進(jìn)行了識(shí)別、評(píng)估和管理？

　　? 面對(duì)數(shù)量眾多的IT風(fēng)險(xiǎn)，應(yīng)如何對(duì)其進(jìn)行管理？

　　? 如何在全行范圍內(nèi)推行全面IT風(fēng)險(xiǎn)管理？

　　? 如何將IT風(fēng)險(xiǎn)管理體制與企業(yè)日常IT管理和運(yùn)營相融合？

　　? IT風(fēng)險(xiǎn)管理的角色、責(zé)任和義務(wù)是否合理或明確？

　　? 如何增強(qiáng)風(fēng)險(xiǎn)意識(shí)，培育風(fēng)險(xiǎn)管理文化？

　　《信息科技風(fēng)險(xiǎn)管理指引》解析

　　本次頒布的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》共十一章七十六條，涵蓋了信息科技風(fēng)險(xiǎn)管理的各個(gè)領(lǐng)域，同時(shí)針對(duì)銀行現(xiàn)有的組織架構(gòu)，對(duì)各部門也明確提出了風(fēng)險(xiǎn)管理的要求，下文將就主要條款做一個(gè)深入的解析。

　　第一章 總則，明確了指引的目標(biāo)和適用范圍，指出信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對(duì)商業(yè)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。

　　第二章 信息科技治理，明確提出了信息科技治理的概念，明確了信息科技風(fēng)險(xiǎn)管理的責(zé)任人，董事會(huì)的相關(guān)職責(zé)，并明確要求商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向首席信息官或首席風(fēng)險(xiǎn)官（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。此章最重要的是明確了商業(yè)銀行風(fēng)險(xiǎn)管理部門、信息科技部門以及內(nèi)部審計(jì)部門在信息科技風(fēng)險(xiǎn)管理中承擔(dān)不同的角色和職責(zé)，互相協(xié)作共同完善信息科技風(fēng)險(xiǎn)管理的架構(gòu)。

　　第三章 信息科技風(fēng)險(xiǎn)管理，明確要求商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評(píng)估計(jì)劃，制定全面的信息科技風(fēng)險(xiǎn)管理策略，建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)機(jī)制。本章是從信息科技風(fēng)險(xiǎn)管理部門的角度，提出商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的事前控制（第一道防線）。

　　第四章 信息安全，明確要求信息科技部門負(fù)責(zé)落實(shí)信息安全管理職能，負(fù)責(zé)建立和實(shí)施信息分類和保護(hù)體系，通過建立有效管理用戶認(rèn)證和訪問控制的流程保障業(yè)務(wù)安全，通過設(shè)立物理安全保護(hù)區(qū)域保障物理安全，通過將網(wǎng)絡(luò)劃分為不同的邏輯安全域保障網(wǎng)絡(luò)安全，通過操作系統(tǒng)和系統(tǒng)軟件的安全控制保障系統(tǒng)安全，同時(shí)加強(qiáng)信息系統(tǒng)、終端設(shè)備、傳輸控制、信息保護(hù)等方面的安全，并對(duì)員工進(jìn)行持續(xù)培訓(xùn)，通過建立信息安全體系，全面控制信息安全方面風(fēng)險(xiǎn)，此章是參考了國內(nèi)外信息安全最佳實(shí)踐（ISO27000與等級(jí)保護(hù)），針對(duì)信息科技部門，提出信息科技風(fēng)險(xiǎn)管理的事中控制（第二道防線）的重要組成部分。

　　第五章 系統(tǒng)開發(fā)、測(cè)試與維護(hù)，明確要求對(duì)信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測(cè)試、部署、維護(hù)、升級(jí)和報(bào)廢，制定制度和流程，采取適當(dāng)?shù)捻?xiàng)目管理方法，控制信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護(hù)性，應(yīng)制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開發(fā)、測(cè)試、維護(hù)過程中數(shù)據(jù)的完整性、保密性和可用性等具體要求。此章是針對(duì)軟件開發(fā)與項(xiàng)目實(shí)施部門，提出信息科技風(fēng)險(xiǎn)管理的事中控制（第二道防線）的重要組成部分。

　　第六章 信息科技運(yùn)行，明確了商業(yè)銀行數(shù)據(jù)中心物理環(huán)境要求、人員崗位職責(zé)要求，并要求商業(yè)銀行制定詳盡的信息科技運(yùn)行操作說明，建立事故管理及處置機(jī)制及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，建立服務(wù)水平管理相關(guān)的制度和流程，建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，制定容量規(guī)劃應(yīng)及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級(jí)，制定有效的變更管理流程以確保生產(chǎn)環(huán)境的完整性和可靠性等。此章主要參考了ITIL最佳實(shí)踐，針對(duì)數(shù)據(jù)中心與運(yùn)行部門，提出信息科技風(fēng)險(xiǎn)管理的事中控制（第二道防線）的重要組成部分。

　　第七章 業(yè)務(wù)連續(xù)性管理，明確要求商業(yè)銀行根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；定期對(duì)規(guī)劃進(jìn)行更新和演練，以保證其有效性。此章主要參考了BCP最佳實(shí)踐，針對(duì)業(yè)務(wù)運(yùn)營部門，提出信息科技風(fēng)險(xiǎn)管理的事中控制（第二道防線）的重要組成部分。

　　第八章 外包管理，明確商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行，針對(duì)外包方選擇、外包談判、外包協(xié)議，外包執(zhí)行中的信息安全等方面提出了明確要求，此章是針對(duì)商業(yè)銀行各部門的外包合作，提出信息科技風(fēng)險(xiǎn)管理的事中控制（第二道防線）的重要組成部分。

　　第九章 內(nèi)部審計(jì)，明確商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對(duì)相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測(cè)。至少應(yīng)每三年進(jìn)行一次全面審計(jì)。在進(jìn)行大規(guī)模系統(tǒng)開發(fā)時(shí)，要求信息科技風(fēng)險(xiǎn)管理部門和內(nèi)部審計(jì)部門參與，進(jìn)行專項(xiàng)審計(jì)等。此章主要針對(duì)內(nèi)部審計(jì)部門職責(zé)，提出信息科技風(fēng)險(xiǎn)管理的事后控制（第三道防線）的重要組成部分。

　　第十章 外部審計(jì)，明確商業(yè)銀行在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息科技外部審計(jì)。此章主要從外部審計(jì)角度，提出信息科技風(fēng)險(xiǎn)管理的事后控制（第三道防線）的重要組成部分。

　　通過指引解析，我們可以看出，指引的編寫借鑒了Cobit、ISO27000、ITIL、CMM、BCP等國內(nèi)外的最佳實(shí)踐，為商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理指明了方向。同時(shí)，本指引從商業(yè)銀行信息科技相關(guān)的每一個(gè)主要部門的角度出發(fā)，分別提出具體的監(jiān)管要求，從而使得本指引具備非常強(qiáng)的可操作性。

　　建立適合商業(yè)銀行的IT風(fēng)險(xiǎn)管理框架

　　谷安天下依據(jù)IT風(fēng)險(xiǎn)管理原則與IT風(fēng)險(xiǎn)管理生命周期方法論，綜合通過差距風(fēng)險(xiǎn)獲得的具體需求，設(shè)計(jì)、規(guī)劃IT風(fēng)險(xiǎn)管理的目標(biāo)框架，指導(dǎo)IT風(fēng)險(xiǎn)管理機(jī)制與體制建設(shè)。

　　組織體系建設(shè)

　　建立IT風(fēng)險(xiǎn)管理組織，采用條線與層級(jí)相結(jié)合的矩陣式管理模式;建立常設(shè)IT風(fēng)險(xiǎn)管理的專業(yè)團(tuán)隊(duì)，采用虛擬團(tuán)隊(duì)的方式向全行提供IT風(fēng)險(xiǎn)管理專業(yè)服務(wù);并設(shè)立必要的實(shí)體化專業(yè)支撐中心。

　　管理流程制定

　　融合IT風(fēng)險(xiǎn)管理生命周期與主要IT流程，針對(duì)IT操作風(fēng)險(xiǎn)與信息安全風(fēng)險(xiǎn)，建立總體與具體兩個(gè)層面的風(fēng)險(xiǎn)管理流程，明確各層面IT風(fēng)險(xiǎn)評(píng)估流程的觸發(fā)機(jī)制，將風(fēng)險(xiǎn)與安全管理工作制度化、日?；_保其有效執(zhí)行。

　　控制體系建立

　　根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、IT風(fēng)險(xiǎn)管理原則及控制策略設(shè)計(jì)控制措施，通過完善的IT風(fēng)險(xiǎn)制度體系加以明確，并通過風(fēng)險(xiǎn)監(jiān)測(cè)與再評(píng)估實(shí)現(xiàn)對(duì)IT風(fēng)險(xiǎn)控制的持續(xù)改進(jìn)。


　　技術(shù)架構(gòu)完善

　　完善信息安全規(guī)劃的基礎(chǔ)設(shè)施/技術(shù)架構(gòu)，設(shè)計(jì)IT風(fēng)險(xiǎn)管理技術(shù)架構(gòu)，并推動(dòng)安全信息管理技術(shù)平臺(tái)的建設(shè)以及推廣。

　　通過IT風(fēng)險(xiǎn)管理框架，商業(yè)銀行可以形成三道防線：

　　u 第一道防線：由策略保障體系、組織保障體系、技術(shù)保障體系構(gòu)成完備的信息科技風(fēng)險(xiǎn)管理體制與基礎(chǔ)安全控制設(shè)施，形成事前防范的第一道防線，為業(yè)務(wù)運(yùn)行安全打下良好的基礎(chǔ)。

　　u 第二道防線：由運(yùn)行保障體系構(gòu)成事中控制的第二道防線。通過周密的生產(chǎn)調(diào)度、安全運(yùn)維管理、安全監(jiān)測(cè)預(yù)警，及時(shí)排除安全隱患，確保業(yè)務(wù)系統(tǒng)持續(xù)、可靠地運(yùn)行。

　　u 第三道防線：由應(yīng)用恢復(fù)保障體系與內(nèi)外部審計(jì)構(gòu)成事后控制的第三道防線。針對(duì)各種突發(fā)災(zāi)難事件，建立災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃，進(jìn)行應(yīng)急演練，形成快速響應(yīng)、快速恢復(fù)的機(jī)制，將災(zāi)難造成的損失降到組織可以接受的程度。通過內(nèi)外部審計(jì)，保障IT風(fēng)險(xiǎn)管控體系的有效運(yùn)行。

　　利用兩種風(fēng)險(xiǎn)控制手段

　　u 事件識(shí)別--為獲得組織的第一手的風(fēng)險(xiǎn)資料，需要對(duì)IT風(fēng)險(xiǎn)事件進(jìn)行分類，建立IT風(fēng)險(xiǎn)事件的管理組織與流程，制定風(fēng)險(xiǎn)事件響應(yīng)機(jī)制。事件的收集與分析也可用于預(yù)測(cè)未來發(fā)生系統(tǒng)故障的可能性，及時(shí)采取必要的控制措施。

　　u 風(fēng)險(xiǎn)管理--風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制，風(fēng)險(xiǎn)評(píng)估是指從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估風(fēng)險(xiǎn)事件一旦發(fā)生可能造成的危害程度;風(fēng)險(xiǎn)控制是對(duì)已經(jīng)評(píng)估出來的風(fēng)險(xiǎn)要進(jìn)行風(fēng)險(xiǎn)控制措施的規(guī)劃與實(shí)施 ,以建立有效的IT風(fēng)險(xiǎn)控制及日常運(yùn)作機(jī)制，把IT風(fēng)險(xiǎn)降到組織可以接受的水平。

　　利用兩種監(jiān)督措施

　　u 風(fēng)險(xiǎn)檢查--安全檢查工作一般由風(fēng)險(xiǎn)管理部門和信息安全管理部門來負(fù)責(zé)實(shí)施，經(jīng)常性的檢查，有利于落實(shí)信息風(fēng)險(xiǎn)管理的方針與策略，及時(shí)發(fā)現(xiàn)在技術(shù)、人員及流程方面存在的風(fēng)險(xiǎn)隱患，也有利于提高員工安全意識(shí)，保證業(yè)務(wù)的持續(xù)運(yùn)行。

　　u IT審計(jì)--審核工作是審計(jì)機(jī)構(gòu)對(duì)組織的信息安全控制措施是否完備所做的鑒證過程。利用審核機(jī)制進(jìn)行獨(dú)立的體系審核是一種強(qiáng)有力的監(jiān)督機(jī)制?？梢杂山M織的內(nèi)部稽核部門階段性地組建立審核組，培訓(xùn)審核員，有效地管理在組織中開展的信息安全審核工作，也可外聘的第三方審計(jì)機(jī)構(gòu)對(duì)組織進(jìn)行外部審核。

　　與其他控制體系的結(jié)合

　　u 等級(jí)保護(hù)：公安部及銀監(jiān)會(huì)的等級(jí)保護(hù)要求;

　　u ISMS：利用ISO27001建立信息安全管理體系;

　　u ITSM：利用ISO20000建立IT服務(wù)管理體系;

　　u CMMI：利用CMMI對(duì)軟件開發(fā)過程進(jìn)行管理;

　　u BCP：利用BS25999、BCI或DRII進(jìn)行業(yè)務(wù)連續(xù)性管理;

　　建立IT風(fēng)險(xiǎn)管理與控制系統(tǒng)平臺(tái)

　　IT風(fēng)險(xiǎn)管控系列軟件目前包括如下主要模塊：

　　風(fēng)險(xiǎn)評(píng)估管理-GooRisk

　　GooRisk信息科技風(fēng)險(xiǎn)評(píng)估軟件提供了系統(tǒng)化的風(fēng)險(xiǎn)評(píng)估方法論和行業(yè)風(fēng)險(xiǎn)知識(shí)庫，包括評(píng)估范圍定義，安全現(xiàn)狀調(diào)查，資產(chǎn)威脅分析、漏洞分析、風(fēng)險(xiǎn)綜合分析、風(fēng)險(xiǎn)控制措施等主要功能，幫助客戶快速自動(dòng)化的評(píng)估自身的資產(chǎn)風(fēng)險(xiǎn)與流程風(fēng)險(xiǎn)。

　　風(fēng)險(xiǎn)控制管理-GooISMS

　　GooISMS風(fēng)險(xiǎn)管理體系建設(shè)軟件提供了IT風(fēng)險(xiǎn)管理體系規(guī)劃與管理體系建設(shè)的方法論和行業(yè)模板庫，包括體系規(guī)劃，體系設(shè)計(jì)，體系實(shí)施，體系保障等主要功能，幫助客戶快速建立安全管理體系，通過內(nèi)部審計(jì)、管理評(píng)審等管理過程，保障體系的有效運(yùn)行。

　　風(fēng)險(xiǎn)運(yùn)營管理-GooProcess

　　GooProcess信息科技風(fēng)險(xiǎn)運(yùn)營管理軟件提供了基本的信息安全日常運(yùn)作流程，通過自動(dòng)化工作流引擎，可自主定義帳號(hào)管理、權(quán)限管理、人員安全、設(shè)備安全、物理安全、安全檢查、安全事件、安全培訓(xùn)、通知公告等流程，將安全管理流程真正落地。

　　風(fēng)險(xiǎn)審計(jì)管理-GooAudit

　　GooAudit安全風(fēng)險(xiǎn)審計(jì)管理軟件提供了信息安全風(fēng)險(xiǎn)審計(jì)檢查工具與審計(jì)管理流程，包括了各種業(yè)務(wù)、系統(tǒng)、設(shè)備的安全檢查列表，符合性測(cè)試、實(shí)質(zhì)性測(cè)試工具，定期審計(jì)管理流程，以及審計(jì)底稿、審計(jì)報(bào)告的管理。

　　風(fēng)險(xiǎn)知識(shí)管理-GooAwareness

　　GooAwareness安全風(fēng)險(xiǎn)知識(shí)管理軟件為企業(yè)提供了信息安全相關(guān)知識(shí)的管理與共享平臺(tái)，包括安全通告、內(nèi)部知識(shí)庫、外部資料庫、標(biāo)準(zhǔn)與法規(guī)、案例警示、常用模板、知識(shí)地圖、個(gè)人知識(shí)庫等基本功能，方便安全知識(shí)的獲取與管理，全面提高員工信息安全意識(shí)。

本頁關(guān)鍵詞：提升信息科技風(fēng)險(xiǎn)管理能力