银行信息安全管理体系

基于上文所述的银行信息安全组织的构建原则，银行信息安全组织的构建从总体上可采取以下的架构，即安全决策层、安全管理层、安全执行层、安全监管层（包括安全合规层、安全审计层）（图5-1）。

图5-1 银行信息安全组织架构概览图

1.安全决策层

不同银行在管理组织架构、治理结构、工作程序上存在一定的差异性，但从信息安全工作开展的原则上出发，为了便于信息安全工作在全行层面的有效推动开展并切实落地，建议设置独立的信息安全决策机构，如信息安全管理委员会，并酌情在其架构下设置信息安全工作小组。信息安全的决策层应定位为全行的信息安全决策机构，在决策层的组成上应纳入具备足够授权的高层管理者，建议的组成人员包括银行经营决策层分管科技的行领导、信息科技部门总经理、法律合规部门总经理、内审部门总经理，并结合银行管理组织架构、治理结构特点酌情纳入业务部门分管领导。

银行信息安全管理委员会及其下设工作小组建议的工作职责包括：

1）负责审议安全合规评估报告。

2）负责审议信息安全风险评估报告、信息安全风险管理工作报告。

3）审核重大信息安全风险的处置方案。

4）审核信息安全管理部门提交的与信息安全相关的策略、标准、总体规划、培训计划。

5）决策信息安全相关的重大事宜。

6）协调银行内信息安全组织内部，以及和其他部门之间的工作。

7）审核重大安全事件处理结果报告，并审批改进策略。

8）审议信息安全内审制度和年度审计计划、年度信息安全内部审计报告；督促已发现的安全审计问题的整改落实。

9）其他信息安全决策性工作。(www.xing528.com)

2.安全管理层

从提升银行信息安全管理效率的目的出发，通常在银行内规划设立专职的信息安全管理团队。在信息安全管理上，该安全团队应接受信息安全管理委员会的领导，并在其管理下开展信息安全相关管理工作。

1）安全管理层需要总体协调、推动信息安全各项管理工作。

2）组织搜集、整理并提供支持信息安全决策的相关数据、信息和资料。

3）审议银行内部信息安全管理的年度工作方案和工作计划。

4）每季度定期组织会议，制定全行信息安全制度及信息安全体系建设方案，监督、指导、评估、评价重大信息安全监管标准的遵从、落实、执行情况。

5）评估认定重大信息系统及信息安全事件造成的隐患、风险、损失和责任。

6）定期向信息科技部门报告信息安全战略规划的执行、信息安全整体状况及其他需要报告事项（图5-2）。

图5-2 安全管理层

3.安全执行层

为了保障信息安全工作能够在全行范围内高效地开展，应明确识别与信息安全相关的岗位，确保其日常信息安全工作得以被指导、监控、检查、报告。从岗位分布看，可归类为信息科技条线信息安全执行岗位（如科技部门系统管理员等）与非科技条线信息安全执行岗位（如业务部门内设信息安全员岗位）。

4.安全监督层

为了充分地保证信息安全工作监管的独立性，信息安全的监管类岗位通常在银行的内审部门进行设置，专职开展信息安全的日常审计工作；安全监督层需要监督全行运行系统操作规程、管理办法、实施细则、应急计划和控制技术等的实施；安全监督层还需要根据行内外信息安全形势，制订年度和专项信息安全检查计划，并且需要对信息安全检查结果进行分析、总结，形成后续的信息安全工作方向的输入。