时代新威-带你了解企业信息科技安全的三道防线

近年来，移动互联、大数据处理、云计算、人工智能等一系列前沿技术与企业的业务创新深度融合，极大拓展地拓展了企业的业务空间和服务手段，但也使得IT风险越来越多，类型更加多样化、复杂化，越发难以管控，其可能造成的损失和影响也更加巨大。

以银行业为例，新的技术为中小商业银行的经营发展提供了强大的动力，但也给IT风险防控带来巨大挑战：首先，IT基础架构日趋复杂，系统和数据持续增加，给核心系统的稳定运行带来严峻挑战；其次，网络攻击、电信欺诈持续升级。盗取客户资金和信息等网络犯罪日益猖獗，银行面临的各类网络安全威胁不断升级，形势更为复杂。再次，第三方接口不断接入，防范外部风险带来一定挑战。最后，数据的集中导致风险的集中，防范灾难性事件压力巨大。

为应对这些挑战，国内很多企业，尤其是金融机构，在信息科技风险管理方面提出了“三道防线”的概念。信息科技风险管理“三道防线”是指依据职责分离原则，在组织内部构造出三支对风险管理承担不同职责的团队，相互之间协调配合，分工协作，并通过独立、有效的监控，提高组织的风险管理有效性。

“一道防线”是指组织业务及操作层面的网络安全管理，由组织的一线业务部门负责。职责是识别和管理网络安全固有风险，并对风险实施有效的控制措施，是整个网络安全保障工作的基础。“二道防线”是指网络安全风险的专职管理，由组织的风险管理部门和IT部门负责。职责是建立网络安全风险管理框架，实施独立的风险评估、计量、监测和报告，确保网络安全风险管理政策及措施有效执行，将风险控制在可接受水平。”三道防线“是指对网络安全独立的监督评价，即审计，由组织的审计监督部门负责。职责是对网络安全风险管理的相关控制、流程和系统进行独立审阅和检查，促进一、二道防线积极履职，进一步揭示网络安全风险，为一、二道防线提供改进建议。

北京时代新威信息技术有限公司作为国内最早从事网络安全咨询和信息系统审计鉴证的专业服务供应商，为包括银行等金融机构在内的各类企业提供信息科技治理的整体解决方案，从信息科技管理、信息科技风险管理以及信息科技风险审计“三道防线”的角度分别提供了专门的产品与服务。

针对第一道防线提供：信息科技管理解决方案

信息科技部门处于信息科技风险管理的“第一道防线”，为履行“第一道防线”的信息科技管理职责，信息科技部门除承担信息系统的研发、测试、运维和管理以及基础设施的建设和运维工作之外，还应有效履行相应的信息科技检查及安全管理职能。一是加强IT制度体系建设，针对信息科技治理、系统运行管理、信息安全管理等重要领域，制定并不断完善管理制度体系，通过构建科学、完整的制度体系，促进信息科技管理及操作的规范化，减少各类IT风险事件的发生。二是做好信息安全防护。通过部署入侵防护系统、防病毒系统、信息防泄漏系统等安全产品并建立安全监测团队，定期进行漏洞扫描及渗透测试，全面保障网络安全。三是开展信息科技检查，通过有计划、分层次的安全监测和检查，准确识别并及时处置各种科技风险隐患。

针对第二道防线提供：信息科技风险管理解决方案

以银行为例，银行的合规风险部门处于信息科技风险管理的“第二道防线”，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。

针对第三道防线提供：信息科技风险审计解决方案

依旧以银行为例，银行内部审计部门设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。

内部审计部门应依据董事会要求以及监管的相关要求，针对全行信息科技治理、系统开发测试、信息安全、业务连续性、外包管理等重要领域，实施现场或非现场审计，揭示存在的风险尤其是系统性重大风险，提出针对性的改进建议。内部审计部门应利用相关工具促进整体审计效率，对信息科技风险一、二道防线的工作情况进行及时有效的检查和再评价，充分提升信息科技风险审计体系的整体效能。