ISO27001 浅谈ISO27001和ISO20000管理体系在银行省级一级分行的落地与成效
中国银行江苏省分行倪燕农
2017年12月22日,第十二届中国IDCC产业年度大典·金融科技高峰论坛暨《管理体系在银行业数据中心的创新与实践》首发仪式在国家会议中心举行。
2017年被誉为金融科技元年,区块链、人工智能、大数据、云计算对银行业的影响正在不断深入,这其中面临更严峻的网络安全、监管、容灾等问题。针对这一现状,中国银行总行、IBM、中国信息通信研究院、平安科技、中国银行数据中心(上海)、腾讯、中国信息安全认证中心、中国电信、中国银行江苏省分行等数位企业高层就金融科技当下趋势及问题进行演讲。
中国银行江苏省分行科技部高级经理倪燕农做题为《浅谈管理体系在省级一级分行的落地与成效》的演讲。
倪燕农:各位来宾大家好!首先我要感谢中国银行数据中心的杨总给我这次机会,让我代表江苏省分行在这里给大家做ISO推广项目的工作汇报。我今天汇报的题目是“浅谈管理体系在省级一级分行的创新和成效”。
下面我做一个项目的背景介绍,中国银行总行2012年和2013年分别通过了ISO20000和ISO27001的国际标准认证,在2016年上半年启动了ISO20000和ISO27001分行推广项目,到当年的年底,江苏分行、广东分行等6家代表分行通过了第三方认证机构的认证审核,自此中国银行成为在金融行业领域第一家符合ISO20000和ISO27001国际标准的管理体系,由总行推广到境内分行的大型国有银行。
这个管理体系,主要做些什么呢?我们知道,作为一个分行的信息科技部,它的职能基本有三块,第一个是开发,第二运维,第三是业务支持。管理体系实际上就是在运维这个领域创建ISO20000,在开发、运维,支持三个领域创建ISO27001,ISO是世界上最大的非政府性标准化专门机构,ISO20000是面向机构的IT服务管理体系国际标准,ISO27001是世界上应用最广泛与典型的信息安全管理体系国际标准。这是中国银行ISO建设的时间线,刚才已经讲了。下面由我来介绍一下在这个项目当中创新的情况,
第一个首先是理念创新,这个建立是必然趋势,是客观要求,如何实现一体化呢?实际上有很多方法,常见的一体化从管理制度、管理流程甚至是组织架构上来做一体化的事。总行确实比较有创新思维,它是站在国际标准这个层面,一下子站在国际标准层面,让总行和34家一级分行都通过ISO20000和ISO27001这个举措这个方式实现整个一体化这个流程。整个项目是充满着创新理念,整个项目也可以讲就是个创新项目。下面介绍一下制度创新,一般来讲要通过ISO认证,主要是通过制度,如果制度基本上符合以后,基本上就差不多了。
通常,有不同的做法,总分行分别创建各自的制度模式,第二种将30几家一级分行分为大中小三类各自建立制度。这两种方法比较快捷,也能够通过ISO认证,但是总行最终采取了创建一体化大制度格局,这种大制度格局采取了总分行一体的制度形式。总分行两个制度在形式和内容上基本上保持一致,他们95%以上制度内容都是一样的。
这里面最大的特点各一级分行可以根据自身情况进行制度修订,这一点非常灵活。由于采用这种一体化大制度的格局,使得制度有很好的适用性和可执行性。后来我们通过ISO认证,反过来感觉到这个制度创新实际上是非常非常重要的。
第三个服务创新,我们IT运维管理基本上意见都是以系统环境为服务对象,以工作为中心。ISO20000是以客户为中心来设计IT运维管理的,他们要求我们明确我们的客户是谁?客户的要求是什么,怎么样满足客户的要求,我们所有做的工作,以前都是我们眼前的系统环境,现在我们所有的工作都要找到他的客户是谁,我是为谁服务的,这样子就能够把客户意识,以客户为中心的服务意识都建立起来了。这个是服务创新,是我们感知的。
第四个方面实施创新,这么大的项目按照一般来讲领导动员、项目分工、工作分解、进度跟进,最后总结完成了。但是对于这么大的一个项目来讲有很多事情去做。其中不乏有创新的东西,从一开始总行到一级分行进行现场调研,精心准备,其中一点给我们感受比较深的是总行设计的一个调查问卷,在这个调查问卷当中总行设计了让34家一级分行将他们的运维管理和信息安全分课题进行打分,打分过以后,并把打的分数反馈给我们的一级分行,让一级分行直观的从量化角度上看出来我们哪个课题做的好,哪个课题做的不好,这样有利于我们今后ISO的推广。第二个实施方面值得一说的是教、学、研、制一体化, 在推广ISO的时候尤其在初期,我们对什么是ISO并不了解,对ISO到底能做什么都比较茫然。这个时候,我们当时面对项目推广实施最大的问题。总行在这方面是创新思维,他们把一级分行相关的人员集中到总行来,分课题,由外部公司,总行和一级分行同事组成课题小组,边学习、边理解、边研究,边掌握,因为我们当时对这些一无所知。最值得一体的是,制定课题的管理细则。通过制定管理细则,我们晓得ISO是可以这样用。这一方面我认为是实施创新的举措。这批人,从总行回到分行以后,就成了ISO推广的一个骨干。
第三个,多种渠道并举。实际上推广过程中需要大量的沟通。很多一些ISO的名词解释,或者同样一个词怎么理解,就非常费劲,总行可以这方面做了各种各样的形式去沟通。比如说他成立项目组,成立课题组,召开项目会议,定期召开视频分会,搞微信群,H5等等,正是由于这种多渠道并举,只要有渠道就可以利用这个渠道充分进行沟通,使得总行和分行之间,分行和分行之间能够了解整个推广的进展,使得整个项目推广有序往前进。
最后一个,我要讲的是专业支持和现场辅导,ISO是专业性很强的业务,如果说没有外部的专业公司支持,我相信这个事也是无法完成的。
总行找到外部公司,可以讲是做的非常非常之好,从头开始调研的全程跟踪,他们就了解整个一级分行的现状到是存在什么问题。
在中间他们举办各种各样的培训班,在课题组做支持。尤其他们在试运行当中的时候,到现场进行辅导,告诉你文档怎么做,流程应该怎么编。还有在认证过程中,他们也亲临现场,帮助认证的分行把一些认证工作做的更细,基本上都通过了认证。
第五个组织创新,一个项目在做的时候通常的做法就是成立一个领导小组,下面成立一个工作组,工作组的方式来组织他的组织架构。在这个项目当中,总行是根据他最佳实践和ISO的要求,要求34家分行按照ISO的要求成立分行体系控制组,他们提出这个要求是个基本要求,但是允许分行根据自身的情况对这个组织架构进行增添和改进。从江苏分行来讲,江苏分行在这个体系控制组当中将体系组织架构和部门组织架构结合起来,每个部门都设立牵头团队和相关团队各负其职。ISO27001将风险控制点进行分类,每个分类当做一个流程组织架构来处理,除了我们正常的流程小组之外,我们还设立一个常务小组,处理ISO的日常事务,这样子能把管理者从日常事务当中解脱出来,做更重要的事。
第三方面,讲一下ISO分行推广项目有哪些成效。第一个是体系运转一致的成效,在我们认证之前,总行数据中心和下面的34家一级分行他的管理体系是完全不一样的,因为总行率先已经有了ISO管理体系,而分行是另一家ISO管理体系,而且每家分行管理体系完全不一样。建立总分行一体化IT运维管理体系之后,总行数据中心和34家一级分行可以在最快的速度共享最佳工作标准,最佳工作工具,最佳工作流程。而且他们在技术上,意识上和管理上都可以同步,如果说没有这个体系,可能我们总分行在意识上面或者在管理上面就不可能达到同步,这个是目前来看,体系运转一致的成效是非常明显的。
第二个是制度完备的成效,在认证之前,分行科技部,它有自己一套制度,它根据它的部门,根据它的条件管理要求,制定了很多的制度。这些制度由于它不是体系的,它必有缺失,有不完善的地方。而通过ISO认证以后,我们的制度才能体系化,以江苏分行为例,江苏分行建立了62个管理办法和管理细则等制度性文件,建立了18个领域的工作流程,梳理了上百个信息安全的风险控制点和解决方案,还明确了350多个产出物,完备的制度设计方案是我们合规的技术,因为有了制度,我们可以把重点放在执行上面,这个是很大的一个成效。
下面讲一下在意识转变的成效,长期以来一直对管理者、员工,通过宣传的方式,要增加你们的合规意识、管理意识、安全意识都是通过宣传方式。通过ISO分行项目推广之后我们所有的员工,就是按流程去工作,自然就有流程意识,因为他是流程的一个结点,他必然把这个流程做好,另外流程规定里不能做流程之外的事,这样合规意识、管理意识、标准化意识又建立起来了,在意识建立起来以后,ISO27001又要求在流程上面要关注你的风险点,所以说,员工安全意识也都加强起来了。这几方面的意识,由于推广ISO20000和ISO27001这些意识由于工作自觉的建立起来,而不是像以前要不断地宣传宣传再宣传都没有效果,而不如现在来讲,你不用宣传,他自己慢慢在这方面的意识就加强了。
第四个是面向外部检查的成效,随着科技不断发展,科技风险越来越被关注。所以说,内外部检查,对科技的检查越来越多。以前,我们面对检查,还是比较被动的,因为我们不知道他们会检查出什么问题,检查出问题还需要我们整改。所以我们非常被动。现在通过ISO以后我们在制度层面、操作层面、文档层面,这三个层面都能够满足标准化的要求。所以说现在在内外部来检查的时候,我们就可以讲胸有成竹。因为很多内外部检查他的依据也是ISO20000或者ISO27001,我们知道他们怎么检查,他们检查的是什么?
第二个由于我们有完备的档案,所以我们能够启动的文档比以前更加完备,更加全面,我们以前很少有文档,如果没有文档我们恐怕临时做一些文档,现在不需要了,现在文档比大家想要的还多。另外在检查的时候,访谈方面精确到人,以前监管者或者检查者到你这个部门来,了解某个方面的事,他就要访谈你。访谈人一般是谁去?一般就是团队主管去。现在由于ISO20000和ISO27001,在整个运维和信息安全这个领域每个点都落实到人,所以他想要了解什么情况,他就可以精确到人,直接让他去了解了。所以说这方面我们觉得非常足够。
第五个是信息安全的成效,信息安全是我们科技部非常重视的一个领域,所以说我们会成立一个信息安全团队,几乎每个分都会成立信息安全。这个安全团队负责整个信息安全的制度、检查、整改、跟踪等等。所以,整个关系信息安全的就是安全团队。上了ISO之后我们对上百个信息安全控制点进行全面梳理,并且找出相应的制度,配备相关人员。认证过以后我们的制度更加完善,风险控制点更加全面,管理内容更加加强,安全记录格式和内容更加规范。我们还有一个,我们有一个ISO20000里边有一个内审和管审,这两个环节增加了信息安全检查的内容和跟踪整改的内容。所以说,现在是全员信息安全意识得到普遍的提高,以前信息安全团队的意识最高。现在几乎是所有团队的人员安全意识也在提高。
下面讲一下外部认可的成效,我们通过了ISO以后我们有一个证书,以前都是看到总行有证书,这次我们终于自己也有了证书,有了证书表明我们在IT运维管理这个领域和信息安全领域我们是达到了国际标准。内外部监管到我们检查的时候,对我们另眼相看,就说我们管理水平还是不错的,有利于提升我们一级分行的外部形象,这个证书非常有利于客户营销和商务谈判,有些客户非常关注你这个科技部到底通没通过,有没有这个证书?
下面讲一下管理工具的成效,ISO本身是一个体系,对管理体系工具并没有特殊的要求,只要你符合它管理的要求、流程、制度,就能通过这个标准,没有对管理工具做出要求。但是ISO对它的管理的内容要求非常严,比如像巡检你要做到不能漏掉。如果巡检是流动巡检可能会漏掉,你必须用工具来完成ISO管理要求。所以说,江苏分行就非常重视这个方面,以后我们正好有一个流程宝的开发工具,我们用流程宝开发工具把ISO所有的流程管理起来,就像问题管理或者时间关系等等,需求管理都建立起来,流程期间也把它建立起关系,他们可以相互触发。
讲一下队伍建设的成效,长期以来信息科技的队伍的团队,就是团队建设,它是这么一直队伍,有了ISO以后是以体系形式的构架,我有了体系了,这个体系并不是虚的,是实实在在的,它上面有总行的领导,在信息科技部有他的管理层,这个管理层就是现在团队组织架构的管理层,上接总行指导,下达流程工作要求,下面员工按照流程或风险点控制的要求开展工作的。因为它在要求下工作,所以说它就很可能形成岗位专家,他不会便去工作,而且非常注重工作系统。可以讲,上了ISO以后,我们又创建了一支队伍,这个队伍的人数也不少,整个科技部至少80%都是ISO的队伍。原来ISO的队伍恐怕就是总行数据中心,现在34家分行都通过了ISO认证以后,这个队伍,这个人真是不少,这个队伍建设是非常明显的。
最后,给大家介绍PDCA,前面各位大佬也谈了PDCA,我们感到深有感触,一开始外部公司跟我们介绍PDCA是一个方法论,不但可以用在ISO,而且可以用在方方面面。我们当时觉得讲的很好,到底有什么用?我们并不是很清楚,实际上PDCA就是让你不断的去发现问题改进问题,再去制定新的策略改进问题,发现问题,不断改进,让你的制度永远存在最新的状态,最适合当地情况的一个状态。今年2017年我们第二次进行了内审和管审。
第一次,我们还是按照外部公司的要求,你们要开这个会,你们要有这个结果,并不了解。这次我们是真正自己去做,我们的内审,自己的内审员,对整个科技部进行了内审发现了18个问题。6个比较重要的问题提交给管审,管审我上次开了会以后,管理者,我们总经理、副总提出问题,真是非常认真,一个一个加以落实解决。由于内审和管审出现的问题,都要提给持续改进的流程,所以说这些问题一定得到解决,这些问题无论是一般的问题还是制度上的问题,它都可能通过这个PDCA机制得到改进。以前可能出现了问题,我们当时记得,但是过了以后没人跟踪,就忘了。这次一定会去解决。所以我们总经理对这个方面,如果到会上讲一下,说一下这个PDCA是太重要了,太有效了。
我今天想讲的就这么多内容。谢谢大家!
ISO27001 ISO27001认证 ISO27000 ISO27000认证 ISO27001国际标准 ISO27001证书
ISO27001国际信息安全管理体系认证:
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001认证,就相当于通过ISO9000质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。
ISO20000 ISO20000认证 信息技术服务管理体系 信息技术服务管理体系认证