5.18号，风和日丽，小编来到海淀区丽亭华苑酒店，参加ISACA2016年的“启程中国”大会。

据ISACA全球CEO陆斌(Matt Loeb)介绍，此次ISACA高层的中国之行目的有三，一是与中国政府相关部门、行业以及合作伙伴共同致力于信息科技水平的提升，二是构建专业社区，支持中国专业技术人员的持续教育，三是支持高教事业，培养下一代专业人员。

陆斌

关于信息安全审计，陆斌表示，由于技术的变革，信息系统审计的方式、频率都会改变，IT审计与风险评估将开展的更加频繁，专业的IT审计人员和相关资源也会变得更加短缺。而对于企业业务来讲，信息技术审计工作也将越来越重要。人们将从一个更加积极的角度看待风险本身。

越来越多的企业已经意识到，安全威胁已经不仅仅是技术层面的问题，而是企业本身的声誉以及合作伙伴的信心问题。

同时，对于未来的趋势，陆斌认为，网络安全和IT审计的联系将越来越紧密。ISACA曾做过一次调查，调查显示超过60%的IT审计专业人员认为网络安全也是他们要做的工作之一，所有从事IT审计的专业人士要投入时间和精力了解网络安全问题；而从事网络安全的人，也会回过头来学习IT审计，因为这对技术管控很重要。这也正说明处在应对网络安全挑战初期的我们，要求熟知安全和审计领域的两部分知识。

除此以外，ISACA的首席市场营销官 Tim Mason 也在大会开始的致辞中表示，ISACA成立之初主要关注“信息技术审计”和“风险管理”领域，逐步开始关注“信息安全管理”和“IT治理”，并于2015年推出了顶级网络空间安全实战(Cyber Security Nexus，CSX)，并重申ISACA也在不断与时俱进，“帮助你实现技术带来的积极潜力”的目标与“树立信心，技术带来创新”的承诺。

Tim Mason

之后， ISACA宣布与谷安天下达成战略合作，在中国授权唯一一家“黄金合作伙伴”，共同推广ISACA的知识体系，并在现场举办了签约仪式，成为全场的焦点。

左起：ISACA全球CEO 陆斌 谷安天下总经理 李华

谷安天下副总&CTO陈伟在会后向小编表示，谷安天下在积极参与国内信息安全与IT管控实践的同时，也在关注国际上IT风险控制理论与方法引入。本次与ISACA的战略合作，一方面是为国内风起云涌的“互联网+”实践引入国际上先进的IT风险管控的理念与方法，以指导国内企业信息化的健康发展，另一方面通过加强与国际合作，对中国式的IT风险管控经验进行总结与提炼，使未来国际IT管控标准与最佳实践“发出来自中国的声音”。

会上，陈伟老师还带来了一场题为《“互联网+”环境下的IT风险管控》的分享。

陈伟

陈老师表示，随着“互联网+”时代的到来，信息技术不仅已是与企业战略、组织架构、业务流程、绩效评价同等重要的企业五大支柱之一，而且还逐步成为当前企业创新的重要动力源泉， 如何有效增强IT风险控制能力和支持业务创新的能力已经成为企业管理的重要内容。而当前国内企业信息化已经由大规模的基础设施与应用系统的建设期，逐步进入建设与管控并重的过渡时期。这个时期信息化的重点要逐步过渡到在确保IT基础设施与IT服务的安全运行的基础上，整合和开发利用信息资源，对客户需求做出快速反应，提高应用水平和服务质量，支持产品创新与服务创新，使组织的商业价值最大化的方面来。

然而，由于国内企业在转型期的信息安全与IT管控能力离实际要求还有较大的距离，企业还普通存在着信息技术治理结构不健全、IT支持业务发展与创新的能力不足；核心技术受制于人，自主掌控能力较弱；信息系统容灾能力不强，业务连续性管理机制不完善；抵御重大网络攻击能力低下，安全意识与安全技能急待提高等问题。如果这些问题不能得到妥善的解决，必将成为制约企业发展的瓶颈。

此次，“启程中国”还有一大亮点，就是ISACA向中国建设银行颁发了“主席特别贡献奖”，以表彰其在信息安全和IT风险管控实践中取得的突出成就。

左起：ISACA全球CEO 陆斌 中国建设银行总行信息技术部总经理 金磐石

金总在之后的分享中，为在场嘉宾详实系统地介绍了建行在“商业银行的信息安全管理体系构建”方面的研究成果与实践。主要亮点内容小编会在文尾附上。

国信证券信息技术部的总经理刘汉西，也谈了国信证券对IT风险管控的认识和国信证券自己在这方面的实践情况。

刘汉西

刘总表示，对于证券行业而言，“操作风险”是常见风险事件。包括流程的不成熟不规范、交叉核对和事后审计问题，以及业务与技术、开发与运行的隔离墙问题。同时，在业务连续性方面，行情的波动性和交易的实效性决定了券商业务连续性的命脉。而程序化和高频交易风险则极易触发市场波动并可能对市场造成巨大影响。

在国信证券自己的实践方面，包括合规管控、多层次的组织体系管控（公司总裁担任IT规划委员会主任，IT骨干和主要业务负责人为委员会成员）、规范化标准化建设（10年行业首家CMMI3级认证，12年起多次获得ISO20000认证审核，重视隔离墙建设等）、完善IT基础和架构管控（建设完成高等级两地三中心数据中心，核心系统热备，灾备系统待命，并注重容量管理和调整，以应对天量行情交易请求）、信息安全防御体系、实时IT系统风险监控（基于业务和系统风险点监控）和定期风险评估、应急体系建设、内外部IT审计以及由IT风险管控向以人为中心的不断转变。

文章的最后，附上小编重点推荐的中国建设银行信息安全管理体系构建的主要亮点内容：

金融业务与科技的高度融合，使得业务对系统依赖度也越来越大、系统的复杂性也越来越高。新技术应用风险也需要关注，增加了防御难度的同时，也导致风险向相关机构传导。

在信息安全战略层面，建行有一套自己的信息安全管理体系架构，包括：组织管理体系、安全制度体系、安全技术体系、审计监督体系和持续优化体系。

在全行信息安全管理组织体系的构建上，建行分为“三个层面”和“三道防线”。

三个层面：

董事会：负责制定全行IT风险管理战略，定期听取全行IT风险管理情况报告，监事会监督；
高管层：负责明确内部信息安全管理职责，负责重大信息安全管理决策；
总行各部门和各级分行：信息安全管理的执行层，具体落实全行信息安全管理战略和决策。

对应的三道防线分别是：

一道防线：操作实施。包括重要信息系统的业务应用部门、信息技术管理部下辖各中心和各级分行信息技术管理部门；
二道防线：风险管理。承担信息安全管理、业务连续性管理的部门，以及负责IT人力资源和财务管理、IT合规管理、信息标准管理、IT供应商管理、机房环境管理、安全保卫等职责的中后台部门。同时，“强化二道防线专业化能力”，也是建行近期的重点工作之一；
三道防线：审计监督。建立科技风险双线汇报机制，即信息技术管理部总经理分别向分管信息技术行长、首席风险官双线汇报信息安全管理情况。

在安全制度体系的建设方面，主要是“以风险为导向的制度建设机制”和“专业化的制度传导机制”（包括面向全体员工、技术人员、安全人员和管理人员的基础安全教育，编制专题培训教材等）。在制度整体框架上，包括知风险、控风险、开发建设、运行维护、科技综合管理（细分合作管理、合规管理以及人财物管理）这五大科技管理领域。

比较有特色的是，在安全技术体系层面，建行提出了落实等级保护制度要求，构建全面安全技术保护模型，并提出了以“安全即服务”为理念，通过组件化搭建“新一代安全架构”，实现以业务为导向的安全管控模式。

建行新一代安全架构模型，践行“以业务发展为导向”的安全管控原则，利用通用的安全技术及安全产品和完备的安全功能模块，实现灵活部署、平衡安全和客户体验的同时，业务视角和交易流程出发，实现覆盖全业务流程的关联性安全策略。

建行“新一代”的安全组件已经支持了数千万用户的海量交易，并大大提升了风险监控能力，2015年主动拦截风险交易数量数万笔，累计金额达数亿元。

在审计监督体系和持续优化体系方面，加强审计团队专业化、审计体系规范化、审计覆盖全面化建设，持续完善监督管理体系的同时，搭建国内外监管数据库、业界标准库、行内数据库、信息科技风险数据库、审计问题整改数据库，跟踪监管要求和业界标准，有效识别信息科技风险的同时，系统化组织整改管理，并定期开展制度重检。

最后，在“探索与展望”方面，在持续完善信息安全管理体系方面，金总表示，会通过加强（跨渠道）可信体系建设、完善社会协作机制、加强新技术应用、健全第三方风险防控体系（利用业务PCI等数据安全标准建立第三方准入机制）等措施，进一步强化信息安全管理。