我国银行江苏省分行倪燕农:浅谈管理体系在省级一级分行的落地与
本文摘要:我国银行江苏省分行倪燕农:浅谈管理体系在省级一级分行的落地与成效怎么完成一体化呢?实践上有很多方法,常见的一体化从管理准则、管理流程乃至是安排架构上来做一体化的事。总行确实比较有立异思维,它是站在国际规范这个层面,一会儿站在国际规范层面,让
我国银行江苏省分行倪燕农:浅谈管理体系在省级一级分行的落地与成效 怎么完成一体化呢?实践上有很多方法,常见的一体化从管理准则、管理流程乃至是安排架构上来做一体化的事。总行确实比较有立异思维,它是站在国际规范这个层面,一会儿站在国际规范层面,让总行和34家一级分行都通过ISO20000和ISO27001这个举措这个方式完成整个一体化这个流程。整个项目是充满着立异理念,整个项目也能够讲就是个立异项目。

12月22日,第十二届我国工业年度大典 金融科技高峰论坛暨《管理体系在银职业的立异与实践》首发典礼在国家会议中心举行。

2017年被誉为金融科技元年,区块链、人工智能、、对银职业的影响正在不断深化,这其间面对更严峻的网络安全、监管、容灾等问题。针对这一现状,我国银行总行、IBM、我国信息通讯研讨院、安全科技、我国银行(上海)、腾讯、我国信息安全认证中心、我国电信、我国银行江苏省分行等数位企业高层就金融科技当下趋势及问题进行演讲。

我国银行江苏省分行科技部高级司理倪燕农做题为《浅谈管理体系在省级一级分行的落地与成效》的演讲。


倪燕农:各位宾客我们好!首要我要感谢我国银行的杨总给我这次时机,让我代表江苏省分行在这里给我们做ISO推广项意图工作报告。我今天报告的题目是 浅谈管理体系在省级一级分行的立异和成效 。

下面我做一个项意图布景介绍,我国银行总行2012年和2013年分别通过了ISO20000和ISO27001的国际规范认证,在2016年上半年启动了ISO20000和ISO27001分行推广项目,到当年的年底,江苏分行、广东分行等6家代表分行通过了第三方认证安排的认证审阅,自此我国银行成为在金融职业领域第一家契合ISO20000和ISO27001国际规范的管理体系,由总行推广到境内分行的大型国有银行。

这个管理体系,主要做些什么呢?我们知道,作为一个分行的信息科技部,它的职能根本有三块,第一个是开发,第二运维,第三是事务支撑。管理体系实践上就是在运维这个领域创建ISO20000,在开发、运维,支撑三个领域创建ISO27001,ISO是世界上最大的非政府性规范化专门组织,ISO20000是面向组织的IT效劳管理体系国际规范,ISO27001是世界上应用最广泛与典型的信息安全办理体系国际规范。这是我国银行ISO建设的时间线,方才现已讲了。下面由我来介绍一下在这个项目傍边立异的状况,

第一个首要是理念立异,这个建立是必定趋势,是客观要求,怎么完成一体化呢?实践上有很多方法,常见的一体化从管理准则、管理流程乃至是安排架构上来做一体化的事。总行确实比较有立异思维,它是站在国际规范这个层面,一会儿站在国际规范层面,让总行和34家一级分行都通过ISO20000和ISO27001这个举措这个方式完成整个一体化这个流程。整个项目是充满着立异理念,整个项目也能够讲就是个立异项目。下面介绍一下准则立异,一般来讲要通过ISO认证,主要是通过准则,假如准则根本上契合今后,根本上就差不多了。

通常,有不同的做法,总分行分别创建各自的准则形式,第二种将30几家一级分行分为大中小三类各自建立准则。这两种方法比较快捷,也可以通过ISO认证,可是总行最终采纳了创建一体化大准则格局,这种大准则格局采纳了总分行一体的准则形式。总分行两个准则在形式和内容上根本上坚持一致,他们95%以上准则内容都是一样的。

这里边最大的特点各一级分行可以依据本身状况进行准则修订,这一点十分活络。因为选用这种一体化大准则的格局,使得准则有很好的适用性和可履行性。后来我们通过ISO认证,反过来感觉到这个准则立异实践上对错常十分重要的。

第三个效劳立异,我们IT运维办理根本上定见都是以体系环境为效劳对象,以工作为中心。ISO20000是以客户为中心来设计IT运维办理的,他们要求我们明确我们的客户是谁?客户的要求是什么,怎样满足客户的要求,我们所有做的工作,曾经都是我们眼前的体系环境,现在我们所有的工作都要找到他的客户是谁,我是为谁效劳的,这姿态就可以够把客户认识,以客户为中心的效劳认识都建立起来了。这个是效劳立异,是我们感知的。

第四个方面施行立异,这么大的项目依照一般来讲领导动员、项目分工、工作分解、进度跟进,终究总结完成了。可是关于这么大的一个项目来讲有很多事情去做。其间不乏有立异的东西,从一开始总行到一级分行进行现场调研,精心准备,其间一点给我们感受比较深的是总行设计的一个调查询卷,在这个调查询卷傍边总行设计了让34家一级分行将他们的运维办理和信息安全分课题进行打分,打分过今后,并把打的分数反馈给我们的一级分行,让一级分行直观的从量化角度上看出来我们哪一个课题做的好,哪一个课题做的欠好,这样有利于我们今后ISO的推广。第二个施行方面值得一说的是教、学、研、制一体化,  在推广ISO的时分尤其在初期,我们对什么是ISO其实不了解,对ISO究竟能做什么都比较茫然。这个时分,我们当时面对项目推广施行最大的问题。总行在这方面是立异思维,他们把一级分行相关的人员集中到总行来,分课题,由外部公司,总行和一级分行同事组成课题小组,边学习、边了解、边研讨,边把握,因为我们当时对这些一窍不通。最值得一体的是,制定课题的管理细则。通过制定管理细则,我们晓得ISO是可以这样用。这一方面我认为是施行立异的举措。这批人,从总行回到分行今后,就成了ISO推广的一个主干。

第三个,多种途径并举。实践上推广过程当中需要很多的交流。很多一些ISO的名词解释,或者相同一个词怎么了解,就十分吃力,总行可以这方面做了各式各样的形式去交流。比如说他建立项目组,建立课题组,召开项目会议,守时召开视频分会,搞微信群,H5等等,正是因为这种多途径并举,只需有途径就能够使用这个途径充沛进行交流,使得总行和分行之间,分行和分行之间可以了解整个推广的进展,使得整个项目推广有序往行进。

终究一个,我要讲的是专业支撑和现场辅导,ISO是专业性很强的事务,假如说没有外部的专业公司支撑,我相信这个事也是无法完成的。

总行找到外部公司,可以讲是做的十分十分之好,从头开始调研的全程跟踪,他们就了解整个一级分行的现状到是存在什么问题。

在中心他们举行各式各样的培训班,在课题组做支撑。尤其他们在试运转傍边的时分,到现场进行辅导,通知你文档怎么做,流程应该怎么编。还有在认证过程当中,他们也亲临现场,协助认证的分行把一些认证工作做的更细,根本上都通过了认证。

第五个组织立异,一个项目在做的时分通常的做法就是建立一个领导小组,下面建立一个工作组,工作组的方式来组织他的安排架构。在这个项目傍边,总行是依据他最佳实践和ISO的要求,要求34家分行依照ISO的要求建立分行体系控制组,他们提出这个要求是个根本要求,可是允许分行依据本身的状况对这个安排架构进行增添和改善。从江苏分行来讲,江苏分行在这个别系控制组傍边将体系安排架构和部分安排架构结合起来,每一个部分都建立牵头团队和相关团队各负其职。ISO27001将危险控制点进行分类,每一个分类作为一个流程安排架构来处理,除了我们正常的流程小组之外,我们还建立一个常务小组,处理ISO的日常事务,这姿态能把管理者从日常事务傍边解脱出来,做更重要的事。

第三方面,讲一下ISO分行推广项目有哪些成效。第一个是体系运转一致的成效,在我们认证之前,总行数据中心和下面的34家一级分行他的管理体系是完全不一样的,因为总行率先现已有了ISO管理体系,而分行是另外一家ISO管理体系,并且每家分行管理体系完全不一样。建立总分行一体化IT运维办理体系之后,总行数据中心和34家一级分行可以在最快的速度同享最佳工作规范,最佳工作东西,最佳作业流程。并且他们在技能上,认识上和管理上都可以同步,假如说没有这个别系,可能我们总分行介意识上面或者在管理上面就不可能达到同步,这个是现在来看,体系运转一致的成效对错常显着的。

第二个是准则齐备的成效,在认证之前,分行科技部,它有自己一套准则,它依据它的部分,依据它的条件管理要求,制定了很多的准则。这些准则因为它不是体系的,它必有缺失,有不完善的当地。而通过ISO认证今后,我们的准则才干体系化,以江苏分行为例,江苏分行建立了62个办理办法和管理细则等准则性文件,建立了18个领域的作业流程,梳理了上百个信息安全的危险控制点宽和决方案,还明确了350多个产出物,齐备的准则规划计划是我们合规的技能,因为有了准则,我们可以把重点放在履行上面,这个是很大的一个成效。

下面讲一下介意识转变的成效,长时间以来一直对管理者、员工,通过宣传的方式,要添加你们的合规认识、管理认识、安全认识都是通过宣传方式。通过ISO分行项目推广之后我们所有的员工,就是按流程去工作,天然就有流程认识,因为他是流程的一个结点,他必定把这个流程做好,另外流程规则里不能做流程之外的事,这样合规认识、管理认识、规范化认识又建立起来了,介意识建立起来今后,ISO27001又要求在流程上面要重视你的危险点,所以说,员工安全认识也都加强起来了。这几方面的认识,因为推广ISO20000和ISO27001这些认识因为工作自觉的建立起来,而不是像曾经要不断地宣传宣传再宣传都没有用果,而不如现在来讲,你不用宣传,他自己慢慢在这方面的认识就加强了。

第四个是面向外部查看的成效,跟着科技不断开展,科技危险愈来愈被重视。所以说,表里部查看,对科技的查看愈来愈多。曾经,我们面对查看,仍是比较被动的,因为我们不知道他们会查看出什么问题,查看出问题还需要我们整改。所以我们十分被动。现在通过ISO今后我们在准则层面、操作层面、文档层面,这三个层面都可以满足规范化的要求。所以说现在在表里部来查看的时分,我们就能够讲胸中有数。因为很多表里部查看他的依据也是ISO20000或者ISO27001,我们知道他们怎么查看,他们查看的是什么?

第二个因为我们有齐备的档案,所以我们可以启动的文档比曾经更加齐备,更加全面,我们曾经很少有文档,假如没有文档我们恐怕暂时做一些文档,现在不需要了,现在文档比我们想要的还多。另外在查看的时分,访谈方面准确到人,曾经监管者或者查看者到你这个部分来,了解某个方面的事,他就要访谈你。访谈人通常为谁去?一般就是团队主管去。现在因为ISO20000和ISO27001,在整个运维和信息安全这个领域每一个点都落实到人,所以他想要了解什么状况,他就能够准确到人,直接让他去了解了。所以说这方面我们觉得十分足够。

第五个是信息安全的成效,信息安满是我们科技部十分注重的一个领域,所以说我们会建立一个信息安全团队,简直每一个分都会建立信息安全。这个安全团队负责整个信息安全的准则、查看、整改、跟踪等等。所以,整个关系信息安全的就是安全团队。上了ISO之后我们对上百个信息安全操控点进行全面梳理,并且找出相应的准则,装备相关人员。认证过今后我们的准则更加完善,危险控制点更加全面,管理内容更加加强,安全记载格局和内容更加标准。我们还有一个,我们有一个ISO20000里边有一个内审和管审,这两个环节添加了信息安全查看的内容和跟踪整改的内容。所以说,现在是全员信息安全认识得到遍及的提高,曾经信息安全团队的认识最高。现在简直是所有团队的人员安全认识也在提高。

下面讲一下外部认可的成效,我们通过了ISO今后我们有一个证书,曾经都是看到总行有证书,这次我们终于自己也有了证书,有了证书标明我们在IT运维办理这个领域和信息安全领域我们是达到了国际规范。表里部监管到我们查看的时分,对我们刮目相看,就说我们管理水平仍是不错的,有利于提高我们一级分行的外部形象,这个证书十分有利于客户营销和商务商洽,有些客户十分重视你这个科技部究竟通没通过,有无这个证书?

下面讲一下办理东西的成效,ISO本身是一个别系,对管理体系东西并没有特殊的要求,只需你契合它管理的要求、流程、准则,就可以通过这个规范,没有对办理东西做出要求。可是ISO对它的管理的内容要求十分严,比如像巡检你要做到不能漏掉。假如巡检是流动巡检可能会漏掉,你有必要用东西来完成ISO管理要求。所以说,江苏分行就十分注重这个方面,今后我们正好有一个流程宝的开发东西,我们用流程宝开发东西把ISO所有的流程办理起来,就像问题管理或者时间关系等等,需求办理都建立起来,流程期间也把它建立起关系,他们可以彼此触发。

讲一下部队建设的成效,长时间以来信息科技的部队的团队,就是团队建造,它是这么一直部队,有了ISO今后是以体系形式的构架,我有了体系了,这个别系其实不是虚的,是实真实在的,它上面有总行的领导,在信息科技部有他的管理层,这个管理层就是现在团队安排架构的管理层,上接总行辅导,下达流程工作要求,下面员工依照流程或危险点控制的要求开展工作的。因为它在要求下工作,所以说它就极可能构成岗位专家,他不会便去工作,并且十分注重工作体系。可以讲,上了ISO今后,我们又创建了一支部队,这个部队的人数也不少,整个科技部至少80%都是ISO的部队。本来ISO的部队恐怕就是总行数据中心,现在34家分行都通过了ISO认证今后,这个部队,这个人真是不少,这个部队建设对错常显着的。

终究,给我们介绍PDCA,前面各位大佬也谈了PDCA,我们感到深有感触,一开始外部公司跟我们介绍PDCA是一个方法论,不光可以用在ISO,并且可以用在各个方面。我们当时觉得讲的很好,究竟有什么用?我们其实不是很清楚,实践上PDCA就是让你不断的去发现问题改善问题,再去制定新的策略改善问题,发现问题,精益求精,让你的准则永远存在最新的状态,最合适当地状况的一个状态。本年2017年我们第二次进行了内审和管审。

第一次,我们仍是依照外部公司的要求,你们要开这个会,你们要有这个成果,其实不了解。这次我们是真正自己去做,我们的内审,自己的内审员,对整个科技部进行了内审发现了18个问题。6个比较重要的问题提交给管审,管审我前次开了会今后,管理者,我们总司理、副总提出问题,真对错常仔细,一个一个加以落实解决。因为内审和管审呈现的问题,都要提给继续改善的流程,所以说这些问题一定得到解决,这些问题无论是一般的问题仍是准则上的问题,它都可能通过这个PDCA机制得到改善。曾经可能呈现了问题,我们当时记得,可是过了今后没人跟踪,就忘了。这次一定会去解决。所以我们总司理对这个方面,假如到会上讲一下,说一下这个PDCA是太重要了,太有用了。

我今天想讲的就这么多内容。谢谢我们!