信息科技風(fēng)險(xiǎn)管理構(gòu)建

1、信息科技風(fēng)險(xiǎn)管理構(gòu)建 隨著銀行業(yè)對(duì)信息技術(shù)的依賴(lài)程度日益提升，信息科技風(fēng)險(xiǎn)亦隨之上升。信息科技風(fēng)險(xiǎn)具有影響范圍廣、突發(fā)性強(qiáng)、技術(shù)含量高、復(fù)雜度高、隱藏性深等特點(diǎn)，直接影響商業(yè)銀行的穩(wěn)健經(jīng)營(yíng)，關(guān)乎商業(yè)銀行聲譽(yù)、金融安全和社會(huì)穩(wěn)定，是商業(yè)銀行面臨的主要風(fēng)險(xiǎn)。如何在快速推進(jìn)信息系統(tǒng)建設(shè)的同時(shí)，加強(qiáng)信息科技風(fēng)險(xiǎn)管理，減少或杜絕銀行因信息科技而給自身或客戶(hù)帶來(lái)?yè)p失，是銀行目前信息化建設(shè)需要研究的重要課題。信息科技風(fēng)險(xiǎn)管理現(xiàn)狀作為第一家從農(nóng)信社成功改制的北京農(nóng)商銀行，與四大行及股份制商業(yè)銀行相比，信息科技基礎(chǔ)十分薄弱。 近幾年來(lái)，在領(lǐng)導(dǎo)高度重視下，我們加大了信息科技建設(shè)的推進(jìn)力度，大大縮小了與同業(yè)科技差距

2、：建成了現(xiàn)代化、高標(biāo)準(zhǔn)的信息系統(tǒng)數(shù)據(jù)中心，初步形成同城生產(chǎn)和災(zāi)備兩中心模式；全面開(kāi)展網(wǎng)絡(luò)改造，將廣域網(wǎng)三級(jí)架構(gòu)改為二級(jí)架構(gòu)，各營(yíng)業(yè)網(wǎng)點(diǎn)配置2條專(zhuān)線(xiàn)，分別直接上聯(lián)生產(chǎn)中心和同城災(zāi)備中心，實(shí)現(xiàn)了業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)專(zhuān)網(wǎng)進(jìn)行物理隔離，增強(qiáng)了網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和安全性；建設(shè)完善了網(wǎng)上銀行、銀行卡系統(tǒng)、資金債券系統(tǒng)、信貸系統(tǒng)等應(yīng)用系統(tǒng)，形成了結(jié)構(gòu)清晰、業(yè)務(wù)功能基本滿(mǎn)足業(yè)務(wù)發(fā)展和經(jīng)營(yíng)管理需要的應(yīng)用系統(tǒng)體系。相對(duì)于信息化建設(shè)發(fā)展水平的快速提高，我行的信息科技風(fēng)險(xiǎn)管理水平略顯滯后，也與監(jiān)管當(dāng)局的要求存在一定的差距。開(kāi)發(fā)測(cè)試體系建設(shè)需進(jìn)一步完善，代碼質(zhì)量管理、bug管理、開(kāi)發(fā)過(guò)程管理、測(cè)試管理需進(jìn)一步加強(qiáng)；系統(tǒng)運(yùn)行管理

3、有待改進(jìn)，生產(chǎn)系統(tǒng)監(jiān)控和流程管理自動(dòng)化管理手段不足，邏輯訪問(wèn)控制有待加強(qiáng)；業(yè)務(wù)連續(xù)性管理及應(yīng)急體制建設(shè)有待加強(qiáng)，應(yīng)制訂全行性的業(yè)務(wù)連續(xù)性規(guī)劃及應(yīng)急演練方案，并定期更新，切實(shí)發(fā)揮相關(guān)部門(mén)職能，按要求組織開(kāi)展應(yīng)急預(yù)案的演練，提高應(yīng)急演練的有效性和覆蓋面。李秀生:北京農(nóng)商銀行的信息科技風(fēng)險(xiǎn)管理制度體系涵蓋開(kāi)發(fā)測(cè)試、運(yùn)行維護(hù)、設(shè)備管理、安全管理、風(fēng)險(xiǎn)管理等方面計(jì)31項(xiàng)制度，每年進(jìn)行一次評(píng)估和修訂，并在全行范圍內(nèi)印發(fā)執(zhí)行，確保制度的科學(xué)性、合理性和可操作性。信息科技風(fēng)險(xiǎn)管理進(jìn)展為了提升信息科技風(fēng)險(xiǎn)管理水平，北京農(nóng)商銀行根據(jù)監(jiān)管要求，結(jié)合信息科技建設(shè)實(shí)際情況，不斷完善科技風(fēng)險(xiǎn)管理治理架構(gòu)，初步建立了科技風(fēng)

4、險(xiǎn)防控體系，有效預(yù)防和消除了科技風(fēng)險(xiǎn)事件的發(fā)生，確保了生產(chǎn)安全穩(wěn)定運(yùn)行和信息安全。 1.完善信息科技風(fēng)險(xiǎn)治理結(jié)構(gòu)，明確信息科技風(fēng)險(xiǎn)“三道防線(xiàn)”的職責(zé)。成立了信息科技管理委員會(huì)，除了審議信息科技戰(zhàn)略規(guī)劃、推動(dòng)信息科技建設(shè)的職能外，著重加強(qiáng)審議信息科技風(fēng)險(xiǎn)管理、信息安全策略、信息安全重大事項(xiàng)和信息安全評(píng)估報(bào)告等科技風(fēng)險(xiǎn)管理職能，強(qiáng)化了科技風(fēng)險(xiǎn)管理體系建設(shè)中高層的推動(dòng)作用；設(shè)置了首席信息官，直接參與跟信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策，確保信息科技各項(xiàng)工作的有效開(kāi)展和落實(shí)；形成了由信息科技部門(mén)、風(fēng)險(xiǎn)管理部門(mén)及審計(jì)部門(mén)組成的信息科技風(fēng)險(xiǎn)“三道防線(xiàn)”。 2.持續(xù)建立健全信息科技風(fēng)險(xiǎn)管理制度體系。對(duì)現(xiàn)有信息科

5、技制度體系進(jìn)行了整體評(píng)估，重新梳理確定信息科技制度體系架構(gòu)，建立包括制度、實(shí)施細(xì)則及技術(shù)規(guī)范（標(biāo)準(zhǔn)）三層架構(gòu)的制度體系。同時(shí)規(guī)范對(duì)現(xiàn)有制度的管理，形成了信息科技制度匯編，涵蓋開(kāi)發(fā)測(cè)試、運(yùn)行維護(hù)、設(shè)備管理、安全管理、風(fēng)險(xiǎn)管理等方面計(jì)31項(xiàng)制度，每年進(jìn)行一次評(píng)估和修訂，并在全行范圍內(nèi)印發(fā)執(zhí)行，確保制度的科學(xué)性、合理性和可操作性，有效指導(dǎo)信息化建設(shè)和風(fēng)險(xiǎn)管理工作的開(kāi)展。 3.事前、事中、事后管理并重，提升信息科技風(fēng)險(xiǎn)管理水平。一是強(qiáng)化風(fēng)險(xiǎn)防控意識(shí)，防范于未然。持續(xù)對(duì)全體科技員工進(jìn)行風(fēng)險(xiǎn)意識(shí)教育，樹(shù)立對(duì)風(fēng)險(xiǎn)防控的高度敏感性和責(zé)任心，積極向員工傳導(dǎo)遵守法律法規(guī)和實(shí)施內(nèi)部控制的重要性，培養(yǎng)員工的誠(chéng)信和道德

6、，規(guī)范員工職業(yè)行為，從源頭上控制、減少潛在風(fēng)險(xiǎn)的發(fā)生。二是健全內(nèi)控機(jī)制，規(guī)范事中管理?？茖W(xué)合理設(shè)置科技崗位，明確每個(gè)崗位的職責(zé)、權(quán)限，建立了逐級(jí)授權(quán)和審批機(jī)制，并制定相應(yīng)控制措施；規(guī)范崗位操作流程，重要操作如版本遷移、數(shù)據(jù)修改等實(shí)行雙人制，一人操作，一人復(fù)核，防止出現(xiàn)控制真空，產(chǎn)生風(fēng)險(xiǎn)；同時(shí)重視利用技術(shù)手段來(lái)強(qiáng)化風(fēng)險(xiǎn)管理，如批量作業(yè)自動(dòng)化系統(tǒng)、系統(tǒng)和網(wǎng)絡(luò)監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)的建成有效地提升了系統(tǒng)運(yùn)維風(fēng)險(xiǎn)管理水平。三是加強(qiáng)信息科技風(fēng)險(xiǎn)的識(shí)別和檢查，持續(xù)督促、跟蹤整改，深入挖掘信息科技運(yùn)行及管理存在的問(wèn)題和潛在風(fēng)險(xiǎn)，制訂整改措施并積極整改。建立內(nèi)部定期專(zhuān)項(xiàng)檢查機(jī)制，根據(jù)每年年初制訂檢查計(jì)劃，進(jìn)行檢查，

7、詳細(xì)記錄檢查結(jié)果，建立風(fēng)險(xiǎn)整改臺(tái)賬，定期對(duì)整改情況進(jìn)行監(jiān)督及跟蹤。除加強(qiáng)上述自查工作之外，還積極配合監(jiān)管當(dāng)局開(kāi)展各項(xiàng)檢查，積極借助外部的力量幫助發(fā)現(xiàn)問(wèn)題，查找隱患，從而提升科技風(fēng)險(xiǎn)防范能力。 4.加強(qiáng)信息安全體系建設(shè)，強(qiáng)化信息安全管理。完成了信息安全體系規(guī)劃，建立科學(xué)合理的信息安全體系框架，制定較為完善的信息安全策略；通過(guò)實(shí)施網(wǎng)絡(luò)邊界控制、內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離、全面病毒防護(hù)、桌面系統(tǒng)監(jiān)控、數(shù)據(jù)分級(jí)與使用保護(hù)等系列安全項(xiàng)目，建設(shè)形成覆蓋數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和應(yīng)用安全的綜合信息安全體系，確保生產(chǎn)系統(tǒng)安全和客戶(hù)信息安全，防范科技風(fēng)險(xiǎn)。未來(lái)的工作重點(diǎn)通過(guò)以上科技風(fēng)險(xiǎn)管理工作的開(kāi)展，有效消除和防范了

8、科技運(yùn)行及科技管理中的風(fēng)險(xiǎn)隱患，近幾年我行未發(fā)生信息科技風(fēng)險(xiǎn)事件，科技風(fēng)險(xiǎn)管理水平和防控能力得到顯著提升。針對(duì)目前科技風(fēng)險(xiǎn)管理中存在的薄弱環(huán)節(jié)，未來(lái)信息科技風(fēng)險(xiǎn)管理的工作重點(diǎn)將體現(xiàn)在以下幾個(gè)方面。 1.進(jìn)一步完善信息科技風(fēng)險(xiǎn)治理結(jié)構(gòu)，持續(xù)推進(jìn)科技風(fēng)險(xiǎn)“三道防線(xiàn)”建設(shè)。進(jìn)一步明確信息科技風(fēng)險(xiǎn)治理結(jié)構(gòu)中各級(jí)主體的工作職責(zé)，充分發(fā)揮各級(jí)主體的職能作用，形成職責(zé)明確、結(jié)構(gòu)合理的信息科技風(fēng)險(xiǎn)管理架構(gòu)；特別是加強(qiáng)風(fēng)險(xiǎn)管理部門(mén)對(duì)信息科技風(fēng)險(xiǎn)的管控，形成一個(gè)職責(zé)明確、功能互補(bǔ)、相互監(jiān)督、相互制約、共同發(fā)展的信息科技風(fēng)險(xiǎn)防范的有機(jī)整體。 2.加強(qiáng)軟件開(kāi)發(fā)質(zhì)量管理體系建設(shè)，強(qiáng)化開(kāi)發(fā)過(guò)程中風(fēng)險(xiǎn)的管理。建成基于我行現(xiàn)

9、在的cmmi3級(jí)的軟件研發(fā)規(guī)范體系，通過(guò)cmmi3級(jí)驗(yàn)收，全面推廣體系的應(yīng)用，整個(gè)體系涵蓋了軟件的需求、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試等各環(huán)節(jié)，有效規(guī)范了整個(gè)開(kāi)發(fā)過(guò)程的管理；落實(shí)需求歸口管理機(jī)制，推行重大項(xiàng)目需求評(píng)審機(jī)制，進(jìn)行重要系統(tǒng)組織級(jí)方案評(píng)審，提高項(xiàng)目計(jì)劃管理和風(fēng)險(xiǎn)管理水平；全面推行軟件配置管理，提高軟件版本管理水平；強(qiáng)化外包管理，規(guī)范外包人員工作量評(píng)估，加強(qiáng)外包人員工作環(huán)境管理。 3.進(jìn)一步推進(jìn)運(yùn)維體系建設(shè)。加強(qiáng)對(duì)生產(chǎn)變更的風(fēng)險(xiǎn)評(píng)估，嚴(yán)格變更過(guò)程管理，嚴(yán)控變更風(fēng)險(xiǎn)；確保事件分級(jí)制度的落地執(zhí)行，形成有效的事件升級(jí)和響應(yīng)機(jī)制；進(jìn)一步加強(qiáng)對(duì)問(wèn)題的快速解決，并逐步深化問(wèn)題的后續(xù)管理，從多維度進(jìn)行生產(chǎn)問(wèn)題分析，提高生產(chǎn)管理水平；充分發(fā)揮系統(tǒng)監(jiān)控、網(wǎng)絡(luò)監(jiān)控工具的作用，完成應(yīng)用監(jiān)控建設(shè)，全面了解系統(tǒng)運(yùn)行狀態(tài)，及時(shí)定位故障；全面提高運(yùn)維管理水平及風(fēng)險(xiǎn)防控能力。 4.加強(qiáng)業(yè)務(wù)連續(xù)性規(guī)劃和應(yīng)急管理工作。強(qiáng)化業(yè)務(wù)連續(xù)性規(guī)劃及應(yīng)急體制建設(shè)的重要性，根據(jù)應(yīng)用系統(tǒng)規(guī)模和復(fù)雜程度有針對(duì)性地制訂業(yè)務(wù)持續(xù)性保障規(guī)劃，根據(jù)風(fēng)險(xiǎn)發(fā)生的部位、概率和危害程度分級(jí)制訂應(yīng)急預(yù)案，并經(jīng)過(guò)評(píng)估和測(cè)試，及時(shí)進(jìn)行維護(hù)、調(diào)整和更新，確保應(yīng)急啟動(dòng)時(shí)的有效性，切實(shí)提升業(yè)務(wù)連續(xù)性管理及應(yīng)急管理水平。 信息科技風(fēng)險(xiǎn)管理工作是一項(xiàng)長(zhǎng)期的、