健全機制 加強管理 提升銀行信息科技風(fēng)險防控水平

1、健全機制 加強管理 提升銀行信息科技風(fēng)險防控水平近年來，隨著信息技術(shù)的飛速發(fā)展，我國銀行業(yè)信息化程度越來越高，對信息科技的依賴程度顯著增強，同時，銀行機構(gòu)對信息科技風(fēng)險防范不足，管理相對薄弱，信息安全問題不斷出現(xiàn)，造成的后果越來越嚴(yán)重。信息科技規(guī)模的快速擴大和信息科技風(fēng)險的管理相對薄弱已成為銀行業(yè)面臨的突出矛盾之一，加強信息科技風(fēng)險管理已刻不容緩。一、我國銀行業(yè)信息科技風(fēng)險管理整體情況人民銀行行長助理李東榮在第八屆科技工作座談會上指出，我國銀行業(yè)科技風(fēng)險管理仍處于初級階段。雖然各銀行在科技風(fēng)險管理的組織結(jié)構(gòu)、策略、及流程方面有較大差異，但對科技風(fēng)險管理的重要性和緊迫性都有了清醒的認(rèn)識。信息科技

2、風(fēng)險作為金融風(fēng)險的重要組成部分逐漸引起監(jiān)管部門和銀行機構(gòu)的高度重視。2008年7月，銀監(jiān)會頒發(fā)了銀行業(yè)金融機構(gòu)信息系統(tǒng)安全保障問責(zé)方案，明確各銀行的法定代表人為本單位信息系統(tǒng)安全保障的第一責(zé)任人，并要求逐級簽訂信息系統(tǒng)安全保障責(zé)任書。2009年，銀監(jiān)會頒布了商業(yè)銀行信息科技風(fēng)險管理指引，從信息科技治理、信息科技風(fēng)險管理、信息安全、信息系統(tǒng)開發(fā)測試和維護、信息科技運行、業(yè)務(wù)連續(xù)性管理、外包、內(nèi)部審計、外部審計等方面，對商業(yè)銀行信息科技風(fēng)險管理工作提出了全面要求，成為各銀行機構(gòu)加強信息科技風(fēng)險管理工作的指導(dǎo)性文件。銀監(jiān)會還將銀行的信息系統(tǒng)納入現(xiàn)場和非現(xiàn)場監(jiān)管，大力開展信息科技風(fēng)險現(xiàn)場檢查，對銀行的

3、信息科技風(fēng)險防范工作提出了更高的標(biāo)準(zhǔn)和要求。2011年，銀監(jiān)會成立了銀行業(yè)信息科技風(fēng)險管理高層指導(dǎo)委員會，專門研究銀行業(yè)信息化建設(shè)和信息科技風(fēng)險管理等重大問題，加大對銀行業(yè)科技風(fēng)險管理高層指導(dǎo)的力度。人民銀行通過召開信息安全相關(guān)會議、進行信息科技風(fēng)險評估、發(fā)布信息安全風(fēng)險提示等形式，督促各銀行機構(gòu)做好信息科技風(fēng)險防范工作。2011年12月，人民銀行召開第八屆科技工作座談會，專題研討了銀行業(yè)科技風(fēng)險管理問題。國內(nèi)各大銀行在加快信息化建設(shè)的同時，也加大了信息科技風(fēng)險管理的力度。工商銀行將信息科技風(fēng)險管理納入了全行的全面風(fēng)險管理體系，并作為一個重要領(lǐng)域進行管理，內(nèi)容涉及科技治理、生產(chǎn)運行、應(yīng)用研發(fā)、

4、信息安全等四個方面；成立了信息科技管理委員會，把審議信息科技風(fēng)險管理和信息安全管理工作列為主要職能之一，董事會及全行風(fēng)險管理委員會每年審核信息科技風(fēng)險管理報告。農(nóng)業(yè)銀行大力推進以組織體系、制度體系、技術(shù)體系為主要內(nèi)容的信息科技風(fēng)險管理體系建設(shè)，開展了面向軟件開發(fā)、運行管理、數(shù)據(jù)安全管理、基礎(chǔ)架構(gòu)管理、IT治理等五大領(lǐng)域的信息科技風(fēng)險管控工作。建設(shè)銀行構(gòu)建了三個層面，三道防線的信息科技風(fēng)險管理組織體系，建立了雙線匯報、雙重考核機制，大力開展信息科技風(fēng)險評估和IT審計工作。交通銀行成立了信息安全保障領(lǐng)導(dǎo)小組，建立了一支IT專職信息安全員隊伍，建立了信息科技風(fēng)險的檢查、評估、監(jiān)測、報告機制。二、我行

5、信息科技風(fēng)險管理的現(xiàn)狀“十一五”期間，隨著我行信息化建設(shè)實現(xiàn)又好又快跨越式發(fā)展，信息安全保障體系已初步建立，風(fēng)險防控水平在實踐中不斷提高。一是組織機構(gòu)建設(shè)取得突破?？傂谐闪⒘诵畔⒒ㄔO(shè)委員會并制訂了信息化建設(shè)委員會工作規(guī)則，明確了職責(zé)和工作流程。信息化建設(shè)委員會由行長擔(dān)任主任委員，分管行長和有關(guān)部門負(fù)責(zé)人分別擔(dān)任副主任委員和委員，負(fù)責(zé)制定和審議信息化建設(shè)發(fā)展戰(zhàn)略規(guī)劃，審議重大信息化建設(shè)項目和事項。信息化建設(shè)委員會下設(shè)信息化建設(shè)項目實施審查小組，委托業(yè)務(wù)和技術(shù)專家審查信息化建設(shè)項目的可行性和潛在風(fēng)險，審議項目立項、實施、上線、運維、需求變更等重要事項。各省級分行成立了信息化建設(shè)領(lǐng)導(dǎo)小組（委員會）

6、，負(fù)責(zé)領(lǐng)導(dǎo)本級行信息化建設(shè)工作。這是我行科技治理上的一次飛躍，在實踐中發(fā)揮了顯著的作用。二是管理模式不斷優(yōu)化。一是總行按照“管理、運維、研發(fā)”分離的原則，分別設(shè)立信息技術(shù)部（后更名為信息科技部）和營運中心，建成了軟件研發(fā)和災(zāi)備中心，并進行了科學(xué)分工，從管理體制上防范了信息科技風(fēng)險。二是實行“自主研發(fā)、合作研發(fā)與外包研發(fā)相結(jié)合”的研發(fā)機制，通過多條腿走路的方式，我行信息系統(tǒng)建設(shè)快速跟上了業(yè)務(wù)發(fā)展和強化管理的步伐。三是探索重要信息系統(tǒng)的常態(tài)化升級模式，對核心系統(tǒng)加強需求整合，今后將逐步形成穩(wěn)定的持續(xù)優(yōu)化、常態(tài)化升級和問題解決模式。三是制度建設(shè)穩(wěn)步推進。“十一五”期間，我行建立了應(yīng)用系統(tǒng)風(fēng)險提示和重

7、大問題報告制度、系統(tǒng)維護月度工作報告和聯(lián)席會議制度，制定了重要信息系統(tǒng)等級保護辦法、信息系統(tǒng)突發(fā)事件應(yīng)急管理辦法、綜合業(yè)務(wù)會計應(yīng)用系統(tǒng)總行中心突發(fā)事件技術(shù)應(yīng)急處理預(yù)案、綜合業(yè)務(wù)系統(tǒng)應(yīng)用軟件運行維護工作規(guī)程、軟件合作開發(fā)跟蹤與控制管理辦法和省級分行軟件研發(fā)管理辦法等一系列制度規(guī)范，信息科技風(fēng)險防范的制度體系初步建立。信息化建設(shè)“十二五”規(guī)劃確立了安全優(yōu)先的原則，對信息科技風(fēng)險防控提出了明確的要求。四是基礎(chǔ)建設(shè)和技術(shù)保障不斷加強。一是建成了同業(yè)領(lǐng)先的“兩地三中心”災(zāi)備系統(tǒng)，有效保障了業(yè)務(wù)連續(xù)性。二是實施了省級分行、二級分行機房規(guī)范化建設(shè)，部署了總行數(shù)據(jù)中心集中監(jiān)控系統(tǒng)、省級分行和二級分行機房預(yù)警監(jiān)

8、控系統(tǒng)，部署了生產(chǎn)網(wǎng)、辦公網(wǎng)、外聯(lián)網(wǎng)防病毒系統(tǒng)和網(wǎng)絡(luò)入侵檢測系統(tǒng)，通過以上措施，從基礎(chǔ)設(shè)施、設(shè)備、網(wǎng)絡(luò)等方面有效防范了信息科技風(fēng)險。三是開展了年度信息安全檢查，每年對各級行進行風(fēng)險評估、隱患排查，并督促整改，提高了全行對信息安全工作的重視程度和工作力度。四是實施了解決一代支付系統(tǒng)單點故障項目，并為省級分行更換了支付系統(tǒng)前置機，從而實現(xiàn)了省級分行前置機與總行支付系統(tǒng)主機、總行支付系統(tǒng)主機與綜合業(yè)務(wù)系統(tǒng)主機連接均為雙機熱備模式，解決了我行支付系統(tǒng)存在的安全隱患。目前，我行在信息科技風(fēng)險管理方面還存在一些不足，主要表現(xiàn)在：缺乏信息科技風(fēng)險管理的總體規(guī)劃和策略；機構(gòu)設(shè)置和人員配備不能滿足需要，信息科技

9、風(fēng)險防范職能還需強化；制度規(guī)范標(biāo)準(zhǔn)的制定相對滯后，沒有達到全覆蓋，尤其缺少完善的具有針對性和可操作性的應(yīng)急預(yù)案；風(fēng)險防范的技術(shù)手段還不完善，某些環(huán)節(jié)需要加強；缺少信息科技風(fēng)險管理的專家級人才。三、加強和改進我行信息科技風(fēng)險管理的建議總體思路是：提高認(rèn)識，樹立信息科技風(fēng)險管理理念；健全信息科技風(fēng)險管理機制，推進組織體系、制度體系和技術(shù)體系建設(shè)；加強信息系統(tǒng)生命周期的全過程風(fēng)險管理，突出抓好重點環(huán)節(jié)的風(fēng)險管控；重視隊伍建設(shè)，為信息科技風(fēng)險管理工作提供強有力的人力保障。（一）提高認(rèn)識，樹立理念過去，信息科技風(fēng)險的重要性是隨著信息化建設(shè)的發(fā)展逐漸被認(rèn)識的，因此，信息科技風(fēng)險管理工作被動滯后，水平不高。

10、今后，隨著銀行業(yè)應(yīng)用系統(tǒng)的橫向整合和數(shù)據(jù)的縱向大集中，小的疏漏和失誤往往會產(chǎn)生“蝴蝶效應(yīng)”，誘發(fā)重特大信息安全事故，因此，要堅持科技發(fā)展和風(fēng)險管理并重的原則，把信息科技風(fēng)險管理工作提高到戰(zhàn)略高度、全局高度，做到科學(xué)籌劃、總體布局、注重細(xì)節(jié)；將信息風(fēng)險控制前移，把風(fēng)險管控貫穿于信息化建設(shè)的全過程，將技術(shù)防范為主的被動信息安全工作，轉(zhuǎn)變?yōu)橐灶A(yù)防為主的主動信息科技風(fēng)險管控；信息科技風(fēng)險管理工作不是單一的技術(shù)工作，不止是信息科技和營運管理部門的工作，而是一項全行性的工作，各級行和各部門“一把手”應(yīng)對信息安全工作負(fù)主要責(zé)任，業(yè)務(wù)、信息科技、營運、風(fēng)險、審計、法律合規(guī)等部門應(yīng)共同推進、共擔(dān)風(fēng)險，樹立安全優(yōu)

11、先、穩(wěn)中求進的理念。（二）完善組織體系，強化職能雖然我行已經(jīng)建立起信息科技治理的組織機構(gòu)，但還處于探索階段，需要在實踐中不斷完善。例如，現(xiàn)有的信息化建設(shè)委員會工作規(guī)則中沒有突出強調(diào)信息科技風(fēng)險防范，只是在信息化建設(shè)項目實施審查小組的職責(zé)中要求專家組對項目實施的業(yè)務(wù)和技術(shù)風(fēng)險進行審查，在實際操作中，由于風(fēng)險審查是在立項階段，此時還沒有一個完整的業(yè)務(wù)需求和技術(shù)方案，業(yè)務(wù)和技術(shù)風(fēng)險審查被進一步弱化?？傂酗L(fēng)險管理部提出了全面風(fēng)險管理體系建設(shè)的指導(dǎo)意見，并成立了總行風(fēng)險管理委員會，但在指導(dǎo)意見中，只提到了IT風(fēng)險（“指我行在業(yè)務(wù)經(jīng)營中，運用IT技術(shù)有缺失所產(chǎn)生的風(fēng)險”），而信息科技風(fēng)險是指在運用信息科技

12、過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的風(fēng)險，顯然范圍更為寬泛，也更符合我行的實際。信息科技風(fēng)險管理在風(fēng)險管理委員會工作規(guī)則中也沒有突出強調(diào)。為了突出和強化信息科技風(fēng)險管理職能，加強對信息科技風(fēng)險管理工作的組織領(lǐng)導(dǎo)，總行可在信息化建設(shè)委員會下設(shè)立信息科技風(fēng)險防控領(lǐng)導(dǎo)小組，專門負(fù)責(zé)信息科技風(fēng)險防范機制的建設(shè)，制定信息科技風(fēng)險防范策略、規(guī)劃，協(xié)調(diào)信息科技、營運、風(fēng)險、內(nèi)審、法律等部門的風(fēng)險防控工作，組織和領(lǐng)導(dǎo)重大信息安全事故的應(yīng)急處置工作，每年審閱并向銀監(jiān)會報送信息科技風(fēng)險管理的年度報告。總行信息科技部設(shè)立信息安全管理處，負(fù)責(zé)信息科技風(fēng)險防控領(lǐng)導(dǎo)小組的日常工作并督促落實審議通過的事

13、項，起草信息安全相關(guān)制度、規(guī)范，制定應(yīng)急預(yù)案、技術(shù)方案，負(fù)責(zé)信息科技風(fēng)險監(jiān)測、檢查、評估、報告和整改，負(fù)責(zé)重大信息安全事故應(yīng)急處置的具體工作。各級分行、支行設(shè)立專門的信息科技風(fēng)險管理崗位，履行相應(yīng)的職能。總行風(fēng)險管理委員會可聽取信息科技風(fēng)險防控領(lǐng)導(dǎo)小組關(guān)于信息科技風(fēng)險管理工作的專題報告，并將其納入我行全面風(fēng)險管理總結(jié)報告中，同時對信息科技風(fēng)險防控領(lǐng)導(dǎo)小組的工作提出指導(dǎo)性的意見和建議。內(nèi)部審計部設(shè)立專門的信息科技風(fēng)險審計崗位，負(fù)責(zé)信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計，對審計報告進行確認(rèn)并落實整改。法律合規(guī)部加強信息科技工作中有關(guān)法律

14、和合規(guī)性審查，防范法律風(fēng)險。（三）完善制度體系，狠抓落實建立完備的信息科技風(fēng)險防范制度體系，就是制定一整套覆蓋信息科技工作全流程、涉及信息科技工作各方面的辦事規(guī)程或行為準(zhǔn)則，以此規(guī)范和約束人的行為，達到防控信息科技風(fēng)險的目的。信息科技風(fēng)險防范制度體系包括縱向三個層次和橫向九個方面的制度規(guī)范。三個層次是指規(guī)劃策略層、管理制度層和操作規(guī)程層。九個方面是指科技治理、基礎(chǔ)建設(shè)、軟件研發(fā)、系統(tǒng)運維、數(shù)據(jù)管理、設(shè)備管理、網(wǎng)絡(luò)管理、人員管理和應(yīng)急管理。規(guī)劃策略是由總行（信息科技風(fēng)險防控領(lǐng)導(dǎo)小組）制定的，關(guān)于信息科技風(fēng)險防范的總體思路、目標(biāo)、計劃、要求和實施策略，與我行業(yè)務(wù)發(fā)展規(guī)劃和信息科技總體規(guī)劃保持一致。

15、管理制度是相關(guān)部門（業(yè)務(wù)部門、信息科技部、營運中心、風(fēng)險管理部、內(nèi)部審計部等）為履行信息科技風(fēng)險管理職責(zé)制定的各項制度，是規(guī)劃策略在各個方面的具體體現(xiàn)。操作規(guī)程是針對具體系統(tǒng)、崗位和角色制定的工作程序和具體要求，是管理制度的細(xì)化。制度體系建設(shè)需要把握幾個環(huán)節(jié)，一是制度調(diào)研。學(xué)習(xí)國內(nèi)外同業(yè)的先進經(jīng)驗及做法，結(jié)合我行的實際情況有選擇的借鑒；對我行現(xiàn)有的制度進行梳理，并根據(jù)我行信息化建設(shè)發(fā)展需要和科技風(fēng)險防控要求，提出制度增加、修改、廢止建議。二是制度制定。制度起草前廣泛征求專家意見，集思廣益，把先進的經(jīng)驗和理念融入到制度中；注重制度架構(gòu)設(shè)計，避免制度缺失和重疊；嚴(yán)格制度評審和頒布，保證制度的權(quán)威性

16、。三是制度執(zhí)行。進行制度的宣傳和必要的培訓(xùn)，使相關(guān)人員和部門知道有章可依，增強照章辦事的意識；加強制度執(zhí)行情況的監(jiān)督和檢查，狠抓落實，采取獎懲等措施增強執(zhí)行力。四是制度完善。在制度執(zhí)行的過程中，及時發(fā)現(xiàn)制度中的漏洞和缺陷，采取有效措施（如：發(fā)布補充規(guī)定、相關(guān)說明等）進行修補；當(dāng)制度的具體內(nèi)容已不符合現(xiàn)實情況時，應(yīng)重新修訂；針對新上線的系統(tǒng)或新增的工作內(nèi)容，都要及時制定相應(yīng)的制度規(guī)范或應(yīng)急預(yù)案加以管理。（四）完善技術(shù)保障體系，抓好重點環(huán)節(jié)。信息科技工作本身就是技術(shù)性很強的工作，信息科技風(fēng)險管理涉及信息科技工作的方方面面，每一項具體工作的落實都離不開專業(yè)技術(shù)的保障。完善技術(shù)保障體系，就是要在信息科

17、技風(fēng)險管理工作的各個方面、各個環(huán)節(jié)加強先進技術(shù)手段的運用，提高技術(shù)應(yīng)用水平，注重技術(shù)創(chuàng)新性研究，充分發(fā)揮信息技術(shù)在信息科技風(fēng)險防范中的重要作用。目前，我行在軟件研發(fā)、機房建設(shè)、網(wǎng)絡(luò)建設(shè)、災(zāi)備系統(tǒng)建設(shè)、運行監(jiān)控等方面均采用了較高的技術(shù)標(biāo)準(zhǔn)和先進的技術(shù)手段，提高了風(fēng)險防范的水平，但在應(yīng)急管理、風(fēng)險評估、審計監(jiān)督環(huán)節(jié)上還有待加強。一是應(yīng)急管理。我行目前的應(yīng)急管理工作存在較大風(fēng)險隱患，須引起高度重視，主要表現(xiàn)為應(yīng)急處置預(yù)案不完善、不全面，沒有涵蓋所有系統(tǒng)，有些內(nèi)容一直沒有經(jīng)過應(yīng)急演練驗證。隨著我行應(yīng)用系統(tǒng)的不斷增多，相應(yīng)的管理制度和應(yīng)急預(yù)案應(yīng)及時配套出臺，應(yīng)急預(yù)案要加強針對性和可操作性，要明確應(yīng)急領(lǐng)導(dǎo)

18、機構(gòu)、人員、職責(zé)、設(shè)備、流程、要求等內(nèi)容要素，要特別注重加強與我行業(yè)務(wù)部門以及消防、通信、電力行業(yè)部門的溝通配合，善于利用日常系統(tǒng)維護、調(diào)試、改造以及新系統(tǒng)上線等機會相機進行跨部門、跨機構(gòu)甚至跨區(qū)域的實戰(zhàn)演練，在應(yīng)急演練中不斷改進應(yīng)急預(yù)案。二是風(fēng)險評估。我行每年都要開展信息安全檢查工作，雖然在一定程度上促進了信息安全防控工作。但是，由于多方面原因，安全檢查只限于局部，風(fēng)險隱患依然難以摸清，全面風(fēng)險評估工作應(yīng)該提上議事日程。全面風(fēng)險評估的目的就是查找我行信息科技工作中存在的風(fēng)險隱患，確定風(fēng)險等級及整改措施，未雨綢繆，防患于未燃。首先要制定評估指標(biāo)體系，制定評估的計劃、方法和手段，其次對系統(tǒng)設(shè)計、

19、開發(fā)、測試、運維全流程，對機房、網(wǎng)絡(luò)、設(shè)備、供應(yīng)商等多個方面，對性能和容量規(guī)劃、可用性、可靠性、安全性、可維護性、操作性、產(chǎn)品及服務(wù)等全方位評估，梳理出風(fēng)險點，最后評價風(fēng)險點對業(yè)務(wù)的潛在影響，對風(fēng)險點進行排序，并確定風(fēng)險防范措施及所需資源的優(yōu)先級別（包括人力、財力、外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。三是審計監(jiān)督。如果說基礎(chǔ)設(shè)施建設(shè)、軟件研發(fā)、系統(tǒng)運維中的風(fēng)險控制是信息科技風(fēng)險管理的第一道防線，安全檢查、風(fēng)險評估和監(jiān)測是第二道防線，那么信息科技審計就是信息科技風(fēng)險管理的第三道防線。信息科技審計就是審計部門或機構(gòu)對信息安全控制措施是否完備所做的鑒證過程，可分為內(nèi)部審計和外部審計。內(nèi)部審計是由內(nèi)部審計部實施，內(nèi)容包括制定、實施和調(diào)整審計計劃，檢查和評估信息系統(tǒng)和內(nèi)控機制的充分性和有效性，在此基礎(chǔ)上提出整改意見并檢查落實情況，根據(jù)風(fēng)險評估結(jié)果對認(rèn)為必要的特殊事項進行信息科技專項審計。內(nèi)部審計范圍和頻率應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險評估結(jié)果