健全机制 加强管理 提升银行信息科技风险防控水平.doc

健全机制 加强管理 提升银行信息科技风险防控水平近年来，随着信息技术的飞速发展，我国银行业信息化程度越来越高，对信息科技的依赖程度显著增强，同时，银行机构对信息科技风险防范不足，管理相对薄弱，信息安全问题不断出现，造成的后果越来越严重。信息科技规模的快速扩大和信息科技风险的管理相对薄弱已成为银行业面临的突出矛盾之一，加强信息科技风险管理已刻不容缓。一、我国银行业信息科技风险管理整体情况人民银行行长助理李东荣在第八届科技工作座谈会上指出，我国银行业科技风险管理仍处于初级阶段。虽然各银行在科技风险管理的组织结构、策略、及流程方面有较大差异，但对科技风险管理的重要性和紧迫性都有了清醒的认识。信息科技风险作为金融风险的重要组成部分逐渐引起监管部门和银行机构的高度重视。2008年7月，银监会颁发了银行业金融机构信息系统安全保障问责方案，明确各银行的法定代表人为本单位信息系统安全保障的第一责任人，并要求逐级签订信息系统安全保障责任书。2009年，银监会颁布了商业银行信息科技风险管理指引，从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面，对商业银行信息科技风险管理工作提出了全面要求，成为各银行机构加强信息科技风险管理工作的指导性文件。银监会还将银行的信息系统纳入现场和非现场监管，大力开展信息科技风险现场检查，对银行的信息科技风险防范工作提出了更高的标准和要求。2011年，银监会成立了银行业信息科技风险管理高层指导委员会，专门研究银行业信息化建设和信息科技风险管理等重大问题，加大对银行业科技风险管理高层指导的力度。人民银行通过召开信息安全相关会议、进行信息科技风险评估、发布信息安全风险提示等形式，督促各银行机构做好信息科技风险防范工作。2011年12月，人民银行召开第八届科技工作座谈会，专题研讨了银行业科技风险管理问题。国内各大银行在加快信息化建设的同时，也加大了信息科技风险管理的力度。工商银行将信息科技风险管理纳入了全行的全面风险管理体系，并作为一个重要领域进行管理，内容涉及科技治理、生产运行、应用研发、信息安全等四个方面；成立了信息科技管理委员会，把审议信息科技风险管理和信息安全管理工作列为主要职能之一，董事会及全行风险管理委员会每年审核信息科技风险管理报告。农业银行大力推进以组织体系、制度体系、技术体系为主要内容的信息科技风险管理体系建设，开展了面向软件开发、运行管理、数据安全管理、基础架构管理、IT治理等五大领域的信息科技风险管控工作。建设银行构建了三个层面，三道防线的信息科技风险管理组织体系，建立了双线汇报、双重考核机制，大力开展信息科技风险评估和IT审计工作。交通银行成立了信息安全保障领导小组，建立了一支IT专职信息安全员队伍，建立了信息科技风险的检查、评估、监测、报告机制。二、我行信息科技风险管理的现状“十一五”期间，随着我行信息化建设实现又好又快跨越式发展，信息安全保障体系已初步建立，风险防控水平在实践中不断提高。一是组织机构建设取得突破。总行成立了信息化建设委员会并制订了信息化建设委员会工作规则，明确了职责和工作流程。信息化建设委员会由行长担任主任委员，分管行长和有关部门负责人分别担任副主任委员和委员，负责制定和审议信息化建设发展战略规划，审议重大信息化建设项目和事项。信息化建设委员会下设信息化建设项目实施审查小组，委托业务和技术专家审查信息化建设项目的可行性和潜在风险，审议项目立项、实施、上线、运维、需求变更等重要事项。各省级分行成立了信息化建设领导小组（委员会），负责领导本级行信息化建设工作。这是我行科技治理上的一次飞跃，在实践中发挥了显著的作用。二是管理模式不断优化。一是总行按照“管理、运维、研发”分离的原则，分别设立信息技术部（后更名为信息科技部）和营运中心，建成了软件研发和灾备中心，并进行了科学分工，从管理体制上防范了信息科技风险。二是实行“自主研发、合作研发与外包研发相结合”的研发机制，通过多条腿走路的方式，我行信息系统建设快速跟上了业务发展和强化管理的步伐。三是探索重要信息系统的常态化升级模式，对核心系统加强需求整合，今后将逐步形成稳定的持续优化、常态化升级和问题解决模式。三是制度建设稳步推进。“十一五”期间，我行建立了应用系统风险提示和重大问题报告制度、系统维护月度工作报告和联席会议制度，制定了重要信息系统等级保护办法、信息系统突发事件应急管理办法、综合业务会计应用系统总行中心突发事件技术应急处理预案、综合业务系统应用软件运行维护工作规程、软件合作开发跟踪与控制管理办法和省级分行软件研发管理办法等一系列制度规范，信息科技风险防范的制度体系初步建立。信息化建设“十二五”规划确立了安全优先的原则，对信息科技风险防控提出了明确的要求。四是基础建设和技术保障不断加强。一是建成了同业领先的“两地三中心”灾备系统，有效保障了业务连续性。二是实施了省级分行、二级分行机房规范化建设，部署了总行数据中心集中监控系统、省级分行和二级分行机房预警监控系统，部署了生产网、办公网、外联网防病毒系统和网络入侵检测系统，通过以上措施，从基础设施、设备、网络等方面有效防范了信息科技风险。三是开展了年度信息安全检查，每年对各级行进行风险评估、隐患排查，并督促整改，提高了全行对信息安全工作的重视程度和工作力度。四是实施了解决一代支付系统单点故障项目，并为省级分行更换了支付系统前置机，从而实现了省级分行前置机与总行支付系统主机、总行支付系统主机与综合业务系统主机连接均为双机热备模式，解决了我行支付系统存在的安全隐患。目前，我行在信息科技风险管理方面还存在一些不足，主要表现在：缺乏信息科技风险管理的总体规划和策略；机构设置和人员配备不能满足需要，信息科技风险防范职能还需强化；制度规范标准的制定相对滞后，没有达到全覆盖，尤其缺少完善的具有针对性和可操作性的应急预案；风险防范的技术手段还不完善，某些环节需要加强；缺少信息科技风险管理的专家级人才。三、加强和改进我行信息科技风险管理的建议总体思路是：提高认识，树立信息科技风险管理理念；健全信息科技风险管理机制，推进组织体系、制度体系和技术体系建设；加强信息系统生命周期的全过程风险管理，突出抓好重点环节的风险管控；重视队伍建设，为信息科技风险管理工作提供强有力的人力保障。（一）提高认识，树立理念过去，信息科技风险的重要性是随着信息化建设的发展逐渐被认识的，因此，信息科技风险管理工作被动滞后，水平不高。今后，随着银行业应用系统的横向整合和数据的纵向大集中，小的疏漏和失误往往会产生“蝴蝶效应”，诱发重特大信息安全事故，因此，要坚持科技发展和风险管理并重的原则，把信息科技风险管理工作提高到战略高度、全局高度，做到科学筹划、总体布局、注重细节；将信息风险控制前移，把风险管控贯穿于信息化建设的全过程，将技术防范为主的被动信息安全工作，转变为以预防为主的主动信息科技风险管控；信息科技风险管理工作不是单一的技术工作，不止是信息科技和营运管理部门的工作，而是一项全行性的工作，各级行和各部门“一把手”应对信息安全工作负主要责任，业务、信息科技、营运、风险、审计、法律合规等部门应共同推进、共担风险，树立安全优先、稳中求进的理念。（二）完善组织体系，强化职能虽然我行已经建立起信息科技治理的组织机构，但还处于探索阶段，需要在实践中不断完善。例如，现有的信息化建设委员会工作规则中没有突出强调信息科技风险防范，只是在信息化建设项目实施审查小组的职责中要求专家组对项目实施的业务和技术风险进行审查，在实际操作中，由于风险审查是在立项阶段，此时还没有一个完整的业务需求和技术方案，业务和技术风险审查被进一步弱化。总行风险管理部提出了全面风险管理体系建设的指导意见，并成立了总行风险管理委员会，但在指导意见中，只提到了IT风险（“指我行在业务经营中，运用IT技术有缺失所产生的风险”），而信息科技风险是指在运用信息科技过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险，显然范围更为宽泛，也更符合我行的实际。信息科技风险管理在风险管理委员会工作规则中也没有突出强调。为了突出和强化信息科技风险管理职能，加强对信息科技风险管理工作的组织领导，总行可在信息化建设委员会下设立信息科技风险防控领导小组，专门负责信息科技风险防范机制的建设，制定信息科技风险防范策略、规划，协调信息科技、营运、风险、内审、法律等部门的风险防控工作，组织和领导重大信息安全事故的应急处置工作，每年审阅并向银监会报送信息科技风险管理的年度报告。总行信息科技部设立信息安全管理处，负责信息科技风险防控领导小组的日常工作并督促落实审议通过的事项，起草信息安全相关制度、规范，制定应急预案、技术方案，负责信息科技风险监测、检查、评估、报告和整改，负责重大信息安全事故应急处置的具体工作。各级分行、支行设立专门的信息科技风险管理岗位，履行相应的职能。总行风险管理委员会可听取信息科技风险防控领导小组关于信息科技风险管理工作的专题报告，并将其纳入我行全面风险管理总结报告中，同时对信息科技风险防控领导小组的工作提出指导性的意见和建议。内部审计部设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计，对审计报告进行确认并落实整改。法律合规部加强信息科技工作中有关法律和合规性审查，防范法律风险。（三）完善制度体系，狠抓落实建立完备的信息科技风险防范制度体系，就是制定一整套覆盖信息科技工作全流程、涉及信息科技工作各方面的办事规程或行为准则，以此规范和约束人的行为，达到防控信息科技风险的目的。信息科技风险防范制度体系包括纵向三个层次和横向九个方面的制度规范。三个层次是指规划策略层、管理制度层和操作规程层。九个方面是指科技治理、基础建设、软件研发、系统运维、数据管理、设备管理、网络管理、人员管理和应急管理。规划策略是由总行（信息科技风险防控领导小组）制定的，关于信息科技风险防范的总体思路、目标、计划、要求和实施策略，与我行业务发展规划和信息科技总体规划保持一致。管理制度是相关部门（业务部门、信息科技部、营运中心、风险管理部、内部审计部等）为履行信息科技风险管理职责制定的各项制度，是规划策略在各个方面的具体体现。操作规程是针对具体系统、岗位和角色制定的工作程序和具体要求，是管理制度的细化。制度体系建设需要把握几个环节，一是制度调研。学习国内外同业的先进经验及做法，结合我行的实际情况有选择的借鉴；对我行现有的制度进行梳理，并根据我行信息化建设发展需要和科技风险防控要求，提出制度增加、修改、废止建议。二是制度制定。制度起草前广泛征求专家意见，集思广益，把先进的经验和理念融入到制度中；注重制度架构设计，避免制度缺失和重叠；严格制度评审和颁布，保证制度的权威性。三是制度执行。进行制度的宣传和必要的培训，使相关人员和部门知道有章可依，增强照章办事的意识；加强制度执行情况的监督和检查，狠抓落实，采取奖惩等措施增强执行力。四是制度完善。在制度执行的过程中，及时发现制度中的漏洞和缺陷，采取有效措施（如：发布补充规定、相关说明等）进行修补；当制度的具体内容已不符合现实情况时，应重新修订；针对新上线的系统或新增的工作内容，都要及时制定相应的制度规范或应急预案加以管理。（四）完善技术保障体系，抓好重点环节。信息科技工作本身就是技术性很强的工作，信息科技风险管理涉及信息科技工作的方方面面，每一项具体工作的落实都离不开专业技术的保障。完善技术保障体系，就是要在信息科技风险管理工作的各个方面、各个环节加强先进技术手段的运用，提高技术应用水平，注重技术创新性研究，充分发挥信息技术在信息科技风险防范中的重要作用。目前，我行在软件研发、机房建设、网络建设、灾备系统建设、运行监控等方面均采用了较高的技术标准和先进的技术手段，提高了风险防范的水平，但在应急管理、风险评估、审计监督环节上还有待加强。一是应急管理。我行目前的应急管理工作存在较大风险隐患，须引起高度重视，主要表现为应急处置预案不完善、不全面，没有涵盖所有系统，有些内容一直没有经过应急演练验证。随着我行应用系统的不断增多，相应的管理制度和应急预案应及时配套出台，应急预案要加强针对性和可操作性，要明确应急领导机构、人员、职责、设备、流程、要求等内容要素，要特别注重加强与我行业务部门以及消防、通信、电力行业部门的沟通配合，善于利用日常系统维护、调试、改造以及新系统上线等机会相机进行跨部门、跨机构甚至跨区域的实战演练，在应急演练中不断改进应急预案。二是风险评估。我行每年都要开展信息安全检查工作，虽然在一定程度上促进了信息安全防控工作。但是，由于多方面原因，安全检查只限于局部，风险隐患依然难以摸清，全面风险评估工作应该提上议事日程。全面风险评估的目的就是查找我行信息科技工作中存在的风险隐患，确定风险等级及整改措施，未雨绸缪，防患于未燃。首先要制定评估指标体系，制定评估的计划、方法和手段，其次对系统设计、开发、测试、运维全流程，对机房、网络、设备、供应商等多个方面，对性能和容量规划、可用性、可靠性、安全性、可维护性、操作性、产品及服务等全方位评估，梳理出风险点，最后评价风险点对业务的潜在影响，对风险点进行排序，并确定风险防范措施及所需资源的优先级别（包括人力、财力、外包供应商、产品供应商和服务商）。三是审计监督。如果说基础设施建设、软件研发、系统运维中的风险控制是信息科技风险管理的第一道防线，安全检查、风险评估和监测是第二道防线，那么信息科技审计就是信息科技风险管理的第三道防线。信息科技审计就是审计部门或机构对信息安全控制措施是否完备所做的鉴证过程，可分为内部审计和外部审计。内部审计是由内部审计部实施，内容包括制定、实施和调整审计计划，检查和评估信息系统和内控机制的充分性和有效性，在此基础上提出整改意见并检查落实情况，根据风险评估结果对认为必要的特殊事项进行信息科技专项审计。内部审计范围和频率应根据业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果而决定，至少应每三年进行一次全面审计。外部审计是指在符合法律、法规和监管要求的情况下，委托具备相应资质的外部审计机构进行的信息科技审计。信息科技审计监督，是独立于信息系统本身、信息系统开发、运维和使用之外的一项工作，客观公正，对防范信息科技风险具有极大的意义。（五）加强队伍建设，增强可持续发展能力。目前，我行业务发展对信息科技需求的快速增长与信息科技力量的严重不足，已成为我行信息化建设中的主要矛盾之一。科技队伍无论在数量上还是质量上，都满足不了现实需求和信息化建设可持续发展的要求。这一问题已引起总行党委的高度重视，“全面推进人才发展战略”已列入信息化建设“十二五”规划，近期，总行行长在讲话中专门强调了信息科技人才的引进、培养、选拔、岗位设置以及激励等问题。今后，在落实行领导指示、执行人才发展战略时，应考虑信息科技风险管理人才的培养和引进问题，选拨既懂信息技术又会风险管理的领导者，培养和引进专业精深、经验丰富的专家，配备一大批信息安全技术骨干；设立专门面向信息科技风险管理人员的业务岗位，拓宽信息科技风险管理人员的职业发展通道；建立与信息科技风险防范相关的激励和奖惩机制，细化绩效考核制度，变年度绩效考核为月度绩效考核，改变“同工不同酬，同酬不同工”的现象，对在防范科技风险工作中做出突出贡献的人，给予一定的物质奖励；加强培训和教育，使从事信息科技风险管理工作的人既有丰富的专业知识，又有强烈的事业心和责任感，还能承受较强的工作压力，为我行业务发展和科技风险的防控提供强有力的人力保障。