健全机制 加强管理 提升银行信息科技风险防控水平

1健全机制加强管理提升银行信息科技风险防控水平近年来，随着信息技术的飞速发展，我国银行业信息化程度越来越高，对信息科技的依赖程度显著增强，同时，银行机构对信息科技风险防范不足，管理相对薄弱，信息安全问题不断出现，造成的后果越来越严重。信息科技规模的快速扩大和信息科技风险的管理相对薄弱已成为银行业面临的突出矛盾之一，加强信息科技风险管理已刻不容缓。一、我国银行业信息科技风险管理整体情况人民银行行长助理李东荣在第八届科技工作座谈会上指出，我国银行业科技风险管理仍处于初级阶段。虽然各银行在科技风险管理的组织结构、策略、及流程方面有较大差异，但对科技风险管理的重要性和紧迫性都有了清醒的认识。信息科技风险作为金融风险的重要组成部分逐渐引起监管部门和银行机构的高度重视。2008年7月，银监会颁发了《银行业金融机构信息系统安全保障问责方案》，明确各银行的法定代表人为本单位信息系统安全保障的第一责任人，并要求逐级签订信息系统安全保障责任书。2009年，银监会颁布了《商业银行信息科技风险管理指引》，从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面，对商业银行信息科技风险管理工作提出了全面要求，成为各银行机构加强信息科技风险管理工作的指导性文件。银监会还将银行的信息系统纳入现场和非现场监管，大力开展信息科技风险现场检查，对银行的信息科技风险防范工作提出了更高的标准和要求。2011年，2银监会成立了银行业信息科技风险管理高层指导委员会，专门研究银行业信息化建设和信息科技风险管理等重大问题，加大对银行业科技风险管理高层指导的力度。人民银行通过召开信息安全相关会议、进行信息科技风险评估、发布信息安全风险提示等形式，督促各银行机构做好信息科技风险防范工作。2011年12月，人民银行召开第八届科技工作座谈会，专题研讨了银行业科技风险管理问题。国内各大银行在加快信息化建设的同时，也加大了信息科技风险管理的力度。工商银行将信息科技风险管理纳入了全行的全面风险管理体系，并作为一个重要领域进行管理，内容涉及科技治理、生产运行、应用研发、信息安全等四个方面；成立了信息科技管理委员会，把审议信息科技风险管理和信息安全管理工作列为主要职能之一，董事会及全行风险管理委员会每年审核信息科技风险管理报告。农业银行大力推进以组织体系、制度体系、技术体系为主要内容的信息科技风险管理体系建设，开展了面向软件开发、运行管理、数据安全管理、基础架构管理、IT治理等五大领域的信息科技风险管控工作。建设银行构建了‘三个层面，三道防线’的信息科技风险管理组织体系，建立了双线汇报、双重考核机制，大力开展信息科技风险评估和IT审计工作。交通银行成立了信息安全保障领导小组，建立了一支IT专职信息安全员队伍，建立了信息科技风险的检查、评估、监测、报告机制。二、我行信息科技风险管理的现状“十一五”期间，随着我行信息化建设实现又好又快跨越式发展，信息安全保障体系已初步建立，风险防控水平在实践中不断提高。3一是组织机构建设取得突破。总行成立了信息化建设委员会并制订了《信息化建设委员会工作规则》，明确了职责和工作流程。信息化建设委员会由行长担任主任委员，分管行长和有关部门负责人分别担任副主任委员和委员，负责制定和审议信息化建设发展战略规划，审议重大信息化建设项目和事项。信息化建设委员会下设信息化建设项目实施审查小组，委托业务和技术专家审查信息化建设项目的可行性和潜在风险，审议项目立项、实施、上线、运维、需求变更等重要事项。各省级分行成立了信息化建设领导小组（委员会），负责领导本级行信息化建设工作。这是我行科技治理上的一次飞跃，在实践中发挥了显著的作用。二是管理模式不断优化。一是总行按照“管理、运维、研发”分离的原则，分别设立信息技术部（后更名为信息科技部）和营运中心，建成了软件研发和灾备中心，并进行了科学分工，从管理体制上防范了信息科技风险。二是实行“自主研发、合作研发与外包研发相结合”的研发机制，通过多条腿走路的方式，我行信息系统建设快速跟上了业务发展和强化管理的步伐。三是探索重要信息系统的常态化升级模式，对核心系统加强需求整合，今后将逐步形成稳定的持续优化、常态化升级和问题解决模式。三是制度建设稳步推进。“十一五”期间，我行建立了应用系统风险提示和重大问题报告制度、系统维护月度工作报告和联席会议制度，制定了重要信息系统等级保护办法、信息系统突发事件应急管理办法、综合业务会计应用系统总行中心突发事件技术应急处理预案、综合业务系统应用软件运行维护工作规程、软件合作开发跟踪与控制管理办法和省级分行软件研发管理办法等一系列制度规4范，信息科技风险防范的制度体系初步建立。信息化建设“十二五”规划确立了安全优先的原则，对信息科技风险防控提出了明确的要求。四是基础建设和技术保障不断加强。一是建成了同业领先的“两地三中心”灾备系统，有效保障了业务连续性。二是实施了省级分行、二级分行机房规范化建设，部署了总行数据中心集中监控系统、省级分行和二级分行机房预警监控系统，部署了生产网、办公网、外联网防病毒系统和网络入侵检测系统，通过以上措施，从基础设施、设备、网络等方面有效防范了信息科技风险。三是开展了年度信息安全检查，每年对各级行进行风险评估、隐患排查，并督促整改，提高了全行对信息安全工作的重视程度和工作力度。四是实施了解决一代支付系统单点故障项目，并为省级分行更换了支付系统前置机，从而实现了省级分行前置机与总行支付系统主机、总行支付系统主机与综合业务系统主机连接均为双机热备模式，解决了我行支付系统存在的安全隐患。目前，我行在信息科技风险管理方面还存在一些不足，主要表现在：缺乏信息科技风险管理的总体规划和策略；机构设置和人员配备不能满足需要，信息科技风险防范职能还需强化；制度规范标准的制定相对滞后，没有达到全覆盖，尤其缺少完善的具有针对性和可操作性的应急预案；风险防范的技术手段还不完善，某些环节需要加强；缺少信息科技风险管理的专家级人才。三、加强和改进我行信息科技风险管理的建议总体思路是：提高认识，树立信息科技风险管理理念；健全信息科技风险管理机制，推进组织体系、制度体系和技术体系建设；5加强信息系统生命周期的全过程风险管理，突出抓好重点环节的风险管控；重视队伍建设，为信息科技风险管理工作提供强有力的人力保障。（一）提高认识，树立理念过去，信息科技风险的重要性是随着信息化建设的发展逐渐被认识的，因此，信息科技风险管理工作被动滞后，水平不高。今后，随着银行业应用系统的横向整合和数据的纵向大集中，小的疏漏和失误往往会产生“蝴蝶效应”，诱发重特大信息安全事故，因此，要坚持科技发展和风险管理并重的原则，把信息科技风险管理工作提高到战略高度、全局高度，做到科学筹划、总体布局、注重细节；将信息风险控制前移，把风险管控贯穿于信息化建设的全过程，将技术防范为主的被动信息安全工作，转变为以预防为主的主动信息科技风险管控；信息科技风险管理工作不是单一的技术工作，不止是信息科技和营运管理部门的工作，而是一项全行性的工作，各级行和各部门“一把手”应对信息安全工作负主要责任，业务、信息科技、营运、风险、审计、法律合规等部门应共同推进、共担风险，树立安全优先、稳中求进的理念。（二）完善组织体系，强化职能虽然我行已经建立起信息科技治理的组织机构，但还处于探索阶段，需要在实践中不断完善。例如，现有的信息化建设委员会工作规则中没有突出强调信息科技风险防范，只是在信息化建设项目实施审查小组的职责中要求专家组对项目实施的业务和技术风险进行审查，在实际操作中，由于风险审查是在立项阶段，此时还没有一个完整的业务需求和技术方案，业务和技术风险审查被进一步弱6化。总行风险管理部提出了全面风险管理体系建设的指导意见，并成立了总行风险管理委员会，但在指导意见中，只提到了IT风险（“指我行在业务经营中，运用IT技术有缺失所产生的风险”），而信息科技风险是指在运用信息科技过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险，显然范围更为宽泛，也更符合我行的实际。信息科技风险管理在风险管理委员会工作规则中也没有突出强调。为了突出和强化信息科技风险管理职能，加强对信息科技风险管理工作的组织领导，总行可在信息化建设委员会下设立信息科技风险防控领导小组，专门负责信息科技风险防范机制的建设，制定信息科技风险防范策略、规划，协调信息科技、营运、风险、内审、法律等部门的风险防控工作，组织和领导重大信息安全事故的应急处置工作，每年审阅并向银监会报送信息科技风险管理的年度报告。总行信息科技部设立信息安全管理处，负责信息科技风险防控领导小组的日常工作并督促落实审议通过的事项，起草信息安全相关制度、规范，制定应急预案、技术方案，负责信息科技风险监测、检查、评估、报告和整改，负责重大信息安全事故应急处置的具体工作。各级分行、支行设立专门的信息科技风险管理岗位，履行相应的职能。总行风险管理委员会可听取信息科技风险防控领导小组关于信息科技风险管理工作的专题报告，并将其纳入我行全面风险管理总结报告中，同时对信息科技风险防控领导小组的工作提出指导性的意见和建议。内部审计部设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计，对审计报告7进行确认并落实整改。法律合规部加强信息科技工作中有关法律和合规性审查，防范法律风险。（三）完善制度体系，狠抓落实建立完备的信息科技风险防范制度体系，就是制定一整套覆盖信息科技工作全流程、涉及信息科技工作各方面的办事规程或行为准则，以此规范和约束人的行为，达到防控信息科技风险的目的。信息科技风险防范制度体系包括纵向三个层次和横向九个方面的制度规范。三个层次是指规划策略层、管理制度层和操作规程层。九个方面是指科技治理、基础建设、软件研发、系统运维、数据管理、设备管理、网络管理、人员管理和应急管理。规划策略是由总行（信息科技风险防控领导小组）制定的，关于信息科技风险防范的总体思路、目标、计划、要求和实施策略，与我行业务发展规划和信息科技总体规划保持一致。管理制度是相关部门（业务部门、信息科技部、营运中心、风险管理部、内部审计部等）为履行信息科技风险管理职责制定的各项制度，是规划策略在各个方面的具体体现。操作规程是针对具体系统、岗位和角色制定的工作程序和具体要求，是管理制度的细化。制度体系建设需要把握几个环节，一是制度调研。学习国内外同业的先进经验及做法，结合我行的实际情况有选择的借鉴；对我行现有的制度进行梳理，并根据我行信息化建设发展需要和科技风险防控要求，提出制度增加、修改、废止建议。二是制度制定。制度起草前广泛征求专家意见，集思广益，把先进的经验和理念融入8到制度中；注重制度架构设计，避免制度缺失和重叠；严格制度评审和颁布，保证制度的权威性。三是制度执行。进行制度的宣传和必要的培训，使相关人员和部门知道有章可依，增强照章办事的意识；加强制度执行情况的监督和检查，狠抓落实，采取奖惩等措施增强执行力。四是制度完善。在制度执行的过程中，及时发现制度中的漏洞和缺陷，采取有效措施（如：发布补充规定、相关说明等）进行修补；当制度的具体内容已不符合现实情况时，应重新修订；针对新上线的系统或新增的工作内容，都要及时制定相应的制度规范或应急预案加以管理。（四）完善技术保障体系，抓好重点环节。信息科技工作本身就是技术性很强的工作，信息科技风险管理涉及信息科技工作的方方面面，每一项具体工作的落实都离不开专业技术的保障。完善技术保障体系，就是要在信息科技风险管理工作的各个方面、各个环节加强先进技术手段的运用，提高技术应用水平，注重技术创新性研究，充分发挥信息技术在信息科技风险防范中的重要作用。目前，我行在软件研发、机房建设、网络建设、灾备系统建设、运行监控等方面均采用了较高的技术标准和先进的技术手段，提高了风险防范的水平，但在应急管理、风险评估、审计监督环节上还有待加强。一是应急管理。我行目前的应急管理工作存在较大风