信息科技风险管理构建

时间:2022-06-18 03:14:00

信息科技风险管理构建

随着银行业对信息技术的依赖程度日益提升,信息科技风险亦随之上升。信息科技风险具有影响范围广、突发性强、技术含量高、复杂度高、隐藏性深等特点,直接影响商业银行的稳健经营,关乎商业银行声誉、金融安全和社会稳定,是商业银行面临的主要风险。如何在快速推进信息系统建设的同时,加强信息科技风险管理,减少或杜绝银行因信息科技而给自身或客户带来损失,是银行目前信息化建设需要研究的重要课题。信息科技风险管理现状作为第一家从农信社成功改制的北京农商银行,与四大行及股份制商业银行相比,信息科技基础十分薄弱。

近几年来,在领导高度重视下,我们加大了信息科技建设的推进力度,大大缩小了与同业科技差距:建成了现代化、高标准的信息系统数据中心,初步形成同城生产和灾备两中心模式;全面开展网络改造,将广域网三级架构改为二级架构,各营业网点配置2条专线,分别直接上联生产中心和同城灾备中心,实现了业务网与互联网专网进行物理隔离,增强了网络系统的稳定性和安全性;建设完善了网上银行、银行卡系统、资金债券系统、信贷系统等应用系统,形成了结构清晰、业务功能基本满足业务发展和经营管理需要的应用系统体系。相对于信息化建设发展水平的快速提高,我行的信息科技风险管理水平略显滞后,也与监管当局的要求存在一定的差距。开发测试体系建设需进一步完善,代码质量管理、Bug管理、开发过程管理、测试管理需进一步加强;系统运行管理有待改进,生产系统监控和流程管理自动化管理手段不足,逻辑访问控制有待加强;业务连续性管理及应急体制建设有待加强,应制订全行性的业务连续性规划及应急演练方案,并定期更新,切实发挥相关部门职能,按要求组织开展应急预案的演练,提高应急演练的有效性和覆盖面。李秀生:北京农商银行的信息科技风险管理制度体系涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度,每年进行一次评估和修订,并在全行范围内印发执行,确保制度的科学性、合理性和可操作性。信息科技风险管理进展为了提升信息科技风险管理水平,北京农商银行根据监管要求,结合信息科技建设实际情况,不断完善科技风险管理治理架构,初步建立了科技风险防控体系,有效预防和消除了科技风险事件的发生,确保了生产安全稳定运行和信息安全。

1.完善信息科技风险治理结构,明确信息科技风险“三道防线”的职责。成立了信息科技管理委员会,除了审议信息科技战略规划、推动信息科技建设的职能外,着重加强审议信息科技风险管理、信息安全策略、信息安全重大事项和信息安全评估报告等科技风险管理职能,强化了科技风险管理体系建设中高层的推动作用;设置了首席信息官,直接参与跟信息科技运用有关的业务发展决策,确保信息科技各项工作的有效开展和落实;形成了由信息科技部门、风险管理部门及审计部门组成的信息科技风险“三道防线”。

2.持续建立健全信息科技风险管理制度体系。对现有信息科技制度体系进行了整体评估,重新梳理确定信息科技制度体系架构,建立包括制度、实施细则及技术规范(标准)三层架构的制度体系。同时规范对现有制度的管理,形成了《信息科技制度汇编》,涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度,每年进行一次评估和修订,并在全行范围内印发执行,确保制度的科学性、合理性和可操作性,有效指导信息化建设和风险管理工作的开展。

3.事前、事中、事后管理并重,提升信息科技风险管理水平。一是强化风险防控意识,防范于未然。持续对全体科技员工进行风险意识教育,树立对风险防控的高度敏感性和责任心,积极向员工传导遵守法律法规和实施内部控制的重要性,培养员工的诚信和道德,规范员工职业行为,从源头上控制、减少潜在风险的发生。二是健全内控机制,规范事中管理。科学合理设置科技岗位,明确每个岗位的职责、权限,建立了逐级授权和审批机制,并制定相应控制措施;规范岗位操作流程,重要操作如版本迁移、数据修改等实行双人制,一人操作,一人复核,防止出现控制真空,产生风险;同时重视利用技术手段来强化风险管理,如批量作业自动化系统、系统和网络监控系统监控系统的建成有效地提升了系统运维风险管理水平。三是加强信息科技风险的识别和检查,持续督促、跟踪整改,深入挖掘信息科技运行及管理存在的问题和潜在风险,制订整改措施并积极整改。建立内部定期专项检查机制,根据每年年初制订检查计划,进行检查,详细记录检查结果,建立风险整改台账,定期对整改情况进行监督及跟踪。除加强上述自查工作之外,还积极配合监管当局开展各项检查,积极借助外部的力量帮助发现问题,查找隐患,从而提升科技风险防范能力。

4.加强信息安全体系建设,强化信息安全管理。完成了信息安全体系规划,建立科学合理的信息安全体系框架,制定较为完善的信息安全策略;通过实施网络边界控制、内网与互联网隔离、全面病毒防护、桌面系统监控、数据分级与使用保护等系列安全项目,建设形成覆盖数据安全、网络安全、系统安全和应用安全的综合信息安全体系,确保生产系统安全和客户信息安全,防范科技风险。未来的工作重点通过以上科技风险管理工作的开展,有效消除和防范了科技运行及科技管理中的风险隐患,近几年我行未发生信息科技风险事件,科技风险管理水平和防控能力得到显著提升。针对目前科技风险管理中存在的薄弱环节,未来信息科技风险管理的工作重点将体现在以下几个方面。

1.进一步完善信息科技风险治理结构,持续推进科技风险“三道防线”建设。进一步明确信息科技风险治理结构中各级主体的工作职责,充分发挥各级主体的职能作用,形成职责明确、结构合理的信息科技风险管理架构;特别是加强风险管理部门对信息科技风险的管控,形成一个职责明确、功能互补、相互监督、相互制约、共同发展的信息科技风险防范的有机整体。

2.加强软件开发质量管理体系建设,强化开发过程中风险的管理。建成基于我行现在的CMMI3级的软件研发规范体系,通过CMMI3级验收,全面推广体系的应用,整个体系涵盖了软件的需求、设计、开发、测试等各环节,有效规范了整个开发过程的管理;落实需求归口管理机制,推行重大项目需求评审机制,进行重要系统组织级方案评审,提高项目计划管理和风险管理水平;全面推行软件配置管理,提高软件版本管理水平;强化外包管理,规范外包人员工作量评估,加强外包人员工作环境管理。

3.进一步推进运维体系建设。加强对生产变更的风险评估,严格变更过程管理,严控变更风险;确保事件分级制度的落地执行,形成有效的事件升级和响应机制;进一步加强对问题的快速解决,并逐步深化问题的后续管理,从多维度进行生产问题分析,提高生产管理水平;充分发挥系统监控、网络监控工具的作用,完成应用监控建设,全面了解系统运行状态,及时定位故障;全面提高运维管理水平及风险防控能力。

4.加强业务连续性规划和应急管理工作。强化业务连续性规划及应急体制建设的重要性,根据应用系统规模和复杂程度有针对性地制订业务持续性保障规划,根据风险发生的部位、概率和危害程度分级制订应急预案,并经过评估和测试,及时进行维护、调整和更新,确保应急启动时的有效性,切实提升业务连续性管理及应急管理水平。

信息科技风险管理工作是一项长期的、艰巨的工程,因此要不断提高认识,强化危机意识、责任意识。从实际情况出发,充分借鉴相关国际标准和最佳实践,不断探索和改进,建立有效的信息科技风险的识别、计量、监测和控制机制,提升风险管理水平和防控能力,努力通过风险管理水平的提升推动信息化建设,为业务的发展、创新和管理提升提供坚实的保障。