浅谈建立健全城市商业银行信息科技风险管理体系.docx

浅谈建立健全城市商业银行信息科技风险管理体系摘要：该文根据我国城市商业银行信息科技风险管理现状，结合商业银行信息科技风险管理指引和银行信息科技风险管理工作实践，采用理论联系实际的分析方法,建立和完善适合城市商业银行信息科技风险管理体系的框架。 关键词：城市商业银行；信息科技；风险管理；体系 近年来随着我国金融行业的蓬勃发展，银行信息科技建设迅猛发展。一方面，信息科技建设为银行业务的发展提供了广阔的空间和服务手段；另一方面，银行业务对信息科技的依赖程度越来越高，使得计算机信息系统的安全性、可靠性和有效性直接关系到整个银行业的安全和国家金融体系的稳定，其自身的脆弱性以及面临的各种威胁也形成了现代金融风险。为进一步加强商业银行信息科技风险管理，银监会于2009年6月发布了商业银行信息科技风险管理指引（以下简称管理指引），为我国商业银行建立完善的信息科技风险管理体系提供了制度保证和指导方向。如何能有效的控制信息科技风险、安全管理，是目前商业银行尤其是城市商业银行普遍面临的难点。城市商业银行处于我国银行业第三梯队，由于科技建设起步晚、发展规模小、网点少，使得科技投入均摊成本较大，信息科技风险管理环节较为薄弱，因此，建立切实可行的、完善的城市商业银行信息科技风险管理体系尤为重要。 一、提高信息科技风险管理意识 目前，各银行都普遍认识到信息科技建设对银行业务发展的重要性，投入大量资金对业务系统、机房、电子渠道等实体信息系统进行升级和改造，科技支撑效果十分明显。对于银行风险管理，高管层往往更重视如何控制业务风险、搞好经营、扩大规模等，而信息科技风险管理需要一定的投入且见效不明显，因此往往忽略了信息科技风险的管理，从而导致风险管理人员配备不足，信息科技风险培训较少，缺少完整、系统的信息科技风险的概念和相关知识，对项目开发和变更管理情况、业务持续性计划等认识不足，造成部分管理人员认为信息科技风险就是保证业务系统正常运转的狭隘观念，极易忽视了自身各级系统的漏洞排查和风险防范。 管理指引规定了商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实；并就董事会应履行的信息科技管理职责做了具体的规定，这为银行信息科技风险管理提供了制度保证，提升了管理人员特别是高管人员在银行经营过程中对信息科技风险管理的重视程度。 二、建立有效的信息科技风险管理组织架构 目前大多数中小城市商业银行由于管理人员数量少的短板，无法像国有大型商业银行那样建立完善的信息科技风险管理组织架构，大部分没有成立相关信息科技风险管理的领导和决策机构，银行科技部门独立于其它业务部门之外现象比较普遍，人员数量不足，系统开发、技术支持、系统操作维护和系统安全不能严格分开，主要技术支持岗位未实现岗位定期轮换。缺乏专门的技术风险管理部门或岗位进行有效的监督约束，不能有效识别并量化可能存在的信息科技风险因素。 根据管理指引，城市商业银行应进一步完善信息科技治理架构，构建由信息科技管理、风险管理和风险审计组成的信息科技风险管理的“三道防线”，分别司职事前IT管理、事中IT风险控制以及事后IT审计，从而形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。同时要在决策层设立首席信息官，其职责包括直接参与本银行与信息科技运用有关的业务发展决策；确保信息科技战略，尤其是信息系统开发战略符合本银行的总体业务战略和信息科技风险管理策略等，通过技术措施、制度建设、人员管理三管齐下，全方位提高信息科技风险管理能力和水平。另外，各行还可以根据自身实际建立多种层面的风险防范联动协调机制。一是建立各级信息科技负责人联席会议制度，及时传达学习人民银行、银监会信息科技风险监管文件、要求，开展经验交流，共同研究和解决工作中出现的新问题、新情况。二是建立统计信息部门与各业务部门之间的联动机制，实现各部门间的防范优势互补和信息共享，形成监管合力。三是各银行机构也要建立内部信息科技风险的协调机制，由行级领导牵头成立协调组织机构，将信息科技作为各业务条线的结合点，统筹研究，明确责任，自查本行信息科技方面存在的风险，遇到内部不能协调解决的问题时，及时同监管部门沟通、共同解决。 三、建立完备的信息科技风险管理制度体系 制度是安全生产的生命线，要有效防控信息科技风险，首要的是建立完善的信息科技安全管理制度，以制度约束人的行为、明确人的责任、指导人的思想。商业银行必须高度重视信息科技安全管理制度的建立与完善，以安全生产为主线，深入分析信息系统风险点，积极跟踪信息系统运行状况，及时发现新问题、新风险点，从源头上尽可能地降低风险事件发生的可能性。 在防范风险的同时做到制度更新与时俱进，在银行原有风险管理制度的基础上，对可能出现的管理漏洞和执行不严等问题，查缺补漏，调整优化，严格评估信息安全内控体系的完整性和实施的有效性，并适时开展信息科技风险状况检查检验制度的执行力度。 四、建立完善的信息安全技术防范体系 （一）网络安全防控 设计合理的银行网络安全方案。首先，以关键资源为基点，设计一个统一规范的安全网络拓扑架构，按照统一、规范的业务处理和管理流程，配置统一的接口、统一的协议以及统一的数据格式，并实现所有营业网点和重要信息系统的不同电信运营商的双线路接入。同时，通过配置边界防火墙、划分独立的DMZ区、启用NAT地址转换以及划分虚拟子网，实现对银行网络、设备和计算机系统的访问控制。其次，在网络层部署IDS/IPS等入侵检测和漏洞扫描设备，将其直接连接到主干交换机的监控端口，用以检测各个区域网段间的数据包，与防火墙设备进行联动，从而动态地阻断网络攻击。还可使用系统和网络审计取证系统，收集网络中设备的日志，并进行归档分析，建立事后审计安全机制。目前，城市商业银行大都实现了数据大集中，而且部分城商行设立了跨区域分支机构，这对网络安全性和稳定性提出了更高要求，因此可以将关键的网络通信设备部署在两个不同的地理位置，实现两地网络资源的负载均衡，从而降低单点运行安全风险。 （二）计算机病毒防护 在计算机和 操作终端上部署经过国家认证的防病毒软件，并设置一台网络防病毒服务器，定期对防病毒软件客户端进行升级，从而对进入银行内部网络的数据包进行层层过滤和检测，实现从网关到主机、终端以及应用系统的防病毒体系。同时，重要业务系统配置安全等级高的数据加密设备,严格密钥管理，并对主要业务系统进行安全等级认证，根据认证级别部署安全策略。另外，根据银行信息系统实际情况，对操作系统进行更新升级，确保系统稳定运行。 （三）数据和系统备份 目前，大多中小城市商业银行因条件所限，重要业务系统服务器采用双机冷备模式，虽然降低了系统集成成本，但增加了业务运行风险。建议关键、连续性业务系统采用双机热备份模式，即在一台服务器出现故障时，另一台服务器自动接管故障主机资源，从而保证业务系统的安全、稳定运行；而对于其他次要信息系统可采用冷备模式。另外，重要业务系统一定要按照数据备份管理制度，做好业务系统和数据备份，并定期进行数据的恢复验证，确保数据有效性。中小城商行由于资金投入有限，大都未建立异地灾备中心，或仅在异地建立了数据级备份中心，建议可采取兄弟银行互建灾备中心的模式，在保证安全、防范风险的同时降低建设成本。 （四）先进的电子化综合监测平台 长期以来，在信息安全监控方面，大都由人工进行系统监测，即使有专门的监测管理软件，也是逐个针对单独的主机、防火墙、网络设备去做监控，没有整合为统一的监控管理平台。借鉴山东省农信社信息科技风险管理经验，利用IT运维管理系统，将网络设备、主机、数据库以及UPS、空调、温湿度、消防等机房基础设施纳入统一的监控管理平台，进行统一的监控和安全事件关联分析，建立知识库，方便日后风险排查，并实现全省统一的信息系统集中监测，增强了银行信息系统的整体安全防范能力。 除了以上主要信息安全技术措施，还可以通过数字签名认证、身份识别、日志审计系统、VPN加密、带库等技术手段实现各类信息系统的风险管理。 五、构建全面的信息科技风险运维管理体系 （一）科学的运维组织架构 城市商业银行作为独立法人，麻雀虽小却五脏俱全，与各大国有商业银行相比，核心业务系统、现代化支付系统、网上银行、呼叫中心、办公自动化、绩效考核系统以及人民银行、银监会要求的各类数据上报系统等一个都不少，加之城信社改制历史沿革下来的弊端，面临信息化建设任务重、人员素质参差不齐、职责分工不清、人员组成缺乏梯队等方面的问题。城商行科技运维部门由于成本限制，没有办法配备大型商业银行那样全面专业的科技服务队伍，这就要求我们在工作分配上要采取发挥个人特长与交叉分工相结合的方式。 城商行信息系统业务种类较为相似，可根据系统业务功能设置横向梯队：部门负责人下设业务系统维护，功能系统维护，硬件、网络、机房管理，数据库管理四个运维小组；每个小组设置一名小组长，形成定期向部门负责人汇报制度，出现问题部门负责人对小组长进行问责。其中业务系统维护小组，主要负责需要实时响应的系统维护，能够及时调动硬件、网络小组资源，以减少业务中断时间，确保业务系统的可靠性；功能系统维护小组，确保功能系统的正常运行，可以通过与业务部门的沟通不断提高功能系统的可用性以及易用性；硬件、网络、机房管理，由于其相关性较强，为简化部门负责人的管理归并到一个小组，若人员充足，小组内按功能还可分设三个小组；数据库管理，由于数据库牵涉所有的软件系统，并且其安全等级要求极高，功能相对独立，因此专门设立数据库管理小组负责数据库管理，进行日常的数据库升级、维护、环境搭建，向其他小组提供技术支持，以及数据的迁移、备份、恢复。 运维人员按照职责权限进行划分，设置AB岗，双人分段掌握特权用户口令，确保在进行正常维护工作时由双人完成,做到系统运行与维护职责分离，消除系统管理员与应用系统管理员相互兼任、开发人员与应用系统管理员相互兼任情况，避免单人操作带来的风险。同时还应加强运维人员的思想道德教育和业务素质培训，建立一支思想过硬、技术精湛的计算机管理和操作队伍。 （二）全面的信息安全防控管理 相当多银行信息科技风险管理人员认为，信息安全建设只要部署了高性能、先进的防火墙、加密设备、IDS/IPS、防病毒系统、相关监控系统等安全设备，关键设备实现了双机热备等管理策略，就是对信息系统做到了安全控制。其实不然，在信息科技风险管理方面，除了技术层面的安全控制，更要重视日常运维安全管理。目前我国中小城市商业银行的信息安全管理往往重点强调在技术层面对信息安全的控制，而忽略了平时在管理层面的监督、协调和重视，是我国银行业IT管理面临最大的风险。信息安全管理是一个长期、动态的过程，信息安全管理的控制包括技术层面和管理层面，除了在技术层面部署相关的安全设备，制定和实施相关安全策略之外，在管理层面还要一套系统的操作、管理规程来协调技术层面的工作，包括中心机房实体管理、软硬件管理、用户认证与访问权限控制、数据备份管理、保密信息安全管理、应急机制等。针对管理的指标和标准，要时刻根据银行业务的发展和各类入侵方式、作案手段、安全事件应急处置等情况的变化做相应的调整，做到防范于未然。 六、建立项目风险管理体系 对于自行开发的项目，要按照规范的软件开发流程进行管理，包括立项、报批、登记、开发、测试、验收等环节，坚持 “统一开发、统一推广、统一应用、统一维护 ”的原则,由总行统一按规划进行组织实施，并建立内部评审制度，确保项目开发质量、防范研发风险，保持项目连续性、一致性和安全性。 对于外包项目，由于大多数城商行科技研发能力有限，大都采用软件外包的形式进行项目开发。首先各行应通过董事会和高管人员的内部治理机制对外包业务在会计和风险上的治理作出适当的安排，尤其是在确定战略方针和目标方面应该设定必要的批准程序。其次，根据外包机构的经验、能力、技术、资本、信誉、对金融行业的熟悉程度、自身发展的稳定性、已有的类似业绩等重要因素，选择合适的外包机构。然后结合运用外聘律师审查与内部法律顾问审查相结合的机制，签订合理的明确双方责任、义务、权利的外包合作协议，特别是操作安全、保密方面的内容 作文 ，防范道德风险。同时银行应设计必要的应急规划，针对外包机构可能发生的不履行合同或者不能履行合同等紧急问题，保证外包业务的可持续性。 七、建立完善的信息科技审计机制 以往城商行内部审计部门往往着重于业务类风险的审计，而忽略了信息科技审计。根据管理指引，审计部门应根据业务的性质、规模和复杂程度，对相关系统及其控制的适当性和有效性进行监测，建立内部审计、外部审计和监管发现问题的整改处理机制。内部审计部门设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。 同时建立信息科技风险评估和预警机制。要全面落实风险评估制度，建立信息科技风险监测体系，及时识别风险因素，排查隐患，彻查各类问题的根源。要将信息科技风险控制前移，从业务部门需求管理开始，把风险管控贯穿于信息流动的整个过程，加强追踪控制。要在充分分析信息科技风险对银行业务影响的基础上，建立良好的风险分类分级制度，实施重点监控。 总之，信息技术风险是固有的，银行业务的发展将带来新的信息技术风险和威胁。城商行在建立信息科技风险管理体系时，应重点建立对机构信息科技风险负责的相应组织与架构，加强信息科技部门与业务管理部门、银行高管层以及监管机构之间的沟通协调，建立清晰的内外部报告路线；利用技术手段，做好信息系统的日常运维管理和风