健全机制加强管理制度提升银行信息科技风险防控水平

1、健全机制 加强管理 提升银行 信息科技风险防控水平作者： 日期：健全机制 加强管理 提升银行信息科技风险防控水平近年来，随着信息技术的飞速发展，我国银行业信息化程度越 来越高，对信息科技的依赖程度显著增强，同时，银行机构对信息 科技风险防范不足，管理相对薄弱，信息安全问题不断出现，造成 的后果越来越严重。信息科技规模的快速扩大和信息科技风险的管 理相对薄弱已成为银行业面临的突出矛盾之一，加强信息科技风险 管理已刻不容缓。一、我国银行业信息科技风险管理整体情况 人民银行行长助理李东荣在第八届科技工作座谈会上指出，我 国银行业科技风险管理仍处于初级阶段。虽然各银行在科技风险管 理的组织结构、策略、

2、及流程方面有较大差异，但对科技风险管理 的重要性和紧迫性都有了清醒的认识。信息科技风险作为金融风险 的重要组成部分逐渐引起监管部门和银行机构的高度重视。2008 年 7 月，银监会颁发了银行业金融机构信息系统安全保 障问责方案，明确各银行的法定代表人为本单位信息系统安全保障 的第一责任人， 并要求逐级签订信息系统安全保障责任书。 2009 年， 银监会颁布了 商业银行信息科技风险管理指引 ，从信息科技治理、 信息科技风险管理、信息安全、信息系统开发测试和维护、信息科 技运行、业务连续性管理、外包、内部审计、外部审计等方面，对 商业银行信息科技风险管理工作提出了全面要求，成为各银行机构 加强信息

3、科技风险管理工作的指导性文件。银监会还将银行的信息 系统纳入现场和非现场监管，大力开展信息科技风险现场检查，对 银行的信息科技风险防范工作提出了更高的标准和要求。 2011 年，银监会成立了银行业信息科技风险管理高层指导委员会，专门研究 银行业信息化建设和信息科技风险管理等重大问题，加大对银行业 科技风险管理高层指导的力度。人民银行通过召开信息安全相关会 议、进行信息科技风险评估、发布信息安全风险提示等形式，督促 各银行机构做好信息科技风险防范工作。 2011 年 12 月，人民银行 召开第八届科技工作座谈会， 专题研讨了银行业科技风险管理问题。国内各大银行在加快信息化建设的同时，也加大了信息

4、科技风 险管理的力度。工商银行将信息科技风险管理纳入了全行的全面风 险管理体系，并作为一个重要领域进行管理，内容涉及科技治理、 生产运行、应用研发、信息安全等四个方面；成立了信息科技管理 委员会，把审议信息科技风险管理和信息安全管理工作列为主要职 能之一，董事会及全行风险管理委员会每年审核信息科技风险管理 报告。农业银行大力推进以组织体系、制度体系、技术体系为主要 内容的信息科技风险管理体系建设，开展了面向软件开发、运行管 理、数据安全管理、基础架构管理、 IT 治理等五大领域的信息科技 风险管控工作。建设银行构建了三个层面，三道防线的信息科技风 险管理组织体系，建立了双线汇报、双重考核机制，

5、大力开展信息 科技风险评估和 IT 审计工作。交通银行成立了信息安全保障领导小 组，建立了一支 IT 专职信息安全员队伍，建立了信息科技风险的检 查、评估、监测、报告机制。二、我行信息科技风险管理的现状“十一五”期间，随着我行信息化建设实现又好又快跨越式发展， 信息安全保障体系已初步建立，风险防控水平在实践中不断提高。一是组织机构建设取得突破。 总行成立了信息化建设委员会并制订了信息化建设委员会工作规则 ，明确了职责和工作流程。信 息化建设委员会由行长担任主任委员，分管行长和有关部门负责人 分别担任副主任委员和委员，负责制定和审议信息化建设发展战略 规划，审议重大信息化建设项目和事项。信息化建

6、设委员会下设信 息化建设项目实施审查小组，委托业务和技术专家审查信息化建设 项目的可行性和潜在风险，审议项目立项、实施、上线、运维、需 求变更等重要事项。各省级分行成立了信息化建设领导小组（委员 会），负责领导本级行信息化建设工作。这是我行科技治理上的一次 飞跃，在实践中发挥了显著的作用。二是管理模式不断优化。 一是总行按照“管理、运维、研发”分 离的原则，分别设立信息技术部（后更名为信息科技部）和营运中 心，建成了软件研发和灾备中心，并进行了科学分工，从管理体制 上防范了信息科技风险。二是实行 “自主研发、合作研发与外包研发 相结合 ”的研发机制，通过多条腿走路的方式，我行信息系统建设快 速

7、跟上了业务发展和强化管理的步伐。三是探索重要信息系统的常 态化升级模式，对核心系统加强需求整合，今后将逐步形成稳定的 持续优化、常态化升级和问题解决模式。三是制度建设稳步推进。 “十一五”期间，我行建立了应用系统风 险提示和重大问题报告制度、系统维护月度工作报告和联席会议制 度，制定了重要信息系统等级保护办法、信息系统突发事件应急管 理办法、综合业务会计应用系统总行中心突发事件技术应急处理预 案、综合业务系统应用软件运行维护工作规程、软件合作开发跟踪 与控制管理办法和省级分行软件研发管理办法等一系列制度规范， 信息科技风险防范的制度体系初步建立。 信息化建设“十二五”规划确立了安全优先的原则，

8、对信息科技风险防控提出了明确的要求。四是基础建设和技术保障不断加强。 一是建成了同业领先的“两 地三中心”灾备系统，有效保障了业务连续性。 二是实施了省级分行、 二级分行机房规范化建设，部署了总行数据中心集中监控系统、省 级分行和二级分行机房预警监控系统，部署了生产网、办公网、外 联网防病毒系统和网络入侵检测系统，通过以上措施，从基础设施、 设备、网络等方面有效防范了信息科技风险。三是开展了年度信息 安全检查，每年对各级行进行风险评估、隐患排查，并督促整改， 提高了全行对信息安全工作的重视程度和工作力度。四是实施了解 决一代支付系统单点故障项目，并为省级分行更换了支付系统前置 机，从而实现了省

9、级分行前置机与总行支付系统主机、总行支付系 统主机与综合业务系统主机连接均为双机热备模式，解决了我行支 付系统存在的安全隐患。目前，我行在信息科技风险管理方面还存在一些不足，主要表 现在：缺乏信息科技风险管理的总体规划和策略；机构设置和人员 配备不能满足需要，信息科技风险防范职能还需强化；制度规范标 准的制定相对滞后，没有达到全覆盖，尤其缺少完善的具有针对性 和可操作性的应急预案；风险防范的技术手段还不完善，某些环节 需要加强；缺少信息科技风险管理的专家级人才。三、加强和改进我行信息科技风险管理的建议 总体思路是：提高认识，树立信息科技风险管理理念；健全信 息科技风险管理机制，推进组织体系、制

10、度体系和技术体系建设； 加强信息系统生命周期的全过程风险管理，突出抓好重点环节的风 险管控；重视队伍建设，为信息科技风险管理工作提供强有力的人力保障。（一）提高认识，树立理念 过去，信息科技风险的重要性是随着信息化建设的发展逐渐被 认识的，因此，信息科技风险管理工作被动滞后，水平不高。今后， 随着银行业应用系统的横向整合和数据的纵向大集中，小的疏漏和 失误往往会产生“蝴蝶效应”，诱发重特大信息安全事故，因此，要坚 持科技发展和风险管理并重的原则，把信息科技风险管理工作提高 到战略高度、全局高度，做到科学筹划、总体布局、注重细节；将 信息风险控制前移，把风险管控贯穿于信息化建设的全过程，将技 术

11、防范为主的被动信息安全工作，转变为以预防为主的主动信息科 技风险管控；信息科技风险管理工作不是单一的技术工作，不止是 信息科技和营运管理部门的工作，而是一项全行性的工作，各级行 和各部门“一把手”应对信息安全工作负主要责任，业务、信息科技、 营运、风险、审计、法律合规等部门应共同推进、共担风险，树立 安全优先、稳中求进的理念。（二）完善组织体系，强化职能 虽然我行已经建立起信息科技治理的组织机构，但还处于探索 阶段，需要在实践中不断完善。例如，现有的信息化建设委员会工 作规则中没有突出强调信息科技风险防范，只是在信息化建设项目 实施审查小组的职责中要求专家组对项目实施的业务和技术风险进 行审查

12、，在实际操作中，由于风险审查是在立项阶段，此时还没有 一个完整的业务需求和技术方案，业务和技术风险审查被进一步弱 化。总行风险管理部提出了全面风险管理体系建设的指导意见，并 成立了总行风险管理委员会， 但在指导意见中， 只提到了 IT 风险（“指我行在业务经营中，运用 IT 技术有缺失所产生的风险”），而信息科 技风险是指在运用信息科技过程中，由于自然因素、人为因素、技 术漏洞和管理缺陷产生的风险，显然范围更为宽泛，也更符合我行 的实际。信息科技风险管理在风险管理委员会工作规则中也没有突 出强调。为了突出和强化信息科技风险管理职能，加强对信息科技风险 管理工作的组织领导，总行可在信息化建设委员

13、会下设立信息科技 风险防控领导小组，专门负责信息科技风险防范机制的建设，制定 信息科技风险防范策略、规划，协调信息科技、营运、风险、内审、 法律等部门的风险防控工作，组织和领导重大信息安全事故的应急 处置工作， 每年审阅并向银监会报送信息科技风险管理的年度报告。 总行信息科技部设立信息安全管理处，负责信息科技风险防控领导 小组的日常工作并督促落实审议通过的事项，起草信息安全相关制 度、规范，制定应急预案、技术方案，负责信息科技风险监测、检 查、评估、报告和整改，负责重大信息安全事故应急处置的具体工 作。各级分行、支行设立专门的信息科技风险管理岗位，履行相应 的职能。总行风险管理委员会可听取信息

14、科技风险防控领导小组关 于信息科技风险管理工作的专题报告，并将其纳入我行全面风险管 理总结报告中，同时对信息科技风险防控领导小组的工作提出指导 性的意见和建议。内部审计部设立专门的信息科技风险审计岗位， 负责信息科技审计制度和流程的实施，制订和执行信息科技审计计 划，对信息科技整个生命周期和重大事件等进行审计，对审计报告 进行确认并落实整改。法律合规部加强信息科技工作中有关法律和 合规性审查，防范法律风险。（三）完善制度体系，狠抓落实建立完备的信息科技风险防范制度体系，就是制定一整套覆盖 信息科技工作全流程、涉及信息科技工作各方面的办事规程或行为 准则，以此规范和约束人的行为，达到防控信息科技

15、风险的目的。信息科技风险防范制度体系包括纵向三个层次和横向九个方面 的制度规范。三个层次是指规划策略层、管理制度层和操作规程层。 九个方面是指科技治理、基础建设、软件研发、系统运维、数据管 理、设备管理、网络管理、人员管理和应急管理。规划策略是由总 行（信息科技风险防控领导小组）制定的，关于信息科技风险防范 的总体思路、目标、计划、要求和实施策略，与我行业务发展规划 和信息科技总体规划保持一致。管理制度是相关部门（业务部门、 信息科技部、营运中心、风险管理部、内部审计部等）为履行信息 科技风险管理职责制定的各项制度，是规划策略在各个方面的具体 体现。操作规程是针对具体系统、岗位和角色制定的工作

16、程序和具 体要求，是管理制度的细化。制度体系建设需要把握几个环节，一是制度调研。学习国内外 同业的先进经验及做法，结合我行的实际情况有选择的借鉴；对我 行现有的制度进行梳理，并根据我行信息化建设发展需要和科技风 险防控要求，提出制度增加、修改、废止建议。二是制度制定。制 度起草前广泛征求专家意见，集思广益，把先进的经验和理念融入 到制度中；注重制度架构设计，避免制度缺失和重叠；严格制度评 审和颁布，保证制度的权威性。三是制度执行。进行制度的宣传和必要的培训，使相关人员和部门知道有章可依，增强照章办事的意 识；加强制度执行情况的监督和检查，狠抓落实，采取奖惩等措施 增强执行力。四是制度完善。在制

17、度执行的过程中，及时发现制度 中的漏洞和缺陷，采取有效措施（如：发布补充规定、相关说明等） 进行修补；当制度的具体内容已不符合现实情况时，应重新修订； 针对新上线的系统或新增的工作内容，都要及时制定相应的制度规 范或应急预案加以管理。（四）完善技术保障体系，抓好重点环节。信息科技工作本身就是技术性很强的工作，信息科技风险管理 涉及信息科技工作的方方面面，每一项具体工作的落实都离不开专 业技术的保障。完善技术保障体系，就是要在信息科技风险管理工 作的各个方面、各个环节加强先进技术手段的运用，提高技术应用 水平，注重技术创新性研究，充分发挥信息技术在信息科技风险防 范中的重要作用。目前，我行在软件

18、研发、机房建设、网络建设、 灾备系统建设、运行监控等方面均采用了较高的技术标准和先进的 技术手段，提高了风险防范的水平，但在应急管理、风险评估、审 计监督环节上还有待加强。一是应急管理。我行目前的应急管理工作存在较大风险隐患， 须引起高度重视，主要表现为应急处置预案不完善、不全面，没有 涵盖所有系统，有些内容一直没有经过应急演练验证。随着我行应 用系统的不断增多，相应的管理制度和应急预案应及时配套出台， 应急预案要加强针对性和可操作性，要明确应急领导机构、人员、10职责、设备、流程、要求等内容要素，要特别注重加强与我行业务 部门以及消防、通信、电力行业部门的沟通配合，善于利用日常系 统维护、调

19、试、改造以及新系统上线等机会相机进行跨部门、跨机 构甚至跨区域的实战演练，在应急演练中不断改进应急预案。二是风险评估。我行每年都要开展信息安全检查工作，虽然在 一定程度上促进了信息安全防控工作。但是，由于多方面原因，安 全检查只限于局部，风险隐患依然难以摸清，全面风险评估工作应 该提上议事日程。全面风险评估的目的就是查找我行信息科技工作 中存在的风险隐患，确定风险等级及整改措施，未雨绸缪，防患于 未燃。首先要制定评估指标体系，制定评估的计划、方法和手段， 其次对系统设计、开发、测试、运维全流程，对机房、网络、设备、 供应商等多个方面，对性能和容量规划、可用性、可靠性、安全性、 可维护性、操作性

20、、产品及服务等全方位评估，梳理出风险点，最 后评价风险点对业务的潜在影响，对风险点进行排序，并确定风险 防范措施及所需资源的优先级别（包括人力、财力、外包供应商、 产品供应商和服务商） 。三是审计监督。如果说基础设施建设、软件研发、系统运维中 的风险控制是信息科技风险管理的第一道防线，安全检查、风险评 估和监测是第二道防线，那么信息科技审计就是信息科技风险管理 的第三道防线。信息科技审计就是审计部门或机构对信息安全控制 措施是否完备所做的鉴证过程，可分为内部审计和外部审计。内部 审计是由内部审计部实施，内容包括制定、实施和调整审计计划，11检查和评估信息系统和内控机制的充分性和有效性，在此基础上提 出整改意见并检查落实情况，根据风险评估结果对认为必要的特殊 事项进行信息科技专项审计。 内部审计范围和频率应根据业务性质、 规模和复杂程度，信息科技应用情况，以及信息科技风险评估