健全機(jī)制 加強(qiáng)管理 提升銀行信息科技風(fēng)險(xiǎn)防控水平

1、健全機(jī)制 加強(qiáng)管理 提升銀行信息科技風(fēng)險(xiǎn)防控水平近年來(lái)，隨著信息技術(shù)的飛速發(fā)展，我國(guó)銀行業(yè)信息化程度越來(lái)越高，對(duì)信息科技的依賴(lài)程度顯著增強(qiáng)，同時(shí)，銀行機(jī)構(gòu)對(duì)信息科技風(fēng)險(xiǎn)防范不足，管理相對(duì)薄弱，信息安全問(wèn)題不斷出現(xiàn)，造成的后果越來(lái)越嚴(yán)重。信息科技規(guī)模的快速擴(kuò)大和信息科技風(fēng)險(xiǎn)的管理相對(duì)薄弱已成為銀行業(yè)面臨的突出矛盾之一，加強(qiáng)信息科技風(fēng)險(xiǎn)管理已刻不容緩。一、我國(guó)銀行業(yè)信息科技風(fēng)險(xiǎn)管理整體情況人民銀行行長(zhǎng)助理李東榮在第八屆科技工作座談會(huì)上指出，我國(guó)銀行業(yè)科技風(fēng)險(xiǎn)管理仍處于初級(jí)階段。雖然各銀行在科技風(fēng)險(xiǎn)管理的組織結(jié)構(gòu)、策略、及流程方面有較大差異，但對(duì)科技風(fēng)險(xiǎn)管理的重要性和緊迫性都有了清醒的認(rèn)識(shí)。信息科技

2、風(fēng)險(xiǎn)作為金融風(fēng)險(xiǎn)的重要組成部分逐漸引起監(jiān)管部門(mén)和銀行機(jī)構(gòu)的高度重視。2008年7月，銀監(jiān)會(huì)頒發(fā)了銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問(wèn)責(zé)方案，明確各銀行的法定代表人為本單位信息系統(tǒng)安全保障的第一責(zé)任人，并要求逐級(jí)簽訂信息系統(tǒng)安全保障責(zé)任書(shū)。2009年，銀監(jiān)會(huì)頒布了商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引，從信息科技治理、信息科技風(fēng)險(xiǎn)管理、信息安全、信息系統(tǒng)開(kāi)發(fā)測(cè)試和維護(hù)、信息科技運(yùn)行、業(yè)務(wù)連續(xù)性管理、外包、內(nèi)部審計(jì)、外部審計(jì)等方面，對(duì)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理工作提出了全面要求，成為各銀行機(jī)構(gòu)加強(qiáng)信息科技風(fēng)險(xiǎn)管理工作的指導(dǎo)性文件。銀監(jiān)會(huì)還將銀行的信息系統(tǒng)納入現(xiàn)場(chǎng)和非現(xiàn)場(chǎng)監(jiān)管，大力開(kāi)展信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查，對(duì)銀行的

3、信息科技風(fēng)險(xiǎn)防范工作提出了更高的標(biāo)準(zhǔn)和要求。2011年，銀監(jiān)會(huì)成立了銀行業(yè)信息科技風(fēng)險(xiǎn)管理高層指導(dǎo)委員會(huì)，專(zhuān)門(mén)研究銀行業(yè)信息化建設(shè)和信息科技風(fēng)險(xiǎn)管理等重大問(wèn)題，加大對(duì)銀行業(yè)科技風(fēng)險(xiǎn)管理高層指導(dǎo)的力度。人民銀行通過(guò)召開(kāi)信息安全相關(guān)會(huì)議、進(jìn)行信息科技風(fēng)險(xiǎn)評(píng)估、發(fā)布信息安全風(fēng)險(xiǎn)提示等形式，督促各銀行機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)防范工作。2011年12月，人民銀行召開(kāi)第八屆科技工作座談會(huì)，專(zhuān)題研討了銀行業(yè)科技風(fēng)險(xiǎn)管理問(wèn)題。國(guó)內(nèi)各大銀行在加快信息化建設(shè)的同時(shí)，也加大了信息科技風(fēng)險(xiǎn)管理的力度。工商銀行將信息科技風(fēng)險(xiǎn)管理納入了全行的全面風(fēng)險(xiǎn)管理體系，并作為一個(gè)重要領(lǐng)域進(jìn)行管理，內(nèi)容涉及科技治理、生產(chǎn)運(yùn)行、應(yīng)用研發(fā)、

4、信息安全等四個(gè)方面；成立了信息科技管理委員會(huì)，把審議信息科技風(fēng)險(xiǎn)管理和信息安全管理工作列為主要職能之一，董事會(huì)及全行風(fēng)險(xiǎn)管理委員會(huì)每年審核信息科技風(fēng)險(xiǎn)管理報(bào)告。農(nóng)業(yè)銀行大力推進(jìn)以組織體系、制度體系、技術(shù)體系為主要內(nèi)容的信息科技風(fēng)險(xiǎn)管理體系建設(shè)，開(kāi)展了面向軟件開(kāi)發(fā)、運(yùn)行管理、數(shù)據(jù)安全管理、基礎(chǔ)架構(gòu)管理、IT治理等五大領(lǐng)域的信息科技風(fēng)險(xiǎn)管控工作。建設(shè)銀行構(gòu)建了三個(gè)層面，三道防線(xiàn)的信息科技風(fēng)險(xiǎn)管理組織體系，建立了雙線(xiàn)匯報(bào)、雙重考核機(jī)制，大力開(kāi)展信息科技風(fēng)險(xiǎn)評(píng)估和IT審計(jì)工作。交通銀行成立了信息安全保障領(lǐng)導(dǎo)小組，建立了一支IT專(zhuān)職信息安全員隊(duì)伍，建立了信息科技風(fēng)險(xiǎn)的檢查、評(píng)估、監(jiān)測(cè)、報(bào)告機(jī)制。二、我行

5、信息科技風(fēng)險(xiǎn)管理的現(xiàn)狀“十一五”期間，隨著我行信息化建設(shè)實(shí)現(xiàn)又好又快跨越式發(fā)展，信息安全保障體系已初步建立，風(fēng)險(xiǎn)防控水平在實(shí)踐中不斷提高。一是組織機(jī)構(gòu)建設(shè)取得突破?？傂谐闪⒘诵畔⒒ㄔO(shè)委員會(huì)并制訂了信息化建設(shè)委員會(huì)工作規(guī)則，明確了職責(zé)和工作流程。信息化建設(shè)委員會(huì)由行長(zhǎng)擔(dān)任主任委員，分管行長(zhǎng)和有關(guān)部門(mén)負(fù)責(zé)人分別擔(dān)任副主任委員和委員，負(fù)責(zé)制定和審議信息化建設(shè)發(fā)展戰(zhàn)略規(guī)劃，審議重大信息化建設(shè)項(xiàng)目和事項(xiàng)。信息化建設(shè)委員會(huì)下設(shè)信息化建設(shè)項(xiàng)目實(shí)施審查小組，委托業(yè)務(wù)和技術(shù)專(zhuān)家審查信息化建設(shè)項(xiàng)目的可行性和潛在風(fēng)險(xiǎn)，審議項(xiàng)目立項(xiàng)、實(shí)施、上線(xiàn)、運(yùn)維、需求變更等重要事項(xiàng)。各省級(jí)分行成立了信息化建設(shè)領(lǐng)導(dǎo)小組（委員會(huì)）

6、，負(fù)責(zé)領(lǐng)導(dǎo)本級(jí)行信息化建設(shè)工作。這是我行科技治理上的一次飛躍，在實(shí)踐中發(fā)揮了顯著的作用。二是管理模式不斷優(yōu)化。一是總行按照“管理、運(yùn)維、研發(fā)”分離的原則，分別設(shè)立信息技術(shù)部（后更名為信息科技部）和營(yíng)運(yùn)中心，建成了軟件研發(fā)和災(zāi)備中心，并進(jìn)行了科學(xué)分工，從管理體制上防范了信息科技風(fēng)險(xiǎn)。二是實(shí)行“自主研發(fā)、合作研發(fā)與外包研發(fā)相結(jié)合”的研發(fā)機(jī)制，通過(guò)多條腿走路的方式，我行信息系統(tǒng)建設(shè)快速跟上了業(yè)務(wù)發(fā)展和強(qiáng)化管理的步伐。三是探索重要信息系統(tǒng)的常態(tài)化升級(jí)模式，對(duì)核心系統(tǒng)加強(qiáng)需求整合，今后將逐步形成穩(wěn)定的持續(xù)優(yōu)化、常態(tài)化升級(jí)和問(wèn)題解決模式。三是制度建設(shè)穩(wěn)步推進(jìn)?！笆晃濉逼陂g，我行建立了應(yīng)用系統(tǒng)風(fēng)險(xiǎn)提示和重

7、大問(wèn)題報(bào)告制度、系統(tǒng)維護(hù)月度工作報(bào)告和聯(lián)席會(huì)議制度，制定了重要信息系統(tǒng)等級(jí)保護(hù)辦法、信息系統(tǒng)突發(fā)事件應(yīng)急管理辦法、綜合業(yè)務(wù)會(huì)計(jì)應(yīng)用系統(tǒng)總行中心突發(fā)事件技術(shù)應(yīng)急處理預(yù)案、綜合業(yè)務(wù)系統(tǒng)應(yīng)用軟件運(yùn)行維護(hù)工作規(guī)程、軟件合作開(kāi)發(fā)跟蹤與控制管理辦法和省級(jí)分行軟件研發(fā)管理辦法等一系列制度規(guī)范，信息科技風(fēng)險(xiǎn)防范的制度體系初步建立。信息化建設(shè)“十二五”規(guī)劃確立了安全優(yōu)先的原則，對(duì)信息科技風(fēng)險(xiǎn)防控提出了明確的要求。四是基礎(chǔ)建設(shè)和技術(shù)保障不斷加強(qiáng)。一是建成了同業(yè)領(lǐng)先的“兩地三中心”災(zāi)備系統(tǒng)，有效保障了業(yè)務(wù)連續(xù)性。二是實(shí)施了省級(jí)分行、二級(jí)分行機(jī)房規(guī)范化建設(shè)，部署了總行數(shù)據(jù)中心集中監(jiān)控系統(tǒng)、省級(jí)分行和二級(jí)分行機(jī)房預(yù)警監(jiān)

8、控系統(tǒng)，部署了生產(chǎn)網(wǎng)、辦公網(wǎng)、外聯(lián)網(wǎng)防病毒系統(tǒng)和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，通過(guò)以上措施，從基礎(chǔ)設(shè)施、設(shè)備、網(wǎng)絡(luò)等方面有效防范了信息科技風(fēng)險(xiǎn)。三是開(kāi)展了年度信息安全檢查，每年對(duì)各級(jí)行進(jìn)行風(fēng)險(xiǎn)評(píng)估、隱患排查，并督促整改，提高了全行對(duì)信息安全工作的重視程度和工作力度。四是實(shí)施了解決一代支付系統(tǒng)單點(diǎn)故障項(xiàng)目，并為省級(jí)分行更換了支付系統(tǒng)前置機(jī)，從而實(shí)現(xiàn)了省級(jí)分行前置機(jī)與總行支付系統(tǒng)主機(jī)、總行支付系統(tǒng)主機(jī)與綜合業(yè)務(wù)系統(tǒng)主機(jī)連接均為雙機(jī)熱備模式，解決了我行支付系統(tǒng)存在的安全隱患。目前，我行在信息科技風(fēng)險(xiǎn)管理方面還存在一些不足，主要表現(xiàn)在：缺乏信息科技風(fēng)險(xiǎn)管理的總體規(guī)劃和策略；機(jī)構(gòu)設(shè)置和人員配備不能滿(mǎn)足需要，信息科技

9、風(fēng)險(xiǎn)防范職能還需強(qiáng)化；制度規(guī)范標(biāo)準(zhǔn)的制定相對(duì)滯后，沒(méi)有達(dá)到全覆蓋，尤其缺少完善的具有針對(duì)性和可操作性的應(yīng)急預(yù)案；風(fēng)險(xiǎn)防范的技術(shù)手段還不完善，某些環(huán)節(jié)需要加強(qiáng)；缺少信息科技風(fēng)險(xiǎn)管理的專(zhuān)家級(jí)人才。三、加強(qiáng)和改進(jìn)我行信息科技風(fēng)險(xiǎn)管理的建議總體思路是：提高認(rèn)識(shí)，樹(shù)立信息科技風(fēng)險(xiǎn)管理理念；健全信息科技風(fēng)險(xiǎn)管理機(jī)制，推進(jìn)組織體系、制度體系和技術(shù)體系建設(shè)；加強(qiáng)信息系統(tǒng)生命周期的全過(guò)程風(fēng)險(xiǎn)管理，突出抓好重點(diǎn)環(huán)節(jié)的風(fēng)險(xiǎn)管控；重視隊(duì)伍建設(shè)，為信息科技風(fēng)險(xiǎn)管理工作提供強(qiáng)有力的人力保障。（一）提高認(rèn)識(shí)，樹(shù)立理念過(guò)去，信息科技風(fēng)險(xiǎn)的重要性是隨著信息化建設(shè)的發(fā)展逐漸被認(rèn)識(shí)的，因此，信息科技風(fēng)險(xiǎn)管理工作被動(dòng)滯后，水平不高。

10、今后，隨著銀行業(yè)應(yīng)用系統(tǒng)的橫向整合和數(shù)據(jù)的縱向大集中，小的疏漏和失誤往往會(huì)產(chǎn)生“蝴蝶效應(yīng)”，誘發(fā)重特大信息安全事故，因此，要堅(jiān)持科技發(fā)展和風(fēng)險(xiǎn)管理并重的原則，把信息科技風(fēng)險(xiǎn)管理工作提高到戰(zhàn)略高度、全局高度，做到科學(xué)籌劃、總體布局、注重細(xì)節(jié)；將信息風(fēng)險(xiǎn)控制前移，把風(fēng)險(xiǎn)管控貫穿于信息化建設(shè)的全過(guò)程，將技術(shù)防范為主的被動(dòng)信息安全工作，轉(zhuǎn)變?yōu)橐灶A(yù)防為主的主動(dòng)信息科技風(fēng)險(xiǎn)管控；信息科技風(fēng)險(xiǎn)管理工作不是單一的技術(shù)工作，不止是信息科技和營(yíng)運(yùn)管理部門(mén)的工作，而是一項(xiàng)全行性的工作，各級(jí)行和各部門(mén)“一把手”應(yīng)對(duì)信息安全工作負(fù)主要責(zé)任，業(yè)務(wù)、信息科技、營(yíng)運(yùn)、風(fēng)險(xiǎn)、審計(jì)、法律合規(guī)等部門(mén)應(yīng)共同推進(jìn)、共擔(dān)風(fēng)險(xiǎn)，樹(shù)立安全優(yōu)

11、先、穩(wěn)中求進(jìn)的理念。（二）完善組織體系，強(qiáng)化職能雖然我行已經(jīng)建立起信息科技治理的組織機(jī)構(gòu)，但還處于探索階段，需要在實(shí)踐中不斷完善。例如，現(xiàn)有的信息化建設(shè)委員會(huì)工作規(guī)則中沒(méi)有突出強(qiáng)調(diào)信息科技風(fēng)險(xiǎn)防范，只是在信息化建設(shè)項(xiàng)目實(shí)施審查小組的職責(zé)中要求專(zhuān)家組對(duì)項(xiàng)目實(shí)施的業(yè)務(wù)和技術(shù)風(fēng)險(xiǎn)進(jìn)行審查，在實(shí)際操作中，由于風(fēng)險(xiǎn)審查是在立項(xiàng)階段，此時(shí)還沒(méi)有一個(gè)完整的業(yè)務(wù)需求和技術(shù)方案，業(yè)務(wù)和技術(shù)風(fēng)險(xiǎn)審查被進(jìn)一步弱化?？傂酗L(fēng)險(xiǎn)管理部提出了全面風(fēng)險(xiǎn)管理體系建設(shè)的指導(dǎo)意見(jiàn)，并成立了總行風(fēng)險(xiǎn)管理委員會(huì)，但在指導(dǎo)意見(jiàn)中，只提到了IT風(fēng)險(xiǎn)（“指我行在業(yè)務(wù)經(jīng)營(yíng)中，運(yùn)用IT技術(shù)有缺失所產(chǎn)生的風(fēng)險(xiǎn)”），而信息科技風(fēng)險(xiǎn)是指在運(yùn)用信息科技

12、過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的風(fēng)險(xiǎn)，顯然范圍更為寬泛，也更符合我行的實(shí)際。信息科技風(fēng)險(xiǎn)管理在風(fēng)險(xiǎn)管理委員會(huì)工作規(guī)則中也沒(méi)有突出強(qiáng)調(diào)。為了突出和強(qiáng)化信息科技風(fēng)險(xiǎn)管理職能，加強(qiáng)對(duì)信息科技風(fēng)險(xiǎn)管理工作的組織領(lǐng)導(dǎo)，總行可在信息化建設(shè)委員會(huì)下設(shè)立信息科技風(fēng)險(xiǎn)防控領(lǐng)導(dǎo)小組，專(zhuān)門(mén)負(fù)責(zé)信息科技風(fēng)險(xiǎn)防范機(jī)制的建設(shè)，制定信息科技風(fēng)險(xiǎn)防范策略、規(guī)劃，協(xié)調(diào)信息科技、營(yíng)運(yùn)、風(fēng)險(xiǎn)、內(nèi)審、法律等部門(mén)的風(fēng)險(xiǎn)防控工作，組織和領(lǐng)導(dǎo)重大信息安全事故的應(yīng)急處置工作，每年審閱并向銀監(jiān)會(huì)報(bào)送信息科技風(fēng)險(xiǎn)管理的年度報(bào)告?？傂行畔⒖萍疾吭O(shè)立信息安全管理處，負(fù)責(zé)信息科技風(fēng)險(xiǎn)防控領(lǐng)導(dǎo)小組的日常工作并督促落實(shí)審議通過(guò)的事

13、項(xiàng)，起草信息安全相關(guān)制度、規(guī)范，制定應(yīng)急預(yù)案、技術(shù)方案，負(fù)責(zé)信息科技風(fēng)險(xiǎn)監(jiān)測(cè)、檢查、評(píng)估、報(bào)告和整改，負(fù)責(zé)重大信息安全事故應(yīng)急處置的具體工作。各級(jí)分行、支行設(shè)立專(zhuān)門(mén)的信息科技風(fēng)險(xiǎn)管理崗位，履行相應(yīng)的職能?？傂酗L(fēng)險(xiǎn)管理委員會(huì)可聽(tīng)取信息科技風(fēng)險(xiǎn)防控領(lǐng)導(dǎo)小組關(guān)于信息科技風(fēng)險(xiǎn)管理工作的專(zhuān)題報(bào)告，并將其納入我行全面風(fēng)險(xiǎn)管理總結(jié)報(bào)告中，同時(shí)對(duì)信息科技風(fēng)險(xiǎn)防控領(lǐng)導(dǎo)小組的工作提出指導(dǎo)性的意見(jiàn)和建議。內(nèi)部審計(jì)部設(shè)立專(zhuān)門(mén)的信息科技風(fēng)險(xiǎn)審計(jì)崗位，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對(duì)信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)，對(duì)審計(jì)報(bào)告進(jìn)行確認(rèn)并落實(shí)整改。法律合規(guī)部加強(qiáng)信息科技工作中有關(guān)法律

14、和合規(guī)性審查，防范法律風(fēng)險(xiǎn)。（三）完善制度體系，狠抓落實(shí)建立完備的信息科技風(fēng)險(xiǎn)防范制度體系，就是制定一整套覆蓋信息科技工作全流程、涉及信息科技工作各方面的辦事規(guī)程或行為準(zhǔn)則，以此規(guī)范和約束人的行為，達(dá)到防控信息科技風(fēng)險(xiǎn)的目的。信息科技風(fēng)險(xiǎn)防范制度體系包括縱向三個(gè)層次和橫向九個(gè)方面的制度規(guī)范。三個(gè)層次是指規(guī)劃策略層、管理制度層和操作規(guī)程層。九個(gè)方面是指科技治理、基礎(chǔ)建設(shè)、軟件研發(fā)、系統(tǒng)運(yùn)維、數(shù)據(jù)管理、設(shè)備管理、網(wǎng)絡(luò)管理、人員管理和應(yīng)急管理。規(guī)劃策略是由總行（信息科技風(fēng)險(xiǎn)防控領(lǐng)導(dǎo)小組）制定的，關(guān)于信息科技風(fēng)險(xiǎn)防范的總體思路、目標(biāo)、計(jì)劃、要求和實(shí)施策略，與我行業(yè)務(wù)發(fā)展規(guī)劃和信息科技總體規(guī)劃保持一致。

15、管理制度是相關(guān)部門(mén)（業(yè)務(wù)部門(mén)、信息科技部、營(yíng)運(yùn)中心、風(fēng)險(xiǎn)管理部、內(nèi)部審計(jì)部等）為履行信息科技風(fēng)險(xiǎn)管理職責(zé)制定的各項(xiàng)制度，是規(guī)劃策略在各個(gè)方面的具體體現(xiàn)。操作規(guī)程是針對(duì)具體系統(tǒng)、崗位和角色制定的工作程序和具體要求，是管理制度的細(xì)化。制度體系建設(shè)需要把握幾個(gè)環(huán)節(jié)，一是制度調(diào)研。學(xué)習(xí)國(guó)內(nèi)外同業(yè)的先進(jìn)經(jīng)驗(yàn)及做法，結(jié)合我行的實(shí)際情況有選擇的借鑒；對(duì)我行現(xiàn)有的制度進(jìn)行梳理，并根據(jù)我行信息化建設(shè)發(fā)展需要和科技風(fēng)險(xiǎn)防控要求，提出制度增加、修改、廢止建議。二是制度制定。制度起草前廣泛征求專(zhuān)家意見(jiàn)，集思廣益，把先進(jìn)的經(jīng)驗(yàn)和理念融入到制度中；注重制度架構(gòu)設(shè)計(jì)，避免制度缺失和重疊；嚴(yán)格制度評(píng)審和頒布，保證制度的權(quán)威性

16、。三是制度執(zhí)行。進(jìn)行制度的宣傳和必要的培訓(xùn)，使相關(guān)人員和部門(mén)知道有章可依，增強(qiáng)照章辦事的意識(shí)；加強(qiáng)制度執(zhí)行情況的監(jiān)督和檢查，狠抓落實(shí)，采取獎(jiǎng)懲等措施增強(qiáng)執(zhí)行力。四是制度完善。在制度執(zhí)行的過(guò)程中，及時(shí)發(fā)現(xiàn)制度中的漏洞和缺陷，采取有效措施（如：發(fā)布補(bǔ)充規(guī)定、相關(guān)說(shuō)明等）進(jìn)行修補(bǔ)；當(dāng)制度的具體內(nèi)容已不符合現(xiàn)實(shí)情況時(shí)，應(yīng)重新修訂；針對(duì)新上線(xiàn)的系統(tǒng)或新增的工作內(nèi)容，都要及時(shí)制定相應(yīng)的制度規(guī)范或應(yīng)急預(yù)案加以管理。（四）完善技術(shù)保障體系，抓好重點(diǎn)環(huán)節(jié)。信息科技工作本身就是技術(shù)性很強(qiáng)的工作，信息科技風(fēng)險(xiǎn)管理涉及信息科技工作的方方面面，每一項(xiàng)具體工作的落實(shí)都離不開(kāi)專(zhuān)業(yè)技術(shù)的保障。完善技術(shù)保障體系，就是要在信息科

17、技風(fēng)險(xiǎn)管理工作的各個(gè)方面、各個(gè)環(huán)節(jié)加強(qiáng)先進(jìn)技術(shù)手段的運(yùn)用，提高技術(shù)應(yīng)用水平，注重技術(shù)創(chuàng)新性研究，充分發(fā)揮信息技術(shù)在信息科技風(fēng)險(xiǎn)防范中的重要作用。目前，我行在軟件研發(fā)、機(jī)房建設(shè)、網(wǎng)絡(luò)建設(shè)、災(zāi)備系統(tǒng)建設(shè)、運(yùn)行監(jiān)控等方面均采用了較高的技術(shù)標(biāo)準(zhǔn)和先進(jìn)的技術(shù)手段，提高了風(fēng)險(xiǎn)防范的水平，但在應(yīng)急管理、風(fēng)險(xiǎn)評(píng)估、審計(jì)監(jiān)督環(huán)節(jié)上還有待加強(qiáng)。一是應(yīng)急管理。我行目前的應(yīng)急管理工作存在較大風(fēng)險(xiǎn)隱患，須引起高度重視，主要表現(xiàn)為應(yīng)急處置預(yù)案不完善、不全面，沒(méi)有涵蓋所有系統(tǒng)，有些內(nèi)容一直沒(méi)有經(jīng)過(guò)應(yīng)急演練驗(yàn)證。隨著我行應(yīng)用系統(tǒng)的不斷增多，相應(yīng)的管理制度和應(yīng)急預(yù)案應(yīng)及時(shí)配套出臺(tái)，應(yīng)急預(yù)案要加強(qiáng)針對(duì)性和可操作性，要明確應(yīng)急領(lǐng)導(dǎo)

18、機(jī)構(gòu)、人員、職責(zé)、設(shè)備、流程、要求等內(nèi)容要素，要特別注重加強(qiáng)與我行業(yè)務(wù)部門(mén)以及消防、通信、電力行業(yè)部門(mén)的溝通配合，善于利用日常系統(tǒng)維護(hù)、調(diào)試、改造以及新系統(tǒng)上線(xiàn)等機(jī)會(huì)相機(jī)進(jìn)行跨部門(mén)、跨機(jī)構(gòu)甚至跨區(qū)域的實(shí)戰(zhàn)演練，在應(yīng)急演練中不斷改進(jìn)應(yīng)急預(yù)案。二是風(fēng)險(xiǎn)評(píng)估。我行每年都要開(kāi)展信息安全檢查工作，雖然在一定程度上促進(jìn)了信息安全防控工作。但是，由于多方面原因，安全檢查只限于局部，風(fēng)險(xiǎn)隱患依然難以摸清，全面風(fēng)險(xiǎn)評(píng)估工作應(yīng)該提上議事日程。全面風(fēng)險(xiǎn)評(píng)估的目的就是查找我行信息科技工作中存在的風(fēng)險(xiǎn)隱患，確定風(fēng)險(xiǎn)等級(jí)及整改措施，未雨綢繆，防患于未燃。首先要制定評(píng)估指標(biāo)體系，制定評(píng)估的計(jì)劃、方法和手段，其次對(duì)系統(tǒng)設(shè)計(jì)、

19、開(kāi)發(fā)、測(cè)試、運(yùn)維全流程，對(duì)機(jī)房、網(wǎng)絡(luò)、設(shè)備、供應(yīng)商等多個(gè)方面，對(duì)性能和容量規(guī)劃、可用性、可靠性、安全性、可維護(hù)性、操作性、產(chǎn)品及服務(wù)等全方位評(píng)估，梳理出風(fēng)險(xiǎn)點(diǎn)，最后評(píng)價(jià)風(fēng)險(xiǎn)點(diǎn)對(duì)業(yè)務(wù)的潛在影響，對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別（包括人力、財(cái)力、外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。三是審計(jì)監(jiān)督。如果說(shuō)基礎(chǔ)設(shè)施建設(shè)、軟件研發(fā)、系統(tǒng)運(yùn)維中的風(fēng)險(xiǎn)控制是信息科技風(fēng)險(xiǎn)管理的第一道防線(xiàn)，安全檢查、風(fēng)險(xiǎn)評(píng)估和監(jiān)測(cè)是第二道防線(xiàn)，那么信息科技審計(jì)就是信息科技風(fēng)險(xiǎn)管理的第三道防線(xiàn)。信息科技審計(jì)就是審計(jì)部門(mén)或機(jī)構(gòu)對(duì)信息安全控制措施是否完備所做的鑒證過(guò)程，可分為內(nèi)部審計(jì)和外部審計(jì)。內(nèi)部審計(jì)是由內(nèi)部審計(jì)部實(shí)施，內(nèi)容包括制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評(píng)估信息系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性，在此基礎(chǔ)上提出整改意見(jiàn)并檢查落實(shí)情況，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)認(rèn)為必要的特殊事項(xiàng)進(jìn)行信息科技專(zhuān)項(xiàng)審計(jì)。內(nèi)部審計(jì)范圍和頻率應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果