健全機制加強管理提升銀行信息科技風險防控水平

10健全機制加強治理提升銀行信息科技風險防控水平近年來，隨著信息技術的飛速進展，我國銀行業(yè)信息化程度越治理已刻不容緩。一、我國銀行業(yè)信息科技風險治理整體狀況人民銀行行長助理李東榮在第八屆科技工作座談會上指出，我的重要組成局部漸漸引起監(jiān)管部門和銀行機構的高度重視。2008年7月，銀監(jiān)會頒發(fā)了《銀行業(yè)金融機構信息系統(tǒng)安全保障2009息科技風險治理、信息安全、信息系統(tǒng)開發(fā)測試和維護、信息科技運行、業(yè)務連續(xù)性治理、外包、內部審計、外部審計等方面，對商業(yè)銀行信息科技風險治理工作提出了全面要求，成為各銀行機構加強信息科技風險治理工作的指導性文件。銀監(jiān)會還將銀行的信息系統(tǒng)納入現(xiàn)場和非現(xiàn)場監(jiān)管，大力開展信息科技風險現(xiàn)場檢查，對銀行的信息科技風險防范工作提出了更高的標準和要求。2011年，銀監(jiān)會成立了銀行業(yè)信息科技風險治理高層指導委員會，特地爭論銀行業(yè)信息化建設和信息科技風險治理等重大問題，加大對銀行業(yè)科技風險治理高層指導的力度。人民銀行通過召開信息安全相關會議、進展信息科技風險評估、公布信息安全風險提示等形式，催促201112開第八屆科技工作座談會，專題研討了銀行業(yè)科技風險治理問題。國內各大銀行在加快信息化建設的同時，也加大了信息科技風險治理的力度。工商銀行將信息科技風險治理納入了全行的全面風險治理體系，并作為一個重要領域進展治理，內容涉及科技治理、生產運行、應用研發(fā)、信息安全等四個方面；成立了信息科技治理委員會，把審議信息科技風險治理和信息安全治理工作列為主要職能之一，董事會及全行風險治理委員會每年審核信息科技風險治理報告。農業(yè)銀行大力推動以組織體系、制度體系、技術體系為主要內容的信息科技風險治理體系建設，開展了面對軟件開發(fā)、運行治理、數(shù)據安全治理、根底架構治理、IT治理等五大領域的信息科技風險管控工作。建設銀行構建了‘三個層面，三道防線’的信息科技風險治理組織體系，建立了雙線匯報、雙重考核機制，大力開展IT導小組，建立了一支IT專職信息安全員隊伍，建立了信息科技風險的檢查、評估、監(jiān)測、報告機制。二、我行信息科技風險治理的現(xiàn)狀?十一五?期間，隨著我行信息化建設實現(xiàn)又好又快跨越式進展高。制訂了《信息化建設委員會工作規(guī)章息化建設委員會由行長擔當主任委員，分管行長和有關部門負責人分別擔當副主任委員和委員，負責制定和審議信息化建設進展戰(zhàn)略規(guī)劃，審議重大信息化建設工程和事項。信息化建設委員會下設信息化建設工程實施審查小組，托付業(yè)務和技術專家審查信息化建設工程的可行性和潛在風險，審議工程立項、實施、上線、運維、需求變更等重要事項。各省級分行成立了信息化建設領導小組〔委員會飛躍，在實踐中發(fā)揮了顯著的作用。二是治理模式不斷優(yōu)化。一是總行依據?治理、運維、研發(fā)?分別的原則，分別設立信息技術部〔后更名為信息科技部〕和營運中心，建成了軟件研發(fā)和災備中心，并進展了科學分工，從治理體“自主研發(fā)、合作研發(fā)與外包研的研發(fā)機制，通過多條腿走路的方式，我行信息系統(tǒng)建設快速跟上了業(yè)務進展和強化治理的步伐。三是探究重要信息系統(tǒng)的常態(tài)化升級模式，對核心系統(tǒng)加強需求整合，今后將逐步形成穩(wěn)定的持續(xù)優(yōu)化、常態(tài)化升級和問題解決模式。?十一五?期間，我行建立了應用系統(tǒng)風險提示和重大問題報告制度、系統(tǒng)維護月度工作報告和聯(lián)席會議制度，制定了重要信息系統(tǒng)等級保護方法、信息系統(tǒng)突發(fā)大事應急治理方法、綜合業(yè)務會計應用系統(tǒng)總行中心突發(fā)大事技術應急處理預案、綜合業(yè)務系統(tǒng)應用軟件運行維護工作規(guī)程、軟件合作開發(fā)跟蹤與掌握治理方法和省級分行軟件研發(fā)治理方法等一系列制度規(guī)范，信息科技風險防范的制度體系初步建立。信息化建設??求。四是根底建設和技術保障不斷加強。一是建成了同業(yè)領先的?兩地三中心?災備系統(tǒng)，有效保障了業(yè)務連續(xù)性。二是實施了省決了我行支付系統(tǒng)存在的安全隱患。目前，我行在信息科技風險治理方面還存在一些缺乏，主要表需要加強；缺少信息科技風險治理的專家級人才。三、加強和改進我行信息科技風險治理的建議總體思路是：提高生疏，樹立信息科技風險治理理念；健全信加強信息系統(tǒng)生命周期的全過程風險治理，突出抓好重點環(huán)節(jié)的風力保障?！惨弧程岣呱?，樹立理念過去，信息科技風險的重要性是隨著信息化建設的進展?jié)u漸被隨著銀行業(yè)應用系統(tǒng)的橫向整合和數(shù)據的縱向大集中，小的疏漏和失誤往往會產生?蝴蝶效應，誘發(fā)重特大信息安全事故，因此，要堅持科技進展和風險治理并重的原則，把信息科技風險治理工作提高到戰(zhàn)略高度、全局高度，做到科學籌劃、總體布局、留意細節(jié)；將信息風險掌握前移，把風險管控貫穿于信息化建設的全過程，將技術防范為主的被動信息安全工作，轉變?yōu)橐灶A防為主的主動信息科技風險管控；信息科技風險治理工作不是單一的技術工作，不止是信息科技和營運治理部門的工作，而是一項全行性的工作，各級行和各部門?一把手?應對信息安全工作負主要責任，業(yè)務、信息樹立安全優(yōu)先、穩(wěn)中求進的理念。〔二〕完善組織體系，強化職能雖然我行已經建立起信息科技治理的組織機構，但還處于探究化?？傂酗L險治理部提出了全面風險治理體系建設的指導意見，并IT?指我行在業(yè)務經營中，運用IT技術有缺失所產生的風險技風險是指在運用信息科技過程中，由于自然因素、人為因素、技術漏洞和治理缺陷產生的風險，明顯范圍更為廣泛，也更符合我行的實際。信息科技風險治理在風險治理委員會工作規(guī)章中也沒有突出強調。為了突出和強化信息科技風險治理職能，加強對信息科技風險治理工作的組織領導，總行可在信息化建設委員會下設立信息科技風險防控領導小組，特地負責信息科技風險防范機制的建設，制定法律等部門的風險防控工作，組織和領導重大信息安全事故的應急總行信息科技部設立信息安全治理處，負責信息科技風險防控領導小組的日常工作并催促落實審議通過的事項，起草信息安全相關制度、標準，制定應急預案、技術方案，負責信息科技風險監(jiān)測、檢查、評估、報告和整改，負責重大信息安全事故應急處臵的具體工作。各級分行、支行設立特地的信息科技風險治理崗位，履行相應的職能?？傂酗L險治理委員會可聽取信息科技風險防控領導小組關于信息科技風險治理工作的專題報告，并將其納入我行全面風險管理總結報告中，同時對信息科技風險防控領導小組的工作提出指導性的意見和建議。內部審計部設立特地的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大大事等進展審計，對審計報告進展確認并落實整改。法律合規(guī)部加強信息科技工作中有關法律和合規(guī)性審查，防范法律風險?！踩惩晟浦贫润w系，狠抓落實建立完備的信息科技風險防范制度體系，就是制定一整套掩蓋信息科技風險防范制度體系包括縱向三個層次和橫向九個方面的制度標準。三個層次是指規(guī)劃策略層、治理制度層和操作規(guī)程層?！持贫ǖ?，關于信息科技風險防范〔業(yè)務部門、〕為履行信息要求，是治理制度的細化。制度體系建設需要把握幾個環(huán)節(jié)，一是制度調研。學習國內外到制度中；留意制度架構設計，避開制度缺失和重疊；嚴格制度評審和公布，保證制度的權威性。三是制度執(zhí)行。進展制度的宣傳和必要的培訓，使相關人員和部門知道有章可依，增加照章辦事的意識；加強制度執(zhí)行狀況的監(jiān)視和檢查，狠抓落實，實行獎懲等措施增加執(zhí)行力。四是制度完善。在制度執(zhí)行的過程中，準時覺察制度〔如：公布補充規(guī)定、相關說明等〕進展修補；當制度的具體內容已不符合現(xiàn)實狀況時，應重修訂；針對上線的系統(tǒng)或增的工作內容，都要準時制定相應的制度規(guī)范或應急預案加以治理?！菜摹惩晟萍夹g保障體系，抓好重點環(huán)節(jié)。信息科技工作本身就是技術性很強的工作，信息科技風險治理計監(jiān)視環(huán)節(jié)上還有待加強。一是應急治理。我行目前的應急治理工作存在較大風險隱患，用系統(tǒng)的不斷增多，相應的治理制度和應急預案應準時配套出臺，構甚至跨區(qū)域的實戰(zhàn)演練，在應急演練中不斷改進應急預案。二是風險評估。我行每年都要開展信息安全檢查工作，雖然在肯定程度上促進了信息安全防控工作。但是，由于多方面緣由，安全檢查只限于局部，風險隱患照舊難以摸清，全面風險評估工作應該提上議事日程。全面風險評估的目的就是查找我行信息科技工作中存在的風險隱患，確定風險等級及整改措施，未雨綢繆，防患于未燃。首先要制定評估指標體系，制定評估的打算、方法和手段，可維護性、操作性、產品及效勞等全方位評估，梳理出風險點，最后評價風險點對業(yè)務的潛在影響，對風險點進展排序，并確定風險防范措施及所需資源的優(yōu)先級別〔包括人力、財力、外包供給商、產品供給商和效勞商。三是審計監(jiān)視。假設說根底設施建設、軟件研發(fā)、系統(tǒng)運維中措施是否完備所做的鑒證過程，可分為內部審計和外部審計。內部審計是由內部審計部實施，內容包括制定、實施和調整審計打算，檢查和評估信息系統(tǒng)和內控機制的充分性和有效性，在此根底上提出整改意見并檢查落實狀況，依據風險評估結果對認為必要的特別規(guī)模和簡單程度，信息科技應用狀況，以及信息科技風險評估結果而打算，至少應每三年進展一次全面審計。外部審計是指在符合法律、法規(guī)和監(jiān)管要求的狀況下，托付具備相應資質的外部審計機構信息系統(tǒng)開發(fā)、運維和使用之外的一項工作，客觀公正，對防范信息科技風險具有極大的意義?！参濉臣訌婈犖榻ㄔO，增加可持續(xù)進展力量。目前，我行業(yè)務進展對信息科技需求的快速增長與信息科技力氣的嚴峻缺乏，已成為我行信息化建設中的主要沖突之一。科技隊伍無論在數(shù)量上還是質量上，都滿足不了現(xiàn)實需求和信息化建設可持續(xù)進展的要求。這一問題已引起總行黨委的高度重視?全面推動人才進展戰(zhàn)略?已列入信息化建設??規(guī)劃，近期，總行行長在講話中特地強調了信息科技人才的引進、培育、選拔、崗