完善信息科技治理架構提升IT風(fēng)險管理水平論文

完善信息科技治理架構提升IT風(fēng)險管理水平論文

　　記者近日采訪(fǎng)了廣東發(fā)展銀行股份有限公司(以下簡(jiǎn)稱(chēng)“廣發(fā)行”)信息技術(shù)部負責人徐徽，通過(guò)她的介紹可深入了解目前國內商業(yè)銀行的風(fēng)險規避之道。

　　記者：為什么說(shuō)信息科技風(fēng)險管理對于商業(yè)銀行是特別重要的一環(huán)?

　　徐徽：近年來(lái)，風(fēng)險管理已成為商業(yè)銀行經(jīng)營(yíng)管理活動(dòng)的主旋律，信息科技風(fēng)險作為銀行風(fēng)險的重要組成部分，受到越來(lái)越多的重視。從商業(yè)銀行的角度看，這源于兩方面的驅動(dòng)因素。

　　一是內在驅動(dòng)因素。目前信息技術(shù)已深入到商業(yè)銀行經(jīng)營(yíng)管理的各個(gè)領(lǐng)域，幾乎所有的改革發(fā)展任務(wù)都與信息技術(shù)密切相關(guān)，不管是業(yè)務(wù)的發(fā)展，還是管理的提升，都需要信息技術(shù)的配套支持。但是，信息技術(shù)固有的風(fēng)險，包括信息系統軟硬件本身的脆弱性、數據集中導致的風(fēng)險集中等，是客觀(guān)存在且難以完全規避的。由于技術(shù)原因造成區域性和系統性的金融風(fēng)險進(jìn)而帶來(lái)嚴重的社會(huì )影響，在國內外都有很多案例。因此，信息技術(shù)在促進(jìn)銀行業(yè)務(wù)發(fā)展、推動(dòng)金融創(chuàng )新的同時(shí)，也使銀行業(yè)務(wù)面臨巨大的安全隱患，信息科技風(fēng)險牽一發(fā)而動(dòng)全身，信息系統的安全性和可靠性關(guān)系到商業(yè)銀行整體經(jīng)營(yíng)管理活動(dòng)的穩定，應該得到而且已經(jīng)得到了所有商業(yè)銀行的重視。

　　二是外在驅動(dòng)因素。近幾年，中國人民銀行、銀監會(huì )等監管機構對于商業(yè)銀行信息科技風(fēng)險的監管要求越來(lái)越嚴、越來(lái)越細。銀監會(huì )2009年3月下發(fā)的《商業(yè)銀行信息科技風(fēng)險管理指引》，從IT治理、風(fēng)險管理策略、信息安全、開(kāi)發(fā)測試和生產(chǎn)運行管理等方面對商業(yè)銀行提出了具體而細致的風(fēng)險管理要求，對于商業(yè)銀行加強信息安全管理、防范信息技術(shù)風(fēng)險起到了重要的指導作用。同時(shí)，銀監會(huì )將商業(yè)銀行的信息系統納入現場(chǎng)和非現場(chǎng)監管，大力開(kāi)展信息科技風(fēng)險現場(chǎng)檢查，對商業(yè)銀行的信息科技風(fēng)險防范工作提出了更髙的標準和要求。監管力度的加大，促使商業(yè)銀行針對信息技術(shù)風(fēng)險防控制定出更強有力的措施，不斷提髙信息安全風(fēng)險管理水平。

　　在上述內部要求和外部環(huán)境的雙重要求和驅動(dòng)下，商業(yè)銀行信息科技風(fēng)險管理的重要性日益凸顯，信息安全管理成了各行科技工作的主題。

　　記者：現階段，我國金融機構面臨的信息科技風(fēng)險主要來(lái)源于哪些方面?

　　徐徽：要嚴控信息科技風(fēng)險，就要先弄清楚風(fēng)險的來(lái)源，并根據不同來(lái)源對癥下藥。概括來(lái)說(shuō)，信息科技風(fēng)險主要來(lái)自四個(gè)方面：一是自然原因導致的風(fēng)險，包括地震、臺風(fēng)等自然災害造成的風(fēng)險，這類(lèi)風(fēng)險往往很難主動(dòng)防范，只能被動(dòng)防御，通過(guò)事前建立完善的業(yè)務(wù)連續性方案和應急預案，事后及時(shí)啟動(dòng)應急方案和補救措施來(lái)彌補;二是系統風(fēng)險，是由信息系統相關(guān)軟硬件的缺陷引起的，包括基礎設施和硬件設備老化、系統軟件缺陷、應用軟件開(kāi)發(fā)測試質(zhì)量缺陷等，需要通過(guò)改善軟硬件環(huán)境、完善應用軟件來(lái)防范;三是管理缺陷導致的風(fēng)險，是由管理制度的缺失或組織架構的制衡機制不完善引起的，需要從IT治理架構和管理機制上彌補管理和制度的空白及漏洞;四是人員違規操作風(fēng)險，是由人員有意或無(wú)意的違規操作引起的，需要加強員工的安全培訓和操作培訓，提髙人員的信息安全意識和操作水平。其中，后三類(lèi)風(fēng)險需要以主動(dòng)防范為主要安全管理措施，要建立風(fēng)險事前防范、事中控制、事后監督和糾正的機制。

　　記者：為保障銀行業(yè)務(wù)的安全，廣發(fā)行信息科技風(fēng)險管控采取了哪些具體措施?

　　徐徽：嚴控風(fēng)險是我行2009年工作的主旋律之一，這也是行長(cháng)辛邁豪在1月全行工作會(huì )議上確立的指導思想，在信息技術(shù)方面的定位就是“加強信息技術(shù)風(fēng)險管控，將信息技術(shù)風(fēng)險納入銀行全面風(fēng)險管理體系”。信息安全管理工作是2009年全行科技工作的重點(diǎn)任務(wù)，是優(yōu)先投入資源、重點(diǎn)保障的工作目標。由此可見(jiàn)我行對于信息科技風(fēng)險管理的重視。

　　現階段，根據我行技術(shù)和管理的實(shí)際情況，信息科技風(fēng)險管理采用“廣度優(yōu)先、逐步提升”的策略，重點(diǎn)在管理、技術(shù)、人員等方面提升信息安全管理水平和管理能力，建立管理與技術(shù)結合的全方位的風(fēng)險管理體系，變被動(dòng)應對為主動(dòng)防范。具體說(shuō)來(lái)，主要采取以下幾方面的措施開(kāi)展信息安全工作。

　　第一，將信息科技風(fēng)險管理和信息安全納入我行五年科技戰略規劃的實(shí)施目標。為了提髙信息技術(shù)整體核心競爭力，提升信息技術(shù)對業(yè)務(wù)戰略發(fā)展的長(cháng)期可持續支持能力，我行于2008年完成了五年科技戰略規劃目標和實(shí)施路徑的制定，信息科技風(fēng)險管理和信息安全是科技規劃的重要組成部分之一�？萍家巹澲忻鞔_了信息安全工作的中長(cháng)期目標，定義了信息安全機制建設、信息安全相關(guān)系統和管理平臺建設等多方面的信息安全管理實(shí)施路徑，我行在未來(lái)幾年內將根據科技規劃的實(shí)施路徑逐步開(kāi)展信息安全建設，提升信息風(fēng)險防控能力。

　　第二，完善信息科技治理，大力開(kāi)展信息科技風(fēng)險管理機制建設，建立信息科技風(fēng)險管理制度基礎。以前，國內商業(yè)銀行的信息安全管理普遍存在一個(gè)誤區，認為部署了髙性能的硬件設備、實(shí)現了雙機熱備份、做好了生產(chǎn)運行風(fēng)險控制，就算完成了信息科技風(fēng)險控制的工作。其實(shí)不然，因為信息安全不單是技術(shù)問(wèn)題，更是管理問(wèn)題，只有持續完善信息科技治理架構，從組織架構和制度等管理層面采取防范措施，才能真正實(shí)現信息安全管理的目標。我行在信息科技治理方面的措施主要包括三個(gè)方面。首先，認真學(xué)習和領(lǐng)會(huì )監管機構對信息技術(shù)風(fēng)險控制的要求，吸收借鑒同業(yè)經(jīng)驗，將監管要求和同業(yè)經(jīng)驗轉化為行內工作規范，建立系統完善的信息技術(shù)風(fēng)險管理組織架構和機制，建立了三道防線(xiàn)、三個(gè)小組和三項機制。三道防線(xiàn)是明確了信息技術(shù)部、合規部、稽核部為主體的信息技術(shù)風(fēng)險三道防線(xiàn)的職能分工;三個(gè)小組是成立了信息系統突發(fā)事件應急領(lǐng)導小組、應急處置小組和支持保障小組，做好突發(fā)事件應急處理;三項機制是信息技術(shù)風(fēng)險管理保障機制、信息技術(shù)風(fēng)險評估和預警機制及信息技術(shù)風(fēng)險應急處置機制。

　　其次，建立健全信息科技規章制度。為了做好制度建設，我行信息技術(shù)部專(zhuān)門(mén)制定了《科技規章制度管理辦法》，明確了信息科技相關(guān)制度制定、修訂、廢止的流程和審批制度。在管理辦法的指引下，切實(shí)抓好制度建設，近兩年每年制定、修訂的制度都在20項以上，形成了總數達到60余個(gè)的全行科技規章制度體系。同時(shí)加強制度的宣講、檢查、整改機制。對于新建立的制度，制定一項，宣講一項，檢查一項，違章整改一項。再次，加強信息安全隊伍建設，提髙員工信息安全風(fēng)險防范意識和水平，通過(guò)理論和實(shí)踐的結合，培養髙素質(zhì)的信息安全管理團隊。去年我行在總行各部門(mén)和各分行科技部設立了信息安全崗，專(zhuān)門(mén)負責組織、落實(shí)本單位的信息安全管理工作。為了提髙信息安全崗人員的知識水平和操作技能，我行與廣州市信息安全協(xié)會(huì )共同設計了培訓課程，組織總行信息安全崗人員和總行信息技術(shù)部相關(guān)崗位人員分批參加了信息安全繼續教育培訓，實(shí)現總行信息安全崗滿(mǎn)足《廣東省公安廳關(guān)于計算機信息系統安全保護的實(shí)施辦法》中關(guān)于持證上崗的監管要求，今年將實(shí)現分行信息安全崗全部持證上崗。我們同時(shí)認識到，信息科技風(fēng)險防范不僅是信息安全崗的事情，而且是全體員工的基本任務(wù)。因此正在組織編寫(xiě)全員信息安全手冊，對于桌面電腦安全、信息保密等基礎信息安全知識開(kāi)展普及教育，屆時(shí)將人手一冊，確保全體員工了解并遵守信息安全管理要求。

　　第三，采取有效的信息科技風(fēng)險管理的手段防范和化解信息安全風(fēng)險。首先，持續開(kāi)展信息科技風(fēng)險檢查、評估、整改這一不斷循環(huán)、螺旋上升的工作。一方面認真開(kāi)展內部審計和外部審計工作，通過(guò)審計發(fā)現制度、流程、操作等方面中的風(fēng)險;另一方面積極組織信息技術(shù)部的風(fēng)險自查，每月定期開(kāi)展總分行數據中心機房現場(chǎng)檢查，每季度開(kāi)展數據庫操作、用戶(hù)管理等髙風(fēng)險操作的專(zhuān)項檢查。根據審計要求和自查結果，嚴格落實(shí)風(fēng)險整改工作，將整改任務(wù)落實(shí)到每季度、每月、每周的科技工作計劃中。同時(shí)逐步擴大風(fēng)險檢查的廣度和深度，主動(dòng)發(fā)現并積極防范風(fēng)險，通過(guò)風(fēng)險整改實(shí)現持續改進(jìn)。其次，嚴抓四方面的生產(chǎn)運行安全管理工作：一是完善基礎設施建設，化解機房環(huán)境、硬件設備等基礎設施的風(fēng)險;二是建立和完善災難備份中心，做好業(yè)務(wù)連續性建設;三是提升運行管理的水平，推進(jìn)運行流程化和集中化管理，防范操作風(fēng)險，確保信息系統的安全穩定運行。四是完善應急預案，積極組織開(kāi)展應急演練，切實(shí)提髙風(fēng)險防控水平。

　　記者：信息科技風(fēng)險管理有時(shí)會(huì )影響效率，您如何看待這兩個(gè)因素的平衡?

　　徐徽：我們必須承認，信息科技風(fēng)險管理的確存在影響效率問(wèn)題，信息安全風(fēng)險控制與系統研發(fā)、資源整合、運行管理工作效率之間往往存在矛盾，嚴格的風(fēng)險控制經(jīng)常意味著(zhù)效率的讓步�！靶畔�安全責任重于泰山”，信息科技風(fēng)險管理必須得到足夠的重視，即使發(fā)生概率極低的風(fēng)險也不容忽視，必要時(shí)，效率要為風(fēng)險管理做出讓步。為了控制信息風(fēng)險管理和其他科技工作效率的平衡，我行的總體原則是“風(fēng)險管理優(yōu)先，兼顧效率”，對于信息科技風(fēng)險分清主次、抓住重點(diǎn)、有方法、有步驟地控制和整改。優(yōu)先整改髙風(fēng)險事項，必要時(shí)犧牲效率;對于風(fēng)險不髙的工作，統籌安排整改工作計劃。

　　總之，信息安全風(fēng)險管理是科技工作永恒的主題，信息科技風(fēng)險防范是一個(gè)長(cháng)期的、持續改進(jìn)的過(guò)程，同時(shí)也是一個(gè)全方位的管理體系，不可能一蹴而就，也不可能只通過(guò)某些技術(shù)方案或某項管理措施解決。隨著(zhù)外部環(huán)境和內部環(huán)境的變化，新的信息科技風(fēng)險會(huì )不斷滋生、升級，信息科技風(fēng)險防范的手段也應隨之不斷更新、改進(jìn)。我行在信息科技風(fēng)險管理方面還有很長(cháng)的路要走，有很多的工作方法需要優(yōu)化。信息科技風(fēng)險管理是一項持續、長(cháng)久的工作，我們將努力構筑堅實(shí)的信息安全保障體系，推動(dòng)信息安全管理工作邁上一個(gè)新臺階，切實(shí)保障信息系統安全、穩定、持續有效的運行，進(jìn)而保障業(yè)務(wù)連續性，支持業(yè)務(wù)的發(fā)展。

【完善信息科技治理架構提升IT風(fēng)險管理水平論文】相關(guān)文章：

完善信息網(wǎng)絡(luò )系統提升科技管理水平論文07-04

怎樣提升管理水平07-13

信息科技風(fēng)險自查報告01-01

分析完善工商管理培訓對保障企業(yè)管理水平的作用論文07-03

銀行信息科技風(fēng)險自查報告04-21

信息科技風(fēng)險自查報告4篇02-15

信息科技風(fēng)險自查報告(4篇)02-15

信息科技風(fēng)險自查報告3篇01-01

探索完善教學(xué)管理信息化建設的策略論文07-03

銀行信息科技風(fēng)險自查報告2篇06-10