完善信息科技治理架構(gòu)提升IT風(fēng)險(xiǎn)管理水平論文

　　記者近日采訪了廣東發(fā)展銀行股份有限公司(以下簡(jiǎn)稱“廣發(fā)行”)信息技術(shù)部負(fù)責(zé)人徐徽，通過她的介紹可深入了解目前國內(nèi)商業(yè)銀行的風(fēng)險(xiǎn)規(guī)避之道。

　　記者：為什么說信息科技風(fēng)險(xiǎn)管理對(duì)于商業(yè)銀行是特別重要的一環(huán)?

　　徐徽：近年來，風(fēng)險(xiǎn)管理已成為商業(yè)銀行經(jīng)營(yíng)管理活動(dòng)的主旋律，信息科技風(fēng)險(xiǎn)作為銀行風(fēng)險(xiǎn)的重要組成部分，受到越來越多的重視。從商業(yè)銀行的角度看，這源于兩方面的驅(qū)動(dòng)因素。

　　一是內(nèi)在驅(qū)動(dòng)因素。目前信息技術(shù)已深入到商業(yè)銀行經(jīng)營(yíng)管理的各個(gè)領(lǐng)域，幾乎所有的改革發(fā)展任務(wù)都與信息技術(shù)密切相關(guān)，不管是業(yè)務(wù)的發(fā)展，還是管理的提升，都需要信息技術(shù)的配套支持。但是，信息技術(shù)固有的風(fēng)險(xiǎn)，包括信息系統(tǒng)軟硬件本身的脆弱性、數(shù)據(jù)集中導(dǎo)致的風(fēng)險(xiǎn)集中等，是客觀存在且難以完全規(guī)避的。由于技術(shù)原因造成區(qū)域性和系統(tǒng)性的金融風(fēng)險(xiǎn)進(jìn)而帶來嚴(yán)重的社會(huì)影響，在國內(nèi)外都有很多案例。因此，信息技術(shù)在促進(jìn)銀行業(yè)務(wù)發(fā)展、推動(dòng)金融創(chuàng)新的同時(shí)，也使銀行業(yè)務(wù)面臨巨大的安全隱患，信息科技風(fēng)險(xiǎn)牽一發(fā)而動(dòng)全身，信息系統(tǒng)的安全性和可靠性關(guān)系到商業(yè)銀行整體經(jīng)營(yíng)管理活動(dòng)的穩(wěn)定，應(yīng)該得到而且已經(jīng)得到了所有商業(yè)銀行的重視。

　　二是外在驅(qū)動(dòng)因素。近幾年，中國人民銀行、銀監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)對(duì)于商業(yè)銀行信息科技風(fēng)險(xiǎn)的監(jiān)管要求越來越嚴(yán)、越來越細(xì)。銀監(jiān)會(huì)2009年3月下發(fā)的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，從IT治理、風(fēng)險(xiǎn)管理策略、信息安全、開發(fā)測(cè)試和生產(chǎn)運(yùn)行管理等方面對(duì)商業(yè)銀行提出了具體而細(xì)致的風(fēng)險(xiǎn)管理要求，對(duì)于商業(yè)銀行加強(qiáng)信息安全管理、防范信息技術(shù)風(fēng)險(xiǎn)起到了重要的指導(dǎo)作用。同時(shí)，銀監(jiān)會(huì)將商業(yè)銀行的信息系統(tǒng)納入現(xiàn)場(chǎng)和非現(xiàn)場(chǎng)監(jiān)管，大力開展信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查，對(duì)商業(yè)銀行的信息科技風(fēng)險(xiǎn)防范工作提出了更髙的標(biāo)準(zhǔn)和要求。監(jiān)管力度的加大，促使商業(yè)銀行針對(duì)信息技術(shù)風(fēng)險(xiǎn)防控制定出更強(qiáng)有力的措施，不斷提髙信息安全風(fēng)險(xiǎn)管理水平。

　　在上述內(nèi)部要求和外部環(huán)境的雙重要求和驅(qū)動(dòng)下，商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的重要性日益凸顯，信息安全管理成了各行科技工作的主題。

　　記者：現(xiàn)階段，我國金融機(jī)構(gòu)面臨的信息科技風(fēng)險(xiǎn)主要來源于哪些方面?

　　徐徽：要嚴(yán)控信息科技風(fēng)險(xiǎn)，就要先弄清楚風(fēng)險(xiǎn)的來源，并根據(jù)不同來源對(duì)癥下藥。概括來說，信息科技風(fēng)險(xiǎn)主要來自四個(gè)方面：一是自然原因?qū)е碌娘L(fēng)險(xiǎn)，包括地震、臺(tái)風(fēng)等自然災(zāi)害造成的風(fēng)險(xiǎn)，這類風(fēng)險(xiǎn)往往很難主動(dòng)防范，只能被動(dòng)防御，通過事前建立完善的業(yè)務(wù)連續(xù)性方案和應(yīng)急預(yù)案，事后及時(shí)啟動(dòng)應(yīng)急方案和補(bǔ)救措施來彌補(bǔ);二是系統(tǒng)風(fēng)險(xiǎn)，是由信息系統(tǒng)相關(guān)軟硬件的缺陷引起的，包括基礎(chǔ)設(shè)施和硬件設(shè)備老化、系統(tǒng)軟件缺陷、應(yīng)用軟件開發(fā)測(cè)試質(zhì)量缺陷等，需要通過改善軟硬件環(huán)境、完善應(yīng)用軟件來防范;三是管理缺陷導(dǎo)致的風(fēng)險(xiǎn)，是由管理制度的缺失或組織架構(gòu)的制衡機(jī)制不完善引起的，需要從IT治理架構(gòu)和管理機(jī)制上彌補(bǔ)管理和制度的空白及漏洞;四是人員違規(guī)操作風(fēng)險(xiǎn)，是由人員有意或無意的違規(guī)操作引起的，需要加強(qiáng)員工的安全培訓(xùn)和操作培訓(xùn)，提髙人員的信息安全意識(shí)和操作水平。其中，后三類風(fēng)險(xiǎn)需要以主動(dòng)防范為主要安全管理措施，要建立風(fēng)險(xiǎn)事前防范、事中控制、事后監(jiān)督和糾正的機(jī)制。

　　記者：為保障銀行業(yè)務(wù)的安全，廣發(fā)行信息科技風(fēng)險(xiǎn)管控采取了哪些具體措施?

　　徐徽：嚴(yán)控風(fēng)險(xiǎn)是我行2009年工作的主旋律之一，這也是行長(zhǎng)辛邁豪在1月全行工作會(huì)議上確立的指導(dǎo)思想，在信息技術(shù)方面的定位就是“加強(qiáng)信息技術(shù)風(fēng)險(xiǎn)管控，將信息技術(shù)風(fēng)險(xiǎn)納入銀行全面風(fēng)險(xiǎn)管理體系”。信息安全管理工作是2009年全行科技工作的重點(diǎn)任務(wù)，是優(yōu)先投入資源、重點(diǎn)保障的工作目標(biāo)。由此可見我行對(duì)于信息科技風(fēng)險(xiǎn)管理的重視。

　　現(xiàn)階段，根據(jù)我行技術(shù)和管理的實(shí)際情況，信息科技風(fēng)險(xiǎn)管理采用“廣度優(yōu)先、逐步提升”的策略，重點(diǎn)在管理、技術(shù)、人員等方面提升信息安全管理水平和管理能力，建立管理與技術(shù)結(jié)合的全方位的風(fēng)險(xiǎn)管理體系，變被動(dòng)應(yīng)對(duì)為主動(dòng)防范。具體說來，主要采取以下幾方面的措施開展信息安全工作。

　　第一，將信息科技風(fēng)險(xiǎn)管理和信息安全納入我行五年科技戰(zhàn)略規(guī)劃的實(shí)施目標(biāo)。為了提髙信息技術(shù)整體核心競(jìng)爭(zhēng)力，提升信息技術(shù)對(duì)業(yè)務(wù)戰(zhàn)略發(fā)展的長(zhǎng)期可持續(xù)支持能力，我行于2008年完成了五年科技戰(zhàn)略規(guī)劃目標(biāo)和實(shí)施路徑的制定，信息科技風(fēng)險(xiǎn)管理和信息安全是科技規(guī)劃的重要組成部分之一�？萍家�(guī)劃中明確了信息安全工作的中長(zhǎng)期目標(biāo)，定義了信息安全機(jī)制建設(shè)、信息安全相關(guān)系統(tǒng)和管理平臺(tái)建設(shè)等多方面的信息安全管理實(shí)施路徑，我行在未來幾年內(nèi)將根據(jù)科技規(guī)劃的實(shí)施路徑逐步開展信息安全建設(shè)，提升信息風(fēng)險(xiǎn)防控能力。

　　第二，完善信息科技治理，大力開展信息科技風(fēng)險(xiǎn)管理機(jī)制建設(shè)，建立信息科技風(fēng)險(xiǎn)管理制度基礎(chǔ)。以前，國內(nèi)商業(yè)銀行的信息安全管理普遍存在一個(gè)誤區(qū)，認(rèn)為部署了髙性能的硬件設(shè)備、實(shí)現(xiàn)了雙機(jī)熱備份、做好了生產(chǎn)運(yùn)行風(fēng)險(xiǎn)控制，就算完成了信息科技風(fēng)險(xiǎn)控制的工作。其實(shí)不然，因?yàn)樾畔�安全不單是技術(shù)問題，更是管理問題，只有持續(xù)完善信息科技治理架構(gòu)，從組織架構(gòu)和制度等管理層面采取防范措施，才能真正實(shí)現(xiàn)信息安全管理的目標(biāo)。我行在信息科技治理方面的措施主要包括三個(gè)方面。首先，認(rèn)真學(xué)習(xí)和領(lǐng)會(huì)監(jiān)管機(jī)構(gòu)對(duì)信息技術(shù)風(fēng)險(xiǎn)控制的要求，吸收借鑒同業(yè)經(jīng)驗(yàn)，將監(jiān)管要求和同業(yè)經(jīng)驗(yàn)轉(zhuǎn)化為行內(nèi)工作規(guī)范，建立系統(tǒng)完善的信息技術(shù)風(fēng)險(xiǎn)管理組織架構(gòu)和機(jī)制，建立了三道防線、三個(gè)小組和三項(xiàng)機(jī)制。三道防線是明確了信息技術(shù)部、合規(guī)部、稽核部為主體的信息技術(shù)風(fēng)險(xiǎn)三道防線的職能分工;三個(gè)小組是成立了信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急處置小組和支持保障小組，做好突發(fā)事件應(yīng)急處理;三項(xiàng)機(jī)制是信息技術(shù)風(fēng)險(xiǎn)管理保障機(jī)制、信息技術(shù)風(fēng)險(xiǎn)評(píng)估和預(yù)警機(jī)制及信息技術(shù)風(fēng)險(xiǎn)應(yīng)急處置機(jī)制。

　　其次，建立健全信息科技規(guī)章制度。為了做好制度建設(shè)，我行信息技術(shù)部專門制定了《科技規(guī)章制度管理辦法》，明確了信息科技相關(guān)制度制定、修訂、廢止的流程和審批制度。在管理辦法的指引下，切實(shí)抓好制度建設(shè)，近兩年每年制定、修訂的制度都在20項(xiàng)以上，形成了總數(shù)達(dá)到60余個(gè)的全行科技規(guī)章制度體系。同時(shí)加強(qiáng)制度的宣講、檢查、整改機(jī)制。對(duì)于新建立的制度，制定一項(xiàng)，宣講一項(xiàng)，檢查一項(xiàng)，違章整改一項(xiàng)。再次，加強(qiáng)信息安全隊(duì)伍建設(shè)，提髙員工信息安全風(fēng)險(xiǎn)防范意識(shí)和水平，通過理論和實(shí)踐的結(jié)合，培養(yǎng)髙素質(zhì)的信息安全管理團(tuán)隊(duì)。去年我行在總行各部門和各分行科技部設(shè)立了信息安全崗，專門負(fù)責(zé)組織、落實(shí)本單位的信息安全管理工作。為了提髙信息安全崗人員的知識(shí)水平和操作技能，我行與廣州市信息安全協(xié)會(huì)共同設(shè)計(jì)了培訓(xùn)課程，組織總行信息安全崗人員和總行信息技術(shù)部相關(guān)崗位人員分批參加了信息安全繼續(xù)教育培訓(xùn)，實(shí)現(xiàn)總行信息安全崗滿足《廣東省公安廳關(guān)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的實(shí)施辦法》中關(guān)于持證上崗的監(jiān)管要求，今年將實(shí)現(xiàn)分行信息安全崗全部持證上崗。我們同時(shí)認(rèn)識(shí)到，信息科技風(fēng)險(xiǎn)防范不僅是信息安全崗的事情，而且是全體員工的基本任務(wù)。因此正在組織編寫全員信息安全手冊(cè)，對(duì)于桌面電腦安全、信息保密等基礎(chǔ)信息安全知識(shí)開展普及教育，屆時(shí)將人手一冊(cè)，確保全體員工了解并遵守信息安全管理要求。

　　第三，采取有效的信息科技風(fēng)險(xiǎn)管理的手段防范和化解信息安全風(fēng)險(xiǎn)。首先，持續(xù)開展信息科技風(fēng)險(xiǎn)檢查、評(píng)估、整改這一不斷循環(huán)、螺旋上升的工作。一方面認(rèn)真開展內(nèi)部審計(jì)和外部審計(jì)工作，通過審計(jì)發(fā)現(xiàn)制度、流程、操作等方面中的風(fēng)險(xiǎn);另一方面積極組織信息技術(shù)部的風(fēng)險(xiǎn)自查，每月定期開展總分行數(shù)據(jù)中心機(jī)房現(xiàn)場(chǎng)檢查，每季度開展數(shù)據(jù)庫操作、用戶管理等髙風(fēng)險(xiǎn)操作的專項(xiàng)檢查。根據(jù)審計(jì)要求和自查結(jié)果，嚴(yán)格落實(shí)風(fēng)險(xiǎn)整改工作，將整改任務(wù)落實(shí)到每季度、每月、每周的科技工作計(jì)劃中。同時(shí)逐步擴(kuò)大風(fēng)險(xiǎn)檢查的廣度和深度，主動(dòng)發(fā)現(xiàn)并積極防范風(fēng)險(xiǎn)，通過風(fēng)險(xiǎn)整改實(shí)現(xiàn)持續(xù)改進(jìn)。其次，嚴(yán)抓四方面的生產(chǎn)運(yùn)行安全管理工作：一是完善基礎(chǔ)設(shè)施建設(shè)，化解機(jī)房環(huán)境、硬件設(shè)備等基礎(chǔ)設(shè)施的風(fēng)險(xiǎn);二是建立和完善災(zāi)難備份中心，做好業(yè)務(wù)連續(xù)性建設(shè);三是提升運(yùn)行管理的水平，推進(jìn)運(yùn)行流程化和集中化管理，防范操作風(fēng)險(xiǎn)，確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。四是完善應(yīng)急預(yù)案，積極組織開展應(yīng)急演練，切實(shí)提髙風(fēng)險(xiǎn)防控水平。

　　記者：信息科技風(fēng)險(xiǎn)管理有時(shí)會(huì)影響效率，您如何看待這兩個(gè)因素的平衡?

　　徐徽：我們必須承認(rèn)，信息科技風(fēng)險(xiǎn)管理的確存在影響效率問題，信息安全風(fēng)險(xiǎn)控制與系統(tǒng)研發(fā)、資源整合、運(yùn)行管理工作效率之間往往存在矛盾，嚴(yán)格的風(fēng)險(xiǎn)控制經(jīng)常意味著效率的讓步�！靶畔�安全責(zé)任重于泰山”，信息科技風(fēng)險(xiǎn)管理必須得到足夠的重視，即使發(fā)生概率極低的風(fēng)險(xiǎn)也不容忽視，必要時(shí)，效率要為風(fēng)險(xiǎn)管理做出讓步。為了控制信息風(fēng)險(xiǎn)管理和其他科技工作效率的平衡，我行的總體原則是“風(fēng)險(xiǎn)管理優(yōu)先，兼顧效率”，對(duì)于信息科技風(fēng)險(xiǎn)分清主次、抓住重點(diǎn)、有方法、有步驟地控制和整改。優(yōu)先整改髙風(fēng)險(xiǎn)事項(xiàng)，必要時(shí)犧牲效率;對(duì)于風(fēng)險(xiǎn)不髙的工作，統(tǒng)籌安排整改工作計(jì)劃。

　　總之，信息安全風(fēng)險(xiǎn)管理是科技工作永恒的主題，信息科技風(fēng)險(xiǎn)防范是一個(gè)長(zhǎng)期的、持續(xù)改進(jìn)的過程，同時(shí)也是一個(gè)全方位的管理體系，不可能一蹴而就，也不可能只通過某些技術(shù)方案或某項(xiàng)管理措施解決。隨著外部環(huán)境和內(nèi)部環(huán)境的變化，新的信息科技風(fēng)險(xiǎn)會(huì)不斷滋生、升級(jí)，信息科技風(fēng)險(xiǎn)防范的手段也應(yīng)隨之不斷更新、改進(jìn)。我行在信息科技風(fēng)險(xiǎn)管理方面還有很長(zhǎng)的路要走，有很多的工作方法需要優(yōu)化。信息科技風(fēng)險(xiǎn)管理是一項(xiàng)持續(xù)、長(zhǎng)久的工作，我們將努力構(gòu)筑堅(jiān)實(shí)的信息安全保障體系，推動(dòng)信息安全管理工作邁上一個(gè)新臺(tái)階，切實(shí)保障信息系統(tǒng)安全、穩(wěn)定、持續(xù)有效的運(yùn)行，進(jìn)而保障業(yè)務(wù)連續(xù)性，支持業(yè)務(wù)的發(fā)展。

【完善信息科技治理架構(gòu)提升IT風(fēng)險(xiǎn)管理水平論文】相關(guān)文章：

完善信息網(wǎng)絡(luò)系統(tǒng)提升科技管理水平論文07-04

怎樣提升管理水平07-13

信息科技風(fēng)險(xiǎn)自查報(bào)告01-01

分析完善工商管理培訓(xùn)對(duì)保障企業(yè)管理水平的作用論文07-03

銀行信息科技風(fēng)險(xiǎn)自查報(bào)告04-21

信息科技風(fēng)險(xiǎn)自查報(bào)告4篇02-15

信息科技風(fēng)險(xiǎn)自查報(bào)告(4篇)02-15

信息科技風(fēng)險(xiǎn)自查報(bào)告3篇01-01

探索完善教學(xué)管理信息化建設(shè)的策略論文07-03

銀行信息科技風(fēng)險(xiǎn)自查報(bào)告2篇06-10