導(dǎo)語：信息科技風(fēng)險管理構(gòu)建一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

隨著銀行業(yè)對信息技術(shù)的依賴程度日益提升，信息科技風(fēng)險亦隨之上升。信息科技風(fēng)險具有影響范圍廣、突發(fā)性強、技術(shù)含量高、復(fù)雜度高、隱藏性深等特點，直接影響商業(yè)銀行的穩(wěn)健經(jīng)營，關(guān)乎商業(yè)銀行聲譽、金融安全和社會穩(wěn)定，是商業(yè)銀行面臨的主要風(fēng)險。如何在快速推進信息系統(tǒng)建設(shè)的同時，加強信息科技風(fēng)險管理，減少或杜絕銀行因信息科技而給自身或客戶帶來損失，是銀行目前信息化建設(shè)需要研究的重要課題。信息科技風(fēng)險管理現(xiàn)狀作為第一家從農(nóng)信社成功改制的北京農(nóng)商銀行，與四大行及股份制商業(yè)銀行相比，信息科技基礎(chǔ)十分薄弱。

近幾年來，在領(lǐng)導(dǎo)高度重視下，我們加大了信息科技建設(shè)的推進力度，大大縮小了與同業(yè)科技差距：建成了現(xiàn)代化、高標(biāo)準(zhǔn)的信息系統(tǒng)數(shù)據(jù)中心，初步形成同城生產(chǎn)和災(zāi)備兩中心模式；全面開展網(wǎng)絡(luò)改造，將廣域網(wǎng)三級架構(gòu)改為二級架構(gòu)，各營業(yè)網(wǎng)點配置2條專線，分別直接上聯(lián)生產(chǎn)中心和同城災(zāi)備中心，實現(xiàn)了業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)專網(wǎng)進行物理隔離，增強了網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和安全性；建設(shè)完善了網(wǎng)上銀行、銀行卡系統(tǒng)、資金債券系統(tǒng)、信貸系統(tǒng)等應(yīng)用系統(tǒng)，形成了結(jié)構(gòu)清晰、業(yè)務(wù)功能基本滿足業(yè)務(wù)發(fā)展和經(jīng)營管理需要的應(yīng)用系統(tǒng)體系。相對于信息化建設(shè)發(fā)展水平的快速提高，我行的信息科技風(fēng)險管理水平略顯滯后，也與監(jiān)管當(dāng)局的要求存在一定的差距。開發(fā)測試體系建設(shè)需進一步完善，代碼質(zhì)量管理、Bug管理、開發(fā)過程管理、測試管理需進一步加強；系統(tǒng)運行管理有待改進，生產(chǎn)系統(tǒng)監(jiān)控和流程管理自動化管理手段不足，邏輯訪問控制有待加強；業(yè)務(wù)連續(xù)性管理及應(yīng)急體制建設(shè)有待加強，應(yīng)制訂全行性的業(yè)務(wù)連續(xù)性規(guī)劃及應(yīng)急演練方案，并定期更新，切實發(fā)揮相關(guān)部門職能，按要求組織開展應(yīng)急預(yù)案的演練，提高應(yīng)急演練的有效性和覆蓋面。李秀生:北京農(nóng)商銀行的信息科技風(fēng)險管理制度體系涵蓋開發(fā)測試、運行維護、設(shè)備管理、安全管理、風(fēng)險管理等方面計31項制度，每年進行一次評估和修訂，并在全行范圍內(nèi)印發(fā)執(zhí)行，確保制度的科學(xué)性、合理性和可操作性。信息科技風(fēng)險管理進展為了提升信息科技風(fēng)險管理水平，北京農(nóng)商銀行根據(jù)監(jiān)管要求，結(jié)合信息科技建設(shè)實際情況，不斷完善科技風(fēng)險管理治理架構(gòu)，初步建立了科技風(fēng)險防控體系，有效預(yù)防和消除了科技風(fēng)險事件的發(fā)生，確保了生產(chǎn)安全穩(wěn)定運行和信息安全。

1.完善信息科技風(fēng)險治理結(jié)構(gòu)，明確信息科技風(fēng)險“三道防線”的職責(zé)。成立了信息科技管理委員會，除了審議信息科技戰(zhàn)略規(guī)劃、推動信息科技建設(shè)的職能外，著重加強審議信息科技風(fēng)險管理、信息安全策略、信息安全重大事項和信息安全評估報告等科技風(fēng)險管理職能，強化了科技風(fēng)險管理體系建設(shè)中高層的推動作用；設(shè)置了首席信息官，直接參與跟信息科技運用有關(guān)的業(yè)務(wù)發(fā)展決策，確保信息科技各項工作的有效開展和落實；形成了由信息科技部門、風(fēng)險管理部門及審計部門組成的信息科技風(fēng)險“三道防線”。

2.持續(xù)建立健全信息科技風(fēng)險管理制度體系。對現(xiàn)有信息科技制度體系進行了整體評估，重新梳理確定信息科技制度體系架構(gòu)，建立包括制度、實施細(xì)則及技術(shù)規(guī)范（標(biāo)準(zhǔn)）三層架構(gòu)的制度體系。同時規(guī)范對現(xiàn)有制度的管理，形成了《信息科技制度匯編》，涵蓋開發(fā)測試、運行維護、設(shè)備管理、安全管理、風(fēng)險管理等方面計31項制度，每年進行一次評估和修訂，并在全行范圍內(nèi)印發(fā)執(zhí)行，確保制度的科學(xué)性、合理性和可操作性，有效指導(dǎo)信息化建設(shè)和風(fēng)險管理工作的開展。

3.事前、事中、事后管理并重，提升信息科技風(fēng)險管理水平。一是強化風(fēng)險防控意識，防范于未然。持續(xù)對全體科技員工進行風(fēng)險意識教育，樹立對風(fēng)險防控的高度敏感性和責(zé)任心，積極向員工傳導(dǎo)遵守法律法規(guī)和實施內(nèi)部控制的重要性，培養(yǎng)員工的誠信和道德，規(guī)范員工職業(yè)行為，從源頭上控制、減少潛在風(fēng)險的發(fā)生。二是健全內(nèi)控機制，規(guī)范事中管理?？茖W(xué)合理設(shè)置科技崗位，明確每個崗位的職責(zé)、權(quán)限，建立了逐級授權(quán)和審批機制，并制定相應(yīng)控制措施；規(guī)范崗位操作流程，重要操作如版本遷移、數(shù)據(jù)修改等實行雙人制，一人操作，一人復(fù)核，防止出現(xiàn)控制真空，產(chǎn)生風(fēng)險；同時重視利用技術(shù)手段來強化風(fēng)險管理，如批量作業(yè)自動化系統(tǒng)、系統(tǒng)和網(wǎng)絡(luò)監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)的建成有效地提升了系統(tǒng)運維風(fēng)險管理水平。三是加強信息科技風(fēng)險的識別和檢查，持續(xù)督促、跟蹤整改，深入挖掘信息科技運行及管理存在的問題和潛在風(fēng)險，制訂整改措施并積極整改。建立內(nèi)部定期專項檢查機制，根據(jù)每年年初制訂檢查計劃，進行檢查，詳細(xì)記錄檢查結(jié)果，建立風(fēng)險整改臺賬，定期對整改情況進行監(jiān)督及跟蹤。除加強上述自查工作之外，還積極配合監(jiān)管當(dāng)局開展各項檢查，積極借助外部的力量幫助發(fā)現(xiàn)問題，查找隱患，從而提升科技風(fēng)險防范能力。

4.加強信息安全體系建設(shè)，強化信息安全管理。完成了信息安全體系規(guī)劃，建立科學(xué)合理的信息安全體系框架，制定較為完善的信息安全策略；通過實施網(wǎng)絡(luò)邊界控制、內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離、全面病毒防護、桌面系統(tǒng)監(jiān)控、數(shù)據(jù)分級與使用保護等系列安全項目，建設(shè)形成覆蓋數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和應(yīng)用安全的綜合信息安全體系，確保生產(chǎn)系統(tǒng)安全和客戶信息安全，防范科技風(fēng)險。未來的工作重點通過以上科技風(fēng)險管理工作的開展，有效消除和防范了科技運行及科技管理中的風(fēng)險隱患，近幾年我行未發(fā)生信息科技風(fēng)險事件，科技風(fēng)險管理水平和防控能力得到顯著提升。針對目前科技風(fēng)險管理中存在的薄弱環(huán)節(jié)，未來信息科技風(fēng)險管理的工作重點將體現(xiàn)在以下幾個方面。

1.進一步完善信息科技風(fēng)險治理結(jié)構(gòu)，持續(xù)推進科技風(fēng)險“三道防線”建設(shè)。進一步明確信息科技風(fēng)險治理結(jié)構(gòu)中各級主體的工作職責(zé)，充分發(fā)揮各級主體的職能作用，形成職責(zé)明確、結(jié)構(gòu)合理的信息科技風(fēng)險管理架構(gòu)；特別是加強風(fēng)險管理部門對信息科技風(fēng)險的管控，形成一個職責(zé)明確、功能互補、相互監(jiān)督、相互制約、共同發(fā)展的信息科技風(fēng)險防范的有機整體。

2.加強軟件開發(fā)質(zhì)量管理體系建設(shè)，強化開發(fā)過程中風(fēng)險的管理。建成基于我行現(xiàn)在的CMMI3級的軟件研發(fā)規(guī)范體系，通過CMMI3級驗收，全面推廣體系的應(yīng)用，整個體系涵蓋了軟件的需求、設(shè)計、開發(fā)、測試等各環(huán)節(jié)，有效規(guī)范了整個開發(fā)過程的管理；落實需求歸口管理機制，推行重大項目需求評審機制，進行重要系統(tǒng)組織級方案評審，提高項目計劃管理和風(fēng)險管理水平；全面推行軟件配置管理，提高軟件版本管理水平；強化外包管理，規(guī)范外包人員工作量評估，加強外包人員工作環(huán)境管理。

3.進一步推進運維體系建設(shè)。加強對生產(chǎn)變更的風(fēng)險評估，嚴(yán)格變更過程管理，嚴(yán)控變更風(fēng)險；確保事件分級制度的落地執(zhí)行，形成有效的事件升級和響應(yīng)機制；進一步加強對問題的快速解決，并逐步深化問題的后續(xù)管理，從多維度進行生產(chǎn)問題分析，提高生產(chǎn)管理水平；充分發(fā)揮系統(tǒng)監(jiān)控、網(wǎng)絡(luò)監(jiān)控工具的作用，完成應(yīng)用監(jiān)控建設(shè)，全面了解系統(tǒng)運行狀態(tài)，及時定位故障；全面提高運維管理水平及風(fēng)險防控能力。

4.加強業(yè)務(wù)連續(xù)性規(guī)劃和應(yīng)急管理工作。強化業(yè)務(wù)連續(xù)性規(guī)劃及應(yīng)急體制建設(shè)的重要性，根據(jù)應(yīng)用系統(tǒng)規(guī)模和復(fù)雜程度有針對性地制訂業(yè)務(wù)持續(xù)性保障規(guī)劃，根據(jù)風(fēng)險發(fā)生的部位、概率和危害程度分級制訂應(yīng)急預(yù)案，并經(jīng)過評估和測試，及時進行維護、調(diào)整和更新，確保應(yīng)急啟動時的有效性，切實提升業(yè)務(wù)連續(xù)性管理及應(yīng)急管理水平。

信息科技風(fēng)險管理工作是一項長期的、艱巨的工程，因此要不斷提高認(rèn)識，強化危機意識、責(zé)任意識。從實際情況出發(fā)，充分借鑒相關(guān)國際標(biāo)準(zhǔn)和最佳實踐，不斷探索和改進，建立有效的信息科技風(fēng)險的識別、計量、監(jiān)測和控制機制，提升風(fēng)險管理水平和防控能力，努力通過風(fēng)險管理水平的提升推動信息化建設(shè)，為業(yè)務(wù)的發(fā)展、創(chuàng)新和管理提升提供堅實的保障。