導(dǎo)語(yǔ)：農(nóng)發(fā)行信息科技風(fēng)險(xiǎn)管理與實(shí)踐一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

網(wǎng)絡(luò)安全和信息化是信息科技工作的“一體兩翼”?！吨泄仓醒腙P(guān)于制定國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議》強(qiáng)調(diào)要統(tǒng)籌發(fā)展與安全，全面加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)，守住不發(fā)生系統(tǒng)性風(fēng)險(xiǎn)底線，防范化解影響我國(guó)現(xiàn)代化進(jìn)程的各種風(fēng)險(xiǎn)。有效的信息科技風(fēng)險(xiǎn)防控是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保障。近年來(lái)，農(nóng)發(fā)行信息科技工作統(tǒng)籌科技發(fā)展和安全防控，始終堅(jiān)持底線思維、問(wèn)題導(dǎo)向，不斷探索建立適應(yīng)農(nóng)發(fā)行特點(diǎn)的信息科技風(fēng)險(xiǎn)管理模式，為農(nóng)發(fā)行信息科技的高質(zhì)量發(fā)展筑牢安全屏障。

一、農(nóng)發(fā)行“十三五”時(shí)期信息科技風(fēng)險(xiǎn)管理的實(shí)踐與成效

2016年以來(lái)，農(nóng)發(fā)行在大力推進(jìn)系統(tǒng)建設(shè)的同時(shí)，一直將安全建設(shè)和風(fēng)險(xiǎn)防控作為工作重點(diǎn)，從戰(zhàn)略和全局的高度科學(xué)統(tǒng)籌，著力增強(qiáng)認(rèn)識(shí)問(wèn)題、分析問(wèn)題和解決問(wèn)題的能力，確保在風(fēng)險(xiǎn)到來(lái)前“立足于防”，在風(fēng)險(xiǎn)到來(lái)時(shí)“有效處置”。

（一）扎實(shí)信息科技自身安全建設(shè)，打好風(fēng)險(xiǎn)化解的技術(shù)基礎(chǔ)

1.開(kāi)展信息安全體系建設(shè)。在前期持續(xù)建設(shè)和不斷完善的基礎(chǔ)上，農(nóng)發(fā)行開(kāi)展了信息安全體系建設(shè)項(xiàng)目，建立了適宜信息科技現(xiàn)狀的信息安全管理體系，構(gòu)建了信息安全組織架構(gòu)、制度體系和技術(shù)保障體系，信息安全管理能力和安全技術(shù)管控水平大幅提升，能夠有效地從一道防線本身應(yīng)對(duì)信息安全風(fēng)險(xiǎn)威脅。2.夯實(shí)安全運(yùn)維保障基礎(chǔ)。過(guò)去五年，農(nóng)發(fā)行從建章立制和強(qiáng)化基礎(chǔ)設(shè)施建設(shè)入手，持續(xù)加強(qiáng)運(yùn)維安全和標(biāo)準(zhǔn)化建設(shè)，建成了涵蓋IT運(yùn)維全流程的一體化運(yùn)維平臺(tái)，實(shí)現(xiàn)了“橫向到邊、縱向到底”的一體化運(yùn)維管理目標(biāo)；大力開(kāi)展云平臺(tái)、網(wǎng)絡(luò)架構(gòu)等重要基礎(chǔ)設(shè)施建設(shè)，災(zāi)備容災(zāi)覆蓋率大幅提升，全行信息系統(tǒng)安全穩(wěn)定運(yùn)行。3.狠抓網(wǎng)絡(luò)安全能力建設(shè)。近年來(lái)農(nóng)發(fā)行大力狠抓網(wǎng)絡(luò)安全工作，研究提出了符合農(nóng)發(fā)行特點(diǎn)的網(wǎng)絡(luò)安全管控策略——“網(wǎng)絡(luò)安全縱深防御體系模型”，陸續(xù)開(kāi)展了威脅監(jiān)測(cè)平臺(tái)、全流量分析平臺(tái)及安全態(tài)勢(shì)感知平臺(tái)等項(xiàng)目建設(shè)，初步實(shí)現(xiàn)了“看得見(jiàn)、進(jìn)不來(lái)、拿不走、可追溯”的防御目標(biāo)，網(wǎng)絡(luò)安全防護(hù)能力逐年提升。4.強(qiáng)化科技重點(diǎn)領(lǐng)域建設(shè)。在信息安全體系建設(shè)基礎(chǔ)上，持續(xù)完善信息系統(tǒng)應(yīng)急管理體系，注重重要信息系統(tǒng)及重要基礎(chǔ)設(shè)施應(yīng)急演練的效果和質(zhì)量，應(yīng)對(duì)突發(fā)事件能力逐步提升。2019年，啟動(dòng)了信息科技外包領(lǐng)域的體系建設(shè)，健全了管理機(jī)制，豐富了管理工具和手段，為后續(xù)開(kāi)展科技外包管理奠定了堅(jiān)實(shí)的基礎(chǔ)。5.提升人員風(fēng)險(xiǎn)防范意識(shí)。通過(guò)舉辦專項(xiàng)培訓(xùn)班、開(kāi)展全體員工信息安全意識(shí)教育、建立條線人員跟班研發(fā)和學(xué)習(xí)機(jī)制、廣泛開(kāi)展調(diào)研等方式，不斷提高科學(xué)決策和專業(yè)技術(shù)水平，強(qiáng)化風(fēng)險(xiǎn)意識(shí)、提升化解能力。

（二）注重信息科技風(fēng)險(xiǎn)管理機(jī)制建設(shè)，構(gòu)建科技風(fēng)險(xiǎn)的防火墻

1．初步建立了信息科技風(fēng)險(xiǎn)管理體系。近年來(lái)，農(nóng)發(fā)行持續(xù)推進(jìn)科技風(fēng)險(xiǎn)管理工作，將信息科技風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系，確立了由信息科技部門(mén)和各業(yè)務(wù)職能部門(mén)共同擔(dān)任一道防線、由風(fēng)險(xiǎn)管理部門(mén)擔(dān)任二道防線、審計(jì)部門(mén)擔(dān)任三道防線的風(fēng)險(xiǎn)管理架構(gòu)，建立了健全的制度體系，逐步探索開(kāi)展信息科技風(fēng)險(xiǎn)管理的方法。2019年農(nóng)發(fā)行啟動(dòng)了信息科技風(fēng)險(xiǎn)管理體系建設(shè)項(xiàng)目，建立了適用于農(nóng)發(fā)行的信息科技風(fēng)險(xiǎn)管理框架，從管理策略、活動(dòng)和支撐資源等層面完善優(yōu)化了機(jī)制流程，豐富了管控手段和工具，信息科技風(fēng)險(xiǎn)管理水平迅速提升。2.主動(dòng)做好風(fēng)險(xiǎn)識(shí)別和預(yù)警。“預(yù)判風(fēng)險(xiǎn)所在是防范風(fēng)險(xiǎn)的前提，把握風(fēng)險(xiǎn)走向是謀求戰(zhàn)略主動(dòng)的關(guān)鍵”，主動(dòng)做好風(fēng)險(xiǎn)的識(shí)別和預(yù)警，力爭(zhēng)把風(fēng)險(xiǎn)化解在源頭。開(kāi)展信息科技風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)識(shí)別和預(yù)警的重要手段，可以真實(shí)全面地反映存在的風(fēng)險(xiǎn)和問(wèn)題。2019年、2020年農(nóng)發(fā)行連續(xù)兩年開(kāi)展了信息科技全面風(fēng)險(xiǎn)評(píng)估，并陸續(xù)開(kāi)展專項(xiàng)風(fēng)險(xiǎn)評(píng)估和特定時(shí)點(diǎn)的風(fēng)險(xiǎn)評(píng)估，持續(xù)積累工作經(jīng)驗(yàn)。完善科技風(fēng)險(xiǎn)監(jiān)測(cè)體系。2018年農(nóng)發(fā)行初步建立了信息科技風(fēng)險(xiǎn)監(jiān)測(cè)指標(biāo)并開(kāi)展監(jiān)測(cè)，經(jīng)歷兩年的持續(xù)探索和實(shí)踐，形成了分級(jí)別的、可量化的、適應(yīng)自身特點(diǎn)的信息科技風(fēng)險(xiǎn)監(jiān)測(cè)指標(biāo)體系，并結(jié)合日常監(jiān)測(cè)情況和風(fēng)險(xiǎn)評(píng)估結(jié)果，不斷改進(jìn)優(yōu)化指標(biāo)、探索監(jiān)測(cè)方法，監(jiān)測(cè)工作的完整性和科學(xué)性逐步提升。

二、當(dāng)前信息科技風(fēng)險(xiǎn)管理面臨的新形勢(shì)和新挑戰(zhàn)

（一）強(qiáng)監(jiān)管視角下的信息科技風(fēng)險(xiǎn)管理

當(dāng)前，銀行業(yè)對(duì)信息科技高度依賴，人民銀行和銀保監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)也持續(xù)加大銀行信息科技風(fēng)險(xiǎn)管控的監(jiān)督力度，先后了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等一系列法規(guī)和指引，定期開(kāi)展信息科技監(jiān)管評(píng)級(jí)等現(xiàn)場(chǎng)檢查及非現(xiàn)場(chǎng)監(jiān)管。從近年監(jiān)管部門(mén)對(duì)農(nóng)發(fā)行信息科技開(kāi)展的監(jiān)管評(píng)級(jí)、網(wǎng)絡(luò)安全評(píng)估等工作情況來(lái)看，監(jiān)管部門(mén)對(duì)科技風(fēng)險(xiǎn)的管理要求趨于精細(xì)化、嚴(yán)格化、專業(yè)化，愈發(fā)注重工作的時(shí)效性，標(biāo)準(zhǔn)逐步從“合格線”向“優(yōu)質(zhì)線”轉(zhuǎn)變，關(guān)注層面從體系制度的全面性下移為對(duì)科技管控的具體能力，如董事會(huì)、高管層、信科委、風(fēng)控委、三道防線在科技風(fēng)險(xiǎn)管理各環(huán)節(jié)的履職情況，管控機(jī)制的具體落實(shí)情況等。

（二）數(shù)字化轉(zhuǎn)型路上的信息科技風(fēng)險(xiǎn)管理

近年來(lái)，移動(dòng)互聯(lián)技術(shù)、大數(shù)據(jù)、云計(jì)算、人工智能、生物識(shí)別和區(qū)塊鏈等金融科技在全球范圍內(nèi)廣泛興起，銀行業(yè)已成為金融科技快速生長(zhǎng)的黃金沃土，加速數(shù)字化轉(zhuǎn)型的進(jìn)程。為快速獲取金融科技的必要能力、滿足業(yè)務(wù)的擴(kuò)張和發(fā)展，銀行業(yè)多選擇與外部公司合作以獲取更加專業(yè)的金融科技，逐漸從自我封閉的循環(huán)模式轉(zhuǎn)向開(kāi)放的合作模式，由此導(dǎo)致銀行業(yè)的風(fēng)險(xiǎn)特征也發(fā)生了變化，其中科技風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)與數(shù)據(jù)安全等問(wèn)題逐日凸顯。一方面，對(duì)新技術(shù)自身的缺陷和漏洞掌握不充分不及時(shí)，將導(dǎo)致信息系統(tǒng)出現(xiàn)故障或受到外部攻擊的風(fēng)險(xiǎn)大幅增加，從而給銀行整體運(yùn)行穩(wěn)定性帶來(lái)挑戰(zhàn)；另一方面，隨著銀行開(kāi)放業(yè)務(wù)模式的普及，對(duì)關(guān)鍵技術(shù)領(lǐng)域的集中度過(guò)高、可替代性降低，也將面臨對(duì)自身技術(shù)路線主導(dǎo)權(quán)喪失的風(fēng)險(xiǎn)。此外，開(kāi)放互聯(lián)環(huán)境中的數(shù)據(jù)安全問(wèn)題也愈發(fā)凸顯，一系列風(fēng)險(xiǎn)的相互疊加將可能導(dǎo)致銀行在金融科技發(fā)展浪潮中喪失主動(dòng)權(quán)。

三、進(jìn)一步做好“十四五”時(shí)期信息科技風(fēng)險(xiǎn)管理的思考

面對(duì)當(dāng)前強(qiáng)監(jiān)管的新態(tài)勢(shì)和數(shù)字化轉(zhuǎn)型的新挑戰(zhàn)，農(nóng)發(fā)行應(yīng)堅(jiān)持統(tǒng)籌發(fā)展和安全，在科技管控能力建設(shè)上持續(xù)發(fā)力，不斷完善科技風(fēng)險(xiǎn)治理架構(gòu)，進(jìn)一步深化各基礎(chǔ)安全領(lǐng)域的風(fēng)險(xiǎn)防控措施，全面加強(qiáng)自主創(chuàng)新研發(fā)能力建設(shè)，積極主動(dòng)應(yīng)對(duì)科技風(fēng)險(xiǎn)，守住不發(fā)生系統(tǒng)性風(fēng)險(xiǎn)底線，全力防范化解影響農(nóng)發(fā)行現(xiàn)代化建設(shè)和高質(zhì)量發(fā)展的科技風(fēng)險(xiǎn)。

（一）逐步完善信息科技風(fēng)險(xiǎn)治理架構(gòu)

具備穩(wěn)健的信息科技風(fēng)險(xiǎn)治理架構(gòu)是保證一切風(fēng)險(xiǎn)管控活動(dòng)正確且有效開(kāi)展的前提和基礎(chǔ)。1.完善組織架構(gòu)，落實(shí)管理職責(zé)。進(jìn)一步發(fā)揮全行國(guó)家安全、信息科技管理、風(fēng)險(xiǎn)管理等領(lǐng)導(dǎo)機(jī)構(gòu)的作用，大力加強(qiáng)各相關(guān)部室、全體員工的信息科技風(fēng)險(xiǎn)防控職責(zé)，形成群防群控的態(tài)勢(shì)。2.推進(jìn)體系落地，落實(shí)管控手段。全力推進(jìn)信息科技風(fēng)險(xiǎn)管理體系咨詢項(xiàng)目成果落地，從體系落地宣貫和強(qiáng)化風(fēng)險(xiǎn)管控手段兩方面發(fā)力，整體強(qiáng)化信息科技風(fēng)險(xiǎn)管理。一方面，對(duì)體系建設(shè)成果宣貫，持續(xù)推動(dòng)信息科技條線乃至全行對(duì)信息科技風(fēng)險(xiǎn)管理的參與意識(shí)，著力提升我行人員的能力，積累實(shí)踐經(jīng)驗(yàn)。另一方面，持續(xù)優(yōu)化風(fēng)險(xiǎn)監(jiān)測(cè)和風(fēng)險(xiǎn)評(píng)估兩種風(fēng)險(xiǎn)管控手段，利用好風(fēng)險(xiǎn)庫(kù)和指標(biāo)庫(kù)兩種風(fēng)險(xiǎn)管理工具，落實(shí)好信息科技風(fēng)險(xiǎn)識(shí)別、評(píng)估、監(jiān)測(cè)、控制與報(bào)告各環(huán)節(jié)的管控手段，持續(xù)探索信息科技風(fēng)險(xiǎn)的平臺(tái)化、扁平化管控模式，逐步形成科技風(fēng)險(xiǎn)的閉環(huán)管理。3.從橫向和縱向兩個(gè)維度抓好信息科技風(fēng)險(xiǎn)管理建設(shè)，橫向主要是推動(dòng)信息科技風(fēng)險(xiǎn)管理“三道防線”的持續(xù)完善，包括一道防線信息科技的自我管控，二道防線的風(fēng)險(xiǎn)管理，以及三道防線的審計(jì)和監(jiān)督；縱向主要是層層抓好專業(yè)條線的科技風(fēng)險(xiǎn)管理責(zé)任，進(jìn)一步提升科技條線合規(guī)意識(shí)，確保信息科技風(fēng)險(xiǎn)各領(lǐng)域的機(jī)制落地落實(shí)。

（二）加強(qiáng)基礎(chǔ)安全領(lǐng)域風(fēng)險(xiǎn)防控能力建設(shè)

1.不斷優(yōu)化安全管理和安全運(yùn)維機(jī)制。持續(xù)完善信息安全體系和規(guī)劃，加大制度落實(shí)的力度，對(duì)照人民銀行新版等級(jí)保護(hù)標(biāo)準(zhǔn)，查缺補(bǔ)漏，落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0，持續(xù)開(kāi)展信息系統(tǒng)上線安全評(píng)估、重要信息系統(tǒng)安全檢查等，對(duì)項(xiàng)目建設(shè)的關(guān)鍵環(huán)節(jié)加強(qiáng)安全管控；繼續(xù)抓好專業(yè)人員信息安全能力培養(yǎng)，持續(xù)推進(jìn)運(yùn)維管理體系建設(shè)、災(zāi)備管理體系建設(shè)、多中心多活等重點(diǎn)項(xiàng)目建設(shè)，夯實(shí)安全運(yùn)維基礎(chǔ)管理，確?？萍歼\(yùn)行的安全穩(wěn)定。2.持續(xù)健全網(wǎng)絡(luò)安全縱深防御體系。強(qiáng)化互聯(lián)網(wǎng)安全規(guī)范和技術(shù)標(biāo)準(zhǔn)落地，進(jìn)一步加強(qiáng)互聯(lián)網(wǎng)安全團(tuán)隊(duì)建設(shè)，重點(diǎn)利用好安全態(tài)勢(shì)感知平臺(tái)、威脅監(jiān)測(cè)平臺(tái)等，推進(jìn)已有安全系統(tǒng)間的協(xié)同防御和智能化監(jiān)控分析能力建設(shè)，完善互聯(lián)網(wǎng)安全防控技術(shù)，提升威脅情報(bào)應(yīng)用能力，持續(xù)健全和深化互聯(lián)網(wǎng)安全縱深防御體系。3.重點(diǎn)建立數(shù)據(jù)全流程的安全管控機(jī)制。推動(dòng)數(shù)據(jù)治理和數(shù)據(jù)安全體系建設(shè)工作，健全數(shù)據(jù)全流程管控機(jī)制，加快建立個(gè)人信息保護(hù)機(jī)制，完善風(fēng)險(xiǎn)管控措施，從法律、IT及業(yè)務(wù)等方面，對(duì)個(gè)人信息的收集、傳輸、使用及銷毀全流程，開(kāi)展分類分級(jí)管理，實(shí)施有針對(duì)性的保護(hù)措施，嚴(yán)格防控?cái)?shù)據(jù)泄露風(fēng)險(xiǎn)。4.持續(xù)強(qiáng)化信息科技外包管控措施。落實(shí)信息科技外包管理體系建設(shè)成果，完善信息科技外包管理有關(guān)制度，持續(xù)加強(qiáng)信息科技外包日常管理，推動(dòng)我行外包風(fēng)險(xiǎn)管控措施的持續(xù)豐富和完善，不斷強(qiáng)化外包管控力度和廣度。5.不斷提升業(yè)務(wù)連續(xù)性管理水平。在業(yè)務(wù)連續(xù)性管理方面，全力推進(jìn)業(yè)務(wù)連續(xù)性體系建設(shè)成果落地，持續(xù)優(yōu)化制度機(jī)制，做好業(yè)務(wù)連續(xù)性及信息系統(tǒng)應(yīng)急管理工作，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，關(guān)鍵要提升應(yīng)急演練的質(zhì)量、應(yīng)急處置的能力，切實(shí)增強(qiáng)風(fēng)險(xiǎn)發(fā)生時(shí)快速、高效找準(zhǔn)原因、科學(xué)分析和有效處理的軟硬實(shí)力。

（三）持續(xù)提升農(nóng)發(fā)行自主創(chuàng)新能力和水平

全力加強(qiáng)信息系統(tǒng)自主研發(fā)能力建設(shè)，全面提升信息系統(tǒng)在設(shè)計(jì)、應(yīng)用、管理方面的安全可控水平，強(qiáng)化信息科技建設(shè)水平，確保對(duì)全行的業(yè)務(wù)發(fā)展發(fā)揮積極的科技支撐作用，牢牢掌握核心技術(shù)，把握數(shù)字化轉(zhuǎn)型的主動(dòng)權(quán)，為農(nóng)發(fā)行高質(zhì)量發(fā)展提供源源不斷的金融科技創(chuàng)新動(dòng)力。

作者：李四輩 陳勤 李佳妮