在經(jīng)濟(jì)發(fā)展全球化趨勢(shì)大潮下，信息科技的發(fā)展和應(yīng)用正以前所未有的廣度、深度和速度滲透到銀行業(yè)客戶服務(wù)和經(jīng)營(yíng)管理的方方面面，而銀行業(yè)信息系統(tǒng)的安全運(yùn)行，已經(jīng)不僅僅關(guān)系到業(yè)務(wù)開展和銀行聲譽(yù)，更關(guān)系到金融和社會(huì)穩(wěn)定大局。建設(shè)一套與之相匹配并持續(xù)完善的數(shù)據(jù)中心風(fēng)險(xiǎn)管理體系，已成為擺在銀行科技部門面前的關(guān)鍵課題和必然要求。

一、風(fēng)險(xiǎn)管理體系產(chǎn)生背景

        中國(guó)銀行于2011年實(shí)現(xiàn)境內(nèi)34家分行應(yīng)用系統(tǒng)和數(shù)據(jù)的大集中，形成“兩地三中心”的基礎(chǔ)設(shè)施架構(gòu)和生產(chǎn)運(yùn)維格局。近年來，中國(guó)銀行數(shù)據(jù)中心集中運(yùn)維規(guī)模不斷擴(kuò)大，業(yè)務(wù)支撐能力和安全運(yùn)行水平持續(xù)提高。目前，數(shù)據(jù)中心運(yùn)營(yíng)管理的重要信息系統(tǒng)達(dá)數(shù)百套，運(yùn)維設(shè)備達(dá)數(shù)千臺(tái)，骨干網(wǎng)絡(luò)線路達(dá)數(shù)百條，客戶數(shù)、賬戶數(shù)、交易量迅速攀升，生產(chǎn)壓力逐年增大。此外，按照中國(guó)銀行海外系統(tǒng)整合轉(zhuǎn)型項(xiàng)目規(guī)劃，2013年9月，中國(guó)銀行已成功將亞太12個(gè)國(guó)家和地區(qū)的系統(tǒng)集中到總行數(shù)據(jù)中心，預(yù)計(jì)到2015年，中國(guó)銀行將初步完成海外系統(tǒng)的集中統(tǒng)一，形成全球一個(gè)生產(chǎn)中心的一體化運(yùn)營(yíng)格局。

        對(duì)商業(yè)銀行而言，信息科技風(fēng)險(xiǎn)事關(guān)銀行業(yè)務(wù)發(fā)展和經(jīng)營(yíng)管理的命脈。而隨著運(yùn)營(yíng)規(guī)模的快速擴(kuò)大和集中度的不斷提高，數(shù)據(jù)中心面臨的全局性、關(guān)聯(lián)性和結(jié)構(gòu)性風(fēng)險(xiǎn)也進(jìn)一步集中和加劇。運(yùn)維風(fēng)險(xiǎn)可以說是科技風(fēng)險(xiǎn)最集中的載體、最直接的體現(xiàn)，因而也成為應(yīng)對(duì)風(fēng)險(xiǎn)的最前沿，必須將之納入全行風(fēng)險(xiǎn)管理體系框架，強(qiáng)化頂層設(shè)計(jì)、遵循最佳實(shí)踐、創(chuàng)新方法機(jī)制、打造管理體系。另一方面，全球一體化運(yùn)營(yíng)的發(fā)展趨勢(shì)對(duì)數(shù)據(jù)中心風(fēng)險(xiǎn)管理提出全新的要求，需要我們面對(duì)各個(gè)國(guó)家和地區(qū)230個(gè)不同監(jiān)管制度的數(shù)千項(xiàng)條款，海外監(jiān)管合規(guī)要求更趨嚴(yán)格，差異較大，監(jiān)管遵從形勢(shì)復(fù)雜；在海外系統(tǒng)集中后，如何支持全球集中系統(tǒng)多時(shí)區(qū)條件下的生產(chǎn)運(yùn)營(yíng)，如何應(yīng)對(duì)系統(tǒng)環(huán)境架構(gòu)的更趨復(fù)雜，具備前后臺(tái)一體化聯(lián)動(dòng)和快速有效響應(yīng)能力，都將對(duì)中國(guó)銀行數(shù)據(jù)中心7×24小時(shí)運(yùn)維產(chǎn)生深遠(yuǎn)影響，形成新的挑戰(zhàn)。

        在這個(gè)背景下，中國(guó)銀行數(shù)據(jù)中心風(fēng)險(xiǎn)管理體系應(yīng)運(yùn)而生。

二、風(fēng)險(xiǎn)管理概述及其核心

        數(shù)據(jù)中心運(yùn)營(yíng)風(fēng)險(xiǎn)的復(fù)雜性可以用“其大無(wú)外、其小無(wú)內(nèi)”來形容，它蘊(yùn)涵于生產(chǎn)運(yùn)維活動(dòng)的各個(gè)方面、各個(gè)環(huán)節(jié)，如何清晰地識(shí)別它、處置它、化解它，對(duì)管轄范圍內(nèi)的信息系統(tǒng)風(fēng)險(xiǎn)真正做到心中有數(shù)、妥善應(yīng)對(duì)，是我們面臨的首要問題。

        為此，我們充分借鑒巴塞爾委員會(huì)《關(guān)于加強(qiáng)銀行公司治理的指導(dǎo)意見》，結(jié)合數(shù)據(jù)中心的運(yùn)維實(shí)際和風(fēng)險(xiǎn)分析，明確數(shù)據(jù)中心面臨的兩類風(fēng)險(xiǎn)——運(yùn)維風(fēng)險(xiǎn)及合規(guī)風(fēng)險(xiǎn)，并進(jìn)行內(nèi)涵的明確和細(xì)化。

        1. 運(yùn)維風(fēng)險(xiǎn)

        運(yùn)維風(fēng)險(xiǎn)是唯一可能使銀行業(yè)務(wù)在瞬間全部癱瘓的重大風(fēng)險(xiǎn)，具有隱蔽性、突發(fā)性和災(zāi)難性的顯著特征，關(guān)系到金融穩(wěn)定、社會(huì)穩(wěn)定甚至國(guó)家安全。在中國(guó)銀行系統(tǒng)和數(shù)據(jù)集中化的進(jìn)程中，數(shù)據(jù)中心維護(hù)的客戶數(shù)、賬戶數(shù)、系統(tǒng)數(shù)、設(shè)備數(shù)等均成倍增長(zhǎng)，業(yè)務(wù)量也隨之快速激增，海外時(shí)區(qū)差異要求絕大部分系統(tǒng)需真正實(shí)現(xiàn)7×24小時(shí)不間斷運(yùn)行和技術(shù)保障，這意味著一旦信息系統(tǒng)服務(wù)中斷或服務(wù)質(zhì)量降低，將引發(fā)全局性的重大業(yè)務(wù)影響。

        2. 合規(guī)風(fēng)險(xiǎn)

        海外30多個(gè)不同國(guó)家和地區(qū)的差異性監(jiān)管要求是我們需要面臨另一大類風(fēng)險(xiǎn)，即合規(guī)風(fēng)險(xiǎn)。海外銀行業(yè)IT監(jiān)管制度繁多，關(guān)注點(diǎn)各有不同，不僅對(duì)我們的科技風(fēng)險(xiǎn)管理體系的科學(xué)性、應(yīng)急容災(zāi)機(jī)制的有效性、內(nèi)控制度建設(shè)的完整性、監(jiān)管遵從的差異性提出更高標(biāo)準(zhǔn)，也對(duì)我們的政策理解和監(jiān)管溝通提出新的要求。如果不能及時(shí)進(jìn)行有效識(shí)別、控制、規(guī)避和化解，將可能會(huì)面臨法律制裁、監(jiān)管處罰、財(cái)務(wù)損失或聲譽(yù)損失，這些損失往往是難以彌補(bǔ)的。如：盧森堡對(duì)數(shù)據(jù)跨境傳輸?shù)囊�求�?ldquo;若歐盟議會(huì)或監(jiān)管當(dāng)局發(fā)現(xiàn)第三國(guó)不具備適當(dāng)?shù)谋Ｗo(hù)措施，則禁止將數(shù)據(jù)傳輸至該國(guó)”，如果不符合該項(xiàng)監(jiān)管要求將直接影響中國(guó)銀行海外業(yè)務(wù)的正常開展。

        風(fēng)險(xiǎn)基線是風(fēng)險(xiǎn)管理體系的核心。根據(jù)運(yùn)維風(fēng)險(xiǎn)及合規(guī)風(fēng)險(xiǎn)的特點(diǎn)，我們建立符合中國(guó)銀行業(yè)務(wù)發(fā)展、海內(nèi)外監(jiān)管要求和國(guó)際信息安全最佳實(shí)踐的運(yùn)維風(fēng)險(xiǎn)基線和合規(guī)風(fēng)險(xiǎn)基線。風(fēng)險(xiǎn)基線是我們?cè)u(píng)估自身安全能力的標(biāo)尺，據(jù)此全面評(píng)估各領(lǐng)域的風(fēng)險(xiǎn)管控缺失和差距，做到對(duì)風(fēng)險(xiǎn)狀況心中有數(shù)、對(duì)風(fēng)險(xiǎn)控制有的放矢，實(shí)現(xiàn)全面、標(biāo)準(zhǔn)、精細(xì)的風(fēng)險(xiǎn)管理。

        運(yùn)維風(fēng)險(xiǎn)基線：信息資產(chǎn)是運(yùn)維風(fēng)險(xiǎn)的載體，我們的運(yùn)維風(fēng)險(xiǎn)基線基于信息資產(chǎn)建立。通過信息資產(chǎn)目錄，確保運(yùn)維風(fēng)險(xiǎn)的管控覆蓋全部信息資產(chǎn)；同時(shí)，依據(jù)數(shù)據(jù)中心系統(tǒng)架構(gòu)及運(yùn)維經(jīng)驗(yàn)，建立對(duì)應(yīng)的威脅及脆弱性分析，全面、深入識(shí)別資產(chǎn)面臨的運(yùn)維風(fēng)險(xiǎn)。

        合規(guī)風(fēng)險(xiǎn)基線：全面選取我國(guó)人民銀行、銀監(jiān)會(huì)和海外各個(gè)國(guó)家（地區(qū)）監(jiān)管機(jī)構(gòu)的信息科技類監(jiān)管制度，并結(jié)合業(yè)界標(biāo)準(zhǔn)和最佳實(shí)踐，在風(fēng)險(xiǎn)管理框架基礎(chǔ)上進(jìn)行分類、整合、映射，形成覆蓋國(guó)內(nèi)監(jiān)管、海外監(jiān)管、國(guó)際標(biāo)準(zhǔn)的監(jiān)管合規(guī)信息庫(kù)，作為合規(guī)風(fēng)險(xiǎn)管理的基線。

三、風(fēng)險(xiǎn)管理建設(shè)實(shí)踐

        基于上述風(fēng)險(xiǎn)管理方法和理論模型，我們形成了一套分層次、遞進(jìn)式、全鏈條、重實(shí)效的數(shù)據(jù)中心風(fēng)險(xiǎn)管理實(shí)踐，主要包括：確立三級(jí)架構(gòu)的風(fēng)險(xiǎn)管理框架；建立合規(guī)和運(yùn)維風(fēng)險(xiǎn)基線；基于風(fēng)險(xiǎn)基線開展風(fēng)險(xiǎn)評(píng)估并采取控制措施；采取安全審計(jì)等機(jī)制保證持續(xù)改進(jìn)和完善。詳見圖1。

 1 2 下一頁(yè) 尾頁(yè)

掃碼即可手機(jī)
閱讀轉(zhuǎn)發(fā)此文