當前，信息科技已成為驅動銀行業務發展增速的新引擎。而由信息科技應用帶來的新的經營管理風險也成為商業銀行風險管理中不可忽視的一環。信息科技風險具有高度隱蔽性和專業性特點，且銀行信息系統運行環境復雜、數據和業務高度集中，更加劇了此類風險帶來的危害，防控不力往往會對銀行經營甚至社會穩定造成嚴重影響。

華夏銀行信息技術部風險總監  壽弘宇

        近年來，信息科技風險管理得到國家有關部門和銀行業主管監管部門廣泛關注。商業銀行在充分利用信息科技在業務處理、客戶服務、產品創新、管理決策等領域帶來巨大收益的同時，也應切實加強對信息科技風險管理的重視，全面規劃和落實信息科技風險防控體系建設，構建涵蓋生產運行、信息安全、業務連續性、科技外包等環節的信息科技風險管理方法和流程，進一步提升信息科技風險防控專業化水平。

完善管理組織架構，夯實防控基礎

        做好商業銀行信息科技風險防控，首先應從頂層架構設計出發，建立職責明確的信息科技風險管理組織架構，明確信息科技風險管理策略和制度，加強科技風險防控資源配備，營造信息科技風險管理文化，促進風險防控水平整體提升。

        一是強化信息科技風險頂層設計。風險管理與業務發展同是“一把手”工程，應從董事會、風險管理委員會和高級管理層入手，建立各專業部門和業務條線分工科學、責任明晰、互相監督、高效協同的管理組織架構，制定信息科技風險管控策略和目標，建立保障制度和機制，確保信息科技風險管理有效落地。二是完善信息科技風險防控人員配置。人是風險防控的核心，應健全專業的風險管控團隊，從制度、規劃、運維、安全、業務連續性、外包、合規等職能角度設置必要崗位，完善各專業條線的相關團隊，形成協同聯動管理機制。三是加強全員風險防控意識教育培訓。定期對全員進行風險防控意識教育、技術培訓和技能考核，建設信息科技風險防控文化，提高全員風險防控意識和實操能力。

        華夏銀行嚴格按照國家主管和監管部門要求，組織落實信息科技風險防控各項政策法規，將信息科技風險管理納入全面風險管理體系。董事會和高管層定期聽取和審議信息科技治理、風險管理策略、安全可控能力、應急演練等風險管理工作情況報告，在資金和人員等方面給予充分傾斜和大力支持。建立了信息科技管理委員會和信息科技項目審定委員會，審議全行信息科技風險防控規劃執行、重要系統投產風險評估、業務連續性應急演練等信息科技相關工作內容。此外，建立了以信息科技部門、風險管理部門、審計部門為主體的信息科技風險管理三道防線，共同防范和控制信息科技風險。積極開展信息科技風險意識教育，每年定期舉辦信息安全知識培訓，覆蓋全行網絡安全專職與兼職人員。

注重多維立體管理，構建完備的風險防控體系

        信息科技風險管理核心是建立健全內部防控體系，通過管理措施和技術工具，消除風險隱患、提升安全防護能力，保證銀行信息系統和數據的機密性、完整性和可用性。在當前金融業務互聯網化的新形勢下，信息科技風險管理應涵蓋銀行業務的各環節和全流程，形成多維度、立體式的風險防控體系（如圖所示）。

華夏銀行風險防控技術模型

        一是強化全流程風險防控。從信息科技運行的全流程入手，涵蓋生產運行、應用研發、信息安全、信息科技治理、業務連續性、科技外包等銀行信息科技的各個環節，立體管理、多措并舉，提高風險防控能力。二是注重全生命周期風險防控。從信息系統全生命周期出發，保證安全風險防控技術措施同步規劃、同步建設、同步使用。在信息系統規劃階段，充分考慮可能存在的安全風險，采用高效且安全的基礎架構，從規劃層面降低全局系統性的安全風險。在建設階段，建立嚴格的檢驗流程和機制，確保不存在重大安全缺陷或漏洞。在使用階段，建立安全風險監測平臺，實時監測各類入侵和攻擊行為，讓管理、運維和安全等相關人員第一時間直觀掌握風險狀況并閉環管理風險。三是切實加強業務連續性風險防控。通過加強技術與業務協調互動、應急預案建設、應急演練、風險評估、持續改進，加強信息系統高可用建設和多活數據中心建設，全面提升業務連續性管理風險防控水平。四是利用技術平臺提升風險管控效能。采用專業化、自動化、智能化技術手段，建立實用、高效的風險防控管理平臺，通過技術創新應用提高風險事件的預警效率、響應速度和處置效果。

        華夏銀行建成了基于ISO20000、ISO27001國際標準的IT服務和信息安全管理體系，面向信息科技活動全流程和全生命周期開展風險防控，不斷提升信息科技風險管理的專業化水平。在信息系統規劃和建設階段，同步考慮安全功能的健全性和安全技術措施的完備性，在系統投產運行時同步具備健壯的安全防護能力。強化應急管理，建立了“周、月、季”多層次應急演練機制，采取不公開演練場景、不提前通知的方式開展真實化、常態化的應急演練，進一步提升演應急處置能力。全部金融交易類系統完成高可用改造，通過交易限流措施實現故障影響隔離，消除信息系統全局性風險，從系統架構層面保障業務連續性。同時，創新研究、積極推動技術平臺建設，構建了智能化、全方位的一體化運維管理平臺、應急指揮平臺、故障預測預警平臺、自動化操作平臺，為信息系統穩定運行提供了強有力的技術支撐。

強化風險評估驅動，建立動態風險管理機制

        落實信息科技風險防控策略，應形成風險識別評估、監測分析、持續改進的信息科技風險控制閉環流程，且動態循環更新，保障風險管控能力水平螺旋式上升。

        一是建立動態化風險評估機制。逐步構建信息科技風險管理指標體系，采用不間斷風險監測、調查分析、監督評審等手段，不斷優化指標內容和閾值，持續提升指標體系的完整性和科學性。二是建立自動化風險監測機制。依托先進技術手段實現風險監測自動化，對指標數據的采集、分析、報告等過程實現技術硬控制，同時能夠實現快速擴展風險監測覆蓋面、靈活調整風險監測策略、圖表化展示風險分布狀況等。三是建立常態化風險改進機制。定期總結和回顧風險評估與監測情況，檢查和總結信息科技風險管控策略有效性、風險問題整改情況、長效機制建立情況等，形成常態化風險改進后評價機制。

        華夏銀行通過建立規范、科學、有效的信息科技風險評估方法、流程和工具，為信息科技風險評估體系的規范化和常態化奠定基礎。建立了信息科技風險關鍵監測指標體系，確定多個科技條線關鍵風險指標，按季發布關鍵風險指標運行情況通報，及時準確地發現信息系統安全技術風險和隱患，確保信息安全保障工作落實到位。定期開展核心、網上銀行、第三方存管等重要系統風險評估，確定系統存在的風險隱患，評估風險潛在影響，量化安全控制措施的有效性，跟蹤落實各項風險點的整改、緩釋情況，進一步提高了風險識別、計量和評估結果的科學性、可用性。此外，依托規范的信息科技風險評估體系，不斷豐富、完善信息安全技術手段，持續通過安全漏洞掃描、滲透測試、源代碼檢測等手段，提高系統針對信息科技風險的抵御能力。

加大自主掌控力度，增強防控主動能力

        商業銀行應從科技開發、生產運維等方面細化分類，采取選擇性外包和分類掌控策略，在核心技術和關鍵領域著力加強自主掌控能力，有效降低對外部產品與服務提供商的依賴性和依存度，不斷提升信息科技風險的管控能力。

        華夏銀行一直重視外包風險管理工作。一是建立了完善的信息科技外包管理制度體系，形成了三層信息科技外包管理執行機制，細化外包集中度風險監測指標，監測具有集中度特點的單一外包服務商服務占比。二是重點加強重要系統運維、信息安全領域資源投入，在信息科技條線建立了網絡安全專職隊伍，在各業務條線、總分行各級機構設立了網絡安全兼職人員，全行信息安全設施實現100%自主可控。面臨持續嚴峻的網絡安全形勢以及更高的管理要求，華夏銀行將進一步加強安全隊伍建設，重點提升網絡安全的精細化管理程度和自主掌控能力，完善7×24安全運維工作機制，打造具備深入安全分析和自主應急處置能力的安全技術專家團隊，提升網絡安全事件的全天候監控與自主處置能力。

        根據“打造數字央行”戰略，央行將構建三大平臺，其中包括大數據、分布式系統、數字貨幣等前沿技術。隨著云計算、大數據、人工智能、區塊鏈、量子通信等新興技術不斷發展和應用，信息科技風險管理一方面要以技術進步為契機，通過新技術研究、應用提升風險防控效能；另一方面也要對新技術帶來的新生風險有清醒的認識，并制訂針對性的識別、評估和防控措施。

        銀行業務系統一直追求安全、穩定、可靠，傳統的集中式架構發揮了重要作用。隨著互聯網金融業務更加豐富、銀行業務系統交易模式更加復雜、系統處理能力瓶頸更加凸顯，銀行業開始探索采用分布式技術方案。相比于集中式架構，分布式架構具備多方面的優勢，如系統擴展能力強、系統運行效率高、系統運行可靠性好、系統成本優勢明顯等。但由于分布式架構采用了單體處理能力較小、可靠性較低的常規服務器，在銀行信息系統的實際應用中面臨一些風險挑戰。例如，多節點同步軟件可能存在可靠性和安全性問題，將會導致整個分布式系統工作失效；采用大量X86服務器，且該類服務器上使用的常規系統軟件存在較多的安全漏洞，對日常運維帶來巨大挑戰；敏感數據的流轉范圍和存儲安全管控要求更高；邊界安全訪問控制需要更嚴密的設計；分庫分表策略導致跨庫跨表事務增多，如果采用二階段提交機制來進行事務管理，會引起性能和可用性問題。

        華夏銀行高度重視信息技術防控中的技術創新研發和應用，在信息科技運行風險、信息安全風險防控方面做出了積極探索和實踐。一是積極推進分布式架構的研究應用，充分評估其技術風險，提出應用服務分布、數據庫分布、存儲分布、混合模式等多種部署方案。在實施路徑上采用“先試點、再推廣”的思路，第一階段選擇交易量并發較高的非核心應用開展試點，第二階段在試點基礎上，按照“優化存量、管好增量”的方針進一步推廣，對于存量系統升級改造時，優先采用分布式架構，對于增量系統，原則上采用分布式架構建設。二是運用大數據分析與人工智能技術，建立智能化運維管理平臺，提升系統運維管理能力，并對運維中產生的海量數據進行深入分析和挖掘，發現業務經營中存在的風險，包括業務量異常告警、黑名單管理、客戶簽約信息提示等，提高業務風險防控水平。三是承擔了國家信息安全專項任務，率先開展一體化信息安全風險感知平臺研究與實踐，形成了安全健康度全景視圖、基于時空維度的風險延展分析、業務行為與敏感數據管控、內外部威脅情報融合分析、安全管理與運維體系聯動處置等系列成果。四是在對新技術應用的深入研究基礎上，持續開展新技術風險識別與評估，準確發現和定位由此引發的新型安全風險，針對性分析已有風險防控手段的有效性、完備性，保證新技術應用的安全可控。

        信息科技風險防控是保障銀行資金安全、客戶安全、運營安全的生命線，商業銀行不僅要貫徹落實國家法律法規的要求，還要堅持基礎建設與科技創新并重、提升服務與保障安全并舉的科學發展導向，將傳統優勢與新興技術緊密結合，大力推進信息科技風險管理工作的體系化、制度化和流程化，有效支撐和促進業務健康發展。

(文章來源：金融電子化雜志) 

掃碼即可手機
閱讀轉發此文