記者近日採訪了廣東發展銀行股份有限公司(以下簡稱“廣發行”)信息技術部負責人徐徽,通過她的介紹可深入瞭解目前國內商業銀行的風險規避之道。
記者:為什麼説信息科技風險管理對於商業銀行是特別重要的一環?
徐徽:近年來,風險管理已成為商業銀行經營管理活動的主旋律,信息科技風險作為銀行風險的重要組成部分,受到越來越多的重視。從商業銀行的角度看,這源於兩方面的驅動因素。
一是內在驅動因素。目前信息技術已深入到商業銀行經營管理的各個領域,幾乎所有的改革發展任務都與信息技術密切相關,不管是業務的發展,還是管理的提升,都需要信息技術的配套支持。但是,信息技術固有的風險,包括信息系統軟硬件本身的脆弱性、數據集中導致的風險集中等,是客觀存在且難以完全規避的。由於技術原因造成區域性和系統性的金融風險進而帶來嚴重的社會影響,在國內外都有很多案例。因此,信息技術在促進銀行業務發展、推動金融創新的同時,也使銀行業務面臨巨大的安全隱患,信息科技風險牽一髮而動全身,信息系統的安全性和可靠性關係到商業銀行整體經營管理活動的穩定,應該得到而且已經得到了所有商業銀行的重視。
二是外在驅動因素。近幾年,中國人民銀行、銀監會等監管機構對於商業銀行信息科技風險的監管要求越來越嚴、越來越細。銀監會2009年3月下發的《商業銀行信息科技風險管理指引》,從IT治理、風險管理策略、信息安全、開發測試和生產運行管理等方面對商業銀行提出了具體而細緻的風險管理要求,對於商業銀行加強信息安全管理、防範信息技術風險起到了重要的指導作用。同時,銀監會將商業銀行的信息系統納入現場和非現場監管,大力開展信息科技風險現場檢查,對商業銀行的信息科技風險防範工作提出了更?的標準和要求。監管力度的加大,促使商業銀行鍼對信息技術風險防控制定出更強有力的措施,不斷提?信息安全風險管理水平。
在上述內部要求和外部環境的雙重要求和驅動下,商業銀行信息科技風險管理的重要性日益凸顯,信息安全管理成了各行科技工作的主題。
記者:現階段,我國金融機構面臨的信息科技風險主要來源於哪些方面?
徐徽:要嚴控信息科技風險,就要先弄清楚風險的來源,並根據不同來源對症下藥。概括來説,信息科技風險主要來自四個方面:一是自然原因導致的風險,包括地震、颱風等自然災害造成的風險,這類風險往往很難主動防範,只能被動防禦,通過事前建立完善的業務連續性方案和應急預案,事後及時啟動應急方案和補救措施來彌補;二是系統風險,是由信息系統相關軟硬件的缺陷引起的,包括基礎設施和硬件設備老化、系統軟件缺陷、應用軟件開發測試質量缺陷等,需要通過改善軟硬件環境、完善應用軟件來防範;三是管理缺陷導致的風險,是由管理制度的缺失或組織架構的制衡機制不完善引起的,需要從IT治理架構和管理機制上彌補管理和制度的空白及漏洞;四是人員違規操作風險,是由人員有意或無意的違規操作引起的,需要加強員工的安全培訓和操作培訓,提?人員的信息安全意識和操作水平。其中,後三類風險需要以主動防範為主要安全管理措施,要建立風險事前防範、事中控制、事後監督和糾正的機制。
記者:為保障銀行業務的安全,廣發行信息科技風險管控採取了哪些具體措施?
徐徽:嚴控風險是我行2009年工作的主旋律之一,這也是行長辛邁豪在1月全行工作會議上確立的指導思想,在信息技術方面的定位就是“加強信息技術風險管控,將信息技術風險納入銀行全面風險管理體系”。信息安全管理工作是2009年全行科技工作的重點任務,是優先投入資源、重點保障的工作目標。由此可見我行對於信息科技風險管理的重視。
現階段,根據我行技術和管理的實際情況,信息科技風險管理採用“廣度優先、逐步提升”的策略,重點在管理、技術、人員等方面提升信息安全管理水平和管理能力,建立管理與技術結合的全方位的風險管理體系,變被動應對為主動防範。具體説來,主要採取以下幾方面的措施開展信息安全工作。
第一,將信息科技風險管理和信息安全納入我行五年科技戰略規劃的.實施目標。為了提?信息技術整體核心競爭力,提升信息技術對業務戰略發展的長期可持續支持能力,我行於2008年完成了五年科技戰略規劃目標和實施路徑的制定,信息科技風險管理和信息安全是科技規劃的重要組成部分之一。科技規劃中明確了信息安全工作的中長期目標,定義了信息安全機制建設、信息安全相關係統和管理平台建設等多方面的信息安全管理實施路徑,我行在未來幾年內將根據科技規劃的實施路徑逐步開展信息安全建設,提升信息風險防控能力。
第二,完善信息科技治理,大力開展信息科技風險管理機制建設,建立信息科技風險管理制度基礎。以前,國內商業銀行的信息安全管理普遍存在一個誤區,認為部署了?性能的硬件設備、實現了雙機熱備份、做好了生產運行風險控制,就算完成了信息科技風險控制的工作。其實不然,因為信息安全不單是技術問題,更是管理問題,只有持續完善信息科技治理架構,從組織架構和制度等管理層面採取防範措施,才能真正實現信息安全管理的目標。我行在信息科技治理方面的措施主要包括三個方面。首先,認真學習和領會監管機構對信息技術風險控制的要求,吸收借鑑同業經驗,將監管要求和同業經驗轉化為行內工作規範,建立系統完善的信息技術風險管理組織架構和機制,建立了三道防線、三個小組和三項機制。三道防線是明確了信息技術部、合規部、稽核部為主體的信息技術風險三道防線的職能分工;三個小組是成立了信息系統突發事件應急領導小組、應急處置小組和支持保障小組,做好突發事件應急處理;三項機制是信息技術風險管理保障機制、信息技術風險評估和預警機制及信息技術風險應急處置機制。
其次,建立健全信息科技規章制度。為了做好制度建設,我行信息技術部專門制定了《科技規章制度管理辦法》,明確了信息科技相關制度制定、修訂、廢止的流程和審批制度。在管理辦法的指引下,切實抓好制度建設,近兩年每年制定、修訂的制度都在20項以上,形成了總數達到60餘個的全行科技規章制度體系。同時加強制度的宣講、檢查、整改機制。對於新建立的制度,制定一項,宣講一項,檢查一項,違章整改一項。再次,加強信息安全隊伍建設,提?員工信息安全風險防範意識和水平,通過理論和實踐的結合,培養?素質的信息安全管理團隊。去年我行在總行各部門和各分行科技部設立了信息安全崗,專門負責組織、落實本單位的信息安全管理工作。為了提?信息安全崗人員的知識水平和操作技能,我行與廣州市信息安全協會共同設計了培訓課程,組織總行信息安全崗人員和總行信息技術部相關崗位人員分批參加了信息安全繼續教育培訓,實現總行信息安全崗滿足《廣東省公安廳關於計算機信息系統安全保護的實施辦法》中關於持證上崗的監管要求,今年將實現分行信息安全崗全部持證上崗。我們同時認識到,信息科技風險防範不僅是信息安全崗的事情,而且是全體員工的基本任務。因此正在組織編寫全員信息安全手冊,對於桌面電腦安全、信息保密等基礎信息安全知識開展普及教育,屆時將人手一冊,確保全體員工瞭解並遵守信息安全管理要求。
第三,採取有效的信息科技風險管理的手段防範和化解信息安全風險。首先,持續開展信息科技風險檢查、評估、整改這一不斷循環、螺旋上升的工作。一方面認真開展內部審計和外部審計工作,通過審計發現制度、流程、操作等方面中的風險;另一方面積極組織信息技術部的風險自查,每月定期開展總分行數據中心機房現場檢查,每季度開展數據庫操作、用户管理等?風險操作的專項檢查。根據審計要求和自查結果,嚴格落實風險整改工作,將整改任務落實到每季度、每月、每週的科技工作計劃中。同時逐步擴大風險檢查的廣度和深度,主動發現並積極防範風險,通過風險整改實現持續改進。其次,嚴抓四方面的生產運行安全管理工作:一是完善基礎設施建設,化解機房環境、硬件設備等基礎設施的風險;二是建立和完善災難備份中心,做好業務連續性建設;三是提升運行管理的水平,推進運行流程化和集中化管理,防範操作風險,確保信息系統的安全穩定運行。四是完善應急預案,積極組織開展應急演練,切實提?風險防控水平。
記者:信息科技風險管理有時會影響效率,您如何看待這兩個因素的平衡?
徐徽:我們必須承認,信息科技風險管理的確存在影響效率問題,信息安全風險控制與系統研發、資源整合、運行管理工作效率之間往往存在矛盾,嚴格的風險控制經常意味着效率的讓步。“信息安全責任重於泰山”,信息科技風險管理必須得到足夠的重視,即使發生概率極低的風險也不容忽視,必要時,效率要為風險管理做出讓步。為了控制信息風險管理和其他科技工作效率的平衡,我行的總體原則是“風險管理優先,兼顧效率”,對於信息科技風險分清主次、抓住重點、有方法、有步驟地控制和整改。優先整改?風險事項,必要時犧牲效率;對於風險不?的工作,統籌安排整改工作計劃。
總之,信息安全風險管理是科技工作永恆的主題,信息科技風險防範是一個長期的、持續改進的過程,同時也是一個全方位的管理體系,不可能一蹴而就,也不可能只通過某些技術方案或某項管理措施解決。隨着外部環境和內部環境的變化,新的信息科技風險會不斷滋生、升級,信息科技風險防範的手段也應隨之不斷更新、改進。我行在信息科技風險管理方面還有很長的路要走,有很多的工作方法需要優化。信息科技風險管理是一項持續、長久的工作,我們將努力構築堅實的信息安全保障體系,推動信息安全管理工作邁上一個新台階,切實保障信息系統安全、穩定、持續有效的運行,進而保障業務連續性,支持業務的發展。
