近年来,随着信息科技与商业银行的业务融合度越来越高, 金融业务对信息科技的依赖性日益增强,作为现代银行核心竞争力的重要组成部分,信息技术能够帮助银行拓展和完善服务功能,推动渠道、产品和业务的创新,其风险也随之不断显现并加剧。作为直属国务院领导的我国唯一的农业政策性银行,农发行自建行以来,不断在探索中前进, 在改革中发展。近日,记者采访了农发行信息科技部总经理谢文,请他就农发行信息科技风险管控等话题进行探讨。
《中国金融电脑》:在目前的形势下,您如何看待国内商业银行信息科技风险管理的现状以及面临的挑战?
谢文:目前,国内商业银行为防范信息科技风险, 确保信息安全, 着重加强了信息科技风险管理,并取得了一定的成绩。
首先,各商业银行已基本建成包含信息科技风险在内的风险内控制度以及信息安全保障体系,并已形成一系列的标准、规范。
其次,在数据安全、系统运营和信息化建设项目等方面风险的管理显著加强, 能对上述风险进行识别、定性和定量分析、预警以及监控。
最后, 外部监管力量不断增强,不断制定相关标准和规范,对标准的贯彻执行进行指导和监督,有效促进商业银行信息科技风险管理水平的提高。
但是,国内商业银行的信息科技风险管理仍滞后于信息化建设,与国外先进银行相比,仍存在较大差距。为更好地进行信息科技风险管理,需要进一步完善风险管理体系,加大信息科技风险人才队伍培养和健全信息安全基础设施建设。
《中国金融电脑》:在信息科技风险管理方面贵行采取了哪些有效措施,取得了哪些成绩?
谢文:农发行信息化建设相比国内商业银行起步较晚,但发展速度比较快,信息科技对于业务发展的支撑能力不断增强,在信息化高速发展的过程中一直重视信息科技风险管理,并逐步采取了一系列措施加强信息科技风险管理。
一是牢固树立“安全优先”的理念。总行党委高度重视信息安全,要求切实把信息安全工作放在科技工作的首位,全面加强信息安全保障,确保信息系统安全稳定、风险可控。通过建立信息安全管理职能组织, 优先加强信息安全管理,特别是加强信息系统安全等级保护管理和应急响应管理,严格执行信息安全事件报告制度,落实信息系统研发、投产、运维的安全保护, 并将安全保护措施是否落实到位作为信息系统能否投产的首要条件。
二是加强信息科技风险管理制度建设。制度是管理之本,是风险控制之基,加强制度建设是加强信息科技风险管理的基本条件。近年来,农发行通过“科技制度年”等多种方式着力推进信息科技风险管理相关制度的建立和完善。首先,在信息安全管理方面,制定了机房建设、网络管理、桌面系统病毒防治、突发事件处理、信息系统等级保护等一系列的技术规范、办法和制度,重点制定了灾备应急预案、应急响应计划等,切实加强风险防控水平;其次,通过制定信息化项目研发、核心信息系统运维相关管理办法,加强项目建设风险和运维风险管理。目前,农发行信息科技风险管理制度已逐步趋于完善,并呈现出全面性、可操作性、安全优先性等特点,有效提高了信息科技风险管理水平。
三是加强基础设施建设。近年来, 在总行党委的指导下, 农发行大力改善信息科技基础设施建设, 2 0 0 9 ~ 2 0 1 0 年建成了数据中心、同城灾备中心和珠海IT基地。其中,按照行领导提出的“建设国内一流机房”的要求,数据中心按照国家A级机房标准建设,配备国际一流设备,从规划布局到功能设计, 数据中心都达到了国内银行业一流数据中心的要求, 大大提升了农发行信息系统基础环境的总体运维保障能力、安全防护能力、风险防控能力等。
在总行党委的正确领导和人民银行科技司的指导下,在三大中心建设完成的基础上,农发行历经7个多月,于2010年建设完成了同业先进的“两地三中心”灾备系统。同年6月3日实现了“两地三中心”业务数据实时同步,并于6~7月集中进行了4次真实环境下的、模拟大规模灾难发生、全行人员参与、带业务处理的灾备演练。灾备系统的正常运营,灾备演练的常态化、制度化、系统化,使信息安全稳定运行的能力上了一个新的台阶。
为尽量减少人工的干预,有效地降低系统运行的风险,农发行建成了总行集中监控系统,对重要信息系统的运行实现集中的管控,省级分行和二级分行建成了机房预警监控系统,机房基础环境和重要信息系统运行出现异常时能实时进行告警。建设完成了全网统一的防病毒体系、入侵检测系统等。
实施了分支行计算机机房达标工程,计划用2011~2013年3年时间完成各级机构所有机房的达标建设,为信息系统的安全运行提供坚实的保障。
四是不断完善应急处置体系的建设。信息系统应急体系的建设是信息安全建设中非常重要的一环,该环节处理不当,可能会将一个小事件演变成一个大事件,更甚者可能会导致信息系统大面积瘫痪。为此,我们着力加强信息系统应急体系的建设,制定了应急管理制度,指导和督促各级行完善应急预案建设,组织开展了多次灾备系统真实环境切换演练,要求各级行每年至少组织一次应急演练。
通过上述措施,截至目前,农发行初步建立了信息科技风险管理体系,针对风险的识别、研究、分析、预警、应对及监控制定了相应的管理流程。在信息科技风险基本可控、可管的前提下,农发行核心业务系统投产以来,信息科技建设及运营没有发生重大事故,信息化建设项目均按时成功上线,信息系统安全性大大提高。
《中国金融电脑》:贵行信息科技风险管理的规划和战略思路?
谢文:农发行十分重视信息科技风险的规划管理。在农发行的《信息化建设“ 十二五” 规划》中,已明确将“安全优先”作为贯穿农发行“十二五”及未来更长时间信息化建设的主线和基本原则。我们将坚持把安全第一的理念贯彻到信息化建设的组织架构、管理制度、项目建设、运行维护和安全设施之中,全面落实外部监管和业务发展对风险防控的要求,确保信息系统安全稳定和风险可控。具体来说,未来农发行的科技风险管理将重点从以下四个方面考虑。
一是以实施新一代核心业务系统建设为契机,不断完善信息科技管理体系。农发行会在不久的将来开始建设新一代核心业务系统,以打造更加高效、安全的生产平台。通过建设统一规划的IT治理体系、信息科技风险管理体系和信息安全保障体系等三大体系,提升信息科技风险防控能力,统一规划,实现全面风险管理。
二是进一步提升基础设施建设和运维水平。未来,农发行要进一步完善数据中心的基础设施建设,优化集中监控效能,加强日常安全监测、分析研判和预警,切实提高监测预警能力。以规范的IT服务管理流程和制度提升安全作业水平。同时要在同城灾备中心和异地灾备中心建设机房预警监控系统和基于ITIL的IT服务管理流程。继续推进分支机构计算机机房达标建设工作,以达标为手段,打造安全、规范、高效的区域数据中心。
三是完善应急预案,保障有效实施。要继续推进信息系统等级保护,根据重要信息系统的安全技术保护状况,制定和完善重要信息系统技术保护方案。针对复杂的运行环境(如电源、服务器、数据库、网络等)和不同等级的应用系统制定更加科学的应急预案。加强对预案的演练, 确保所作的预案能够达到预期效果, 最大程度降低损失。
四是继续规范科技产品创新和系统运行维护全流程的规范化水平和精细化程度。目前,农发行正在推进信息化建设项目全流程管理规范,从流程和制度上对科技产品创新全过程在组织结构、人力资源配置和职责分工等方面进行规范约束。同时,结合ITSM的理念,对系统运维的各个环节、各个流程进一步优化, 建立和不断丰富运维知识库。通过一系列全流程规范, 降低科技产品创新和系统运行的风险。
总之,农发行力求通过对信息科技风险管理的科学规划,加强对信息科技风险的识别和评估能力。同时借助一套相对科学和行之有效的手段,进一步明确各类风险的管理目标、体系、流程规范及处理方案,使信息科技风险管理更加有章可循,最大程度地降低风险影响。
《中国金融电脑》:全面风险管理对银行信息科技建设带来哪些挑战?银行信息科技如何满足全面风险管理的要求?
谢文:全面的信息科技风险管理涉及信息化建设的各个方面,包括组织机构、系统运营、数据安全、网络、项目建设、科技管理等多个方面,全面信息科技风险管控对银行信息科技建设带来了新的挑战,对信息科技发展提出了新的要求。
首先,随着信息科技应用的快速拓展,信息化建设逐渐延伸至各个领域, 对银行风险管理能力、监控水平提出更高的要求, 需要不断完善多渠道信息科技风险管理体系。
其次,随着全面风险管理的不断深化,复杂程度将提高,难度将加大,管理决策将更加要求精细化和科学化,管理流程将更加全面和清晰,需要加快建设以信息科技风险管理为核心的IT基础平台。
再次,全面风险管理需不断完善内部控制体系,要根据全面风险管理要求,结合自身实际情况,定期对内部控制的有效性进行自我评价并不断改进,以达到有效防控风险的目的。
最后, 在全面的风险管理体系下, 信息科技风险必将得到有效防控, 信息化建设必将快速稳健的发展。
|
