中国工商银行股份有限公司信息科技部专家 姚红玲

　　当前， 信息技术已经渗透到商业银行经营管理的各个领域，成为商业银行生存和发展的重要支撑力量。伴随我国银行信息化建设步伐的加快， 信息科技在促进业务发展的同时， 信息科技风险也已经成为影响银行业稳健发展的重要因素。

　　一、信息科技风险管理的新特点

　　进入21世纪，国内商业银行纷纷上市取得长足发展，并在全球金融格局中扮演日益重要的角色，我国商业银行的信息科技风险管理又呈现出如下特点。

　　1 .监管机构日益重视信息科技风险管理

　　信息系统的安全性、可靠性和有效性不仅关系到商业银行的稳健运作，还事关整个银行业的安全和国家金融体系的稳定，因此国家监管部门对包括生产运行风险在内的信息科技风险管理工作日益重视，各监管机构近几年密集出台相关政策法规，对银行信息科技风险管理提出了明确要求。如《信息安全等级保护管理办法》(2007年)、《银行业重要信息系统突发事件应急管理规范》(2008年)、《银行、证券跨行业信息系统突发事件应急处置工作指引》(2008年)、《商业银行信息科技风险管理指引》(2009年)、《银行业金融机构重要信息系统投产及变更管理办法》(2009年)、《商业银行数据中心监管指引》(2010年)、《银行业金融机构外包风险管理指引》(2010年)、《商业银行业务连续性监管指引》(2011年)等。

　　2 .业务快速发展对信息系统的稳定性提出了更高要求

　　银行业务量逐年攀升，特别是各类与资本市场关系密切的股票、基金、贵金属等业务，与外部市场环境关联性大，业务量易出现突发性、结构性的快速增长。以工商银行为例，2011年全行日均业务处理量达1.7亿笔，峰值业务量超过2.1亿笔，每秒需同时处理5000多笔业务，对信息系统性能容量管理要求日益提高。同时，网络支付的快速发展，银行与第三方合作的业务品种和方式越来越多，第三方系统的运行稳定性将直接影响到银行系统的稳定运行，对银行的系统研发、测试、生产运行管理能力都提出了更高要求。

　　3 .日益复杂的系统结构要求进一步强化信息科技风险控制

　　为支持业务的快速发展，大量的信息科技基础设施、数百万计的设备和数百个系统需要有效配合，持续高速运行， 要求不能发生间断，出现偏差，这给银行的生产运行管理能力带来了巨大的压力。截至2011年底，工商银行核心业务系统管理和维护着遍布全球1.6万多家营业机构，约6亿个账户的数据;全行投放了5.9万台自动柜员机、3.9万台自助终端、80多万台POS等自助设备;运维着为全球客户提供7×24小时金融服务的网上银行、电话银行和手机银行等应用系统。同时，银行数据的集中带来了风险的集中，必须通过强化管理，规避可能出现的重大风险隐患。

　　4 .产品创新加速要求提升应用研发风险管理水平

　　目前商业银行间的市场竞争激烈，各行都加快了产品创新速度。以自主研发为主的大型商业银行每年要完成数百个应用项目的研发、测试及投产工作。大规模的应用研发，如果管理控制能力不能及时跟上，势必降低软件产品质量，进而可能引发系统运行风险。众所周知，引发软件产品质量问题的因素是多方面的，有设计、研发和测试问题，也有业务需求质量不高和业务需求变更频繁等因素。因此，需要我们不断提升应用研发风险管理能力。

　　5 .快速变化的外部环境需要不断加强信息安全管理

　　在互联网快速发展的今天，信息安全是不容回避的问题，各种安全威胁对信息系统的危害逐渐加大。当前，各银行都通过电子银行渠道大力拓展业务范围，但这些服务系统面临钓鱼网站、病毒传播、木马植入和黑客攻击等各种安全威胁越来越严重，业内日益频繁的网银系统安全事件都对信息安全管理提出了严峻的挑战。2011年，工商银行发现并及时处理了34万起针对网银系统的入侵报警事件，全年发现假冒网站4054个。

　　6 .加强信息科技风险管理是提高IT治理水平的需要

　　随着信息化建设的深入，各家银行对信息科技风险的认识也在逐步深入，已经从单一的信息安全转变为涵盖科技治理、生产运行、应用研发和信息安全等方面的全面IT风险管理。各家商业银行也普遍提高了对信息科技风险管理的关注程度，意识到信息科技风险管理不仅仅是科技部门的工作，而是一项全行性的工作，需要业务部门和科技部门共同推进、共担风险，信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。

　　二、加强信息科技风险管理的有关举措

　　在具体实践过程中，工商银行主要从科技治理、生产运行、应用研发和信息安全等四个方面落实信息科技风险管理措施。

　　1.科技治理领域

　　(1)健全信息科技管理组织体系根据银监会《商业银行信息科技风险管理指引》要求，工商银行成立了由行长任主任委员、主管副行长和首席风险官任副主任委员、各相关部门参加的信息科技管理委员会，负责审议信息科技战略、科技制度和技术规范体系建设规划、信息科技重大决策事项及信息科技风险管理、信息安全管理工作等，推动信息科技治理建设，并定期向董事会、高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体工作情况。同时，信息科技管理委员会下设技术审查委员会，负责重大科技项目方案的审查，确保全行信息科技架构体系的合理性和延续性。工商银行设立了首席信息官，参与本行与信息科技运用有关的业务发展决策，信息科技管理体系得到进一步完善。

　　(2)加强制度规范体系建设

　　依靠本行科技管理所积累的经验，工商银行建立了较为完善的信息科技管理制度及技术标准规范体系， 包括由管理办法、实施细则和管理手册组成的较为完善的科技制度体系，以及涵盖信息安全、系统、应用等七大类的技术标准规范体系，有效提升了全行信息科技管理的标准化和规范化水平。

　　(3)明确信息科技风险管理三道防线职能

　　根据银监会《商业银行信息科技风险管理指引》的有关规定，工商银行逐步形成并确立了各数据中心、软件开发中心、各分行信息科技部门承担信息科技风险管理第一道防线职能，总行信息科技部和内控合规部承担信息科技风险管理第二道防线职能，内部审计部门承担信息科技风险管理第三道防线职能的信息科技风险管理体系; 制定发布了《信息科技风险管理策略( 试行) 》， 明确了应遵循的信息科技风险管理原则; 开展了信息科技风险评估工作; 研究建立信息科技风险监测体系，持续开展例行化风险监测、分析、报告工作。同时，不断完善信息科技现场检查和非现场检查机制，例行化组织开展相应的检查工作;积极推进业务连续性管理工作，开展业务影响分析工作，制定发布了《业务连续性管理办法》。

　　2.生产运行领域

　　(1)全面实施生产运行管理精细化工程，打造安全稳定的信息系统运营平台

　　工商银行建立起生产系统整合和性能容量优化工作机制，按照数据生命周期管理规范开展生产环境数据治理;完成了面向业务、面向服务的有针对性监控以及端到端监控，实现了应用系统按渠道和业务种类进行生产系统监控;持续提升生产运行自动化管理水平，数据中心主机系统已经全面实现操作自动化，开放平台系统的操作自动化率接近70%，既有效提高了生产运维效率，又切实降低了手工操作带来的风险。

　　(2)持续推进全行灾备体系建设，对外连续服务能力显著加强

　　按计划推进“两地三中心”工程建设，2011年，工商银行完成了数据中心(上海)新园区的迁移，成功部署了主机核心系统双园区运行模式;完成了关键开放平台应用的双园区双活部署，进一步提升了工商银行信息系统的业务连续性运行能力;开展了一级分行同城机房建设工作，进一步提高全行上下突发事件应急响应和处理能力。

　　3.应用研发领域

　　(1)加强科技与业务的融合，不断提高项目质量

　　应用研发管理过程中，工商银行不断强调科技与业务融合的重要性，加大需求编制阶段技术人员投入力度， 提前了解业务思路， 促进需求质量不断提高;建立起业务部门参与到软件需求编写、系统设计、开发测试、验收投产和系统推广等阶段的工作机制，有效防范了项目风险。

　　(2)加强总分行研发联动，降低应用研发风险

　　近年来，工商银行不断强化应用研发中的总分行上下联动，组织分行参与总行应用研发项目，参与总行重大产品项目的需求审核和用户体验等工作，实现项目研发阶段已经考虑到一线员工的操作使用感受和基层需求， 确保系统功能的可操作性和适应性， 降低版本投产风险。

　　(3)加强技术架构管理，防范系统性设计风险

　　工商银行建立了技术架构评审会制度，对项目方案进行严格审核把关。对于重大项目建设，及时提交总行技术审查委员会进行审议，确保全行技术架构的统一和规范化管理，降低系统性设计风险。

　　4.信息安全领域

　　(1)完善组织和制度建设，推进管理措施落实

　　工商银行始终重视信息安全管理组织和制度建设。经过近年来的持续推动，全行已经形成信息科技部门、内控合规部门、保密部门等职能部门联合推动，其他部门积极参与的工作机制;并制定了“信息及信息安全管理办法”等一系列信息安全管理制度。同时，通过例行化检查和通报等形式，促进各部门落实信息安全工作职责。

　　(2)完善技术控制手段，发挥安全防护工具作用

　　在客户端安全技术控制手段方面，工商银行积极做好各类安全防护工具的使用管理，充分发挥安全防护工具的作用，通过加强客户端安全控制、网络准入控制、信息泄露保护、互联网访问管理和系统访问控制等多种方式，确保工商银行敏感信息在使用、保存、传输等过程中得到有效保护。

　　(3)强化信息及信息系统安全检查

　　为确保工商银行信息及信息系统的安全，工商银行在加强内部控制体系建设和技术硬控制的同时，不断强化信息安全检查工作， 定期组织开展信息及信息系统安全防护检查和专项风险评估，积极做好各项信息安全保障工作。同时，对发现的安全问题，加强整改跟踪力度，及时消除安全隐患。

　　三、加强信息科技风险管理的思考

　　从信息科技风险管理实践来看，信息科技风险管理是商业银行信息化建设过程中面临的十分重要的问题，对工商银行也不例外。未来在信息科技风险管理方面，工商银行将进一步加强在科技治理、生产运行、应用研发和信息安全等方面的管控，实现全面提升全行信息科技风险管理水平的目标。

　　1.在科技治理方面

　　不断优化科技治理机制及管理流程，完善科技组织架构，提升科技风险管理能力;持续完善信息科技管理制度和技术规范，不断提高科技管理的标准化、规范化水平;全面落实信息科技风险管理职责，促进跨专业、跨部门的整体协调和联动;加强信息科技专业检查，不断提高制度与规范的执行力;加强科技人员队伍建设，为信息科技风险管理提供人才支撑。

　　2.在生产运行方面

　　始终坚持将安全生产运行放在一切信息科技工作首位的原则，确保全行信息系统持续保持安全稳定运行;持续优化全行统一的生产运行管理体系，完善面向业务和服务的监控体系;加快“两地三中心”工程建设，进一步提升对外服务的连续能力;不断强化管理措施，继续完善生产系统的应急管理体系，增强全面应急管理能力。

　　3.在应用研发方面

　　以质量和效率为核心，持续加强研发精细化管理，持续梳理和优化项目研发和测试管理各项流程，强化各环节质量检查和控制措施，进一步完善应用研发管理质量保障体系。

　　4.在信息安全方面

　　进一步推进信息安全管理组织体系建设;持续完善信息安全管理制度、规范和标准体系;持续完善信息安全保护的硬控制措施， 重点关注内外部攻击、防病毒、客户端信息安全和应用系统信息分级保护，以及外包管理中信息泄露的控制手段和管理措施，推进信息安全防护体系建设。