導語：信息科技風險管理構建一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

隨著銀行業(yè)對信息技術的依賴程度日益提升，信息科技風險亦隨之上升。信息科技風險具有影響范圍廣、突發(fā)性強、技術含量高、復雜度高、隱藏性深等特點，直接影響商業(yè)銀行的穩(wěn)健經營，關乎商業(yè)銀行聲譽、金融安全和社會穩(wěn)定，是商業(yè)銀行面臨的主要風險。如何在快速推進信息系統(tǒng)建設的同時，加強信息科技風險管理，減少或杜絕銀行因信息科技而給自身或客戶帶來損失，是銀行目前信息化建設需要研究的重要課題。信息科技風險管理現(xiàn)狀作為第一家從農信社成功改制的北京農商銀行，與四大行及股份制商業(yè)銀行相比，信息科技基礎十分薄弱。

近幾年來，在領導高度重視下，我們加大了信息科技建設的推進力度，大大縮小了與同業(yè)科技差距：建成了現(xiàn)代化、高標準的信息系統(tǒng)數(shù)據中心，初步形成同城生產和災備兩中心模式；全面開展網絡改造，將廣域網三級架構改為二級架構，各營業(yè)網點配置2條專線，分別直接上聯(lián)生產中心和同城災備中心，實現(xiàn)了業(yè)務網與互聯(lián)網專網進行物理隔離，增強了網絡系統(tǒng)的穩(wěn)定性和安全性；建設完善了網上銀行、銀行卡系統(tǒng)、資金債券系統(tǒng)、信貸系統(tǒng)等應用系統(tǒng)，形成了結構清晰、業(yè)務功能基本滿足業(yè)務發(fā)展和經營管理需要的應用系統(tǒng)體系。相對于信息化建設發(fā)展水平的快速提高，我行的信息科技風險管理水平略顯滯后，也與監(jiān)管當局的要求存在一定的差距。開發(fā)測試體系建設需進一步完善，代碼質量管理、Bug管理、開發(fā)過程管理、測試管理需進一步加強；系統(tǒng)運行管理有待改進，生產系統(tǒng)監(jiān)控和流程管理自動化管理手段不足，邏輯訪問控制有待加強；業(yè)務連續(xù)性管理及應急體制建設有待加強，應制訂全行性的業(yè)務連續(xù)性規(guī)劃及應急演練方案，并定期更新，切實發(fā)揮相關部門職能，按要求組織開展應急預案的演練，提高應急演練的有效性和覆蓋面。李秀生:北京農商銀行的信息科技風險管理制度體系涵蓋開發(fā)測試、運行維護、設備管理、安全管理、風險管理等方面計31項制度，每年進行一次評估和修訂，并在全行范圍內印發(fā)執(zhí)行，確保制度的科學性、合理性和可操作性。信息科技風險管理進展為了提升信息科技風險管理水平，北京農商銀行根據監(jiān)管要求，結合信息科技建設實際情況，不斷完善科技風險管理治理架構，初步建立了科技風險防控體系，有效預防和消除了科技風險事件的發(fā)生，確保了生產安全穩(wěn)定運行和信息安全。

1.完善信息科技風險治理結構，明確信息科技風險“三道防線”的職責。成立了信息科技管理委員會，除了審議信息科技戰(zhàn)略規(guī)劃、推動信息科技建設的職能外，著重加強審議信息科技風險管理、信息安全策略、信息安全重大事項和信息安全評估報告等科技風險管理職能，強化了科技風險管理體系建設中高層的推動作用；設置了首席信息官，直接參與跟信息科技運用有關的業(yè)務發(fā)展決策，確保信息科技各項工作的有效開展和落實；形成了由信息科技部門、風險管理部門及審計部門組成的信息科技風險“三道防線”。

2.持續(xù)建立健全信息科技風險管理制度體系。對現(xiàn)有信息科技制度體系進行了整體評估，重新梳理確定信息科技制度體系架構，建立包括制度、實施細則及技術規(guī)范（標準）三層架構的制度體系。同時規(guī)范對現(xiàn)有制度的管理，形成了《信息科技制度匯編》，涵蓋開發(fā)測試、運行維護、設備管理、安全管理、風險管理等方面計31項制度，每年進行一次評估和修訂，并在全行范圍內印發(fā)執(zhí)行，確保制度的科學性、合理性和可操作性，有效指導信息化建設和風險管理工作的開展。

3.事前、事中、事后管理并重，提升信息科技風險管理水平。一是強化風險防控意識，防范于未然。持續(xù)對全體科技員工進行風險意識教育，樹立對風險防控的高度敏感性和責任心，積極向員工傳導遵守法律法規(guī)和實施內部控制的重要性，培養(yǎng)員工的誠信和道德，規(guī)范員工職業(yè)行為，從源頭上控制、減少潛在風險的發(fā)生。二是健全內控機制，規(guī)范事中管理?？茖W合理設置科技崗位，明確每個崗位的職責、權限，建立了逐級授權和審批機制，并制定相應控制措施；規(guī)范崗位操作流程，重要操作如版本遷移、數(shù)據修改等實行雙人制，一人操作，一人復核，防止出現(xiàn)控制真空，產生風險；同時重視利用技術手段來強化風險管理，如批量作業(yè)自動化系統(tǒng)、系統(tǒng)和網絡監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)的建成有效地提升了系統(tǒng)運維風險管理水平。三是加強信息科技風險的識別和檢查，持續(xù)督促、跟蹤整改，深入挖掘信息科技運行及管理存在的問題和潛在風險，制訂整改措施并積極整改。建立內部定期專項檢查機制，根據每年年初制訂檢查計劃，進行檢查，詳細記錄檢查結果，建立風險整改臺賬，定期對整改情況進行監(jiān)督及跟蹤。除加強上述自查工作之外，還積極配合監(jiān)管當局開展各項檢查，積極借助外部的力量幫助發(fā)現(xiàn)問題，查找隱患，從而提升科技風險防范能力。

4.加強信息安全體系建設，強化信息安全管理。完成了信息安全體系規(guī)劃，建立科學合理的信息安全體系框架，制定較為完善的信息安全策略；通過實施網絡邊界控制、內網與互聯(lián)網隔離、全面病毒防護、桌面系統(tǒng)監(jiān)控、數(shù)據分級與使用保護等系列安全項目，建設形成覆蓋數(shù)據安全、網絡安全、系統(tǒng)安全和應用安全的綜合信息安全體系，確保生產系統(tǒng)安全和客戶信息安全，防范科技風險。未來的工作重點通過以上科技風險管理工作的開展，有效消除和防范了科技運行及科技管理中的風險隱患，近幾年我行未發(fā)生信息科技風險事件，科技風險管理水平和防控能力得到顯著提升。針對目前科技風險管理中存在的薄弱環(huán)節(jié)，未來信息科技風險管理的工作重點將體現(xiàn)在以下幾個方面。

1.進一步完善信息科技風險治理結構，持續(xù)推進科技風險“三道防線”建設。進一步明確信息科技風險治理結構中各級主體的工作職責，充分發(fā)揮各級主體的職能作用，形成職責明確、結構合理的信息科技風險管理架構；特別是加強風險管理部門對信息科技風險的管控，形成一個職責明確、功能互補、相互監(jiān)督、相互制約、共同發(fā)展的信息科技風險防范的有機整體。

2.加強軟件開發(fā)質量管理體系建設，強化開發(fā)過程中風險的管理。建成基于我行現(xiàn)在的CMMI3級的軟件研發(fā)規(guī)范體系，通過CMMI3級驗收，全面推廣體系的應用，整個體系涵蓋了軟件的需求、設計、開發(fā)、測試等各環(huán)節(jié)，有效規(guī)范了整個開發(fā)過程的管理；落實需求歸口管理機制，推行重大項目需求評審機制，進行重要系統(tǒng)組織級方案評審，提高項目計劃管理和風險管理水平；全面推行軟件配置管理，提高軟件版本管理水平；強化外包管理，規(guī)范外包人員工作量評估，加強外包人員工作環(huán)境管理。

3.進一步推進運維體系建設。加強對生產變更的風險評估，嚴格變更過程管理，嚴控變更風險；確保事件分級制度的落地執(zhí)行，形成有效的事件升級和響應機制；進一步加強對問題的快速解決，并逐步深化問題的后續(xù)管理，從多維度進行生產問題分析，提高生產管理水平；充分發(fā)揮系統(tǒng)監(jiān)控、網絡監(jiān)控工具的作用，完成應用監(jiān)控建設，全面了解系統(tǒng)運行狀態(tài)，及時定位故障；全面提高運維管理水平及風險防控能力。

4.加強業(yè)務連續(xù)性規(guī)劃和應急管理工作。強化業(yè)務連續(xù)性規(guī)劃及應急體制建設的重要性，根據應用系統(tǒng)規(guī)模和復雜程度有針對性地制訂業(yè)務持續(xù)性保障規(guī)劃，根據風險發(fā)生的部位、概率和危害程度分級制訂應急預案，并經過評估和測試，及時進行維護、調整和更新，確保應急啟動時的有效性，切實提升業(yè)務連續(xù)性管理及應急管理水平。

信息科技風險管理工作是一項長期的、艱巨的工程，因此要不斷提高認識，強化危機意識、責任意識。從實際情況出發(fā)，充分借鑒相關國際標準和最佳實踐，不斷探索和改進，建立有效的信息科技風險的識別、計量、監(jiān)測和控制機制，提升風險管理水平和防控能力，努力通過風險管理水平的提升推動信息化建設，為業(yè)務的發(fā)展、創(chuàng)新和管理提升提供堅實的保障。