• 快捷搜索
  • 全站搜索

完善新技术风险的防控体系

2017-07-20 13:03:37作者: 华夏银行信息技术部风险总监 寿弘宇编辑:金融咨询网
信息科技风险具有高度隐蔽性和专业性特点,且银行信息系统运行环境复杂、数据和业务高度集中,更加剧了此类风险带来的危害,防控不力往往会对银行经营甚至社会稳定造成严重影响。

当前,信息科技已成为驱动银行业务发展增速的新引擎。而由信息科技应用带来的新的经营管理风险也成为商业银行风险管理中不可忽视的一环。信息科技风险具有高度隐蔽性和专业性特点,且银行信息系统运行环境复杂、数据和业务高度集中,更加剧了此类风险带来的危害,防控不力往往会对银行经营甚至社会稳定造成严重影响。

图片1.jpg
华夏银行信息技术部风险总监  寿弘宇

        近年来,信息科技风险管理得到国家有关部门和银行业主管监管部门广泛关注。商业银行在充分利用信息科技在业务处理、客户服务、产品创新、管理决策等领域带来巨大收益的同时,也应切实加强对信息科技风险管理的重视,全面规划和落实信息科技风险防控体系建设,构建涵盖生产运行、信息安全、业务连续性、科技外包等环节的信息科技风险管理方法和流程,进一步提升信息科技风险防控专业化水平。

完善管理组织架构,夯实防控基础

        做好商业银行信息科技风险防控,首先应从顶层架构设计出发,建立职责明确的信息科技风险管理组织架构,明确信息科技风险管理策略和制度,加强科技风险防控资源配备,营造信息科技风险管理文化,促进风险防控水平整体提升。

        一是强化信息科技风险顶层设计。风险管理与业务发展同是“一把手”工程,应从董事会、风险管理委员会和高级管理层入手,建立各专业部门和业务条线分工科学、责任明晰、互相监督、高效协同的管理组织架构,制定信息科技风险管控策略和目标,建立保障制度和机制,确保信息科技风险管理有效落地。二是完善信息科技风险防控人员配置。人是风险防控的核心,应健全专业的风险管控团队,从制度、规划、运维、安全、业务连续性、外包、合规等职能角度设置必要岗位,完善各专业条线的相关团队,形成协同联动管理机制。三是加强全员风险防控意识教育培训。定期对全员进行风险防控意识教育、技术培训和技能考核,建设信息科技风险防控文化,提高全员风险防控意识和实操能力。

        华夏银行严格按照国家主管和监管部门要求,组织落实信息科技风险防控各项政策法规,将信息科技风险管理纳入全面风险管理体系。董事会和高管层定期听取和审议信息科技治理、风险管理策略、安全可控能力、应急演练等风险管理工作情况报告,在资金和人员等方面给予充分倾斜和大力支持。建立了信息科技管理委员会和信息科技项目审定委员会,审议全行信息科技风险防控规划执行、重要系统投产风险评估、业务连续性应急演练等信息科技相关工作内容。此外,建立了以信息科技部门、风险管理部门、审计部门为主体的信息科技风险管理三道防线,共同防范和控制信息科技风险。积极开展信息科技风险意识教育,每年定期举办信息安全知识培训,覆盖全行网络安全专职与兼职人员。

注重多维立体管理,构建完备的风险防控体系

        信息科技风险管理核心是建立健全内部防控体系,通过管理措施和技术工具,消除风险隐患、提升安全防护能力,保证银行信息系统和数据的机密性、完整性和可用性。在当前金融业务互联网化的新形势下,信息科技风险管理应涵盖银行业务的各环节和全流程,形成多维度、立体式的风险防控体系(如图所示)。

图片2.jpg
华夏银行风险防控技术模型

        一是强化全流程风险防控。从信息科技运行的全流程入手,涵盖生产运行、应用研发、信息安全、信息科技治理、业务连续性、科技外包等银行信息科技的各个环节,立体管理、多措并举,提高风险防控能力。二是注重全生命周期风险防控。从信息系统全生命周期出发,保证安全风险防控技术措施同步规划、同步建设、同步使用。在信息系统规划阶段,充分考虑可能存在的安全风险,采用高效且安全的基础架构,从规划层面降低全局系统性的安全风险。在建设阶段,建立严格的检验流程和机制,确保不存在重大安全缺陷或漏洞。在使用阶段,建立安全风险监测平台,实时监测各类入侵和攻击行为,让管理、运维和安全等相关人员第一时间直观掌握风险状况并闭环管理风险。三是切实加强业务连续性风险防控。通过加强技术与业务协调互动、应急预案建设、应急演练、风险评估、持续改进,加强信息系统高可用建设和多活数据中心建设,全面提升业务连续性管理风险防控水平。四是利用技术平台提升风险管控效能。采用专业化、自动化、智能化技术手段,建立实用、高效的风险防控管理平台,通过技术创新应用提高风险事件的预警效率、响应速度和处置效果。

        华夏银行建成了基于ISO20000、ISO27001国际标准的IT服务和信息安全管理体系,面向信息科技活动全流程和全生命周期开展风险防控,不断提升信息科技风险管理的专业化水平。在信息系统规划和建设阶段,同步考虑安全功能的健全性和安全技术措施的完备性,在系统投产运行时同步具备健壮的安全防护能力。强化应急管理,建立了“周、月、季”多层次应急演练机制,采取不公开演练场景、不提前通知的方式开展真实化、常态化的应急演练,进一步提升演应急处置能力。全部金融交易类系统完成高可用改造,通过交易限流措施实现故障影响隔离,消除信息系统全局性风险,从系统架构层面保障业务连续性。同时,创新研究、积极推动技术平台建设,构建了智能化、全方位的一体化运维管理平台、应急指挥平台、故障预测预警平台、自动化操作平台,为信息系统稳定运行提供了强有力的技术支撑。

强化风险评估驱动,建立动态风险管理机制

        落实信息科技风险防控策略,应形成风险识别评估、监测分析、持续改进的信息科技风险控制闭环流程,且动态循环更新,保障风险管控能力水平螺旋式上升。

        一是建立动态化风险评估机制。逐步构建信息科技风险管理指标体系,采用不间断风险监测、调查分析、监督评审等手段,不断优化指标内容和阈值,持续提升指标体系的完整性和科学性。二是建立自动化风险监测机制。依托先进技术手段实现风险监测自动化,对指标数据的采集、分析、报告等过程实现技术硬控制,同时能够实现快速扩展风险监测覆盖面、灵活调整风险监测策略、图表化展示风险分布状况等。三是建立常态化风险改进机制。定期总结和回顾风险评估与监测情况,检查和总结信息科技风险管控策略有效性、风险问题整改情况、长效机制建立情况等,形成常态化风险改进后评价机制。

        华夏银行通过建立规范、科学、有效的信息科技风险评估方法、流程和工具,为信息科技风险评估体系的规范化和常态化奠定基础。建立了信息科技风险关键监测指标体系,确定多个科技条线关键风险指标,按季发布关键风险指标运行情况通报,及时准确地发现信息系统安全技术风险和隐患,确保信息安全保障工作落实到位。定期开展核心、网上银行、第三方存管等重要系统风险评估,确定系统存在的风险隐患,评估风险潜在影响,量化安全控制措施的有效性,跟踪落实各项风险点的整改、缓释情况,进一步提高了风险识别、计量和评估结果的科学性、可用性。此外,依托规范的信息科技风险评估体系,不断丰富、完善信息安全技术手段,持续通过安全漏洞扫描、渗透测试、源代码检测等手段,提高系统针对信息科技风险的抵御能力。

加大自主掌控力度,增强防控主动能力

        商业银行应从科技开发、生产运维等方面细化分类,采取选择性外包和分类掌控策略,在核心技术和关键领域着力加强自主掌控能力,有效降低对外部产品与服务提供商的依赖性和依存度,不断提升信息科技风险的管控能力。

        华夏银行一直重视外包风险管理工作。一是建立了完善的信息科技外包管理制度体系,形成了三层信息科技外包管理执行机制,细化外包集中度风险监测指标,监测具有集中度特点的单一外包服务商服务占比。二是重点加强重要系统运维、信息安全领域资源投入,在信息科技条线建立了网络安全专职队伍,在各业务条线、总分行各级机构设立了网络安全兼职人员,全行信息安全设施实现100%自主可控。面临持续严峻的网络安全形势以及更高的管理要求,华夏银行将进一步加强安全队伍建设,重点提升网络安全的精细化管理程度和自主掌控能力,完善7×24安全运维工作机制,打造具备深入安全分析和自主应急处置能力的安全技术专家团队,提升网络安全事件的全天候监控与自主处置能力。

        根据“打造数字央行”战略,央行将构建三大平台,其中包括大数据、分布式系统、数字货币等前沿技术。随着云计算、大数据、人工智能、区块链、量子通信等新兴技术不断发展和应用,信息科技风险管理一方面要以技术进步为契机,通过新技术研究、应用提升风险防控效能;另一方面也要对新技术带来的新生风险有清醒的认识,并制订针对性的识别、评估和防控措施。

        银行业务系统一直追求安全、稳定、可靠,传统的集中式架构发挥了重要作用。随着互联网金融业务更加丰富、银行业务系统交易模式更加复杂、系统处理能力瓶颈更加凸显,银行业开始探索采用分布式技术方案。相比于集中式架构,分布式架构具备多方面的优势,如系统扩展能力强、系统运行效率高、系统运行可靠性好、系统成本优势明显等。但由于分布式架构采用了单体处理能力较小、可靠性较低的常规服务器,在银行信息系统的实际应用中面临一些风险挑战。例如,多节点同步软件可能存在可靠性和安全性问题,将会导致整个分布式系统工作失效;采用大量X86服务器,且该类服务器上使用的常规系统软件存在较多的安全漏洞,对日常运维带来巨大挑战;敏感数据的流转范围和存储安全管控要求更高;边界安全访问控制需要更严密的设计;分库分表策略导致跨库跨表事务增多,如果采用二阶段提交机制来进行事务管理,会引起性能和可用性问题。

        华夏银行高度重视信息技术防控中的技术创新研发和应用,在信息科技运行风险、信息安全风险防控方面做出了积极探索和实践。一是积极推进分布式架构的研究应用,充分评估其技术风险,提出应用服务分布、数据库分布、存储分布、混合模式等多种部署方案。在实施路径上采用“先试点、再推广”的思路,第一阶段选择交易量并发较高的非核心应用开展试点,第二阶段在试点基础上,按照“优化存量、管好增量”的方针进一步推广,对于存量系统升级改造时,优先采用分布式架构,对于增量系统,原则上采用分布式架构建设。二是运用大数据分析与人工智能技术,建立智能化运维管理平台,提升系统运维管理能力,并对运维中产生的海量数据进行深入分析和挖掘,发现业务经营中存在的风险,包括业务量异常告警、黑名单管理、客户签约信息提示等,提高业务风险防控水平。三是承担了国家信息安全专项任务,率先开展一体化信息安全风险感知平台研究与实践,形成了安全健康度全景视图、基于时空维度的风险延展分析、业务行为与敏感数据管控、内外部威胁情报融合分析、安全管理与运维体系联动处置等系列成果。四是在对新技术应用的深入研究基础上,持续开展新技术风险识别与评估,准确发现和定位由此引发的新型安全风险,针对性分析已有风险防控手段的有效性、完备性,保证新技术应用的安全可控。

        信息科技风险防控是保障银行资金安全、客户安全、运营安全的生命线,商业银行不仅要贯彻落实国家法律法规的要求,还要坚持基础建设与科技创新并重、提升服务与保障安全并举的科学发展导向,将传统优势与新兴技术紧密结合,大力推进信息科技风险管理工作的体系化、制度化和流程化,有效支撑和促进业务健康发展。

(文章来源:金融电子化杂志) 

扫码即可手机
阅读转发此文

本文评论

相关文章