健全机制加管理提升银行信息科技风险防控水平.doc

健全机制 加强管理 提升银行信息科技风险防控水平 近年来，随着信息技术的速发展银行对信息科技风险防范不足，管理相对薄弱，信息科技规模快速扩大和科技风险管理相对薄弱已成为银行面临的突出矛盾之一科技风险管理 一、我国银行业信息科技风险管理整体情况 人民银行行长助理李东荣我国银行业科技风险管理仍处于初级阶段科技风险管理策略流程，科技风险管理 2008年7月，银监会颁发了《银行业金融机构信息系统安全保障问责方案》，明确各银行的法定代表人为本单位信息系统安全保障的第一责任人，并要求逐级签订信息系统安全保障责任书。2009年，银监会颁布了《商业银行信息科技风险管理指引》，从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面，对商业银行信息科技风险管理工作提出了全面要求 国内各大银行在加快信息化建设的同时，也加大了信息科技风险管理的力度。工商银行将信息科技风险管理纳入了全行的全面风险管理体系，并作为一个重要领域进行管理，内容涉及科技治理、生产运行、应用研发、信息安全等四个方面；成立了信息科技管理委员会，把审议信息科技风险管理和信息安全管理工作列为主要职能之一，董事会及全行风险管理委员会每年审核信息科技风险管理报告。农业银行大力推进以组织体系、制度体系、技术体系为主要内容的信息科技风险管理体系建设，开展了面向软件开发、运行管理、数据安全管理、基础架构管理、IT治理等五大领域的信息科技风险管控工作。建设银行构建了‘三个层面，三道防线’的信息科技风险管理组织体系，建立了双线汇报、双重考核机制，大力开展信息科技风险评估和IT审计工作。交通银行成立了信息安全保障领导小组，建立了一支IT专职信息安全员队伍，建立了信息科技风险的检查、评估、监测、报告机制。 二、我行信息科技风险管理的现状 “十一五”期间，随着我行信息化建设实现又好又快跨越式发展，信息安全保障体系已初步建立，风险防控水平在实践中不断提高。 一是组织机构建设取得突破。总行成立了信息化建设委员会并制订了《信息化建设委员会工作规则》，明确了职责和工作流程。信息化建设委员会由行长担任主任委员，分管行长和有关部门负责人分别担任副主任委员和委员，负责制定和审议信息化建设发展战略规划，审议重大信息化建设项目和事项。信息化建设委员会下设信息化建设项目实施审查小组，委托业务和技术专家审查信息化建设项目的可行性和潜在风险，审议项目立项、实施、上线、运维、需求变更等重要事项。各省级分行成立了信息化建设领导小组（委员会），负责领导本级行信息化建设工作。这是我行科技治理上的一次飞跃，在实践中发挥了显著的作用。 二是管理模式不断优化。一是总行按照“管理、运维、研发”分离的原则，分别设立信息技术部（后更名为信息科技部）和营运中心，建成了软件研发和灾备中心，并进行了科学分工，从管理体制上防范了信息科技风险。二是实行“自主研发、合作研发与外包研发相结合”的研发机制，通过多条腿走路的方式，我行信息系统建设快速跟上了业务发展和强化管理的步伐。三是探索重要信息系统的常态化升级模式，对核心系统加强需求整合，今后将逐步形成稳定的持续优化、常态化升级和问题解决模式。 三是制度建设稳步推进。“十一五”期间，我行建立了应用系统风险提示和重大问题报告制度、系统维护月度工作报告和联席会议制度，制定了重要信息系统等级保护办法、信息系统突发事件应急管理办法、综合业务会计应用系统总行中心突发事件技术应急处理预案、综合业务系统应用软件运行维护工作规程、软件合作开发跟踪与控制管理办法和省级分行软件研发管理办法等一系列制度规范，信息科技风险防范的制度体系初步建立。信息化建设“十二五”规划确立了安全优先的原则，对信息科技风险防控提出了明确的要求。 四是基础建设和技术保障不断加强。一是建成了同业领先的“两地三中心”灾备系统，有效保障了业务连续性。二是实施了省级分行、二级分行机房规范化建设，部署了总行数据中心集中监控系统、省级分行和二级分行机房预警监控系统，部署了生产网、办公网、外联网防病毒系统和网络入侵检测系统，通过以上措施，从基础设施、设备、网络等方面有效防范了信息科技风险。三是开展了年度信息安全检查，每年对各级行进行风险评估、隐患排查，并督促整改，提高了全行对信息安全工作的重视程度和工作力度。四是实施了解决一代支付系统单点故障项目，并为省级分行更换了支付系统前置机，从而实现了省级分行前置机与总行支付系统主机、总行支付系统主机与综合业务系统主机连接均为双机热备模式，解决了我行支付系统存在的安全隐患。 目前，我行在信息科技风险管理方面还存在一些不足，主要表现在：缺乏信息科技风险管理的总体规划和策略；机构设置和人员配备不能满足需要，信息科技风险防范职能还需强化；制度规范标准的制定相对滞