浅析商业银行信息系统研发风险管理.docVIP

浅析商业银行信息系统研发风险管理 　　随着商业银行业务的快速发展，信息系统在促进商业银行提高工作效率、提升服务水平、拓展业务范围等方面的作用越来越明显。信息系统在带来便利的同时，也带来了一定的风险。信息系统安全问题日渐成为商业银行内、外部监管的重点。研发风险是在信息系统研发阶段可能引入的，导致信息系统出现安全性问题的风险。研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作，旨在保障和提高新研发信息系统的安全性。 　　研发风险管理的工作现状 　　我国商业银行虽然在规模、业务特性与管理模式上存在差异，但由于同处于我国经济大环境下，其信息系统研发风险管理工作面临相似的环境和挑战。目前我国银行的系统研发模式有自主研发、合作开发、外包和外购等几种。大型国有商业银行一般以自主研发为主，大中型股份制商业银行一般采用合作开发方式为主，大多数小型和地方性金融机构则主要采用外包或外购的方式。 　　随着我国商业银行信息化建设的不断深入，目前大多数商业银行都加强了信息科技风险管理，建立了包括组织、制度、技术等方面的信息科技风险管理体系，涵盖了基础架构、研发、测试、运维、外包、应急等各方面。在研发风险管理方面，采用了必要的管理和技术手段，加强了系统安全设计，在一定程度上满足了业务连续性需求。但是由于起步较晚和重视程度不够，研发风险管理水平整体滞后于信息科技管理水平，因安全设计不充分所引发的安全事件或整改仍不时出现，危害着商业银行的安全。因此，我国商业银行信息系统研发风险管理水平还有待进一步提高。 　　研发风险管理存在的问题 　　研发风险管理组织不完善、流程机制不健全。研发风险管理工作的开展需要相关的组织和角色作为支撑。目前，各商业银行的整体信息科技风险管理组织较为完善，但很少能够深入到研发风险管理环节，主要表现在缺少研发风险管理的统筹部门，缺少对研发风险管理进行决策的组织机构，项目组中缺少研发风险管理角色等方面。我国商业银行信息系统研发工作大多以项目的形式进行，普遍拥有完整的项目管理流程，但流程中涉及安全和风险的内容较少，对系统安全设计、实现的审核机制不健全，难以保证在研发阶段提高信息系统安全性。 　　研发风险管理依据多、信息系统安全设计不规范。当前商业银行的信息系统面临着多方面的监管要求，既有行内的，也有行外的；既有监管机构的，也有业界的；既有管理要求，也有技术要求。这些要求的来源不同，侧重点不同，粗细颗粒度不同，甚至有的相互冲突，给研发人员造成一定困扰，亟待统筹规范。现有信息系统一般都有身份鉴别、访问控制等设计，能够满足基本的安全需要。但由于缺乏整体规范指导，信息系统研发过程中难以避免安全需求不完整，安全设计水平良莠不齐，安全编码不规范等问题，导致信息系统仍然可能存在安全漏洞。 　　安全技术不能重复利用、安全技术支持服务不足。商业银行信息系统具有一些共性的安全设计，例如身份认证、数据加密、日志审计等。在现有模式下，各个项目组缺少沟通协调，往往自行开发，造成重复开发和资源浪费，也不利于企业安全架构整合与管理。研发出安全的信息系统，必须以相应的技术手段作为支撑，但现有商业银行研发团队往往缺少这方面的支持和服务，影响了信息系统安全研发水平。 　　此外， 为了应对业务的发展变化，商业银行必须不断提高信息系统研发速度。在业务需求紧急和工作量的压力下，研发团队往往会不自觉地重效率轻安全，形成了安全工作人员的数量不足，开发人员的安全意识和安全技能不足等问题。 　　研发风险管理目标及主要依据 　　研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作，主要目标是提升信息系统的安全性，避免安全事件发生，保证商业银行业务连续性。同时，也应关注信息系统合规性，避免系统上线后因各类检查发现问题而进行整改，减少不必要的变更。商业银行开展研发风险管理工作的最理想状态，是实现对所有信息系统研发风险的统筹管理和良性循环，实现外部监管要求、信息安全技术发展变化与信息系统研发之间的有效衔接，做到对最新安全要求的快速响应、准确解读、全程跟踪、有效落地。 　　为做好研发风险管理工作，有效提升信息系统的安全性、合规性，商业银行在信息系统研发过程中需遵从多方面的要求。这些要求一方面是对研发风险管理工作的指导和规范，另一方面也是开展研发风险管理工作的依据。从大的方面来说，我国关于商业银行信息安全、保密等方面的法律法规均属于研发风险管理依据范围，这些法律法规的层次较高，不适合指导具体工作开展。从执行角度来看，研发风险管理工作的依据主要有监管要求和信息安全标准，同时还应参考业界最佳实践。 　　（一）监管要求。《巴塞尔新资本协议》将信息科技风险划归操作风险，而研发风险属于信息科技风险范畴。因此，当前我国商业银