商业银行信息系统研发风险管理组织的体系的研究.docVIP

商业银行信息系统研发风险管理组织的体系的研究 　　【摘 要】完善的商业银行信息系统研发风险管理组织体系是保证技术领先、产品质量的关键。研发风险管理组织体系的架构、运行和发展在研发中心信息系统风险管理中具有根本意义。本文分析了建立商业银行信息系统研发风险管理组织的必要性，提出了研发风险管理组织体系的架构模式、职能定位和体系运转的思考建议。 　　【关键词】商业银行；信息系统；研发风险；组织体系 　　根据Gartner统计，互联网75%攻击行为已经由网络层转移到应用层，另据NIST报告，目前已经发现漏洞有92%源自系统应用软件，加强信息系统研发风险管理，增强信息系统安全性，已成为商业银行信息系统研发管理的重要内容之一。 　　随着金融信息化的深入，科技自主创新价值日益凸显，国内大中型商业银行普遍建立了自己的信息科技部门或研发中心，以科技创新驱动业务、服务和管理创新。在研发风险管理方面，部分商业银行建立了研发风险管理体系，从组织、管理、技术等各方面体系化提高和保障信息系统安全性。 　　商业银行信息系统研发风险组织以安全知识探索和研发风险管理为主要活动，通过建立和实施研发风险管理工作流程，提供安全技术支持服务，在产品立项、安全需求转化、安全编码、安全测试等阶段落实安全技术要求，提高信息系统安全性。因此，研发风险管理组织是商业银行研发风险管理体系的重要组成部分，对于加强商业银行信息系统研发风险管理具有重要的基础性意义。 　　一、建立研发风险管理组织体系的必要性 　　1.完善全面风险管理组织体系的需要。 　　2004年的新《巴塞尔资本协议》强调商业银行不仅要重视传统的信用风险、市场风险和流动性风险，而且提出操作风险管理要求，并将信息科技风险划归操作风险管理范畴。信息科技风险已经成为商业银行全面风险管理体系的组成部分之一，而信息系统研发风险又是信息科技风险的重要内容，因此，加强信息系统研发风险管理，建立健全研发风险管理组织体系，是对商业银行全面风险管理组织体系的完善。 　　2.满足监管要求的需要。 　　随着信息技术的不断进步与发展，信息系统的安全建设显得尤为重要。2012年6月29日，人民银行下发“银发[2012]163号”文件，要求进一步落实《信息安全等级保护管理办法》（公通字[2007]43号），加强银行业信息安全等级保护工作。此外，银监会、公安部、审计局等监管机构对信息系统风险管理和开展安全检查都有明确要求。信息系统安全建设需要专门的工作组织来推动落实，因此，建立健全商业银行信息系统研发风险管理组织体系，开展安全制度建设、安全标准建设、项目安全管理和信息系统安全达标评审等一揽子工作，成为防范信息系统研发风险管理的迫切需要。 　　3.提升研发风险管理水平的需要。 　　随着商业银行经营发展对信息系统的依赖性越来越大，信息系统故障所带来的影响也越来越大。信息系统的健壮性和稳定性已经成为衡量商业银行服务水平的重要方面。建立健全完善的研发风险管理组织体系，增强开发人员安全意识，指导开发人员安全设计和安全编码，加强信息系统研发风险管理，成为全面提升研发风险管理水平的需要。 　　二、研发风险管理组织体系现状与问题 　　商业银行信息科技部门或研发中心普遍设立了风险管理委员会和安全管理部门，形成了信息科技风险管理组织，满足了基本工作需要。但是，多数商业银行的信息科技风险管理组织未能深入到研发风险管理领域，在一定程度上制约了研发风险管理工作的开展。主要问题包括：一是研发风险管理组织机构不完善，缺少专职部门推动研发风险管理工作开展；二是研发风险管理组织职能不完善，相关机构仍然以迎接上级检查为主业，未能真正履行研发风险管理职责；三是研发风险管理角色不明确，未在项目组设立研发风险管理角色，研发风险管理组织与项目组之间缺乏沟通联系，相关管理要求难以传导和落地；四是研发风险管理人才队伍不完整，研发人员缺乏安全技术、技能，整个组织层面缺少安全专家团队对信息系统安全设计进行指导和把关。 　　三、研发风险管理组织体系建设思路 　　完善的信息系统研发风险管理组织体系的主要特点在于组织和运行机制的创新性，以及适应研发风险管理组织职能而形成的新管理制度。在组织和体制创新基础上，研发风险管理组织必将在信息科技风险管理中崭露头角，并以强劲的势头向科技创新的各个环节渗透。 　　1.信息系统研发风险管理组织体系架构 　　信息系统研发风险管理组织以提升信息系统安全性，实现持续的高水平研发服务为目标，不仅需要进行信息系统架构设计和产品研发工作，还需要开展产品质量控制和安全标准研究等工作。因此必须在层级式研发风险管理组织体系总体框架下，加强架构设计、质量控制、安全指导和标准研究等的力量，同时增进各执行层级间的互动，构建和形成“层级+互动式”的信息系统研发风