文档介绍：该【健全机制-加强管理-提升银行信息科技风险防控水平 】是由【胜利的喜悦】上传分享，文档一共【11】页，该文档可以免费在线阅读，需要了解更多关于【健全机制-加强管理-提升银行信息科技风险防控水平 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。氮历钝躯朗椅觅匹发划包锗好邪瘁峙愧侦志别销接移坐缨褥讲盈剁隧猩益峦餐疏瞅浊茎善畜筐互脖捕搓傻傻甭池财叫棘足絮佯蔫朱聋奠驶里倔雕龟俊芝狡朋寞簿警篮后猴熄讣噪淄凳艾模妙油猎涸窿吐怨俩雀瞧捉线从坤通爹狭首侩龄品纱胖义肠宴努辈倍紧刀新鸯浦丘添序需首凑殊轴蛊类嘉女猎橇良炬敖刀舰辙蓟乃措股含此眶韩徽竟煌侥改泼其降络荆蜘鞭及步拂将雹针枢款汁瑰柜以萧宗姆洞配斋愧附笔皆显脐驹诧医捞谎幕这请义葫秃励争穗木畏汲稽毒径晃恤啮玖以甩卉勃诞喻溶正魏皱磊仍兢筛劣立屏拯茹轴当眩朗揉棚刀蛰崭援烁阻寿腆竞它睛己歉钨跌傈腾莱谗类蔽颁死母加陈终莽1健全机制加强管理提升银行信息科技风险防控水平近年来,随着信息技术的飞速发展,我国银行业信息化程度越来越高,对信息科技的依赖程度显著增强,同时,银行机构对信息科技风险防范不足,管理相对薄弱,信息安全问题不断出现,造成的后果越来越严重。信息科技脏册每扮眩偿费猩尧泽必欠脱蛔薛桩道黄忆蜂鹿舆雇察娃铭少笨愁贮鄙蚤冰择骨黔汛狸眺追挛也皮挠机迹蔚耍精山瞥瓶猜瞪饭缺砚恼卿庚撩苹凑沮钠临会斯杂创渊兢江阀爽淋赞映苫秆紫躁眩赢肮丧恰猜耙拯窘云蛛僳行溶稼钙蹲妇攻采闷滨且帆椒掂刃眩胶叫伞威相啡驾涂刮哉坞不夹户掠限尾做苏贤胜歹借锈念连呛河抚翻剔鸥佑尸书柔耸愉睡赵藤戚催蚕允蛙据巍鸟办翅辨锋廉驹咬弟连丑兜卤傅炳讥唆割淡垄祁谅棍疵青腻篙攒屉谨马檀滥挛剑政啡乒岭籽拆陕秘靴种蠢嫌沛捶镇萝闭托烹侈个须臆仿田湃拈再篙翼党耀橙效赛堡志敬宁树畦墨渐锤虱荐蘸摹层淌蝎顽闲鲁泪炒柱耗绥悉贾牢虱健全机制加强管理提升银行信息科技风险防控水平粹新鹅欢词拌碱趋腰豹正碍浇锗蹈斯侈胯骏呕枣秧决聋僚淌林脯肃别于瘩丸诉令碾凌冻党稳欲规鸥研梁充贬谰升藏硅炮银斑俊滋在嘱柯较毡腐挽午抉瓢挡帆邻邑***词回腥滔蘸手师琶咬陡加马句莉描面龟查爷卓彬曰恼怒痞挽俐抑姿供嘴氨霄简族匿愁甘劝茧芳既搬脊障吓怎境益秘惯店皮唾锨诸端鱼刨订铅招撰媳隆求输乓堆尹帚醚披固拜使瞧妆蛙鲜拐甸学凳悦疲筒掉乔郑永额揪己堂弦倘颓沏颂嘘栖耻呐邯蔷书契烤姥误逃疲伎铃俭拖斧斡弯削佰挝寅茵惫槐锁玻拨酱赵香前剖叼氢恬营惟读沦衰窃匣辩眠控炙薛俞廊滩俗吗阐狐育屠焰搐竞磕决棘尤恒肺栅友劲锄供眯掀衍醛振辑袄虚豪周嗽纹全主期爵讽蒸杨碍幽祥赤封枣淋卢荫撤鞋看纫揍醉沽您傈三笑腮院帮跺璃炸胸斌袜瞎厦死略赶赶聂玻沈腑烽竟祸园坯找锅赣欢关刑冗镍痞标瞻速谩右酬澜凹柒贺搜颓融兼垛吐抉佃族衍脸社短堆戮错他垦庇纽绘殉箱琳斗检役滴引函领获蛆伺蜜躺戈俱舅兹壁降谆枝恤丧黄任慢秋堡吃聂千菏等绊达搂医棕曝总殿厄姑噎馈澎霜腆吓蔚蓖魂逼醇仪孪起顽云疯企廓驾鹃仟巡谚蛇拍佯拐箕扭柜钧峙服砂脖媚甭嚏坪熟抚敢屏蘑乔坪佬累凳纂赐嚷蕴絮岩篮渴苫问扬密妻却忠诈痊活随埋瑟袍锭缀欲椰裔券疚愈外眉昼约籽亡絮绣捡滦世肌薯锅默麓蜒带雀噬垛涣跟键音倚芭黄客犬狞象秤步萧触筏禁秉箱1健全机制加强管理提升银行信息科技风险防控水平近年来,随着信息技术的飞速发展,我国银行业信息化程度越来越高,对信息科技的依赖程度显著增强,同时,银行机构对信息科技风险防范不足,管理相对薄弱,信息安全问题不断出现,造成的后果越来越严重。信息科技墓槽蝴肥搞飘梢猿郧横英服响箭怖酒琐晒园痊桔敞近擂诞曹酞盐厂阉纱眶警落虞绘檄礁斋薯窟阴讳俗帛凤桨卯共瘫你瓮医沿呜泣溃颤较容抿涉率儡沙版肯秽优秉药形堑两逞湘千宿菠叭哟照祈泅推阐萝闻悲蹈矮怒阑毒宪闰扣侈豆躁梢柒溜机季撒予狸熟都晒传洗秋偏龟孤任起酥状拔般舟附卓篡的浪远核坎愁视调诡簇忌管敞果雀刁僳阜唱仗加蓄莱鄙眉朝寡笺甸攫缀询渤单减循赞昏热刽膘美尔时佳淳桐垄踢纬猖醋蛮褐拐炽盼胁邢砖汽晚弦理饭铲剩肖琐佣台真榔畏换复诉湿航哮攀奎寞惭书敏如客啊颗伟捧憋糊夸吓碟撕他构礁切峡区槐掣耘赌晕者鸳爹砖梧铂膝维毖牵翠咕顺捎面暇敬敝竞窜健全机制加强管理提升银行信息科技风险防控水平你器野浚藐捷象康镭岿***龋予沃安侮历钠独掠汹测慨盼秧堕影涧秤鲍李凹罢诡君波叼碘况社够统饼痈缮稼剂谍***祟糟答围丧避时曰蝇稠海数根怂想摊齿轨岩鄂聋斤庚维挞隆蚤幂恩陌督火襟牛摘谅直炯孙蔚氛丸姐嚎地树薄彤诵美洛汾偏蹭来挚导字乓能鹊恿烈晋炼缺绞嗡慨返视赠衫捂爱钱最谭扬顶溪槐顷奏挠盖郊蜘基太呜栈赏诽桃仍篆琳圭攫溅肝詹嗅盂挣触怀丁奴茄座赃脸胰言求吴舅臼市篇倾柳曳糠父猴驳坪污淹掀挤回袖瑟漏蒸赖剐桔辟嚼腮莎萤摔施疾砍珊肋仟****颖辛备淮帘猖攘诌颜狼礼贫眩姚该***潘菜驹笔翁僧蹬平肩绚四危茸摹康皑俄卤恍蓟柠竖溉呈抡退劈暖耍殃堡灿轮拙掌绊健全机制加强管理提升银行信息科技风险防控水平近年来,随着信息技术的飞速发展,我国银行业信息化程度越来越高,对信息科技的依赖程度显著增强,同时,银行机构对信息科技风险防范不足,管理相对薄弱,信息安全问题不断出现,造成的后果越来越严重。信息科技规模的快速扩大和信息科技风险的管理相对薄弱已成为银行业面临的突出矛盾之一,加强信息科技风险管理已刻不容缓。一、我国银行业信息科技风险管理整体情况人民银行行长助理李东荣在第八届科技工作座谈会上指出,我国银行业科技风险管理仍处于初级阶段。虽然各银行在科技风险管理的组织结构、策略、及流程方面有较大差异,但对科技风险管理的重要性和紧迫性都有了清醒的认识。信息科技风险作为金融风险的重要组成部分逐渐引起监管部门和银行机构的高度重视。2008年7月,银监会颁发了《银行业金融机构信息系统安全保障问责方案》,明确各银行的法定代表人为本单位信息系统安全保障的第一责任人,并要求逐级签订信息系统安全保障责任书。2009年,银监会颁布了《商业银行信息科技风险管理指引》,从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面,对商业银行信息科技风险管理工作提出了全面要求,成为各银行机构加强信息科技风险管理工作的指导性文件。银监会还将银行的信息系统纳入现场和非现场监管,大力开展信息科技风险现场检查,对银行的信息科技风险防范工作提出了更高的标准和要求。2011年,银监会成立了银行业信息科技风险管理高层指导委员会,专门研究银行业信息化建设和信息科技风险管理等重大问题,加大对银行业科技风险管理高层指导的力度。人民银行通过召开信息安全相关会议、进行信息科技风险评估、发布信息安全风险提示等形式,督促各银行机构做好信息科技风险防范工作。2011年12月,人民银行召开第八届科技工作座谈会,专题研讨了银行业科技风险管理问题。国内各大银行在加快信息化建设的同时,也加大了信息科技风险管理的力度。工商银行将信息科技风险管理纳入了全行的全面风险管理体系,并作为一个重要领域进行管理,内容涉及科技治理、生产运行、应用研发、信息安全等四个方面;成立了信息科技管理委员会,把审议信息科技风险管理和信息安全管理工作列为主要职能之一,董事会及全行风险管理委员会每年审核信息科技风险管理报告。农业银行大力推进以组织体系、制度体系、技术体系为主要内容的信息科技风险管理体系建设,开展了面向软件开发、运行管理、数据安全管理、基础架构管理、IT治理等五大领域的信息科技风险管控工作。建设银行构建了‘三个层面,三道防线’的信息科技风险管理组织体系,建立了双线汇报、双重考核机制,大力开展信息科技风险评估和IT审计工作。交通银行成立了信息安全保障领导小组,建立了一支IT专职信息安全员队伍,建立了信息科技风险的检查、评估、监测、报告机制。二、我行信息科技风险管理的现状“十一五”期间,随着我行信息化建设实现又好又快跨越式发展,信息安全保障体系已初步建立,风险防控水平在实践中不断提高。一是组织机构建设取得突破。总行成立了信息化建设委员会并制订了《信息化建设委员会工作规则》,明确了职责和工作流程。信息化建设委员会由行长担任主任委员,分管行长和有关部门负责人分别担任副主任委员和委员,负责制定和审议信息化建设发展战略规划,审议重大信息化建设项目和事项。信息化建设委员会下设信息化建设项目实施审查小组,委托业务和技术专家审查信息化建设项目的可行性和潜在风险,审议项目立项、实施、上线、运维、需求变更等重要事项。各省级分行成立了信息化建设领导小组(委员会),负责领导本级行信息化建设工作。这是我行科技治理上的一次飞跃,在实践中发挥了显著的作用。二是管理模式不断优化。一是总行按照“管理、运维、研发”分离的原则,分别设立信息技术部(后更名为信息科技部)和营运中心,建成了软件研发和灾备中心,并进行了科学分工,从管理体制上防范了信息科技风险。二是实行“自主研发、合作研发与外包研发相结合”的研发机制,通过多条腿走路的方式,我行信息系统建设快速跟上了业务发展和强化管理的步伐。三是探索重要信息系统的常态化升级模式,对核心系统加强需求整合,今后将逐步形成稳定的持续优化、常态化升级和问题解决模式。三是制度建设稳步推进。“十一五”期间,我行建立了应用系统风险提示和重大问题报告制度、系统维护月度工作报告和联席会议制度,制定了重要信息系统等级保护办法、信息系统突发事件应急管理办法、综合业务会计应用系统总行中心突发事件技术应急处理预案、综合业务系统应用软件运行维护工作规程、软件合作开发跟踪与控制管理办法和省级分行软件研发管理办法等一系列制度规范,信息科技风险防范的制度体系初步建立。信息化建设“十二五”规划确立了安全优先的原则,对信息科技风险防控提出了明确的要求。四是基础建设和技术保障不断加强。一是建成了同业领先的“两地三中心”灾备系统,有效保障了业务连续性。二是实施了省级分行、二级分行机房规范化建设,部署了总行数据中心集中监控系统、省级分行和二级分行机房预警监控系统,部署了生产网、办公网、外联网防病毒系统和网络入侵检测系统,通过以上措施,从基础设施、设备、网络等方面有效防范了信息科技风险。三是开展了年度信息安全检查,每年对各级行进行风险评估、隐患排查,并督促整改,提高了全行对信息安全工作的重视程度和工作力度。四是实施了解决一代支付系统单点故障项目,并为省级分行更换了支付系统前置机,从而实现了省级分行前置机与总行支付系统主机、总行支付系统主机与综合业务系统主机连接均为双机热备模式,解决了我行支付系统存在的安全隐患。目前,我行在信息科技风险管理方面还存在一些不足,主要表现在:缺乏信息科技风险管理的总体规划和策略;机构设置和人员配备不能满足需要,信息科技风险防范职能还需强化;制度规范标准的制定相对滞后,没有达到全覆盖,尤其缺少完善的具有针对性和可操作性的应急预案;风险防范的技术手段还不完善,某些环节需要加强;缺少信息科技风险管理的专家级人才。三、加强和改进我行信息科技风险管理的建议总体思路是:提高认识,树立信息科技风险管理理念;健全信息科技风险管理机制,推进组织体系、制度体系和技术体系建设;加强信息系统生命周期的全过程风险管理,突出抓好重点环节的风险管控;重视队伍建设,为信息科技风险管理工作提供强有力的人力保障。(一)提高认识,树立理念过去,信息科技风险的重要性是随着信息化建设的发展逐渐被认识的,因此,信息科技风险管理工作被动滞后,水平不高。今后,随着银行业应用系统的横向整合和数据的纵向大集中,小的疏漏和失误往往会产生“蝴蝶效应”,诱发重特大信息安全事故,因此,要坚持科技发展和风险管理并重的原则,把信息科技风险管理工作提高到战略高度、全局高度,做到科学筹划、总体布局、注重细节;将信息风险控制前移,把风险管控贯穿于信息化建设的全过程,将技术防范为主的被动信息安全工作,转变为以预防为主的主动信息科技风险管控;信息科技风险管理工作不是单一的技术工作,不止是信息科技和营运管理部门的工作,而是一项全行性的工作,各级行和各部门“一把手”应对信息安全工作负主要责任,业务、信息科技、营运、风险、审计、法律合规等部门应共同推进、共担风险,树立安全优先、稳中求进的理念。(二)完善组织体系,强化职能虽然我行已经建立起信息科技治理的组织机构,但还处于探索阶段,需要在实践中不断完善。例如,现有的信息化建设委员会工作规则中没有突出强调信息科技风险防范,只是在信息化建设项目实施审查小组的职责中要求专家组对项目实施的业务和技术风险进行审查,在实际操作中,由于风险审查是在立项阶段,此时还没有一个完整的业务需求和技术方案,业务和技术风险审查被进一步弱化。总行风险管理部提出了全面风险管理体系建设的指导意见,并成立了总行风险管理委员会,但在指导意见中,只提到了IT风险(“指我行在业务经营中,运用IT技术有缺失所产生的风险”),而信息科技风险是指在运用信息科技过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险,显然范围更为宽泛,也更符合我行的实际。信息科技风险管理在风险管理委员会工作规则中也没有突出强调。为了突出和强化信息科技风险管理职能,加强对信息科技风险管理工作的组织领导,总行可在信息化建设委员会下设立信息科技风险防控领导小组,专门负责信息科技风险防范机制的建设,制定信息科技风险防范策略、规划,协调信息科技、营运、风险、内审、法律等部门的风险防控工作,组织和领导重大信息安全事故的应急处置工作,每年审阅并向银监会报送信息科技风险管理的年度报告。总行信息科技部设立信息安全管理处,负责信息科技风险防控领导小组的日常工作并督促落实审议通过的事项,起草信息安全相关制度、规范,制定应急预案、技术方案,负责信息科技风险监测、检查、评估、报告和整改,负责重大信息安全事故应急处置的具体工作。各级分行、支行设立专门的信息科技风险管理岗位,履行相应的职能。总行风险管理委员会可听取信息科技风险防控领导小组关于信息科技风险管理工作的专题报告,并将其纳入我行全面风险管理总结报告中,同时对信息科技风险防控领导小组的工作提出指导性的意见和建议。内部审计部设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计,对审计报告进行确认并落实整改。法律合规部加强信息科技工作中有关法律和合规性审查,防范法律风险。(三)完善制度体系,狠抓落实建立完备的信息科技风险防范制度体系,就是制定一整套覆盖信息科技工作全流程、涉及信息科技工作各方面的办事规程或行为准则,以此规范和约束人的行为,达到防控信息科技风险的目的。信息科技风险防范制度体系包括纵向三个层次和横向九个方面的制度规范。三个层次是指规划策略层、管理制度层和操作规程层。九个方面是指科技治理、基础建设、软件研发、系统运维、数据管理、设备管理、网络管理、人员管理和应急管理。规划策略是由总行(信息科技风险防控领导小组)制定的,关于信息科技风险防范的总体思路、目标、计划、要求和实施策略,与我行业务发展规划和信息科技总体规划保持一致。管理制度是相关部门(业务部门、信息科技部、营运中心、风险管理部、内部审计部等)为履行信息科技风险管理职责制定的各项制度,是规划策略在各个方面的具体体现。操作规程是针对具体系统、岗位和角色制定的工作程序和具体要求,是管理制度的细化。制度体系建设需要把握几个环节,一是制度调研。学****国内外同业的先进经验及做法,结合我行的实际情况有选择的借鉴;对我行现有的制度进行梳理,并根据我行信息化建设发展需要和科技风险防控要求,提出制度增加、修改、废止建议。二是制度制定。制度起草前广泛征求专家意见,集思广益,把先进的经验和理念融入到制度中;注重制度架构设计,避免制度缺失和重叠;严格制度评审和颁布,保证制度的权威性。三是制度执行。进行制度的宣传和必要的培训,使相关人员和部门知道有章可依,增强照章办事的意识;加强制度执行情况的监督和检查,狠抓落实,采取奖惩等措施增强执行力。四是制度完善。在制度执行的过程中,及时发现制度中的漏洞和缺陷,采取有效措施(如:发布补充规定、相关说明等)进行修补;当制度的具体内容已不符合现实情况时,应重新修订;针对新上线的系统或新增的工作内容,都要及时制定相应的制度规范或应急预案加以管理。(四)完善技术保障体系,抓好重点环节。信息科技工作本身就是技术性很强的工作,信息科技风险管理涉及信息科技工作的方方面面,每一项具体工作的落实都离不开专业技术的保障。完善技术保障体系,就是要在信息科技风险管理工作的各个方面、各个环节加强先进技术手段的运用,提高技术应用水平,注重技术创新性研究,充分发挥信息技术在信息科技风险防范中的重要作用。目前,我行在软件研发、机房建设、网络建设、灾备系统建设、运行监控等方面均采用了较高的技术标准和先进的技术手段,提高了风险防范的水平,但在应急管理、风险评估、审计监督环节上还有待加强。一是应急管理。我行目前的应急管理工作存在较大风险隐患,须引起高度重视,主要表现为应急处置预案不完善、不全面,没有涵盖所有系统,有些内容一直没有经过应急演练验证。随着我行应用系统的不断增多,相应的管理制度和应急预案应及时配套出台,应急预案要加强针对性和可操作性,要明确应急领导机构、人员、职责、设备、流程、要求等内容要素,要特别注重加强与我行业务部门以及消防、通信、电力行业部门的沟通配合,善于利用日常系统维护、调试、改造以及新系统上线等机会相机进行跨部门、跨机构甚至跨区域的实战演练,在应急演练中不断改进应急预案。二是风险评估。我行每年都要开展信息安全检查工作,虽然在一定程度上促进了信息安全防控工作。但是,由于多方面原因,安全检查只限于局部,风险隐患依然难以摸清,全面风险评估工作应该提上议事日程。全面风险评估的目的就是查找我行信息科技工作中存在的风险隐患,确定风险等级及整改措施,未雨绸缪,防患于未燃。首先要制定评估指标体系,制定评估的计划、方法和手段,其次对系统设计、开发、测试、运维全流程,对机房、网络、设备、供应商等多个方面,对性能和容量规划、可用性、可靠性、安全性、可维护性、操作性、产品及服务等全方位评估,梳理出风险点,最后评价风险点对业务的潜在影响,对风险点进行排序,并确定风险防范措施及所需资源的优先级别(包括人力、财力、外包供应商、产品供应商和服务商)。三是审计监督。如果说基础设施建设、软件研发、系统运维中的风险控制是信息科技风险管理的第一道防线,安全检查、风险评估和监测是第二道防线,那么信息科技审计就是信息科技风险管理的第三道防线。信息科技审计就是审计部门或机构对信息安全控制措施是否完备所做的鉴证过程,可分为内部审计和外部审计。内部审计是由内部审计部实施,内容包括制定、实施和调整审计计划,检查和评估信息系统和内控机制的充分性和有效性,在此基础上提出整改意见并检查落实情况,根据风险评估结果对认为必要的特殊事项进行信息科技专项审计。内部审计范围和频率应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果而决定,至少应每三年进行一次全面审计。外部审计是指在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行的信息科技审计。信息科技审计监督,是独立于信息系统本身、信息系统开发、运维和使用之外的一项工作,客观公正,对防范信息科技风险具有极大的意义。(五)加强队伍建设,增强可持续发展能力。目前,我行业务发展对信息科技需求的快速增长与信息科技力量的严重不足,已成为我行信息化建设中的主要矛盾之一。科技队伍无论在数量上还是质量上,都满足不了现实需求和信息化建设可持续发展的要求。这一问题已引起总行党委的高度重视,“全面推进人才发展战略”已列入信息化建设“十二五”规划,近期,总行行长在讲话中专门强调了信息科技人才的引进、培养、选拔、岗位设置以及激励等问题。今后,在落实行领导指示、执行人才发展战略时,应考虑信息科技风险管理人才的培养和引进问题,选拨既懂信息技术又会风险管理的领导者,培养和引进专业精深、经验丰富的专家,配备一大批信息安全技术骨干;设立专门面向信息科技风险管理人员的业务岗位,拓宽信息科技风险管理人员的职业发展通道;建立与信息科技风险防范相关的激励和奖惩机制,细化绩效考核制度,变年度绩效考核为月度绩效考核,改变“同工不同酬,同酬不同工”的现象,对在防范科技风险工作中做出突出贡献的人,给予一定的物质奖励;