小议基层行信息科技风险评估.docx

《小议基层行信息科技风险评估.docx》由会员分享，可在线阅读，更多相关《小议基层行信息科技风险评估.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、小议基层行信息科技风险评估一、信息科技风险管理实践一健全组织管理体系，建立科技风险管理三道防线。安徽省分行成立由行长任组长、分管副行长及各部门负责人参加的信息化建设领导小组及信息安全应急领导小组，制定议事程序，确立工作步骤，审议信息科技重大决策事项及信息科技风险管理、信息安全管理工作。领导小组每季度召开一次会议，对信息化建设工作进行决策、安排和部署。立足于可持续发展战略，安徽省分行提出了“全面风险管理、全程风险管理、全员风险管理的管理目的，建立了信息科技风险管理的三道防线。第一道防线由信息科技部门组成，负责生产运行、应用研发、科技管理、信息安全等工作。第二道防线成立由信息科技部门和风险管理部门

2、牵头，其他部门共同介入的风险管控平台。依托风险管控平台，通过检查、评测和监控及时发现科技工作中的风险隐患，组织召开风险例会，研究制定整改措施、整改方案，结合工作实际制定信息科技风险管理制度和规范。第三道防线由内部审计部门组成，主要职责是对信息科技工作进行专项审计。二推动制度体系建设，构筑安全生产生命线。多年来，安徽省分行每年都对信息科技制度和技术规范进行修订，对现有信息科技制度体系进行评估，对信息科技制度体系架构进行梳理，逐步建立了制度、施行细则及技术规范三层架构的制度体系。构成了（信息科技制度汇编），共包括38个科技管理办法、16个施行细则、9项技术规范，在全行范围内印发执行，有效指导了信息

3、化建设和风险管理工作的开展。为了保持制度的严肃性，使基层分支行操作人员严格执行制度，省分行加强迫度执行力建设，采取检查、监控及违规积分等措施，确保制度落地，构成人人“重制度，守制度良好工作气氛。三完善技术体系建设，提升技术防备能力1建设高标准机房。2009年到2011年期间，率先启动省、市、县三级机房达标工程改造，共投入2000万元用于辖内66个机构机房的建设和改造，机构覆盖面到达90%以上。机房建设突出了“高可用、高可靠、易管理、前瞻性的理念，对供电、防雷、消防、空调、装饰系统进行了全面改造，为信息系统安全运行提供了可靠的物理保障。2健全后备供电保障体系。2012年，利用有限的固定资产指标，

4、为全辖所有市级分行配置了功率在20KVA以上的UPS，为60个县支行配置了10KVA的UPS；在3个新建办公楼机构建设了市电双回路供电、7个行自备发电机；11个行与电力公司、电信或联通等公司签订应急供电协议。构成了UPS、发电机、双回路供电、移动发电车等多重供电安全保障。3建立功能完善的监控系统。省、市分行统一建立了机房预警监控系统包括网络预警监控系统和机房动力环境监控系统，实现对机房物理环境、重要设备、网络设备、数据链路、业务系统进行实时监测及预警。系统采用分级监控方式，本级行不仅能够监控本身机房及信息系统运行情况,还能够实时监控到辖内行情况，实现科技风险监测的纵横结合，提升风险预警与防控能

5、力。4构建高效安全的网络体系。基层行成立不久，就实现了分网运行，根据业务种类、服务范围等分为生产网、办公网和监控网，针对不同的网络采用不同的安全控制策略；在网络线路上，采用三家运营商多线路、互为热备方式实现网络通讯的高可靠性；结合不同的应用分别采取了防火墙、入侵检测、内外网隔离等技术防备手段，确保网络安全。5部署防病毒系统。部署了覆盖全行的计算机病毒防治系统，支持防病毒软件的统一管理和升级，有效防止病毒转播与蔓延。6建立省分行级的异地灾备中心。通过在异地机房内架设EMC存储，使用现有网络在非工作时段进行数据复制，解决了重要数据异地灾备问题。同时在存储中划分一定的空间供二级分行使用，也解决了二级

6、分行重要数据异地存储的难题。经过演练测试验证，灾备系统运行稳定,能够有效地保障数据安全。四加强信息系统应急管理，保持业务连续性省分行严格根据（中国农业发展银行信息系统突发事件应急管理办法）要求，成立相应组织，切实履行职责，在全辖范围内每年都组织一次应急演练。2013年仅在网络应急演练中，就模拟了6个场景，模拟突发网络故障情况108种，验证演练数据1638项。通过把演练工作做实做细，使得一些潜在的隐患得以暴露，强化了各级行对突发事件的响应和处置能力。此外还以应急演练为抓手，引入PDCA策划-施行-检查-改良持续改良机制，不断完善应急预案及应急物资储备。在演练策划阶段，针对已有的和潜在的信息科技风

7、险因素进行充分的评估，有重点地制定演练方案；施行阶段实时跟踪监测各类信息科技风险因素的产生和变化，适时调整信息科技风险应对策略和措施；检查阶段对演练情况展开详细分析，对业务详细造成的影响、潜在风险、变化情况等进行收集整理，作为修订完善应急预案的根据；在改良阶段及时修正、完善应急演练预案。通过对应急演练持续改良，大大降低了信息科技风险事件的影响和损失，有效维持业务的不间断运营。二、基层行信息科技风险管理工作面临的挑战一信息科技风险管理意识及能力尚需提高。一是部分基层行领导存在重业务发展重业务风险防备，轻信息科技建设轻信息科技风险防备的现象，致使科技风险管理不到位。二是一线操作人员风险意识淡薄，以

8、为信息科技风险是信息科技部门的事，与己无关。对移动存储设备使用、IC卡管理、密码管理等安全管理规定置若罔闻，非常容易产生操作风险。三是信息科技人员缺乏科技风险管理方面专业系统的培训，风险管理知识及经历缺乏，风险识别、风险评估、风险处置能力不强。二信息科技风险管理制度还需完善。一是信息科技管理制度还不够完善。比方现有的制度在电子设备采购、管理、报废等方面进行了规范，但在设备选型、设备更换、固定资产指标使用等方面缺乏统一规定，部分机构出现设备老化、设备带病工作、设备兼容性差等情况。二是内部管控制度不健全。目前对信息科技风险审计能力缺乏，缺乏信息科技风险的有效监管。审计部门只对信息科技资产进行审计，

9、缺乏必要的技术气力和技术方法对信息科技风险及信息科技人员行为进行审计。信息科技部门既是运发动，又是裁判员，不能构成有效的制衡机制。三是制度执行不到位。由于基层行信息科技人员缺乏，技术气力薄弱，科技部门重要岗位缺乏备份人员，内部岗位之间缺乏制约，影响某些规章制度有效落实。三信息安全技术保障体系需进一步提升。一是技术安全标准和技术规范不够全面，在风险预警、评估、处置等方面存在漏洞。二是在终端安全、网络准入控制、网络分区等方面技术手段缺乏，既增加人力维护成本，又极易产生信息科技安全隐患。三是IT服务外包需进一步规范，在外包合同签订、外包人员管理、服务质量的监督等方面需加强监管，在努力提高服务水平的同

10、时，最大限度地保护信息安全。三、基层行信息科技风险治理瞻望一加强内控制度建设，稳固三道防线。内控管理是一项长期而重要的工作，基层行应严密结合现有业务流程，以完善管理机制、建立健全制度体系为主线，不断优化现有信息系统，提高信息系统基础设施的服务保障能力。信息科技风险固然体如今信息系统的运行操作环节，但往往涉及业务流程和操作形式的合理性、业务需求的质量等诸多方面，防备信息科技风险必须综合考虑业务需求制定、项目施行、软件开发、基础设施建设、运行维护管理等不同环节的各种因素，由业务主管部门、科技管理部门和审计部门协同工作，才能起到事半功倍的效果。各基层行首先应充分认识信息科技安全的紧迫性和重要性，明确

11、信息科技风险管理目的，落实信息科技风险管理责任制，将信息科技风险纳入本身的总体风险框架，筑起第一道“思想防线；其次，在加强信息安全监督、自查力度的同时，还应定期组织辖内信息科技风险的专项检查，对于日常经营管理和生产运行中发现的操作风险隐患，建立信息系统风险持续跟进机制，及时消除风险隐患，坚守第二道“监查防线；此外，还应明确业务部门责任，将科技风险管理纳入到业务部门日常管理，设立专门的IT审计团队，培养专业的IT审计人才，对信息科技风险进行评估，催促整改，构建“以查带审，以审促查的第三道防线。二重在预防，完善信息风险防控体系。一是建立信息风险监控平台，通过对现有各类生产系统、监控系统中的可疑数据

12、进行跟踪与分析，进而有效地对信息科技风险进行预警、评估、处置。平台采用实时预警和T+1分析相结合的方式，对于风险程度高、要求响应速度快的风险点，依托短信平台、邮件系统在最短时间内给出预警；对于日常操作和行为信息，采用T+1分析的方式，通过事后追查、责任落实来躲避风险。二是完善信息科技风险评估制度，严格控制对应用项目外包、软硬件产品和相关服务外包的风险，建立对外包服务商、产品供给商的信息科技风险的评估机制，实现对第三方全经过的跟踪管理，防备外包服务的施行风险。三是施行风险管理的全覆盖。将全省人员根据省、市、县三级组织施行分级管理，一级管一级，实现从上到下、从省到县的逐级有序构造，使科技工作风险管

13、控的触角延伸到每一个人、每一台计算机、每一项业务。三强化保障体系，持续推动业务连续性管理。首先，应严格执行机房值班制度，每日巡查机房，确保将安全隐患消灭于萌芽之中。其次，还应加强后备电源、备品备件的管理，落实各二级分行机房的第二供电保障渠道，有条件的行采用双回路供电，没有改造条件的自备发电机，对重要设备还应采取热备或冷备的方式，消除单点故障隐患。再次，研发推广桌面终端安全系统，包含内网准入、补丁分发、病毒库升级和主动防御等功能，从源头防备，确保网络安全。此外，还必须未雨绸缪，及时修订应急预案，做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作，并加强灾备演练，以保

14、障在突如其来的灾难性事故面前能沉着应对，迅速恢复生产，尽可能降低事故造成的损失。四推进队伍建设，提升风险防备能力。信息科技人员作为信息化建设的支撑气力，其所积聚的知识资本是信息科技工作极其重要的生产要素。一是重点加强省、市分行的科技气力，适当提高县行兼职岗位的待遇，保持信息人员相对稳定。二是对于信息科技人员要从“业务发展，科技为先的战略高度上管理，抓好总行（信息科技人员业务岗位管理施行办法）的落实，拓宽科技人员的职业发展通道，将科技人员的个人价值实现与信息科技工作严密结合起来。三是加强在岗科技人员的培训力度，不断提高科技人员的科技素养和创新能力，鼓励员工积极参加国家认可的考试认证，提高信息科技工作者的业务水安然平静对各项信息科技风险的认知深度；对于业务操作人员应加大计算机知识的普及和定期培训工作，要对业务操作人员根据权限、责任范围实行严格的限制，互相制约、相互监督，防止权限过于集中，避免出现管理空档。从长远来看，信息科技队伍建设不仅对银行的信息科技风险防备水平的提升发挥重要作用，也会使整个银行的服务水平得到质的飞跃。