健全机制加强管理提升银行信息科技风险防控水平.doc

健全机制 加强管理 提升银行信息科技风险防控水平 近年来，随着信息技术的飞速发展，我国银行业信息化程度越来越高，对信息科技的依赖程度显著增强，同时，银行机构对信息科技风险防范不足，管理相对薄弱，信息安全问题不断出现，造成的后果越来越严重。信息科技规模的快速扩大和信息科技风险的管理相对薄弱已成为银行业面临的突出矛盾之一，加强信息科技风险管理已刻不容缓。 一、我国银行业信息科技风险管理整体情况 人民银行行长助理李东荣在第八届科技工作座谈会上指出，我国银行业科技风险管理仍处于初级阶段。虽然各银行在科技风险管理的组织结构、策略、及流程方面有较大差异，但对科技风险管理的重要性和紧迫性都有了清醒的认识。信息科技风险作为金融风险的重要组成部分逐渐引起监管部门和银行机构的高度重视。 2008年7月，银监会颁发了《银行业金融机构信息系统安全保障问责方案》，明确各银行的法定代表人为本单位信息系统安全保障的第一责任人，并要求逐级签订信息系统安全保障责任书。2009年，银监会颁布了《商业银行信息科技风险管理指引》，从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面，对商业银行信息科技风险管理工作提出了全面要求，成为各银行机构加强信息科技风险管理工作的指导性文件。银监会还将银行的信息系统纳入现场和非现场监管，大力开展信息科技风险现场检查，对银行的信息科技风险防范工作提出了更高的标准和要求。2011年，银监会成立了银行业信息科技风险管理高层指导委员会，专门研究银行业信息化建设和信息科技风险管理等重大问题，加大对银行业科技风险管理高层指导的力度。人民银行通过召开信息安全相关会议、进行信息科技风险评估、发布信息安全风险提示等形式，督促各银行机构做好信息科技风险防范工作。2011年12月，人民银行召开第八届科技工作座谈会，专题研讨了银行业科技风险管理问题。 国内各大银行在加快信息化建设的同时，也加大了信息科技风险管理的力度。工商银行将信息科技风险管理纳入了全行的全面风险管理体系，并作为一个重要领域进行管理，内容涉及科技治理、生产运行、应用研发、信息安全等四个方面；成立了信息科技管理委员会，把审议信息科技风险管理和信息安全管理工作列为主要职能之一，董事会及全行风险管理委员会每年审核信息科技风险管理报告。农业银行大力推进以组织体系、制度体系、技术体系为主要内容的信息科技风险管理体系建设，开展了面向软件开发、运行管理、数据安全管理、基础架构管理、IT治理等五大领域的信息科技风险管控工作。建设银行构建了‘三个层面，三道防线’的信息科技风险管理组织体系，建立了双线汇报、双重考核机制，大力开展信息科技风险评估和IT审计工作。交通银行成立了信息安全保障领导小组，建立了一支IT专职信息安全员队伍，建立了信息科技风险的检查、评估、监测、报告机制。 二、我行信息科技风险管理的现状 “十一五”期间，随着我行信息化建设实现又好又快跨越式发展，信息安全保障体系已初步建立，风险防控水平在实践中不断提高。 一是组织机构建设取得突破。总行成立了信息化建设委员会并制订了《信息化建设委员会工作规则》，明确了职责和工作流程。信息化建设委员会由行长担任主任委员，分管行长和有关部门负责人分别担任副主任委员和委员，负责制定和审议信息化建设发展战略规划，审议重大信息化建设项目和事项。信息化建设委员会下设信息化建设项目实施审查小组，委托业务和技术专家审查信息化建设项目的可行性和潜在风险，审议项目立项、实施、上线、运维、需求变更等重要事项。各省级分行成立了信息化建设领导小组（委员会），负责领导本级行信息化建设工作。这是我行科技治理上的一次飞跃，在实践中发挥了显著的作用。 二是管理模式不断优化。一是总行按照“管理、运维、研发”分离的原则，分别设立信息技术部（后更名为信息科技部）和营运中心，建成了软件研发和灾备中心，并进行了科学分工，从管理体制上防范了信息科技风险。二是实行“自主研发、合作研发与外包研发相结合”的研发机制，通过多条腿走路的方式，我行信息系统建设快速跟上了业务发展和强化管理的步伐。三是探索重要信息系统的常态化升级模式，对核心系统加强需求整合，今后将逐步形成稳定的持续优化、常态化升级和问题解决模式。 三是制度建设稳步推进。“十一五”期间，我行建立了应用系统风险提示和重大问题报告制度、系统维护月度工作报告和联席会议制度，制定了重要信息系统等级保护办法、信息系统突发事件应急管理办法、综合业务会计应用系统总行中心突发事件技术应急处理预案、综合业务系统应用软件运行维护工作规程、软件合作开发跟踪与控制管理办法和省级分行软件研发管理办法等一系列制度规范，信息科技风险防范的制度体系初步建立。信息化建设“十二五”规划确立了安全优先的原则，对