農發行信息科技風險管理與實踐

時間:2022-05-12 10:10:38

導語:農發行信息科技風險管理與實踐一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

農發行信息科技風險管理與實踐

網絡安全和信息化是信息科技工作的“一體兩翼”。《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》強調要統籌發展與安全,全面加強網絡安全保障體系和能力建設,守住不發生系統性風險底線,防范化解影響我國現代化進程的各種風險。有效的信息科技風險防控是實現網絡安全的重要保障。近年來,農發行信息科技工作統籌科技發展和安全防控,始終堅持底線思維、問題導向,不斷探索建立適應農發行特點的信息科技風險管理模式,為農發行信息科技的高質量發展筑牢安全屏障。

一、農發行“十三五”時期信息科技風險管理的實踐與成效

2016年以來,農發行在大力推進系統建設的同時,一直將安全建設和風險防控作為工作重點,從戰略和全局的高度科學統籌,著力增強認識問題、分析問題和解決問題的能力,確保在風險到來前“立足于防”,在風險到來時“有效處置”。

(一)扎實信息科技自身安全建設,打好風險化解的技術基礎

1.開展信息安全體系建設。在前期持續建設和不斷完善的基礎上,農發行開展了信息安全體系建設項目,建立了適宜信息科技現狀的信息安全管理體系,構建了信息安全組織架構、制度體系和技術保障體系,信息安全管理能力和安全技術管控水平大幅提升,能夠有效地從一道防線本身應對信息安全風險威脅。2.夯實安全運維保障基礎。過去五年,農發行從建章立制和強化基礎設施建設入手,持續加強運維安全和標準化建設,建成了涵蓋IT運維全流程的一體化運維平臺,實現了“橫向到邊、縱向到底”的一體化運維管理目標;大力開展云平臺、網絡架構等重要基礎設施建設,災備容災覆蓋率大幅提升,全行信息系統安全穩定運行。3.狠抓網絡安全能力建設。近年來農發行大力狠抓網絡安全工作,研究提出了符合農發行特點的網絡安全管控策略——“網絡安全縱深防御體系模型”,陸續開展了威脅監測平臺、全流量分析平臺及安全態勢感知平臺等項目建設,初步實現了“看得見、進不來、拿不走、可追溯”的防御目標,網絡安全防護能力逐年提升。4.強化科技重點領域建設。在信息安全體系建設基礎上,持續完善信息系統應急管理體系,注重重要信息系統及重要基礎設施應急演練的效果和質量,應對突發事件能力逐步提升。2019年,啟動了信息科技外包領域的體系建設,健全了管理機制,豐富了管理工具和手段,為后續開展科技外包管理奠定了堅實的基礎。5.提升人員風險防范意識。通過舉辦專項培訓班、開展全體員工信息安全意識教育、建立條線人員跟班研發和學習機制、廣泛開展調研等方式,不斷提高科學決策和專業技術水平,強化風險意識、提升化解能力。

(二)注重信息科技風險管理機制建設,構建科技風險的防火墻

1.初步建立了信息科技風險管理體系。近年來,農發行持續推進科技風險管理工作,將信息科技風險納入全面風險管理體系,確立了由信息科技部門和各業務職能部門共同擔任一道防線、由風險管理部門擔任二道防線、審計部門擔任三道防線的風險管理架構,建立了健全的制度體系,逐步探索開展信息科技風險管理的方法。2019年農發行啟動了信息科技風險管理體系建設項目,建立了適用于農發行的信息科技風險管理框架,從管理策略、活動和支撐資源等層面完善優化了機制流程,豐富了管控手段和工具,信息科技風險管理水平迅速提升。2.主動做好風險識別和預警。“預判風險所在是防范風險的前提,把握風險走向是謀求戰略主動的關鍵”,主動做好風險的識別和預警,力爭把風險化解在源頭。開展信息科技風險評估。風險評估是風險識別和預警的重要手段,可以真實全面地反映存在的風險和問題。2019年、2020年農發行連續兩年開展了信息科技全面風險評估,并陸續開展專項風險評估和特定時點的風險評估,持續積累工作經驗。完善科技風險監測體系。2018年農發行初步建立了信息科技風險監測指標并開展監測,經歷兩年的持續探索和實踐,形成了分級別的、可量化的、適應自身特點的信息科技風險監測指標體系,并結合日常監測情況和風險評估結果,不斷改進優化指標、探索監測方法,監測工作的完整性和科學性逐步提升。

二、當前信息科技風險管理面臨的新形勢和新挑戰

(一)強監管視角下的信息科技風險管理

當前,銀行業對信息科技高度依賴,人民銀行和銀保監會等監管機構也持續加大銀行信息科技風險管控的監督力度,先后了《商業銀行信息科技風險管理指引》等一系列法規和指引,定期開展信息科技監管評級等現場檢查及非現場監管。從近年監管部門對農發行信息科技開展的監管評級、網絡安全評估等工作情況來看,監管部門對科技風險的管理要求趨于精細化、嚴格化、專業化,愈發注重工作的時效性,標準逐步從“合格線”向“優質線”轉變,關注層面從體系制度的全面性下移為對科技管控的具體能力,如董事會、高管層、信科委、風控委、三道防線在科技風險管理各環節的履職情況,管控機制的具體落實情況等。

(二)數字化轉型路上的信息科技風險管理

近年來,移動互聯技術、大數據、云計算、人工智能、生物識別和區塊鏈等金融科技在全球范圍內廣泛興起,銀行業已成為金融科技快速生長的黃金沃土,加速數字化轉型的進程。為快速獲取金融科技的必要能力、滿足業務的擴張和發展,銀行業多選擇與外部公司合作以獲取更加專業的金融科技,逐漸從自我封閉的循環模式轉向開放的合作模式,由此導致銀行業的風險特征也發生了變化,其中科技風險、網絡風險與數據安全等問題逐日凸顯。一方面,對新技術自身的缺陷和漏洞掌握不充分不及時,將導致信息系統出現故障或受到外部攻擊的風險大幅增加,從而給銀行整體運行穩定性帶來挑戰;另一方面,隨著銀行開放業務模式的普及,對關鍵技術領域的集中度過高、可替代性降低,也將面臨對自身技術路線主導權喪失的風險。此外,開放互聯環境中的數據安全問題也愈發凸顯,一系列風險的相互疊加將可能導致銀行在金融科技發展浪潮中喪失主動權。

三、進一步做好“十四五”時期信息科技風險管理的思考

面對當前強監管的新態勢和數字化轉型的新挑戰,農發行應堅持統籌發展和安全,在科技管控能力建設上持續發力,不斷完善科技風險治理架構,進一步深化各基礎安全領域的風險防控措施,全面加強自主創新研發能力建設,積極主動應對科技風險,守住不發生系統性風險底線,全力防范化解影響農發行現代化建設和高質量發展的科技風險。

(一)逐步完善信息科技風險治理架構

具備穩健的信息科技風險治理架構是保證一切風險管控活動正確且有效開展的前提和基礎。1.完善組織架構,落實管理職責。進一步發揮全行國家安全、信息科技管理、風險管理等領導機構的作用,大力加強各相關部室、全體員工的信息科技風險防控職責,形成群防群控的態勢。2.推進體系落地,落實管控手段。全力推進信息科技風險管理體系咨詢項目成果落地,從體系落地宣貫和強化風險管控手段兩方面發力,整體強化信息科技風險管理。一方面,對體系建設成果宣貫,持續推動信息科技條線乃至全行對信息科技風險管理的參與意識,著力提升我行人員的能力,積累實踐經驗。另一方面,持續優化風險監測和風險評估兩種風險管控手段,利用好風險庫和指標庫兩種風險管理工具,落實好信息科技風險識別、評估、監測、控制與報告各環節的管控手段,持續探索信息科技風險的平臺化、扁平化管控模式,逐步形成科技風險的閉環管理。3.從橫向和縱向兩個維度抓好信息科技風險管理建設,橫向主要是推動信息科技風險管理“三道防線”的持續完善,包括一道防線信息科技的自我管控,二道防線的風險管理,以及三道防線的審計和監督;縱向主要是層層抓好專業條線的科技風險管理責任,進一步提升科技條線合規意識,確保信息科技風險各領域的機制落地落實。

(二)加強基礎安全領域風險防控能力建設

1.不斷優化安全管理和安全運維機制。持續完善信息安全體系和規劃,加大制度落實的力度,對照人民銀行新版等級保護標準,查缺補漏,落實網絡安全等級保護2.0,持續開展信息系統上線安全評估、重要信息系統安全檢查等,對項目建設的關鍵環節加強安全管控;繼續抓好專業人員信息安全能力培養,持續推進運維管理體系建設、災備管理體系建設、多中心多活等重點項目建設,夯實安全運維基礎管理,確保科技運行的安全穩定。2.持續健全網絡安全縱深防御體系。強化互聯網安全規范和技術標準落地,進一步加強互聯網安全團隊建設,重點利用好安全態勢感知平臺、威脅監測平臺等,推進已有安全系統間的協同防御和智能化監控分析能力建設,完善互聯網安全防控技術,提升威脅情報應用能力,持續健全和深化互聯網安全縱深防御體系。3.重點建立數據全流程的安全管控機制。推動數據治理和數據安全體系建設工作,健全數據全流程管控機制,加快建立個人信息保護機制,完善風險管控措施,從法律、IT及業務等方面,對個人信息的收集、傳輸、使用及銷毀全流程,開展分類分級管理,實施有針對性的保護措施,嚴格防控數據泄露風險。4.持續強化信息科技外包管控措施。落實信息科技外包管理體系建設成果,完善信息科技外包管理有關制度,持續加強信息科技外包日常管理,推動我行外包風險管控措施的持續豐富和完善,不斷強化外包管控力度和廣度。5.不斷提升業務連續性管理水平。在業務連續性管理方面,全力推進業務連續性體系建設成果落地,持續優化制度機制,做好業務連續性及信息系統應急管理工作,保障信息系統安全穩定運行,關鍵要提升應急演練的質量、應急處置的能力,切實增強風險發生時快速、高效找準原因、科學分析和有效處理的軟硬實力。

(三)持續提升農發行自主創新能力和水平

全力加強信息系統自主研發能力建設,全面提升信息系統在設計、應用、管理方面的安全可控水平,強化信息科技建設水平,確保對全行的業務發展發揮積極的科技支撐作用,牢牢掌握核心技術,把握數字化轉型的主動權,為農發行高質量發展提供源源不斷的金融科技創新動力。

作者:李四輩 陳勤 李佳妮