XX银行信息科技风险管理策略

xx 银行信息科技风险管理策略

随着信息科技与我行业务的深度融合〜我行业务对信息系统的依赖性日益增强 〜防范信息科技风险的重要性凸显出来。我行深入分析信息科技管理工作〜针对面 临的信息科技风险〜制定了信息科技风险管理策略。

一、我行面临的主要信息科技风险 1. 业务中断风险

保障业务连续性是我行信息科技工作中的最重要的部分。我行面临的首要的问 题是〜信息系统建设严重滞后与业务发展。一旦产生软硬件故障、系统超负荷运 行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素〜极易造成银 行业务的中断。

2. 数据安全风险 数据是我行的基础〜我行要为客户提供一个可靠的环境确保数据资料的准确性

和安全性。随着业务的发展〜数据量不断增大〜数据安全风险凸显。

数据安全风险包括两方面 :一是数据窃取〜主要是数据遭到窃取或者恶意篡改 〜导致客户信息资料外泄〜引发客户不满〜引发法律风险问题 ,二是数据丢失〜主 要是受到自然灾害、房屋倒塌等突发事件造成的存储介质毁坏〜导致存储介质中数 据丢失。

3. 电子银行风险

电子银行银行风险主要是电子支付安全问题〜包括 ATM诈骗以及利用钓鱼网 站、木马程序盗取客户的账号和密码等一些行为导致的客

户资金的损失。这类事件一旦发生〜会严重影响我行声誉〜处理不当会导致诉 讼。

4. 系统漏洞风险 系统漏洞风险是银行信息系统开发缺陷被发现和利用的风险。系统漏洞风险在 系统设计之初难以发现〜随着系统的推广及运行〜风险逐渐暴露〜一旦被人利用〜 会对我行造成极大影响。

5.IT 外包风险

IT 外包风险主要是外包服务商能否长期稳定地为我行提供高质量的服务〜能否 及时响应并修复系统故障〜确保外包业务连续性。我行如果过度依赖外包服务商〜 一旦出现突发情况〜势必会影响我行业务持续开展。

二、我行采取的信息科技风险管理策略 针对我行面临的主要的信息科技风险〜我行在信息科技风险管理方面拟采取以 下策略。

1. 进一步完善信息科技风险管理制度 我行要进一步完善信息科技风险管理制度〜进一步细化信息科技管理以及信息

科技风险管理。重点做好业务连续性、灾备系统、外包管理、风险评估、内外部审 计等五个方面制度的完善。

制度制定后〜信息科技工作者要严格执行制度〜或者提出合理化建议来修订制 度〜使制度成为一切工作的基础〜真正给系统安全拉起一道不可逾越的防御线。

2. 构建全面的信息科技风险监测和保障体系 2

逐步建立质量控制和测试体系〜对信息系统的开发进行严格的风险论证和风险 测试。对信息系统的运行状况进行全程监控〜主干网络是否畅通、自助设备是否正 常运行、数据库系统是否正常服务〜是否有网络遭受外部非法入侵等必须纳入实时 监控范围〜以保障在发生故障的第一时间做出相应。同时〜我行要制定应急预案〜 做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方 面

的工作〜并加强灾备演练〜以保障在突入其来的灾难性事故面前能够从容应对〜 减少损失。

3. 加大风险评估与内外部审计力度 风险评估与内外部审计是发现风险隐患〜要求信息技术部门加以修改完善的有 效措施。风险管理部和审计部都要进一步培训现有的专职风险评估与审计人员〜不 断提高评估与审计工作水平。

信息科技风险评估与审计均纳入相关部门年度重要工作内容〜并且每年的评估 与审计工作都要进一步深化。

4. 加强信息科技人才队伍建设 我行要将信息科技人才队伍建设作为全行人才队伍建设的一个重要方面开展。

做好信息科技人才储备以及现有人员科技水平提升〜才能不断提高我行的信息科技 防范水平。

5. 提高 IT 外包服务管理的精细度

IT 外包风险存在于外包服务过程中的每一个环节〜需要对外包服务进行全程的 精细化管理。一是通过对外包服务商的水平作全面准确的评估〜选择值得信赖、具 有相当资质、能够长期合作的 IT 服务

3 商〜这是对技术外包服务进行精细化管理的前提条件。二是签署详细、全面的 外包合同〜包括外包服务的内容和服务范围、双方在合同中的权利和义务、产权转 移方式、后续维护方案、安全性和保密性的要求等。三是在 IT 外包合同执行期间 〜要对服务商进行持续、有效的监督〜 IT 专家、风险管理专家、审计专家要定期 和不定期地对服务商进行检查〜及时掌握合同的履行情况〜并督促服务商按期保质 地完成合同规定的各项任务。四是在外包服务中〜要积极主动地学习〜积累经验〜 尽可能地掌握技术要点〜以降低依赖性风险〜并争取开发和生产具有完全自主知识 产权的信息系统。

4