文 \ 中国农业银行风险管理部总经理 田继敏
筑牢IT风险第二道防线 保障银行信息科技安全
农业银行作为全球系统重要性银行,依托2.37万个营业机构、数十万台自助终端和24小时电子渠道服务,为全球客户提供全方位金融服务。保障网络信息安全和系统稳定运行至关重要,关系到农业银行亿万客户的资金安全和社会声誉。为此,农业银行建立了IT风险“三道防线”管理体系,风险管理部门按照风险管理的逻辑和方法管理IT风险,发挥第二道防线的监督、制约和协调作用,与第一道、第三道防线共同保障全行核心系统稳定运行和网络信息安全。
一、面临的挑战
移动互联、大数据处理、云计算、人工智能等一系列前沿技术与农业银行的业务创新深度融合,为客户提供了“适时而在”甚至“无时不在”的金融服务,但也给IT风险防控带来巨大挑战。
一是IT基础架构日趋复杂,系统和数据持续增加,给核心系统稳定运行带来严峻挑战。机房基础设施、网络、硬件、软件等组成信息系统基础架构支撑科技体系运行,任何单元模块故障都可能导致系统异常;业务不断创新和精细化管理程度持续提高,导致系统数量不断增加、数据错综复杂,交易量持续攀升,系统运行压力不断加大。
二是网络攻击、电信欺诈持续升级。盗取客户资金和信息等网络犯罪日益猖獗,银行面临的各类网络安全威胁不断升级,形势更为复杂。如2011年5月,韩国农协银行遭到黑客攻击,核心系统数据库被删除,营业中断3天;2016年4月,黑客入侵孟加拉国央行在纽约联邦储备银行的账户,盗走8100万美元;2017年5月爆发的勒索病毒,对商业银行也造成一定冲击。
三是第三方接口不断接入,防范外部风险带来一定挑战。证券保险同业、互联网金融企业、电力网络运营商、IT外包服务商等均与我行建立关联接口或提供基础服务,使得第三方的IT风险向银行传导的几率大幅增加。
四是数据大集中导致风险大集中,防范灾难性事件压力巨大。数据大集中后,防范数据中心园区级灾难性事件,实现较短时间内,通过异地灾备中心恢复核心系统,保障业务的连续性,面临着巨大考验。
复杂严峻的风险形势给IT风险管控提出了更高要求。一方面,信息科技已全面融入银行业务经营的每一个角落,IT风险管理不能靠科技部门单打独斗,也不能依赖科技部门和业务部门“自己管自己”,需要风险管理部门作为第二道防线发挥监督、制约和协调作用,从“另一视角”独立管控IT风险。另一方面,由于近年来我行IT架构、系统、数据日益复杂,第三方原因及外部网络攻击引起的IT风险事件不断增多,银行不能再按传统安全生产的方式管理IT风险,而是运用风险管理的逻辑方法,识别信息科技重点领域的风险隐患,持续进行监测和评估,积累IT风险数据和管理经验,对IT风险实施容忍度管理。同时设计模型对IT风险进行计量,为IT风险计提风险损失准备,并推进业务应急与灾备管理工作,以有效抵御重大或灾难性IT风险发生。
二、二道防线IT风险管理实践
农业银行将IT风险纳入全面风险管理体系,风险管理部承担IT风险第二道防线的牵头管理职责,通过不断完善IT风险治理架构,优化IT风险管理流程和工具,持续加强重点领域的IT风险防控。
1.搭建信息科技“三道防线”防控体系,明确风险管理部门职能定位。“三道防线”职责分工。第一道防线的信息科技部门是实施IT风险管理的直接主体,承担主要的IT风险管理职责;业务部门承担信息安全、业务连续性管理和IT外包管理等相关职责。第二道防线的风险管理部门将IT风险管理嵌入到日常的信息科技活动中,开展IT风险评估、监测、报告和计量等工作。第三道防线的内审部门对一、二道防线的履职情况开展审计。
第二道防线职能定位。根据《商业银行信息科技风险管理指引》规定,商业银行需要一个特定部门负责IT风险管理,负责制定IT风险管理策略、实施风险评估、跟踪整改、监控信息安全威胁等。农业银行由风险管理部门牵头履行上述职责,核心是发挥“监督”、“制约”、“协调”作用,督促科技部门有效履职,避免IT风险在信息科技部门“内部消化”,不代替第一道防线直接的IT风险管理职责。
2.运用风险管理的方法科学管控IT风险。一是确定合理的风险管理目标和容忍度。第二道防线按照风险管理而非安全生产的逻辑来管理IT风险。安全生产是零容忍,而风险管理是对“不确定性”的管理,需要有风险偏好和一定的容忍度。例如,对全行性中断、省域性长时间及国家重大活动等敏感时期核心系统中断“零容忍”,但对于局部营业网点中断,只要合理引导客户,控制好声誉风险,可以有一定的容忍度。风险容忍度决定了IT风险管理的策略、重点和控制强度。
二是制定IT风险管理标准和策略。牵头制定全行信息系统分类分级标准、IT风险分级标准、IT风险事件分级标准,统一全行IT风险管理的逻辑和语言。根据信息系统重要程度和风险级别,在系统开发、测试、投产、资源配置、运行维护等阶段实行差异化风险管理,确保涉及核心业务或关键信息资产的信息系统得到优先保障和重点管理。同时,对暴露的IT风险,也根据风险级别采取差异化的风险管控措施。
三是持续监测、报告和评估IT风险。包括:建立信息科技关键风险指标体系,对重要系统可用率、灾备覆盖率、监控覆盖率、重大变更成功率等关键风险指标进行持续监测。建立IT风险报告系统,收集全行IT风险事件,定期向高管层报告IT风险状况,并对重大IT风险事件开展调查分析。建立风险评估的方法、标准和流程,定期对总分行信息科技重点领域开展IT风险评估,督促第一道防线及时整改评估发现的问题。
四是对IT风险进行计量和考核。首先是制定中断时间与损失金额的转化标准,利用操作风险高级计量法思路,建立IT风险计量方法、标准和模型。其次是将IT风险纳入分行的经济资本计量考核,在计量评分卡中设置IT风险、业务连续性管控情况等定性和定量指标,奖优惩劣,推动各级行主动加强IT风险防控。再就是将核心系统累计中断时间纳入科技部门、相关业务部门的综合绩效考核体系,以考核促进管理。
3.加强重点领域风险管控,应对复杂的内外部挑战。第二道防线的IT风险管理团队人力相对有限,IT风险管理不可能面面俱到,需要集中力量加强关键部位和薄弱环节的风险管控,防范全局性、区域性生产系统中断以及重大IT风险事件发生。
一是加强总分行数据中心基础设施风险防控。将内外部园区环境、机房供电、网络线路、主机和开放系统软硬件设备运行情况等作为风险管理部门IT风险评估和监控的重点,发现风险隐患后督促数据中心及时处置和整改,防范引发核心系统中断风险。
二是实施信息系统分类分级管理,采取差异化风险防控措施。包括:按照信息系统分类分级标准,对现有重要信息系统分级后实行清单制管理。新研发信息系统要明确系统级别,重要信息系统的立项和投产要经过风险管理部评估,系统风险防控措施不足、应急预案不完善的信息系统不得立项和投产。针对部署在互联网上的重要信息系统,提出防范网络攻击的加强型管控要求,并加大此类信息系统风险评估和监控的频次。
三是加强网络信息安全管理,防范网络攻击和信息泄露风险。包括:制订全行网络信息安全总体策略和信息安全分级标准,协调组织业务部门提出业务层面的网络信息安全策略。组织开展网络信息安全风险评估,重点评估网络防护的有效性、网络漏洞检测修复的及时性、病毒防范的有效性、客户和数据信息保护的严密性,加强对内外部网络攻击和信息泄密风险的防范。
四是加强IT外包风险管理,防范第三方引发的系统中断及信息泄密风险。包括:在外包项目准入环节,对外包使用部门风险识别充分性及控制有效性进行风险审查,重点防范外包项目在日常管理和使用中存在的信息安全、技术风险、机构集中度、服务连续性、服务质量等风险。组织IT外包使用部门对所有存续期内外包项目开展IT外包风险自评估,确保外包项目风险控制有效。
五是加强业务连续性管理,防范灾难性事件。风险管理部门和信息科技部门共同牵头全行业务连续性管理工作,风险管理部侧重于从业务层面牵头,制定业务连续性管理制度、总体预案和业务连续性策略,确定重要业务恢复等级和恢复目标;与科技部门共同推进“两地三中心”灾备体系建设,监督、评价灾备切换演练的效果,防范发生园区级、区域级灾难性事件。
三、对下一步工作的思考
IT风险管理仍是一个较新的领域,管理工具和计量方法尚不成熟,与科技日常管理融合尚不紧密,IT风险管理依然任重道远。今后将继续打磨工具,优化方法,深化应用,推动IT风险管理从形式向实质、从事后向事前、事中转变,避免出现IT风险管理和信息科技运行“两张皮”的情况。
1.建立常态的IT风险评估机制,提高风险识别评估的及时性和有效性。在第二道防线内组建稳定的IT风险评估团队,梳理重点领域的IT风险点,制定IT风险评估手册,明确评估方法和标准,建立嵌入流程并能自动触发的常态化IT风险评估机制。从当前以定期IT风险专项评估为主,逐步转为以“嵌入式”、“触发式”评估为主的做法。其中,“嵌入式”评估是指将风险评估流程嵌入新产品、新业务、新系统的立项、实施、投产和运行环节,在事前、事中及时识别风险。“触发式”评估指发生重大风险事件或风险隐患较大时,立即开展的针对性的风险评估。
2.建立系统支撑的IT风险监测平台,提高风险预警的敏感性。在梳理重点领域各流程环节关键风险的基础上,建立IT风险监测系统,整合对接核心系统生产运行、网络安全、基础设施、应用系统等相关数据,建立IT风险监测平台,将核心生产系统交易量、交易成功率、主机和开放系统运行情况等系统监控和应用监控信息纳入风险管理部门日常监控范围,掌握第一手的风险信息,设定关键IT风险指标并持续跟踪监测。
3.优化完善IT风险计量方法,提升风险计量的科学性。优化系统中断时间与损失金额的转化标准,借鉴操作风险标准法、高级计量法(主要是损失分布法)的计量原理,优化IT风险计量标准和模型。基于IT风险指标、风险评估要点设计评分卡,逐步建立符合IT风险特点的计量方法、标准和模型,提高计量的科学性,扩大计量结果在经济资本管理领域的应用深度。
4.提升应急与灾备建设的有效性,防范“重大尾部风险”。 加强预案和演练的归口管理,预案须经风险管理部审核通过后方可发布,并对应急演练实行年度计划管理。根据业务连续性策略,针对不同业务恢复等级,在预案制定、预案演练等方面提出差异化管控策略。业务连续性策略确定的支撑重要业务信息系统,逐步纳入异地灾备中心的建设范围,扩大重要信息系统的灾备覆盖率,提升灾备切换的有效性。