安全是金融行业永远的话题。金融信息系统外应用系统相互牵连、使用对象多样化、安全风险的多方位、信息可靠性、保密性要求高等特征构成了金融系统的突出特点。
国际金融危机以来,金融系统的风险控制和监管被提到了前所未有的高度。如何利用信息技术的优势加强金融机构的内部控制,提高金融监管和服务水平,防范和化解金融风险,促进金融改革和创新,从而推动我国经济社会的发展,是当前我国金融业信息化建设面临的重大问题。
安全体系全员参与
目前金融机构已经从传统的资产负债经营转向风险经营,一个完善的金融机构必须构建一个覆盖业务各个维度的风险经营管理体系。从小的方面来说,可以是一个较为完整的安全体系。
对于小范围安全体系,在这里我们可以先看看巴塞尔Ⅱ协议,流动性风险、市场风险和操作风险,已经覆盖了金融机构运营的各个角度和维度。
对于信息风险(安全)我们可以从操作风险的角度来审视,由于目前IT应用已经涉及到金融的各个业务和办公领域,对于IT带来的风险管理已经是金融运营不可切割的一部分。所以,我们认为对于金融机构的风险管理体系(或安全体系)应该是一个从业务部门到技术部门都必须参与控制的过程。
不管从巴塞尔Ⅱ协议,还是我国商业银行风险指引都要求我国银行构建一个完整的风险管理体系。我们认为信息科技安全体系应该是一个从需求、设计、上线、运维到下线,一个全生命周期的风险(安全)管理体系,涉及与各环境相关的业务部门和科技部门。通常来说7分管理3分技术,在这里强调一下管理的重要性,我们认为管理不仅仅是人员、岗位、角色的管理,也包含着策略和流程。如下图所示:
故而我们建议对于金融信息科技风险管理(安全管理)体系的目标是围绕业务发展,紧密结合业务发展战略,利用科技手段构建风险防范平台,锻造精细风险管理能力,深化风险防范建设,为促进金融机构发展提供可靠保障。
围绕目标在金融机构的各个部门从方针政策、人员到策略、流程直至技术防控措施全方位、全视角构建风险管理体系(安全体系)。
随着技术的发展和业务的扩展,银行的核心业务系统和后台管理系统要进行不断的升级换代,在此基础上的安全防御系统也要调整配合。
我们应该从2个角度去看待这样的工作:
1. 全生命周期的配合
风险防控是对IT系统全生命周期的管理。不是单独的一个环节。由于业务发展需要,对银行IT系统不断更新和换代这是正常的。这样需要IT风险管理也是要动态、同步跟进系统建设。
2. PDCA,即使IT系统不进行更新和换代,由于漏洞的发现和黑客技术的更新,同样也需要风险管理的及时跟进。
所以说IT风险管理比IT系统更新换代更需要敏捷性。
对于一个良好的银行机构不仅需要IT风险管理的同步更新,同时也需要风险管控部门及时对风险拨备进行更新。