网络安全和信息化是信息科技工作的“一体两翼”。《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》强调要统筹发展与安全,全面加强网络安全保障体系和能力建设,守住不发生系统性风险底线,防范化解影响我国现代化进程的各种风险。有效的信息科技风险防控是实现网络安全的重要保障。近年来,农发行信息科技工作统筹科技发展和安全防控,始终坚持底线思维、问题导向,不断探索建立适应农发行特点的信息科技风险管理模式,为农发行信息科技的高质量发展筑牢安全屏障。
一、农发行“十三五”时期信息科技风险管理的实践与成效
2016年以来,农发行在大力推进系统建设的同时,一直将安全建设和风险防控作为工作重点,从战略和全局的高度科学统筹,着力增强认识问题、分析问题和解决问题的能力,确保在风险到来前“立足于防”,在风险到来时“有效处置”。
(一)扎实信息科技自身安全建设,打好风险化解的技术基础
1.开展信息安全体系建设。在前期持续建设和不断完善的基础上,农发行开展了信息安全体系建设项目,建立了适宜信息科技现状的信息安全管理体系,构建了信息安全组织架构、制度体系和技术保障体系,信息安全管理能力和安全技术管控水平大幅提升,能够有效地从一道防线本身应对信息安全风险威胁。2.夯实安全运维保障基础。过去五年,农发行从建章立制和强化基础设施建设入手,持续加强运维安全和标准化建设,建成了涵盖IT运维全流程的一体化运维平台,实现了“横向到边、纵向到底”的一体化运维管理目标;大力开展云平台、网络架构等重要基础设施建设,灾备容灾覆盖率大幅提升,全行信息系统安全稳定运行。3.狠抓网络安全能力建设。近年来农发行大力狠抓网络安全工作,研究提出了符合农发行特点的网络安全管控策略——“网络安全纵深防御体系模型”,陆续开展了威胁监测平台、全流量分析平台及安全态势感知平台等项目建设,初步实现了“看得见、进不来、拿不走、可追溯”的防御目标,网络安全防护能力逐年提升。4.强化科技重点领域建设。在信息安全体系建设基础上,持续完善信息系统应急管理体系,注重重要信息系统及重要基础设施应急演练的效果和质量,应对突发事件能力逐步提升。2019年,启动了信息科技外包领域的体系建设,健全了管理机制,丰富了管理工具和手段,为后续开展科技外包管理奠定了坚实的基础。5.提升人员风险防范意识。通过举办专项培训班、开展全体员工信息安全意识教育、建立条线人员跟班研发和学习机制、广泛开展调研等方式,不断提高科学决策和专业技术水平,强化风险意识、提升化解能力。
(二)注重信息科技风险管理机制建设,构建科技风险的防火墙
1.初步建立了信息科技风险管理体系。近年来,农发行持续推进科技风险管理工作,将信息科技风险纳入全面风险管理体系,确立了由信息科技部门和各业务职能部门共同担任一道防线、由风险管理部门担任二道防线、审计部门担任三道防线的风险管理架构,建立了健全的制度体系,逐步探索开展信息科技风险管理的方法。2019年农发行启动了信息科技风险管理体系建设项目,建立了适用于农发行的信息科技风险管理框架,从管理策略、活动和支撑资源等层面完善优化了机制流程,丰富了管控手段和工具,信息科技风险管理水平迅速提升。2.主动做好风险识别和预警。“预判风险所在是防范风险的前提,把握风险走向是谋求战略主动的关键”,主动做好风险的识别和预警,力争把风险化解在源头。开展信息科技风险评估。风险评估是风险识别和预警的重要手段,可以真实全面地反映存在的风险和问题。2019年、2020年农发行连续两年开展了信息科技全面风险评估,并陆续开展专项风险评估和特定时点的风险评估,持续积累工作经验。完善科技风险监测体系。2018年农发行初步建立了信息科技风险监测指标并开展监测,经历两年的持续探索和实践,形成了分级别的、可量化的、适应自身特点的信息科技风险监测指标体系,并结合日常监测情况和风险评估结果,不断改进优化指标、探索监测方法,监测工作的完整性和科学性逐步提升。
二、当前信息科技风险管理面临的新形势和新挑战
(一)强监管视角下的信息科技风险管理
当前,银行业对信息科技高度依赖,人民银行和银保监会等监管机构也持续加大银行信息科技风险管控的监督力度,先后发布了《商业银行信息科技风险管理指引》等一系列法规和指引,定期开展信息科技监管评级等现场检查及非现场监管。从近年监管部门对农发行信息科技开展的监管评级、网络安全评估等工作情况来看,监管部门对科技风险的管理要求趋于精细化、严格化、专业化,愈发注重工作的时效性,标准逐步从“合格线”向“优质线”转变,关注层面从体系制度的全面性下移为对科技管控的具体能力,如董事会、高管层、信科委、风控委、三道防线在科技风险管理各环节的履职情况,管控机制的具体落实情况等。
(二)数字化转型路上的信息科技风险管理
近年来,移动互联技术、大数据、云计算、人工智能、生物识别和区块链等金融科技在全球范围内广泛兴起,银行业已成为金融科技快速生长的黄金沃土,加速数字化转型的进程。为快速获取金融科技的必要能力、满足业务的扩张和发展,银行业多选择与外部公司合作以获取更加专业的金融科技,逐渐从自我封闭的循环模式转向开放的合作模式,由此导致银行业的风险特征也发生了变化,其中科技风险、网络风险与数据安全等问题逐日凸显。一方面,对新技术自身的缺陷和漏洞掌握不充分不及时,将导致信息系统出现故障或受到外部攻击的风险大幅增加,从而给银行整体运行稳定性带来挑战;另一方面,随着银行开放业务模式的普及,对关键技术领域的集中度过高、可替代性降低,也将面临对自身技术路线主导权丧失的风险。此外,开放互联环境中的数据安全问题也愈发凸显,一系列风险的相互叠加将可能导致银行在金融科技发展浪潮中丧失主动权。
三、进一步做好“十四五”时期信息科技风险管理的思考
面对当前强监管的新态势和数字化转型的新挑战,农发行应坚持统筹发展和安全,在科技管控能力建设上持续发力,不断完善科技风险治理架构,进一步深化各基础安全领域的风险防控措施,全面加强自主创新研发能力建设,积极主动应对科技风险,守住不发生系统性风险底线,全力防范化解影响农发行现代化建设和高质量发展的科技风险。
(一)逐步完善信息科技风险治理架构
具备稳健的信息科技风险治理架构是保证一切风险管控活动正确且有效开展的前提和基础。1.完善组织架构,落实管理职责。进一步发挥全行国家安全、信息科技管理、风险管理等领导机构的作用,大力加强各相关部室、全体员工的信息科技风险防控职责,形成群防群控的态势。2.推进体系落地,落实管控手段。全力推进信息科技风险管理体系咨询项目成果落地,从体系落地宣贯和强化风险管控手段两方面发力,整体强化信息科技风险管理。一方面,对体系建设成果宣贯,持续推动信息科技条线乃至全行对信息科技风险管理的参与意识,着力提升我行人员的能力,积累实践经验。另一方面,持续优化风险监测和风险评估两种风险管控手段,利用好风险库和指标库两种风险管理工具,落实好信息科技风险识别、评估、监测、控制与报告各环节的管控手段,持续探索信息科技风险的平台化、扁平化管控模式,逐步形成科技风险的闭环管理。3.从横向和纵向两个维度抓好信息科技风险管理建设,横向主要是推动信息科技风险管理“三道防线”的持续完善,包括一道防线信息科技的自我管控,二道防线的风险管理,以及三道防线的审计和监督;纵向主要是层层抓好专业条线的科技风险管理责任,进一步提升科技条线合规意识,确保信息科技风险各领域的机制落地落实。
(二)加强基础安全领域风险防控能力建设
1.不断优化安全管理和安全运维机制。持续完善信息安全体系和规划,加大制度落实的力度,对照人民银行新版等级保护标准,查缺补漏,落实网络安全等级保护2.0,持续开展信息系统上线安全评估、重要信息系统安全检查等,对项目建设的关键环节加强安全管控;继续抓好专业人员信息安全能力培养,持续推进运维管理体系建设、灾备管理体系建设、多中心多活等重点项目建设,夯实安全运维基础管理,确保科技运行的安全稳定。2.持续健全网络安全纵深防御体系。强化互联网安全规范和技术标准落地,进一步加强互联网安全团队建设,重点利用好安全态势感知平台、威胁监测平台等,推进已有安全系统间的协同防御和智能化监控分析能力建设,完善互联网安全防控技术,提升威胁情报应用能力,持续健全和深化互联网安全纵深防御体系。3.重点建立数据全流程的安全管控机制。推动数据治理和数据安全体系建设工作,健全数据全流程管控机制,加快建立个人信息保护机制,完善风险管控措施,从法律、IT及业务等方面,对个人信息的收集、传输、使用及销毁全流程,开展分类分级管理,实施有针对性的保护措施,严格防控数据泄露风险。4.持续强化信息科技外包管控措施。落实信息科技外包管理体系建设成果,完善信息科技外包管理有关制度,持续加强信息科技外包日常管理,推动我行外包风险管控措施的持续丰富和完善,不断强化外包管控力度和广度。5.不断提升业务连续性管理水平。在业务连续性管理方面,全力推进业务连续性体系建设成果落地,持续优化制度机制,做好业务连续性及信息系统应急管理工作,保障信息系统安全稳定运行,关键要提升应急演练的质量、应急处置的能力,切实增强风险发生时快速、高效找准原因、科学分析和有效处理的软硬实力。
(三)持续提升农发行自主创新能力和水平
全力加强信息系统自主研发能力建设,全面提升信息系统在设计、应用、管理方面的安全可控水平,强化信息科技建设水平,确保对全行的业务发展发挥积极的科技支撑作用,牢牢掌握核心技术,把握数字化转型的主动权,为农发行高质量发展提供源源不断的金融科技创新动力。
作者:李四辈 陈勤 李佳妮