|
银监会陈文雄详解信息科技风险管理要点风险管理一直是CIO做信息化最关心的话题之一,无论是任何大企业,还是小企业,对于安全的关注往往是第一位的,尤其是以服务化为主的企业如银行、保险等金融类企业对于信息安全已经成为信息化的头等重要的事情。 第九、业务风险在交流方面是不乐于交流的,一交流会把核心的竞争力透露出去,所以大家互相之间藏着躲着,但是IT风险因为各个企业、各个行大家实现的手段不一样,它的交流就会有益于系统的强大、风险的防范,不会产生核心利益的冲突,所以大家都乐于交流。 银行业也面临着许多挑战,主要以下几方面: 第一、机构差异性大,很难用标准去衡量。 第二、面临着很多国际的合作,如何解决安全问题。 第三、公众意识单薄。目前银行做了很多工作,但是很多工作做出后让客户在不安全的环境里化为乌有,公众安全的意识对我们影响很大,这方面也需要更多的关注。 第四、信息安全的测评不到位,现在的测评从国内产品和国外产品,都存在隐患、测评、缺陷等,所以很多未知因素使风险防范也存在很多的不足。 第五、网络的脆弱性和依赖使安全面临着很多困难,尤其是现在出现各种事件,现在很多防范措施已经很乏力需要更多的关注,也需要安全厂商更多的努力。 第六、新资本协议的实施对系统会产生一种影响,明年新资本协议的新要求对系统提出了很多的变化,这变化里面就有很多的不稳定因素,需要防范。 第七、业务的同质化。业务同质化使风险进一步扩大。 第八、信息技术的定位出现了问题,现在信息技术作为支持与服务,其实IT大应该是银行支撑的部分,作为支持的服务。另外,在信息化本身我们都关注了业务信息化,对决策信息化关注不够,参与不够,IT话语权受到影响。 第九、内控目标不合理,很多银行业金融机构内控目标作为合规为主,在这层面很难做到对风险的更多防范。 第十、IT作用的发挥还需进一步加强,信息科技风险的管理有一个特色,是一把手工程,一把手的参与,一把手的认知对信息科技风险的防范,信息科技的管理是一个很关键的一环。那么信息科技风险的管理也是靠事件推动,很多机构出了事情以后才觉得应该加强。 第十一、现在信息科技管理很多管理措施都是靠人工措施,用系统化自动化的防范做的还不够。同时,信息科技的评价标准现在出现了很大的问题,在各个机构,各个层面,在关键的时刻都会要求IT部门做到万无一失,这个万无一失不光是100分标准,应该是120分标准,但是当成60分,这就造成了重建设轻管理,管理的时候只会拿到60分。 对信息科技风险的定位要点: 第一、由于业务快速发展,需求在不断往前推进,信息科技就需要立等可取,这里面无形中埋下很多不稳定因素。 第二、信息科技一直是支持服务与系统后台一样,在话语权方面差了很多,即便有个别银行在科技部门给了很高的待遇,但是话语权依然与其他部门还差了许多。 第三、对业务的高度融合现在很多业务的问题出了以后都往IT推卸责任,IT是没有再往外推的机会。 防范信息科技风险,陈文雄认为首先是定位,把信息技术定位为支持服务本身就是一个对风险防控的很大欠缺,把信息技术发挥出来很关键,讲风险防控我想用IT去防控,用技术手段去防控,比人工防控要强得多,这也是体现IT管理价值所在。另外,IT风险防控整个还处于初级阶段,最关键的是IT治理层面,怎么能关注。很多时候,很多机构,很多的银行都会把制度的制定放在很重要的环节,但是制度制定出很多落不到实处,怎么把制度融入到每个环节这很关键。另外,银行业金融机构在中华文化的背景下有很多特有的因素需要考虑,比如人际关系,在西方环境下人际关系很简单,很简单的人与人的关系,很简单的人与机构的关系,很简单的机构与机构的关系,到了东方异常复杂。 第二、要讲忧患意识,IT事件频频发生,对银行冲击很大,911事件出现后对全球的数据保护,灾难备份起了关键作用。 各个银行业金融机构、IT部门所管的很多事情不是通过管控来避免的,比如电力、通讯、软件、硬件,包括人员的问题,是都有可能发生的。停电所有业务都中断。一个银行停电,UPS还可以工作,就让来修,结果没有修好所有电都没有了,通过自身再好的能力都不可避免,怎么办?需要对外来的因素有更多的预案来应对。 第三、对风险的价值需要有清醒的认识,所有风险就是与价值关联,讲风险就是讲它的影响面、影响的价值。IT风险首先要认清它的价值,现在评估的方式、评估的模型、还有评估的认知有很大的缺陷,这对风险的防控就有很大的影响,所以需要对IT风险本身的价值要有很好的计量,才能谈得上控制。价值的认知对风险的防控是至关重要的,所以要更多的关注。对IT价值的认识需要我们本身来转变,把IT发展好需要更多的IT部门有更多的作为。一是贴近领导,在决策层面增加话语权;第二是贴近业务,引领业务发展;第三、贴近最终用户得到大规模的认同。 第四、在安全方面需要一个清醒的目标、一个合理的容忍。这个容忍就是需要有各个部门的折衷,这样才能把控制做好,安全做好。比如灾备。系统级灾备在同城异地来讲,一是高效率小概率事件,异地系统级灾备是低效率极小概率事件,我们现在热衷把异地灾备做起来,同城没有建起来,这样应对灾难时很乏力。 信息科技风险防范需要全员参与,信息科技风险大家都会把信息科技部门关联起来,其实安全和木桶原理是一样的,所有网络参与者、系统使用者都需要贡献,如果在上面做的不到位,一个U盘就可以使网络崩溃,使系统崩溃。 对业务需求方面,也需要有共同的认识,全员参与,业务需求的不准确,不确定也会对系统产生致命的影响,统计分析60%风险与业务有关。在应急和业务持续方面更需要共同参与。如果没有共同参与,只是IT部门在做,现在很多IT部门都热衷于把系统的连续性作为业务连续性来管理,这不够的,需要业务部门的真正参与,真正在业务的持续方面做出贡献。 责编:王立新 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|