導(dǎo)語：農(nóng)發(fā)行信息科技風(fēng)險管理與實踐一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

網(wǎng)絡(luò)安全和信息化是信息科技工作的“一體兩翼”。《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標(biāo)的建議》強調(diào)要統(tǒng)籌發(fā)展與安全，全面加強網(wǎng)絡(luò)安全保障體系和能力建設(shè)，守住不發(fā)生系統(tǒng)性風(fēng)險底線，防范化解影響我國現(xiàn)代化進程的各種風(fēng)險。有效的信息科技風(fēng)險防控是實現(xiàn)網(wǎng)絡(luò)安全的重要保障。近年來，農(nóng)發(fā)行信息科技工作統(tǒng)籌科技發(fā)展和安全防控，始終堅持底線思維、問題導(dǎo)向，不斷探索建立適應(yīng)農(nóng)發(fā)行特點的信息科技風(fēng)險管理模式，為農(nóng)發(fā)行信息科技的高質(zhì)量發(fā)展筑牢安全屏障。

一、農(nóng)發(fā)行“十三五”時期信息科技風(fēng)險管理的實踐與成效

2016年以來，農(nóng)發(fā)行在大力推進系統(tǒng)建設(shè)的同時，一直將安全建設(shè)和風(fēng)險防控作為工作重點，從戰(zhàn)略和全局的高度科學(xué)統(tǒng)籌，著力增強認識問題、分析問題和解決問題的能力，確保在風(fēng)險到來前“立足于防”，在風(fēng)險到來時“有效處置”。

（一）扎實信息科技自身安全建設(shè)，打好風(fēng)險化解的技術(shù)基礎(chǔ)

1.開展信息安全體系建設(shè)。在前期持續(xù)建設(shè)和不斷完善的基礎(chǔ)上，農(nóng)發(fā)行開展了信息安全體系建設(shè)項目，建立了適宜信息科技現(xiàn)狀的信息安全管理體系，構(gòu)建了信息安全組織架構(gòu)、制度體系和技術(shù)保障體系，信息安全管理能力和安全技術(shù)管控水平大幅提升，能夠有效地從一道防線本身應(yīng)對信息安全風(fēng)險威脅。2.夯實安全運維保障基礎(chǔ)。過去五年，農(nóng)發(fā)行從建章立制和強化基礎(chǔ)設(shè)施建設(shè)入手，持續(xù)加強運維安全和標(biāo)準(zhǔn)化建設(shè)，建成了涵蓋IT運維全流程的一體化運維平臺，實現(xiàn)了“橫向到邊、縱向到底”的一體化運維管理目標(biāo)；大力開展云平臺、網(wǎng)絡(luò)架構(gòu)等重要基礎(chǔ)設(shè)施建設(shè)，災(zāi)備容災(zāi)覆蓋率大幅提升，全行信息系統(tǒng)安全穩(wěn)定運行。3.狠抓網(wǎng)絡(luò)安全能力建設(shè)。近年來農(nóng)發(fā)行大力狠抓網(wǎng)絡(luò)安全工作，研究提出了符合農(nóng)發(fā)行特點的網(wǎng)絡(luò)安全管控策略——“網(wǎng)絡(luò)安全縱深防御體系模型”，陸續(xù)開展了威脅監(jiān)測平臺、全流量分析平臺及安全態(tài)勢感知平臺等項目建設(shè)，初步實現(xiàn)了“看得見、進不來、拿不走、可追溯”的防御目標(biāo)，網(wǎng)絡(luò)安全防護能力逐年提升。4.強化科技重點領(lǐng)域建設(shè)。在信息安全體系建設(shè)基礎(chǔ)上，持續(xù)完善信息系統(tǒng)應(yīng)急管理體系，注重重要信息系統(tǒng)及重要基礎(chǔ)設(shè)施應(yīng)急演練的效果和質(zhì)量，應(yīng)對突發(fā)事件能力逐步提升。2019年，啟動了信息科技外包領(lǐng)域的體系建設(shè)，健全了管理機制，豐富了管理工具和手段，為后續(xù)開展科技外包管理奠定了堅實的基礎(chǔ)。5.提升人員風(fēng)險防范意識。通過舉辦專項培訓(xùn)班、開展全體員工信息安全意識教育、建立條線人員跟班研發(fā)和學(xué)習(xí)機制、廣泛開展調(diào)研等方式，不斷提高科學(xué)決策和專業(yè)技術(shù)水平，強化風(fēng)險意識、提升化解能力。

（二）注重信息科技風(fēng)險管理機制建設(shè)，構(gòu)建科技風(fēng)險的防火墻

1．初步建立了信息科技風(fēng)險管理體系。近年來，農(nóng)發(fā)行持續(xù)推進科技風(fēng)險管理工作，將信息科技風(fēng)險納入全面風(fēng)險管理體系，確立了由信息科技部門和各業(yè)務(wù)職能部門共同擔(dān)任一道防線、由風(fēng)險管理部門擔(dān)任二道防線、審計部門擔(dān)任三道防線的風(fēng)險管理架構(gòu)，建立了健全的制度體系，逐步探索開展信息科技風(fēng)險管理的方法。2019年農(nóng)發(fā)行啟動了信息科技風(fēng)險管理體系建設(shè)項目，建立了適用于農(nóng)發(fā)行的信息科技風(fēng)險管理框架，從管理策略、活動和支撐資源等層面完善優(yōu)化了機制流程，豐富了管控手段和工具，信息科技風(fēng)險管理水平迅速提升。2.主動做好風(fēng)險識別和預(yù)警?！邦A(yù)判風(fēng)險所在是防范風(fēng)險的前提，把握風(fēng)險走向是謀求戰(zhàn)略主動的關(guān)鍵”，主動做好風(fēng)險的識別和預(yù)警，力爭把風(fēng)險化解在源頭。開展信息科技風(fēng)險評估。風(fēng)險評估是風(fēng)險識別和預(yù)警的重要手段，可以真實全面地反映存在的風(fēng)險和問題。2019年、2020年農(nóng)發(fā)行連續(xù)兩年開展了信息科技全面風(fēng)險評估，并陸續(xù)開展專項風(fēng)險評估和特定時點的風(fēng)險評估，持續(xù)積累工作經(jīng)驗。完善科技風(fēng)險監(jiān)測體系。2018年農(nóng)發(fā)行初步建立了信息科技風(fēng)險監(jiān)測指標(biāo)并開展監(jiān)測，經(jīng)歷兩年的持續(xù)探索和實踐，形成了分級別的、可量化的、適應(yīng)自身特點的信息科技風(fēng)險監(jiān)測指標(biāo)體系，并結(jié)合日常監(jiān)測情況和風(fēng)險評估結(jié)果，不斷改進優(yōu)化指標(biāo)、探索監(jiān)測方法，監(jiān)測工作的完整性和科學(xué)性逐步提升。

二、當(dāng)前信息科技風(fēng)險管理面臨的新形勢和新挑戰(zhàn)

（一）強監(jiān)管視角下的信息科技風(fēng)險管理

當(dāng)前，銀行業(yè)對信息科技高度依賴，人民銀行和銀保監(jiān)會等監(jiān)管機構(gòu)也持續(xù)加大銀行信息科技風(fēng)險管控的監(jiān)督力度，先后了《商業(yè)銀行信息科技風(fēng)險管理指引》等一系列法規(guī)和指引，定期開展信息科技監(jiān)管評級等現(xiàn)場檢查及非現(xiàn)場監(jiān)管。從近年監(jiān)管部門對農(nóng)發(fā)行信息科技開展的監(jiān)管評級、網(wǎng)絡(luò)安全評估等工作情況來看，監(jiān)管部門對科技風(fēng)險的管理要求趨于精細化、嚴格化、專業(yè)化，愈發(fā)注重工作的時效性，標(biāo)準(zhǔn)逐步從“合格線”向“優(yōu)質(zhì)線”轉(zhuǎn)變，關(guān)注層面從體系制度的全面性下移為對科技管控的具體能力，如董事會、高管層、信科委、風(fēng)控委、三道防線在科技風(fēng)險管理各環(huán)節(jié)的履職情況，管控機制的具體落實情況等。

（二）數(shù)字化轉(zhuǎn)型路上的信息科技風(fēng)險管理

近年來，移動互聯(lián)技術(shù)、大數(shù)據(jù)、云計算、人工智能、生物識別和區(qū)塊鏈等金融科技在全球范圍內(nèi)廣泛興起，銀行業(yè)已成為金融科技快速生長的黃金沃土，加速數(shù)字化轉(zhuǎn)型的進程。為快速獲取金融科技的必要能力、滿足業(yè)務(wù)的擴張和發(fā)展，銀行業(yè)多選擇與外部公司合作以獲取更加專業(yè)的金融科技，逐漸從自我封閉的循環(huán)模式轉(zhuǎn)向開放的合作模式，由此導(dǎo)致銀行業(yè)的風(fēng)險特征也發(fā)生了變化，其中科技風(fēng)險、網(wǎng)絡(luò)風(fēng)險與數(shù)據(jù)安全等問題逐日凸顯。一方面，對新技術(shù)自身的缺陷和漏洞掌握不充分不及時，將導(dǎo)致信息系統(tǒng)出現(xiàn)故障或受到外部攻擊的風(fēng)險大幅增加，從而給銀行整體運行穩(wěn)定性帶來挑戰(zhàn)；另一方面，隨著銀行開放業(yè)務(wù)模式的普及，對關(guān)鍵技術(shù)領(lǐng)域的集中度過高、可替代性降低，也將面臨對自身技術(shù)路線主導(dǎo)權(quán)喪失的風(fēng)險。此外，開放互聯(lián)環(huán)境中的數(shù)據(jù)安全問題也愈發(fā)凸顯，一系列風(fēng)險的相互疊加將可能導(dǎo)致銀行在金融科技發(fā)展浪潮中喪失主動權(quán)。

三、進一步做好“十四五”時期信息科技風(fēng)險管理的思考

面對當(dāng)前強監(jiān)管的新態(tài)勢和數(shù)字化轉(zhuǎn)型的新挑戰(zhàn)，農(nóng)發(fā)行應(yīng)堅持統(tǒng)籌發(fā)展和安全，在科技管控能力建設(shè)上持續(xù)發(fā)力，不斷完善科技風(fēng)險治理架構(gòu)，進一步深化各基礎(chǔ)安全領(lǐng)域的風(fēng)險防控措施，全面加強自主創(chuàng)新研發(fā)能力建設(shè)，積極主動應(yīng)對科技風(fēng)險，守住不發(fā)生系統(tǒng)性風(fēng)險底線，全力防范化解影響農(nóng)發(fā)行現(xiàn)代化建設(shè)和高質(zhì)量發(fā)展的科技風(fēng)險。

（一）逐步完善信息科技風(fēng)險治理架構(gòu)

具備穩(wěn)健的信息科技風(fēng)險治理架構(gòu)是保證一切風(fēng)險管控活動正確且有效開展的前提和基礎(chǔ)。1.完善組織架構(gòu)，落實管理職責(zé)。進一步發(fā)揮全行國家安全、信息科技管理、風(fēng)險管理等領(lǐng)導(dǎo)機構(gòu)的作用，大力加強各相關(guān)部室、全體員工的信息科技風(fēng)險防控職責(zé)，形成群防群控的態(tài)勢。2.推進體系落地，落實管控手段。全力推進信息科技風(fēng)險管理體系咨詢項目成果落地，從體系落地宣貫和強化風(fēng)險管控手段兩方面發(fā)力，整體強化信息科技風(fēng)險管理。一方面，對體系建設(shè)成果宣貫，持續(xù)推動信息科技條線乃至全行對信息科技風(fēng)險管理的參與意識，著力提升我行人員的能力，積累實踐經(jīng)驗。另一方面，持續(xù)優(yōu)化風(fēng)險監(jiān)測和風(fēng)險評估兩種風(fēng)險管控手段，利用好風(fēng)險庫和指標(biāo)庫兩種風(fēng)險管理工具，落實好信息科技風(fēng)險識別、評估、監(jiān)測、控制與報告各環(huán)節(jié)的管控手段，持續(xù)探索信息科技風(fēng)險的平臺化、扁平化管控模式，逐步形成科技風(fēng)險的閉環(huán)管理。3.從橫向和縱向兩個維度抓好信息科技風(fēng)險管理建設(shè)，橫向主要是推動信息科技風(fēng)險管理“三道防線”的持續(xù)完善，包括一道防線信息科技的自我管控，二道防線的風(fēng)險管理，以及三道防線的審計和監(jiān)督；縱向主要是層層抓好專業(yè)條線的科技風(fēng)險管理責(zé)任，進一步提升科技條線合規(guī)意識，確保信息科技風(fēng)險各領(lǐng)域的機制落地落實。

（二）加強基礎(chǔ)安全領(lǐng)域風(fēng)險防控能力建設(shè)

1.不斷優(yōu)化安全管理和安全運維機制。持續(xù)完善信息安全體系和規(guī)劃，加大制度落實的力度，對照人民銀行新版等級保護標(biāo)準(zhǔn)，查缺補漏，落實網(wǎng)絡(luò)安全等級保護2.0，持續(xù)開展信息系統(tǒng)上線安全評估、重要信息系統(tǒng)安全檢查等，對項目建設(shè)的關(guān)鍵環(huán)節(jié)加強安全管控；繼續(xù)抓好專業(yè)人員信息安全能力培養(yǎng)，持續(xù)推進運維管理體系建設(shè)、災(zāi)備管理體系建設(shè)、多中心多活等重點項目建設(shè)，夯實安全運維基礎(chǔ)管理，確?？萍歼\行的安全穩(wěn)定。2.持續(xù)健全網(wǎng)絡(luò)安全縱深防御體系。強化互聯(lián)網(wǎng)安全規(guī)范和技術(shù)標(biāo)準(zhǔn)落地，進一步加強互聯(lián)網(wǎng)安全團隊建設(shè)，重點利用好安全態(tài)勢感知平臺、威脅監(jiān)測平臺等，推進已有安全系統(tǒng)間的協(xié)同防御和智能化監(jiān)控分析能力建設(shè)，完善互聯(lián)網(wǎng)安全防控技術(shù)，提升威脅情報應(yīng)用能力，持續(xù)健全和深化互聯(lián)網(wǎng)安全縱深防御體系。3.重點建立數(shù)據(jù)全流程的安全管控機制。推動數(shù)據(jù)治理和數(shù)據(jù)安全體系建設(shè)工作，健全數(shù)據(jù)全流程管控機制，加快建立個人信息保護機制，完善風(fēng)險管控措施，從法律、IT及業(yè)務(wù)等方面，對個人信息的收集、傳輸、使用及銷毀全流程，開展分類分級管理，實施有針對性的保護措施，嚴格防控數(shù)據(jù)泄露風(fēng)險。4.持續(xù)強化信息科技外包管控措施。落實信息科技外包管理體系建設(shè)成果，完善信息科技外包管理有關(guān)制度，持續(xù)加強信息科技外包日常管理，推動我行外包風(fēng)險管控措施的持續(xù)豐富和完善，不斷強化外包管控力度和廣度。5.不斷提升業(yè)務(wù)連續(xù)性管理水平。在業(yè)務(wù)連續(xù)性管理方面，全力推進業(yè)務(wù)連續(xù)性體系建設(shè)成果落地，持續(xù)優(yōu)化制度機制，做好業(yè)務(wù)連續(xù)性及信息系統(tǒng)應(yīng)急管理工作，保障信息系統(tǒng)安全穩(wěn)定運行，關(guān)鍵要提升應(yīng)急演練的質(zhì)量、應(yīng)急處置的能力，切實增強風(fēng)險發(fā)生時快速、高效找準(zhǔn)原因、科學(xué)分析和有效處理的軟硬實力。

（三）持續(xù)提升農(nóng)發(fā)行自主創(chuàng)新能力和水平

全力加強信息系統(tǒng)自主研發(fā)能力建設(shè)，全面提升信息系統(tǒng)在設(shè)計、應(yīng)用、管理方面的安全可控水平，強化信息科技建設(shè)水平，確保對全行的業(yè)務(wù)發(fā)展發(fā)揮積極的科技支撐作用，牢牢掌握核心技術(shù)，把握數(shù)字化轉(zhuǎn)型的主動權(quán)，為農(nóng)發(fā)行高質(zhì)量發(fā)展提供源源不斷的金融科技創(chuàng)新動力。

作者：李四輩 陳勤 李佳妮