1.2 金融機構信息科技風險管理整體架構

當前，金融機構信息科技風險管理整體上分為信息科技治理、信息科技風險管理、信息科技審計管理、信息安全管理、信息科技開發及測試、信息科技運行及維護、業務連續性管理和信息科技外包管理八大領域。監管部門對每一個領域均有非常嚴格的合規要求。為了滿足各個領域的合規要求，金融機構從業人員要持續努力。我們將努力方向總結為兩個詞：守正，出奇。

“守正”就是要加強監管合規理論的學習，認同監管合規的管理要求，能夠從自身意識上提高認識，在信息化建設過程中通過建立標準化的管理流程真正落地信息科技風險的合規管理。

“出奇”則是要借助信息技術的手段，幫助IT部門實現信息科技風險的自動化、流程化管控，甚至隨著金融科技應用能力的提升，通過數字化、智能化的手段努力提升自身的風險管控水平，在監管合規方面做到主動先行，進而提升組織機構的信息科技管理水平。下面我們對上述兩個方面做一簡略論述。

1.2.1 八大領域的監管合規

我們先從“守正”的角度了解金融機構信息科技風險管理八大領域的要求以及我們需要努力的方向。

1.信息科技治理

信息科技治理領域主要包含兩方面要求。

（1）信息科技組織架構方面，要求做到以下幾點。

?設立信息科技管理委員會，董事會、高管層具備信息科技管理、決策所需的能力和經驗，能夠有效履行信息科技治理的職責。

?配置首席信息官，作為高管參與重大決策。

（2）信息科技對業務發展的專業支持和匹配度方面，要求做到以下幾點。

?建立明確的科技戰略規劃，并與業務戰略規劃協調一致。

?信息系統技術架構滿足業務架構。

?信息科技人員具備自主可控的能力，保持人員穩定性，在信息科技方面的投入能夠滿足本機構信息科技發展的需要。

2.信息科技風險管理

信息科技風險管理領域主要包含兩方面要求。

（1）信息科技風險管理體系方面，要求做到以下幾點。

?信息科技風險納入全面風險管理，并由風險管理部統一負責。

?風險管理部配備一定數量的具備專業背景和技能的專職信息科技風險管理人員，形成信息科技風險管理的組織架構，并向董事會匯報。

?建立信息科技風險管理策略和管理制度，管理策略和管理制度完備，并建立信息科技風險評估及風險處置工作機制、流程和方法。

（2）信息科技風險管理日常運作方面，要求做到以下幾點。

?開展信息科技風險識別工作，監測關鍵風險點指標，并定期評審、改進，及時向高管層及有關部門報告風險監測結果。

?要求開展信息科技風險評估工作，并進行風險處置。

3.信息科技審計管理

信息科技審計管理領域主要包含兩方面的要求。

（1）信息科技審計管理體系方面，要求做到以下幾點。

?將信息科技審計職責落實到審計部門，審計制度涵蓋信息科技審計相關內容。

?信息科技審計崗位的人員具備足夠的能力水平，并保持審計工作的獨立性和匯報路線的合理性。

（2）信息科技內外部審計活動方面，要求做到以下幾點。

?確保近三年重要信息系統審計、數據中心審計、重大項目審計覆蓋率達到100%。

?確保近兩年信息科技審計整改率接近100%。

?確保近三年信息科技專項審計占比達到100%。

4.信息安全管理

信息安全管理領域主要包含兩方面的要求。

（1）信息安全管理及執行力方面，要求做到以下幾點。

?要求建立合理的信息安全組織架構，設立專職信息安全崗位，明確信息安全管理職責。

?確保信息安全管理體系的完整性，明確信息安全的總體方針和安全策略，說明安全工作的總體目標、范圍、原則和安全框架等。

?確保安全管理制度健全，須涵蓋物理安全管理、人員安全管理、系統建設安全管理、系統運維安全管理、終端安全管理、數據安全管理等方面的要求。

?信息安全管理制度須定期評價并修訂，信息安全管理各項措施須嚴格落實，執行過程中不得存在重大缺陷。

?減少和控制信息安全事件的發生。對當年發生的造成一定損失或影響（如經濟損失、數據篡改、重大輿情、監管通報、系統宕機、業務中斷等）的信息安全事件，須嚴格區分管理責任和技術性問題。

（2）信息安全技術保障能力方面，要求做到以下幾點。

?信息安全技術體系必須完整，安全保障措施必須有效，包括物理安全、網絡安全、主機安全、應用安全、數據安全、終端安全等。

?確保重要信息系統、互聯網系統的安全性，對重要信息系統、互聯網系統進行安全評估（如交易類系統的全面風險評估、互聯網系統的滲透測試檢測等）情況，及時對安全漏洞進行修補。

5.信息科技開發及測試

信息科技開發及測試領域主要包含兩方面的要求。

（1）信息科技開發測試管理體系方面，要求做到以下幾點。

?確保開發測試項目管理組織架構的合理性。

?建立規范的信息科技開發測試管理制度和流程，明確需求管理、開發管理、質量保障、問題管理、版本管理、項目后評價等管理要求。

?要求項目生命周期管理流程必須包括需求分析、設計、開發或外購、測試、試運行、部署、維護和退出等環節，系統開發方法與信息科技項目的規模、性質和復雜度必須匹配。

?確保本年度重大項目計劃完成率達到100%。

（2）信息科技開發測試管理中的風險控制方面，要求做到以下幾點。

?信息科技風險管理須涵蓋信息科技項目生命周期管理的各重要環節。

?必須建立必要的開發測試安全隔離措施，包括生產系統與開發系統、測試系統的有效隔離，生產系統與開發系統、測試系統的管理職能隔離，應用程序開發和測試人員未經允許不可進入生產系統，測試環節如使用生產數據需要經過嚴格脫敏等。

?確保業務部門在信息系統開發及測試相關階段的參與度。

6.信息科技運行及維護

信息科技運行及維護領域主要包含兩方面的要求。

（1）信息科技運行及維護管理系統方面，要求建立規范的信息科技運行及維護管理制度和流程，涵蓋事件管理、問題管理、配置管理、容量管理、變更管理、服務水平管理、可用性管理，并確保信息科技運行維護管理制度和流程落實到位。

（2）信息科技運行及維護方面，要求做到以下幾點。

?實施運行維護管理平臺（工具）和監控管理平臺（工具）等信息化措施，提高運行與維護管理效率。

?實現對運行維護全流程的管理和關鍵基礎設施、網絡、主機、系統運行情況的監控及運維管理。

?確保重要信息系統應用層面監控覆蓋率、考察重要信息系統可用率、核心業務系統交易成功率均滿足監管要求的較高水平。

7.業務連續性管理

業務連續性管理領域主要包含兩方面的要求。

（1）業務連續性管理體系方面，要求做到以下幾點。

?建立日常業務連續性管理組織，業務連續性管理組織的職責必須清晰且完善，業務連續性管理相關部門的設置必須合理，并制定業務連續性管理政策和制度。

?必須開展業務影響分析，明確業務的恢復優先級和恢復目標。

?制訂業務連續性計劃并建立信息科技突發事件應急處置機制。

?定期開展業務連續性演練，并評估與改進，確保重要業務的業務連續性演練覆蓋率達標。

（2）業務連續性管理日常運作效果方面，要求做到以下幾點。

?信息科技基礎設施必須滿足當前及未來3～5年的業務發展需要，生產中心、災備中心建設必須符合相關監管要求，不得存在重大隱患。

?確保重要信息系統災備覆蓋率達到100%。

8.信息科技外包管理

信息科技外包管理領域主要包含三方面的要求。

（1）外包管理組織架構和外包戰略方面，要求做到以下幾點。

?建立清晰的外包管理組織架構，明確高管層、信息科技外包管理主管部門和執行部門的風險管理職責。

?制定與自身規模、市場地位相適應的外包戰略，并有針對性地獲取或提升管理及技術能力，降低對外包服務提供商的依賴。

（2）信息科技外包管理方面，要求做到以下幾點。

?外包項目立項前須進行風險評估，滿足合理的外包服務提供商準入標準，并對重要外包服務提供商開展盡職調查。

?外包合同條款必須完整、明確，必須包括對外包服務提供商的必要約束條款，并且簽訂外包保密協議。

?對外包服務的過程進行監控，并對外包服務提供商進行評價，督促其不斷提升外包服務水平。

?對重點外包服務提供商的風險管理、年度審計工作提出明確要求。

?建立恰當的應急預案，應對外包服務提供商可能出現的重大問題。

（3）跨境、關聯及非駐場外包管理方面，要求做到以下幾點。

?對于跨境外包服務，外包過程中須充分考慮跨境外包帶來的國別風險，必須有相應的風險處置措施。

?對于關聯外包服務，外包過程中須建立關聯外包服務的內部控制及風險管理標準和機制，確保關聯外包有關決策的獨立性，加強對關聯外包管理的約束力，確保對關聯外包活動的風險控制水平。

?對于非駐場外包，須制定非駐場外包的內部控制及風險管理標準和機制。

以上是從“守正”角度分析的金融機構信息科技風險監管八大領域的要求，對于上述要求，我們必須建立標準化、制度化的工作流程，通過嚴格的分級管控以及標準的工作規范，確保相關的措施得以落地執行。

1.2.2 監管合規的技術輔助

借助數字化、智能化的手段，我們可以更加主動地提升信息科技風險管控的水平，達到“出奇”的效果，具體包括如下方面。

1.科技治理數字化轉型

在努力提升自身科技治理水平的過程中，我們可以通過建立完整的科技管理工具體系，實現科技治理的線上化和數字化。與其他業務系統架構一樣，科技管理工具也應具備完整的體系架構，根據科技治理的各個領域要求各司其職。

打破信息孤島，形成信息科技治理完整的決策鏈，持續提升信息科技治理的水平。其中最典型的是信息科技項目管理工具和架構管理工具的實施，有效提升信息科技的項目管理水平和整體架構規劃的管控能力。

2.風險管理技術化

信息科技風險千變萬化，簡單通過人為的信息科技風險管理顯然已經不合時宜。開發簡單有效的日常監測工具，實現信息科技風險的實時與準實時監測，并對信息科技管理的關鍵點進行動態計算和監測，可以及時、有效地發現潛在的風險，提升信息科技風險管理的水平。同時，針對信息科技的監管報送要求，可以借鑒業務日常監測的監管數據報送方式，通過自動化的方式完成數據采集和數據報送，確保數據報送的準確性和及時性。

3.審計管理信息化

對于審計管理，無論現場審計還是非現場審計，我們可以通過信息化的手段，開發系統工具，完成信息科技審計的管理，提升信息科技審計的效能。

4.安全技術架構

對于信息科技安全技術管理，墨守成規地比照各類制度規范和標準，可以說是舍本逐末。信息科技安全技術管理的根本在于構建完善的安全技術體系，包括機房安全、網絡安全、系統安全、應用安全、終端安全和數據安全等。通過構建安全技術體系，明確職責清晰的安全組織架構，推動良性的安全運營，提升信息科技安全管理水平。

5.開發和測試管理信息化

開發和測試的效能一直以來是信息科技從業人員所追求的，開發和測試管理領域的信息科技風險把控也是不容忽視的。開發和測試管理工具體系在于有效控制開發和測試風險的同時，協助提升開發、測試效能。同時，對于金融業務系統的開發，質量把控是尤為重要的，那么如何利用技術手段有效把控系統質量風險，同樣也是信息科技人員應考慮的問題。

6.運行和維護管理信息化

生產的運行和維護往往是信息科技風險管控的關鍵。對于金融機構而言，生產運行和維護的壓力十分繁重，如果不借助信息化的管理工具，基本上不可能有效應對運行和維護風險。建立管監控一體化的生產運維工具體系，并在標準化運維的基礎上進一步實現自動化運維，在運維數據充分積累的基礎上進一步實現智能化運維，已經成了當前各大金融機構努力的重點方向。

7.業務連續性技術體系

業務連續性領域的風險管理同樣不能純粹靠人工管理去實現，這樣無異于守株待兔。好的業務連續性風險管理一定是建立在好的業務連續性技術體系之上的。本地高可用、同城雙活、異地災備已經是當前金融機構業務連續性體系的基本要求。同時，對于系統運行過程中的業務連續性保證，例如聯機7×24小時運行的技術研究，也是提升業務連續性水平的基本要求。

8.外包管理的信息化

對于繁重又難以管理的外包風險，同樣要借鑒信息化的管理思路，通過建立外包輿情監測系統、外包管理系統、外包信息共享平臺，達到提升外包管理效能的目的。通過技術化的手段提升外包管理效能，是外包管理風險管控的最重要的手段。

9.金融科技相關技術與風險管理

近年來，隨著人工智能、區塊鏈、云計算、大數據、5G和物聯網等技術的普及，各機構的金融科技能力逐步提升，已經充分改變了金融機構的業務流程和服務模式。那么新技術的運用能否在信息科技風險管理領域發揮作用呢？新技術運用過程中，有沒有潛在的風險呢？我們不應忽略對這些問題的探索。

10.業務風險的技術防范能力建設

對于潛在的業務風險，簡單地通過人為手段無法及時發現和解決。通過技術手段，可以及時發現和防范潛在的業務風險，對于渠道類、客戶管理類、產品服務類、財產管理類和管理信息類的風險，均可以在第一時間發現和解決。有效發揮科技的效能，金融機構可以全面控制業務風險。

11.信息技術自主可控

近年來，科技能力自主可控的要求已經上升到一定的高度。金融行業作為掌握國家經濟命脈的重要行業，信息技術的自主可控更是需要放在第一位。對于金融機構而言，信息技術自主可控面臨著哪些困難，我們應該如何突破等，是必須面對的問題，也是需要不惜代價去付諸努力的方向。