返回
浅谈商业银行信息系统研发风险管理

浅谈商业银行信息系统研发风险管理

ID:33776175

大小:57.62 KB

页数:8页

时间:2019-03-01

浅谈商业银行信息系统研发风险管理_第1页
浅谈商业银行信息系统研发风险管理_第2页
浅谈商业银行信息系统研发风险管理_第3页
浅谈商业银行信息系统研发风险管理_第4页
浅谈商业银行信息系统研发风险管理_第5页
资源描述:

《浅谈商业银行信息系统研发风险管理》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、浅谈商业银行信息系统研发风险管理随着商业银行业务的快速发展,信息系统在促进商业银行提高工作效率、提升服务水平、拓展业务范围等方面的作用越来越明显。信息系统在带来便利的同时,也带来了一定的风险。信息系统安全问题日渐成为商业银行内、外部监管的重点。研发风险是在信息系统研发阶段可能引入的,导致信息系统出现安全性问题的风险。研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,旨在保障和提高新研发信息系统的安全性。研发风险管理的工作现状我国商业银行虽然在规模、业务特性与管理模式上存在差异

2、,但由于同处于我国经济大环境下,其信息系统研发风险管理工作面临相似的环境和挑战。目前我国银行的系统研发模式有自主研发、合作开发、外包和外购等几种。大型国有商业银行一般以自主研发为主,大中型股份制商业银行一般采用合作开发方式为主,大多数小型和地方性金融机构则主要采用外包或外购的方式。随着我国商业银行信息化建设的不断深入,目前大多数商业银行都加强了信息科技风险管理,建立了包括组织、制度、技术等方面的信息科技风险管理体系,涵盖了基础架构、研发、测试、运维、外包、应急等各方面。在研发风险管理方面,采用了必要的管理和技术

3、手段,加强了系统安全设计,在一定程度上满足了业务连续性需求。但是由于起步较晚和重视程度不够,研发风险管理水平整体滞后于信息科技管理水平,因安全设计不充分所引发的安全事件或整改仍不时出现,危害着商业银行的安全。因此,我国商业银行信息系统研发风险管理水平还有待进一步提高。研发风险管理存在的问题研发风险管理组织不完善、流程机制不健全。研发风险管理工作的开展需要相关的组织和角色作为支撑。目前,各商业银行的整体信息科技风险管理组织较为完善,但很少能够深入到研发风险管理环节,主要表现在缺少研发风险管理的统筹部门,缺少对研发

4、风险管理进行决策的组织机构,项目组中缺少研发风险管理角色等方面。我国商业银行信息系统研发工作大多以项目的形式进行,普遍拥有完整的项目管理流程,但流程中涉及安全和风险的内容较少,对系统安全设计、实现的审核机制不健全,难以保证在研发阶段提高信息系统安全性。研发风险管理依据多、信息系统安全设计不规范。当前商业银行的信息系统面临着多方面的监管要求,既有行内的,也有行外的;既有监管机构的,也有业界的;既有管理要求,也有技术要求。这些要求的来源不同,侧重点不同,粗细颗粒度不同,甚至有的相互冲突,给研发人员造成一定困扰,亟待

5、统筹规范。现有信息系统一般都有身份鉴别、访问控制等设计,能够满足基本的安全需要。但由于缺乏整体规范指导,信息系统研发过程中难以避免安全需求不完整,安全设计水平良莠不齐,安全编码不规范等问题,导致信息系统仍然可能存在安全漏洞。安全技术不能重复利用、安全技术支持服务不足。商业银行信息系统具有一些共性的安全设计,例如身份认证、数据加密、日志审计等。在现有模式下,各个项目组缺少沟通协调,往往自行开发,造成重复开发和资源浪费,也不利于企业安全架构整合与管理。研发出安全的信息系统,必须以相应的技术手段作为支撑,但现有商业银

6、行研发团队往往缺少这方面的支持和服务,影响了信息系统安全研发水平。此外,为了应对业务的发展变化,商业银行必须不断提高信息系统研发速度。在业务需求紧急和工作量的压力下,研发团队往往会不自觉地重效率轻安全,形成了安全工作人员的数量不足,开发人员的安全意识和安全技能不足等问题。研发风险管理目标及主要依据研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,主要目标是提升信息系统的安全性,避免安全事件发生,保证商业银行业务连续性。同时,也应关注信息系统合规性,避免系统上线后因各类检查发现

7、问题而进行整改,减少不必要的变更。商业银行开展研发风险管理工作的最理想状态,是实现对所有信息系统研发风险的统筹管理和良性循环,实现外部监管要求、信息安全技术发展变化与信息系统研发之间的有效衔接,做到对最新安全要求的快速响应、准确解读、全程跟踪、有效落地。为做好研发风险管理工作,有效提升信息系统的安全性、合规性,商业银行在信息系统研发过程中需遵从多方面的要求。这些要求一方面是对研发风险管理工作的指导和规范,另一方面也是开展研发风险管理工作的依据。从大的方面来说,我国关于商业银行信息安全、保密等方面的法律法规均属于

8、研发风险管理依据范围,这些法律法规的层次较高,不适合指导具体工作开展。从执行角度来看,研发风险管理工作的依据主要有监管要求和信息安全标准,同时还应参考业界最佳实践。(一)监管要求。《巴塞尔新资本协议》将信息科技风险划归操作风险,而研发风险属于信息科技风险范畴。因此,当前我国商业银行遵从的信息科技风险监管要求,包括《商业银行信息科技风险管理指引》、《商业银行内部控制指引》、《中国银行业信

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。