□ 许晔

　　随着信息技术的广泛应用，银行所有的业务运营都已高度依赖于信息系统，大数据、云计算、人工智能等一系列前沿技术与商业银行的业务创新深度融合，为客户提供了“无时不在”的金融服务，信息科技已全面融入银行业务经营的每一个环节。同时，与之相关的信息科技风险已日益成为影响商业银行业务发展的重要因素，这也对信息科技风险防控提出了更高的要求。近日，张家港农商银行基于信息科技风险管控中的重点与难点，对该行信息科技风险管理体系建设进行了进一步规划与思考。

　　一、运用全面风险管理的方法管控信息科技风险

　　（一）确定合理的风险管理偏好和容忍度

　　风险容忍度决定了信息科技风险管理的策略、重点和控制强度。该行要建立和完善信息科技风险容忍度指标管理体系，结合自身客观的风险承受能力以及主观意愿确定承担风险的底线，通过定性指标和定量指标值来体现信息科技风险容忍度。风险指标值临近容忍度时，应启动相应的纠正措施和报告程序，采取必要的风险分散措施。

　　（二）完善信息科技风险评估流程与方法

　　对信息科技风险实行分级管理。按风险发生频率和风险影响程度划分为高、中、低风险。根据风险级别制定相应的风险防范措施，比如高风险隐患应立即采取控制措施，中等风险隐患尽快采取控制措施，低风险隐患要在限定时间内采取控制措施等。

　　对信息科技风险事件实行分级管理。按照影响范围、持续时间、发生时段、信息系统级别和损失等因素，将信息科技风险事件划分为灾难性事件、重大信息科技风险事件、一般信息科技风险事件、信息科技风险事项。

　　二、建设信息科技风险技术平台，提高风险预警的敏感性

　　（一）建立和完善信息科技风险监测指标

　　设立信息科技关键风险指标，持续监测，按需调整，及时分析和实时预警。第一和第二道防线部门在梳理重点领域各流程环节关键风险的基础上，设立覆盖事前、事中、事后的信息科技风险指标和阈值，整合对接核心系统生产运行、网络安全、基础设施、信息安全及应用系统安全等方面的相关数据进行分析与监测。

　　（二）实行信息科技关键风险指标的自动化监测

　　建设信息科技风险管理平台，该平台自动收集重要信息系统可用率、投产变更成功率、信息科技风险事件数量等信息科技风险监控指标，达到对信息科技风险变化情况进行实时或定期的监控评估。

　　同时，风险管理平台支持对重大信息科技风险事件及风险评估发现的重要风险点的处理情况进行跟踪。

　　三、常态化开展信息科技重点领域、关键环节的风险评估和现场检查

　　（一）加强对投产变更环节风险管控的评估检查

　　依据变更对象、时间要求、风险等级、是否涉及业务数据调整等，对变更进行分类管理，包括重大变更、常规变更、服务请求和应急变更，常态化开展信息科技生产运行管理制度和流程的评估检查。该行对高风险变更择机进行核查，重点关注数据变更的操作规范、紧急变更的审核和变更之前的回退机制等是否建立，持续改进生产变更管理，降低风险敞口。

　　（二）加强对信息安全管理的评估检查

　　以信息安全为重点开展全行范围的排查，防范生产信息泄露风险，及时进行信息安全风险提示，结合国内外信息泄露的案例，组织开展信息安全专业培训，提高全行的信息安全风险防范意识。

　　制定并持续完善信息安全评估和检查指标体系，在全行范围内建立常态化的信息安全评估、检查和整改优化机制，形成良性循环，推动持续完善。

　　四、强化信息科技外包管理，控制外包风险

　　（一）建立全面外包风险评估体系

　　建立全面的外包风险评估体系，包括制度、流程、人员、风险监控等方面存在的问题和隐患；战略性风险、合规性风险、操作风险、外部欺诈、退出性风险、外包供应商服务水平、业务中断风险、合同风险、实力或垄断地位、声誉风险等外部因素导致的问题或隐患。

　　此外，针对外包信息安全管理，要切实防范因信息科技外包引发的信息泄露、信息篡改、非法入侵、物理环境或设施遭受破坏等风险，要确保外包风险评估工作全面、完整、准确完成。

　　（二）外包业务连续性管理

　　为预防外包导致的业务系统服务中断或协议意外终止，控制外包风险损失，须制定重要信息科技外包的中断场景应急预案，并定期开展演练。同时，第二道防线部门应定期开展信息科技外包风险评估和后评价。

　　五、夯实业务连续性管理基础

　　（一）进一步加强业务连续性基础建设

　　在规划期内，该行首先要补短板，针对重要业务、重要场景不断完善各级应急预案。如应建立支行应急预案、重要信息系统、重要基础设施和重要网络设备及重要外包应急预案。

　　（二）业务连续性演练与持续改进

　　通过组织开展全行性应急演练、支行常规中断场景的演练、业务中断应急演练及同城灾备中心切换演练等多种类型的演练，来检验应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力，不断优化业务连续性管理机制。