爱赢体育平台-官方app-爱赢体育平台 0922-514254956
狼烟十八台丨盛邦调查:中小银行业金融机构信息科技风险办理近况(6)【爱赢体育官方平台】
本文摘要:狼烟十八台丨盛邦调查:中小银行业金融机构信息科技风险办理近况(6) 盛邦宁静在同浩瀚银行业金融机构的相同和办事历程中,对当前银行业金融机构,尤其是中小银行业金融机构信息科技风险办理的近况有了较深入的相识,本系列文章旨在基于对中小银行信息科技风险办理的整表现状的认知,提炼和分享当前行业信息科技风险办理体系建设的面对的问题和杰出实践,以期开导更多的行业思考和接头。本期接头的主题是银行业金融机构信息系统开辟、测试和运维办理实操。

爱赢体育官方平台

狼烟十八台丨盛邦调查:中小银行业金融机构信息科技风险办理近况(6) 盛邦宁静在同浩瀚银行业金融机构的相同和办事历程中,对当前银行业金融机构,尤其是中小银行业金融机构信息科技风险办理的近况有了较深入的相识,本系列文章旨在基于对中小银行信息科技风险办理的整表现状的认知,提炼和分享当前行业信息科技风险办理体系建设的面对的问题和杰出实践,以期开导更多的行业思考和接头。本期接头的主题是银行业金融机构信息系统开辟、测试和运维办理实操。信息系统的开辟和维护一直被视为银行业金融机构的焦点能力,也是羁系机构很是重视的信息科技风险羁系范畴,因为信息系统的开辟和运维躲藏着影响巨大的固有风险。

这些固有风险包括但不限于大规模的系统间断、数据窜改、信息泄露等;尤其是针对银行业金融机构,此类风险事件一旦产生,造成的影响,岂论是直接的账户资金损失,还是机构声誉损失,都是金融机构不但愿面临的。最近几年在银行业金融机构产生多起网络宁静相关案件,袒露出涉案金融机构在信息系统的研发、测试以及运维环节存在机制缺失或执行中存在缝隙。

增强对信息系统开辟和维护的管控,其重要性不问可知。从实际案例来看羁系要求,我们会发明羁系指引或者措施的羁系举措,着实是从防范风险的角度提出来的,假如能根据羁系要求提到的原则开展信息系统的开辟和运维,以上宁静事件产生的可能性会大大降低。本期,我们以《贸易银行信息科技风险办理指引》(以下简称《指引》)第五章信息系统开辟、测试和维护的羁系要求出发,来看当前中小银行金融机构在信息系统开辟、测试和运维的管控近况和精彩实践。

一、关于信息系统开辟、测试和运维能力 《指引》第三十二条提到,“贸易银行应有能力对信息系统举行需求阐发、规划、采购、开辟、测试、布置、维护、进级和报废”; 别的还提到,“应在信息系统投产后必然时期内,组织对系统的后评价。” 从羁系要求中我们可以看到,信息系统建设和维护的能力涵盖整个生命周期的各个阶段,同时,增强信息系统建设的后评价机制,也是通过回首的方式查抄和发明潜在的系统建设改良和优化环节。今朝中小银行普遍成立了涵盖信息系统生命周期的信息系统建设办理制度体系,明确了各个阶段的办理要求、执行流程以及操作细则,但完全依赖行方的技能能力和人员设置,还不足以负担所有信息系统的规划、需求、开辟、测试以及维护;中小银行普遍存在研发人员设置不足以及人员能力缺失的近况,根基上大大都信息系统项目的开辟和测试,甚至运维,需要依赖外包商或者外包人员的方式来开展;也是基于此,羁系机构推出了《银行业金融机构信息科技外包风险羁系指引》,用以明确信息科技外包计谋,规范银行业金融机构外包商和外包人员的办理,节制因各种外包勾当带来的风险。针对后评价机制,今朝我们发明大大都中小银行虽然有雷同的办理机制,但评估或者评价的方针更贴近于项目验收的内容;有的后评价执行历程中存眷的是介入项目的外包商或者外包人员的评价;缺少对于设计和落地的差距阐发、投入和产出阐发、项目预算和决算阐发等关键指标的后评价,并通过这些指标能进一步追溯底子原因,为后续的信息系统建设整体机制连续提供优化和晋升的发起。

中小银行信息系统开辟建设以及维护的全面能力的晋升,首先需要来自于银行办理层对信息科技重视水平的晋升;金融机构办理层可以或许认识到信息科技术力对于银行业务转型和创新带来的价值,就会在信息科技举行连续投入;我们看到部门领先的中小银行配置了“一部两中心”的模式,个中开辟中心的开辟人员体例大幅晋升,开辟人员凌驾一两百人的范围,部门银行甚至更多;部门中小贸易银行为了招募有竞争力的人才,研发中心往往设在人才堆积的一线或省会都会。展开全文 二、关于信息科技项目风险 《指引》第三十三条提到,贸易银行应认识到信息科技项目相关的风险,包括潜在的各类操作风险、财政损失风险和因无效项目规划或不适当的项目办理节制发生的时机成本,并采纳适当的项目办理方法,节制信息科技项目相关的风险。

今朝大大都中小银行都拟定了围绕系统开辟建设的项目办理措施,一般都明确了项目的预算、立项、可行性阐发、实施、质量办理、交付、投产、验收、后评价等环节的办理要求;以及明确了各个环节的介入部分及各自负担的职责。我们发明,大大都中小银行的信息系统建设很少会引入风险办理部分或合规部分介入信息系统的业务流程需求和设计,这些业务流程大多由业务需求部分、开辟商的固有流程确定,并最终落地上线,系统是否存在可能不合规的操作风险或者业务逻辑缝隙,往往没有举行评估或者验证。之前曾经产生过的某股份制贸易银行的ATM虚增存款的案例,攻击者操纵的就是系统存在确保生意业务的独一性的机制存在严重不足的缝隙,从而会让一笔真实的生意业务被复制提交并被确认,从而发生“虚增”。

一些领先的中小银行在信息系统(尤其是业务/生意业务系统)需求和设计阶段,便会引入风险办理条线的相关操作风险或合规专家介入个中。别的,一些领先的中小银行中,奉行“一二道防地融合机制”,风险办理部分(二道防地)会将信息科技风险办理团队派驻到信息科技部分介入一道防地信息系统建设的历程风险评估,把控各个环节的风险节制机制的执行,并按照业务实际环境调解和优化相关管控机制。三、关于信息系统开辟方法 《指引》第三十四条提到“贸易银行应采纳适当的系统开辟方法,节制信息系统的生命周期”以及“所接纳的系统开辟方法应切合信息科技项目的范围、性质和庞大度。

” 银行传统的开辟模式凡是接纳“瀑布模式”,即包罗问题界说、可行性阐发、需求阐发、系统提要设计、具体设计、编程调试、测试发版、上线运行等明确的步骤和阶段。传统开辟模式管控机制严格,可以最大水平节制开辟风险,在出产情况公布颠末严格测试的软件版本,包管系统运行的宁静不变。

但跟着互联网金融的成长,面向客户需求,需要对银行自身的金融产物(如理财或者消费金融产物)举行快速响应和迭代,传统的开辟模式很明明不能满意这种需求场景。“火速开辟”模式就成为金融行业必需要增加的一个选项。在许多金融机构,今朝开辟模式被界说为“双速IT”,即以不变为根基需求的信息系统(如银行焦点、网银、付出等)接纳传统的瀑布式开辟模式;而以“响应速度”为根基需求的信息系统则采纳“火速”的模式。

针对“火速”开辟可能带来的人员、技能、产物、历程等常见风险,领先的中小银行金融机构设计了围绕“火速”开辟的办理体系,成立了支持火速开辟的DevOps机制(含系统及宁静风险节制机制)。对于银行业客户有个特色,纵然是基于火速开辟的模式,响应的项目依然需要增补须要的系统开辟的须要文档,如需求说明、设计说明、测试文档、变动说明等等,大大都都是通事后续增补来到达制度或羁系的要求。四、关于信息系统变动和进级 《指引》第三十五条和第三十八条别离提到了信息系统变动和进级的要求。

第三十五条中主要强调贸易银行应拟定相关节制信息系统变动的制度和流程,确保系统的靠得住性、完整性和可维护性,详细要求包括(一) 出产系统与开辟系统、测试系统有效断绝。(二) 出产系统与开辟系统、测试系统的办理职能相分散。(三) 除获得办理层核准执行紧迫修复任务外,克制应用法式开辟和维护人员进入出产系统,且所有的紧迫修复生动都应当即举行记载和审核。

(四) 将完成开辟和测试情况的法式或系统设置变动应用到出产系统时,应获得信息科技部分和业务部分的结合核准,并对变动举行实时记载和按期复查。第三十八条中主要强调贸易银行应拟定相关制度和流程,节制系统进级历程。

银行业金融机构都根据羁系机构要求拟定了信息系统变动和进级的办理制度,一般都划定了变动的分类和变动级别、职责分工、变动申请、变动受理、变动规划、变动测试、变动评估、变动审批、变动实施、变动复核、变动后处置惩罚、变动归档等相关环节;在变动流程中,一般都区分了一般变动、重大变动和紧迫变动的区别流程。银行业金融机构的出产系统、开辟系统和测试系统,一般都采纳了严格的断绝机制;领先的中小银行,接纳了物理断绝或者准物理断绝的机制;开辟和测试区域不能直接会见出产区域,也有许多中小银行在断绝方面并不严谨,存在为变动和进级操作利便,开辟测试网络会见出产网络的节制不严格的风险点。大大都中小银行业金融机构系统开辟、测试、运维的职责举行了职责分散,不外部门中小银行也因为人员岗亭体例限制,普遍存在开辟、测试和运维岗亭兼职的环境;存在开辟人员会见出产情况没有严格执行审批或授权的节制环节。

别的,出产情况的变动和进级,我们发明大大都中小金融机构并没有根据羁系要求引入业务部分的结合核准;我们之前提到的某股份制贸易银行的研发人员进入出产情况恶意操控焦点系统,偷窃银行大额资金案中,存在出产情况对开辟人员防控节制机制和执行上的缝隙。因此,我们发明情况断绝、职责分散、变动审核、结合审批,都是最大水平上防止或者减少恶意人员通过变动或者进级环节对出产情况恶意操作风险的须要举措。五、关于信息系统开辟中的数据宁静 《指引》第三十六条提到贸易银行应确保信息系统开辟、测试、维护历程中数据的完整性、保密性和可用性。

我们上期也提到《指引》第三十条对数据宁静做出了原则性的要求,贸易银行应拟定相关制度和流程,严格办理客户信息的收罗、处置惩罚、存贮、传输、分发、备份、恢复、清理和销毁。所以针对信息系统开辟这个大场景,会涉及出产数据的收罗、处置惩罚、存储、传输、分发、清理和销毁这些环节,尤其是测试情况会用到出产数据。

我们上期也提到,今朝中小银行的数据宁静管控在羁系的鞭策下,已经成立了体系化的管控计谋,普遍拟定了出产数据的办理计谋和制度,涵盖了数据收罗、处置惩罚、保管、备份、销毁等环节;布置了数据宁静防护的技能体系,包括但不限于如下环节:数据加密、数据库会见节制、数据库审计、数据脱敏、数据防泄漏等。别的,围绕数据所处的使用情况,别离在应用宁静、网络宁静、基础设施宁静等方面都对数据的收罗、传输、存储和使用方面提高了宁静管控强度。针对中小银行开辟和测试情况,大大都中小银行业金融机构都成立了出产数据使用申请的审批和执行机制,申请时明确数据使用规模和使用期限,无需真实出产数据都需要借助脱敏东西举行脱敏操作;数据脱敏操作人员和数据使用人员职责分散;数据使用完毕,举行数据的删除或者笼罩操作(尤其针对真实数据测试场景);对于介入研发和测试的人员如需真实数据,领先的中小银行接纳虚拟桌面的方式会见测试系统和出产数据,出产数据“不落地”。

部门中小银行也成立了按期抽查开辟和测试终端是否存在敏感数据的机制,涵盖外包开辟人员的终端。别的,开辟测试情况的出产数据的存储和会见,尤其是今朝针对大数据开辟和测试的场景,数据使用规模广,使用周期长,思量到开辟和测试情况的会见节制机制相对出产情况会“单薄”许多,往往没有专人卖力这些数据的保管,以及配套相应的技能节制机制,因此潜在的泄露风险也会加大。

六、关于问题办理 《指引》第三十七条提到贸易银行应成立并完善有效的问题办理流程,以确保全面地追踪、阐发息争决信息系统问题。大大都中小银行都成立了问题或事件办理相关制度,以及成立了问题或者事件办理的信息化办理平台。

今朝普遍存在的问题是中小银行没有真正将事件办理和问题办理区分隔来举行办理;事件办理更多的是围绕单次产生的妨碍采纳的处置办理流程,而问题办理则是围绕多次同类事件而开展的底子原因阐发而采纳的办理流程,以期可以或许从底子上杜绝因同一问题而导致的雷同事件再次产生。领先的中小银行,会基于IS020000(信息技能办事办理体系)要求,或者通过ISO20000体系的认证,成立和完善事件办理和问题办理流程,从行内产生的信息系统多个事件来开展问题泉源阐发,并按照发明的问题泉源,设置须要资源并举行解决。

问题办理流程的输入,凡是是多个事件的处置信息,而非一个事件的闭环处置流程,这样可以或许大大降低事件的产生频率和影响后果。返回,检察更多。


本文关键词:爱赢体育官方平台,狼烟,十八,台丨,盛邦,调查,中小,银行业,狼烟

本文来源:爱赢体育下载-www.yixunzq.com

返回列表
您的位置: 主页 > 案例 > VISLOGO >