工行山东省分行科技管理经验探究

目前，在互联网+(产业互联网)时代，在工商银行总行科技部的领导下，分行科技工作正在从后台保障型快速走向前台，向创新引领者、价值创造者转型，科技部门将不再只是一个纯粹的技术部门，其与业务条线的紧密融合已是大势所趋。尤其是近期山东分行(以下简称“山东分行”)独立二级域名已经获得批准，分行很快会有相对独立的对外网站，在推广总行产品的同时，采用互联网产品平台化、社群化的方法，可以实现本地一些复杂的业务创新，已经有多个项目或在研发或在立项或在酝酿。实践将证明，本地业务创新大有可为，分行人正在践行着创造卓越价值的使命，必将为分行业务发展做出新的贡献。

纪实之一：IT创造卓越价值

　　在工行山东省分行锻炼期间，有幸与工行山东省分行信息科技部总经理王建进行交流，对近年来省工行文化建设及信息化发展状况，以及科技工作取得的成就有了较全面的了解。

　　走进工行山东省分行信息科技部，最醒目的是背景墙上的一行标语——“IT创造卓越价值”，IT本身作为银行的成本中心，也是价值创造的基础。未来，随着山东分行IT角色的转换，将积极引领业务的创新发展，但先进技术的应用、技术对业务模式的颠覆性创新，为业务发展创造价值始终都要围绕着“创造卓越价值”的使命。

　　从团队与文化建设方面来讲，锻造团队的凝聚力、强化团队的执行力、激活团队的创造力被誉为山东分行员工管理的“三力”原则。实际上就是开展团队建设，打造专业文化，凝聚力方面，提出了科技工作的使命，长期坚持与员工谈心谈话，组织球类、摄影、健身等6个兴趣小组，多次举行文体活动，创办《科技e刊》电子书等。从省行一直到网点，在科技专业条线上，努力打造整体的凝聚力；执行力方面，形成了一些强制手段和长效机制。比如工作任务系统，每个月自己的、科室的、部里的关键工作，都要在系统中有体现。还要有激励措施，把业绩和考核结合起来；创造力方面，积极激发分行层面科技员工的活力，敢于打破传统的思维模式，不断学习，在业务中不断发现自己的弱点与不足。

　　从工行整体IT技术应用发展情况来看，可以分为与6个五年计划相吻合的6个阶段，最早从“七五”开始，到现在的“十二五”。其中，“七五”是打基础，在此阶段使用的为IBM 438l的小型机；“八五”是上规模，逐渐推广储蓄、对公等业务的电子化系统；“九五”是电子化，全省三个大机中心上收省行，实现了区域集中、全省通存通兑；“十五”实现信息化，这个信息化，指的是业务系统全国统一版本，也就是NOVA，开始了全国大集中；“十一五”是国际化，工行开始拓展海外业务；“十二五”是综合化。上市之后，工行开始跨界多元化经营。现在，工行总行大的战略构想也是“三个化”：综合化、国际化、信息化，整个科技发展的脉络还是比较清晰的。

　　具体到省行信息化建设，整体上还是按照总行的战略规划和统一部署，认真贯彻落实，自2011年以来，省工行科技工作也发生了较大的变化。

　　一是建设了同城机房。为了更好地支撑业务发展，实现不间断运营，工行建设了同城机房(原来叫灾备机房)，实现了两个机房间部分业务的“双活”。

　　第二个是完成了网络扩容改造。为支撑业务的快速发展，从2012年起，工行在全国率先试点，大规模进行网络扩容。从省行到二级分行，一直延伸到网点，从核心网络设备到网络带宽都进行了大规模的更新换代和提速。

　　第三个是系统虚拟化。随着云计算技术的发展，以及在去IOE化的时代背景下，总行层面有两个举措：一个是主机应用往下迁移到开放平台，另一个是从小型机替换为X86服务器。分行层面，这几年在服务器虚拟化上做了大量工作，目前虚拟化率已经达到77.9％。

　　另外，应用层面上变化也很大。比如业务运营体系的改革，包括业务集中处理，远程授权，风险监控的集中，前台业务流程再造等等，更多的考虑是以客户为中心，如何提高业务效率，提高前中后台的服务协作效率。

　　与此同时，创新也是山东分行科技工作的动力源泉。总行从2000年左右研发了新一代综合业务系统，2000年后，工行业务系统实现了全国核心业务系统的统一，在系统上收、数据大集中的趋势下，大量新系统、新业务开始在总行层面部署。从技术路线上，总分行也正在积极适应这种转型的需要，因此分行特色方面有很多东西可以做。而且，数据大集中以来，山东分行也推出了很多本地特色项目。在总行推广的项目里，也常有山东分行的身影，像业务运营、事后监督的集中，预填单前台流程再造等，包括MOVA平台，也部分参考了山东分行综合业绩评价系统的思路。

　　2014年上半年，工行总行首席信息官林晓轩在山东调研期间对山东分行的多项创新给予了很高的评价，认为“做了许多很实在的工作，但不铺张，投入不大，很实用。”

　　目前，山东分行已经获得了独立工总行二级域名的批准，很快会有相对独立的对外网站，在推广总行产品的同时，可以采用互联网产品平台化、社群化的方法，实现本地一些复杂的业务创新。目前，已经有多个项目或在研发，或在立项，或在酝酿，而这些有价值的想法，其实很多都是发端于分行科技团队一次次的思维碰撞。

纪实之二：安全是科技工作的基础和保障

　　安全生产，制度先行。针对如何保障科技工作的安全运行，我与工行山东省分行信息科技部资深经理单锦勇进行了深入沟通。

　　工行的科技制度，是由总行信息科技部制度管理处具体组织管理，每年根据监管要求、总行管理规定及内外部检查审计发现问题进行修订完善。

　　工行的科技制度，主要有三块：生产运行、项目管理、综合管理；这里面又包括各种办法、细则、手册等，共117项。每年四季度，根据业务发展需要，总行对年度制度执行过程中发现的一些问题征求意见，由总行制度处负责组织进行制度修订。近几年，山东分行每年都在参加总行制度修订工作，也说明山东省分行在制度执行方面的工作得到了总行的认可。新制度一般在元旦前完成修订，1月份总行会组织一次现场培训，各行也结合总行制度修订情况对本行制度进行相应的修订并落实执行。

　　近几年，工行在信息安全方面从制度管理到技术硬控制发展的较快。从技术管理方面：一个是对用户的管理，总行使用AD系统，对全行登录用户进行了统一管理，采用了用户身份认证等功能；另一个则是使用SEP系统管理客户端安全，实现一些硬控制，比如限制非授权软件安装，对不符合安全要求的计算机强制断网等。

　　在客户信息管理方面，有DLP系统，可以对办公系统里的一些客户信息定期进行扫描检查，防止客户信息的外泄；病毒管理方面，使用趋势防病毒产品。还有DSM系统，主要是对文件进行加密，对外来优盘的使用实施控制。

　　DSM对文件控制能力比较强，查看、复制、屏幕拷贝、转发、打印次数等都能得到控制，而且所有操作都能记录，以便事后审计。

　　有了好的制度和产品，还需要组织落实和人来执行。工行山东省分行在信息安全方面形成了完善的组织架构。工行成立了自上而下的各层级的组织管理体系，从总行、分行、二级分行一直到支行，都成立了信息安全管理组织，一把手作为信息安全管理第一责任人，内控合规部、信息科技部、办公室、管理信息部作为牵头部室，其它部门负责人则作为主要成员。

　　内控合规部负责内控管理、监督检查等工作，信息科技部负责制度制定、安全等级划分、技术防范、技术支持等方面的工作，办公室承担了保密职责，管理信息部负责在对外合作中提供客户信息的审批。各部门分工协作，共同推进信息安全管理工作的进行。

　　然而，信息安全是把双刃剑，在实现安全防控的同时，可能对日常工作也带来一些不便。首先，要让全行员工都了解信息安全、理解信息安全的重要性，并知道如何去做才能够配合做好信息安全工作。因此，工行山东省分行先从教育、宣传、培训方面入手，将信息安全工作纳入到全行的重点工作之中。通过网讯、动态发布等形式来宣传信息安全工作。通过不同的方式，将信息安全制度规范在全行范围内进行解读，在管理层干部上岗培训、新员工入行岗前培训都进行信息安全知识普及，还邀请总行及行外的领导和专家从不同层面上给员工做一些专题培训。另外，部门之间的联动、协调配合也非常重要，工行四个牵头部门经常召开联席会议，做到及时沟通，并采取一些行之有效的方法和措施及时推进工作的进行。例如定期通报、纳入考核等。科技部门更是主动发起，主动协调信息安全工作的进行。

　　在商业银行信息科技工作中，信息安全和保密工作密不可分，信息防泄漏和保密更是相辅相成的，保密办通过具体的保密管理条例进行有效监控。从科技的角度来讲，更多的则是采取一些技术手段实行硬控制。

　　首先是管好内部信息。对行内的一些商业机密、客户信息、制度文档等，通过DSM加密控制传播、查阅范围。办公自动化系统也和DSM关联起来，实现了公文流转过程中的自动加密。

　　第二是外发邮件管理。对每一封向行外发送的邮件进行扫描，一旦发现疑似信息，就进行拦截。对确属工作需要的，经部门相关负责人审核后才能放行，而且整个过程都有详细的记录。

　　第三是外来优盘控制。办公用机、行内计算机系统会对外来优盘进行阻断。优盘必须转换成行内的格式才能使用。这种格式的优盘，在行外的电脑上无法使用，只能重新格式化，但格式化后优盘上的资料就统统被清理掉。对业务发展，如第三方合作、客户营销等切实需要的，也可以使用行外优盘，但必须经过严格审核，申请计算机成为“中转机”，在规定的时限内可以去拷贝。同样，所有操作会被详细记录。

　　除此之外，信息安全工作做的怎么样，制度落实的如何，还需要通过检查手段来发现问题。工行从总行层面到一级分行，都非常重视安全检查工作。总行每年年初都制定全年的检查计划，包括每个月的检查内容等，并由数据中心(北京)牵头落实。省行层面，每年年初会综合总行月度检查内容和每月重点工作，对省行本部和二级分行制定全年非现场检查计划。

　　现场检查方面，省行上下半年各开展一次现场检查，每次检查3、4家分行，做到3年全覆盖。现场检查独立于每个月的非现场检查。省行每次会成立检查小组，省行、二级分行、支行三个层面科技人员都有参与。检查完后，要对每个分行的情况进行分析通报，包括发现的问题，问题风险等级等。总行有一套检查管理系统，把检查中发现的问题、整改时限、整改方案都录入系统，问题要落实到整改部门和责任人，后期会通过系统进行全流程的跟踪管理。

　　非现场检查，更多地是通过技术平台、技术手段来实现。可以通过集中管理系统，从后台提取数据，通过非现场分析的手段进行检查，同时技术人员也制作一些检查脚本来丰富检查手段，这一部分目前能够覆盖近60％，随着总分行一些检查手段的完善，这个比例还会逐渐提高。其它一些检查内容可能需要人工提供，包括现场录像、纸质审批材料扫描件等，此外，还有电话访谈等形式。

　　信息安全工作的很多内容虽具有很强的专业性，但实际上信息安全贯穿于日常工作始终。因此，通过丰富多样的形式，培养一种信息安全意识，让员工在平常工作中就能看到、接触到信息安全知识和要求，从而潜移默化地改变员工的信息安全意识。当然，信息安全工作中，也会更多地采取一些硬控制的手段去迫使员工养成保障信息安全的习惯，可以说信息安全是科技工作的基础和保障。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文