• 快捷搜索
  • 全站搜索

地方性商业银行IT应急管理改进思路

2012-11-07 15:48:33作者:中国人民银行大连市中心支行 郭崇编辑:
地方性商业银行科技综合实力薄弱,在信息科技风险认识、IT应急管理体系建设、应急预案编制和应用方面存在的不足值得深省。

随着信息技术广泛而深入的应用,信息技术与银行业务之间的关系已密不可分,在带动银行业务创新发展的同时,也蕴含着系统风险与安全隐患,一旦银行信息系统出现故障或遭到攻击导致银行业务连续性和数据安全受到严重威胁,将直接影响银行的稳健经营,关乎金融安全和社会稳定。地方性商业银行科技综合实力薄弱,在信息科技风险认识、IT应急管理体系建设、应急预案编制和应用方面存在的不足值得深省。

一、IT应急体系建设存在的问题
        1.应急组织体系不健全
        地方性商业银行仍处于管理信息化渐进深化的进程中,内部治理和信息安全管理体系建设相对滞后,IT管理理念从学习到融会贯通需要不断积累,加之信息安全管理和应急管理所需的高层次人才储备有限,应急管理培训缺乏系统化、常态化,员工对应急管理岗位适应能力不强等问题的综合作用导致地方性商业银行未能建立起全局性信息安全管理制度和上下联动、内外衔接的统一IT应急管理体系,信息安全管理组织及应急管理组织结构分散,权责不明,应急管理整体工作合力不强。

        2.对信息科技风险认识不足
        对困难估计简单化,导致应急预案中防范IT信息安全事件的场景和应对措施单一,缺乏多样性。地方性商业银行因IT系统复杂度低,对科技风险危害估计不足,对风险的认识不够,没有形成分工合理、职责明确、相互制衡的信息科技治理理念,同时部分地方性商业银行的战略管理中未包含长期的信息科技发展战略和风险防范策略,导致以防范和化解风险为目标的应急措施过少、应急资源储备不全面。

        3.科技人才和技术储备有限
        地方性商业银行科技队伍建设和人才储备滞后造成科技运维人员少,缺少应急管理的行家,实战处置经验欠缺;制定的单项应急措施各自独立,缺乏衔接和关联,忽视了彼此间的联动性,单项应急措施的使用可能导致风险叠加,不利于应急措施的起效和故障恢复。

        4.应急预案不全面
        信息系统风险评估和等级保护工作缺位,可控和不可控风险分类不清,对与信息安全有关的资产识别和赋值、业务连续性管理仍停留在较低层面,应急参与者权限和职责不明,预案内容冗长,不易操作。

        5.应急演练设计流于形式
        应急演练的真实性差,多为既定的场景演练,演练模式和套路一成不变,缺少实战性和突发性,业务手工接替演练少有开展,灾备恢复演练少。

二、IT应急管理的问题分析
        1.突出业务连续性管理
        业务连续性管理是一个日臻完善的过程,是为应对突发事件或灾难不断演进的动态过程,也是指导灾难恢复和应急管理工作的科学方法,包括工作目标、风险识别和归类、组织机构、职责分配、制度约束、资源调配、工作流程、演练方案、宣传公关等。只有以业务连续性管理为后盾支撑,IT应急管理体系才能形成上下联动、内外协作、总分结合的应急组织体系,高效的应急响应流程,充分的应急资源调配,最终实现损失最小的应用和业务快速恢复。商业银行还应以业务连续性管理为指导原则,从组织、流程、技术、风险识别分类、资源等角度出发,制定业务恢复计划和风险处置对策,不失为完善应急体系建设的上佳之选。此外,技术演练要打破常规,多设计些技术应急预案失效、IT系统无法正常恢复的场景,做好技术演练和业务演练的衔接,可周期性调动全员开展IT应急预案失效后的业务演练,熟练掌握补录数据、手工比对操作。

        2.加强风险识别和评估
        数据集中是大型商业银行整合信息资源和IT基础设施的有效途径,在统一业务流程、技术标准和数据一致性方面发挥了强大优势,便于信息系统的集中管理和运维,是我国商业银行信息系统建设与应用的主流模式。对于信息化建设起步较晚的地方性商业银行,在大型商业银行的引领下,选择数据集中是趋势。但数据集中在分享数据综合利用效益的同时,也带来了系统运营风险的集中。商业银行数据中心沉淀、聚集了全行的海量历史数据,一旦遭遇突发事件,将影响全行的业务正常运行,严重甚至导致全行业务瘫痪,停止对外服务,危及商业银行的生存发展。因此,加强风险识别和评估显得尤为重要:对风险的识别和排序可以确定重点防范目标,并依次制定与风险等级相称的应急方案,同时配合风险评估,突出重点,为信息安全资产与风险赋值,量化计量风险的危害性,做到面对风险心中有数,措施有效。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章