• 快捷搜索
  • 全站搜索

信息系统研发风险管理面临的挑战及策略

2014-03-27 15:35:27作者:中国农业银行软件开发中心 曹玉磊 陈典友 孙玮编辑:金融咨询网
当前,信息科技风险管理无论是从组织、流程还是资金、技术配备等方面受到商业银行的高度重视,然而,如何把这一工作夯实,需要商业银行深入到更细微的环节。加强研发风险管理就是其中的代表。

随着商业银行业务的快速发展,信息系统在促进商业银行提高工作效率、提升服务水平、拓展业务范围等方面的作用越来越明显。信息系统在带来便利的同时,也带来了一定的风险。信息系统安全问题日渐成为商业银行内、外部监管的重点。研发风险是在信息系统研发阶段可能引入的、会导致信息系统出现安全性问题的风险。研发风险管理是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,旨在保障和提高新研发信息系统的安全性。

一、研发风险的两大分类

        《巴塞尔新资本协议》已将操作风险纳入资本监管,并将信息科技风险划归操作风险范畴。研发风险属于信息科技风险的组成部分,又可以细分为管理和技术两大类风险。

        管理类风险是指由于未做好研发风险管理相关工作,间接对信息系统安全性造成影响的风险,主要有合规性风险、管理环节缺失、管理力度不足等。合规性风险指未落实监管部门关于研发风险的监管要求而形成的风险,例如未落实《银监会非现场监管报表》对“项目代码安全检查完成率”、“代码安全检查方法”要求等。

        技术类风险指因各种技术原因引入的,影响信息系统安全性的风险,主要包括安全设计问题、代码漏洞。安全设计问题指信息系统安全设计不到位,例如用户口令复杂度不足、敏感数据未加密存储等;代码漏洞指由于开发人员疏忽或者编程语言的局限性,导致程序存在可以被黑客利用的逻辑错误,例如SQL注入、跨站脚本、缓冲区溢出等。

二、研发风险存在的问题

        1.管理组织不健全

        研发风险管理工作的开展需要相关的组织和角色作为支撑。目前,各商业银行的整体信息科技风险管理组织较完善,但很少能够深入到研发风险管理环节。主要表现在缺少研发风险管理的统筹部门,缺少对研发风险管理进行决策的组织机构,项目组中缺少研发风险管理角色等方面。

        2.管理流程和机制不健全

        我国商业银行信息系统研发工作大多以项目形式进行,普遍拥有完整的项目管理流程,但流程中涉及安全和风险的内容较少,对系统安全设计、实现的审核机制不健全,难以保证在研发阶段提高信息系统安全性。

        3.管理依据多,亟待统筹

        当前商业银行信息系统面临着多方面的监管要求,既有行内的,也有行外的;既有监管机构的,也有业界的;既有管理要求,也有技术要求。这些要求的来源不同,侧重点不同,粗细颗粒度不同,甚至有的相互冲突,给研发人员造成了一定的困扰,亟待统筹规范。

        4.信息系统安全设计、开发不规范

        现有信息系统一般都有身份鉴别、访问控制等设计,能够满足基本的安全需要。但由于缺乏整体规范指导,信息系统研发过程中难以避免安全需求不完整、安全设计水平良莠不齐、安全编码不规范等问题,导致信息系统仍然可能存在安全漏洞。

        5.安全技术不能复用

        商业银行信息系统具有一些共性的安全设计,例如身份认证、数据加密、日志审计等。现有模式下,各项目组缺少沟通协调,往往自行开发,造成重复开发和资源浪费,不利于企业安全架构整合与管理。

        6.安全技术支持服务不足

        研发风险管理工作不但包括管理方面,还包括技术方面。要想研发出安全的信息系统,必须以相应的技术手段作为支撑。但现有商业银行研发团队往往缺少这方面的支持和服务,影响了信息系统安全研发水平。

        7.人员安全意识和安全开发技能不足

        为了应对业务的发展变化,商业银行必须不断提高信息系统研发速度。在业务需求紧急和工作量大的压力下,研发团队往往会不自觉地重效率轻安全,形成了安全工作人员数量不足,开发人员安全意识和安全技能不足等问题。

三、研发风险管理主要依据

        为做好研发风险管理工作,有效提升信息系统的安全性、合规性,商业银行在信息系统研发过程中需遵从多方面要求。这些要求一方面是对研发风险管理工作的指导和规范,另一方面也是开展研发风险管理工作的依据。我国关于商业银行、信息安全、保密等方面的法律法规均属于研发风险管理依据范围,例如《保守国家秘密法》、《电子签名法》、《计算机软件保护条例》、《商用密码管理条例》等。但是这些法律法规的层次较高,不适合指导具体工作。从执行角度看,研发风险管理工作的依据主要有监管要求和信息安全标准,同时还应参考业界最佳实践。

        1.监管要求

        《巴塞尔新资本协议》将信息科技风险划归操作风险,而研发风险属于信息科技风险范畴。因此,当前我国商业银行遵从的信息科技风险监管要求包括《商业银行信息科技风险管理指引》、《商业银行内部控制指引》、《中国银行业信息科技“十二五”发展规划监管指导意见》等,通常涵盖研发风险管理相关内容,是开展研发风险管理工作的有力依据。人民银行、银监会等监管机构对商业银行开展的信息科技检查,以及商业银行接受的其他内外部科技审计、风险评估发现的问题,是从各个角度对现有监管要求的细化和解读,属于未来新建信息系统应规避的问题,也应纳入研发风险管理的工作依据范围。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章