科技风险与管理提升

案例名称 某商业银行信息科技风险评估及管理提升咨询案例

一、 项目背景

近年来，中国金融科技行业取得了飞速的发展，金融科技的应用和创新不断推动着银行业的发展和变革，随着云计算、大数据、人工智能等新兴技术的运用，推动了组织数字化转型的快速发展，随着组织海量信息数据的整合、互联，使得组织暴露的资产和服务日益增多，带来了全新的网络威胁、数据泄漏和安全欺诈等风险，从而导致网络安全形势日益复杂，安全事件发生频率也逐渐增加。因此，信息科技风险一直是金融监管总局和人民银行等有权机构的监管重点，先后发布了《商业银行信息科技风险管理指引》《商业银行业务连续性监管指引》《银行业金融机构信息科技外包风险监管指引》等指引和多项专项通知，要求将信息科技风险融入全行信息化过程。

与此同时，该商业银行面临着信息技术基础设施规模持续扩大、业务需求日趋多样化、信息科技服务安全性、交付质量和速度要求越来越高的挑战，对信息系统的可用性、连续性和安全性的要求也达到了一个新的高度。

二、 项目内容

针对该商业银行信息科技风险管理，开展差距分析并制定改进措施，优化现有风险管理体系，开展多个细分领域的专项风险评估，实施业务影响分析优化，完善业务连续性计划及参与演练，同时协助处理内外部评估、审计发现相关问题的整改与复核。具体工作内容包括：

（一）信息科技风险管理差距分析

对标监管要求、结合商业银行最佳实践，对该商业银行信息科技风险管理进行全面评估，查找差距与不足，并制定改进措施。

（二）信息科技风险管理体系优化

1.完善管理制度。对标监管要求与同业先进实践，对现行的信息科技风险管理相关制度进行梳理，查漏补缺形成完善的制度体系。

2.补全评估指标。开展信息科技风险评估指标梳理，按照各相关部门或不同层级完善现有的评估指标库模板，建立全面、动态、持续、分级的信息科技风险评估指标库。

3.分支机构评价。根据该商业银行下辖分支机构的不同信息科技建设水平，抽取部分分支机构，对其开展信息科技风险全面评估，以问题为导向，帮助其掌握自身的主要科技风险隐患和缓释方法，协助提出管理建议，促进提升全区信息科技风险管理水平。

（三）信息科技风险管理专项风险评估

1.数据中心专项风险评估：组织架构及岗位设置、管理制度建设、数据中心风险管理、数据中心运营维护管理、数据中心运行环境管理、数据中心外包管理、数据中心灾备恢复等方面。

2.业务连续性管理专项风险评估：业务连续性管理组织架构及职责，业务连续性资源建设，重要信息系统灾备建设情况、系统服务恢复能力，业务连续性演练与持续改进、应急处置及整治情况，业务影响分析、风险评估、恢复策略及恢复目标的合理性和完整性，业务连续性计划的完整性和可操作性，业务连续性计划演练过程及报告的真实性和有效性，业务连续性管理相关部门及人员的履职情况等方面。

3.信息科技外包管理专项风险评估：信息科技外包管理组织架构与职责、外包战略与外包风险控制机制、外包的准入、尽职调查、外包合同管理、外包协议变更管理、对分包和转包的控制情况、外包服务水平协议情况、保密协议、外包重要数据及敏感信息安全措施、外包商及外包人员安全管理、外包服务连续性管理、非驻场外包管理、外包服务评价和退出管理等方面。

4.网络安全专项风险评估：基于网络安全法及其配套法律法规、国家标准，以及监管要求，从安全治理、安全组织、安全制度、科技开发、运维、外包、灾备管理等领域评估网络安全管理上存在的合规差距。

5.数据安全专项风险评估：根据《数据安全法》以及《银行保险机构数据安全管理办法》《中国人民银行业务领域数据安全管理办法》《网络数据安全管理条例》相关要求，结合《金融数据安全数据安全评估规范》《个人金融信息保护技术》和《金融数据安全数据生命周期安全规范》等文件，从数据安全管理现状、数据安全保护现状、数据安全运维现状三个层面开展评估。

（四）业务影响分析优化与实施

开展20XX年全面业务影响分析。对该商业银行现有业务进行全面梳理，识别重要业务，明确重要业务归口管理部门、所需关键资源及对应的信息系统，识别重要业务的相互依赖关系，分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。综合分析重要业务运营中断可能产生的损失与业务恢复成本，结合业务服务时效性、服务周期等运行特点，确定重要业务恢复时间目标(业务RTO)、业务恢复点目标(业务RPO)。明确业务重要程度和恢复优先级别，并识别重要业务恢复所需的必要资源。通过分析业务与信息系统的对应关系、信息系统之间的依赖关系，根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间，确定信息系统恢复时间目标(信息系统RTO)、信息系统恢复点目标(信息系统RPO)，明确信息系统和各项业务的重要程度、恢复策略和恢复优先级别，并识别信息系统恢复所需的必要资源。

（五）业务连续性计划完善

开展业务连续性计划及预案体系评价。评估该商业银行现有业务连续性计划及预案体系的有效性、完整性，协助厘清预案衔接关系，对标监管要求和行业最佳实践，补全预案空白点。

（六）问题整改支持

协助监管评级、内外部评价发现问题整改。梳理20XX年以来，信息科技监管评级发现问题、央行现场评级、巡视整改、内外部审计及高管履职评价发现问题，协助完成应对、问题整改，复核相关问题的整改情况，同时对于未整改的问题提供整改支持。

三、 客户收益

针对该商业银行信息科技风险管理提升咨询服务，不仅完成相关风险评估工作，更全面揭示信息科技风险隐患、满足监管合规要求、提升内审团队能力、优化信息科技风险管理体系。

1、全面揭示信息科技风险隐患

依据监管合规要求、国际国内标准及行业最佳实践，评估该商业银行信息科技风险控制的完备性和有效性，识别现有风险管控体系的缺陷。

2、降低监管合规风险

通过系统化评估，识别合规差距并提出改进措施，使该商业银行的信息科技风险管理、信息系统运行管理、业务连续性管理、外包风险控制等关键领域满足监管要求，降低合规风险。

3、提升风险评估人员能力

通过“以干为训、以训带练”的方式，提升信息科技风险评估人员实务技能，强化团队对信息科技风险、监管要求及审计方法的理解，建立可持续的风险评估能力。

4、优化信息科技风险管理体系

针对评估过程中发现的信息科技风险控制缺陷，提出可落地、可操作的整改建议，协助开展科技风险监测指标优化、信息科技管理制度优化等，确保风险缓释措施符合监管要求与业务需求，提升该商业银行整体风险管理水平。