1.2.4 商业银行研发风险管控策略
1.商业银行研发风险管控现状和问题
随着我国商业银行信息化建设的不断深入,目前大多数商业银行都加强了信息科技风险管理,建立了包括组织、制度、技术等方面的信息科技风险管理体系,涵盖了基础架构、研发、测试、运维、外包、应急等各方面,并将信息科技风险纳入全面风险管理体系。同时,信息安全技术保障措施日趋完善,制定了信息安全架构和等级化保护标准,细化物理、网络、系统、应用及数据的安全技术措施,信息系统稳定性不断增强。在此基础上,商业银行日益重视业务连续性管理和外包管理,大型商业银行已推进“多地多中心”建设,业务应急与技术应急协调能力不断增强,应对突发事件能力不断提升。
在研发风险管控方面,各商业银行采用了必要的管理和技术手段,加强了系统安全设计,在一定程度上满足了业务连续性需求。但是由于起步较晚和重视程度不足,研发风险管控水平整体滞后于信息科技管理水平,因安全设计不充分所引发的安全事件时有发生,危害着商业银行的安全。因此,我国商业银行信息系统研发风险管控水平还有待进一步提高[20]。
(1)研发风险管控组织不健全 研发风险管控工作的开展需要相关的组织和角色作为支撑。目前,各商业银行的整体信息科技风险管理组织较为完善,但很少能够深入到研发风险管控环节,主要表现在缺少研发风险管控的统筹部门,缺少对研发风险管控进行决策的组织机构,项目组中缺少研发风险管控角色等方面。
(2)研发风险管控流程和机制不健全 我国商业银行信息系统研发工作大多以项目的形式进行,普遍拥有完整的项目管理流程,但流程中涉及安全和风险的内容较少,尚未建立系统安全设计、安全实现的审核机制,难以保证在研发阶段提高信息系统的安全性。
(3)信息系统安全设计开发不规范 现有信息系统一般都有身份鉴别、访问控制等设计,能够满足基本的安全需要。但由于缺乏整体规范指导,信息系统研发过程中仍难以避免安全需求不完整、安全设计水平良莠不齐、安全编码不规范等问题,导致信息系统仍然可能存在安全漏洞。
(4)安全技术不能复用 商业银行信息系统具有一些共性的安全设计,例如身份认证、数据加密、日志审计等。在现有模式下,各个项目组缺少沟通协调,往往自行开发,造成重复开发和资源浪费,也不利于企业安全架构整合与管理,因此安全技术的复用性还有较大提升空间。
(5)安全技术支持服务不足 研发风险管控工作不但包括管理方面,还包括技术方面。现有商业银行研发团队往往缺少安全方面的专业技术支持和服务,影响了信息系统安全研发水平。
(6)人员安全意识和安全开发技能不足 为了应对业务的发展变化,商业银行必须不断提高信息系统研发速度。在业务需求紧急和工作量大的压力下,研发团队往往会不自觉地重效率轻安全,形成了安全人员的数量不足、开发人员的安全意识和安全技能不足等问题。
2.商业银行研发风险管控策略分析
综合以上对商业银行研发风险的研究,可以看出,商业银行开展研发风险管控工作必须在满足监管要求的基础上,充分借鉴业界先进经验,并紧密结合商业银行工作实际。针对我国商业银行信息系统研发风险管控现状及问题,提出研发风险管控策略如下[9]:
(1)构建研发风险管控体系 针对商业银行研发风险管控工作特点和现状,要想从根本上解决当前存在的问题,应统筹考虑,博采众长,从体系化的角度进行整体规划,构建符合商业银行自身实际情况的研发风险管控体系。在具体操作上,应从组织、管理、技术三个方面入手。其中,组织方面应由专职部门牵头,设置项目安全员、安全专家等角色,分别履行评审、监督指导、执行等职责;管理方面做好管理制度、安全开发标准的制定维护,以及培训考核等整体推动工作;技术方面要采取多种手段,为项目组提供安全公共组件、安全技术平台、安全工具等技术支持和服务。
(2)全生命周期防范研发风险 信息系统安全问题是整个系统的问题,包括物理、网络、系统、应用等多个方面。同时,安全问题也是一个连续不断出现的问题,在信息系统研发生命周期的每一个阶段都可能引入安全问题。因此,研发风险管控工作应贯穿信息系统研发全生命周期,在信息系统研发过程中同步做好安全需求分析、安全设计、安全编码、安全测试、安全审核等工作,使研发风险管控活动与项目管理流程紧密结合,避免引入风险隐患。
(3)做好关键阶段的安全审核 商业银行信息系统种类多、数量多,从安全和合规的角度来看,每个信息系统均应落实研发风险管控要求,但商业银行的投入毕竟有限,必须结合信息系统研发工作特点,准确把握工作重点。在信息系统研发生命周期中,需求分析阶段处于初始阶段,且与业务联系紧密,并为后续工作量估算、系统设计等工作奠定基础。做好需求分析阶段的安全评审,能够保证安全要求在后续工作中得到贯彻执行,具有特别的重要性。同时,在信息系统测试阶段,应对信息系统整体安全情况进行审核,以验证安全需求实现情况,及时修复发现的问题。通过一头一尾两个关键阶段的安全审核,有效保证新研发信息系统的安全性。
(4)坚持定制化和个性化原则 虽然研发风险管控工作的管理依据多,可参考标准多,但是现代商业银行发展迅速,信息科技发展也是日新月异,任何一个标准或指引均不能保证普遍适用,永不过时。商业银行在开展研发风险管控工作中,应准确把握和灵活运用各类工作依据和标准,坚持定制化和个性化原则,结合自身工作特点,制定符合自身实际情况的管理办法和技术标准。对于各类安全工具或服务,也应根据工作需要做出选择,并在实际工作中进行个性化改进,尤其是对安全工具的个性化配置维护,将成为研发风险管控工作的重要内容之一。
(5)安全与效率兼顾 为抢占市场先机,商业银行业务的扩张和发展速度很快,驱动其信息科技服务的发展变化也很快。业务变化的快速性和业务响应时效性,迫使商业银行必须提高信息系统研发效率。研发风险管控工作属于提升信息系统安全性的强化工作,需要增加信息系统的非功能性需求,增加研发工作量,因此可能会影响研发效率。商业银行在开展研发风险管控工作时,要紧密围绕信息系统研发这个核心工作任务,坚持服务研发、防控风险的原则,妥善处理安全和效率之间的关系,找到安全和效率之间的最佳结合点,争取以最小的投入产生最大的安全效益。
(6)管理和技术相结合 研发风险管控工作的主要落脚点是加强信息系统研发全生命周期的风险管理,做好需求、设计、编码、测试等阶段的风险管理工作,落实安全技术措施。因此,与传统的项目风险管理不同,研发风险管控不但重视风险管理,还重视安全技术设计和实现。这就要求在开展研发风险管控工作过程中,必须将管理和技术相结合,在提出研发风险管控要求的同时,必须为项目组提供安全技术支持和服务,指导和协助项目组解决技术难题,使研发风险管控要求得到贯彻落实。
(7)持续优化改进 研发风险管控并非一成不变,随着商业银行的业务扩张和信息科技的发展变化,研发风险管控要求也在不断变化。要想保证研发风险管控工作的持续性和有效性,必须对研发风险管控体系进行持续优化改进。应采用征求意见或召开专家会议的方式,定期梳理研发风险管控变更需求,进而确定体系优化改进的方向。对于管理类优化改进,需要通过修订研发风险管理制度和流程来体现;对于安全技术发展变化,需要在安全设计、编码规范,以及安全技术支持服务中予以改进。通过持续改进优化,实现研发风险管控体系的持续有效、与时俱进和良性循环。