银行全面风险规划-访谈会议纪要-信息科技部模版模版.docx

信息科技部访谈会议纪要 会议名称： 信息科技部访谈 会议时间： 会议地点： 与会人员： ► ► 会议记录人： 存档日期： 一. 会议讨论的主要议题 1. 信息科技部的职能与架构 部门职责 xx银行信息科技部主要统一负责全行信息管理，科技系统开发维护等工作，目前总共有20多人，人员较为紧缺，并有总行风险风险部派驻的风险监控官负责科技条线的风险监测与定期报告等事务。部门内部分为四个中心： ► 开发中心：负责项目开发过程管理，包括立项、选型、测试、上线、验收等相关流程； ► 运维中心：负责全行内上线系统的运营维护，对于日常系统问题及时响应解决。目前共有8人，整体的操作基本由人工进行； ► 信息安全中心：统一管理全行的网络维护工作，并整体监控管理网络信息安全情况，以满足银监会ISO27001信息安全管理体系认证的要求； ► 质量控制中心。 分行层面一般由综合管理部的科技主管负责分行辖内的网络维护等科技条线的事务，无专门对应的部门，分行下支行及直属支行无科技主管。 目前全行的信息系统共62个，科技部正在筹备进行多个科技系统项目，包括统一授信系统、ODS等，未来规划中多个项目已准备启动，如资产负债管理系统正在招标过程，审计内控现场非现场检查系统也正在启动。 2. 信息科技部数据治理工作现状 目前科技部已启动了ODS项目，在该项目实施的同时进行数据标准化工作，希望通过ODS推动全行数据治理工作，并引导各业务部门提升对于数据治理的重视程度。科技部的角色应该是建设数据管理平台并在数据规划上提出限制要求，业务部门应自行牵头完善条线内部涉及的系统数据标准。 行内暂未建立完整的数据治理体系，计划财务部已出台了数据治理委员会的相关管理办法。 由于行内还未建立统一数据标准，所以在ODS项目实施过程中，引入了系统实施商在他行实施时使用的数据标准，抽取源系统数据后，将非标准化数据转换成标准化数据。目前在数据转换过程中发现了一些业务系统的数据问题。目前该项目第一期的目标是解决监管报送数据的质量提升和部分业务数据的质量提升。后期在信息科技战略规划中明确提出了数据治理的规划。 3. 信贷系统风险管理现状 目前xx银行的信贷系统，主要基于各个业务功能模块和流程建设，还未考虑以各风险管理作为出发点进行规划。目前正在进行的统一授信系统，将首先整合各个独立的系统模块，形成统一信贷平台，同时在系统中嵌入对于实时业务的操作风险点的管理。对于信用风险相关的系统建设如评级系统、额度系统、组合管理系统等，目前还未建设仍在规划中。 信息科技部目前的建设规划主要还是基于应用架构、运维体系、数据架构、信息安全四方面。 ► 应用架构上，主要是搭建ESB总线等基础建设架构，还未细分上层不同类别业务应用。 ► 运维体系上，明年证考虑上线一套运维管理系统，主要针对事件、流程、数据统计和问题整理等方面进行统一管理，以取代目前全手工处理的模式。在具体管理模式上，运维中心人员分工主要根据系统进行划分，2人负责核心系统建设，2人负责网银、手机银行系统，其余人员负责信贷系统、中间业务系统，OA系统等。在管控上还未建立纵向专业层面的维护人员，如针对数据库系统维护人员，web架构维护人员等。 ► 信息安全上，主要是网络安全等监管要求的管理内容。 未来的系统规划将按照风险管理的角度进行相应管理模块及管理系统的建设。将根据本项目提出的全面风险建设的规划方案，配套完善行内的整体IT建设规划。 4. 信息科技风险管理现状 管理架构 信息科技风险由风险管理部牵头负责，风险管理部向信息科技部派驻了风险监控官完成科技条线风险管理工作。信息科技风险的监管要求中对于第二道防线的人员配比和专业素质要求较高，暂时无法满足。 风险监控官每季度会形成信息科技风险评估报告，其中管控的主要指标还是参照银监会的标准，以一些银监会的检查意见作为整改的主要方向。由于目前行内有比较多的外包人员，管理中外包人员是今年的主要工作，包括现场检查和后期风险评估。 行内已完成的信息科技专项检查包括：2012年及xx年分别完成一次电子银行业务（包括网银、电话银行）的渗透性测试，主要是基于内网层面开展。另外完成了对于内网所有系统的漏洞扫描工作。 5. 外包风险管理现状 科技部涉及的外包风险主要是外包服务商的管理。行内的外包风险暂时没有牵头管理部门，各业务条线涉及到外包的会自行开展外包工作的日常管理。从前年开始，已联合业务部门、风险部、审计部共同对于行内的外包服务进行检查及评价，但行内也没有完整的外包商评价表。 科技部目前主要涉及到三类重要外包服务商，包括卡系统外包（在银联数据）、核心系统外包（在兴业银行机房管理）以及制卡厂商外包。其他的系统开发外包商主要为高伟达、文思、东软。 科技部暂时未对外包商的服务水平、服务质量进行系统性评价与控制。以前主要通过外联公司名单对外包公司的名称、联系人、项目经验进行记录。在选择外包商时，主要考虑供应商的行业实施经验和与我行需求的吻合度，暂时没有考虑项目风险管控能力等方面。实际工作中，对于系统开发厂商主要通过付款进行约束，而对于运维服务提供商会签订服务水平协议。目前正在规划外包商资质管理，目前已经开展了外包商合同管理，包括主要负责人或组织机构代码证是否有变动等内容的管理。 6. 业务连续性管理现状 xx银行今年8月正式组建了业务连续性管理委员会，9月召开了第一次会议，目前已明确业务连续性管理由风险管理部牵头负责，并参照银监会给出的指引要求各业务部门自行开展了业务影响分析（包括提出RTO,RPO指标）及部分应急预案的制定，初步开展过应急演练，行内也还没有制定相应规范化的风险分析及应急预案模板。由于业务连续性涉及到了比较多的部门，方案落地上还存在一些困难。在具体推行的过程中，由于现阶段各个业务部门对于这方面的了解还比较薄弱，难以完善评估各自业务的影响分析。 信息科技部已制定了一些信息科技相关的应急预案，前期准备实施对业务影响较大的两个系统的演练。 目前xx银行的核心系统是托管在兴业银行的上海信息中心，并与兴业一同在上海同城外高桥地区建立了应用级的同城灾备。同时在xx地区建立了一个T+1的核心系统数据级灾备，已有开发测试环境。但银监局检查时提出行内的xx地区也应建立核心的应用级灾备。另外，目前村镇银行的核心系统托管在xx市，现已在南昌分行建立了村镇银行核心系统的数据级灾备，未来将建立应用级灾备。 7. 信息科技项目管理现状 目前xx银行信息科技的项目主要由业务部门和信息科技部共同完成，业务部门提出业务需求和可行性研究，包括评估项目的评估成本和未来收益等，这也作为未来系统建设后评估的依据。信息科技部主要规划技术层面的管理，包括系统立项、系统整体结构的接入、与其他系统间的数据交互等。