企业信息科技安全的三道防线及解决方案

背景

近年来，移动互联、大数据处理、云计算、人工智能等一系列前沿技术与企业的业务创新深度融合，极大拓展地拓展了企业的业务空间和服务手段，但也使得IT风险越来越多，类型更加多样化、复杂化，越发难以管控，其可能造成的损失和影响也更加巨大。所谓信息科技风险，是指信息科技在规划、设计、研发或采购、运行、维护、监控及报废过程中由于人为因素、技术漏洞和管理缺陷产生的操作、法律、金融和声誉风险。

以银行业为例，新的技术为中小商业银行的经营发展提供了强大的动力，但也给IT风险防控带来巨大挑战：首先，IT基础架构日趋复杂，系统和数据持续增加，给核心系统的稳定运行带来严峻挑战;其次，网络攻击、电信欺诈持续升级。盗取客户资金和信息等网络犯罪日益猖獗，银行面临的各类网络安全威胁不断升级，形势更为复杂。再次，第三方接口不断接入，防范外部风险带来一定挑战。最后，数据的集中导致风险的集中，防范灾难性事件压力巨大。

信息科技风险管理的目标

信息科技风险管理的目标是通过建立有效的机制，实现商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、文件运行，推动业务创新，提升信息技术使用水平，增强核心竞争力和可持续发展能力。近年来随着信息科技与业务的发展,监管要求的不断提高,新的巴塞尔协议也已经将信息科技风险列入了操作风险之一,各商业银行深刻意识到信息科技风险控制的重要性,为此加强了信息科技、风险管理、IT审计人才的引进力度,逐步探索信息科技、信息科技风险、信息科技审计“三道防线”的建设,以促进信息科技在风险可控的基础上,使之发挥越来越重要的作用,如何有效防范信息科技风险,发挥信息科技风险“三道防线”的作用,就成了各商业银行共同研究的话题。

信息科技风险的危害

当今世界,随着技术的发展,外部环境的多变,而信息系统本身固有的脆弱性,以及在信息系统运行过程中,内部的操作不当、管理不严所造成的系统漏洞,都会被外部黑客内部不法分子所利用,造成信息科技风险事件的发生,给金融企业带来直接或间接的损失,甚至对一个行的命运,乃至整个国家金融体系造成严重打击,典型的信息科技风险事件包括：误操作事件、信息系统中断事件、信息泄露事件、信息系统故障、信息科技案件等。

三道防线

为应对这些挑战，国内很多企业，尤其是金融机构，在信息科技风险管理方面提出了“三道防线”的概念。信息科技风险管理“三道防线”是指依据职责分离原则，在组织内部构造出三支对风险管理承担不同职责的团队，相互之间协调配合，分工协作，并通过独立、有效的监控，提高组织的风险管理有效性。

“一道防线”是指组织业务及操作层面的网络安全管理，由组织的一线业务部门负责。职责是识别和管理网络安全固有风险，并对风险实施有效的控制措施，是整个网络安全保障工作的基础。“二道防线”是指网络安全风险的专职管理，由组织的风险管理部门和IT部门负责。职责是建立网络安全风险管理框架，实施独立的风险评估、计量、监测和报告，确保网络安全风险管理政策及措施有效执行，将风险控制在可接受水平。”三道防线“是指对网络安全独立的监督评价，即审计，由组织的审计监督部门负责。职责是对网络安全风险管理的相关控制、流程和系统进行独立审阅和检查，促进一、二道防线积极履职，进一步揭示网络安全风险，为一、二道防线提供改进建议。

针对第一道防线提供：信息科技管理解决方案

信息科技部门处于信息科技风险管理的“第一道防线”，为履行“第一道防线”的信息科技管理职责，信息科技部门除承担信息系统的研发、测试、运维和管理以及基础设施的建设和运维工作之外，还应有效履行相应的信息科技检查及安全管理职能。一是加强IT制度体系建设，针对信息科技治理、系统运行管理、信息安全管理等重要领域，制定并不断完善管理制度体系，通过构建科学、完整的制度体系，促进信息科技管理及操作的规范化，减少各类IT风险事件的发生。二是做好信息安全防护。通过部署入侵防护系统、防病毒系统、信息防泄漏系统等安全产品并建立安全监测团队，定期进行漏洞扫描及渗透测试，全面保障网络安全。三是开展信息科技检查，通过有计划、分层次的安全监测和检查，准确识别并及时处置各种科技风险隐患。

针对第二道防线提供：信息科技风险管理解决方案

以银行为例，银行的合规风险部门处于信息科技风险管理的“第二道防线”，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。

针对第三道防线提供：信息科技风险审计解决方案

依旧以银行为例，银行内部审计部门设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。

内部审计部门应依据董事会要求以及监管的相关要求，针对全行信息科技治理、系统开发测试、信息安全、业务连续性、外包管理等重要领域，实施现场或非现场审计，揭示存在的风险尤其是系统性重大风险，提出针对性的改进建议。内部审计部门应利用相关工具促进整体审计效率，对信息科技风险一、二道防线的工作情况进行及时有效的检查和再评价，充分提升信息科技风险审计体系的整体效能。