摘要：信息科技風(fēng)險(xiǎn)已成為瞬間導(dǎo)致銀行癱瘓的唯一系統(tǒng)性風(fēng)險(xiǎn)。銀行信息系統(tǒng)的應(yīng)急管理日益受到銀行科技部門重視。本文簡析銀行信息系統(tǒng)應(yīng)急管理中的主要問題和改善應(yīng)急管理工作的思路。

關(guān)鍵詞：應(yīng)急管理；預(yù)案；演練；風(fēng)險(xiǎn)

中圖分類號：TP39 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 22-0000-02

1 銀行信息系統(tǒng)應(yīng)急管理現(xiàn)狀

近年來，隨著信息科技與銀行業(yè)務(wù)的融合，銀行業(yè)務(wù)對信息系統(tǒng)的依賴日益增強(qiáng)。銀行信息系統(tǒng)重大安全事件的發(fā)生嚴(yán)重威脅到各家銀行的日常經(jīng)營，系統(tǒng)應(yīng)急管理的重要性逐步凸顯出來。

我國的應(yīng)急管理是在2003年抗擊非典后逐步建立發(fā)展起來的。自2003年下半年，政府開始編制突發(fā)公共事件的應(yīng)急預(yù)案。中國人民銀行于2003年底開始著手研究金融相關(guān)領(lǐng)域應(yīng)急管理問題。2005年人民銀行頒布《中國人民銀行突發(fā)事件應(yīng)急預(yù)案管理辦法》。2008年銀監(jiān)會發(fā)布了《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）》。

銀行信息系統(tǒng)應(yīng)急管理作為一項(xiàng)長期性工作，受到了各銀行科技部門的格外關(guān)注。各行紛紛建立起信息系統(tǒng)的應(yīng)急預(yù)案及相關(guān)管理制度。針對行內(nèi)信息系統(tǒng)的應(yīng)急演練成為了各行科技部門日常工作的一部分。部分大中型銀行逐步建立起“兩地三中心”即指生產(chǎn)中心、異地災(zāi)難備份中心、同城備份中心的災(zāi)備系統(tǒng)。

通過銀監(jiān)會、人民銀行等銀行監(jiān)管機(jī)構(gòu)和各銀行的不斷建設(shè)，我國銀行業(yè)信息系統(tǒng)應(yīng)急管理體系已初步形成。

2 銀行信息系統(tǒng)應(yīng)急管理中存在的主要問題

2.1 系統(tǒng)應(yīng)急預(yù)案不夠完善。一是應(yīng)急預(yù)案可用性不足，針對性不強(qiáng)。偏重形式，應(yīng)急組織架構(gòu)不夠完整，職責(zé)分工不夠明晰，缺乏預(yù)授權(quán)，缺乏可執(zhí)行性。預(yù)案作為緊急行動方案的地位作用不突出，實(shí)用性不足。二是過多關(guān)注于技術(shù)處理細(xì)節(jié)。三是預(yù)案維護(hù)不及時(shí)，未能充分反映成功的應(yīng)急處置經(jīng)驗(yàn)。

2.2 外部協(xié)調(diào)機(jī)制不完善。對于外部網(wǎng)絡(luò)攻擊破壞和重大自然災(zāi)害事件，離不開供電、通信、網(wǎng)絡(luò)監(jiān)控等相關(guān)單位的鼎力支持與配合，目前，我們與這些單位的協(xié)調(diào)工作機(jī)制尚不完善，也缺少相應(yīng)的聯(lián)合演練。

2.3 人員應(yīng)急能力亟待提高。缺乏有針對性的系統(tǒng)性基礎(chǔ)知識培訓(xùn)，運(yùn)維人員對運(yùn)維對象熟悉程度不高；經(jīng)驗(yàn)總結(jié)不夠，不善于將一個(gè)人的經(jīng)驗(yàn)變成大家的經(jīng)驗(yàn)，不善于從事件管理上升到問題管理；參與演練、處置事件的實(shí)踐鍛煉不夠廣泛，多數(shù)人員的應(yīng)急技能不足。

2.4 災(zāi)害性風(fēng)險(xiǎn)應(yīng)對能力不足。一是部分銀行缺乏備用系統(tǒng)，“兩地三中心”的災(zāi)備系統(tǒng)尚未實(shí)現(xiàn)。二是重要系統(tǒng)關(guān)鍵部件備品備件尚不完備。

3 銀行信息系統(tǒng)應(yīng)急管理工作思路

3.1 風(fēng)險(xiǎn)導(dǎo)向，預(yù)防為主。風(fēng)險(xiǎn)按照來源可分為系統(tǒng)內(nèi)部脆弱性和外部威脅。兩種風(fēng)險(xiǎn)是內(nèi)因與外因的區(qū)別、主觀與客觀的區(qū)別、可控與不可控的區(qū)別。因此，風(fēng)險(xiǎn)控制應(yīng)主要針對內(nèi)部脆弱性，主動發(fā)現(xiàn)并采取措施。發(fā)現(xiàn)風(fēng)險(xiǎn)的渠道包括：風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)檢查、系統(tǒng)監(jiān)控、應(yīng)急演練、安全事件、交流討論。上述工作應(yīng)當(dāng)列入年度運(yùn)維工作計(jì)劃，定期開展，及早發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)，然后形成風(fēng)險(xiǎn)列表和解決方案。對于無法解決的風(fēng)險(xiǎn)，一是要形成匯報(bào)向上級部門反映，由上級領(lǐng)導(dǎo)協(xié)調(diào)各種資源解決。二是要加強(qiáng)預(yù)防，在預(yù)警監(jiān)控、人員、備品備件等方面做好準(zhǔn)備。

3.2 責(zé)任為綱，獎(jiǎng)懲并舉。銀行信息系統(tǒng)的安全不只是運(yùn)維部門的事情，這項(xiàng)工作離不開業(yè)務(wù)部門、開發(fā)部門、系統(tǒng)服務(wù)商的參與。因此管理中領(lǐng)導(dǎo)應(yīng)明確劃分運(yùn)維、開發(fā)、業(yè)務(wù)等部門的職責(zé)、人員配置、資源投入、獎(jiǎng)懲措施等。突出個(gè)人責(zé)任、崗位分工。切忌只有懲罰沒有獎(jiǎng)勵(lì)，同時(shí)責(zé)任應(yīng)與獎(jiǎng)懲掛鉤，即責(zé)任越大、風(fēng)險(xiǎn)越大、獎(jiǎng)勵(lì)也應(yīng)越高，避免責(zé)任大小與獎(jiǎng)懲的失衡。

3.3 善用技術(shù)，管控高效。隨著銀行業(yè)務(wù)的發(fā)展，銀行信息系統(tǒng)的數(shù)量快速增長，運(yùn)維部門的工作壓力也越來越大。許多銀行運(yùn)維部門都面臨著人手短缺的問題。而操作風(fēng)險(xiǎn)則是運(yùn)維部門永遠(yuǎn)無法回避的另一問題。在工作中合理利用技術(shù)，實(shí)現(xiàn)“四化”，是提高工作效率、管理質(zhì)量、解放人力、規(guī)避操作風(fēng)險(xiǎn)的有效手段。

（1）資產(chǎn)管理視圖化：IT資產(chǎn)及其狀態(tài)、系統(tǒng)內(nèi)關(guān)聯(lián)、系統(tǒng)間關(guān)聯(lián)清晰明確，一目了然。

（2）日常維護(hù)自動化：系統(tǒng)巡檢、系統(tǒng)數(shù)據(jù)日志清理、系統(tǒng)監(jiān)控等借助自動化工具、批處理腳本、定時(shí)任務(wù)自動完成，盡可能減少人工操作。

（3）運(yùn)維管理流程化：配置管理、變更管理、發(fā)布管理、事件管理、問題管理等基本維護(hù)管理通過管理工具實(shí)現(xiàn)流程化處理。

（4）安全審計(jì)常態(tài)化：通過堡壘機(jī)等運(yùn)維輔助工具實(shí)現(xiàn)用戶身份識別、權(quán)限控制以及用戶行為分析等安全管理功能。同時(shí)實(shí)現(xiàn)安全審計(jì)的常態(tài)化。

3.4 依托規(guī)范，嚴(yán)格標(biāo)準(zhǔn)。規(guī)范作為成熟、先進(jìn)做法的有序組織，是風(fēng)險(xiǎn)管理的有效手段。團(tuán)隊(duì)和個(gè)人都必須依規(guī)范而行，才能在系統(tǒng)生命周期的各個(gè)環(huán)節(jié)盡可能的防范和排除安全隱患。

（1）系統(tǒng)開發(fā)階段。架構(gòu)規(guī)范：開發(fā)與運(yùn)行架構(gòu)管控，防范結(jié)構(gòu)性、系統(tǒng)性風(fēng)險(xiǎn)。開發(fā)規(guī)范：編碼標(biāo)準(zhǔn)、組件標(biāo)準(zhǔn)、平臺化設(shè)計(jì)、日志設(shè)計(jì)標(biāo)準(zhǔn)、測試標(biāo)準(zhǔn)。接口規(guī)范：安全準(zhǔn)入、邊界安全、交互安全、狀態(tài)監(jiān)控。

（2）系統(tǒng)上線階段。明確基礎(chǔ)、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、配置管理的上線檢查標(biāo)準(zhǔn)、操作規(guī)程。系統(tǒng)的開發(fā)、維護(hù)部門在這一階段會產(chǎn)生交集。嚴(yán)格規(guī)范的上線標(biāo)準(zhǔn)，能夠降低日后系統(tǒng)維護(hù)難度，減少兩部門之間的推諉扯皮。

（3）系統(tǒng)維護(hù)階段?；A(chǔ)、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、配置各環(huán)境組分別建立維護(hù)工作規(guī)范。操作規(guī)范：堅(jiān)持雙人操作。變更規(guī)范：生產(chǎn)變更單內(nèi)容要完整，要包含風(fēng)險(xiǎn)分析報(bào)告和回退方案。事件響應(yīng)標(biāo)準(zhǔn)：一線維護(hù)人員要7*24小時(shí)保持通訊暢通，快速響應(yīng)。維保供應(yīng)商評級標(biāo)準(zhǔn)：根據(jù)標(biāo)準(zhǔn)對維保供應(yīng)商巡檢、現(xiàn)場支持、問題解決等服務(wù)進(jìn)行評價(jià)，督促維保供應(yīng)商改善服務(wù)質(zhì)量，更好的做好維保服務(wù)。協(xié)作規(guī)范：協(xié)調(diào)機(jī)構(gòu)間（如電力、電信、聯(lián)網(wǎng)機(jī)構(gòu)）、部門間，使協(xié)作更加有序、高效。

3.5 狠抓應(yīng)急、提高質(zhì)量。系統(tǒng)出現(xiàn)異常是必然的，關(guān)鍵在于能否hold住。應(yīng)急的地位與日常運(yùn)維同等重要，應(yīng)急的關(guān)鍵是能否有效組織人和其他資源的。我們狠抓應(yīng)急，尤其要重視應(yīng)急預(yù)案和應(yīng)急演練質(zhì)量的提高。

（1）應(yīng)急預(yù)案：應(yīng)急預(yù)案是成功經(jīng)驗(yàn)的總結(jié)，好的應(yīng)急預(yù)案是成功處置的先決條件。預(yù)案既然是預(yù)先制定的行動方案，就應(yīng)關(guān)注于處置方向，即由誰來干、干什么、如何協(xié)作，至于怎么應(yīng)由不同崗位的技術(shù)手冊來回答。誰來干、干什么：體現(xiàn)了應(yīng)急處置的角色分工，體現(xiàn)了預(yù)授權(quán)性。如何協(xié)作：體現(xiàn)了處置流程，時(shí)序的控制。指揮層、執(zhí)行層，分工明確就能各司其職，按照流程步步推進(jìn)，就可以從容應(yīng)對處變不驚。

（2）應(yīng)急演練：應(yīng)急演練是應(yīng)急工作的抓手。通過演練要達(dá)到以下目的：一是及時(shí)發(fā)現(xiàn)系統(tǒng)隱患和應(yīng)急過程中存在的問題。二是積累經(jīng)驗(yàn)，包括快速應(yīng)對和時(shí)序控制的經(jīng)驗(yàn)。三是儲備技能，包括熟悉系統(tǒng)、在實(shí)戰(zhàn)中提高；四是改進(jìn)預(yù)案，使預(yù)案的流程更加合理流程，資源配置達(dá)到最優(yōu)。

4 結(jié)束語

應(yīng)急管理是銀行的一項(xiàng)長期性工作。應(yīng)急管理的日常工作其實(shí)都是緊緊圍繞應(yīng)急準(zhǔn)備來展開的。我們可以這樣來理解：應(yīng)急準(zhǔn)備包括人和物的準(zhǔn)備。人的準(zhǔn)備包括不同崗位的不同人員、人員的技能等。物的準(zhǔn)備包括：備品備件、風(fēng)險(xiǎn)的預(yù)警、診斷、處置流程等。應(yīng)急準(zhǔn)備的方法就是本文第三部分論述的內(nèi)容：風(fēng)險(xiǎn)的識別預(yù)防、人員管理和崗位職責(zé)、應(yīng)急管理的信息化建設(shè)、應(yīng)急管理的標(biāo)準(zhǔn)、規(guī)范、應(yīng)急能力的培養(yǎng)、應(yīng)急預(yù)案和應(yīng)急演練。

參考文獻(xiàn)：

[1]酈勇.基層金融業(yè)應(yīng)急管理體系建設(shè)亟待加強(qiáng)[N/OL].金融時(shí)報(bào)，2007，12，17.

[2]喬海曙，賀凌華.中國銀行業(yè)應(yīng)急管理：問題與對策[J].金融論壇，2008，11.

[3]姚國章.應(yīng)急管理信息化建設(shè)[M].北京：北京大學(xué)出版社，2009.