淺析商業(yè)銀行信息系統(tǒng)研發(fā)的風(fēng)險管理

現(xiàn)狀概述

隨著商業(yè)銀行業(yè)務(wù)的快速發(fā)展，信息系統(tǒng)在促進(jìn)商業(yè)銀行提高工作效率、提升服務(wù)水平、拓展業(yè)務(wù)范圍等方面的作用越來越明顯。信息系統(tǒng)在帶來便利的同時，也帶來了一定的風(fēng)險。信息系統(tǒng)安全問題日漸成為商業(yè)銀行內(nèi)、外部監(jiān)管的重點。研發(fā)風(fēng)險是在信息系統(tǒng)研發(fā)階段可能引入的，導(dǎo)致信息系統(tǒng)出現(xiàn)安全性問題的風(fēng)險。研發(fā)風(fēng)險管理工作是從安全和風(fēng)險角度對信息系統(tǒng)安全設(shè)計、實施情況進(jìn)行統(tǒng)籌管理的一項工作，旨在保障和提高新研發(fā)信息系統(tǒng)的安全性。

研發(fā)風(fēng)險管理工作特點

商業(yè)銀行信息系統(tǒng)所承載的業(yè)務(wù)服務(wù)和數(shù)據(jù)都很重要，一旦受到破壞將對商業(yè)銀行及其客戶的利益造成嚴(yán)重?fù)p害。因此商業(yè)銀行對信息系統(tǒng)的安全性、穩(wěn)定性要求很高。但隨著業(yè)務(wù)的快速發(fā)展，商業(yè)銀行信息系統(tǒng)的種類和數(shù)量也在快速增加。這些信息系統(tǒng)需要采用不同的語言、平臺和架構(gòu)來實現(xiàn)，其關(guān)聯(lián)關(guān)系和技術(shù)復(fù)雜度越來越高。同時，隨著IT技術(shù)的發(fā)展和互聯(lián)網(wǎng)開放程度的加深，新的攻擊手段不斷出現(xiàn)，安全攻防技術(shù)不斷演變，且有愈演愈烈之勢。因此商業(yè)銀行研發(fā)風(fēng)險管理工作具有管理要求高，管理難度大的特點。

為加強(qiáng)對商業(yè)銀行的風(fēng)險管理，人民銀行、銀監(jiān)會等監(jiān)管機(jī)構(gòu)發(fā)布了一系列指引，其中包括了信息系統(tǒng)研發(fā)相關(guān)的合規(guī)性要求。這些要求也是監(jiān)管機(jī)構(gòu)進(jìn)行檢查的重點，如果未能在研發(fā)階段落實，信息系統(tǒng)上線后仍需進(jìn)行整改，將增加不必要的成本和變更風(fēng)險。因此，研發(fā)風(fēng)險管理工作不但應(yīng)落實信息系統(tǒng)的安全性要求，還應(yīng)將合規(guī)性要求納入考慮范圍之內(nèi)。

研發(fā)風(fēng)險的分類

《巴塞爾新資本協(xié)議》已將操作風(fēng)險納入資本監(jiān)管，并將信息科技風(fēng)險劃歸操作風(fēng)險范疇。研發(fā)風(fēng)險屬于信息科技風(fēng)險的組成部分，具體細(xì)分，又可以分為管理風(fēng)險和技術(shù)風(fēng)險。

管理類風(fēng)險是指由于未做好研發(fā)風(fēng)險管理相關(guān)工作，間接對信息系統(tǒng)安全性造成影響的風(fēng)險，主要有合規(guī)性風(fēng)險、管理環(huán)節(jié)缺失、管理力度不足等。合規(guī)性風(fēng)險是指未落實監(jiān)管部門關(guān)于研發(fā)風(fēng)險的監(jiān)管要求而形成的風(fēng)險，例如未落實《銀監(jiān)會非現(xiàn)場監(jiān)管報表》對“項目代碼安全檢查完成率”、“代碼安全檢查方法”的要求等。

技術(shù)類風(fēng)險是指因各種技術(shù)原因引入的，影響信息系統(tǒng)安全性的風(fēng)險，主要包括安全設(shè)計問題、代碼漏洞。安全設(shè)計問題是指信息系統(tǒng)安全設(shè)計不到位，例如用戶口令復(fù)雜度不足、敏感數(shù)據(jù)未加密存儲等；代碼漏洞是指由于開發(fā)人員疏忽或者編程語言的局限性，導(dǎo)致程序存在可以被黑客利用的邏輯錯誤，例如SQL注入、跨站腳本、緩沖區(qū)溢出等。

我國商業(yè)銀行研發(fā)風(fēng)險管理工作現(xiàn)狀

我國商業(yè)銀行雖然在規(guī)模、業(yè)務(wù)特性與管理模式上存在差異，但由于同處于我國經(jīng)濟(jì)大環(huán)境下，其信息系統(tǒng)研發(fā)風(fēng)險管理工作面臨相似的環(huán)境和挑戰(zhàn)。目前我國銀行的系統(tǒng)研發(fā)模式有自主研發(fā)、合作開發(fā)、外包和外購等幾種。大型國有商業(yè)銀行一般以自主研發(fā)為主，大中型股份制商業(yè)銀行一般采用合作開發(fā)方式為主，大多數(shù)小型和地方性金融機(jī)構(gòu)則主要采用外包或外購的方式。

隨著我國商業(yè)銀行信息化建設(shè)的不斷深入，目前大多數(shù)商業(yè)銀行都加強(qiáng)了信息科技風(fēng)險管理，建立了包括組織、制度、技術(shù)等方面的信息科技風(fēng)險管理體系，涵蓋了基礎(chǔ)架構(gòu)、研發(fā)、測試、運維、外包、應(yīng)急等各方面。在研發(fā)風(fēng)險管理方面，采用了必要的管理和技術(shù)手段，加強(qiáng)了系統(tǒng)安全設(shè)計，在一定程度上滿足了業(yè)務(wù)連續(xù)性需求。但是由于起步較晚和重視程度不夠，研發(fā)風(fēng)險管理水平整體滯后于信息科技管理水平，因安全設(shè)計不充分所引發(fā)的安全事件或整改仍不時出現(xiàn)，危害著商業(yè)銀行的安全。因此，我國商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險管理水平還有待進(jìn)一步提高。

存在的問題和不足

研發(fā)風(fēng)險管理組織不完善、流程機(jī)制不健全。研發(fā)風(fēng)險管理工作的開展需要相關(guān)的組織和角色作為支撐。目前，各商業(yè)銀行的整體信息科技風(fēng)險管理組織較為完善，但很少能夠深入到研發(fā)風(fēng)險管理環(huán)節(jié)，主要表現(xiàn)在缺少研發(fā)風(fēng)險管理的統(tǒng)籌部門，缺少對研發(fā)風(fēng)險管理進(jìn)行決策的組織機(jī)構(gòu)，項目組中缺少研發(fā)風(fēng)險管理角色等方面。我國商業(yè)銀行信息系統(tǒng)研發(fā)工作大多以項目的形式進(jìn)行，普遍擁有完整的項目管理流程，但流程中涉及安全和風(fēng)險的內(nèi)容較少，對系統(tǒng)安全設(shè)計、實現(xiàn)的審核機(jī)制不健全，難以保證在研發(fā)階段提高信息系統(tǒng)安全性。

研發(fā)風(fēng)險管理依據(jù)多、信息系統(tǒng)安全設(shè)計不規(guī)范。當(dāng)前商業(yè)銀行的信息系統(tǒng)面臨著多方面的監(jiān)管要求，既有行內(nèi)的，也有行外的；既有監(jiān)管機(jī)構(gòu)的，也有業(yè)界的；既有管理要求，也有技術(shù)要求。這些要求的來源不同，側(cè)重點不同，粗細(xì)顆粒度不同，甚至有的相互沖突，給研發(fā)人員造成一定困擾，亟待統(tǒng)籌規(guī)范?，F(xiàn)有信息系統(tǒng)一般都有身份鑒別、訪問控制等設(shè)計，能夠滿足基本的安全需要。但由于缺乏整體規(guī)范指導(dǎo)，信息系統(tǒng)研發(fā)過程中難以避免安全需求不完整，安全設(shè)計水平良莠不齊，安全編碼不規(guī)范等問題，導(dǎo)致信息系統(tǒng)仍然可能存在安全漏洞。

安全技術(shù)不能重復(fù)利用、安全技術(shù)支持服務(wù)不足。商業(yè)銀行信息系統(tǒng)具有一些共性的安全設(shè)計，例如身份認(rèn)證、數(shù)據(jù)加密、日志審計等。在現(xiàn)有模式下，各個項目組缺少溝通協(xié)調(diào)，往往自行開發(fā)，造成重復(fù)開發(fā)和資源浪費，也不利于企業(yè)安全架構(gòu)整合與管理。研發(fā)出安全的信息系統(tǒng)，必須以相應(yīng)的技術(shù)手段作為支撐，但現(xiàn)有商業(yè)銀行研發(fā)團(tuán)隊往往缺少這方面的支持和服務(wù)，影響了信息系統(tǒng)安全研發(fā)水平。

此外， 為了應(yīng)對業(yè)務(wù)的發(fā)展變化，商業(yè)銀行必須不斷提高信息系統(tǒng)研發(fā)速度。在業(yè)務(wù)需求緊急和工作量的壓力下，研發(fā)團(tuán)隊往往會不自覺地重效率輕安全，形成了安全工作人員的數(shù)量不足，開發(fā)人員的安全意識和安全技能不足等問題。

研發(fā)風(fēng)險管理目標(biāo)及主要依據(jù)

研發(fā)風(fēng)險管理工作是從安全和風(fēng)險角度對信息系統(tǒng)安全設(shè)計、實施情況進(jìn)行統(tǒng)籌管理的一項工作，主要目標(biāo)是提升信息系統(tǒng)的安全性，避免安全事件發(fā)生，保證商業(yè)銀行業(yè)務(wù)連續(xù)性。同時，也應(yīng)關(guān)注信息系統(tǒng)合規(guī)性，避免系統(tǒng)上線后因各類檢查發(fā)現(xiàn)問題而進(jìn)行整改，減少不必要的變更。商業(yè)銀行開展研發(fā)風(fēng)險管理工作的最理想狀態(tài)，是實現(xiàn)對所有信息系統(tǒng)研發(fā)風(fēng)險的統(tǒng)籌管理和良性循環(huán)，實現(xiàn)外部監(jiān)管要求、信息安全技術(shù)發(fā)展變化與信息系統(tǒng)研發(fā)之間的有效銜接，做到對最新安全要求的快速響應(yīng)、準(zhǔn)確解讀、全程跟蹤、有效落地。

為做好研發(fā)風(fēng)險管理工作，有效提升信息系統(tǒng)的安全性、合規(guī)性，商業(yè)銀行在信息系統(tǒng)研發(fā)過程中需遵從多方面的要求。這些要求一方面是對研發(fā)風(fēng)險管理工作的指導(dǎo)和規(guī)范，另一方面也是開展研發(fā)風(fēng)險管理工作的依據(jù)。從大的方面來說，我國關(guān)于商業(yè)銀行信息安全、保密等方面的法律法規(guī)均屬于研發(fā)風(fēng)險管理依據(jù)范圍，這些法律法規(guī)的層次較高，不適合指導(dǎo)具體工作開展。從執(zhí)行角度來看，研發(fā)風(fēng)險管理工作的依據(jù)主要有監(jiān)管要求和信息安全標(biāo)準(zhǔn)，同時還應(yīng)參考業(yè)界最佳實踐。

監(jiān)管要求?！栋腿麪栃沦Y本協(xié)議》將信息科技風(fēng)險劃歸操作風(fēng)險，而研發(fā)風(fēng)險屬于信息科技風(fēng)險范疇。因此，當(dāng)前我國商業(yè)銀行遵從的信息科技風(fēng)險監(jiān)管要求，包括：《商業(yè)銀行信息科技風(fēng)險管理指引》、《商業(yè)銀行內(nèi)部控制指引》、《中國銀行業(yè)信息科技“十二五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見》等，通常涵蓋研發(fā)風(fēng)險管理相關(guān)內(nèi)容，是開展研發(fā)風(fēng)險管理工作的有力依據(jù)。人民銀行、銀監(jiān)會等監(jiān)管機(jī)構(gòu)對商業(yè)銀行開展的信息科技檢查，以及商業(yè)銀行接受的其他內(nèi)外部科技審計、風(fēng)險評估發(fā)現(xiàn)的問題，是從各個角度對現(xiàn)有監(jiān)管要求的細(xì)化和解讀，屬于未來新建信息系統(tǒng)應(yīng)規(guī)避的問題，也應(yīng)納入研發(fā)風(fēng)險管理工作依據(jù)范圍。

信息安全標(biāo)準(zhǔn)。信息系統(tǒng)安全問題是整個IT行業(yè)普遍關(guān)注的問題，經(jīng)過業(yè)界多年探索和經(jīng)驗積累形成的信息安全標(biāo)準(zhǔn)，是商業(yè)銀行開展信息系統(tǒng)研發(fā)風(fēng)險管理工作的另一重要依據(jù)。目前國內(nèi)外信息安全標(biāo)準(zhǔn)種類、數(shù)量較多，比較有代表性和有指導(dǎo)意義的包括：信息系統(tǒng)安全等級保護(hù)標(biāo)準(zhǔn)、ISO27001標(biāo)準(zhǔn)、CC標(biāo)準(zhǔn)、Cobit標(biāo)準(zhǔn)等。此外，我國國家密碼管理部門、人民銀行等部委針對各專業(yè)技術(shù)領(lǐng)域頒布的標(biāo)準(zhǔn)，例如《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》、《銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范》、國產(chǎn)加密算法標(biāo)準(zhǔn)等，可作為各專業(yè)領(lǐng)域信息系統(tǒng)研發(fā)風(fēng)險管理的工作依據(jù)。

業(yè)界最佳實踐。隨著IT行業(yè)對信息系統(tǒng)安全問題的越來越重視，各大公司和機(jī)構(gòu)紛紛進(jìn)行了廣泛而積極的探索，積累了許多最佳實踐和解決方案，對商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險管理工作具有一定的啟發(fā)和借鑒意義。其中，微軟的SDL方法關(guān)于全生命周期安全管理的理念，值得研發(fā)風(fēng)險管理工作借鑒；OWASP的CLASP方法將安全融入現(xiàn)有項目開發(fā)流程的理念，與商業(yè)銀行在現(xiàn)有條件下推動研發(fā)風(fēng)險管理工作開展的需求相吻合；McGraw的TouchPoints方法在關(guān)鍵點切入安全管理的理念，對研發(fā)風(fēng)險管理工作具有借鑒意義。

研發(fā)風(fēng)險管理策略分析

構(gòu)建研發(fā)風(fēng)險管理體系、全生命周期防范研發(fā)風(fēng)險。針對商業(yè)銀行研發(fā)過程風(fēng)險管理工作特點和現(xiàn)狀，要想從根本上解決當(dāng)前存在的問題，應(yīng)統(tǒng)籌考慮，博采眾長，從體系化的角度進(jìn)行整體規(guī)劃，構(gòu)建符合商業(yè)銀行自身實際情況的研發(fā)風(fēng)險管理體系。在具體操作上，建議從組織、管理、技術(shù)三個方面入手。其中，組織方面應(yīng)由專職部門牽頭，設(shè)置項目安全員、安全專家等角色，分別履行評審、督導(dǎo)、執(zhí)行等工作職責(zé)；管理方面做好管理制度、安全開發(fā)標(biāo)準(zhǔn)的制定維護(hù)，以及培訓(xùn)考核等整體推動工作；技術(shù)方面要采取多種手段，為項目組提供安全公共組件、安全技術(shù)平臺、安全工具等技術(shù)支持和服務(wù)。信息系統(tǒng)安全問題是整個系統(tǒng)級的問題，包括物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等很多方面。同時，安全問題也是一個連續(xù)不斷地出現(xiàn)的問題，在信息系統(tǒng)研發(fā)生命周期的每一個階段都有可能引入風(fēng)險，無論是選擇的工具、實現(xiàn)技術(shù)還是編碼的質(zhì)量。因此，研發(fā)風(fēng)險防控工作應(yīng)貫穿信息系統(tǒng)建設(shè)全生命周期，在信息系統(tǒng)研發(fā)過程中同步做好安全需求分析、安全設(shè)計、安全編碼、安全測試、安全審核等工作，使研發(fā)風(fēng)險管理活動與項目管理流程緊密結(jié)合，避免引入風(fēng)險隱患。

做好關(guān)鍵階段的安全審核、堅持定制化和個性化原則。商業(yè)銀行信息系統(tǒng)種類多、數(shù)量多，從安全和合規(guī)的角度來看，每個信息系統(tǒng)均應(yīng)落實研發(fā)風(fēng)險管理要求，但商業(yè)銀行的投入和能力畢竟有限，必須結(jié)合信息系統(tǒng)研發(fā)工作特點，準(zhǔn)確把握工作重點。在信息系統(tǒng)研發(fā)生命周期中，需求分析階段處于初始階段，且與業(yè)務(wù)聯(lián)系緊密，并為后續(xù)工作量估算、系統(tǒng)設(shè)計等工作奠定基礎(chǔ)。做好需求分析階段的安全評審，能夠保證安全要求在后續(xù)工作中得到貫徹執(zhí)行，具有特別的重要性。同時，在信息系統(tǒng)測試階段，應(yīng)對信息系統(tǒng)整體安全情況進(jìn)行審核，以驗證安全需求實現(xiàn)情況，及時修復(fù)發(fā)現(xiàn)的問題。通過一頭一尾兩個關(guān)鍵階段的安全審核，有效保證新研發(fā)信息系統(tǒng)的安全性。

雖然研發(fā)風(fēng)險管理工作的管理依據(jù)多，可參考標(biāo)準(zhǔn)多，但是現(xiàn)代商業(yè)銀行發(fā)展迅速，信息科技發(fā)展也是日新月異，任何一個標(biāo)準(zhǔn)或指引均不能保證普遍適用，永不過時。商業(yè)銀行在開展研發(fā)過程風(fēng)險管理工作中，應(yīng)準(zhǔn)確把握和靈活運用各類工作依據(jù)和標(biāo)準(zhǔn)，堅持定制化和個性化原則，結(jié)合自身工作特點，制定符合自身實際情況的管理辦法和技術(shù)標(biāo)準(zhǔn)。對于各類安全工具或服務(wù)，也應(yīng)根據(jù)工作需要做出選擇，并在實際工作中進(jìn)行個性化改進(jìn)，尤其是對安全工具的個性化配置維護(hù)，將成為研發(fā)風(fēng)險管理工作的主要內(nèi)容之一。

安全與效率兼顧、管理和技術(shù)相結(jié)合。商業(yè)銀行的業(yè)務(wù)擴(kuò)張和發(fā)展速度很快。為搶占市場先機(jī)，商業(yè)銀行信息科技服務(wù)的變化速度也很快，且時效性要求很高。這就使得商業(yè)銀行必須提高信息系統(tǒng)研發(fā)效率。研發(fā)風(fēng)險管理工作屬于提升信息系統(tǒng)安全性的強(qiáng)化工作，主要表現(xiàn)在增加信息系統(tǒng)的非功能性需求，增加研發(fā)工作量，因此可能會影響研發(fā)效率。商業(yè)銀行在開展研發(fā)過程風(fēng)險管理工作時，要緊緊圍繞信息系統(tǒng)研發(fā)這個核心工作任務(wù)，堅持服務(wù)研發(fā)、防控風(fēng)險的原則，妥善處理安全和效率之間的關(guān)系，找到安全和效率之間的最佳結(jié)合點，爭取以最小的投入產(chǎn)生最大的安全效益。

研發(fā)風(fēng)險管理工作的主要落腳點是加強(qiáng)信息系統(tǒng)研發(fā)全生命周期的風(fēng)險管理，做好需求、設(shè)計、編碼、測試等階段風(fēng)險管理工作，落實安全技術(shù)措施。因此，與傳統(tǒng)的項目風(fēng)險管理不同，研發(fā)風(fēng)險管理不但重視風(fēng)險管理，還重視安全技術(shù)設(shè)計和實現(xiàn)。這就要求在開展研發(fā)風(fēng)險管理工作過程中，必須將管理和技術(shù)相結(jié)合，在提出研發(fā)風(fēng)險管理要求的同時，必須為項目組提供安全技術(shù)支持和服務(wù)，指導(dǎo)和協(xié)助項目組解決技術(shù)難題，使研發(fā)風(fēng)險管理要求得到切實貫徹執(zhí)行。

持續(xù)優(yōu)化改進(jìn)。研發(fā)風(fēng)險管理并非一成不變，隨著商業(yè)銀行業(yè)務(wù)方向，以及信息科技的發(fā)展變化，研發(fā)風(fēng)險管理要求也在不斷變化。要想保證研發(fā)風(fēng)險管理工作的持續(xù)性和有效性，必須對研發(fā)風(fēng)險管理體系進(jìn)行持續(xù)優(yōu)化改進(jìn)。可以采用征求意見或召開專家會議的方式，定期梳理研發(fā)風(fēng)險管理變更需求，進(jìn)而確定體系優(yōu)化改進(jìn)的方向。對于管理類優(yōu)化改進(jìn)，需要通過修訂研發(fā)風(fēng)險管理制度和流程實現(xiàn)；對于安全技術(shù)發(fā)展變化，需要在安全設(shè)計、編碼規(guī)范，以及安全技術(shù)支持服務(wù)中予以改進(jìn)。通過持續(xù)改進(jìn)優(yōu)化，實現(xiàn)研發(fā)風(fēng)險管理體系的與時俱進(jìn)和良性循環(huán)。

（作者單位：中國農(nóng)業(yè)銀行）