详细内容 保障庞大而复杂的信息系统的安全,一直是银行IT部门工作的重中之重。但是,事与愿违,银行业信息系统的故障仍然时有发生。
2007年3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4个小时,所有营业网点无法正常开展业务。
2007年8月15日, 工商银行对计算机系统进行升级,由于没有避开业务高峰期,导致个人业务系统运行不畅,持续5个半小时。
2007年10月18日,建设银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行,事故持续了两个小时后才恢复正常。
2007年12月21日,招商银行因运行中心核心网络设备出现故障,虽然启动了应急预案,但仍然中断营业近一个小时。
2008年1月7日, 北京银行因主干专线的入户接入设备发生故障,造成在京的117家支行网点柜台交易缓慢,故障一个多小时之后才解除。
虽然花费了巨额投入,为什么信息系统的故障仍然防不胜防?
“这些事件给我们的触动很大,经过反复思考和讨论,我们发现,要保持业务连续性,仅仅花钱买一些软件、硬件,是远远不够的,务必要建立一套完善的信息安全管理体系,并且要确保将这套信息安全管理体系落实。”交通银行信息技术管理部信息安全管理部高级经理夏卫民谈道。
交通银行希望通过信息安全管理体系的建设,让信息安全管理有一套完整的章法可遵循。面对迅速发展的业务,增强信息系统安全风险管理也是对客户的负责。
与此同时,随着《新巴赛尔协议》对金融机构操作风险的解析,国际金融领域加大了对以信息安全为核心的操作风险管理的力度。公安部、人民银行、银监会等机构也相继对金融机构提出了明确的信息科技风险管理要求。
在这种背景下,过去以事件驱动和技术保障为主线的金融机构信息安全建设,已经不能适应新的发展需要。如何建立规范化、体系化、以预防为主和持续改进的管控机制,成为交通银行的新目标。
于是,2008年4月17日,交通银行在国内总行级金融机构中,率先启动信息安全管理体系建设项目。
防患于未然
交通银行始建于1908年,是中国第一家全国性的国有股份制商业银行,拥有辐射全国、面向海外的机构体系和业务网络。随着近几年信息科技的迅猛发展,交通银行继数据大集中工程之后,在信息科技体系建设及资源整合优化方面取得了巨大成就。在此过程中,面对不断提升的业务需求、日益复杂的信息系统,和业务运作生成的海量数据及其对信息系统更高的依赖性,交通银行对信息系统的可靠性、可信性、安全性也提出了更高的要求。
并且,银行数据大集中,是业务集中也是风险集中。交通银行共有86家分行,过去一家分行系统宕机只是1/86的安全问题,而现在核心系统宕机则是全行业务的停滞,风险是百分百。
为了搭建具有国际水准的信息安全管理架构,制定针对信息安全的风险预案,交通银行早在2007年就开始探讨并摸索建设信息安全管理体系。在此之前,交通银行已经针对开发中心进行了CMMI认证,数据中心引入了IT服务管理体系和ISO20000等,实施了一系列国际化标准系统的认证。
在已有标准体系的基础上,为了向流程化、规范化和体系化管理迈出更大一步,2008年4月17日,交通银行正式启动实施信息安全管理体系建设项目。参照ISO27001和ISO27002标准来改善交通银行现有信息安全体系,并聘请国际认证组织根据ISO27001的标准对进行认证。
为确保这项工作顺利进行,交通银行首先在组织架构上专门成立信息安全领导保障小组,由行长担任该组组长,CIO作为副组长,各部门领导是小组成员,同时每个分行设有相应的信息安全领导保障小组,重要部门设有信息安全管理处,都由专人负责。每个下属单位设有信息安全员,负责日常信息系统安全工作。并在每个最小组织(处级单位)增设安全专员,主要承担信息安全职责。同时,交通银行还建立了相应的安全机制,每季度按照信息安全规程检查系统。
除了建立组织体系外,交通银行从2008年5月13日开始,用了一个月的时间完成文件体系的设立。将平常的文件分为三个等级:一级文件属于宏观性文件;二级文件适度;三级文件则比较具体。此外,体系建立后还需要执行和运转。夏卫民对此这样谈道:“体系建好了要有人去做,要有人监督,证明你做了,用行话来说是‘写你所说的,做你所写的,记录你所做的’,执行中有证据,按照证据检查相关控制点才能达到预期效果。”
体系结构搭建好,交通银行开始组织人员在更大范围进行专业化学习。首先该项目组的人要对信息安全体系研究透彻;其次全员参与信息安全意识培训,对信息安全有更多的了解;再次,建立体系内审团队,采用策划-实施-检查-改进(PDCA)的方法模型。
目前,交通银行PDCA的周期定为至少一年一次,通过不断地持续改进,来完善其信息安全管理体系。
按照ISO27001的整改要求,不仅要保证系统的连续稳定,更要求业务的持续运转。过去,系统一旦出现问题,柜台人员只能终止办理各种业务。而经过整改后,柜台人员可以明确告诉顾客需要多长时间可以正常办理业务,对于紧急业务可以采取手工填单的方式处理,待系统恢复正常后补办电子票证。
为了可能出现的系统异常情况,交通银行专门制定异常操作手册。一旦有系统异常发生,运维人员按照操作手册做固定化的流程操作,避免系统出现问题后的手忙脚乱以及误操作。
在试运行阶段,交通银行首先于2008年8月1日在总行对该体系进行试运行。主要集中在总行的信息技术管理部、开发中心、数据中心这3个部门,首先通过IT人员的使用发现体系的问题,并不断整改。随后,交通银行又在南京分行信息技术部对该体系试运行3个月,在此过程中不断改进,通过内审、管理评审来完善体系。 2009年交通银行将ISO27001在剩余的85家分行推广,以文件下发的形式要求所有分行按照ISO27001进行整改。
在总行,ISO27001带来的变化已经开始显现。
例如合同管理,一个合同的签订涉及多个部门,过去与合同相关的责任人可以揪出一串,大家都在管合同,可相互之间的责任概念并不明确。每个人负责管理合同的内容,既有交叉又存在空白,存在风险漏洞。从信息安全角度来看,一个合同涉及供应商管理、合同审核以及合同保管三个不同角色。合同保管只是保管好合同,并及时把合同从系统中调出来;合同审核是对合同条款本身存在安全问题的关注;供应商管理要及时分析供应商动态,对供应商产品质量进行分析,考察供应商内部机制运转是否良好等。
“只有在流程的关键点设立安全要求,每个岗位都明确自己的职责,才能达到控制的目标。”夏卫民说。
挑战不断
从2007年底开始探讨信息系统安全管理体系建设算起,交通银行要在2008年底完成体系架构的建设并通过国际认证,对整个信息技术部门来说,可谓时间紧、任务重。
“一方面我们管理人员全力以赴,另一方面技术人员要改变过去的工作习惯,去适应新的流程,的确是一件比较难的事,某种程度上还会增加工作量,但大家都能很好地配合。”夏卫民谈道。
信息安全是“一把手”工程,为了保证项目的顺利进行,交通银行CIO侯维栋以及信息技术部总经理麻德琼亲自参加动员活动,到现场作战,项目得到行里高层领导的有力支持,在总行迅速推动起来。
借助ISO27001,可以考察组织是否建立安全机构、人员是否具有安全意识、是否有相应的制度来保障、是否持续改进、对于发现的问题是否采取有效补救措施等。其中涉及的133个控制项,都需要有相应的措施来保证其有效性。
对于持续改进,夏卫民说:“首先是发现问题,分析制度中哪一块没有覆盖到、岗位上哪里欠缺等,并拿出相应的解决办法;好像桌面有灰,整改就是要把灰擦掉,同时找到原因,为什么有灰?后来发现是窗户没关,灰被吹进来了,需要明确专人管理好窗户。”
在内部审核时需要关注供应商这一块,由于供应商数量大,过去管理力度不够,一些工作无法达到ISO27001的规范要求。例如,发现供应商没有按照要求安装杀毒软件,为什么?原来由于合作商较多,人员变动频繁,因此杀毒软件不能及时安装、更新。于是相关管理人员把所有供应商的杀毒软件都进行了检查,并同供应商沟通,建立安全机制,所有供应商负责人统一参加交通银行信息安全培训,进一步明确如果出现问题会在供应商考评中体现;对于合作人员,每次变动都会有记录,并给所有人员佩戴带有照片等识别信息的证件。
“我们的工作不仅是管理好交通银行内部的信息安全,更要管理好合作伙伴所提供服务的信息安全,只有这样才能保障总体安全 。我们通过共同参与、内审、领导检查,与供应商管理层沟通,形成一种合力,把安全事情做扎实。”夏卫民解释道。
跨越式发展
作为全国率先通过ISO27001认证的总行级金融机构,交通银行通过相关项目的实施,除取得符合预期目标的各项成果之外,还对金融行业以及更广泛领域在今后一段时期内信息科技的建设和发展产生了深远意义。
从信息安全角度来看,安全已经从“小安全”发展到“大安全”,已经从过去装个防火墙、杀毒软件,过渡到物理安全、人员管理、组织架构、体系建设等;已经从原来技术上的安全,逐步走向安全治理。
“借助ISO27001,我们提升了信息安全技术水平,通过认证,全行提高了信息安全意识,从认识上梳理了信息安全问题。我们始终坚持谁主管谁负责、谁建设谁负责、谁运营谁负责的原则。完善了信息安全决策、管理、监督和执行组织,建立了完整的信息安全制度体系,形成了可持续发展的风险管理机制。”麻德琼谈道。
交通银行通过信息安全管理体系建设和运行,探索出一条IT组织架构再造与统一规范化管理相结合的道路。交通银行IT条线的信息安全管理体系,是涵盖了包括管理、运营、开发等各个条块的完整的体系,从决策分析、管理制度、监督检查到落实执行,充分体现了统一规划、协调沟通和具体落实的特点。这为交通银行统一协调和部署更长期的信息科技发展规划奠定了良好的基础。
交通银行建设并运行的信息安全管理体系,符合国际权威标准、相关监管机构以及国家法律法规要求,适用于更长期的外部合规建设需要,是交通银行在激烈的市场竞争中赢得更多客户和合作机构信任的一项大胆尝试。
此外,在当前国际金融动荡的局势下,交通银行通过在内部大力推动信息安全管理体系建设,将企业发展从外延式逐渐向内涵式转变,以内功建设形成有效的IT内控和治理框架,以此抵御各类风险,这也是金融企业在动荡环境下理应采取的一种发展策略。
面对未来,麻德琼更是有着这样的思考:“科技管理水平决定着信息化的发展,目前交通银行通过了ISO27001、ISO2000和CMMI等认证,如何把这些体司,往往存在着总部、工程局(厂)、公司、项目部多层架构、岗位复杂、一人多岗的普遍管理模式和组织体系。
而快速协同开发平台可以帮助实现虚拟组织模式,构建统一的组织机构,建立岗位体系,实现职能部门和业务部门对组织机构和权限的充分掌控,实现严密的业务分工和权限控制。
利用基于业务管理平台构建的协同平台对业务过程进行全面、精细的记录和统计分析,展开严密的工作监控和高效的业务协同,从而进一步加强管理力度、提高协同效率,促进业务知识的积累和业务流程的优化。
该平台可以全面、自动、实时记录工作人员处理流程中的业务信息,主管领导和相关领导都可以随时获取这些流程信息,并依据规定的工作流程和规范,在分工和授权范围内随时进行参与,如果发现异常情况或者进度延期情况都可以进行干预,达到业务处理过程的监控和干预,提升集团公司业务管理和全局决策的客观性、时效性。
使用该平台后,基于机构、部门、工作组、岗位、人员实现灵活分工模式,建立”基于岗位“和”变形虫“式的岗职体系。按照用户角色的不同,体现不同的业务分工。
打破隔膜
组织扁平化,信息中心也会”无形地长大“。协同平台在潜移默化地改变组织架构的同时,也会带来信息中心工作方式的改变。
”今后业务人员也能根据权限自己动手修改软件需求。“王亘认为这是利用协同平台打破IT与业务隔膜的好方法。与十几年前计算机应用水平相对较低相比,现在计算机应用的普及率较高。一般通过国家计算机水平二级考试的人员,都有一定编程的基础。这样的业务人员在得到信息中心的相应授权之后,可以根据自己的应用习惯对软件做一些调整和维护,而信息中心人员只需负责平台技术问题。
系统开发跟不上业务需求变化的问题,除了开发思路之外,其实也是IT与业务融合的老问题。让业务人员提出可实现的IT需求,IT人员能够听懂业务语言,一直也是信息中心努力的方向。为什么不能换个思路呢?喜欢自己动手的王亘表示,可以让他们在得到授权后自己动手。习惯使用横向的表格、任务栏设置的位置等这些功能和相应的维护问题,完全可以由业务人员自己完成。
2009年和2010年,除了在这个平台上新开发软件之外,信息中心还将逐步把现有的信息系统整合到该平台上,并进一步完善集团公司”综合管理系统“,将集团公司的生产信息数据、物流信息数据、资产信息数据、经营信息数据、财务信息数据、统计信息数据等重要数据集成起来,建立一体化的信息集成和共享机制。
协同平台在实现快速功能之后,带来的更实际效果是降低成本。提升绩效是集团整体的战略目标。2007年,中国水利水电以营业收入和总资产双双超过500亿元进入中央企业500亿元?1000亿元规模企业行列,并且在中央企业第一个任期业绩考核中,被国务院国资委授予”绩效进步特别奖“。企业中容易被视做成本部门的信息中心,用自主开发的信息化建设方式,为集团节约了投入。