论文部分内容阅读
在全球经济化日益明显的今天,信息科技已成为商业银行生存和发展的必要条件。商业银行数据中心的信息系统生产运维风险也成为唯一能使银行业务在瞬间全部瘫痪的重大风险,关系到金融稳定,社会稳定甚至国家安全。同时,随着银行业务的全球化拓展,数据中心生产运维工作将面临来自不同国家和地区的差异性监管要求,对数据中心合规风险管控提出更高挑战。面对上述两类风险,如何进一步推动数据中心风险管理体系的转型变革,如何有效控制全球集中后信息系统的运维风险,确保运维工作全面遵从国内外监管要求,实现优质服务和合规运营的新突破,有力支持全球一体化战略实施,已成为商业银行信息科技工作者亟待解决的问题。本文研究了商业银行信息系统全球一体化运维背景下的数据中心风险管理问题,在分析国内外相关风险管理理论和当前商业银行数据中心风险管理实践的基础上,针对商业银行数据中心面临的两大类风险——运维风险和合规风险,建立了符合商业银行数据中心运维特点的风险管理模型,以此为基础提出了一套适用于数据中心全球一体化运维的风险管理体系实现方法,包括一个管理架构、一套风险基线、三种管控措施、三类改进机制,解决了当前在风险识别完整性和风险控制精细化上存在的问题,并选取已经实现信息系统全球一体化集中运维的A银行(以下简称“A行”)开展了案例研究。本文的具体研究内容和创新点如下:(1)基于传统信息科技风险管理理论和最佳实践,围绕商业银行数据中心面临的运维及合规两类不同特点的风险,提出了以风险基线为核心、以全面风险控制机制和风险管理持续改进机制为支撑的数据中心风险管理模型及具体的风险管理体系实现方法。在该模型的指导下,建立了覆盖领域层、目标层、控制层三级架构的数据中心风险管理架构,实现合规风险及运维风险两类不同风险在同一管理体系下的统一管控。(2)研究了数据中心风险基线模型,提出了合规风险基线、运维风险基线、安全技术标准基线三类基线,建立了相应的风险基线模型和风险评估模型。通过风险基线,固化风险评估经验,使风险评估工作标准化,减少对人员经验和技能的依赖,提高风险评估效率。结合A行案例,探讨了符合海内外35个国家和地区的78个监管机构的数据中心合规风险基线的应用方法,分析了海内外在信息科技监管方面的差异,同时,针对大规模数据中心海量信息资产场景下的运维风险基线,提出了一种基于半量化运维风险评估模型。(3)研究了数据中心全面风险控制机制,涵盖制度规范、技术工具、风险接受三种方式。制度规范方面,提出了包含7个领域的数据中心制度体系模型,覆盖运维流程管理要求和资产安全保护要求。技术工具方面,全面分析数据中心面临的安全威胁,结合业界安全模型最新研究成果,提出了一种商业银行数据中心安全技术体系,从数据、终端、应用、系统、网络、物理六个领域实现数据中心风险的纵深防御。(4)研究了可持续改进的风险管理长效机制。基于PDCA的质量管理原则和思路,提出了涵盖定期完善机制和安全审计机制的持续优化机制,设计了数据中心安全审计体系框架,并提出了安全审计自动化管理平台的建设方法。为评估数据中心风险管理体系的可持续性,提出了一种可持续评估模型,涵盖PDCA执行、全员安全意识教育、风险管控有效性以及安全审计等指标,以及评估矩阵和合成算法,实现风险管理效果的量化评估。通过实例计算,验证了本文设计的商业银行数据中心风险管理体系的高可持续性。