□蔡煜堃

当今数字化时代，信息科技操作风险给商业银行的稳健运营和客户信任带来了巨大挑战。2023年底，国家金融监督管理总局发布《银行保险机构操作风险管理办法》，其中首次提出“运营韧性”的概念，要求规模较大的商业银行“加强操作风险管理，统筹协调业务连续性、外包风险管理、网络安全、数据安全管理和突发事件应对等机制”，对信息科技领域的操作风险防范作出了细化指引。商业银行需加强风险关注，采取多管齐下的防范策略，筑牢数字安全屏障，保障信息安全，努力建设风险可控、安全稳健的数字化银行体系，切实保护好客户利益和银行信誉。

商业银行信息科技操作的风险点

业务连续性。业务连续性风险涉及系统故障或自然灾害等因素导致的银行业务中断。商业银行依赖信息科技系统进行日常操作，一旦系统发生故障或中断，将严重影响业务运行和客户体验。因此，商业银行需制定业务恢复和应急预案，及时消灭风险点。一是核心业务系统故障导致业务中断。风险点包括商业银行缺乏全面系统测试和备份计划，无法提供客户所需的服务以及数据完整性和安全性风险。二是数据中心电力故障导致服务中断。风险点包括缺乏备份电源系统和应急计划以及可能导致的经济损失和声誉损害。

外包风险管理。外包风险管理涉及商业银行将业务或功能外包给第三方机构。商业银行需加强对外包服务提供商的风险评估和监管，确保其具备足够的能力和安全措施保护银行和客户的利益。一是外包数据存储和处理出现数据泄漏、数据不一致等问题。第三方数据中心的安全措施不到位，数据存储和处理未符合数据安全法规和隐私保护要求。二是外包软件开发和维护出现软件质量、供应商依赖风险。第三方开发商在软件设计和编码过程中存在漏洞、错误或不合规，商业银行过度依赖某个第三方开发商。三是外包网络安全监控与维护出现安全漏洞、第三方失职风险。第三方服务提供商未能及时发现和修复网络安全漏洞，在网络安全监控和响应方面失职。

网络安全。网络安全风险是商业银行面临的主要操作风险之一。商业银行需加强网络安全防护，包括建立安全防护体系、加强员工安全意识和培训、实施安全审计等措施，保护客户资金和个人信息。一是员工不当操作导致风险事件。商业银行员工可能在处理客户数据时误操作，或骗子冒充合法机构诱使员工透露敏感信息或执行恶意操作。二是恶意软件攻击，主要体现为病毒和恶意软件感染、勒索软件攻击等。黑客通过电子邮件附件、钓鱼链接或恶意下载等方式将病毒和恶意软件注入银行计算机系统。三是网络渗透事件，体现为外部黑客攻击、内部攻击和滥用等。包括黑客利用漏洞和弱点入侵银行系统，银行员工滥用其访问权限。

数据安全。数据安全风险是指银行面临的涉及客户信息和敏感数据的风险。商业银行需建立完备的数据安全管理体系，强化落实数据加密与存储、数据备份与恢复等方面的措施，保护客户数据不被非法获取和滥用。一是数据泄露，包括外部黑客攻击与内部员工失误。黑客通过渗透银行网络系统获取客户敏感数据，员工误发电子邮件，将敏感数据存储在不安全的设备上或将敏感数据泄露给未经授权的人员。二是数据丢失，包括技术故障、第三方服务提供商问题等。硬件故障、软件错误或电源中断等导致银行发生数据丢失，银行将数据存储在第三方服务提供商的系统中。三是数据篡改，包括恶意软件攻击和内部员工滥用等。黑客通过引入恶意软件或病毒篡改银行数据，或员工刻意操纵数据，给银行经营带来风险。

信息科技操作风险的防范策略

商业银行作为金融机构中的重要成员，信息资产的保护和应用至关重要。在信息科技操作风险方面，商业银行需多管齐下，采取综合性防范策略，确保在业务连续性、外包风险管理、网络安全和数据安全等方面稳健发展，实现“运营韧性”。

首先，从业务连续性角度，商业银行要建立高可用的系统架构及配套保障机制。一是科学采用冗余设计，确保关键系统具备备份和故障转移能力，防止单一故障点导致业务中断。例如，通过建立多个数据中心并同步实时数据，确保一个数据中心发生故障时，另一个数据中心能够立即接管业务，保证服务的连续性。二是定期进行灾难恢复和备份恢复测试，验证恢复流程的有效性，确保系统发生故障时能够迅速恢复正常运营。例如，定期模拟火灾、洪水等自然灾害场景，测试银行系统的恢复能力。三是制定科学的应急预案，涵盖各种可能的风险情景，明确应急响应流程和责任人，以便在突发事件发生时能够迅速、有效地处理。例如，制定详细的应急响应手册，明确各部门在应急情况下的职责和行动指南。

其次，从管理外包风险角度，商业银行要推行合作伙伴风险管理机制。这意味着商业银行应对所有外包供应商进行全面的合规性和安全性评估，确保其符合行业标准和银行内部政策。在签订合同时，商业银行应明确服务级别协议，确保供应商提供的服务质量和安全性满足商业银行的要求。此外，商业银行还需建立监督和考核机制，定期对外包服务进行审计和评估，及时发现并解决潜在的风险问题，防止外包服务对商业银行的运营和声誉造成不利影响。例如，建立供应商绩效评估体系，定期评估供应商的服务质量、交付能力和风险管理能力。

再次，从网络安全的角度，商业银行要建立多层次的身份验证机制和访问控制机制。采用双因素认证、生物识别等技术，确保只有授权人员能够访问敏感系统和数据。同时，商业银行应加强设备和接口安全评估，定期更新和维护安全防护措施，防止恶意软件和病毒入侵。例如，部署先进的防火墙和入侵检测系统，定期对网络进行安全扫描和漏洞评估。此外，强化安全事件日志管理和行为监测，及时发现异常活动和潜在威胁，健全应急响应和备份策略，确保商业银行在遭受网络攻击时能够迅速采取措施，减轻损失并快速恢复服务。例如，建立安全运营中心，24小时监控网络活动，并制定详细的应急响应计划，以应对各种网络攻击场景。

最后，从数据安全角度，商业银行要加强对数据机密性、完整性和可用性的维护。通过对敏感数据进行加密存储和传输、采用强加密算法和安全的密钥管理机制等措施，防止数据在存储和传输过程中被未授权访问或篡改。例如，使用256位AES加密算法对存储和传输的数据进行加密，并采用硬件安全模块（HSM）管理加密密钥。同时，商业银行应完善访问控制策略和权限管理机制，确保只有授权人员能够访问和处理敏感数据。例如，实施基于角色的访问控制（RBAC），确保员工只能访问其工作职责所需的数据。此外，建立健全数据备份和恢复策略，定期进行数据备份，并确保备份数据的安全性和可恢复性，以便在数据丢失或损坏时能够迅速恢复数据，减少业务中断。例如，建立异地备份中心，并定期进行数据恢复测试，确保备份数据的完整性和可用性。

信息化时代背景下，商业银行要与时俱进，高度重视信息科技操作风险，采取多管齐下的策略，更好地促进信息科技安全转型，为金融科技发展保驾护航。未来，随着技术的不断创新，商业银行只有不断强化业务连续性、外包风险管理、网络安全、数据安全等方面的保障能力，积极适应和应对新的风险和挑战，才能更好地践行《银行保险机构操作风险管理办法》中“运营韧性”的要求，持久地保护信息资产安全，为客户提供更可靠的金融服务。

（作者系广东省农信联社风险监测中心数据组组长）