作者 |　兴业银行信息科技部 李剑南

　　坚持以人为本，自上而下的执行力与自下而上的主观能动性相结合，是在无边界金融服务生态体系中实现全员参与并完成持续安全保障能力提升的关键。打造弹性企业，应该遵循整体的风险偏好，清晰有效地向下传导企业的经营管理思路。“问渠哪得清如许，为有源头活水来”，只要科技风险与整体风险防范体系双向传导，金融企业在通用业务领域具备的风险管理能力积累就可以使这个机制持续得到合理优化并具备动态调整能力，使企业在数字化转型浪潮中行稳致远。

　　“这是一个信任的时期，这是一个怀疑的时期。”这句话生动地反映出信息安全从业人员近年来面临的复杂局面。金融服务效能大幅提升的同时，信息安全的攻击面日益增大，复杂程度呈几何式上升，企业特别是金融企业的信息安全与风险管理从业人员面临着空前严峻的挑战。

　　一、传统的信息安全与风险管理方式面临挑战

　　伴随数据大集中、云化发展等数字化转型过程而来的是来自监管、审计等多方面的安全硬约束与业务条线、末端用户期望之间越来越大的分歧。

　　1.传统基于金融企业自身的安全防护边界日益模糊

　　银行想要突破原本单纯的金融服务场景的局限性，充分利用生态对接，嵌入实体经济消费场景，原来仅在企业边界内流动的数据必然将流向下游企业，从而脱离传统的企业安全防御边界，使得传统的基于边界防护的安全理念在实践中不断受到挑战。

　　2.基于新概念的各类安全产品不断推出

　　不少企业刚完成从防火墙、防病毒、入侵检测老三样向端点保护，IAM，DLP，SOC、SIEM的技术转化，初步具备了常规化的用户管理、弱点管理和基本的检测/响应能力，PAM、SDP、CASB、CSPM、MDR等基于各类云安全与降低数字化风险相关概念的产品纷至沓来。即便不考虑预算，建设优先级和人员投入也令各级信息科技部门烦恼不已。

　　3.基于公用云安全服务的两难选择

　　包括安全邮件网关、威胁事态感知在内的大量安全供应商，越来越多地选择通过公共云平台提供集成化安全服务，这极大地提高了交付速度，并解决了银行方信息安全专业人员，特别是运维人员稀缺的问题。但使用基于云平台的安全服务，同时意味着银行内部敏感的信息需要存放到第三方平台中，对云服务提供商的安全防控能力以及是否满足监管合规标准的担忧又增加了决策的风险与难度。

　　4.过度夸大人工智能和机器学习对防控水平的短期提升能力

　　随着越来越多安全产品通过公有云平台交付并使用到AI和ML的部分功能，以及一些过度的产品宣传和包装，信息安全“唯产品、唯科技人员、唯科技部门”的观点又有所抬头。这种观点忽视了机器学习和AI都是基于获取到的数据进行的，而即使是“前数据时代”(相对于“大数据”而言)，数据挖掘和分析的基础都是数据预处理。没有各部门基于业务数据自身的深刻理解，仅简单购置产品，期望通过人工智能和机器学习快速实现安全预期，并不符合实际。

　　二、建立动态平衡的弹性组织，必须以人为本

　　针对数字化浪潮下的信息安全与风险管理趋势，需要建立一个信任和弹性的IT环境以及相应的治理结构和流程。

　　1.持续自适应风险与信任评估方法

　　Gartner近年来提出了一个“持续自适应风险与信任评估方法”框架(ContinuousAdaptiveRiskandTrustAssessment,CARTA)，强调要持续地、自适应地对风险和信任两个要素进行分析评估。这个分析是一个动态平衡的过程，不能苛求零风险，而是追求在0～1之间的动态平衡。为体现数字时代的特征，在传统的CIA(机密性、完整性、可用性)三要素基础上，CARTA增加了三个新要素PSR(隐私、安全和可靠)，并强调“程序、原则、情景、智能”四种能力的建设。

　　2.建立以人为本的弹性组织

　　ISO22316-2017(安全性和弹性-组织弹性原则和属性)基于BSI65000发展而来。ISO22316涵盖对“弹性”的概述、必要的基础以及如何建立弹性，主要针对组织的预测、反应与适应能力。对金融企业而言，在数字时代，信息安全与企业的每个人息息相关，因此保持弹性是关键要素。这要求企业的各级信息安全与风险管理人员更加深入地了解业务，把握全生命周期的数据流向，从传统的集中力量建设“预防性手段”，向保护、检测与响应模式转变。在企业管理层和业务部门，强调发挥全员主观能动性，信息安全认知和隐私保护方面的教育是实现全员参与持续提升的关键。

　　三、实现以人为本的前提是实现科技风险与整体风险防范体系的双向传导

　　金融作为国之重器，在社会整体和谐稳定和防范系统性风险中的作用毋庸置疑，今后一段时期，国家金融科技风险管控也势必日益严格。不可否认的是，金融行业中的大部分同时也是企业。通过提供金融服务，为社会提供便利、创造价值、实现自身盈利，更是金融企业的价值体现。金融企业经过长期持续经营，风险管理能力较其他行业有一定优势。金融从业人员借助在金融领域的经验积累，具备在严格金融监管要求和持续稳健经营的情况下通过边际收益最大化寻求企业盈利的能力。

　　科技风险管理也是风险管理的一种形式，只有将科技风险管理无缝地融入企业的整体风险管理框架中，用业务部门厘得清、听得懂的语言进行信息科技安全和风险管理，赋予他们更高的自治权，激发主观能动性，才能做到在金融科技驱动创新的持续变革中严把金融安全关。

　　要实现这一目标，应该基于企业整体风险偏好制定科技风险管理策略。同时，为实现以人为本，实现“弹性”组织，可以尝试建立科技风险专项拨备，按照企业各自不同的风险偏好，参考类似坏账准备或风险金的作法，自上而下地逐级分摊到前后端各业务条线和信息科技部门中，以实现信息科技风险防控能力的持续提升。

　　1.制定信息科技风险管理策略应基于企业整体风险偏好

　　行业宏观上，整个金融业态复杂多变;企业微观上，金融科技驱动自身业务创新的特征，又包括敏捷和允许试错，这客观上要求金融企业在中长期规划不变的基础上，在短期具备快速调整业务方向的能力。但是业务热点变化，并不意味着企业的风险偏好这一企业文化中最为独特和最富个性的属性，会发生摇摆和改变。金融企业要实现创新，安全是要优先考虑的生命线。但也应该认识到安全是相对的、动态的，不能因噎废食，对新兴业务采取激进、温和还是保守的经营思路，可以在相对更长的周期上在集团/企业内保持稳定。

　　企业应通过发布简单精练、实用可行的偏好声明，对信息科技风险进行方向性指导，推进企业最终目标的实现。各业务条线业务人员对市场的敏锐感觉和风险意识是企业的立身之本。完美的信息安全是不存在的，只有符合自身企业目标和风险偏好的IT风险策略，才能在整个企业范围内得到彻底的贯彻与执行。

　　2.通过企业风险管理框架对信息科技风险进行分解

　　不论规模如何，单个企业的资源总是有限的，这同时也决定了没有一个金融企业能在某一短暂时期内在零售、同业、投行等多个领域同时发力进行业务创新，势必存在热点轮动的情况。信息科技作为其中的稀缺资源，科技安全与科技风险的同步建设毫无疑问也受到更大制约。因此这个能力缺口的存在是必然的，并随着智慧金融逐渐成为现实的未来，完全可能出现局部缺口放大的情况。信息科技和安全管理虽然是一个动态的过程，但从某个时期来看，企业内部通过双态IT模式的运用，实现板块轮动，“稳态”“敏态”结合是可行的。

　　在新兴业务可行性决策过程中，将对应的信息科技风险纳入考量已经是金融行业较为通行和成熟的作法。但正如传统风险管理领域中定量分析占主体，定量分析能力偏弱一样，科技风险的定量也缺乏客观稳定的评判标准。既然科技风险难以量化，又如何实现按条线进行分解呢?可以考虑在各业务条线对应的风险金中增加科技风险专项拨备。

　　横向来看，各条线的拨备情况应与风险偏好及总体风险管理策略相适应;纵向来看，比照业务系统的绩效模型逐级向下分解。简单说就是风险高的多拨备。这样做能带来以下多方面收益：一是既然新兴项目快速上线势必存在安全建设相对滞后的情况，这部分拨备用于覆盖相应的风险敞口;二是为后续在项目进入稳定期后对应的信息安全投入提供决策的辅助参考;三是为实现最终利润核算，自上而下的各利益相关方能够具备自始而终的主观能动性。

　　四、兴业银行在信息科技风险管理领域的实践

　　兴业银行以“信息风险前移，牢守安全底线”为指导方针，在坚持数字化转型的过程中持续改善和提升全行信息科技风险管理水平。

　　1.将信息科技风险纳入重点类别风险管理

　　将信息科技风险与流动性风险、市场风险、声誉风险、战略风险等共同纳入重点类别风险领域进行管理，以全行定期研究分析内外部政策形势，分析风险状况及应对措施，同时积极探索将信息科技风险纳入全行风险容忍度指标体系。

　　2.科技风险管理人员实现项目全周期嵌入式管理

　　通过组建全行信息科技风险经理团队，将各具专长的信息安全与风险管理人才以虚拟化团队的形式嵌入各产品研发团队，并通过公共领域团队，落实集团通用安全技术与标准落地。在基础安全领域，充分挖掘既有安全产品的价值，并通过集团风险排查评估，向管理层及时、有效、持续地反馈信息风险总体情况。

　　3.夯实数据基础，探索双态融合，推进管理体系标准建设

　　持续推进配置管理数据库的精细化建设，通过中后台流程再造，打通各后台管理系统，将资产全生命周期中产生的数据变化实时动态地反馈到配置库中。推进管理体系标准建设，在完成ISO20000、ISO27001、ISO22301三个标准体系换标认证的基础上，今年还将通过GB33136数据中心服务能力成熟度模型认证。

　　4.多渠道建立信息安全复合型人才梯队

　　通过市场化引入和自身人才培养转化的方式，建立全集团信息安全专家库，并积极参加各种内外部攻防竞赛、攻防演练，面向实战，通过以赛代练、平战结合的方式建立了一支具备事前监测和突发响应能力的高端安全专业技术队伍。

　　5.多措并举推动信息安全认知和隐私保护教育

　　在定期培训、知识竞赛和宣传手册等传统方式基础上，借助集团“微办公”App渠道投放与终端管控工具的屏保推送方式，持续开展“兴安全”系列信息安全主题活动，提高全集团成员的安全认知与隐私保护教育。

　　坚持以人为本，自上而下的执行力与自下而上的主观能动性相结合，是在无边界金融服务生态体系中实现全员参与并完成持续安全保障能力提升的关键。打造弹性企业，应该遵循整体的风险偏好，清晰有效地向下传导企业的经营管理思路。“问渠哪得清如许，为有源头活水来”，只要科技风险与整体风险防范体系双向传导，金融企业在通用业务领域具备的风险管理能力积累就可以使这个机制持续得到合理优化并具备动态调整能力，使企业在数字化转型浪潮中行稳致远。