银行IT系统运维风险控制有哪些手段

it系统属于风险管理基础设施，但数据不是，这个说法是错误的。 数据和IT系统都属于银行的风险管理基础设施。

都说企业信息安全很重要，许多企业的IT主管们都想方设想地去实现企业的信息安全，但总归是有一次次突发的事件，使得IT主管们认识到，越来越庞大的IT资产管理难度越来越大，特别是对于持续运行的大型IT系统而言，需要有一个清晰而明确的管理策略，而这些策略还需要前置，也就是IT系统的风险管理体系去支撑IT系统的运营。

一般来说，企业信息系统的安全主要有如下四个来源：人、流程、技术和其它因素，需要重点说明的一点是，在IT系统部署中，采用了太新的技术，往往也是一件高风险的事情，特别是这项技术没有经过充分验证的情况下，IT系统的风险会成几何倍数的增长。

同时，一个过于复杂的IT系统也是风险的源头之一，太过于复杂的系统，往往对于运营与维护的要求就非常高，在这个过程中往往容易出错，再者对 *** 作人员的能力水平要求也较高，这又是另一个难题。

而IT系统的风险往往会对业务带来如下影响：

1、性能：IT系统风险有的时候是致命的，但有的时候看起来也不是特别致命，无非是系统的性能慢一些，导致一线的许多 *** 作人员是“人等系统”，在这里IT系统的性能就影响到了人员的绩效，正好在英语中，性能与绩效是同一个词，看来这两者之间还真的是有非常大的关联。

2、安全：IT风险最大的风险，也是最直接的风险就是安全，这也会影响到业务的安全，如IT系统的数据由于服务器出问题全面丢失了，企业会面临着怎么样的问题？或者都有可能导致企业的关门大吉也不为过。

3、成本：包括金钱成本和时间成本：在不久之前，我就某房地产企业的ERP系统，由于性能问题，无法按照计划进行开盘，导致当天损失了上亿的交易额的问题，一怒之下直接将原有IT系统废除，重新构建的案例，在这个例子中就出现了典型的成本代价。

IT项目管理的风险有哪些

项目风险是一种不确定事件或状况，一旦发生，会对至少一个项目目标，如进度、成本、范围或质量目标产生积极或消极影响。那么IT项目管理的风险有哪些呢？一起来了解下吧：

(1)技术风险。

核心系统升级引入了外包厂商的最新产品，使用了很多新技术，行内研发人员熟悉这些技术需要一定的时间，而在项目过程中却不可避免地会遇到一些技术问题。如何能快速解决这些棘手的技术问题我们的做法是：第一，指定行内外包厂商接头人，由接头人负责和外包厂商的技术人员进行沟通，同时该接头人也是行内对厂商产品最熟悉的人，一般性的小问题基本上此人就可以解决，比较复杂的问题才提交给厂商解决，这样比起全部问题都去找厂商解决，节省了时间。第二，购买厂商的人力进行技术支持，请厂商的研发人员来到开发现场和我们一块研发。第三，预约厂商在系统上线期间到现场待命，以应对紧急问题发生，对可能出现的问题进行第一时间的响应。

(2)沟通风险。

参与项目的外包厂商有多个，沟通渠道多，沟通成本大，而且容易出现理解不一致的情况。所以，项目组成立了专门的PMO，负责制定相应的沟通计划，为每个厂商指定行内的接头人，对内部人员实行分级管理，组织定期例会解决项目过程中出现的问题，防范由于对需求理解不一致造成的项目延误，充分利用已有的邮件、会议、电话和短信等沟通工具，并推广使用某即时通讯工具以作为主要的工作沟通工具。

(3)需求变更风险。

针对IT软件项目中不可避免的需求变更活动，在项目开始后，我部就停止了除政策性需求以外的所有规模超过20人/天的新业务需求，同时制定了需求变更流程：所有业务需求的变更必须由业务方的代表统一提出，变更必须有书面记录，开发人员仔细评估是否接受，最后由总管变更的领导(CCB)复审，总管领导具有一票否决权，从而精简了一些不合理的需求变更。在项目中期引入了IBM的配置管理工具CCCQ来管理代码和缺陷，所有Bug都进行了分类，并录入CQ系统，防止重复修改和修改后无记录等情况的发生。迁移演练之后的缺陷都由各个系统的负责人统一对缺陷进行分析评审，消除Bug修复可能导致的系统关联问题。

(4)进度风险。

项目进行核心升级，引起了客户面数据结构和一些外部接口的变化，同时前端业务平台也做了很大的调整，如开发了新的权限系统、迁移主机老权限系统上的权限数据到微机、替换传输协议XML为JSON、改造微机调用主机框架等。主机平台和开放平台开发工作量巨大，需要留有足够的ST、UAT测试时间，项目开发时间有限，为了应对可能造成的进度延误，我们采用了以下应对方法：一是制定详细的进度计划，明确每个人的任务，各项目组每周定期检视项目进度，如出现偏差及时纠正;二是与外包公司合作，引入外包人力，为项目临时增派了多名生力军;三是强制加班;四是并行化详细设计和编码同时加强代码评审，在加快进度的同时减少返工。

(5)数据迁移风险。

项目涉及的系统多达上百个，系统集成环境复杂，需要迁移的数据量庞大，而且数据迁移对数据的准确性和完整性有着很高的要求。项目制定了分阶段集成和多次迁移演练的策略：将迁移工作进行提前预演，模拟真实上线迁移场景。经过多次演练以后，问题大大减少，减轻了系统上线的数据迁移风险。

(6)人力资源风险。

项目建设周期长，历时两年，大范围人员流动可能会造成项目延误。针对这一风险，应对的方法是：做两手准备，尽力挽留要走的人员，晓之以理，动之以情，请求公司人力资源部提升员工待遇;同时加紧社会招聘，在重要的岗位上安排备份，防止由于成员生病、离职等意外造成的减员。最终这个风险没有成为问题。

在项目升级项目中，我负责两个子系统的开放部分，由于高层对风险管理的重视，我在执行的时候也特别重视对风险的控制。项目组有四个人，沟通成本比较低，所以我们每隔一周进行一次代码评审，解决遇到的一些技术难题和编码规范问题，在实际开发中使用Checkstyle进行代码规范检视，及早扼杀了可能出现的Bug和不规范的代码;制定组员每周报告进度制度，防范进度偏差;面对前端最可能出现的需求变更——UI变更，我尝试在设计初期使用原型方法和业务进行有效沟通，大大减少了后期UAT阶段UI变更需求。回想刚进公司时我做过的某个项目，由于没有考虑到UI类需求变更风险，前期没有进行UI设计的交流，导致UAT阶段大量返工，使项目延误了一个多月，并且浪费了不少人力资源。设想如果当时识别了这类风险，在早期就把风险发生的概率降低，那么项目可能会顺利得多。

由于前期风险控制得当，一直到迁移演练前我负责的项目都很顺利，但是在迁移演练过程中出现了一些问题，其中一个问题是导库程序不能正常执行，并多次发生。我和同事花了很多时间研究问题，最后找到的原因是某个配置参数的问题，研发人员使用了错误的配置参数，ST、UAT期间导库的数据量比真实演练期间的数据量小太多，所以没有被发现，修改配置后再演练环境导库成功。还有一些问题是没有有效沟通导致的。例如，在演练的时候用户反映某个查询交易很慢，经排查，后台人员说前台调错了交易，前台人员提出异议：为什么ST环境查询很快原来后台人员写了多个查询交易，新交易确实能提升查询速度，但是没有在正式的文档上注明前台应使用新交易替换老交易，也没有通过别的途径告知前台，这样前台调用的还是老交易，导致了查询性能问题。由于ST、UAT环境和生产环境的差异性，上述两类问题很难暴露，试想如果没有进行迁移演练，这个问题恐怕要在生产上出现了。迁移演练提前暴露了ST、UAT所不能测出的系统缺陷，使得研发人员能有充分的时间去排查问题和修复缺陷，有效降低了系统上线风险。

经过这次核心升级项目的洗礼，我深深认识到风险管理在IT项目中的重要性，正因为对风险管理足够重视，提前制定了风险应对计划，我们才得以如庖丁解牛般化解项目中遇到的各种风险，并最终取得了上线的胜利。任何项目都不能回避风险问题，风险的存在导致几乎每个项目都不可能顺风顺水地完成项目目标，良好的风险管理技能将帮助项目经理处理好项目中的不确定因素，保证项目的顺利进行。

;

数字化时代，银行业务的快速发展，计算机的系统数量和部署规模均呈快速增长态势，且加上应用系统的微服务化，系统间的关联更为复杂，也相应提升了对运维系统的要求与难度。虽然银行内建立了较为全面的监控体系，但是面对千百万的告警风暴时，故障定位解决问题十分困难，特别不利于系统安全、持续、稳定运行。

数字化转型中，以用户为中心是驱动金融行业的核心基础。所以，对于像银行、证券公司这样拥有海量运维数据的金融行业来说，智能运维势在必行。采用先进的运维手段（智能运维）则是企业不断前行的源源动力。

说一个我们正在服务的客户案例吧，客户是一家商业银行。

这家商业银行通过擎创科技提供的夏洛克AIOps解决方案，建设了一套智能运维数据分析系统，集中收集和分析十多个系统的运维数据，包括应用系统日志、告警、性能指标、交易指标和网络性能指标等，并通过机器学习算法实现指标异常检测、关联分析和告警收敛，以此加快问题定位效率，保障系统运行。为了有效提高对异常情况的监测和未来趋势预测，提前发现系统隐患，该商业银行通过擎创夏洛克AI实验室，训练并生成了基于业务场景的多类算法，实现系统的单指标异常检测，极大降低系统故障发生的概率。

与此同时，该商业银行还用了擎创夏洛克指标解析中心和告警辨析中心，通过此实现多维指标关联分析，帮助快速发现和定位系统问题，提升排障效率；实现告警收敛，降低告警风暴，加快定位时间。目前告警压缩率达到了80%以上，运维人员的告警处理效率明显提高。实现了IT系统运维的智能化，为业务健康运转提高强力保障。

其实，擎创科技此前便服务过众多银行类客户，如中国银联、交通银行、浦发银行和宁波银行等，帮助其构建了智能化的运维平台，提升了客户运维效率，且目前很多项目都进入到二期、三期建设阶段。

尽管如此，还是有必要对这些风险进行梳理。不过，在开始对风险评估之前，IT部门首先需要了解为什么会提出这样的问题以及有哪些风险需要进行评估。其中尤为重要的是，每一个人都要明白，IT面临的风险最终都会波及到企业的正常经营。

一般而言，这些风险可以分为以下四种，它们都有对应的风险控制工具:

1 业务运营风险。对此类风险的评估涉及到企业面临着何种竞争威胁，而对竞争威胁的分析有助于企业决定投入多少必要的资源来应对这种竞争威胁。

在面临那些非传统的竞争威胁时，选择合适的应对策略有时是非常困难的。比如，很多高科技企业在最初面对微软时就根本没有把它放在眼里，认为它不过是一个从哈佛退学的学生组成的一个小公司而言。最后这些企业为此付出了代价。

对于业务经营风险而言，应对策略就是参考那些好的对各种相关风险进行评估的企业案例。面对一个崭新的市场机会，进行一次全面的风险评估对保证经营的成功就像准确的财务分析报告一样重要。

2 项目风险。对于经过批准的或者是已经在开发中的项目，其管理重点通常落在项目是否能在预算内、按期、高质量地交付。其对应的风险控制方法是利用有效的项目管理和进行常规的监控。

3 业务中断风险。这类风险指的是企业在困难环境中是否能继续保持业务运转，比如，服务器突然宕机或者大厦被毁坏时。在大多数情况下，服务器崩溃只会影响少数几个人，而建筑物被毁坏可能会导致公司经营活动全部终止。

4 市场风险。这类风险又可以分为地缘政治风险和特殊行业风险。地缘政治风险包括战争、恐怖袭击、瘟疫以及进出口限制等，此类风险的大小取决于具体的国家、企业供应链的复杂程度以及所处的行业与政治之间的关系等。特殊行业风险指的是国家对某些行业的特殊限制政策等，例如从事金融服务业必须考虑国家的银根紧缩政策、债务抵押业务的彻底崩溃以及类似目前袭击全球的次贷风波等; 从事日常消费品生产的制造商必须小心快闪族通过社交网络唾弃它们的产品。

这类风险的控制主要依赖于快速对各种不确定的事件制定出相应的对策。其中最为重要的是，要努力去发现各种可能的风险，因为最大的风险恰恰是我们不知道有何种风险。

外包特别是离岸外包会增加上述各种风险的危险性。对外包的风险进行评估时必须特别关注通信、物流供应以及供应商的变化和知识产权等问题。

另外，在进行任何风险评估之前，还必须了解公司的管理团队面临的困难，然后再选择合适的办法来应对潜在的因难。如果经济状况允许，也可以考虑对风险进行投保。

(1)

确定

IT

内控风险预警范围

(2)

对选定范围进行风险识别和评估

(3)

对潜在

IT

风险实时监控，并实施有效的控制措施

(3)

对潜在

IT

风险实时监控，并实施有效的控制措施

建立起全面

IT

风险预警机制的核心一步，是根据风险识别、评估的结果，针对相关

IT

风险源制定统一的风险管理战略，加强实时监控。例如，对

IT

风险预警系统的有效运行进

行持续监控与个别评估，充分发挥对潜在

IT

风险的实时监控作用，实现对潜在风险的实时

监控与内部控制措施的有效结合，以改善

IT

风险控制与管理的效果。

5)

培训宣贯与运行推广实施

以上就是关于it系统属于风险管理基础设施,但数据不是全部的内容，包括:it系统属于风险管理基础设施,但数据不是、IT项目管理的风险有哪些、银行IT系统运维风险控制有哪些手段等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！