罚款430万！中国银行9项违规，疑指向百亿“绿洲工程”

类别：科技发布时间：2024-01-09 12:27:00 来源：财经野武士

在金融数字化的浪潮推动下，最近几年大型国有银行纷纷启动了自主可控核心系统改造，开展分布式核心系统的升级改造工程，与此同时，网络信息和数据安全已经越来越受到监管重视，成为了国家金融监管总局日常监管的必选项。

不过最近，六大行之一的中国银行因信息系统领域9项违法违规事实，被罚款430万元，金融监管总局作出处罚的时间为2023年12月28日。

根据处罚内容，中国银行主要违法违规事实包括：部分重要信息系统识别不全面，灾备建设和灾难恢复能力不符合监管要求;重要信息系统投产及变更未向监管部门报告，且投产及变更长期不规范引发重要信息系统较大及以上突发事件;信息系统运行风险识别不到位、处置不及时，引发重要信息系统重大突发事件;监管意见整改落实不到位，引发重要信息系统重大突发事件;信息科技外包管理不审慎;网络安全域未开展安全评估，网络架构重大变更未开展风险评估且未向监管部门报告;信息系统突发事件定级不准确，导致未按监管要求上报;迟报重要信息系统重大突发事件;错报漏报监管标准化(EAST)数据。

一般而言，信息科技风险是银行风险管理三道防线之一，六大国有大型银行基于分布式基础架构平台、分布式数据库、全面云化以及核心业务重构等多个方向，都在加大科技投入，开展核心系统升级改造，完善信息安全管理策略、制度规范和技术标准等机制，优化信息安全治理机制，推进网络安全技术架构建设以及深化系统安全漏洞管理。

其中，提升信息识别准确率，研发灾备架构提高灾备建设和灾难恢复能力，又是银行信息系统安全的基础要求。

按照此次违规违法项目反向搜索来看，在大型国有银行当中，中国银行是首个被发现在总行层面，存在如此多个重大的信息安全隐患。

实际上，在2020年中国银行就启动了“云计算+分布式+自主可控”企业级平台架构建设，命名为“绿洲工程”(OASIS)，中国银行对外宣布自主研发了“鸿鹄”(分布式技术平台)、“瀚海”(移动端开放框架)、“星汉”(大数据开发框架)三大基础技术。在中国银行官网中还特别强调，绿洲工程基于企业级安全架构，通过建设数字脱敏、数字水印、应用安全开发套件等安全组件，健全完善数据安全防护措施，信息安全防控更加全面充分。

从2019-2022年，中国银行对外提供的金融科技投入金额，也在不断逐年扩大，2019年为116.54亿元，2020年是167.07亿元，2021年是186.18亿元，2022年的215.41亿元，合计超过680亿元。中国银行的科技人员规模，也是快速暴增，2020年底只有7696人，但到2022年底已经达到了13318人，短短两年里几乎翻了一倍，人员扩张速度远远超过了工行、农行、建行、交通银行等5个大型国有银行。

并且，中国银行还成立了子公司中银金融科技有限公司，专门开展金融科技技术开发，可以说中国银行是在金融科技领域最激进的银行。

中国银行在2023半年报提到，通过实施绿洲工程和三横两纵，成立了集团网络安全中心、网络攻防实验室，中银金科高质量服务集团数字化转型，深度参与“绿洲工程”、数据治理等重点工程，推进新一代自主可控的集团一体化反洗钱、风险、审计等系统建设，持续优化信贷、数据等产品。

然而此次中国银行被指重要信息系统投产及变更未向监管部门报告、且投产及变更长期不规范，信息系统运行风险识别不到位处置不及时、部分重要信息系统识别不全面，灾备建设和灾难恢复能力不符合监管要求，信息系统突发事件定级不准确、引发重要信息系统较大及以上突发事件。每个都指向了重要信息系统，说明此次上述违规或与“绿洲工程”有关。