信息系统变更风险评估量化模型设计与应用

信息系统变更风险评估计化模型设计与应用
本文从商业银行信息系统变更管理风险控制的实际需求出发，综合考虑变更实施及特护期间各项因素，提出由一级指标、二级指标组成的变更风险评估与定级量化模型。

以某国有商业银行开展落地实施为例，通过试算、试运行不断优化量化指标，并最终在实际变更管理活动中运用该模型进行变更分级管理，对变更管理流程进行了优化调整，提升了精细化管理程度，加强了变更风险识别与管控，对商业银行信息系统的变更分级管理具有一定的借鉴意义。

当前，随着商业银行信息系统规模的日益庞大、系统架构的日益复杂，系统变更的数量增多，复杂度大幅提升。

同时，监管机构和社会大众对银行业务连续性的要求也愈加严苛。

相对于越来越成熟的基础环境高可用技术，系统变更可能带来的生产风险已成为商业银行信息系统运维过程中的关注焦点，而为了有效控制变更风险，急需构建一个科学合理的变更风险量化评估模型。

对此，本文从银行信息系统变更风险防控的实际需求出发，综合考虑变更实施及特护期间的各项因素，创新提出了一种由一、二级指标组成的变更风险评估计化模型，并以某国有商业银行在变更分级管理活动中的实践为例进行简要说明。

一、变更风险评估计化模型设计思路
变更风险评估计化模型主要涉及指标设定、指标量化、风险定级、模型试算等四个方面，其具体设计思路如下：首先是归纳出与变更风险评估密切相关的五个一级指标和细化派生出相应的二级指标，在此基础上枚举各二级指标的评价对照域，并进行量化取值，之后再计算总体变更风险评估值，匹配变更预设的风险值区间得到相应变更级别，最后则是要进行多轮试算以便于对模型调优。

1.设定指标
根据数据中心长期变更管理的经验，本文将五个一级指标分别设定为变更基线、变更影响、异常可能性、异常控制和异常影响，其中前面 4 个指标均有细分的二级指标，评估指标概览见表 1。

表 1 评估指标概览
变更基线
变更基线是指评估变更风险大小的基础信息，可细分为变更层级、信息系统重要等级2 个二级指标。

其中，变更层级是指变更部署地点和影响范围，分为总行层级(指部署在总行，影响多家分行)和分行层级(指部署在分行，影响一家分行)。

信息系统重要等级是指发生变更的信息系统的重要性等级(商业银行用于标识信息系统重要程度的关键指标，如信息系统等保级别或者灾备等级) ，等级越高，取值越大。

变更影响。