上一個系列的組織機制與人才破局，為數字化轉型打好了“地基”，系列二將聚焦于轉型管理與科技治理，圍繞三大重點展開：

1、啟動轉型管理中的火車頭，明確數字化轉型辦公室的關鍵成功要素；

2、合理配置和管理財務資源，尤其是專項創新基金，有力驅動轉型；

3、升級科技治理，助力轉型爬坡邁坎，釋放生產力。

01

轉型管理的火車頭

站在2022年初的時間點，回顧過去五年，銀行在數字化轉型領域開展了大量探索性工作，也在驅動轉型的組織設置上積累了豐富經驗。領先銀行通常建立三層架構，牽引全行層面的數字化轉型。三層架構中，金融科技委員會審議決策，數字化轉型辦公室統籌推動，各條線、部門小組落地執行。

金融科技委員會：虛擬組織，由董事長或者行長掛帥，各條線分管領導、各條線業務部門和職能部門負責人列席，審議數字化轉型總體規劃，調配財務與人力資源，聽取重點項目的進展匯報，并協調解決項目實施中出現的重大問題。

數字化轉型辦公室：實體組織，專職人員，統籌數字化轉型總體規劃，跟蹤管理重點項目，推動項目實施中重大問題的解決。

各條線、部門執行小組（如零售、企金、風險執行小組）：實體組織，負責轉型項目的落地實施，定期開展項目進度的匯報，對實施中出現的問題積極解決，對跨條線、跨部門難以解決的問題，主動尋求幫助。

在三層架構中，數辦承上啟下，作為數字化轉型的統籌推動組織，發揮著極為重要的作用。運轉順暢的數辦能大大提升轉型落地執行的成功率和確定性。BCG根據多家銀行實踐，總結出數辦的四大關鍵成功要素：

數辦統籌，要有清晰的轉型藍圖規劃。規劃要業務引領，“數字化轉型與經營一張皮”是根本原則。藍圖要實，明確轉型路徑、尖刀舉措、項目優先級排序、責任部門和資源分配，才能規劃到落地，而不是空喊口號。

數辦推動，要有強有力的抓手。數辦充分使用“流程審批、資源分配、組織調整、績效考核”四大抓手，在數字化轉型落地過程中，起到了尚方寶劍的作用，能夠調動跨部門的力量，驅動全行范圍的轉型。

數辦要有董事長、行領導的重視和親身參與，要有溝通的綠色通道。對轉型管理形成日常機制（如每兩周、每月召開金融科技委員會會議），使得行領導能及時介入轉型中的重點項目和重大問題，協調資源，推動痛點、難點的解決。

數辦要有復合型人才的加入。能力全面，溝通能力強，專職推動轉型，才能在復雜度極高的全行轉型中，有能力、有精力應對種種挑戰，推動落地。

案例1

以國內某領先銀行B為例，行領導對數字化轉型極為重視，在“輕型銀行”的基礎上，明確提出“金融科技銀行”，將金融科技提升到全行戰略高度。為驅動轉型，在“流信辦”的基礎上，融入了戰略規劃職能，重命名為“戰略與規劃執行部”，作為一級部，統籌推動轉型的落地，并賦予強有力的抓手。

資源分配與流程審批抓手：創新基金作為數字化轉型的專項投入，戰規部負責管理創新基金的使用，建立評審流程、原則與標準。作為評審流程中的關鍵一環，組織專家評審會，把控基金流向。

組織抓手：隨著轉型縱深發展，原有組織中的部門墻、條線墻成為掣肘。調整組織架構與跨部門的協同機制對于轉型的成敗和推進效率來講，至關重要。戰規部通過對轉型痛點、堵點的追蹤，主導組織機制的迭代調整，加速轉型落地。

考核抓手：戰規部梳理數字化轉型指標（如MAU、客戶留存率、數字化渠道銷售占比），融入原有考核體系，形成對總、分、支的指揮棒，將考核與業績、資源分配強掛鉤，“全行擰成一股繩，勁兒往一處使”。

隨著職責擴展，戰規部的人員編制也從15人（原有“流信辦”的規模）擴充到40人左右，并大量引入具有業務、架構、咨詢背景的人才，專職推動轉型，轉型成效顯著。

在數辦的組織設置上，很多銀行存在困惑：“數辦應該設置在哪里，才能高效推動轉型？”縱觀多家銀行實踐，除了前文所分享的“單設一級部”案例外，數辦的組織設置通常存在三大模式。每種模式各有其適用情景，但無論哪種模式，四大關鍵成功要素必不可少。一旦關鍵成功要素缺失，轉型在規?；七M過程中就會陷入困境。

模式一：數字化轉型辦公室隸屬于發展規劃部

該模式的設置適用于“發規部能力強，懂業務，能夠建立清晰的轉型藍圖規劃”的情景，尤其在轉型初期，全行數字化思維、數字化能力尚未成熟，數字化人才有限，亟需在全行層面建立數辦，統籌推動轉型。

在清晰的轉型規劃藍圖指引下，數字化轉型方向貼合業務，確保不跑偏。如果數辦能力強，善于聚焦，設立專職專崗，推動轉型試點項目，與業務部門在試點期間配合緊密，往往在數字化轉型初期就能實現“局部突破”，通過試點見成效、樹信心。然而一旦進入到“規?；鞭D型推動階段，行領導的重視與參與，數辦的抓手力度，對數辦調動資源，突破條線墻、部門墻至關重要。

案例2

以國內某大中型銀行為例，發規部下設數辦，制定了清晰的數字化轉型規劃，在推動落地中也充分運用“流程”與“組織”抓手，成功推行了部分試點，收到了良好成效。但在規?；涞剡^程中，仍然出現了“抓手力度不足，規?；D型難推動”的窘境：

以資源抓手為例，數辦負責評審創新基金，但財務權仍然在計財部，劃撥需要計財部的配合。實操中出現了多個項目“數辦評審通過，計財不劃撥，或者不足額劃撥”的情況，需要申請方反復確認基金的評審和劃撥進度，溝通成本高，等待時間長，申請越來越少，創新基金逐漸成為“無源之水”。

以考核抓手為例，數辦梳理了數字化轉型指標，但指標并未融入現有考評體系，未落到分支行層面，也未與績效和資源分配掛鉤，指揮棒的作用無法發揮，無法從“局部突破”走向“規?；D型”。

模式二：數字化轉型辦公室隸屬于科技部

該模式適用于信息化短板明顯，應用需求相對明確的銀行，優勢在于能夠短時間內驅動系統的落地，彌補科技短板。該模式對科技部的能力要求高，尤其是科技對業務的理解和跨條線、部門協同的能力。

在實操中，科技部牽頭往往面臨三大挑戰：

規劃難：從后往前推動數字化轉型，猶如要建大樓，沒有藍圖，先修管道。由于前端的業務架構、業務需求不清晰，難以推導出科技領域（如應用架構、數據架構、技術架構）的具體優化方向和優先級排序。

落地難：以中臺建設為例，科技部需要協調多個業務部門，推進落地，一旦業務部門之間意見沖突，或者配合度不高，科技部一無業務決策權，二無有效抓手，出現問題難以協調解決。

中立難：科技部一方面統籌數字化轉型工作，產生需求，一方面作為科技資源的提供者，承接需求。既做裁判員，又做運動員，中立性難以讓業務部門信服。在該模式下，業務部門的吐槽屢見不鮮：“業務提出來的需求沒人跟進，科技自己想建的系統倒是建得快，建完了也沒人用?？萍颊娴拿Ψ较蛄藛?？”

為有效應對三大挑戰，銀行可考慮采取三種方式：

先采取模式一，待業務轉型重點明晰，應用建設需求相對明確，解決了“規劃難”的問題后，再轉入模式二。

引入外腦，設計清晰的轉型規劃藍圖，圍繞業務戰略，明確重點項目的優先級排序，確保業務與科技的緊密貼合。

強化轉型管理機制。建立轉型管理溝通綠色通道，將落地中的部門墻、條線墻問題及時上報，在董事長和行領導層面協調，解決“落地難”的問題。同時，定期舉行轉型的項目重點與資源分配決策會，確保業務充分參與到資源投入的決策中來，解決“中立性”的問題，確保資源使在刀刃上。

案例3

以國內某中大型銀行為例，數字化轉型初期就成立了數辦，隸屬于科技部?？萍疾繃L試了各種方式，推動業務部門思考轉型方向，明確業務架構、業務需求，但業務部門響應緩慢。十四五規劃期間，行內聘請外腦，開展全行戰略規劃?？萍疾砍耸奈逡巹澲畽C，深入了解業務發展重點，并依此制定了數字化轉型的路徑圖，解決了“規劃難”的問題。然而，在落地過程中，數辦仍然遇到了種種挑戰。以零售風控中臺的建設為例，信用卡、零售信貸部先后加入，在中臺能力建設和重點上未能形成統一共識，數辦卡在兩個部門間，左右為難，最終零售風控中臺變成了信用卡專用平臺，無法實現整體零售條線對風險能力的復用。針對此類挑戰，該行正積極探索更高效的協調與溝通機制，以便打破條線墻、部門墻，推進轉型落地。

模式三：不設立全行層面的數辦，業務條線各自主導數字化轉型

該模式對行內數字化人才能力要求高，尤其是業務條線的高層領導和中層骨干力量，需要具備數字化理念，有引導數字化轉型的能力，一般銀行在轉型初期很難達到該能力要求。

案例4

以國內某領先銀行A為例，董事長、行長對數字化轉型極為重視，上升到全行戰略的高度。為驅動零售條線、對公條線的數字化轉型，高薪引入有數字化背景的將才，先后開展兩個條線的數字化轉型。人才的引入先是在條線行長、部門總級別，隨之帶入大量具有數字化思維的中層骨干。兩大條線分別設立戰略發展部，其職責有別于僅做規劃的傳統戰略部，而是聚焦于新產品的創設與評審，強調以金融科技賦能業務創新，以賽馬機制跑出競爭力強的產品。在業務強勢引領，鼓勵金融科技創新的氛圍下，行內進一步推進科技內嵌，全組織敏捷的體制機制變革，轉型成效顯著。

在數字化轉型推進過程中，為避免出現“條線打架，爭搶資源，難以協同”的誤區，行內通過創新委員會（虛擬組織，脫胎于早期的產品創新委員會，更名后融入金融科技委員會職能）來驅動跨條線、跨部門協同：一是行領導重視，親身參與并推動重點協同項目（如開放銀行，需要深度公私聯動）；二是通過跨條線費用調撥機制，解決“財”的掣肘；三是以交叉考核的方式，發揮指揮棒的作用。

該模式的成功，需要行領導打破體制機制束縛，積極引入將才與核心骨干作為基礎。一般銀行在業務部門數字化思維尚未建立，人才嚴重不足的情況下，該模式未必適用，而到了數字化轉型成熟期，組織與人才基礎扎實的情況下，數字化轉型由“模式一”的集中式，向“模式三”的分布式演化，就會自然而然地發生。

案例5

以國內某領先銀行B為例，隨著金融科技思維在全行范圍內深入人心，數字化的感覺與創新氛圍形成，數字化人才日益充沛，數字化轉型邁入成熟期。數辦作為全行轉型驅動的火車頭，其歷史使命已經完成?！皯鹇砸巹澟c執行部”正式更名為“金融科技辦公室”，開始瘦身。除了創新基金管理與部分金融科技研究的職能仍然保留在金科辦，其他職能剝離（例如戰略規劃分到研究院、機構建設分到資產負債部、組織架構分到人力資源部），編制也縮減至不到30人。

綜上所述，數辦的組織設置并不存在唯一的正確答案。隨著銀行的數字化轉型階段不同，組織的數字化能力提升，模式也隨之演進。但無論哪種模式，四大關鍵成功要素都必不可少，也是轉型火車頭順利運轉，銳意前行的基礎。

02

財務資源的配置與管理

創新基金作為數辦的核心抓手之一，其目的是鼓勵金融科技創新，讓全員躬身入局，找到數字化感覺，建立數字化思維，使得全行的數字化能力實現大幅躍遷。然而創新基金在設立與管理過程中，銀行往往存在不少困惑：“創新基金和科技投入是不是一回事？”“創新基金應該投向哪里？”“創新是有風險的，不能保證成功。如何在鼓勵創新與追求投產比之間把握平衡？”BCG基于國內外多家領先銀行的實踐，總結創新基金管理中的三大成功關鍵要素，助力銀行在數字化轉型中敢投、會投，投出能力，投出成效。

成功關鍵要素一：創新基金定位于鼓勵金融科技創新的專項基金，不能與科技投入混為一談

縱觀領先銀行，科技投入與創新基金的分界線清晰?？萍纪度氲亩ㄎ桓觽鹘y，主要投向科技運維（如數據中心運維、基礎設施上云等）與系統建設，由IT部門管理；創新基金強調創新，偏重于對數字化打法的探索（如場景獲客及生態體系建設）與全行金融科技能力的提升，通常由數辦或金科辦來進行統籌管理。

案例6

以國內某領先銀行B為例，科技投入約為營業收入的4%，近年來達到上百億規模。同時，2017年專設創新基金，初始金額為稅前利潤的1%，隨后提升到營業收入的1%，2020年更是提升到了營業收入的1.5%，超過40億。相較于科技投入，創新基金的投向更為多樣，審批使用更為靈活，容錯試錯的空間也更大。

該行的創新基金投向分為三大類：生態場景、中后臺能力提升、創新孵化。其中，第一、二類是主要投向，占比超過90%，第三類占比約為5%。

生態場景：關注生態構建，提升場景獲客、活客的能力，例如飯票、影票、智慧出行、智慧醫療等一系列創新嘗試。為了鼓勵分支行探索數字化打法，與傳統IT投入區分開來，要求創新基金的使用中，硬件設施投入不超過10%，其余均用來做場景的滲透與營銷。

中后臺能力提升：聚焦客戶旅程優化、金融科技在中后臺的創新應用，例如AI外呼提醒理財產品的到期與續購，小微貸款全線上客戶旅程優化，反欺詐模型優化，智能黨建，差旅云平臺。部分創新甚至包裝成拳頭產品，對外輸出給銀行的B端、G端客戶。

創新孵化：聚焦有突破性、潛在商業價值高的創新項目，類風投的形式，由敏捷團隊脫產孵化，成功后甚至能剝離母體，成立單獨子公司。該類項目不確定性高，成功率較低，過去4—5年間，成功孵化的項目比例約為10%。

實操過程中，雖然大原則清晰，但落到特定項目上，有時邊界模糊的情況也會出現，可采取“一事一議”的方式處理。隨著經驗的積累，案例的總結，“一事一議”的情況會越來越少，創新基金的投向將會越來越細化、精準。

成功關鍵要素二：發展階段不同，創新基金的容錯試錯空間與投產比要求需因時制宜

某些銀行在創新基金設立的早期容易陷入“片面追求投產比”的誤區，由于申請難度高，各部門、分支行望而卻步，久而久之，創新基金成為無源之水，難以實現鼓勵創新的目的?；诎l展階段，因時制宜，持續迭代“投資風格”，是創新基金的管理之道。

案例7

以國內領先銀行B為例，創新基金分為兩大發展階段：

“試水期”：在創新基金成立的早期，B銀行放眼國內外，可直接借鑒的實例都不多。雖然高層有戰略眼光，把金融科技提升到全行戰略的高度，但全行絕大多數員工對金融科技到底是什么，如何應用到實際工作中，都充滿困惑。為了培養全員的數字化思維，探索數字化打法，找到數字化感覺，早期的創新基金容錯試錯空間大，采取發散思維，以“百花齊放、小步快跑”的方式讓各部門、分支行申報創新項目，試水金融科技。以2018年為例，申報創新基金的項目約900個，單項目申請基金約200萬，投產上線項目約300個。通過大量的嘗試、復盤、反思，全行探索出了成功范式（例如出行、便民繳費等投產比較高的生態場景，AI外呼輔助大數據營銷的高轉化率場景），也總結出了失敗教訓（例如為停車場、醫院單獨開發App，希望獲客、活客，然而客戶在此類場景中受時間緊張或心情焦慮等因素影響，注冊與轉化率低）。更重要的是，全行培養出了對金融科技的感覺，加之大量數字化人才的引入，金融科技已經融入組織血液與文化，成為自然而然的事。

“成熟期”：隨著數字化轉型的縱深發展，全員金融科技能力的提升，寶貴經驗的沉淀，創新基金的重點向“追求高投產比”的方向演進?！皥鼍熬劢埂奔印翱己司劢埂彪p管齊下，確保資金投入的集中度和有效性。

場景聚焦：每年明確重點場景，專項投入。例如2021年聚焦飯票、影票、便民繳費、出行四大重點場景，將重點場景項目定義為標準化項目，審批流程大幅精簡，在一定金額范圍內，由業務部門直接審批，無需上會。重點場景之外的項目需要金科辦審批上會，一事一議。

考核聚焦：從原有9項考核縮減至3項（即MAU、交易客戶數、客戶留存率），同時更加關注客戶的轉化與留存。

成功關鍵要素三：精細化過程管理，持續優化流程機制，讓創新基金的管理更“精”，跑得更“快”

最大化創新基金的價值，除了規避誤區，還需提升基金的管理效率與使用體驗。

案例8

以國內領先銀行B為例，以“精細化過程管理”和“流程機制優化”兩大抓手，持續提升：

精細化過程管理：通過系統賦能，開展精細化過程管理 

過程管理：針對項目方案書，由金科辦綜合評定項目的資金額度，額度拆分精細（含開發費用、硬件費用、營銷費用、機構費用等）。額度的每筆動支需提交列支方案，明確預期指標的提升和潛在效益，由金科辦開展每季度或半年的回檢，確保費用的動支與初期計劃保持一致，對未滿足階段性目標的項目，額度收回。

系統賦能：創新基金管理系統涵蓋從申請、立項、執行到后評價的全流程。項目立項后，項目組需每周在金融科技創新系統內提交項目周報，詳細描述進展，供評審金科委審閱；同時，系統會根據項目計劃的重要節點，向項目組發出督促和提醒，有效促進項目的落地實施。

流程機制優化：三板斧齊下，大幅加速項目審批、立項與落地速度

審批流程優化：基于項目類型，精簡審批流程。標準化項目從審批發起到立項的平均時間縮短至2到3周，分行負責申報、總行負責立項，歸口業務部門負責初審，金科辦僅做最終評審。一定金額內的標準化項目可以通過系統審批額度的模式，直接由歸口業務部門審查立項，不再集中到總行金科辦上會終審。

采購模式優化：通過分散采購、集中采購兩種模式，充分發揮分行響應快速、操作靈活的特點，有效縮短采購時長。分散采購金額小，由分行自主開展供應商選擇對接、項目價格商榷、合同簽署與供應商管理；集中采購金額大，由總行財務部統一對接供應商完成集采，分行進行后續管理。

成本分攤機制變革：從原有的“總行拿預算、總行記成本”模式轉向“總行拿預算、分行記成本”模式，縮短項目從立項到落地的時間。原有模式需要總行與合作方簽協議，由于法審繁瑣，總、分行間反復溝通等問題，流程長，從立項到落地所需時間往往需要1—2個月。新模式由分行與合作方簽約，從分行計成本。分攤模式的變革，一方面使得分行業務、分行財務、稽核的溝通更為順暢，加速項目落地速度，另一方面使得分行更加關注資金的使用效率。

數辦把握三大成功要素，管理好專項創新基金，猶如為數字化轉型的列車添足了燃料，動力澎湃，加速前行。雖然各行稟賦不一，探索前行不可避免，但借鑒領先銀行的經驗，尤其是初期試錯經驗，可以有效規避誤區，少走彎路。

03

科技治理升級

上一個系列中，強調以組織機制破局，實現業技深度協同，讓科技敏捷起來。本系列聚焦于科技治理升級，一方面探討如何通過治理讓科技更“敏”，另一方面探討如何“敏而不亂”，守住底線。通過對“架構管理”、“采購管理”、“網絡安全”三大子課題的研究，實現“架構管理”把穩舵，“采購管理”提速度，“網絡安全”守底線。

架構管理

管控全行級架構，提升系統、組件、微服務的復用率，避免“豎井式”組織架構容易導致的重復建設。

案例9

以某國內領先銀行A為例，根據項目規模，建立三層評審架構和“一上一下”的管理機制，一方面對齊業務需求，高度復用，快速響應；另一方面強化架構規范，提升可用性、性能與可拓展性。

三層評審架構：根據項目規模，決定在哪個層級進行架構評審。項目金額在50萬以內，對應“團隊級”；50萬到200萬之間，對應“條線級”；超過200萬，對應“全行級”。

團隊級架構師：內嵌于業務部門，根據業務團隊的劃分，由專人負責具體業務系統的架構評審和詳細設計工作。

條線級架構師：內嵌于業務條線，了解業務，熟悉條線內（如對公、零售、信用卡）的系統架構，避免條線內的重復建設。

全行級架構師：聚焦于特定技術領域，如網絡、安全、平臺框架、基礎軟件、服務器、數據庫，針對重大項目進行特定技術領域評審。

針對全行級、跨條線的系統整合或模塊復用，由全行CTO把控。

“一上一下”的管理機制：業務端“一上”，從下向上，提交業務需求，明確哪些新建、哪些復用；技術端“一下”，自上而下，確保架構規范、應用開發標準、IT平臺（如Halo框架）和工具應用等要求落地，強化整體架構的一致性和穩定性。

案例10

以國內領先銀行B為例，與A銀行機制類似，唯一的區別在于，在創新基金的管理過程中，金科辦通過對業務需求的評審，在全行級架構層面對跨條線的系統整合或模塊復用進行審議，由架構專家、業務專家和其他支持部門（如風險、計財，視需而定）組成評委會決策，形成統一管理扎口。

采購管理

隨著轉型項目數量的大幅提升，科技外包的采購量也日益增加。采購作為嚴監管領域，流程步驟上的精簡程度有限，加之采購人員數量不足，導致采購需求堆積，采購耗時長，成為轉型中的痛點和堵點?！皬牟少徯枨筇岢鋈?，到供應商入場，跑個流程就要3個月以上，項目推進怎么快得起來？轉型怎么快得起來？”為提速采購，領先銀行從根源入手、標本兼治。

案例11

以國內某領先銀行B為例，以“提升自主可控”、“增加采購人員”、“差異化采購流程”三大舉措應對挑戰：

提升自主可控：靈活運用科技子公司編制，實現人才的補充，強化科技力量，持續提升自主可控比率，從根源上減少外采需求。

增加采購人員：按需增加采購人員編制，消除人員瓶頸，緩解采購壓力。該行對標同等體量的銀行D，采購人員人數約為50人，是D行的5—6倍。

差異化采購流程：針對特定項目（如重大項目、基礎性IT項目、核心業務數字化項目），設立采購綠色通道。通過差異化采購流程，壓縮采購完成時限，提升對業務需求的快速響應能力。一般采購通常在30—60天完成，而綠色通道采購通常在15—30天左右完成，時長減半。

網絡安全治理

隨著網絡安全監管趨嚴、銀行應用與數據復雜度大幅提升、外部環境挑戰日益嚴峻，銀行對網絡安全治理愈加重視。從“十三五”到“十四五”，網絡安全在五大維度上呈現顯著變化。

從“新技術應用”到“新技術安全防范”：隨著新技術（如云計算、大數據、人工智能、區塊鏈）在業務中的應用，技術本身不僅帶來了新能力，同時也帶來了新的安全隱患。如人臉識別在登錄、支付中廣泛應用，同時也面臨著人臉可復制、不穩定性高等風險。在新技術的引進過程中，銀行需要跟蹤技術發展，建立對新技術的安全防護能力。

從“內部自建”到“生態共建”：原有模式下，銀行只關注自己研發的系統組件，把控內部安全即可，隨著開放銀行日益興起，與外部生態的對接成為必然，也帶來了新的安全隱患，如銀行App通過SDK內嵌某地圖軟件，曾出現過SDK竊取客戶照片、地理位置信息的情況?！吧鷳B共建”的大環境下，銀行需建立調用外部代碼和接口的安全防護能力。

從“測試介入”到“全生命周期管理”：原有模式下，軟件開發通常在滲透測試環節才發現問題，切入時點晚，變更成本高，影響交付速度。通過SDLC（軟件開發生命周期）安全管理，在需求分析階段介入，明確安全要求，設計安全方案，并在開發、測試、上線環節確保安全需求的落地，避免后期暴露大量安全隱患，導致回爐返工的問題。

從“依托國外廠商”到“信創”：原有模式下，科技底層標準、架構、產品多數都由國外科技公司來制定，由此存在諸多的底層技術、信息安全、數據保存方式被限制的風險。在“信創”大背景下，強調自主可控，提升國產化基礎設施與系統應用，并建立相應的安全防護能力。

從“以防為主”到“攻防兼備”：原來銀行僅僅關注于如何做防守，只配備安全防守團隊，現在隨著全國性網絡安全行動的開展，強調知己知彼，要求知攻知防，銀行紛紛組建了攻擊團隊，實現攻防兼備。

案例12

以國內某領先銀行A為例，一方面強化頂層規劃，構建全面安全體系，另一方面完善SDLC（軟件開發生命周期）管理，提升應用系統的健壯性：

頂層規劃，全面防護：統籌設計全行安全運營體系，通過事前、事中、事后“三部曲”，構建全流程安全防護能力。

事前風險防控：制定基線和安全標準（如服務器設置、數據使用、加密標準）。

事中應急控制：大數據平臺實時監控網絡安全數據（如網絡流量、安全日志、應用交互行為），及時響應。

事后追溯改進：開展對安全事件的全鏈條回溯分析，通過漏洞查抄、漏洞修復、策略調整等關鍵步驟，持續優化安全體系。

安全左移，SDLC管理：由被動變主動，針對具體應用，從需求階段介入，細化各業務場景下的基礎安全要素和要求，落實到具體環節和具體動作（如登錄環節需要完成幾輪驗證、數據傳輸環節需要執行哪些加密協議、交易執行環節存在哪些潛在隱患），將整套的安全開發生命周期管理嵌套進原有開發流程，提升研發團隊及安全團隊的工作效率。上線后對接安全運營平臺，將過程中的各類數據指標可視化展示，便于追蹤和管控。

關于作者

何大勇是波士頓咨詢公司（BCG）董事總經理，全球資深合伙人，BCG金融機構專項中國區負責人。如需聯絡，請致信He.David@bcg.com。

譚彥是波士頓咨詢公司（BCG）董事總經理，全球合伙人。

孫蕾是波士頓咨詢公司（BCG）合伙人。

孫中東是波士頓咨詢公司（BCG）智庫資深顧問。

本文轉載自微信號BCG波士頓咨詢（BCG_Greater_China），已獲作者授權。

責任編輯：方杰