資訊化給中小城市商業銀行帶來好處的同時,也帶來了新的風險,下面是小編蒐集整理的一篇關於中小城市商業銀行資訊安全現狀探析的論文範文,供大家閱讀檢視。
一、銀行業資訊安全概述
就銀行業而言,幾乎所有的業務都執行在IT基礎設施之上,尤其是新出現的金融產品和服務更加趨於開放和互聯,進一步加強了對資訊系統的依賴程度。
資訊系統和資訊安全已經成爲操作風險管理的重要內容。資訊的保密性、完整性、有效性以及資訊系統可用性對銀行業務的成敗起着至關重要的作用。
美國的金融服務現代化法案(GLBA,Gramm-Leach-Bliley Act),要求銀行對某些關鍵資訊的保密性、完整性等進行保護。巴塞爾銀行監管委員會設立的電子銀行小組(EBG)發表了《電子銀行風險管理原則》,確定了進行電子銀行業務風險管理的14條基本原則,這些大都已經在銀行資訊安全管理中得到了不同程度的應用。《新巴塞爾協議》強調在進行風險管理的時候,不僅僅要重視傳統的信用風險,而且要將操作風險放在一個重要的地位。
在中國,金融監管部門對於資訊安全也作出了相應的界定。中國銀行業監督委員會《商業銀行資訊科技風險管理指引》(銀監發〔2009〕19號)如此定義:資訊安全風險是指資訊系統在規劃、研發、建設、執行、維護、監控及退出過程中,由於技術和管理缺陷產生的操作、法律和聲譽等風險,具有技術性高、涉及範圍廣、隱蔽性強等特徵。
資訊安全管理在中小城市商業銀行面臨挑戰。首先是技術問題,表現爲計算機硬件、軟件、網絡以及相應業務資訊系統所引發的異常情況,包括程序錯誤、系統宕機、軟件缺陷、操作失誤、硬件故障、容量不足、網絡漏洞、故障恢復災難備份以及應急處理等諸多內容。
其次是管理問題,不僅包括資訊系統的管理,而且包括中小城市商業銀行各種業務數據的管理。本文就資訊系統及其產生的數據,結合中小銀行的特點,在運維、日常使用、應急處置過程中由於管理缺陷產生的風險隱患等方面的內容展開討論。
二、中小城市商業銀行資訊安全現狀
(一)資訊安全意識不強,綜合管理能力受限
我國中小城市商業銀行規模小、網點少、資訊化建設起步晚,因此資訊安全意識和管理綜合能力遠落後於資訊系統的發展需求。主要體現在以下幾方面。
首先,中小城市商業銀行的自身性質使進階管理層更加關心財務報表,而忽視服務這些財務報表的資訊系統,甚至不能明確資訊安全是什麼。對於資訊安全的投入大部分限於基礎設備和系統,卻不知其資訊系統的可用性、資訊資產的保密性、可控性對其業務的重要作用。
其次,中小城市商業銀行員工普遍認爲,資訊安全管理工作的效果取決於資訊技術,卻不知道用戶對資訊系統的.每個操作都具有威脅的可能,操作不當將轉變爲風險。如資訊系統終端密碼長度的最小設定和定期性更改就是最爲簡單的安全設施,但對於規範的設定,部分員工認爲其降低了工作效率。IDE統計的數據表明,企業中資訊系統相關服務中斷,78%以上是人爲造成。
最後,中小城市商業銀行資訊系統的運維人員則把資訊安全管理工作看成是技術問題,過分強調資訊系統的可用性,認爲資訊安全管理工作就是網絡安全和核心主機安全。其實資訊安全更多應該是個管理問題,資訊系統的可控性和保密性是資訊安全不可或缺的部分,合理的管理制度與嚴格的落實才是保障資訊安全的基礎。
(二)資訊建設投入不足,系統軟硬件環境落後
受各方因素掣肘,中小城市商業銀行普遍存在資訊化基礎設施投入不足,無法滿足業務發展需要的問題。
在對全國31個省、自治區和直轄市的四百多家中小城市商業銀行進行調查時發現,受訪的中小城市商業銀行72.56%認爲資訊安全相關的技術人員不能滿足工作需要,約18%認爲機房場地不足,9.32%認爲資金投入不足。31.25%的受訪者認爲系統災備能力不足,29.50%認爲資訊系統的冗餘容錯能力不足。
國際標準通常如此建議,如果銀行的核心業務系統主機容量使用率超過60%,就須擴大系統容量,但國內很多銀行IT基礎設施都不能滿足該指標,如工行等國有銀行該項指標的平均使用率爲67%,個別中小銀行甚至高達90%。
(三)缺乏風險管理標準,應急處置能力有限
資訊化給中小城市商業銀行帶來好處的同時,也帶來了新的風險,諸如資訊系統本身的設計規劃不當、人爲操作錯誤和攻擊破壞,以及安全管理制度的不完善或執行不到位等,都會引起系統故障以及業務中斷。但首先這些銀行並未建立資訊系統風險識別、度量、監測、報告和控制管理標準,對於資訊系統的威脅和風險事件不能透過科學的方法提前發現,只能在問題出現後被動應對。其次,資訊系統的災備系統和容錯能力難以滿足業務安全性的要求,應急事件處置流程缺少業務部門的主動參與。就業務流程來說,其每個環節幾乎都能觸發資訊安全事件,因缺乏對風險的識別和處理能力,資訊系統一線業務人員通常在其出現問題時纔會求助技術部門,應急事件處置被動,甚至影響系統的安全性。
三、構建資訊安全體系的建議
(一)多層次培訓提升資訊安全綜合能力
首先,樹立正確的資訊安全觀念,建立牢固的資訊安全意識。資訊安全錯綜複雜,且與中小城市商業銀行業務、發展戰略和內部管理關係密切,與每個資訊系統的參與者息息相關。只有思想上的重視、制度上的合理以及操作上的合規才能保障資訊系統的安全。
其次,加強對監管層關於科技風險治理資訊安全檔案的學習,加大對資訊安全管理的實施者的專業培訓,以此轉變技術人員的觀念,提高預防性管理水平,從而保障網絡安全和核心主機安全,做好技術支援。
(二)建立與業務架構相關的資訊安全管理體系
當今商業銀行業務對資訊系統的依賴程度不斷加深,商業銀行的業務創新基本上離不開資訊系統的有效支撐。資訊系統都是以服務業務爲宗旨,僅靠中小銀行內部的個別部門無法做好資訊安全管理工作,因此建立合適的中小城市商業銀行資訊安全管理體系顯得尤爲重要。
從商業銀行的業務組織架構着手,參照國際資訊安全管理標準體系ISO/IEC17799,銀監會發布的《商業銀行資訊科技風險管理指引》等行業標準,結合不同資訊系統的威脅和風險,建立與自身發展戰略相適應的資訊安全管理組織架構、管理制度等。明確最高管理層對資訊安全管理的決策力和推動力,進階管理層對資訊安全管理、風險管理重要事項的決策和協調作用,制訂資訊安全管理方案,包括資訊科技安全標準、策略、實施計劃和持續維持計劃等。落實部門負責人對資訊安全管理、風險管理的職責,定期向上級主管部門提交資訊安全評估報告,確保資訊安全管理與發展戰略一致,使組織內部的溝通協調能夠順利進行,推動資訊安全管理工作有效落實。
(三)建立分級內控把控資訊安全風險
巴塞爾銀行監管委員會發布的《操作風險管理與監管的穩健做法》指出,“銀行應該制訂控制和/或緩釋重大操作風險的政策、程序和步驟。銀行應該定期檢查其風險限度和控制戰略,並且根據其全面的風險喜好和狀況,透過使用合適的戰略,相應地調整其操作風險狀況”,“董事會要確保本行的操作風險管理系統受到內審部門全面、有效的監督,內審部門必須擁有一支獨立運作、訓練有素、業務精良的內審隊,內審部門不應直接負責操作風險的管理”。2003年7月發佈的《電子銀行業務的風險管理原則》安全控制部分要求商業銀行從資訊系統的保密性、完整性和可用性等方面做好自身資訊安全工作,涉及客戶身份識別、授權,業務交易的不可抵賴性、責任認證,交易和業務資訊的完整、保密和可控等方面。
銀監會的《商業銀行資訊科技風險管理指引》內部審計部分也對商業銀行作出類似要求,“商業銀行內部審計部門應根據業務的性質、規模和複雜程度,對相關係統及其控制的適當性和有效性進行監測。內部審計部門應配備足夠的資源和具有專業能力的資訊科技審計人員,獨立於本銀行的日常活動,具有適當的授權訪問本銀行的記錄。”
商業銀行應從業務和技術兩個層面,對銀行內部資訊安全進行細分,結合本身資訊安全現狀制訂完善的安全管理規章制度以及工作流程。業務層面應該基於業務操作和流程對業務人員、管理人員作出規定,明確誰操作誰負責,誰使用誰負責;內部審計部門要負責全行內控制度的檢查與監督功能,對內控資訊安全風險點作出評級並提出改進建議。在技術層面應基於如ISO/IEC 17799等國際標準及國內監管機構出臺和制訂的資訊安全標準和制度,從資訊系統的物理環境安全、網絡環境安全、系統應用安全、運維管理安全等角度,明確誰運營誰負責,誰維護誰負責。制度流程應約束管理層遵從事前要預防、事中要檢查、事後要審計三原則,制度內容應包括安全組織、人員管理、安全策略、應急響應等,並根據資訊安全形勢和需求及時修訂和補充。
(四)建立量化資訊安全評級標準
鑑於銀行業務的不斷髮展和資訊技術的持續更新,資訊系統始終處在不同的變更過程中,這也導致新的安全漏洞和威脅不斷出現,中小城市商業銀行的資訊資產也會持續出現新的安全脆弱點,從而影響到整個資訊系統的安全風險狀態和安全等級。巴塞爾銀行監管委員會對此也作出明確要求,其發佈的操作風險的第5條管理原則指出:銀行應該建立經常性的操作風險監控流程,定期向管理層報告操作風險的相關資訊,實現對操作風險的積極管理。
中小城市商業銀行應建立一套動態的資訊安全狀況跟蹤和監控機制。內容應涉及機房環境、網絡安全、安全運維、主機應用安全、應用接入端資訊安全管理等模組。可以參考銀行業監督管理委員會發布《銀行業金融機構資訊系統風險管理指引》科技治理部分。《人民銀行資訊系統資訊安全等級保護實施指引(試行)》等規定設計符合自己需要的威脅和風險事件列表,以此爲量化資訊安全的標準並定期進行評估,形成評估安全基線,對資訊安全工作有整體、客觀的把握。重點監控威脅程度高的預定義事件,並建立應急預案。
(五)完善資訊安全基礎環境建設
中小城市商業銀行的核心業務系統基本建成,但其資訊系統軟硬件環境遠落後於業務發展需要,尤其是不能滿足資訊安全相關要求。雖然國內目前還沒有明確的容災備份標準,但考慮到中小城市商業銀行業務系統服務中斷,業務數據不可恢復會對其造成災難性打擊的可能,應積極建設災備系統,將異地數據、業務中心寫入中小城市商業銀行的公司發展戰略中,作爲完善應急處理機制的核心內容之一。在建設災備和異地中心時,透過參考現有的國際容災標準SHARE 78等來制訂符合自身的建設標準和維護制度,加強管理,並透過共建和引入金融雲技術方案等方式來降低初期的成本投入。
參考文獻:
[1]何茂春.商業銀行資訊科技風險的量化計量研究[J].金融論壇,2009(2):42-48.
[2]馮登國.國內外資訊安全研究現狀及其發展趨勢[J].網絡安全技術與應用,2001(1):8-13.
[3]馬希佳.銀行資訊安全規劃概述[J].華南金融電腦,2007(7):64-66.
[4]紀恆建,劉智廣.河北省中小商業銀行資訊科技風險狀況調查[J].金融教學與研究,2008(4):35-37.