淺談建立健全城市商業(yè)銀行信息科技風(fēng)險管理體系

1、淺談建立健全城市商業(yè)銀行信息科技風(fēng)險淺談建立健全城市商業(yè)銀行信息科技風(fēng)險管理體系管理體系摘要：該文根據(jù)我國城市商業(yè)銀行信息科技風(fēng)險管理現(xiàn)狀，結(jié)合《商業(yè)銀行信息科技風(fēng)險管理指引》和銀行信息科技風(fēng)險管理工作實踐，采用理論聯(lián)系實際的分析方法建立和完善適合城市商業(yè)銀行信息科技風(fēng)險管理體系的框架。關(guān)鍵詞：城市商業(yè)銀行；信息科技；風(fēng)險管理；體系近年來隨著我國金融行業(yè)的蓬勃發(fā)展，銀行信息科技建設(shè)迅猛發(fā)展。一方面，信息科技建設(shè)為銀行業(yè)務(wù)的發(fā)展提供了廣闊

2、的空間和服務(wù)手段；另一方面，銀行業(yè)務(wù)對信息科技的依賴程度越來越高，使得計算機(jī)信息系統(tǒng)的安全性、可靠性和有效性直接關(guān)系到整個銀行業(yè)的安全和國家金融體系的穩(wěn)定，其自身的脆弱性以及面臨的各種威脅也形成了現(xiàn)代金融風(fēng)險。為進(jìn)一步加強(qiáng)商業(yè)銀行信息科技風(fēng)險管理，銀監(jiān)會于2009年6月發(fā)布了《商業(yè)銀行信息科技風(fēng)險管理指引》（以下簡稱《管理指引》），為我國商業(yè)銀行建立完善的信息科技風(fēng)險管理體系提供了制度保證和指導(dǎo)方向。如何能有效的控制信息科技風(fēng)險、安全管

3、理，是目前商業(yè)銀行尤其是城市商業(yè)銀行普遍面臨的難點。城市商業(yè)銀行處于我國銀行業(yè)第三梯隊，由于科技建設(shè)起步晚、發(fā)展規(guī)模小、網(wǎng)點少，使得科技投入均攤成本較大，信息科技風(fēng)險管理環(huán)節(jié)較為薄弱，因此，建立切實可行的、完善的城市商業(yè)銀行信息科技風(fēng)險管理體系尤為重要。一、提高信息科技風(fēng)險管理意識目前，各銀行都普遍認(rèn)識到信息科技建設(shè)對銀行業(yè)務(wù)發(fā)展的重要性，投入大量資金對業(yè)務(wù)系統(tǒng)、機(jī)房、電子渠道等實體信息系統(tǒng)進(jìn)行升級和改造，科技支撐效果十分明顯。對于銀行

4、風(fēng)險管理，高管層往往更重視如何控制業(yè)務(wù)風(fēng)險、搞好經(jīng)營、擴(kuò)大規(guī)模等，而信息科技風(fēng)險管理需要一定的投入且見效不明顯，因此往往忽略了信息科技風(fēng)險的管理，從而導(dǎo)致風(fēng)險管理人員配備不足，信息科技風(fēng)險培訓(xùn)較少，缺少完整、系統(tǒng)的信息科技風(fēng)險的概念和相關(guān)知識，對項目開發(fā)和變更管理情況、業(yè)務(wù)持續(xù)性計劃等認(rèn)識不足，造成部分管理人員認(rèn)為信息科技風(fēng)險就是保證業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)的狹隘觀念，極易忽視了自身各級系統(tǒng)的漏洞排查和風(fēng)險防范?！豆芾碇敢芬?guī)定了商業(yè)銀行法定代

5、表人是本機(jī)構(gòu)信息科技風(fēng)險管理的第一責(zé)任人，負(fù)責(zé)組織本指引的貫徹落實；并就董事會應(yīng)履行的信息科技管理職責(zé)做了具體的規(guī)定，這為銀行信息科技風(fēng)險管理提供了制度保證，提升了管理人員特別是高管人員在銀行經(jīng)營過程中對信息科技風(fēng)險管理的重視程度。二、建立有效的信息科技風(fēng)險管理組織架構(gòu)目前大多數(shù)中小城市商業(yè)銀行由于管理人員數(shù)量少的短板，無法像國有大型商業(yè)銀行那樣建立完善的信息科技風(fēng)險管理組織架構(gòu)，大部分沒有成立相關(guān)信息科技風(fēng)險管理的領(lǐng)導(dǎo)和決策機(jī)構(gòu)，銀行

6、科技部門獨立于其它業(yè)務(wù)部門之外現(xiàn)象比較普遍，人員數(shù)量不足，系統(tǒng)開發(fā)、技術(shù)支持、系統(tǒng)操作維護(hù)和系統(tǒng)安全不能嚴(yán)格分開，主要技術(shù)支持崗位未實現(xiàn)崗位定期輪換同的地理位置，實現(xiàn)兩地網(wǎng)絡(luò)資源的負(fù)載均衡，從而降低單點運行安全風(fēng)險。（二）計算機(jī)病毒防護(hù)在計算機(jī)和操作終端上部署經(jīng)過國家認(rèn)證的防病毒軟件，并設(shè)置一臺網(wǎng)絡(luò)防病毒服務(wù)器，定期對防病毒軟件客戶端進(jìn)行升級，從而對進(jìn)入銀行內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行層層過濾和檢測，實現(xiàn)從網(wǎng)關(guān)到主機(jī)、終端以及應(yīng)用系統(tǒng)的防病毒體

7、系。同時，重要業(yè)務(wù)系統(tǒng)配置安全等級高的數(shù)據(jù)加密設(shè)備嚴(yán)格密鑰管理，并對主要業(yè)務(wù)系統(tǒng)進(jìn)行安全等級認(rèn)證，根據(jù)認(rèn)證級別部署安全策略。另外，根據(jù)銀行信息系統(tǒng)實際情況，對操作系統(tǒng)進(jìn)行更新升級，確保系統(tǒng)穩(wěn)定運行。（三）數(shù)據(jù)和系統(tǒng)備份目前，大多中小城市商業(yè)銀行因條件所限，重要業(yè)務(wù)系統(tǒng)服務(wù)器采用雙機(jī)冷備模式，雖然降低了系統(tǒng)集成成本，但增加了業(yè)務(wù)運行風(fēng)險。建議關(guān)鍵、連續(xù)性業(yè)務(wù)系統(tǒng)采用雙機(jī)熱備份模式，即在一臺服務(wù)器出現(xiàn)故障時，另一臺服務(wù)器自動接管故障主機(jī)資源

8、，從而保證業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運行；而對于其他次要信息系統(tǒng)可采用冷備模式。另外，重要業(yè)務(wù)系統(tǒng)一定要按照數(shù)據(jù)備份管理制度，做好業(yè)務(wù)系統(tǒng)和數(shù)據(jù)備份，并定期進(jìn)行數(shù)據(jù)的恢復(fù)驗證，確保數(shù)據(jù)有效性。中小城商行由于資金投入有限，大都未建立異地災(zāi)備中心，或僅在異地建立了數(shù)據(jù)級備份中心，建議可采取兄弟銀行互建災(zāi)備中心的模式，在保證安全、防范風(fēng)險的同時降低建設(shè)成本。（四）先進(jìn)的電子化綜合監(jiān)測平臺長期以來，在信息安全監(jiān)控方面，大都由人工進(jìn)行系統(tǒng)監(jiān)測，即使有專

9、門的監(jiān)測管理軟件，也是逐個針對單獨的主機(jī)、防火墻、網(wǎng)絡(luò)設(shè)備去做監(jiān)控，沒有整合為統(tǒng)一的監(jiān)控管理平臺。借鑒山東省農(nóng)信社信息科技風(fēng)險管理經(jīng)驗，利用IT運維管理系統(tǒng)，將網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫以及UPS、空調(diào)、溫濕度、消防等機(jī)房基礎(chǔ)設(shè)施納入統(tǒng)一的監(jiān)控管理平臺，進(jìn)行統(tǒng)一的監(jiān)控和安全事件關(guān)聯(lián)分析，建立知識庫，方便日后風(fēng)險排查，并實現(xiàn)全省統(tǒng)一的信息系統(tǒng)集中監(jiān)測，增強(qiáng)了銀行信息系統(tǒng)的整體安全防范能力。除了以上主要信息安全技術(shù)措施，還可以通過數(shù)字簽名認(rèn)證、

10、身份識別、日志審計系統(tǒng)、VPN加密、帶庫等技術(shù)手段實現(xiàn)各類信息系統(tǒng)的風(fēng)險管理。五、構(gòu)建全面的信息科技風(fēng)險運維管理體系（一）科學(xué)的運維組織架構(gòu)城市商業(yè)銀行作為獨立法人，麻雀雖小卻五臟俱全，與各大國有商業(yè)銀行相比，核心業(yè)務(wù)系統(tǒng)、現(xiàn)代化支付系統(tǒng)、網(wǎng)上銀行、呼叫中心、辦公自動化、績效考核系統(tǒng)以及人民銀行、銀監(jiān)會要求的各類數(shù)據(jù)上報系統(tǒng)等一個都不少，加之城信社改制歷史沿革下來的弊端，面臨信息化建設(shè)任務(wù)重、人員素質(zhì)參差不齊、職責(zé)分工不清、人員組成缺乏