给中小商业银行信息安全建设的三点建议
[导读]调查显示,大多数中小商业银行信息系统建设都存在滞后问题,系统运行、网络安全、数据集中、系统设计、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴露在我们的面前,形成了一定的安全隐患。
随着我国银行业信息系统建设持续发展,核心业务系统、网上银行、自助终端、银行卡等具有高科技含量的系统和设备被广泛应用,在提升金融服务效率和增加服务品种的同时,信息系统潜在的风险也逐渐显现。调查显示,大多数中小商业银行信息系统建设都存在滞后问题,系统运行、网络安全、数据集中、系统设计、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴露在我们的面前,形成了一定的安全隐患。
一、我国中小商业银行信息安全现状
(一)建设趋规范:金融监管延伸至信息化领地
在我国金融业从传统运作模式向现代运作模式转变的背景下,金融监管开始适应金融业的信息化运作模式,更加具体细致地与信息技术联系在一起。2007年,公安部、国家保密局、国家密码管理局、国务院信息工作办公室颁布了《信息安全等级保护管理办法》。2006年人民银行出台了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》,2009年9月,人民银行对全国66家银行业金融机构网银系统安全进行了现场检查,并通过跟踪整改,促进各银行提高对信息安全保障工作的重视程度,同月,人民银行在银行业信息安全通报会上表示,要将银行信息安全纳入考核。银监会制定的《电子银行业务管理办法》、《电子银行安全评估机构业务资格认定工作规程》、《电子银行安全评估指引》、《商业银行信息科技风险管理指引》等法规制度相继出台,各商业银行也大力推动了IT审计的进程。归纳起来看,这几部法规强调了三个重点。一是关于银行业金融机构完善IT治理结构方面,通过构建和完善金融机构内与信息技术应用有关的组织架构及工作程序,有效地识别、度量、跟踪和控制信息技术风险。二是规定了从事某些严重依赖信息技术的银行业务的资质。三是对风险的识别、计量、管理,与国际银行业的发展趋势相一致。
(二)发展有差距:中小商业银行信息安全建设整体水平落后于股份制商业银行
近年来,我国各股份制商业银行为了提高竞争力,相继对核心业务系统和后台管理系统进行了改造开发,信息化发展水平相对比较先进,且信息安全体系较为健全。目前,大部分股份制银行或是稳健引进国外核心业务系统,或是通过自身的研发力量,不断地在原有系统基础上,打造出更适合未来发展的新系统,以全面提升信息化建设水平为落脚点,在信息安全管理方面作出了令人瞩目的成绩。相比之下,中小商业银行,特别是城市商业银行、城信社、农村商业银行、农村合作银行及农信社的信息化建设严重滞后于业务发展的需要,其信息安全管理亦存在较多隐患。
(三)防范多漏洞:中小商业银行信息安全隐患骤增
中小型金融机构信息系统众多安全环节都存在漏洞,首先是核心数据的安全没有保障,表现在:第一,核心计算机机房的建设符合标准的不多,在选址、供电、机房的建设标准、机房的安保措施都或多或少存在问题。第二,没有能力建设自身的异地备份中心,所有的数
据存在于一个点上,如果发生极端情况,后果将是灾难性的。其次,在建设过程中,因为没有统筹考虑,对于系统安全部分的硬件设施、软件设计模块缺乏,造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。再次,在系统投入生产后的运维周期,主要依靠系统承包商,自身的能力不足以做好运维工作,人力风险明显。
二、中小商业银行信息安全风险分析
(一)IT外包风险-忽略业务连续性的无奈选择
在国内中小银行IT外包迅速发展的同时,也面临诸多风险。一是市场风险。中国的IT服务市场仍不够成熟,一旦IT外包后,商业银行需要借助外包商的力量规避市场需求变化的风险,且银行也不可能轻易涉入外包商的经营管理工作中,对中小银行而言,市场的不确定性很大。二是技术风险。外包商研发能力与银行现有的技术不匹配.就会严重阻碍银行的信息化进程;外包商采用的新技术不够成熟,将危及整个计算机应用系统的稳定性和安全性。三是交易风险。由于外包市场的不成熟,服务标准的不完善,交易双方市场信息的不对称,商业银行在价格、质量、时间等方面承担一定的风险。四是战略风险。易造成核心信息外泄。
(二)灾备恢复风险-效益与成本之间的两难选择
灾备中心的运营是构建业务连续管理体系非常重要的一环。一个运行良好、作用有效的灾难备份与恢复体系建设不仅涉及IT、业务、财务、后勤保障等部门,还需获得消防、电力和电信行业等相关部门、单位的支持,以确保相应的配套资源。2005年以来,为应对因数据大集中而带来的技术风险集中,以工商银行为代表的国有商业银行采取了自建灾备中心的措施,多数全国性股份制商业银行也基本完成了灾备中心建设。但出于成本考虑,中小商业银行的灾备建设还未出现良好的“中国模式”。中国的中小商业银行,特别是城市商业银行在系统灾难备份方面几乎是空白。
(三)信息安全认识偏差产生的风险-运行机制不健全的产物
与国有商业银行及股份制银行相比,我国中小商业银行的信息化进程起步较晚,对随之而来的信息安全问题一定程度上存在认识偏差。以咸阳中小商业银行为例,大部分对于信息安全与网络安全的区别认识不清,仅重视安全工具投资而忽视管理投资,大多信息安全工作不成体系。在当前信息化由局部化应用向一体化应用演变、信息管理由分散化向集中化过度的背景下,这种由认识偏差而产生的风险极易导致信息化建设重复投资、管理无序,由此而带来的信息安全隐患亦随着信息化进程的加速而倍增。
三、我国中小商业银行信息安全建设的战略选择
相较国有商业银行及股份制银行,中小商业银行在信息安全建设方面处于后来者的地位,在自筹资金有限,管理水平较低,硬件设备投入不够的紧迫压力下,为避免重复投资、无序管理,一个科学合理的规划尤为重要。可预见的一段时期,我国中小商业银行的总体目标应是:通过建立完善的信息安全管理制度和安全防御技术手段,构建一个包括管理体系、组织体系与技术体系相结合的全方位、多层次、可动态发展的纵深安全防范体系,为金融业务的
发展提供一个坚实的基础保障。为实现上述目标,我国中小商业银行信息安全建设应在战略上作出以下策略选择。
(一)以确保信息安全建设的协调性、开放性和持续性为战略重点进行远期规划
中小商业银行必须重视做好全面、系统的信息系统架构,将安全融入整个信息系统生命周期中,通过借鉴其他银行的成功经验,明确阶段性建设目标,力争在前期以最少的资金投入获得高标准的信息服务和安全保障。中小商业银行信息安全远期规划的首要任务是组织行内外力量,结合本行信息化建设的中长期发展规划和经营管理战略,在充分把握金融信息技术发展趋势的基础上,全面分析银行外部经营环境及内部经营环境,立足现实的资源能力,对银行信息安全建设的总体目标、实施步骤、关键技术、相关规范、阶段划分及费用评估进行统筹安排。
(二)以健全和完善IT安全治理机制为重点,提高信息安全的管理绩效
当IT成为银行业务发展和管理不可或缺的组成部分,并在提供收益的同时带来风险时,银行对IT必须从管理走向治理。有效的IT安全治理需要解决三个方面的问题。首先是明确目标。一是必须确保银行IT安全治理与IT治理的目标、内容、步骤环环相扣,紧密衔接,并作为银行公司治理整体的一部分和谐共存。二是明确IT治理的决策内容,即IT原则、IT架构、IT基础设施、IT商业应用及IT投资。三是根据自身实际情况制定IT安全治理计划。其次是解决IT安全治理的组织性问题,关键是准确定义银行IT安全治理的角色和职责。最后是完善IT安全治理的控制机制。一是IT投资的控制机制。应根据银行IT安全管理的实际情况,针对薄弱环节,按安全级别进行排序,优先把资金投入到银行急需的IT安全资源中。二是IT安全治理的监控机制。
(三)以加强IT风险管理为重点,全面构筑信息安全保障体系
一是加强组织管理体系建设,落实风险管理和安全运行责任制。重点在发现整个信息系统的薄弱环节,区分业务风险和信息系统风险,制定出相应的风险防范办法加以落实并对结果进行检查,建立起自身的风险防范机制。二是加强信息安全保障体系建设,完善应急反应体系和商业银行业务连续性计划,加快建立灾备恢复体系,建设应急储备仓库,仓库中应包括相关的硬件、软件、人员、技术、文档和所有的系统相关的外部资源。三是加强安全管理制度建设,通过常规安全审计等方法对IT风险进行排序,做好计算机运行的安全检查工作。四是完善与商业银行数据集中相适应的安全和管理体系,最大限度地降低系统运行风险,保障银行业务处理系统的平稳运行。五是建立健全包括内部员工、IT供应商、安全责任人和保险人在内的风险消除机制。
相关文章
- 经济学类本科论文参考题目
- 商业银行供应链金融业务的发展与对策建议
- 20**年电子商务行业现状及发展趋势分析
- 中小外贸企业融资现状
- 如何解决我国中小企业融资难
- 我国商业银行对中小企业支持策略研究
- 中小企业融资问题研究[1]
- 中小企业会计信息化问题探讨
- 金融办工作计划
经济贸易学院 关于2006届毕业生论文指导选题的说明 各位指导教师及经贸院毕业生: 为了使我院教师所指导的毕业生在确定选题过程中更具有针对性,现对论文选题做以下说明: 1.论文选题应该结合自己专业为根本,不以指导教师专业特长作为指针,遵循双 ...
第29卷第2期2010年4月郑州航空工业管理学院学报(社会科学版) JournalofZhengzhouInstituteofAeronauticalIndustryManagement(SocialScienceEdition)Vol.2 ...
2016-2022年中国电子商务行业发展现状调 研与发展趋势分析报告 报告编号:1801056 行业市场研究属于企业战略研究范畴,作为当前应用最为广泛的咨询服务,其研究成果以报告形式呈现,通常包含以下内容: 一份专业的行业研究报告,注重指导 ...
中小外贸企业融资现状及对策分析 中小外贸企业融资现状及对策分析 南京工业大学经济管理学院 !摘要" 张晓月 外贸体制改革使越来越多的中小外贸企业获得了进出口经营权#但同时对企业的融资能力也提出了更高的要求#融资困难已 成为中小外贸 ...
作者:赵红莉 事业财会 2008年11期 我国的中小企业虽然在经济生活中发挥着日趋重要的作用,但在其发展过程中依然面临着种种困难.自20世纪90年代后期以来,融资困难已经成为制约我国中小企业发展的最大障碍. 一.我国中小企业融资难现状分析 ...
摘要:中小企业的发展能够满足人民群众不同层次的需求,创造更多就业机会,缩小城乡差距,这对于我国实现建立和谐社会目标具有十分重要的意义.但融资困难却一直困扰着中小企业,使其发展潜力和速度受到严重制约.而目前我国商业银行在中小企业客户管理的观念 ...
分类: 编号: 河南工业大学经济贸易学院 学 年 论 文 题 目:中小企业融资问题研究 专业班级: 0701班 作者姓名: 学 号:导师姓名: 任 新 平 论文页数: 2010年 1 月 10 日 中小企业融资问题研究 摘 要 长期以来,中 ...
中小企业会计信息化问题探讨 随着信息技术的快速发展,会计信息化已成为当今社会经济发展的必然趋势.会计信息化的本质是会计与现代网络技术.信息技术又一个崭新的发展阶段,会计信息化是一次"质"的飞跃.会计信息化的运用是会计发展 ...
2016金融个人工作计划 2016金融工作计划范文一: 一.20xx 年工作计划中的重点仍以客户为中心,做好结算服务工作.客户是我们的生存 之源,作为营业部又是对外的窗口,服务的好坏直接影响到我行的信誉 1.我行一直提倡的"首问责 ...