给中小商业银行信息安全建设的三点建议

[导读]调查显示，大多数中小商业银行信息系统建设都存在滞后问题，系统运行、网络安全、数据集中、系统设计、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴露在我们的面前，形成了一定的安全隐患。

随着我国银行业信息系统建设持续发展，核心业务系统、网上银行、自助终端、银行卡等具有高科技含量的系统和设备被广泛应用，在提升金融服务效率和增加服务品种的同时，信息系统潜在的风险也逐渐显现。调查显示，大多数中小商业银行信息系统建设都存在滞后问题，系统运行、网络安全、数据集中、系统设计、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴露在我们的面前，形成了一定的安全隐患。

一、我国中小商业银行信息安全现状

(一)建设趋规范：金融监管延伸至信息化领地

在我国金融业从传统运作模式向现代运作模式转变的背景下，金融监管开始适应金融业的信息化运作模式，更加具体细致地与信息技术联系在一起。2007年，公安部、国家保密局、国家密码管理局、国务院信息工作办公室颁布了《信息安全等级保护管理办法》。2006年人民银行出台了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》，2009年9月，人民银行对全国66家银行业金融机构网银系统安全进行了现场检查，并通过跟踪整改，促进各银行提高对信息安全保障工作的重视程度，同月，人民银行在银行业信息安全通报会上表示，要将银行信息安全纳入考核。银监会制定的《电子银行业务管理办法》、《电子银行安全评估机构业务资格认定工作规程》、《电子银行安全评估指引》、《商业银行信息科技风险管理指引》等法规制度相继出台，各商业银行也大力推动了IT审计的进程。归纳起来看，这几部法规强调了三个重点。一是关于银行业金融机构完善IT治理结构方面，通过构建和完善金融机构内与信息技术应用有关的组织架构及工作程序，有效地识别、度量、跟踪和控制信息技术风险。二是规定了从事某些严重依赖信息技术的银行业务的资质。三是对风险的识别、计量、管理，与国际银行业的发展趋势相一致。

(二)发展有差距：中小商业银行信息安全建设整体水平落后于股份制商业银行

近年来，我国各股份制商业银行为了提高竞争力，相继对核心业务系统和后台管理系统进行了改造开发，信息化发展水平相对比较先进，且信息安全体系较为健全。目前，大部分股份制银行或是稳健引进国外核心业务系统，或是通过自身的研发力量，不断地在原有系统基础上，打造出更适合未来发展的新系统，以全面提升信息化建设水平为落脚点，在信息安全管理方面作出了令人瞩目的成绩。相比之下，中小商业银行，特别是城市商业银行、城信社、农村商业银行、农村合作银行及农信社的信息化建设严重滞后于业务发展的需要，其信息安全管理亦存在较多隐患。

(三)防范多漏洞：中小商业银行信息安全隐患骤增

中小型金融机构信息系统众多安全环节都存在漏洞，首先是核心数据的安全没有保障，表现在：第一，核心计算机机房的建设符合标准的不多，在选址、供电、机房的建设标准、机房的安保措施都或多或少存在问题。第二，没有能力建设自身的异地备份中心，所有的数

据存在于一个点上，如果发生极端情况，后果将是灾难性的。其次，在建设过程中，因为没有统筹考虑，对于系统安全部分的硬件设施、软件设计模块缺乏，造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。再次，在系统投入生产后的运维周期，主要依靠系统承包商，自身的能力不足以做好运维工作，人力风险明显。

二、中小商业银行信息安全风险分析

(一)IT外包风险-忽略业务连续性的无奈选择

在国内中小银行IT外包迅速发展的同时，也面临诸多风险。一是市场风险。中国的IT服务市场仍不够成熟，一旦IT外包后，商业银行需要借助外包商的力量规避市场需求变化的风险，且银行也不可能轻易涉入外包商的经营管理工作中，对中小银行而言，市场的不确定性很大。二是技术风险。外包商研发能力与银行现有的技术不匹配.就会严重阻碍银行的信息化进程;外包商采用的新技术不够成熟，将危及整个计算机应用系统的稳定性和安全性。三是交易风险。由于外包市场的不成熟，服务标准的不完善，交易双方市场信息的不对称，商业银行在价格、质量、时间等方面承担一定的风险。四是战略风险。易造成核心信息外泄。

(二)灾备恢复风险-效益与成本之间的两难选择

灾备中心的运营是构建业务连续管理体系非常重要的一环。一个运行良好、作用有效的灾难备份与恢复体系建设不仅涉及IT、业务、财务、后勤保障等部门，还需获得消防、电力和电信行业等相关部门、单位的支持，以确保相应的配套资源。2005年以来，为应对因数据大集中而带来的技术风险集中，以工商银行为代表的国有商业银行采取了自建灾备中心的措施，多数全国性股份制商业银行也基本完成了灾备中心建设。但出于成本考虑，中小商业银行的灾备建设还未出现良好的“中国模式”。中国的中小商业银行，特别是城市商业银行在系统灾难备份方面几乎是空白。

(三)信息安全认识偏差产生的风险-运行机制不健全的产物

与国有商业银行及股份制银行相比，我国中小商业银行的信息化进程起步较晚，对随之而来的信息安全问题一定程度上存在认识偏差。以咸阳中小商业银行为例，大部分对于信息安全与网络安全的区别认识不清，仅重视安全工具投资而忽视管理投资，大多信息安全工作不成体系。在当前信息化由局部化应用向一体化应用演变、信息管理由分散化向集中化过度的背景下，这种由认识偏差而产生的风险极易导致信息化建设重复投资、管理无序，由此而带来的信息安全隐患亦随着信息化进程的加速而倍增。

三、我国中小商业银行信息安全建设的战略选择

相较国有商业银行及股份制银行，中小商业银行在信息安全建设方面处于后来者的地位，在自筹资金有限，管理水平较低，硬件设备投入不够的紧迫压力下，为避免重复投资、无序管理，一个科学合理的规划尤为重要。可预见的一段时期，我国中小商业银行的总体目标应是：通过建立完善的信息安全管理制度和安全防御技术手段，构建一个包括管理体系、组织体系与技术体系相结合的全方位、多层次、可动态发展的纵深安全防范体系，为金融业务的

发展提供一个坚实的基础保障。为实现上述目标，我国中小商业银行信息安全建设应在战略上作出以下策略选择。

(一)以确保信息安全建设的协调性、开放性和持续性为战略重点进行远期规划

中小商业银行必须重视做好全面、系统的信息系统架构，将安全融入整个信息系统生命周期中，通过借鉴其他银行的成功经验，明确阶段性建设目标，力争在前期以最少的资金投入获得高标准的信息服务和安全保障。中小商业银行信息安全远期规划的首要任务是组织行内外力量，结合本行信息化建设的中长期发展规划和经营管理战略，在充分把握金融信息技术发展趋势的基础上，全面分析银行外部经营环境及内部经营环境，立足现实的资源能力，对银行信息安全建设的总体目标、实施步骤、关键技术、相关规范、阶段划分及费用评估进行统筹安排。

(二)以健全和完善IT安全治理机制为重点，提高信息安全的管理绩效

当IT成为银行业务发展和管理不可或缺的组成部分，并在提供收益的同时带来风险时，银行对IT必须从管理走向治理。有效的IT安全治理需要解决三个方面的问题。首先是明确目标。一是必须确保银行IT安全治理与IT治理的目标、内容、步骤环环相扣，紧密衔接，并作为银行公司治理整体的一部分和谐共存。二是明确IT治理的决策内容，即IT原则、IT架构、IT基础设施、IT商业应用及IT投资。三是根据自身实际情况制定IT安全治理计划。其次是解决IT安全治理的组织性问题，关键是准确定义银行IT安全治理的角色和职责。最后是完善IT安全治理的控制机制。一是IT投资的控制机制。应根据银行IT安全管理的实际情况，针对薄弱环节，按安全级别进行排序，优先把资金投入到银行急需的IT安全资源中。二是IT安全治理的监控机制。

(三)以加强IT风险管理为重点，全面构筑信息安全保障体系

一是加强组织管理体系建设，落实风险管理和安全运行责任制。重点在发现整个信息系统的薄弱环节，区分业务风险和信息系统风险，制定出相应的风险防范办法加以落实并对结果进行检查，建立起自身的风险防范机制。二是加强信息安全保障体系建设，完善应急反应体系和商业银行业务连续性计划，加快建立灾备恢复体系，建设应急储备仓库，仓库中应包括相关的硬件、软件、人员、技术、文档和所有的系统相关的外部资源。三是加强安全管理制度建设，通过常规安全审计等方法对IT风险进行排序，做好计算机运行的安全检查工作。四是完善与商业银行数据集中相适应的安全和管理体系，最大限度地降低系统运行风险，保障银行业务处理系统的平稳运行。五是建立健全包括内部员工、IT供应商、安全责任人和保险人在内的风险消除机制。