基层银行业信息科技风险表现及防范对策

基层银行业信息科技风险表现及防范对策

公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]

基层银行业信息科技风险表现及防范对策

随着信息科技在银行业经营管理全过程的推广运用，银行对信息科技的依赖程度显着提高，在促进银行改进流程、加快发展的同时，银行业机构信息科技风险防范工作面临着新形势、新情况和新问题，信息科技风险事件凸现。加强基层银行业机构信息科技风险防范，对于维护银行业机构以及整个银行业体系的安全稳定至关重要。

一、当前银行业机构信息科技风险的主要表现

(一）数据大集中引发的风险

数据的集中直接带来了银行金融产品的升级和服务、管理手段的提高，但银行数据大集中后，可能带来的风险隐患也随之加大。一是不可抗力引发的风险。一旦出现突发的灾难事故，将导致系统性的业务停顿与客户流失，甚至会引起业务系统瘫痪，造成社会不稳定。二是系统安全维护工作不及时引发的危险。在数据大集中前，系统架构相对简单，原有的各地方数据中心均由技术人员负责辖内各系统的安全维护工作。由于他们对原系统涉及的各个环节比较熟悉，与系统软件开发商的联系较为密切，与区域内的网络运营商的协调能力较强，因此能迅速调动各种技术力量解决问题，对客户的响应时间较快。而数据集中后，虽然在管理上便于维护、升级，但由于数据集中后的系统的架构变得更加复杂，牵扯的各方面因素比原来大大增加，而且很多问题由于权限问题在市级分行层面漂统前置立韵无法得到很好的解决，往往需要向总行数据总中心反映，才能得到根本的解决，这在一定程度上削弱了现有数据中心技术人员应急抗灾能力和应变管理能力。三是外包风险。数据大集中后，对系统开发、网络管理、运行维护等的要求更加专业化了。

随着IT 外包服务的概念逐步被各银行业机构接受，各银行业机构开始尝试实施IT 服务外包，这既有利于银行降低运

营成本，也有利于银行集中更多的精力专注于自身的核心业务发展。但银行不是一般的企业，它是经营货币的特殊企业，银行信息系统、数据的安全不仅关系着自身的生存，而且关系着整个国家的经济命脉，而实行IT 外包服务后不仅银行内部掌握的大量敏感数据可能被外包公司掌握，而且更重要的是目前可以为银行提供IT 外包服务的大多数是国际跨国公司，万一国际政治、军事形势发生变化，外包公司随时可能停止提供服务，造成我国银行业的业务中断，严重影响我国的金融经济秩序，造成巨大混乱和损失。

（二）技术风险

近几年，银行业机构开展了以互联网技术支持的银行服务与产品创新，出现了网络银行和较完备的电子银行体系，为客户提供“随时、随地、随意”的" 3A ”级服务。该创新领域在提升服务效率的同时存在以下风险：一是行业性风险。由于应有程序在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全，出现应用系统在运行过程中账务错乱、数据信息受损等问题。二是外生性风险。由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。三是数据传输风险。客户在进行网上交易时，数据在传输过程中被泄露、篡改、伪造致使客户信息被盗取，影响资金安全。四是网上银行的操作风险。由于网上银行快速发展，假银行网站、克隆网站或网络黑客通过截获客户通讯数据、安装木马程序等方式套取用户密码和交易密码，转移客户在银行的资金。

（三）安全风险

一是物理安全。计算机房设计、安装达不到国家规定的安全运行环境标准而造成的隐患。二是网络安全。该风险既来自计算机系统停机、磁盘列阵破坏等不确定因素，也来自网络外部的黑客攻击，以及计算机病毒破坏等因素。三是主机安全。网上黑客的袭击范围不断增大，手段日益翻新，利用网上的任何漏洞和缺陷非法进入主机，窃取银行信息。四是系统安全。计算机网络病毒通过网络进行扩散与传染，传播速度是单

机的几＋倍，一旦某个程序被感染，则整台机器、整个网络也很快被感染，不仅会扰乱或中断正常的服务，而且会给银行带来直接的经济损失。

（四）管理风险

一是制度不健全。银行信息科技风险管理的有关制度和程序还存着一定的漏洞，与快速发展的信息科技不适应，距专业化的要求还有一定距离，还需要进一步完善和细化组织机构及岗位设置。具体表现在：各级管理层没有成立相关信息科技风险管理的领导和决策机构，科技部门独立于其它业务部「1 之外的现象比较普遍。二是执行不规范。银行业机构由于信息科技人员较少，存在人员数量不足，系统开发、技术支持、系统操作维护和系统安全不能严格分开，主要技术支持岗位未实现岗位定期轮换。缺乏专门的技术风险管理部门或岗位进行有效的监督约束，不能有效识别并量化可能存在的信息科技风险因素。三是管理不规范。由于信息技术部「1 专业性极强，高级管理层和风险控制部门无法对其实施有效监管飞四是信息科技人才短缺，无法实现计算机业务数据录入员、计算机程序员和网络系统管理员之间相互制约、互相监督，容易产生操作风险。二、加强信息科技风险管理的建议

(一）建立银行业信息科技安全审核制度

要建立信息科技安全联席会议。由监管部门牵头，各家商业银行参与，定期对银行信息科技情况进行交流，对各银行信息科技安全进行评价与沟通。对现有的银行信息技术法规和标准进行全面检查、清理、规范，研究制定新的系统性发展规划，加快推进银行信息化技术规范和标准体系建设的步伐。

（二）加强信息科技风险监管

监管机构应密切关注商业银行的科技信息风险，了解掌握信息科技风险状况和水平，全面推进信息科技风险监管。对信息科技内部、外部风险进行评价和审计，将信息科技风险纳入银行整体风险监管框架之中。

（三）督促商业银行建立和完善信息科技内控机制

一是加强内控制度建设，做到“制度防内”。二是建立信息科技安全防范体系，做到“技术防外”。商业银行应研究制订安全技术标准和技术规范，逐步建立银行信息系统安全应用平台，从技术手段上加强安全措施，通过部署防火墙子系统、VPN 子系统、入侵检测子系统、服务器核心防护子系统、防病毒子系统、日志审计子系统、内网监控子系统、安全管理子系统等，防止病毒及外部黑客的入侵，确保银行信息系统安全。

（四）加强信息科技安全应急机制的建设

要加强信息科技安全应急恢复体系的建设，加强安全监控，进一步完善信息安全应急处置机制和信息通报机制，制定应急预案并进行演练，提高金融信息系统预警、应急处置和恢复能力，保障金融业务的连续稳定运行。

（五）培养和选拔信息科技管理人才要加强对监管专业人才的培养，建立一支具备专业知识的监管队伍，既要掌握银行监管法律法规，还要对金融新产品、电子技术有相当的熟悉程度，逐步建立符合我国国情的信息科技监管制度。