商业银行信息科技风险审计
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行信息科技风险审计
北京时代新威信息技术有限公司王连杰为了适应当前社会形势的变化,开展商业银行信息科技风险审计项目是应对信息化条件下审计工作全新挑战的必然选择。
本文结合北京时代新威信息技术有限公司与数家银行合作的众多案例,总结出商业银行科技风险审计的价值所在。
理清信息科技风险审计基本概念与内涵,明确信息科技风险审计分类标准,掌握信息科技风险审计常用方法与思路十分重要。
并且将理论研究与经验分析相结合,总结商业银行信息科技审计的实际价值,并对如何提升商业银行信息科技风险审计工作水平提出了建议。
首先解析一下商业银行信息科技风险审计的基本概念与内涵。
商业银行信息科技风险审计是评判一个信息系统是否真正安全的重要标准之一。
通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。
安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。
依据银监会颁发的《商业银行信息科技风险管理指引》对商业银行的信息科技及其风险管理工作进行全面的审计,内容包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。
信息科技治理层面:
商业银行信息科技风险审计工作内容的重点就是信息科技治理,下面是它的基本构架以及管理方案。
一、信息科技治理架构
1、信息科技治理机构的建立与履职(信息科技管理委员会)
2、首席信息官的设立与履职
3、是否指定信息科技风险的管理部门与管理职责
二、信息科技战略管理
1、是否建立了与企业战略相匹配的信息科技战略
2、信息科技战略是否经董事会审批
三、信息科技风险管理
1、是否制定全面的信息科技风险管理策略
2、是否制定持续的风险识别和评估流程
3、是否制定了信息科技风险管理制度、技术规范、操作规程等,并且定期进行更新和公示
4、是否建立了持续的信息科技风险计量和检测机制
5、是否把信息科技风险纳入全行全面风险管理框架,并且明确牵头管理部门
四、信息科技的资源管理
1、信息科技的投资管理
2、信息科技的人力资源管理
3、信息科技的信息资产管理
信息科技风险管理层面:
商业银行信息科技风险审计的信息科技风险管理具体体现在构成管理体系的每个细节上,北京时代新威信息技术有限公司针对商业银行科技风险审计将其分为四个部分:管理者的素质、组织结构、企业文化、管理过程。
1.管理者的素质
管理者因素包括单个的个人和群体的管理层。
管理者个人素质因素包括品德、知识水平和能力三方面。
品德是推动
管理者行为的主导力量,决定其工作愿望和努力程度及外界对他的价值评价,影响着人际关系,对管理效果和效率有直接影响。
技术创新对中小企业是一项艰难的活动,一方面管理者的任务更艰巨,另一方面参与创新的人员更需要多方面激励;鉴于中小企业资源方面的劣势,道德环境——管理者品德对这两方面影响就十分重要。
知识水平体现在管理者对创新过程的理解和进行组织管理上,影响着他与创新的人员交流和沟通。
能力反映管理者干好本职工作的本领,包括应具备的心理特征和适当的工作方式。
法约尔依据不同规模的企业状况对管理者应具备的基本能力结构进行分析研究的
结果表明,相对于大型企业,中小企业领导人在技术能力、商业能力上要求更高,中小企业领导人往往是技术创新的发动机,往往更多地直接参与创新过程;作为能力的另一因素,他的创新意识直接决定着整个企业的创新发展。
管理层的素质因素主要是指管理者年龄、知识、能力的结构搭配及互补;在中小企业发展和上升时期管理层应偏重于中青年创造
锐意进取的气氛,对企业技术创新持积极的态度。
2.组织结构因素
组织结构是指组织内部各级职务职位的权责范围、联系方式和分工协作关系的整体框架,是组织得以持续运转、完
成经营管理任务的体制基础。
对于商业银行信息科技风险审计来讲,组织结构制度制约着组织内部人员、资金、物资、信息的流,影响着组织目标的实现。
因此,组织结构决定着技术创新的各个环节对技术创新成败有着决定意义。
曹洲涛等从五个方面分析了组织结构对技术创新的影响。
(1)信息流对技术创新的影响技术创新是一项贯穿整个企业的系统工程企业技术创新过程涉及创新构思产生研究开发技术管理与组织工程设计与制造市场营销与用户参与等一系列活动在创新过程中,这些活动相互联系甚至需要循环交叉或并行操作,而这些活动是由企业多个部门分别承担的,要求企业不仅要拥有完成各项活动的职能部门,而且需要有一个完善高效的信息沟通网络,包括研究开发部门内部及其与营销、生产制造等部门之间的信息沟通渠道,它将直接影响企业研究开发的内容、时滞和成效。
(2)灵活性对技术创新的影响。
企业组织结构的刚柔性决定了该组织的灵活性和应变能力。
灵活性大的企业在缩短技术创新时滞、不断适应技术发展和市场需求变化进行技术创新与其它企业竞争创新等方面均有着较大优势。
(3)开放程度对技术创新的影响。
组织的开放程度大小,反映了接受外部各种信、经验和知识能力的大小。
由于技术创新过程无特征性,开放程度大的组织能充分利用这一点加快技术创新速度及降低创新成本。
(4)经验积累程度对技术创新的影响。
企业经验积累程度即企业扩展技术知识能力的大小,将直接影响技术创新能力和技术创新活动的速度。
商业银行信息科技风险审计之间组织效率对技术创新的影响极为重要。
企业组织结构的组织效率,将在很大程度上影响技术创新中的信息流、物流以及创新各阶段和各部分的整合效果。
中小企业由于其组织结构层次较简单、等级制度不严、人员相对较少,因此信息流动与沟通较为顺畅,技术创新的内容和方向容易迅速达到一致,但负面信息起作用也迅速;由于其组织灵活性较强,“船小好调头”,但当创新方向因此而多变时,往往导致:“东边不亮,西边也不亮” 的后果;由于其高的开放程度和较快的经验积累速度,利用技术创新成长具有“后发优势”,但可能造成“饥不择食”甚至“饮鸩止
渴”的后果;而其组织的高效率也会产生正反两方面的实行效果。
所以中小企业的组织结构对管理风险具有根本性影响。
3.企业文化因素
企业文化是企业员工较长时间形成的共同价值观、信念、态度和行为准则,是一个组织持有的传统和风尚,制约着全部管理的政策和措施。
企业文化不同于组织结构的刚性影响,是以其文化对管理活动产生柔性影响。
管理的中心是对人的管理,而人是由文化塑造的受到一定文化价值观指向的主体;因此企业文化能够通过寻找观念共同点和建立共同的价值观,强化组织成员之间合作、信任和团结,使之产生亲近感、信任感和归属感,实现文化认同和融合,使组织具有向心力和凝聚力,从而形成共同行动和齐心协力。
在中小企业技术创新管理中,这种凝聚力可以使企业集中有限资源,群策群力进行创新活动,而如果企业没有发展与其相适应的朝气蓬勃的企业文化,因循守旧,小富即安,则成为技术创新巨大障碍。
因此,中小企业在创立之日起应着力于塑造积极向上、鼓励创新的氛围。
4.管理过程因素
管理过程直接影响中小企业技术创新的成败,一般有相互关联的计划、组织、领导、控制四个因素
(1)计划因素的影响.计划是对未来的安排,应根据实际情况,通过科学、准确的预测,提出在未来一定时期内的目标及实现目标的方法。
它是组织技术创新活动的指南,保证创新活动有条不紊地进行。
中小企业管理者应具备专业能力和一般业务知识,遵循科学的方法和流程,制定正确、有效的计划,合理安排和组织人员,激发员工创造性,为计划实施创造宜人环境。
中小企业的技术创新计划,统一协调十分重要,对技术创新活动的所有相关计划,要协同一致,避免打乱仗,以使相互促进,密切配合,最快、最好地完成任务,达到预期目标。
对于缺乏资金的中小企业,经济性格外重要,要讲究计划的经济效果,以求最少的投入获得最大收益,避免投入巨大的计划实施以后可能得不偿失。
(2)组织因素的影响。
计划制定后。
企业技术创新目标和如何实现目标已经明晰。
必须严密组织、孔茨指出:“为了使人们能为实现目标而有效地工作,就必须设计和维持一种职务结构,这就是组织管理职能的目的。
”组织结构对技术创新
的影响上文已经论述,不再赘述。
组织结构要为创新活动的运行提供基本框架,必须有相应的合适的人员配备,才能有效地运作。
中小企业由于人才较为缺乏,因此,在人员配备时,要充分把握因事择人和因才起用的原则。
因事择人需要管理人员根据技术创新过程中各个环节和专业的具体职位要求,选择具备相应知识和能力的人员。
因才起用则要求管理人员充分利用本企业有限的人力资源,深入了解员工的能力和素质为其安排相应的工作,做到人尽其才,既激发员工的工作热情,又提高了企业人力资源利用率,保证技术创新的效率。
中小企业技术创新的过程也是企业组织成长的过程,所以组织结构也应动态地适时调整,这样企业才能充满活力,一步步走向壮大。
(3)领导因素的影响。
对中小企业技术创新,领导十分关键.他要指挥、引导、支持和影响参与人员为实现特定目标而努力。
在技术创新中,领导的作用体现在两方面:协调作用和激励作用。
技术创新活动是一个有多种因素构成的系统,每个因素的状况都对它产生着影响,领导者在明确的目标下,必须协调好各种因素,促使组织所有的活动协同与和谐,具体包括思想协调、目标协调、权力协调、利益协调、信息协调等方面。
同时,领导者应创造满足参与创新人员各种需要
的条件和建立激励机制来激发大家的创新动机,善于调动员工的积极主动性,发挥创造力,鼓舞士气,不怕失败振奋精神,使参与技术创新的人员都自觉地融入到创新的工作目标中去,为实现共同目标而努力工作。
(4)控制因素的影响.技术创新的控制是监视创新的各项活动,保证它们按计划进行,并纠正各种偏差的过程并在必要时调整计划。
中小企业的技术创新活动不但在企业外部面临着多种不确定的因素;在内部也随着活动的逐步深入和扩展而发生部分环节与目标偏离的可能性变大。
所以要及时调控来保证技术创新活动目标的最终实现。
管理层应该关注以下几方面的监控信息的准确及时,标准的合理可靠,关键环节的控制:注意例外处理,保持灵活有效,适时组织纠正行动,讲究经济效益,注重培养员工的自我控制能力。
信息安全管理:
信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。
近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认
可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。
ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。
信息安全管理体系是按照ISO/IEC 27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的,ISO/IEC 27001标准是由BS7799-2标准发展而来。
信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,是商业银行信息科技风险审计的重要组成部分。
标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、
组织风险管理的方法、控制目标及控制方式和需要的保证程度。
信息系统开发测试管理:
管理信息系统开发测试的原则:
(1)系统测试是为了发现错误而运行系统的过程;
(2)好的测试用例在于它能发现至今未发现的错误;(3)成功的测试是发现了至今未发现的错误的测试。
信息系统开发测试的内容包括:
(1)数据处理正确性测试
(2)功能完整性测试
(3)系统性能测试
信息科技运行维护:
对于信息系统建设项目而言,其生命周期体现了该信息系统建设项目从产生到报废的完整过程,根据软件工程有关定义,软件生命周期包括如下几个阶段:项目规划、需求定义
和需求分析、软件设计、程序编码、软件测试、运行维护等。
而事实上,对于一个信息系统建设项目而言,运行维护阶段才是系统真正实现价值的开始,在此之前的所有工作都是为了得到一个可以为用户提供更多价值的软件产品和信息系统。
因此,软件运行维护阶段对于一个软件产品或者信息系统而言,是其生命周期中最为漫长的一个阶段,据初步统计,软件运行维护阶段占整个软件生命周期的时间比例为80%。
随着IT建设的不断深入和完善,计算机软硬件系统的运行维护已经成为了各行各业、各单位领导和信息服务部门普遍关注和不堪重负的问题。
由于这是一个随着计算机信息技术的深入应用而产生的新课题,因此如何进行有效的IT运维管理也是一个新的领域,对于这方面的知识积累和应用技术还刚刚起步。
毫无疑问,作为信息系统建设质量检验的最有效手段,在系统运维阶段也离不开软件测试,但由于系统运行之后,其相比于软件开发阶段,存在较多的现实难题,诸如不能影响用户的现有业务运行,不能引起业务运行中断,不能破坏系统存储的真实业务数据等等,这些都给系统运维阶段的软
件测试工作带来了新的难题,也对系统运维测试提出了更高的要求和期望。
综上所述,系统运维测试是在软件系统投入正式使用后,在系统运行阶段实施的测试服务,包括对上线后系统运行状态进行监测和异常报告、对上线系统实施动态测试等,以寻找系统缺陷和风险,并对相关缺陷进行诊断,指导系统调优;对系统风险进行评估,制定预防策略,确保系统上线后稳定运行。
系统运维测试是系统运维管理的重要组成部分,是软件测试在系统运维阶段的进一步延伸和扩展,那么运维测试又有哪些特点呢。
特点一:软硬件全覆盖测试
商业银行信息科技风险审计系统运维测试是在软件投入使用后的一个测试服务活动,由于IT系统建设是一个复杂的实体,它必然由一系列的硬件、网络、基础软件和业务软件组成。
一旦投入正式使用,IT系统将是一个整体,且随着企业IT系统的日益成熟和复杂,企业的关注点已从单点向多点进行转移。
在信息系统开发建设阶段,由于环境比较单一,我们可以分别针对网络、硬件、业务软件进行独立测试,但一旦系统投入使用,我们就必须结合系统软硬件环境进行综合测试,并针对测试结果进行综合分析,从总体上验证系统建设架构的可用性和服务水平。
特点二:系统业务在线运行测试
系统运维测试时针对用户已经开展业务的系统进行测试,此时,运维测试完全基于生产环境下完成,因此,运维测试中要确保当前的测试操作不影响系统的正常运转。
商业银行信息科技风险审计生产环境下的软件测试和模拟环境下的测试有较大的不同。
模拟环境下,软件系统的用户仅为测试用户,测试用户可以随意的构造和处理数据,不对系统正常运行和对外提供服务负责,只检验软件是否符合验收的标准;生产环境下测试用户执行的操作将会受到较大限制,既要满足测试要求,又不能对系统的业务造成影响。
生产环境中,需要在约束条件下完成系统测试,这需要制定较为完善的测试计划和测试方案,一方面要保证系统的
正常运转,另一方面要完成测试的内容。
运维测试中,需要把测试重点放在对系统运行状况的核查上,对软件系统的业务流程,功能完备进行检查,对系统并发测试可以选择查询、统计等不对系统产生数据损坏的操作为主。
系统运维测试阶段,考虑到系统正在对外提供服务的现实情况,我们对系统的测试应该在检查功能实现正确性的基础上,尽量保证系统的稳定运行,不应影响系统的实际运行,因此我们需要加强对系统数据的保护:
1)在执行测试前,我们应尽可能对系统进行备份,至少要对系统的重要
2)
数据和文件进行备份,确保系统测试结束后可以恢复到初始状态;
2)进行在线系统测试时,对于系统测试过程中产生的少量测试数据要进行特殊标记,测试结束后要及时清理。
测试数据我们可以事先准备并予以特殊标记,可以是带有特定意义的区域数据或者是特殊时间段内的数据,当系统测试结束后,我们可以根据这些特殊标记将相应的测试数据删除,
保证系统的正常运行,对于那些需要直接在系统中进行变更的数据在相应的业务操作和功能确认完成后应予以及时恢复,确保将系统恢复到数据变更前的正常状态;
3)对于系统并发负载测试或者其他可能影响系统运行并导致系统崩溃的测试操作,我们可以安排在非工作时间进行,出现系统异常时有时间可进行系统的恢复工作。
另外,在具体实施系统并发负载测试时,应按照指标驱动和用户逐渐增加的方法对系统进行测试。
在测试过程中,应实时关注系统状态,当系统不能承受相应的压力时,测试立即终止,这样可以有效保证测试不会超出系统的最大可承受压力,避免系统崩溃和数据损坏。
特点三:测试执行具有多变性
系统运维测试是以满足用户使用为基础,针对运行中出现的问题进行报告和分析,由于系统已经对外提供服务,因此,所有的测试都必须是在用户使用的空隙基础上进行,具有时间多变性特点。
另外,系统运行维护阶段必然面临系统升级和变更,这
是运行维护测试不可或缺的一部分内容,考虑到升级和系统变更需要在比较短的时间进行发布,在系统发布前需要进行充分的测试,在系统发布后还需要进行在线实际测试。
特点四:测试分析应具备前瞻性
系统运维的出发点是要保证系统高效稳定运行,且由于系统已经上线,为不影响用户的实际使用,我们必须充分关注系统的变化情况,建立系统运行基线,一旦发现系统运行状态与基线对比存在较大变化,或者系统整体趋势存在服务能力快速下降的可能时,我们应及时提供有效手段保证系统能够及时调整、扩充,以满足用户日益增长的使用需求。
当今社会经济发展对信息科技的依赖程度愈来愈高,金融业信息系统和网络安全对国家安全、社会稳定和公众权益的影响逐渐增强。
在全球范围内,网络窃密、网络攻击等利用计算机技术进行网络违法犯罪活动呈上升趋势。
近年来,我国银行业信息科技相关案件频发,银行网络、信息系统已成为境内外敌对势力和不法分子攻击破坏的重要目标之一。
攻击手段层出不穷,作案手法不断翻新,信息安全形势日益严峻。
按照案发区域,银行业信息科技相关案件可分为以下三类:
以北京时代新威信息技术有限公司之前参与过得商业银行信息科技风险审计案件为例。
犯罪嫌疑人主要通过国际互联网等载体,以木马病毒、程序破解密码等多种技术手段获取银行客户账号和密码,再以非法转账或网上支付等方式,盗取客户资金。
二是内控缺陷类案件。
犯罪嫌疑人借内部工作人员的身份和工作之便,利用银行管理制度、业务流程、交易系统等方面存在的漏洞作案,盗取客户或银行资金。
内部控制作案又可细分为两类:其一是业务人员盗取其他员工的柜员号和密码,通过对客户定期存款进行密码挂失、虚假存款、虚列利息支出、冒名虚假贷款等方式作案,盗取银行或客户资金。
其二是科技人员利用职务便利,非法进入系统,通过编制非法程序窃取银行客户密码、篡改数据库数据、篡改账户状态、窃取数据仓库客户信息和利用综合业务系统功能缺陷等方式作案,盗取银行或客户资金。