淺談建立健全城市商業(yè)銀行信息科技風險管理體系

1、淺談建立健全城市商業(yè)銀行信息科技風險淺談建立健全城市商業(yè)銀行信息科技風險管理體系管理體系摘要：該文根據我國城市商業(yè)銀行信息科技風險管理現狀，結合《商業(yè)銀行信息科技風險管理指引》和銀行信息科技風險管理工作實踐，采用理論聯(lián)系實際的分析方法建立和完善適合城市商業(yè)銀行信息科技風險管理體系的框架。關鍵詞：城市商業(yè)銀行；信息科技；風險管理；體系近年來隨著我國金融行業(yè)的蓬勃發(fā)展，銀行信息科技建設迅猛發(fā)展。一方面，信息科技建設為銀行業(yè)務的發(fā)展提供了廣闊

2、的空間和服務手段；另一方面，銀行業(yè)務對信息科技的依賴程度越來越高，使得計算機信息系統(tǒng)的安全性、可靠性和有效性直接關系到整個銀行業(yè)的安全和國家金融體系的穩(wěn)定，其自身的脆弱性以及面臨的各種威脅也形成了現代金融風險。為進一步加強商業(yè)銀行信息科技風險管理，銀監(jiān)會于2009年6月發(fā)布了《商業(yè)銀行信息科技風險管理指引》（以下簡稱《管理指引》），為我國商業(yè)銀行建立完善的信息科技風險管理體系提供了制度保證和指導方向。如何能有效的控制信息科技風險、安全管

3、理，是目前商業(yè)銀行尤其是城市商業(yè)銀行普遍面臨的難點。城市商業(yè)銀行處于我國銀行業(yè)第三梯隊，由于科技建設起步晚、發(fā)展規(guī)模小、網點少，使得科技投入均攤成本較大，信息科技風險管理環(huán)節(jié)較為薄弱，因此，建立切實可行的、完善的城市商業(yè)銀行信息科技風險管理體系尤為重要。一、提高信息科技風險管理意識目前，各銀行都普遍認識到信息科技建設對銀行業(yè)務發(fā)展的重要性，投入大量資金對業(yè)務系統(tǒng)、機房、電子渠道等實體信息系統(tǒng)進行升級和改造，科技支撐效果十分明顯。對于銀行

4、風險管理，高管層往往更重視如何控制業(yè)務風險、搞好經營、擴大規(guī)模等，而信息科技風險管理需要一定的投入且見效不明顯，因此往往忽略了信息科技風險的管理，從而導致風險管理人員配備不足，信息科技風險培訓較少，缺少完整、系統(tǒng)的信息科技風險的概念和相關知識，對項目開發(fā)和變更管理情況、業(yè)務持續(xù)性計劃等認識不足，造成部分管理人員認為信息科技風險就是保證業(yè)務系統(tǒng)正常運轉的狹隘觀念，極易忽視了自身各級系統(tǒng)的漏洞排查和風險防范?！豆芾碇敢芬?guī)定了商業(yè)銀行法定代

5、表人是本機構信息科技風險管理的第一責任人，負責組織本指引的貫徹落實；并就董事會應履行的信息科技管理職責做了具體的規(guī)定，這為銀行信息科技風險管理提供了制度保證，提升了管理人員特別是高管人員在銀行經營過程中對信息科技風險管理的重視程度。二、建立有效的信息科技風險管理組織架構目前大多數中小城市商業(yè)銀行由于管理人員數量少的短板，無法像國有大型商業(yè)銀行那樣建立完善的信息科技風險管理組織架構，大部分沒有成立相關信息科技風險管理的領導和決策機構，銀行

6、科技部門獨立于其它業(yè)務部門之外現象比較普遍，人員數量不足，系統(tǒng)開發(fā)、技術支持、系統(tǒng)操作維護和系統(tǒng)安全不能嚴格分開，主要技術支持崗位未實現崗位定期輪換同的地理位置，實現兩地網絡資源的負載均衡，從而降低單點運行安全風險。（二）計算機病毒防護在計算機和操作終端上部署經過國家認證的防病毒軟件，并設置一臺網絡防病毒服務器，定期對防病毒軟件客戶端進行升級，從而對進入銀行內部網絡的數據包進行層層過濾和檢測，實現從網關到主機、終端以及應用系統(tǒng)的防病毒體

7、系。同時，重要業(yè)務系統(tǒng)配置安全等級高的數據加密設備嚴格密鑰管理，并對主要業(yè)務系統(tǒng)進行安全等級認證，根據認證級別部署安全策略。另外，根據銀行信息系統(tǒng)實際情況，對操作系統(tǒng)進行更新升級，確保系統(tǒng)穩(wěn)定運行。（三）數據和系統(tǒng)備份目前，大多中小城市商業(yè)銀行因條件所限，重要業(yè)務系統(tǒng)服務器采用雙機冷備模式，雖然降低了系統(tǒng)集成成本，但增加了業(yè)務運行風險。建議關鍵、連續(xù)性業(yè)務系統(tǒng)采用雙機熱備份模式，即在一臺服務器出現故障時，另一臺服務器自動接管故障主機資源

8、，從而保證業(yè)務系統(tǒng)的安全、穩(wěn)定運行；而對于其他次要信息系統(tǒng)可采用冷備模式。另外，重要業(yè)務系統(tǒng)一定要按照數據備份管理制度，做好業(yè)務系統(tǒng)和數據備份，并定期進行數據的恢復驗證，確保數據有效性。中小城商行由于資金投入有限，大都未建立異地災備中心，或僅在異地建立了數據級備份中心，建議可采取兄弟銀行互建災備中心的模式，在保證安全、防范風險的同時降低建設成本。（四）先進的電子化綜合監(jiān)測平臺長期以來，在信息安全監(jiān)控方面，大都由人工進行系統(tǒng)監(jiān)測，即使有專

9、門的監(jiān)測管理軟件，也是逐個針對單獨的主機、防火墻、網絡設備去做監(jiān)控，沒有整合為統(tǒng)一的監(jiān)控管理平臺。借鑒山東省農信社信息科技風險管理經驗，利用IT運維管理系統(tǒng)，將網絡設備、主機、數據庫以及UPS、空調、溫濕度、消防等機房基礎設施納入統(tǒng)一的監(jiān)控管理平臺，進行統(tǒng)一的監(jiān)控和安全事件關聯(lián)分析，建立知識庫，方便日后風險排查，并實現全省統(tǒng)一的信息系統(tǒng)集中監(jiān)測，增強了銀行信息系統(tǒng)的整體安全防范能力。除了以上主要信息安全技術措施，還可以通過數字簽名認證、

10、身份識別、日志審計系統(tǒng)、VPN加密、帶庫等技術手段實現各類信息系統(tǒng)的風險管理。五、構建全面的信息科技風險運維管理體系（一）科學的運維組織架構城市商業(yè)銀行作為獨立法人，麻雀雖小卻五臟俱全，與各大國有商業(yè)銀行相比，核心業(yè)務系統(tǒng)、現代化支付系統(tǒng)、網上銀行、呼叫中心、辦公自動化、績效考核系統(tǒng)以及人民銀行、銀監(jiān)會要求的各類數據上報系統(tǒng)等一個都不少，加之城信社改制歷史沿革下來的弊端，面臨信息化建設任務重、人員素質參差不齊、職責分工不清、人員組成缺乏