从IT审计看信息安全管控.pdfVIP

IT审计 栏 目 编 辑 张 丽 霞 从IT审计看信息安全管控 一文本／刊记者 张丽霞 全面了解信息安全现状 ，梳理和分析重要信息资产 下简称金电公司 )历经众多重大技术项 目，测评中心王晓 ／ 及其面临的安全威胁，揭示信息安全管理的不足， 燕总经理认为，搭载在信息化平 台上的商业银行业务覆盖 提m安全管理建议 ，为信息资产安全和业务持续稳定运行 面接近 100％已成为趋势，由此带来的信息安全问题亦 日 提供有力保证，围家开发银行 (以下简称开发银行 )2009 趋凸显。 年提 开展信息安全专项内部审计T作。对照 《银监会商 首先，来自IT架构的系统风险。这是信息系统本身固 业银行信息科技风险管理指引》、公安部 《信息系统安全等 有的风险。计算机系统的设备与软件在信息化密集度相对 级保护基本要求》以及 《信息安全管理体系要求》等国际 较高的银行业 内部通常组成一个网络共同运行，由于其本 标准 ，开展信息安全专项内部审计 ，尚属国内首创。IT审 身设计不可能适应所有复杂环境 的变换，任何一环节 出现 计的重要性已浮出水面，正在被越来越多的金融机构所认 问题均可能使整个系统陷入瘫痪。银行业务特点具有实时 知、认同并付诸于行动。 性 ，当计算机系统失灵时，数量巨大的用户操作中断会造 成处理过程中的积压负担迅速增加。此种损害的清理T作 信息安全风险凸显 异常艰巨，通常一次几小时的中断，至少需要几天才能清 理完毕。最终成本会大大超过设备损坏 、数据或软件的更新。 随着现代银行业的发展，商业银行对信息化建设的需 其次。来自信息系统的规划风险。信息化建设使银行 求势不可挡。据美同银行再造专家 Paul·H ·Allen统计 ， 的效率和服务质量完全依赖于计算机系统，信息系统的规 1980～1996年，美国平均每年有 13家大银行利用信息技 划或开发产生的任何失败都可能带来严重的商业后果。业 术实施再造计划。银行再造之后的平均资产收益率和资本 内专家分析，竞争激烈的银行业如不能迅速实施更新系统 收益率分别从原来的 1％和 14％上升到 1．5％和 20％，平 提供新的服务 ，将会处于非常不利的地位。另一方面，不 均成本收益比从 63％下降到50％～55％。上世纪90年代 惜成本追求 自动化将付出昂贵代价。高效的系统规划是避 末期至今 ，国内各大商业银行在信息化建设方面投入持续 免系统风险的关键因素。 加大，目前90％以上的商业银行完全实现 了信息化