第05课：银行信息安全审计方案.pdfVIP

商业银行信息系统审计方案 商业银行信息系统审计方案 本文编者：北京谷安天下科技有限公司 网 址： 地 址：北京市海淀区中关村南大街2 号数码大厦A 座806 电 话：010（北京） 021（上海） 0755（深圳） 0991-6999166 （新疆） 手 机 1 商业银行信息系统审计方案 商业银行信息系统审计方案 作者：李华 谷安天下总经理 1、问题的提出 近年来，中国银行业信息化步伐加快，有力地促进了银行业务的发展。信息化促使银 行业务前后台分离，帮助银行建立起一套运作流畅、适用高效的应用平台，为资金清算、 客户服务、风险管理、稽核等业务提供技术支持；信息化使银行可以利用信息技术整合银 行内部的资源，推动银行管理的优化，从而大幅度提高工作效率和银行的效益；信息化可 以使现代银行由原来的储蓄、信贷基本业务，向储蓄、信贷、投资理财、咨询、中间业务 等多方向发展，为客户提供更为灵活的服务；信息化也加快了金融创新的步伐，集中反映 在网络金融服务的快速发展上，出现了网络银行、移动银行、电子商务等，这促使了许多 新兴服务的发展。 同时我们也应该看到，信息化在推动银行发现的同时，也给银行自身带来了巨大的风 险，主要表现在几个方面：  随着银行信息化程度的提高，信息系统本身固有的风险在加大 由于信息化规模的不断扩大，信息技术迅速发展，银行信息系统所采用的IT 技术与信 息系 统软硬件本身存在着大量的脆弱性，这些脆弱性被特定的威胁利用，就会产生风险， 从而对银行信息系统的机密性、完整性及可用性产生损害。信息化程度越高，风险就会越 大。如：系统漏洞、硬件故障、意外灾祸都会造成银行信息系统不能正常工作，从而造成 重大问题。  银行的数据集中处理的风险 银行数据大集中是银行发展的必然趋势，只有完成数据集中，才能实现银行账务数据 与营业机构的分离，为银行管理集中和科学运营奠定基础，帮助银行从以账务和产品为中 心转变为以客户为中心。但是，数据集中有其有利的一面，也有不利的一面，集中后信息 系统风险增大，系统一旦出现问题，就会影响到整个银行的正常运营。  网络金融服务的发展，对银行信息安全问题提出了挑战 近年来，网络金融服务，如：网上银行、移动银行、电子商务结算等，出现暴发性的 增长，已成为目前国际范围内成长最为迅速的银行业务品种，也是银行争相追逐的利润增 2 商业银行信息系统审计方案 长点。其中绝大部分的B2B、B2C 业务要通过Internet、无线网、电话网与银行相连。银行 业务系统要顺应开放和互连的趋势，其信息安全范畴已经突破了以业务系统物理隔离和协 议隔离为基础的传统银行信息安全，如何在公网环境下防止黑客、病毒的破坏，如何在危 机四伏的Internet 上保证支付系统的安全性，是银行信息系统要面临的挑战。  随着对信息安全认识的加深，我们逐渐认识到： “人”的风险其实是最大的风险。 统计结果表明，在所有的信息安全事故中，只有 20%-30%是由于黑客入侵或其他外部 原因造成的，70%-80%是由于内部员工的疏忽或有意泄密造成的，银行业也是如此。站在较 高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题。银行内部 完备的安全管理政策、安全教育计划与健全的企业安全文化建设才是降低“人”的安全风 险的有效手段。以往的各种安全实践的最大缺陷就是忽略了对人的因素的考虑，在信息安 全问题上，要以人为本，人的因素比信息安全技术和产品的因素更重要。  银行信息系统的效绩评估，是目前迫切要解决的问题 信息系统己成为银行重要的资产。但目前对信息系统这种资产的效能与效率缺乏客 观、有效的评审机制，这在很大程度上己经成为银行充分发挥信息系统作用的