基层银行业信息科技风险表现及防范对策.docVIP

基层银行业信息科技风险表现及防范对策 随着信息科技在银行业经营管理全过程的推广运用，银行对信息科技的依赖程度显著提高，在促进银行改进流程、加快发展的同时，银行业机构信息科技风险防范工作面临着新形势、新情况和新问题，信息科技风险事件凸现。加强基层银行业机构信息科技风险防范，对于维护银行业机构以及整个银行业体系的安全稳定至关重要。 一、当前银行业机构信息科技风险的主要表现 (一）数据大集中引发的风险 数据的集中直接带来了银行金融产品的升级和服务、管理手段的提高，但银行数据大集中后，可能带来的风险隐患也随之加大。一是不可抗力引发的风险。一旦出现突发的灾难事故，将导致系统性的业务停顿与客户流失，甚至会引起业务系统瘫痪，造成社会不稳定。二是系统安全维护工作不及时引发的危险。在数据大集中前，系统架构相对简单，原有的各地方数据中心均由技术人员负责辖内各系统的安全维护工作。由于他们对原系统涉及的各个环节比较熟悉，与系统软件开发商的联系较为密切，与区域内的网络运营商的协调能力较强，因此能迅速调动各种技术力量解决问题，对客户的响应时间较快。而数据集中后，虽然在管理上便于维护、升级，但由于数据集中后的系统的架构变得更加复杂，牵扯的各方面因素比原来大大增加，而且很多问题由于权限问题在市级分行层面漂统前置立韵无法得到很好的解决，往往需要向总行数据总中心反映，才能得到根本的解决，这在一定程度上削弱了现有数据中心技术人员应急抗灾能力和应变管理能力。三是外包风险。数据大集中后，对系统开发、网络管理、运行维护等的要求更加专业化了。 随着IT 外包服务的概念逐步被各银行业机构接受，各银行业机构开始尝试实施IT 服务外包，这既有利于银行降低运营成本，也有利于银行集中更多的精力专注于自身的核心业务发展。但银行不是一般的企业，它是经营货币的特殊企业，银行信息系统、数据的安全不仅关系着自身的生存，而且关系着整个国家的经济命脉，而实行IT 外包服务后不仅银行内部掌握的大量敏感数据可能被外包公司掌握，而且更重要的是目前可以为银行提供IT 外包服务的大多数是国际跨国公司，万一国际政治、军事形势发生变化，外包公司随时可能停止提供服务，造成我国银行业的业务中断，严重影响我国的金融经济秩序，造成巨大混乱和损失。 （二）技术风险 近几年，银行业机构开展了以互联网技术支持的银行服务与产品创新，出现了网络银行和较完备的电子银行体系，为客户提供“随时、随地、随意”的 3A ”级服务。该创新领域在提升服务效率的同时存在以下风险：一是行业性风险。由于应有程序在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全，出现应用系统在运行过程中账务错乱、数据信息受损等问题。二是外生性风险。由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。三是数据传输风险。客户在进行网上交易时，数据在传输过程中被泄露、篡改、伪造致使客户信息被盗取，影响资金安全。四是网上银行的操作风险。由于网上银行快速发展，假银行网站、克隆网站或网络黑客通过截获客户通讯数据、安装木马程序等方式套取用户密码和交易密码，转移客户在银行的资金。（三）安全风险 一是物理安全。计算机房设计、安装达不到国家规定的安全运行环境标准而造成的隐患。二是网络安全。该风险既来自计算机系统停机、磁盘列阵破坏等不确定因素，也来自网络外部的黑客攻击，以及计算机病毒破坏等因素。三是主机安全。网上黑客的袭击范围不断增大，手段日益翻新，利用网上的任何漏洞和缺陷非法进入主机，窃取银行信息。四是系统安全。计算机网络病毒通过网络进行扩散与传染，传播速度是单机的几＋倍，一旦某个程序被感染，则整台机器、整个网络也很快被感染，不仅会扰乱或中断正常的服务，而且会给银行带来直接的经济损失。 （四）管理风险 一是制度不健全。银行信息科技风险管理的有关制度和程序还存着一定的漏洞，与快速发展的信息科技不适应，距专业化的要求还有一定距离，还需要进一步完善和细化组织机构及岗位设置。具体表现在：各级管理层没有成立相关信息科技风险管理的领导和决策机构，科技部门独立于其它业务部「1 之外的现象比较普遍。二是执行不规范。银行业机构由于信息科技人员较少，存在人员数量不足，系统开发、技术支持、系统操作维护和系统安全不能严格分开，主要技术支持岗位未实现岗位定期轮换。缺乏专门的技术风险管理部门或岗位进行有效的监督约束，不能有效识别并量化可能存在的信息科技风险因素。三是管理不规范。由于信息技术部「1 专业性极强，高级管理层和风险控制部门无法对其实施有效监管飞四是信息科技人才短缺，无法实现计算机业务数据录入员、计算机程序员和网络系统管理员之间相互制约、互相监督，容易产生操作风险。二、加强信息科技