给中小商业银行信息安全建设三点建议.pdfVIP

[导读]调查显示，大多数中小商业银行信息系统建设都存在滞后问题，系统运行、网络安全、 数据集中、系统设计、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴 露在我们的面前，形成了一定的安全隐患。 　　随着我国银行业信息系统建设持续发展，核心业务系统、网上银行、自助终端、银行卡 等具有高科技含量的系统和设备被广泛应用，在提升金融服务效率和增加服务品种的同时， 信息系统潜在的风险也逐渐显现。调查显示，大多数中小商业银行信息系统建设都存在滞后 问题，系统运行、网络安全、数据集中、系统设计、外包、业务连续性以及技术操作等一系 列新的信息系统风险正逐渐暴露在我们的面前，形成了一定的安全隐患。 　　一、我国中小商业银行信息安全现状 　　(一)建设趋规范：金融监管延伸至信息化领地 　　在我国金融业从传统运作模式向现代运作模式转变的背景下，金融监管开始适应金融业 的信息化运作模式，更加具体细致地与信息技术联系在一起。2007 年，公安部、国家保密 局、国家密码管理局、国务院信息工作办公室颁布了《信息安全等级保护管理办法》。2006 年人民银行出台了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》，2009 年 9 月，人民银行对全国 66 家银行业金融机构网银系统安全进行了现场检查，并通过跟踪 整改，促进各银行提高对信息安全保障工作的重视程度，同月，人民银行在银行业信息安全 通报会上表示，要将银行信息安全纳入考核。银监会制定的《电子银行业务管理办法》、《电 子银行安全评估机构业务资格认定工作规程》、《电子银行安全评估指引》、《商业银行信息 科技风险管理指引》等法规制度相继出台，各商业银行也大力推动了 IT 审计的进程。归纳 起来看，这几部法规强调了三个重点。一是关于银行业金融机构完善 IT 治理结构方面，通 过构建和完善金融机构内与信息技术应用有关的组织架构及工作程序，有效地识别、度量、 跟踪和控制信息技术风险。二是规定了从事某些严重依赖信息技术的银行业务的资质。三是 对风险的识别、计量、管理，与国际银行业的发展趋势相一致。 　　(二)发展有差距：中小商业银行信息安全建设整体水平落后于股份制商业银行 　　近年来，我国各股份制商业银行为了提高竞争力，相继对核心业务系统和后台管理系统 进行了改造开发，信息化发展水平相对比较先进，且信息安全体系较为健全。目前，大部分 股份制银行或是稳健引进国外核心业务系统，或是通过自身的研发力量，不断地在原有系统 基础上，打造出更适合未来发展的新系统，以全面提升信息化建设水平为落脚点，在信息安 全管理方面作出了令人瞩目的成绩。相比之下，中小商业银行，特别是城市商业银行、城信 社、农村商业银行、农村合作银行及农信社的信息化建设严重滞后于业务发展的需要，其信 息安全管理亦存在较多隐患。 　　(三)防范多漏洞：中小商业银行信息安全隐患骤增 　　中小型金融机构信息系统众多安全环节都存在漏洞，首先是核心数据的安全没有保障， 表现在：第一，核心计算机机房的建设符合标准的不多，在选址、供电、机房的建设标准、 机房的安保措施都或多或少存在问题。第二，没有能力建设自身的异地备份中心，所有的数 据存在于一个点上，如果发生极端情况，后果将是灾难性的。其次，在建设过程中，因为没 有统筹考虑，对于系统安全部分的硬件设施、软件设计模块缺乏，造成诸如审计、保密、数 据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。再次，在系统 投入生产后的运维周期，主要依靠系统承包商，自身的能力不足以做好运维工作，人力风险 明显。 　　二、中小商业银行信息安全风险分析 　　(一)IT 外包风险-忽略业务连续性的无奈选择 　　在国内中小银行 IT 外包迅速发展的同时，也面临诸多风险。一是市场风险。中国的 IT 服务市场仍不够成熟，一旦 IT 外包后，商业银行需要借助外包商的力量规避市场需求变化 的风险，且银行也不可能轻易涉入外包商的经营管理工作中，对中小银行而言，市场的不确 定性很大。二是技术风险。外包商研发能力与银行现有的技术不匹配.就会严重阻碍银行的 信息化进程;外包商采用的新技术不够成熟，将危及整个计算机应用系统的稳定性和安全性。 三是交易风险。由于外包市场的不成熟，服务标准的不完善，交易双方市场信息的不对称， 商业银行在价格、质量、时间等方面承担一定的风险。四是战略风险。易造成核心信息外泄。 　　(二)灾备恢复风险-效益与成本之间的两难选择 　　灾备中心的运营是构建业务连续管理体系非常重要的一环。一个运行良好、作用有效的 灾难备份与恢复体系建设不仅涉及 IT、业务、财务、后勤保障等部门，还需获得消防、电力 和电