商业银行信息科技风险现状与管理策略分析

信息安全 等级保护 安全策略 安全组织 人员安全 物理安全 环境安全 通信安全 信息系统开发安全 访问控制 业务连续性 信息安全事故管理 信息安全审计 ISO27001 ISO13335 数据中心 商业银行信息科技风险管理 IT审计 应急演练 IT风险管理

商业银行

信息科技风险现状与管理策略分析

中国工商银行股份有限公司苏州分行信息科技部 唐磊

近年来，商业银行的业务量、业务种类快速增长，信息科技在商业银行的各项工作中得到了越来越广泛的应用。在促进商业银行提高工作效率、提升服务水平、拓展业务范围、优化组织架构等方面，信息科技发挥着不可替代的作用。新《巴塞尔资本协议》对于信息科技风险有明确的定义，将其作为操作风险中的重点进行防控，并确定把信息科技风险纳入银行总体风险监管框架。如何提升信息系统的适应性、准确性、安全性，如何对信息科技工作管理架构和业务流程进行调整和优化，以期提高信息科技风险的防范能力，是金融业面临的严峻挑战。目前，随着信息科技与金融业务的深度融合，金融业务对信息系统的依赖性日益增强，商业银行防范信息科技风险的重要性凸显出来。信息系统的完备性及健壮性、电子支付的安全性及信息系统的外来软件和设备的完全掌控能力等，已成为商业银行信息科技工作中亟待解决的问题。本文将从风险的特点、主要形式和分类以及管理策略等方面对商业信息科技风险进行较为深入的分析和探讨。

统发生故障，尤其是中央主机系统、主干网络的中断，会引起一系列的连锁反应，造成大范围的灾难性后果。此外，由于感染病毒造成的信息系统故障也会造成银行业务的大面积瘫痪。

商业银行服务对象构成复杂、分布广泛，所提供的服务与个人、企业利益乃至国民经济息息相关。信息系统一旦出现故障，不仅会给个人、企业造成经济损失，还会在一定程度上影响整个国民经济的健康发展。

2. 潜伏性

风险的潜伏性是指在特定外部环境下安全隐患容易被忽视，新的风险点会随着环境变化逐步暴露出来。由于银行业务的高速增长以及信息技术的飞速发展，使得信息科技风险具有典型的潜伏性。比如，通过充分风险论证的生产系统，短期内无风险隐患，而随着生产环境的压力逐步扩大，系统的脆弱性就会逐步暴露出来；一个具有很高安全性的电子银行，随着病毒的不断变种，黑客技术的提高，新的安全问题就会暴露出来；一台装有最新防护设备的ATM，犯罪分子通过对ATM的刻意研究揣摩，并采取一定的手段避开防护设备，就有可能采用新的手段进行犯罪。因此，信息科技的风险防控工作要求更加严格，不仅要充分考虑当前情况，更应该对将来可能发生的情况作全面而充分的考虑。

一、商业银行信息科技风险的特点

1.广泛性

目前，我国各大商业银行先后实现了数据大集中处理模式。数据大集中为各金融机构带来巨大的效益和管理上的便利，但是也埋下了各种安全隐患。一旦核心系

3. 非标准性

一般来说，风险需要通过资产化、价值化等标准

FINANCIAL COMPUTER OF CHINA 2009·2

49

信息安全 等级保护 安全策略 安全组织 人员安全 物理安全 环境安全 通信安全 信息系统开发安全 访问控制 业务连续性 信息安全事故管理 信息安全审计 ISO27001 ISO13335 数据中心 商业银行信息科技风险管理 IT审计 应急演练 IT风险管理

化过程进行计量，对经过计量的风险再采取成本恰当、成本可控的风险防控手段。但是，对于信息科技风险来说，却很难制定一个统一的标准对风险进行计量，比如，银行信息科技风险的发生究竟会产生多大的损失，除直接的财产损失之外带来的附加损失有多少，如何对损失进行有效的资产赋值，目前都没有一套行之有效的计量手段来量化。目前，国内外银行对于信息科技风险的标准化计量还属于探索期，风险的计量成为了信息科技风险管理中的软肋，这对信息科技的风险管理提出了更高的要求。

风险管理的范畴。

数据安全风险包括两方面的含义。一是数据窃取，即数据在存储介质中或在传输过程中遭到窃取甚至恶意篡改，由于权限控制不严导致无关人员接触到核心数据并导致机密数据外泄等。数据遭窃取不仅会导致客户信息资料外泄和企业竞争力的下滑，更严重的是引发客户不满，甚至诉诸法律，引发法律风险问题。二是数据丢失，即由于自然灾害、房屋倒塌等突发事件造成的存储介质毁坏，导致存储介质中部分或全部数据丢失。数据的丢失则造成银行业务完全无法开展，其后果的严重性不堪设想。

二、信息科技风险的分类

1.业务中断风险

保障业务连续性是商业银行信息科技安全工作中最重要的组成部分。但是，目前银行业信息科技系统基础建设滞后于业务的高速增长，而且银行的信息科技风险防范意识还没有上升到应用高度，信息系统的健壮性还远远不够，潜在着诸多可能导致生产中断的风险隐患。一旦产生软硬件故障、系统超负荷运行、主干网络断开、病毒传播、人为非法操作造成系统不稳定等因素，极易造成银行业务的中断。

近几年来，银行业务中断事故发生不断。2007年底以来，我国先后有几 …… 此处隐藏：4142字，全部文档内容请下载后查看。喜欢就下载吧 ……