1、淺談建立健全城市商業(yè)銀行信息科技風(fēng)險(xiǎn)淺談建立健全城市商業(yè)銀行信息科技風(fēng)險(xiǎn)管理體系管理體系摘要：該文根據(jù)我國(guó)城市商業(yè)銀行信息科技風(fēng)險(xiǎn)管理現(xiàn)狀，結(jié)合《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》和銀行信息科技風(fēng)險(xiǎn)管理工作實(shí)踐，采用理論聯(lián)系實(shí)際的分析方法建立和完善適合城市商業(yè)銀行信息科技風(fēng)險(xiǎn)管理體系的框架。關(guān)鍵詞：城市商業(yè)銀行；信息科技；風(fēng)險(xiǎn)管理；體系近年來(lái)隨著我國(guó)金融行業(yè)的蓬勃發(fā)展，銀行信息科技建設(shè)迅猛發(fā)展。一方面，信息科技建設(shè)為銀行業(yè)務(wù)的發(fā)展提供了廣闊

2、的空間和服務(wù)手段；另一方面，銀行業(yè)務(wù)對(duì)信息科技的依賴程度越來(lái)越高，使得計(jì)算機(jī)信息系統(tǒng)的安全性、可靠性和有效性直接關(guān)系到整個(gè)銀行業(yè)的安全和國(guó)家金融體系的穩(wěn)定，其自身的脆弱性以及面臨的各種威脅也形成了現(xiàn)代金融風(fēng)險(xiǎn)。為進(jìn)一步加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，銀監(jiān)會(huì)于2009年6月發(fā)布了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（以下簡(jiǎn)稱《管理指引》），為我國(guó)商業(yè)銀行建立完善的信息科技風(fēng)險(xiǎn)管理體系提供了制度保證和指導(dǎo)方向。如何能有效的控制信息科技風(fēng)險(xiǎn)、安全管

3、理，是目前商業(yè)銀行尤其是城市商業(yè)銀行普遍面臨的難點(diǎn)。城市商業(yè)銀行處于我國(guó)銀行業(yè)第三梯隊(duì)，由于科技建設(shè)起步晚、發(fā)展規(guī)模小、網(wǎng)點(diǎn)少，使得科技投入均攤成本較大，信息科技風(fēng)險(xiǎn)管理環(huán)節(jié)較為薄弱，因此，建立切實(shí)可行的、完善的城市商業(yè)銀行信息科技風(fēng)險(xiǎn)管理體系尤為重要。一、提高信息科技風(fēng)險(xiǎn)管理意識(shí)目前，各銀行都普遍認(rèn)識(shí)到信息科技建設(shè)對(duì)銀行業(yè)務(wù)發(fā)展的重要性，投入大量資金對(duì)業(yè)務(wù)系統(tǒng)、機(jī)房、電子渠道等實(shí)體信息系統(tǒng)進(jìn)行升級(jí)和改造，科技支撐效果十分明顯。對(duì)于銀行

4、風(fēng)險(xiǎn)管理，高管層往往更重視如何控制業(yè)務(wù)風(fēng)險(xiǎn)、搞好經(jīng)營(yíng)、擴(kuò)大規(guī)模等，而信息科技風(fēng)險(xiǎn)管理需要一定的投入且見(jiàn)效不明顯，因此往往忽略了信息科技風(fēng)險(xiǎn)的管理，從而導(dǎo)致風(fēng)險(xiǎn)管理人員配備不足，信息科技風(fēng)險(xiǎn)培訓(xùn)較少，缺少完整、系統(tǒng)的信息科技風(fēng)險(xiǎn)的概念和相關(guān)知識(shí)，對(duì)項(xiàng)目開(kāi)發(fā)和變更管理情況、業(yè)務(wù)持續(xù)性計(jì)劃等認(rèn)識(shí)不足，造成部分管理人員認(rèn)為信息科技風(fēng)險(xiǎn)就是保證業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的狹隘觀念，極易忽視了自身各級(jí)系統(tǒng)的漏洞排查和風(fēng)險(xiǎn)防范?！豆芾碇敢芬?guī)定了商業(yè)銀行法定代

5、表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本指引的貫徹落實(shí)；并就董事會(huì)應(yīng)履行的信息科技管理職責(zé)做了具體的規(guī)定，這為銀行信息科技風(fēng)險(xiǎn)管理提供了制度保證，提升了管理人員特別是高管人員在銀行經(jīng)營(yíng)過(guò)程中對(duì)信息科技風(fēng)險(xiǎn)管理的重視程度。二、建立有效的信息科技風(fēng)險(xiǎn)管理組織架構(gòu)目前大多數(shù)中小城市商業(yè)銀行由于管理人員數(shù)量少的短板，無(wú)法像國(guó)有大型商業(yè)銀行那樣建立完善的信息科技風(fēng)險(xiǎn)管理組織架構(gòu)，大部分沒(méi)有成立相關(guān)信息科技風(fēng)險(xiǎn)管理的領(lǐng)導(dǎo)和決策機(jī)構(gòu)，銀行

6、科技部門(mén)獨(dú)立于其它業(yè)務(wù)部門(mén)之外現(xiàn)象比較普遍，人員數(shù)量不足，系統(tǒng)開(kāi)發(fā)、技術(shù)支持、系統(tǒng)操作維護(hù)和系統(tǒng)安全不能?chē)?yán)格分開(kāi)，主要技術(shù)支持崗位未實(shí)現(xiàn)崗位定期輪換同的地理位置，實(shí)現(xiàn)兩地網(wǎng)絡(luò)資源的負(fù)載均衡，從而降低單點(diǎn)運(yùn)行安全風(fēng)險(xiǎn)。（二）計(jì)算機(jī)病毒防護(hù)在計(jì)算機(jī)和操作終端上部署經(jīng)過(guò)國(guó)家認(rèn)證的防病毒軟件，并設(shè)置一臺(tái)網(wǎng)絡(luò)防病毒服務(wù)器，定期對(duì)防病毒軟件客戶端進(jìn)行升級(jí)，從而對(duì)進(jìn)入銀行內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行層層過(guò)濾和檢測(cè)，實(shí)現(xiàn)從網(wǎng)關(guān)到主機(jī)、終端以及應(yīng)用系統(tǒng)的防病毒體

7、系。同時(shí)，重要業(yè)務(wù)系統(tǒng)配置安全等級(jí)高的數(shù)據(jù)加密設(shè)備嚴(yán)格密鑰管理，并對(duì)主要業(yè)務(wù)系統(tǒng)進(jìn)行安全等級(jí)認(rèn)證，根據(jù)認(rèn)證級(jí)別部署安全策略。另外，根據(jù)銀行信息系統(tǒng)實(shí)際情況，對(duì)操作系統(tǒng)進(jìn)行更新升級(jí)，確保系統(tǒng)穩(wěn)定運(yùn)行。（三）數(shù)據(jù)和系統(tǒng)備份目前，大多中小城市商業(yè)銀行因條件所限，重要業(yè)務(wù)系統(tǒng)服務(wù)器采用雙機(jī)冷備模式，雖然降低了系統(tǒng)集成成本，但增加了業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)。建議關(guān)鍵、連續(xù)性業(yè)務(wù)系統(tǒng)采用雙機(jī)熱備份模式，即在一臺(tái)服務(wù)器出現(xiàn)故障時(shí)，另一臺(tái)服務(wù)器自動(dòng)接管故障主機(jī)資源

8、，從而保證業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行；而對(duì)于其他次要信息系統(tǒng)可采用冷備模式。另外，重要業(yè)務(wù)系統(tǒng)一定要按照數(shù)據(jù)備份管理制度，做好業(yè)務(wù)系統(tǒng)和數(shù)據(jù)備份，并定期進(jìn)行數(shù)據(jù)的恢復(fù)驗(yàn)證，確保數(shù)據(jù)有效性。中小城商行由于資金投入有限，大都未建立異地災(zāi)備中心，或僅在異地建立了數(shù)據(jù)級(jí)備份中心，建議可采取兄弟銀行互建災(zāi)備中心的模式，在保證安全、防范風(fēng)險(xiǎn)的同時(shí)降低建設(shè)成本。（四）先進(jìn)的電子化綜合監(jiān)測(cè)平臺(tái)長(zhǎng)期以來(lái)，在信息安全監(jiān)控方面，大都由人工進(jìn)行系統(tǒng)監(jiān)測(cè)，即使有專

9、門(mén)的監(jiān)測(cè)管理軟件，也是逐個(gè)針對(duì)單獨(dú)的主機(jī)、防火墻、網(wǎng)絡(luò)設(shè)備去做監(jiān)控，沒(méi)有整合為統(tǒng)一的監(jiān)控管理平臺(tái)。借鑒山東省農(nóng)信社信息科技風(fēng)險(xiǎn)管理經(jīng)驗(yàn)，利用IT運(yùn)維管理系統(tǒng)，將網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)以及UPS、空調(diào)、溫濕度、消防等機(jī)房基礎(chǔ)設(shè)施納入統(tǒng)一的監(jiān)控管理平臺(tái)，進(jìn)行統(tǒng)一的監(jiān)控和安全事件關(guān)聯(lián)分析，建立知識(shí)庫(kù)，方便日后風(fēng)險(xiǎn)排查，并實(shí)現(xiàn)全省統(tǒng)一的信息系統(tǒng)集中監(jiān)測(cè)，增強(qiáng)了銀行信息系統(tǒng)的整體安全防范能力。除了以上主要信息安全技術(shù)措施，還可以通過(guò)數(shù)字簽名認(rèn)證、

10、身份識(shí)別、日志審計(jì)系統(tǒng)、VPN加密、帶庫(kù)等技術(shù)手段實(shí)現(xiàn)各類(lèi)信息系統(tǒng)的風(fēng)險(xiǎn)管理。五、構(gòu)建全面的信息科技風(fēng)險(xiǎn)運(yùn)維管理體系（一）科學(xué)的運(yùn)維組織架構(gòu)城市商業(yè)銀行作為獨(dú)立法人，麻雀雖小卻五臟俱全，與各大國(guó)有商業(yè)銀行相比，核心業(yè)務(wù)系統(tǒng)、現(xiàn)代化支付系統(tǒng)、網(wǎng)上銀行、呼叫中心、辦公自動(dòng)化、績(jī)效考核系統(tǒng)以及人民銀行、銀監(jiān)會(huì)要求的各類(lèi)數(shù)據(jù)上報(bào)系統(tǒng)等一個(gè)都不少，加之城信社改制歷史沿革下來(lái)的弊端，面臨信息化建設(shè)任務(wù)重、人員素質(zhì)參差不齊、職責(zé)分工不清、人員組成缺乏