時間:2024-04-09 14:44:21
序論:在您撰寫金融科技安全時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
影響金融科技風(fēng)險主要存在于以下三個方面:第一,部分科技工作者安全技術(shù)水平低,安全意識淡薄。雖然管理者制定了相應(yīng)的安全管理規(guī)章制度,但是在執(zhí)行的過程中,會出現(xiàn)執(zhí)行力度小或者誤操作等情況,導(dǎo)致一些重要的數(shù)據(jù)泄露和密碼丟失等,讓系統(tǒng)的安全受到很大的威脅。第二,計算機網(wǎng)絡(luò)安全技術(shù)水平低。因為系統(tǒng)漏洞的存在,給一些不法分子如黑客可乘之機,他們通過侵入系統(tǒng)盜取數(shù)據(jù),甚至給系統(tǒng)帶來毀滅性的破壞。第三,監(jiān)督管理機制不完善。很多第三方支付、P2P交易模式等新的交易平臺出現(xiàn)的時候,沒有經(jīng)過嚴(yán)格的監(jiān)管審核和缺乏相應(yīng)的法律法規(guī)的約束,就出現(xiàn)了盜取客戶資產(chǎn)而追討無果的后果。安全是先行者,在安全得不到保障的情況下,客戶的信息和資產(chǎn)就得不到保障,進(jìn)而影響互聯(lián)網(wǎng)技術(shù)的發(fā)展,長遠(yuǎn)來說就會阻礙經(jīng)濟的發(fā)展和社會的進(jìn)步。所以在互聯(lián)網(wǎng)發(fā)展的進(jìn)程中,首先要解決安全問題。解決安全問題需要科技工作者、業(yè)務(wù)人員和監(jiān)管者等多方面共同努力,也不是一蹴而就的,每一種新的技術(shù)和產(chǎn)品的出現(xiàn),會伴隨著新的攻擊手段的出現(xiàn),所以一定要重視安全問題,并不斷尋找解決各種安全風(fēng)險的方法。其次,相關(guān)管理部門需要制定相應(yīng)的安全管理規(guī)范和規(guī)章制度,來提高操作人員的技術(shù)水平,規(guī)范其操作行為,進(jìn)而規(guī)避人為因素帶來的金融風(fēng)險。
二、對金融科技風(fēng)險進(jìn)行防范的具體措施
金融與計算機相互依賴、相互促進(jìn)。金融產(chǎn)品業(yè)務(wù)模式的創(chuàng)新促進(jìn)了計算機技術(shù)的進(jìn)步,同時計算機技術(shù)的進(jìn)步帶動了金融業(yè)務(wù)的發(fā)展。為了更好地為金融服務(wù),為金融產(chǎn)品保駕護航,必須要加強計算機安全技術(shù)和安全管理,盡量避免人為操作和技術(shù)缺陷帶來的風(fēng)險。
(一)加強對計算機軟件系統(tǒng)的管理
可靠的軟件系統(tǒng)是用戶交易安全的保障,安全的密碼策略、短信驗證碼、指紋、人臉識別技術(shù)和成熟的實名認(rèn)證技術(shù)等在軟件中應(yīng)用提高了交易的安全系數(shù),可以進(jìn)一步保障金融機構(gòu)以及客戶的資金安全以及相應(yīng)的信息數(shù)據(jù)。所以,金融機構(gòu)在對軟件進(jìn)行研發(fā)的過程中,需要盡可能使用全面的計算機軟件安全管理手段來規(guī)避歷史問題。在計算機軟件安全管理時,可以采用以下方法來保障軟件安全問題。首先,在軟件產(chǎn)品研發(fā)的各個階段,都要確保軟件質(zhì)量,使用更安全的登錄技術(shù)、加密技術(shù)、角色權(quán)限管理策略和密碼策略等手段來保障用戶安全的使用軟件;其次,在數(shù)據(jù)庫方面,配置相應(yīng)的安全管理策略,設(shè)置嚴(yán)格的分級查詢修改權(quán)限,必要時建立同城和異地災(zāi)備系統(tǒng);再次,在軟件的運行維護方面,將開發(fā)權(quán)限、運行和維護權(quán)限分開管理,配備專業(yè)的維護人員對軟件進(jìn)行維護,防止因操作權(quán)限分配問題導(dǎo)致的操作系統(tǒng)被一些非法用戶闖入,泄露一些重要的信息數(shù)據(jù);最后,我們還要定時更新病毒庫,并且積極升級更新殺毒軟件,對計算機進(jìn)行殺毒,完善病毒檢測和殺毒措施,避免因計算機中存在病毒導(dǎo)致系統(tǒng)出現(xiàn)崩潰的現(xiàn)象。安裝防火墻并定期檢查系統(tǒng)漏洞,更新并安裝系統(tǒng)補丁,關(guān)閉一些不安全的端口等,力保計算機軟件系統(tǒng)在運行的過程中的安全性。
(二)加強對計算機硬件的管理
計算機的高速計算能力極大地加快了業(yè)務(wù)發(fā)展,同時也對運行環(huán)境提出了比較高的要求。不僅要避開高溫高濕和強磁環(huán)境,還需要相關(guān)的專業(yè)維護人員對計算機的硬件進(jìn)行定期的維護,對一些出現(xiàn)損壞或老化的零部件進(jìn)行及時的更換和維修,以免出現(xiàn)一些較大的安全事故。
信息系統(tǒng)的安全性、可靠性和有效性不僅是商業(yè)銀行賴以生存和發(fā)展的重要基礎(chǔ),還關(guān)系到整個銀行業(yè)的安全和國家金融體系的穩(wěn)定,因此國家金融監(jiān)管部門對銀行信息科技風(fēng)險管理日益重視,對銀行信息科技風(fēng)險管理提出了明確要求,各商業(yè)銀行也普遍提髙了對信息科技風(fēng)險管理的關(guān)注程度。
1.加強信息科技風(fēng)險管理是金融監(jiān)管部門高度重視的重要問題
中國銀監(jiān)會主席劉明康在信息科技風(fēng)險管理與評價審計工作會議上指出,根據(jù)近幾年國際上出現(xiàn)的信息系統(tǒng)故障事件分析,如果銀行信息系統(tǒng)中斷1小時,將直接影響該行的基本支付業(yè)務(wù);中斷1天,將對其聲譽造成極大傷害;中斷2?3天以上不能恢復(fù),將直接危及銀行乃至整個金融系統(tǒng)的穩(wěn)定。這在一定程度上反映了國家金融監(jiān)管部門對信息科技風(fēng)險的深刻認(rèn)識和日益重視。2008年7月,銀監(jiān)會頒發(fā)了《銀行業(yè)金融機構(gòu)信息系統(tǒng)安全保障問責(zé)方案》,明確各銀行的法定代表人為本單位信息系統(tǒng)安全保障的第一責(zé)任人,并要求逐級簽訂信息系統(tǒng)安全保障責(zé)任書。同時,中國人民銀行、銀監(jiān)會組織全國金融機構(gòu)開展了奧運信息科技風(fēng)險全面自查工作,并相繼對各主要商業(yè)銀行進(jìn)行了現(xiàn)場專項檢查;國家審計署也在對6家大型商業(yè)銀行的2008年度全面審計工作中首次引入了信息科技審計的內(nèi)容,著重從信息安全的角度出發(fā),站在維護國家金融穩(wěn)定和國家安全的髙度,分析當(dāng)前我國銀行業(yè)信息科技工作面臨的主要風(fēng)險,并提出了有針對性的改進(jìn)建議。國家有關(guān)監(jiān)管和審計部門推出的這些卓有成效的管理措施,對銀行不斷改進(jìn)和完善信息科技風(fēng)險管理工作具有十分重要的指導(dǎo)意義,充分體現(xiàn)出了我國政府對銀行業(yè)信息科技風(fēng)險管理的尚度重視。
2.加強信息科技風(fēng)險管理是新《巴塞爾資本協(xié)議》的基本要求
在2004年正式公布的新《巴塞爾資本協(xié)議》中,重新修訂了銀行風(fēng)險的分類和定義,強調(diào)銀行在進(jìn)行風(fēng)險管理的時候,不僅要重視傳統(tǒng)的信用風(fēng)險、市場風(fēng)險、流動性風(fēng)險,而且要將防范操作風(fēng)險放在一個重要的地位,并將信息科技風(fēng)險明確劃歸操作風(fēng)險的范疇,從而使得信息科技風(fēng)險管理成為了銀行全面風(fēng)險管理體系中的重要組成部分。
3.加強信息科技風(fēng)險管理是銀行提高IT治理水平的需要
根據(jù)IT治理模型,IT風(fēng)險管理與戰(zhàn)略一致性、資源管理、績效評估等構(gòu)成IT治理總體架構(gòu),而且是其中的一個重要方面。隨著各家銀行信息化建設(shè)的深入,對信息科技風(fēng)險的認(rèn)識也在逐步加深,從單一的信息安全轉(zhuǎn)變?yōu)楹w生產(chǎn)運行、應(yīng)用研發(fā)、信息安全等方面的全面IT風(fēng)險管理,信息科技風(fēng)險管理水平體現(xiàn)了銀行的信息化程度和整體的風(fēng)險管理水平。在商業(yè)銀行完成股份制改造和上市之后,商業(yè)銀行已普遍認(rèn)識到信息科技方面一旦發(fā)生風(fēng)險事件,不僅會影響業(yè)務(wù)的正常辦理,還可能會對銀行的聲譽和市值產(chǎn)生負(fù)面影響,因此更加重視信息科技風(fēng)險管理,對加強信息科技風(fēng)險管理提出了更髙的要求。
二、加強信息科技風(fēng)險管理的相應(yīng)舉措
根據(jù)國際權(quán)威機構(gòu)信息系統(tǒng)審計與控制委員會(ISACA)的信息系統(tǒng)風(fēng)險控制和IT審計工作的最佳實踐指南,信息科技風(fēng)險管理應(yīng)關(guān)注IT治理、軟件生命周期管理(即項目開發(fā)與變更)、IT服務(wù)交付與支持(即系統(tǒng)運行維護)、信息安全、業(yè)務(wù)連續(xù)性管理等五大領(lǐng)域。在上述領(lǐng)域,各家商業(yè)銀行紛紛采取了各種風(fēng)險管理措施。下面以中國工商銀行股份有限公司(以下簡稱“工商銀行”)為例進(jìn)行介紹。
多年來,工商銀行堅持“科技興行'“科技引領(lǐng)”發(fā)展戰(zhàn)略,建立了集約化的科技組織體系,并逐步建立了與國際大銀行相適應(yīng)的先進(jìn)的科技體系和技術(shù)平臺。自2006年起,工商銀行正式將信息科技風(fēng)險納入了全行風(fēng)險管理體系,作為操作風(fēng)險管理的重要內(nèi)容,并在信息科技風(fēng)險管理方面開展了大量工作。
1.信息科技風(fēng)險管理組織體系工商銀行成立了信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組,由行長擔(dān)任組長,主管副行長任副組長,信息科技部、辦公室、個人金融部、運行管理部等相關(guān)部門負(fù)責(zé)人為成員,負(fù)責(zé)領(lǐng)導(dǎo)和組織信息系統(tǒng)重大事件的應(yīng)急處理、災(zāi)難備份和恢復(fù)、計算機信息系統(tǒng)的安全防護等工作??萍疾块T定期向董事會、行長辦公會、技術(shù)審查委員會、風(fēng)險管理委員會匯報信息科技風(fēng)險管理工作。同時,工商銀行總行以及分行的科技部門均設(shè)有負(fù)責(zé)信息科技風(fēng)險管理的部門,建立了一支專業(yè)的風(fēng)險防護隊伍,為加強信息科技風(fēng)險管理提供了組織保障。
2008年,國家有關(guān)監(jiān)管、審計部門對工商銀行目前的信息科技風(fēng)險管理情況都給予了較髙的評價,認(rèn)為工商銀行構(gòu)建了較完整的信息科技治理結(jié)構(gòu),構(gòu)成了信息科技管理、信息科技風(fēng)險管理和信息科技審計三道防線。
2.項目開發(fā)管理
針對由于版本質(zhì)量造成的應(yīng)用研發(fā)風(fēng)險,工商銀行采取了一系列措施,嚴(yán)格保障應(yīng)用系統(tǒng)研發(fā)質(zhì)量。一是不斷改進(jìn)研發(fā)和測試管理流程,加強需求管理、項目方案審查、研發(fā)過程管理和項目質(zhì)量控制;二是及時優(yōu)化調(diào)整應(yīng)用版本、測試和投產(chǎn)策略,針對版本投產(chǎn)比較頻繁等情況,明確了“版本集中投產(chǎn)”的原則,切實降低因版本投產(chǎn)和生產(chǎn)變更帶來的風(fēng)險隱患;三是與業(yè)務(wù)部門密切配合,力卩強溝通和協(xié)調(diào),實現(xiàn)風(fēng)險共擔(dān)。
3.運行維護和操作管理
生產(chǎn)運行風(fēng)險是信息科技風(fēng)險的突出表現(xiàn),并且根據(jù)實際情況統(tǒng)計,大約有50%的生產(chǎn)運行風(fēng)險是由管理操作原因引起的。為此,工商銀行始終堅持“將確保信息系統(tǒng)安全穩(wěn)定運行放在信息科技工作首位”的指導(dǎo)思想,并持續(xù)強化運行管理操作的各項措施,降低系統(tǒng)運行風(fēng)險。一是建立了全行統(tǒng)一集中的監(jiān)控管理平臺(ECC),對主機和開放平臺等各類應(yīng)用系統(tǒng)進(jìn)行實時監(jiān)控,實現(xiàn)生產(chǎn)操作、監(jiān)控的自動化;二是通過部署幫助臺系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、性能容量管理系統(tǒng)、資源管理系統(tǒng)等工具和系統(tǒng),逐步提髙生產(chǎn)運行管理的自動化程度;三是建立了完備的應(yīng)急管理體系,明確了應(yīng)急預(yù)案和流程,確保出現(xiàn)緊急事件情況下能夠進(jìn)行妥善處理,將事件影響降至最低。
4.信息安全管理
信息安全管理的核心是要建立健全信息安全的內(nèi)部控制體系,通過技術(shù)和管理手段,確保銀行信息系統(tǒng)和數(shù)據(jù)的機密性、完整性和可用性。為此,工商銀行建立了一支專門的信息安全防護隊伍,及時分析和解決存在的各類信息安全隱患。同時,積極落實信息安全體系規(guī)范和信息安全等級保護措施,部署了入侵檢測、漏洞掃描等一系列信息安全防護工具,實施了客戶端安全管理。由于采取了及時有效的防御措施,假冒網(wǎng)站、網(wǎng)絡(luò)攻擊等事件雖然時有發(fā)生,伹沒有對信息系統(tǒng)的穩(wěn)定運行造成不良影響。特別是在北京奧運會期間,工商銀行成功抵御了針對網(wǎng)上銀行系統(tǒng)的惡意攻擊,保障了電子銀行業(yè)務(wù)正常開展,維護了企業(yè)聲譽。
5.業(yè)務(wù)連續(xù)性管理
多年來,工商銀行始終堅持“數(shù)據(jù)集中處理、主機災(zāi)難備份、平臺多點接入、業(yè)務(wù)跨區(qū)受理”的原則開展信息系統(tǒng)技術(shù)體系建設(shè),自行建立了國內(nèi)同業(yè)領(lǐng)先的完善的技術(shù)災(zāi)備體系。2003年以后,工商銀行建立了核心業(yè)務(wù)異地災(zāi)難備份系統(tǒng),實施了同城磁盤鏡像,成為國內(nèi)同業(yè)第一家同時具備同城和異地災(zāi)備系統(tǒng)的銀行,為保障信息系統(tǒng)的連續(xù)性運行奠定了技術(shù)基礎(chǔ)。與此同時,工商銀行依靠自身力量制定了《信息系統(tǒng)連續(xù)性運作計劃(ITCP)》,并從2005年開始,每年都進(jìn)行一次全行業(yè)務(wù)級災(zāi)難恢復(fù)應(yīng)急演練,模擬在上海的生產(chǎn)中心發(fā)生災(zāi)難或信息系統(tǒng)長時間無法得到恢復(fù)的情況下,將全行核心業(yè)務(wù)切換到北京的災(zāi)備中心的技術(shù)和業(yè)務(wù)處理,有效保障了災(zāi)備系統(tǒng)的有效性。
三、加強信息科技風(fēng)險管理需要思考的若干問題
目前,商業(yè)銀行在實施信息科技風(fēng)險管理過程中主要面對以下幾方面的問題。
1.要關(guān)注信息科技風(fēng)險計量和相關(guān)標(biāo)準(zhǔn)規(guī)范體系建設(shè)
對于銀行來說,操作風(fēng)險本身就是一種比較難以控制的風(fēng)險,目前世界銀行業(yè)也沒有一種公認(rèn)的成熟方法來計量。新《巴塞爾資本協(xié)議》要求2007年所有的銀行都要開始按照協(xié)議規(guī)定的三種方法中的一種來計算經(jīng)濟資本,進(jìn)而控制操作風(fēng)險。伹據(jù)調(diào)查,60%以上的銀行未從2007年開始對操作風(fēng)險實行量化管理,大多數(shù)銀行的預(yù)期實施時間是2010年?2012年??梢?,銀行業(yè)在對于整個操作風(fēng)險的管理體系、流程、計量方法和工具等方面的探索還遠(yuǎn)遠(yuǎn)落后于傳統(tǒng)的信用風(fēng)險和市場風(fēng)險管理等領(lǐng)域。而銀行信息科技風(fēng)險除了人為誤操作因素以外,還與日趨復(fù)雜的信息系統(tǒng)軟硬件環(huán)境直接相關(guān),因此要對其進(jìn)行科學(xué)、準(zhǔn)確的度量和評估,存在更大難度。從全球范圍來看,盡管國際上一些大銀行在信息科技風(fēng)險管理方面已經(jīng)積累了一定的經(jīng)驗,伹迄今為止真正構(gòu)建出有效的、完善的、可量化的信息科技風(fēng)險管理體系的銀行卻為數(shù)寥寥。因此,國內(nèi)銀行業(yè)需要首先考慮建立一套量化的指標(biāo)體系,科學(xué)衡量銀行的信息科技風(fēng)險。同時,建議相關(guān)主管部門牽頭在信息科技管理領(lǐng)域建立相應(yīng)的標(biāo)準(zhǔn)規(guī)范,以指導(dǎo)和促進(jìn)國內(nèi)商業(yè)銀行提髙信息科技風(fēng)險管理的規(guī)范化、標(biāo)準(zhǔn)化水平。
2.正確認(rèn)識災(zāi)難備份體系建設(shè)的內(nèi)涵
建立完備的災(zāi)備體系對銀行的重要意義毋庸置疑,伹災(zāi)備體系建設(shè)應(yīng)遵循什么樣的標(biāo)準(zhǔn)和原則,是否所有銀行系統(tǒng)都遵循同樣的標(biāo)準(zhǔn)建設(shè)災(zāi)備系統(tǒng),是商業(yè)銀行在災(zāi)備體系規(guī)劃和建設(shè)過程中需要認(rèn)真考慮的問題。通常情況下,銀行可以根據(jù)業(yè)務(wù)系統(tǒng)的重要性、災(zāi)難恢復(fù)的時效性要求和銀行自身的風(fēng)險承受能力等因素,參考相關(guān)國際標(biāo)準(zhǔn)n,綜合評定劃分災(zāi)備等級,確定業(yè)務(wù)恢復(fù)時間(RTO)、業(yè)務(wù)丟失時間(RPO)等關(guān)鍵指標(biāo),在此基礎(chǔ)上,遵循成本效益的原則,按照相應(yīng)的標(biāo)準(zhǔn)開展災(zāi)備建設(shè)。目前,國外現(xiàn)代化商業(yè)銀行普遍采用此種做法,首先確定系統(tǒng)的災(zāi)備等級,并相應(yīng)實施不同的災(zāi)備策略,重點對關(guān)鍵設(shè)施和系統(tǒng)實施髙等級的災(zāi)備保護措施。
因此,建議國內(nèi)相關(guān)行業(yè)主管部門積極引導(dǎo)各商業(yè)銀行根據(jù)實際情況,采取分級實施、逐步推進(jìn)的原則,借鑒國外銀行的先進(jìn)經(jīng)驗,優(yōu)先確保關(guān)鍵設(shè)施和重要業(yè)務(wù)系統(tǒng)的連續(xù)性運作,在實現(xiàn)災(zāi)備體系建設(shè)目標(biāo)的同時,也相應(yīng)降低建設(shè)和維護的成本。
3.信息科技風(fēng)險管理需要業(yè)務(wù)部門的關(guān)注和共同參與
與應(yīng)用產(chǎn)品創(chuàng)新工作需要科技部門和業(yè)務(wù)部門共同完成類似,雖然信息科技風(fēng)險管理更多關(guān)注的是IT領(lǐng)域,伹其中相當(dāng)一部分內(nèi)容與業(yè)務(wù)部門息息相關(guān)。
在業(yè)務(wù)連續(xù)性管理方面,在科技部門建成了災(zāi)備系統(tǒng)的基礎(chǔ)上,需要業(yè)務(wù)部門制定業(yè)務(wù)層面的應(yīng)急計劃,指導(dǎo)業(yè)務(wù)人員在信息系統(tǒng)中斷和恢復(fù)時進(jìn)行業(yè)務(wù)的應(yīng)急處理,從而與科技部門協(xié)同開展應(yīng)急恢復(fù)工作。
信息系統(tǒng)的安全性、可靠性和有效性不僅是商業(yè)銀行賴以生存和發(fā)展的重要基礎(chǔ),還關(guān)系到整個銀行業(yè)的安全和國家金融體系的穩(wěn)定,因此國家金融監(jiān)管部門對銀行信息科技風(fēng)險管理日益重視,對銀行信息科技風(fēng)險管理提出了明確要求,各商業(yè)銀行也普遍提髙了對信息科技風(fēng)險管理的關(guān)注程度。
1.加強信息科技風(fēng)險管理是金融監(jiān)管部門高度重視的重要問題
中國銀監(jiān)會主席劉明康在信息科技風(fēng)險管理與評價審計工作會議上指出,根據(jù)近幾年國際上出現(xiàn)的信息系統(tǒng)故障事件分析,如果銀行信息系統(tǒng)中斷1小時,將直接影響該行的基本支付業(yè)務(wù);中斷1天,將對其聲譽造成極大傷害;中斷2?3天以上不能恢復(fù),將直接危及銀行乃至整個金融系統(tǒng)的穩(wěn)定。這在一定程度上反映了國家金融監(jiān)管部門對信息科技風(fēng)險的深刻認(rèn)識和日益重視。2008年7月,銀監(jiān)會頒發(fā)了《銀行業(yè)金融機構(gòu)信息系統(tǒng)安全保障問責(zé)方案》,明確各銀行的法定代表人為本單位信息系統(tǒng)安全保障的第一責(zé)任人,并要求逐級簽訂信息系統(tǒng)安全保障責(zé)任書。同時,中國人民銀行、銀監(jiān)會組織全國金融機構(gòu)開展了奧運信息科技風(fēng)險全面自查工作,并相繼對各主要商業(yè)銀行進(jìn)行了現(xiàn)場專項檢查;國家審計署也在對6家大型商業(yè)銀行的2008年度全面審計工作中首次引入了信息科技審計的內(nèi)容,著重從信息安全的角度出發(fā),站在維護國家金融穩(wěn)定和國家安全的髙度,分析當(dāng)前我國銀行業(yè)信息科技工作面臨的主要風(fēng)險,并提出了有針對性的改進(jìn)建議。國家有關(guān)監(jiān)管和審計部門推出的這些卓有成效的管理措施,對銀行不斷改進(jìn)和完善信息科技風(fēng)險管理工作具有十分重要的指導(dǎo)意義,充分體現(xiàn)出了我國政府對銀行業(yè)信息科技風(fēng)險管理的尚度重視。
2.加強信息科技風(fēng)險管理是新《巴塞爾資本協(xié)議》的基本要求
在2004年正式公布的新《巴塞爾資本協(xié)議》中,重新修訂了銀行風(fēng)險的分類和定義,強調(diào)銀行在進(jìn)行風(fēng)險管理的時候,不僅要重視傳統(tǒng)的信用風(fēng)險、市場風(fēng)險、流動性風(fēng)險,而且要將防范操作風(fēng)險放在一個重要的地位,并將信息科技風(fēng)險明確劃歸操作風(fēng)險的范疇,從而使得信息科技風(fēng)險管理成為了銀行全面風(fēng)險管理體系中的重要組成部分。
3.加強信息科技風(fēng)險管理是銀行提高IT治理水平的需要
根據(jù)IT治理模型,IT風(fēng)險管理與戰(zhàn)略一致性、資源管理、績效評估等構(gòu)成IT治理總體架構(gòu),而且是其中的一個重要方面。隨著各家銀行信息化建設(shè)的深入,對信息科技風(fēng)險的認(rèn)識也在逐步加深,從單一的信息安全轉(zhuǎn)變?yōu)楹w生產(chǎn)運行、應(yīng)用研發(fā)、信息安全等方面的全面IT風(fēng)險管理,信息科技風(fēng)險管理水平體現(xiàn)了銀行的信息化程度和整體的風(fēng)險管理水平。在商業(yè)銀行完成股份制改造和上市之后,商業(yè)銀行已普遍認(rèn)識到信息科技方面一旦發(fā)生風(fēng)險事件,不僅會影響業(yè)務(wù)的正常辦理,還可能會對銀行的聲譽和市值產(chǎn)生負(fù)面影響,因此更加重視信息科技風(fēng)險管理,對加強信息科技風(fēng)險管理提出了更髙的要求。
二、加強信息科技風(fēng)險管理的相應(yīng)舉措
根據(jù)國際權(quán)威機構(gòu)信息系統(tǒng)審計與控制委員會(ISACA)的信息系統(tǒng)風(fēng)險控制和IT審計工作的最佳實踐指南,信息科技風(fēng)險管理應(yīng)關(guān)注IT治理、軟件生命周期管理(即項目開發(fā)與變更)、IT服務(wù)交付與支持(即系統(tǒng)運行維護)、信息安全、業(yè)務(wù)連續(xù)性管理等五大領(lǐng)域。在上述領(lǐng)域,各家商業(yè)銀行紛紛采取了各種風(fēng)險管理措施。下面以中國工商銀行股份有限公司(以下簡稱“工商銀行”)為例進(jìn)行介紹。
多年來,工商銀行堅持“科技興行'“科技引領(lǐng)”發(fā)展戰(zhàn)略,建立了集約化的科技組織體系,并逐步建立了與國際大銀行相適應(yīng)的先進(jìn)的科技體系和技術(shù)平臺。自2006年起,工商銀行正式將信息科技風(fēng)險納入了全行風(fēng)險管理體系,作為操作風(fēng)險管理的重要內(nèi)容,并在信息科技風(fēng)險管理方面開展了大量工作。
1.信息科技風(fēng)險管理組織體系工商銀行成立了信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組,由行長擔(dān)任組長,主管副行長任副組長,信息科技部、辦公室、個人金融部、運行管理部等相關(guān)部門負(fù)責(zé)人為成員,負(fù)責(zé)領(lǐng)導(dǎo)和組織信息系統(tǒng)重大事件的應(yīng)急處理、災(zāi)難備份和恢復(fù)、計算機信息系統(tǒng)的安全防護等工作。科技部門定期向董事會、行長辦公會、技術(shù)審查委員會、風(fēng)險管理委員會匯報信息科技風(fēng)險管理工作。同時,工商銀行總行以及分行的科技部門均設(shè)有負(fù)責(zé)信息科技風(fēng)險管理的部門,建立了一支專業(yè)的風(fēng)險防護隊伍,為加強信息科技風(fēng)險管理提供了組織保障。
2008年,國家有關(guān)監(jiān)管、審計部門對工商銀行目前的信息科技風(fēng)險管理情況都給予了較髙的評價,認(rèn)為工商銀行構(gòu)建了較完整的信息科技治理結(jié)構(gòu),構(gòu)成了信息科技管理、信息科技風(fēng)險管理和信息科技審計三道防線。
2.項目開發(fā)管理
針對由于版本質(zhì)量造成的應(yīng)用研發(fā)風(fēng)險,工商銀行采取了一系列措施,嚴(yán)格保障應(yīng)用系統(tǒng)研發(fā)質(zhì)量。一是不斷改進(jìn)研發(fā)和測試管理流程,加強需求管理、項目方案審查、研發(fā)過程管理和項目質(zhì)量控制;二是及時優(yōu)化調(diào)整應(yīng)用版本、測試和投產(chǎn)策略,針對版本投產(chǎn)比較頻繁等情況,明確了“版本集中投產(chǎn)”的原則,切實降低因版本投產(chǎn)和生產(chǎn)變更帶來的風(fēng)險隱患;三是與業(yè)務(wù)部門密切配合,力卩強溝通和協(xié)調(diào),實現(xiàn)風(fēng)險共擔(dān)。
3.運行維護和操作管理
生產(chǎn)運行風(fēng)險是信息科技風(fēng)險的突出表現(xiàn),并且根據(jù)實際情況統(tǒng)計,大約有50%的生產(chǎn)運行風(fēng)險是由管理操作原因引起的。為此,工商銀行始終堅持“將確保信息系統(tǒng)安全穩(wěn)定運行放在信息科技工作首位”的指導(dǎo)思想,并持續(xù)強化運行管理操作的各項措施,降低系統(tǒng)運行風(fēng)險。一是建立了全行統(tǒng)一集中的監(jiān)控管理平臺(ECC),對主機和開放平臺等各類應(yīng)用系統(tǒng)進(jìn)行實時監(jiān)控,實現(xiàn)生產(chǎn)操作、監(jiān)控的自動化;二是通過部署幫助臺系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、性能容量管理系統(tǒng)、資源管理系統(tǒng)等工具和系統(tǒng),逐步提髙生產(chǎn)運行管理的自動化程度;三是建立了完備的應(yīng)急管理體系,明確了應(yīng)急預(yù)案和流程,確保出現(xiàn)緊急事件情況下能夠進(jìn)行妥善處理,將事件影響降至最低。
4.信息安全管理
信息安全管理的核心是要建立健全信息安全的內(nèi)部控制體系,通過技術(shù)和管理手段,確保銀行信息系統(tǒng)和數(shù)據(jù)的機密性、完整性和可用性。為此,工商銀行建立了一支專門的信息安全防護隊伍,及時分析和解決存在的各類信息安全隱患。同時,積極落實信息安全體系規(guī)范和信息安全等級保護措施,部署了入侵檢測、漏洞掃描等一系列信息安全防護工具,實施了客戶端安全管理。由于采取了及時有效的防御措施,假冒網(wǎng)站、網(wǎng)絡(luò)攻擊等事件雖然時有發(fā)生,伹沒有對信息系統(tǒng)的穩(wěn)定運行造成不良影響。特別是在北京奧運會期間,工商銀行成功抵御了針對網(wǎng)上銀行系統(tǒng)的惡意攻擊,保障了電子銀行業(yè)務(wù)正常開展,維護了企業(yè)聲譽。
5.業(yè)務(wù)連續(xù)性管理
多年來,工商銀行始終堅持“數(shù)據(jù)集中處理、主機災(zāi)難備份、平臺多點接入、業(yè)務(wù)跨區(qū)受理”的原則開展信息系統(tǒng)技術(shù)體系建設(shè),自行建立了國內(nèi)同業(yè)領(lǐng)先的完善的技術(shù)災(zāi)備體系。2003年以后,工商銀行建立了核心業(yè)務(wù)異地災(zāi)難備份系統(tǒng),實施了同城磁盤鏡像,成為國內(nèi)同業(yè)第一家同時具備同城和異地災(zāi)備系統(tǒng)的銀行,為保障信息系統(tǒng)的連續(xù)性運行奠定了技術(shù)基礎(chǔ)。與此同時,工商銀行依靠自身力量制定了《信息系統(tǒng)連續(xù)性運作計劃(ITCP)》,并從2005年開始,每年都進(jìn)行一次全行業(yè)務(wù)級災(zāi)難恢復(fù)應(yīng)急演練,模擬在上海的生產(chǎn)中心發(fā)生災(zāi)難或信息系統(tǒng)長時間無法得到恢復(fù)的情況下,將全行核心業(yè)務(wù)切換到北京的災(zāi)備中心的技術(shù)和業(yè)務(wù)處理,有效保障了災(zāi)備系統(tǒng)的有效性。
三、加強信息科技風(fēng)險管理需要思考的若干問題
目前,商業(yè)銀行在實施信息科技風(fēng)險管理過程中主要面對以下幾方面的問題。
1.要關(guān)注信息科技風(fēng)險計量和相關(guān)標(biāo)準(zhǔn)規(guī)范體系建設(shè)
對于銀行來說,操作風(fēng)險本身就是一種比較難以控制的風(fēng)險,目前世界銀行業(yè)也沒有一種公認(rèn)的成熟方法來計量。新《巴塞爾資本協(xié)議》要求2007年所有的銀行都要開始按照協(xié)議規(guī)定的三種方法中的一種來計算經(jīng)濟資本,進(jìn)而控制操作風(fēng)險。伹據(jù)調(diào)查,60%以上的銀行未從2007年開始對操作風(fēng)險實行量化管理,大多數(shù)銀行的預(yù)期實施時間是2010年?2012年??梢?,銀行業(yè)在對于整個操作風(fēng)險的管理體系、流程、計量方法和工具等方面的探索還遠(yuǎn)遠(yuǎn)落后于傳統(tǒng)的信用風(fēng)險和市場風(fēng)險管理等領(lǐng)域。而銀行信息科技風(fēng)險除了人為誤操作因素以外,還與日趨復(fù)雜的信息系統(tǒng)軟硬件環(huán)境直接相關(guān),因此要對其進(jìn)行科學(xué)、準(zhǔn)確的度量和評估,存在更大難度。從全球范圍來看,盡管國際上一些大銀行在信息科技風(fēng)險管理方面已經(jīng)積累了一定的經(jīng)驗,伹迄今為止真正構(gòu)建出有效的、完善的、可量化的信息科技風(fēng)險管理體系的銀行卻為數(shù)寥寥。因此,國內(nèi)銀行業(yè)需要首先考慮建立一套量化的指標(biāo)體系,科學(xué)衡量銀行的信息科技風(fēng)險。同時,建議相關(guān)主管部門牽頭在信息科技管理領(lǐng)域建立相應(yīng)的標(biāo)準(zhǔn)規(guī)范,以指導(dǎo)和促進(jìn)國內(nèi)商業(yè)銀行提髙信息科技風(fēng)險管理的規(guī)范化、標(biāo)準(zhǔn)化水平。
2.正確認(rèn)識災(zāi)難備份體系建設(shè)的內(nèi)涵
建立完備的災(zāi)備體系對銀行的重要意義毋庸置疑,伹災(zāi)備體系建設(shè)應(yīng)遵循什么樣的標(biāo)準(zhǔn)和原則,是否所有銀行系統(tǒng)都遵循同樣的標(biāo)準(zhǔn)建設(shè)災(zāi)備系統(tǒng),是商業(yè)銀行在災(zāi)備體系規(guī)劃和建設(shè)過程中需要認(rèn)真考慮的問題。通常情況下,銀行可以根據(jù)業(yè)務(wù)系統(tǒng)的重要性、災(zāi)難恢復(fù)的時效性要求和銀行自身的風(fēng)險承受能力等因素,參考相關(guān)國際標(biāo)準(zhǔn)n,綜合評定劃分災(zāi)備等級,確定業(yè)務(wù)恢復(fù)時間(RTO)、業(yè)務(wù)丟失時間(RPO)等關(guān)鍵指標(biāo),在此基礎(chǔ)上,遵循成本效益的原則,按照相應(yīng)的標(biāo)準(zhǔn)開展災(zāi)備建設(shè)。目前,國外現(xiàn)代化商業(yè)銀行普遍采用此種做法,首先確定系統(tǒng)的災(zāi)備等級,并相應(yīng)實施不同的災(zāi)備策略,重點對關(guān)鍵設(shè)施和系統(tǒng)實施髙等級的災(zāi)備保護措施。
因此,建議國內(nèi)相關(guān)行業(yè)主管部門積極引導(dǎo)各商業(yè)銀行根據(jù)實際情況,采取分級實施、逐步推進(jìn)的原則,借鑒國外銀行的先進(jìn)經(jīng)驗,優(yōu)先確保關(guān)鍵設(shè)施和重要業(yè)務(wù)系統(tǒng)的連續(xù)性運作,在實現(xiàn)災(zāi)備體系建設(shè)目標(biāo)的同時,也相應(yīng)降低建設(shè)和維護的成本。
3.信息科技風(fēng)險管理需要業(yè)務(wù)部門的關(guān)注和共同參與
與應(yīng)用產(chǎn)品創(chuàng)新工作需要科技部門和業(yè)務(wù)部門共同完成類似,雖然信息科技風(fēng)險管理更多關(guān)注的是IT領(lǐng)域,伹其中相當(dāng)一部分內(nèi)容與業(yè)務(wù)部門息息相關(guān)。
在業(yè)務(wù)連續(xù)性管理方面,在科技部門建成了災(zāi)備系統(tǒng)的基礎(chǔ)上,需要業(yè)務(wù)部門制定業(yè)務(wù)層面的應(yīng)急計劃,指導(dǎo)業(yè)務(wù)人員在信息系統(tǒng)中斷和恢復(fù)時進(jìn)行業(yè)務(wù)的應(yīng)急處理,從而與科技部門協(xié)同開展應(yīng)急恢復(fù)工作。
關(guān)鍵詞:計算機安全 科技風(fēng)險 金融電子
伴隨著計算機應(yīng)用技術(shù)的發(fā)展,電子金融市場面臨著機遇的同時也面臨著挑戰(zhàn),金融科技風(fēng)險的發(fā)生成了金融業(yè)不得不面對的問題。在這種背景下,計算機安全管理在防范金融科技風(fēng)險中的作用得到了越來越多的關(guān)注[1]。本文結(jié)合現(xiàn)有的金融科技風(fēng)險的實際情況,對計算機安全管理在防范金融科技風(fēng)險中的作用進(jìn)行探討。
一、金融科技風(fēng)險概述
金融科技風(fēng)險通常又被稱作金融計算機風(fēng)險,指的是金融行業(yè)在實施技術(shù)創(chuàng)新與金融電子化進(jìn)程中所應(yīng)用的計算機與網(wǎng)絡(luò)通信等技術(shù)所帶來的風(fēng)險,這是由于計算機硬件、計算機軟件以及計算機的操作系統(tǒng)缺少計算機安全管理制度的有效規(guī)范,潛伏中存在諸多不安全因素容易造成潛在的或者已經(jīng)出現(xiàn)的各類風(fēng)險。金融行業(yè)的計算機信息系統(tǒng)作為技術(shù)密集結(jié)合體,有著人――機――環(huán)境的復(fù)雜系統(tǒng),該系統(tǒng)在正常運作過程中有著一定的脆弱性,容易遭受攻擊。傳統(tǒng)金融行業(yè)的銀行與金庫,通常都管理嚴(yán)格,外人很難潛人,金融機構(gòu)內(nèi)部的不同業(yè)務(wù)部門之間也設(shè)置一定的物理方式的分隔措施[2]。但金融行業(yè)電子化以后,特別是計算機聯(lián)網(wǎng)實施以后,銀行傳統(tǒng)的邊界已經(jīng)逐步消失,進(jìn)而導(dǎo)致金融計算機信息系統(tǒng)存在一定程度的易受攻擊,在自然災(zāi)害與人為破壞方面的防護能力不強,整個系統(tǒng)在運營過程中容易出現(xiàn)問題,如可能會遇到不法分子通過國外的計算機網(wǎng)絡(luò)進(jìn)人到銀行的數(shù)據(jù)庫,進(jìn)而導(dǎo)致?lián)p害的發(fā)生。
二、金融科技風(fēng)險分析
從現(xiàn)有金融科技風(fēng)險的情況來看,主要的金融科技風(fēng)險主要表現(xiàn)在以下幾個方面:
首先,計算機安全管理意識淡薄而導(dǎo)致的金融科技風(fēng)險。金融行業(yè)在防范金融科技風(fēng)險方面水平的高低與組織人員,尤其是管理人員安全意識的強弱有著密切的聯(lián)系。以基層銀行的計算機安全管理工作為例,我國現(xiàn)有的多數(shù)縣支行僅僅配備一名計算機方面的專業(yè)技術(shù)人員,同時對這些人員的薪酬管理存在著不規(guī)范的行為,導(dǎo)致這些人員的安全意識低,工作積極性差,進(jìn)而影響到金融科技風(fēng)險的防范工作有效性的提升[3]。又如一些營業(yè)網(wǎng)點的員工由于自身的安全意識比較淡薄,因而經(jīng)常會讓無關(guān)人員進(jìn)入到網(wǎng)點的工作區(qū),進(jìn)而讓這些人員接觸到計算機設(shè)備,進(jìn)而為不法分子進(jìn)行計算機方面的犯罪提供了便利。
其次,銀行等機構(gòu)的內(nèi)控制度不健全。如銀行的一些營業(yè)網(wǎng)點在計算機的應(yīng)用中沒有貫徹分級授權(quán)的管理原則,存在著操作系統(tǒng)管理與主管操作員的口令都在記賬員手里的情況,嚴(yán)重的甚至超級用戶與數(shù)據(jù)庫管理系統(tǒng)的口令也由記賬員掌握,這就使得記賬員有修改數(shù)據(jù)的可能性,進(jìn)而為金融科技風(fēng)險的產(chǎn)生留下伏筆。
同時,計算機非法用戶以及計算機病毒侵入給金融科技也帶來一定的風(fēng)險,一些計算機非法用戶通過高科技方式的應(yīng)用,竊取到銀行等金融機構(gòu)的用戶密碼后,以合法身份聯(lián)入到銀行等金融機構(gòu)的計算機網(wǎng)絡(luò)系統(tǒng)中進(jìn)行破壞,進(jìn)而導(dǎo)致金融科技風(fēng)險的出現(xiàn)。
除此以外,銀行等金融機構(gòu)的工作人員在計算機安全操作方面的水平較低,導(dǎo)致違章操作的情況較多,尤其是在計算機等操作技術(shù)快速提升的背景下,工作人員操作水平低的情況容易導(dǎo)致金融科技風(fēng)險的出現(xiàn)[4]。簡而言之,導(dǎo)致金融科技風(fēng)險存在的原因是多方面的,表現(xiàn)形式也呈多元化的發(fā)展趨勢,因而有必要加強計算機安全管理在防范金融科技風(fēng)險方面作用的發(fā)揮。
三、計算機安全管理在防范金融科技風(fēng)險的作用
本文結(jié)合計算機安全管理在防范金融科技風(fēng)險中的現(xiàn)有情況,對計算機安全管理在防范金融科技風(fēng)險的作用做如下探討:
(一)計算機安全管理在防范金融科技風(fēng)險中的重要性
銀行等金融機構(gòu)通過計算機安全管理工作水平的提升,有利于促進(jìn)金融行業(yè)的整體發(fā)展,進(jìn)而有效的處理銀行等金融機構(gòu)在電子化發(fā)展過程中面臨的諸多安全風(fēng)險方面的問題,進(jìn)而實現(xiàn)金融行業(yè)的凈化,提升金融行業(yè)的綜合發(fā)展能力。伴隨著金融行業(yè)的發(fā)展,尤其是人們個性化金融需求水平不斷提高的背景下,銀行等金融機構(gòu)在關(guān)注市場風(fēng)險、信用風(fēng)險、以及流動風(fēng)險等行業(yè)所面臨的風(fēng)險上,更應(yīng)關(guān)注金融科技給自身帶來的風(fēng)險。這是因為金融科技風(fēng)險的出現(xiàn),不但會影響到金融機構(gòu)正常業(yè)務(wù)的辦理,嚴(yán)重的會影響到金融行業(yè)整體的發(fā)展,正因為如此,應(yīng)關(guān)注計算機安全管理在防范金融科技風(fēng)險中作用的發(fā)揮[5]。
(二)基于計算機安全管理的金融科技風(fēng)險防范途徑
從現(xiàn)有的計算機安全管理在防范金融科技風(fēng)險作用的發(fā)揮來看,主要集中于以下幾個途徑:
1.提高軟件系統(tǒng)的安全性
軟件是否可靠對金融機構(gòu)的數(shù)據(jù)資料與客戶資金的安全有著重要的影響。這就決定了在計算機安全管理中,在軟件引入時應(yīng)關(guān)注軟件應(yīng)有的安全性,合理的應(yīng)用加密技術(shù)。同時,還應(yīng)在應(yīng)用過程中設(shè)置分級保密制度,將進(jìn)入口令與密碼做到分人保管,進(jìn)而有效的提高技術(shù)防范金融科技風(fēng)險的能力。
2.合理的配備硬件環(huán)境
計算機硬件環(huán)境的配置對防范金融科技風(fēng)險有著重要的作用。應(yīng)對電磁進(jìn)行屏蔽,避免不法人員利用電磁機會入侵金融機構(gòu)的計算機。合理的配備硬件環(huán)境可以采取的方法是鋪設(shè)防止靜電的地板;在沒有強磁場的地方進(jìn)行計算機的安放;對于控制主要業(yè)務(wù)的計算機應(yīng)盡可能的配備兩臺計算機,進(jìn)而有效的確保系統(tǒng)的正常運行。
3.提高避免病毒與黑客入侵的工作力度
從以往的金融科技風(fēng)險方面的案例來看,其中計算機病毒以及黑客侵入的比例較高。這就決定了金融機構(gòu)在計算機安全管理方面應(yīng)加強對網(wǎng)絡(luò)信息安全的監(jiān)管,嚴(yán)格控制非金融結(jié)構(gòu)工作人員登錄系統(tǒng),對用戶的權(quán)限進(jìn)行合理的限制,提高對系統(tǒng)中各類意外事件的跟蹤能力與分析能力,進(jìn)而有效的提高避免病毒與黑客入侵的工作水平。
4.提綱金融計算機安全防范技術(shù)
計算機安全管理作用的發(fā)揮需要安全防范技術(shù)水平的不斷提高作為保障。從這個層面出發(fā),計算機廠商應(yīng)在計算機硬件與軟件技術(shù)應(yīng)用方面,不斷提高計算機安全防范技術(shù)的水平[6]。廠商在編制與設(shè)計計算機程序時應(yīng)嚴(yán)格依照制度的要求來進(jìn)行,通過責(zé)任制的實施來確立編制與設(shè)計人員之間能夠進(jìn)行相互制約與相互監(jiān)督,避免工作人員存在弄虛作假的行為。在具體的計算機操作中,確保計算機能夠同步進(jìn)行自動記錄,避免刪除、修改以及非法使用行為的存在。要開發(fā)專門的監(jiān)控軟件對計算機系統(tǒng)實施監(jiān)控,對破壞計算機系統(tǒng)程序的行為進(jìn)行識別與消除。提高對系統(tǒng)數(shù)據(jù)通信所作的加密措施的工作力度,不斷提高加密技術(shù)、防火墻技術(shù)以及濾波技術(shù),進(jìn)而避免金融科技風(fēng)險的出現(xiàn)。
(三)基于計算機安全管理的金融科技風(fēng)險防范保障途徑
計算機安全管理在防范金融科技風(fēng)險的作用發(fā)揮,也需要相應(yīng)的風(fēng)險防范保障途徑,如應(yīng)提高監(jiān)管理理念、轉(zhuǎn)變我國在金融科技風(fēng)險控制方面的法律理念以及加強對計算機安全管理專業(yè)人員的培養(yǎng)等等。這是由金融科技風(fēng)險產(chǎn)生受多因素制約的特點決定的[7]。我國應(yīng)從自身的實際情況出發(fā),建立起國家、金融行業(yè)、金融機構(gòu)以及金融行業(yè)從業(yè)人員等等多主體參與的防范金融科技風(fēng)險的體系,進(jìn)而促進(jìn)計算機安全管理在金融行業(yè)應(yīng)用水平的提高。
綜上所述,計算機安全管理在防范金融科技風(fēng)險方面作用的發(fā)揮,需要多方面的緊密配合才能實現(xiàn)。因而需要金融行業(yè)應(yīng)在自身的發(fā)展過程中,不斷的提高防范金融科技風(fēng)險的水平,尤其加強計算機安全管理在金融科技風(fēng)險中作用的發(fā)揮,進(jìn)而有效的確保金融機構(gòu)應(yīng)有的安全。
參考文獻(xiàn)
[1]魏國慶.對農(nóng)村信用社計算機安全管理的思考[J].科技信息.2010(05):97.
[2]劉騏源,黃虹妮.淺談計算機技術(shù)在風(fēng)險管理和金融監(jiān)管中的利用[J].現(xiàn)代商業(yè).2010(09):64.
[3]馬輝.計算機技術(shù)與金融風(fēng)險的對策分析[J].科技風(fēng).2010(17):53.
[4]蘇向陽.金融信息管理與現(xiàn)代計算機技術(shù)關(guān)系研究[J].信息與電腦(理論版).2011(03):157-159.
[5]王永.計算機在金融監(jiān)管工作中的作用探析[J].軟件導(dǎo)刊.2011(02):143-144.
關(guān)鍵詞:計算機安全管理 防范 金融科技風(fēng)險 作用
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2015)05(b)-0132-01
現(xiàn)階段,科技在不斷發(fā)展進(jìn)步中,大部分銀行業(yè)都已建立了全國性的電子聯(lián)行系統(tǒng),在大城市中,也完善了同城資金清算系統(tǒng),基本上完成了電子化管理,計算機的推廣以及使用對金融行業(yè)的發(fā)展有一定的促進(jìn)作用。
1 金融科技風(fēng)險
首先,管理者安全意識較為淡薄,管理控制制度較不完善,管理不嚴(yán),一些縣級支行缺乏相關(guān)的專業(yè)人員,對計算機的應(yīng)用也較為隨意,相關(guān)重要數(shù)據(jù)以及密碼都由一人掌控,對數(shù)據(jù)的安全造成一定威脅。
其次,黑客以及相關(guān)病毒的入侵破壞了計算機網(wǎng)絡(luò)系統(tǒng),造成較大的風(fēng)險隱患。
第三,電子設(shè)備運行的物理環(huán)境無法達(dá)到既定要求,造成較大的安全威脅。
第四,電子化項目軟件在研發(fā)以及創(chuàng)新中,造成了一定的安全漏洞,致使系統(tǒng)崩潰。
2 對金融科技風(fēng)險進(jìn)行防范的具體措施
如金融計算機出現(xiàn)風(fēng)險,就會對正常的業(yè)務(wù)處理造成一定影響,對數(shù)據(jù)信息資料造成一定破壞,對客戶的利益以及金融機構(gòu)的資金安全構(gòu)成一定威脅,因此,對計算機加強安全管理,能夠?qū)鹑诳萍硷L(fēng)險有效防范。
2.1 對計算機軟件系統(tǒng)加強管理,提高金融科技管理安全系數(shù)
可靠的軟件系統(tǒng)是保障銀行以及客戶資金安全的基礎(chǔ)。
(1)銀行在對軟件進(jìn)行開發(fā)或者購進(jìn)時,首先需要考慮的問題就是安全系數(shù)。對于銀行自身來說,就需要積極開發(fā)軟件,以使加密技術(shù)更加先進(jìn),保障數(shù)據(jù)的安全性。因銀行計算機系統(tǒng)中,安全防范的核心內(nèi)容就是數(shù)據(jù),因此,應(yīng)對數(shù)據(jù)庫的各級訪問權(quán)限進(jìn)行嚴(yán)格設(shè)置,實施等級管理制度,定期對密碼進(jìn)行修改。
(2)對操作系統(tǒng)的級別也需進(jìn)行一定防范措施,選擇較為專業(yè)的人員進(jìn)行管理,避免操作系統(tǒng)被一般用戶非法闖入,泄露重要數(shù)據(jù),特別需注意對應(yīng)用終端進(jìn)行系統(tǒng)的操作進(jìn)行限制。
(3)定期的計算機進(jìn)行殺毒處理,避免計算機因中毒導(dǎo)致系統(tǒng)崩潰,并積極創(chuàng)新殺毒軟件以及技術(shù)手段,將病毒的檢測措施進(jìn)行完善,使計算機軟件系統(tǒng)的運行安全得到一定保障。
2.2 對計算機運行硬件進(jìn)行有效管理
計算機是信息化社會高速發(fā)展的產(chǎn)物,具有較高的精度,對周圍的運行環(huán)境要求也較高,因此,相關(guān)管理人員應(yīng)對硬件設(shè)備進(jìn)行定期檢查,及時更換或者維修損壞的零部件,避免發(fā)生較大的事故。
(1)屏蔽硬件環(huán)境。具體屏蔽內(nèi)容包括靜電、磁屏以及電磁。其中,需對電磁屏蔽特別注意,其來源包括電磁場、靜電以及電源系統(tǒng)內(nèi)部等多個途徑,產(chǎn)生的危害也較大。解決措施就是將強電磁場源位置盡量避開或者鋪設(shè)防靜電的活動地板。
(2)采取雙機備份措施。一般在采取雙機備份時需要保證相同的主機型號,相同的系統(tǒng)控制外設(shè)能力。針對于通訊控制設(shè)備,需要借助電子開關(guān)完成自動切換,并保持接地以及供電環(huán)境的良好性,使供電保證持續(xù)性。
2.3 對計算機網(wǎng)絡(luò)加強安全防范措施,避免黑客侵入
(1)對網(wǎng)絡(luò)硬件設(shè)備加大保護力度,避免出現(xiàn)電磁輻射。
一般情況下,不法分子都能夠借助截取雙絞、電磁輻射等方式對數(shù)據(jù)信息進(jìn)行盜取,對網(wǎng)絡(luò)傳輸介質(zhì)進(jìn)行竊聽,最為薄弱的環(huán)節(jié)就是光纜的轉(zhuǎn)換器以及接口位置處,所以,針對傳輸以及存儲環(huán)節(jié)的數(shù)據(jù)需加大保密力度。
(2)重點關(guān)注網(wǎng)絡(luò)黑客。
在風(fēng)險防范措施中,需要對網(wǎng)絡(luò)資源加大管理力度,對用戶登錄以及存取權(quán)限進(jìn)行控制,在密碼的設(shè)置上需要嚴(yán)格保密,重要數(shù)據(jù)還需要進(jìn)行加密處理。此外,還需要對網(wǎng)絡(luò)環(huán)境加大監(jiān)控力度,做好審計、跟蹤以及監(jiān)控工作,避免黑客入侵。
2.4 對內(nèi)部安全管理機制應(yīng)加大控制力度
(1)做好人事管理工作,以接觸系統(tǒng)密級為依據(jù),對人員進(jìn)行選擇,避免出現(xiàn)非工作人員操作;定期觀察考核技術(shù)人員,保證其在調(diào)動時做好工作交接,對密碼進(jìn)行更改。
(2)做好技術(shù)管理工作,對于內(nèi)部系統(tǒng)的軟件應(yīng)加強管理措施,避免出現(xiàn)非法修改或者更換的現(xiàn)象,在對程序修改前,需將此情況報備給主管,并對更改的程序進(jìn)行嚴(yán)格測試后,安全性能得到保障時,才能投入使用,與此同時,還需將數(shù)據(jù)進(jìn)行備份,避免因出現(xiàn)故障造成一定損失。
3 結(jié)語
計算機的不斷發(fā)展進(jìn)步,在銀行系統(tǒng)中已經(jīng)得到較為廣泛的應(yīng)用,為了保障銀行系統(tǒng)的安全性,就應(yīng)該對計算機管理以及安全技術(shù)方面加大防范力度,避免金融科技風(fēng)險的發(fā)生,使銀行業(yè)務(wù)系統(tǒng)的安全性得到一定保證,最終使金融業(yè)得到持續(xù)穩(wěn)定的發(fā)展。
參考文獻(xiàn)
[1] 李剛.對金融機構(gòu)計算機安全管理的思考[J].硅谷,2009(9):41-41.
[2] 劉偉.計算機安全管理在防范金融科技風(fēng)險的作用探討[J].科學(xué)與財富,2013 (4):157-157.
[3] 潘宇樂.淺談金融機構(gòu)計算機安全管理存在的問題及對策[J].計算機光盤軟件與應(yīng)用,2010(11):75-75.
【 關(guān)鍵詞 】 金融機構(gòu);信息科技;風(fēng)險管理
1 引言
隨著信息科技水平的不斷提高,信息科技在給小微金融機構(gòu)中帶來作用的同時也不斷增加了信息科技風(fēng)險,給小微金融機構(gòu)的經(jīng)營發(fā)展帶來了挑戰(zhàn)。當(dāng)前,小微金融機構(gòu)對信息科技風(fēng)險管理的水平還比較低,如何有效控制與管理信息科技風(fēng)險,是當(dāng)前小微金融機構(gòu)在信息化建設(shè)過程中必須面對的重要課題。
2 小微金融機構(gòu)信息科技所面臨的風(fēng)險
小微金融機構(gòu)信息科技風(fēng)險指的小微金融機構(gòu)在運用信息科技的過程中,因技術(shù)漏洞、管理缺陷等人為的或自然的原因而造成的問題或危機。在當(dāng)前信息技術(shù)與銀行業(yè)務(wù)深度融合的情況下,信息科技風(fēng)險事件涉及的范圍廣、程度深,給銀行等其他金融機構(gòu)帶來較大的經(jīng)濟損失,尤其在小微金融機構(gòu)中,信息科技風(fēng)險帶來的損失更為嚴(yán)重。
3 小微金融機構(gòu)信息科技風(fēng)險管理中存在的問題
3.1 信息科技風(fēng)險管理的技術(shù)水平較低
從現(xiàn)狀來看,我國小微金融機構(gòu)信息科技風(fēng)險管理的技術(shù)水平較低主要體現(xiàn)在如下方面,首先,以銀行為代表的大部分小微金融機構(gòu)缺乏專業(yè)化的信息資產(chǎn)風(fēng)險管理機構(gòu),缺乏系統(tǒng)的信息系統(tǒng)管理政策、技術(shù)標(biāo)準(zhǔn)及監(jiān)督、績效評估工作,領(lǐng)導(dǎo)者與風(fēng)險管理部門無法實現(xiàn)對風(fēng)險管理的有效監(jiān)督。另一方面,小微金融機構(gòu)對信息科技安風(fēng)險管理的工作仍停留在定性的層面,缺乏對信息技術(shù)風(fēng)險管理專業(yè)的定量分析。與此同時,金融機構(gòu)信息科技風(fēng)險管理的IT風(fēng)險管理手段僅停留在制度檢查層面,缺乏技術(shù)支持,對風(fēng)險管理的預(yù)防措施有限,對風(fēng)險管理的技術(shù)控制難度大,其信息系統(tǒng)的自我控制的能力較差。
3.2 基礎(chǔ)設(shè)施安全建設(shè)存在隱患
從我國小微金融機構(gòu)基礎(chǔ)設(shè)施安全建設(shè)情況來看,存在較大的隱患。
一方面,機房管理滯后,在我國小微金融機構(gòu)的機房中,存在著防水火及供電不達(dá)標(biāo)的問題,且缺乏相應(yīng)的防雷系統(tǒng)、門禁系統(tǒng)等,機房安全管理嚴(yán)重滯后;另一方面,網(wǎng)絡(luò)運行安全性不高,由于金融機構(gòu)的分支機構(gòu)及營業(yè)網(wǎng)點及業(yè)務(wù)都處于數(shù)據(jù)集中的狀態(tài)中,這樣就給金融機構(gòu)網(wǎng)絡(luò)的穩(wěn)定性及通暢性提出了更高要求,而在小微金融機構(gòu)中,存在未按監(jiān)管要求配置主備通訊線路的現(xiàn)象,容易導(dǎo)致營業(yè)網(wǎng)點出現(xiàn)業(yè)務(wù)辦理受阻的現(xiàn)象,致使信息科技風(fēng)險隱患增加。
4 應(yīng)急處置能力低
信息系統(tǒng)的集中及數(shù)據(jù)爆炸式的增長使金融機構(gòu)的應(yīng)急處置面臨巨大的挑戰(zhàn),尤其對于小微金融機構(gòu)來說,其應(yīng)急保障機制更為落后。在我國小微金融機構(gòu)中,一般都設(shè)有信息系統(tǒng)的應(yīng)急預(yù)案,但對于預(yù)案卻缺乏相應(yīng)的應(yīng)急演練,在系統(tǒng)發(fā)生緊急事故時,無法對問題實施預(yù)案應(yīng)急措施。其次,部分小微金融機構(gòu)的系統(tǒng)應(yīng)急預(yù)案覆蓋面籠統(tǒng),缺乏針對性和操作性,缺乏有效的技術(shù)支持。另外,風(fēng)險管理的人員的應(yīng)急處理能力較低,對重大信息科技風(fēng)險的應(yīng)急執(zhí)行缺乏有效性,導(dǎo)致風(fēng)險損失增加。
5 加強小微金融機構(gòu)信息科技風(fēng)險管理對策
5.1 提升信息科技風(fēng)險管控能力
小微金融機構(gòu)要提高信息科技風(fēng)險管理的水平,首先應(yīng)該提高其信息科技風(fēng)險管控的能力,因此,小微金融機構(gòu)有必要建立三個機制。
第一,信息科技風(fēng)險管理保障機制。金融機構(gòu)領(lǐng)導(dǎo)者應(yīng)該提高風(fēng)險管理意識,將信息科技風(fēng)險管理工作納入議事日程,并建立健全的信息科技風(fēng)險管理機構(gòu)的和崗位責(zé)任制度,充分發(fā)揮出安全檢查、風(fēng)險監(jiān)控、審計監(jiān)督的作用;加強對信息科技風(fēng)險管控人員的培訓(xùn)與管理,并加大違規(guī)行為的處罰力度,提高其風(fēng)險管理的能力。
第二,信息科技風(fēng)險評估和預(yù)警機制。小微金融機構(gòu)應(yīng)該在充分分析信息科技風(fēng)險對金融機構(gòu)影響的基礎(chǔ)上,有針對性的落實風(fēng)險評估制度和建立信息科技風(fēng)險監(jiān)測制度,將風(fēng)險分類并制定相應(yīng)的風(fēng)險報告機制,使信息科技部門與業(yè)務(wù)部門緊密聯(lián)合起來,加強溝通協(xié)調(diào),提高對信息科技風(fēng)險的評估與預(yù)防能力。
第三、信息科技風(fēng)險應(yīng)急處理機制。小微金融機構(gòu)要加強對信息備份、災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)的管理,對應(yīng)急預(yù)案要加以培訓(xùn)和演練,將應(yīng)急和災(zāi)備工作從技術(shù)管理層面提升到全行工作層面,以提高應(yīng)對信息系統(tǒng)安全事件的團隊?wèi)?yīng)急能力。
5.2 加強基礎(chǔ)設(shè)施安全建設(shè)
加強金融機構(gòu)基礎(chǔ)設(shè)施安全建設(shè),有利于提高基礎(chǔ)設(shè)施安全水平,進(jìn)而有利于降低信息科技風(fēng)險。小微金融機構(gòu)應(yīng)加強基礎(chǔ)設(shè)施安全建設(shè)投入,重點加強機房消防系統(tǒng)、防雷系統(tǒng)、UPS等的技術(shù)投入,完善機房基礎(chǔ)設(shè)施并完善機房管理制度,保證系統(tǒng)設(shè)備的正常運行,加強對系統(tǒng)設(shè)備故障的預(yù)測與報警。并設(shè)立專門的技術(shù)設(shè)施檢查維修小組,負(fù)責(zé)基礎(chǔ)設(shè)施的安全維護工作,確?;A(chǔ)設(shè)施安全管理的有效性。
5.3 強化金融交易監(jiān)管
隨著金融環(huán)境與金融交易方式的變化,信息化的金融交易也帶來了一定的信息科技風(fēng)險,小微金融機構(gòu)應(yīng)該采取措施強化金融交易監(jiān)管。
一方面,要加快網(wǎng)絡(luò)金融安全立法進(jìn)程,制定金融安全政策和標(biāo)準(zhǔn),成立對應(yīng)的網(wǎng)絡(luò)金融安全管理部門,指導(dǎo)網(wǎng)絡(luò)金融的發(fā)展,并嚴(yán)厲打擊網(wǎng)絡(luò)金融犯罪;另一方面,要建立跨部門的現(xiàn)代化信息安全管理網(wǎng)絡(luò),實現(xiàn)對金融機構(gòu)業(yè)務(wù)信息安全風(fēng)險的及時、動態(tài)、全面、連續(xù)的監(jiān)管。還應(yīng)該借鑒國外的網(wǎng)絡(luò)安全管理模式,建立適合于我國小微金融機構(gòu)信息化建設(shè)的網(wǎng)絡(luò)框架,以實時的監(jiān)管小微金融機構(gòu)業(yè)務(wù),保證交易的安全性。
5.4 加強對從業(yè)人員的素質(zhì)建設(shè)和崗位管理
相對于大型及核心金融機構(gòu),小微金融機構(gòu)從業(yè)人員的專業(yè)素質(zhì)及崗位配置明顯落后,小微金融機構(gòu)應(yīng)該加大對農(nóng)村金融機構(gòu)人員的投入,積極引進(jìn)高素質(zhì)的信息科技人員,并對原有的從業(yè)人員進(jìn)行定期的培訓(xùn)工作,提高其信息科技風(fēng)險防范意識與風(fēng)險管理能力。同時,金融機構(gòu)還應(yīng)增加對信息系統(tǒng)管理、運行、維護等崗位人員的配置,以完善職責(zé)分配,落實崗位制衡。最后,完善相應(yīng)的信息科技風(fēng)險管理制度,加強信息科技風(fēng)險審計,完善激勵約束機制,激發(fā)從業(yè)人員的主觀能動性,從整體上提升小微金融機構(gòu)信息科技風(fēng)險管理的水平。
6 結(jié)束語
在信息科技風(fēng)險管理的工作中,小微金融機構(gòu)要從安全制度建設(shè)及技術(shù)手段上加強對風(fēng)險的防范與管理,在全面、可行的安全防護措施中,將信息科技風(fēng)險降低到最低的程度,進(jìn)而才能保證小微金融機構(gòu)得到穩(wěn)定的發(fā)展。
參考文獻(xiàn)
[1] 陳文雄.發(fā)展銀行業(yè)信息科技 風(fēng)險管理意識須先行[J].中國金融,2009(07).
[2] 唐磊.商業(yè)銀行信息科技風(fēng)險現(xiàn)狀與管理策略分析[J].中國金融電腦,2009(02).
【關(guān)鍵詞】 科技管理 基層央行 應(yīng)對措施
近年來,隨著區(qū)域經(jīng)濟社會的快速發(fā)展,一方面在信息化條件下社會各界、企業(yè)和居民個人對金融科技的服務(wù)需求進(jìn)一步增多,服務(wù)要求越來越高;另一方面金融機構(gòu)的增多、金融科技外部環(huán)境的復(fù)雜多元給基層央行的科技管理帶來眾多的新問題和新挑戰(zhàn)。本文在分析基層央行科技管理面臨現(xiàn)狀的基礎(chǔ)上,對存在的問題進(jìn)行分析,并提出應(yīng)對思路和措施。
一、基層央行科技管理工作的現(xiàn)狀及面臨的問題
隨著現(xiàn)代信息技術(shù)在區(qū)域金融業(yè)的廣泛應(yīng)用,基層央行科技管理的地位和作用越來越突出,出現(xiàn)了許多新情況、新問題。
1、銀行業(yè)的快速發(fā)展,對基層央行“科技保障業(yè)務(wù)”能力和保障水平的要求越來越高。近年來,隨著區(qū)域經(jīng)濟的快速發(fā)展,銀行業(yè)金融機構(gòu)發(fā)展較快,基層央行的金融科技保障工作量越來越大。以浙江省義烏市為例,2012年底止,義烏市有銀行業(yè)機構(gòu)23家,機構(gòu)數(shù)比2009年增加17家,增速35.3%。2012年底止,義烏市金融機構(gòu)本外幣存貸款分別為1985.51億元人民幣和1514.31億元人民幣,分別比2009年增加58.37%和74.62%。同時信息技術(shù)創(chuàng)新的發(fā)展進(jìn)程快,對基層央行金融科技的工作要求越來越高。從發(fā)展軌跡看,我國銀行業(yè)信息化發(fā)展先后歷經(jīng)了3個階段,第一階段是從上世紀(jì)60年代初至上世紀(jì)90年代中期,一般稱為業(yè)務(wù)電算化階段,第二階段是上世紀(jì)90年代末至“十一五”規(guī)劃中期的數(shù)據(jù)大集中階段,第三階段是“十一五”規(guī)劃后期發(fā)展到至今的整合優(yōu)化階段,目前仍處于整合優(yōu)化過程。信息化過程中,業(yè)務(wù)電算化階段經(jīng)歷了30多年時間,數(shù)據(jù)大集中階段大約經(jīng)過了10年左右時間,發(fā)展階段的時間間隔呈現(xiàn)越來越短的態(tài)勢,科技信息系統(tǒng)建設(shè)從“以業(yè)務(wù)為中心”過渡到“以系統(tǒng)為中心”,發(fā)展到“以客戶為中心”,使基層央行金融科技的保障、管理遇到了前所未有的挑戰(zhàn)。
2、現(xiàn)代社會生存模式的發(fā)展和轉(zhuǎn)變,使得基層央行科技管理的服務(wù)職能履職要求越來越高。現(xiàn)代社會生存模式,正由現(xiàn)實空間向網(wǎng)絡(luò)空間擴展,虛擬化、網(wǎng)絡(luò)化的生存模式,對金融服務(wù)需求異常強烈,金融科技保障達(dá)到前所未有的高度,科技管理對網(wǎng)絡(luò)和系統(tǒng)安全的重視程度不斷提高。作為區(qū)域金融公共產(chǎn)品的提供者和金融生態(tài)環(huán)境的重要維護者,基層央行為保障金融業(yè)的安全運行所提供安全、高效的科技信息化服務(wù)責(zé)任越發(fā)重大,降低社會經(jīng)濟活動的交易成本,促進(jìn)區(qū)域經(jīng)濟金融和社會發(fā)展的作用越發(fā)顯現(xiàn)。目前,我國已進(jìn)入了更加注重統(tǒng)籌兼顧、協(xié)調(diào)發(fā)展的新階段,社會發(fā)展將更加注重保障和改善民生,更加重視弱勢群體的金融可獲得性和基礎(chǔ)金融服務(wù)的均等化、普惠性。如何適應(yīng)新形勢的發(fā)展,盡快滿足人民群眾在支付、結(jié)算、轉(zhuǎn)賬、匯兌等方面的金融保障需求,已經(jīng)成為基礎(chǔ)央行科技管理工作的現(xiàn)實課題。
3、新時期的金融科技發(fā)展規(guī)劃遠(yuǎn)景,對基層央行科技管理工作提出眾多新的挑戰(zhàn)。根據(jù)“十二五”時期金融信息化的工作安排,人民銀行將建設(shè)更加安全、高效、便捷的第二代支付系統(tǒng),統(tǒng)籌考慮支付服務(wù)現(xiàn)實需求和未來發(fā)展。第二代支付系統(tǒng)將構(gòu)建以大額支付系統(tǒng)為主渠道,小額支付系統(tǒng)、網(wǎng)銀互聯(lián)系統(tǒng)、支票影像交換系統(tǒng)為輔助渠道的支付體系,支持銀行通過單一法人賬戶集中辦理跨行資金結(jié)算等集約化經(jīng)營的需要。目前,基層央行科技部門人員配備相對不足,人員素質(zhì)離業(yè)務(wù)發(fā)展的要求還有一定的差距,科技管理的水平也還需提高和改善。因此,基層央行科技管理工作除了要適應(yīng)金融信息化發(fā)展新趨勢外,還要做好央行自身各個業(yè)務(wù)系統(tǒng)的科技保障工作,任務(wù)十分艱巨。
4、科技管理方面存在許多安全隱患。從外部環(huán)境看,許多金融機構(gòu)科技基礎(chǔ)工作較為薄弱,信息安全技術(shù)保障措施不夠健全,更增加了基層央行科技管理工作的難度。這幾年,隨著新設(shè)立金融機構(gòu)的不斷增多,再加上金融業(yè)務(wù)快速發(fā)展所帶來的科技保障業(yè)務(wù)運行的壓力,使得信息安全和金融運行的矛盾越來越突出,科技管理方面存在許多安全隱患。
(1)信息安全與機構(gòu)設(shè)置、業(yè)務(wù)發(fā)展不匹配,不相適應(yīng)。部分銀行機構(gòu)存在“重業(yè)務(wù)發(fā)展,輕信息安全”思想。許多機構(gòu)專職的科技人員配備嚴(yán)重不足,有的機構(gòu)雖然配備了科技人員,但一人多崗,忽視了科技工作專業(yè)性,人力資源配備難以保障信息安全的需要。
(2)技術(shù)設(shè)施不盡完善。一是有的銀行機構(gòu)機房設(shè)計有待完善。如有個別機構(gòu)將主機房與廚房相連,存在一定的安全隱患。二是有的銀行機構(gòu)供配電系統(tǒng)形同虛設(shè)。有的銀行未按規(guī)定配置發(fā)電機或者是租用了發(fā)電機,但無法實現(xiàn)接入機房,使供配電保障系統(tǒng)難以保證業(yè)務(wù)穩(wěn)健運行的信息安全要求,一旦發(fā)生意外,極易釀發(fā)金融風(fēng)險。三是許多新設(shè)立的銀行機構(gòu)災(zāi)備系統(tǒng)不盡完善。有的銀行機構(gòu)未建立同城災(zāi)備中心,有的銀行機構(gòu)異地災(zāi)備中心設(shè)計在合理性、規(guī)范性上缺陷較多,給信息安全埋下眾多隱患。
(3)制度執(zhí)行不夠到位。一是制度建立設(shè)未能跟上發(fā)展的步伐,出現(xiàn)許多真空和盲點。有的銀行機構(gòu)未建立監(jiān)測類科技管理內(nèi)控制度。有的銀行機構(gòu)未能根據(jù)近幾年信息安全出現(xiàn)的新情況和業(yè)務(wù)“扁平化”發(fā)展的現(xiàn)狀及時地對本單位的信息安全制度進(jìn)行修訂。二是銀行機構(gòu)業(yè)務(wù)運行內(nèi)網(wǎng)和外聯(lián)網(wǎng)絡(luò)管理比較寬松,漏洞多、隱患多。如有的銀行外聯(lián)單位線路未采取任何防護措施就直接接入內(nèi)部核心網(wǎng)絡(luò),如遇網(wǎng)絡(luò)黑客攻擊,極易造成網(wǎng)絡(luò)運行出現(xiàn)故障,嚴(yán)重的會造成系統(tǒng)運行癱瘓。三是有的銀行機構(gòu)移動存儲介質(zhì)方面制度要求不嚴(yán),管理寬松,容易誘發(fā)病毒感染,造成信息安全隱患,給信息安全和網(wǎng)絡(luò)安全運行帶來一定影響。
二、加強基層央行科技管理的思路和應(yīng)對措施
1、統(tǒng)籌協(xié)調(diào),增強科技管理的綜合力。一是加強調(diào)研,根據(jù)金融科技發(fā)展現(xiàn)狀,制定完善區(qū)域金融科技信息化發(fā)展規(guī)劃,明確基層央行金融科技的工作目標(biāo)、工作重點和工作任務(wù),并將其納入到業(yè)務(wù)發(fā)展中同部署、同落實。二是在人民銀行的主導(dǎo)下,發(fā)揮銀行業(yè)金融機構(gòu)信息安全聯(lián)席會議的作用,及時溝通交流區(qū)域銀行業(yè)金融機構(gòu)信息化發(fā)展情況,探討金融科技發(fā)展中遇到的新情況、新問題,及時研究解決方法,促進(jìn)金融信息化健康發(fā)展。三是適應(yīng)金融信息化發(fā)展新要求,及時更新基層央行科技人員工作理念,適當(dāng)增加科技人員配備,同時對現(xiàn)有科技人員采取外出學(xué)習(xí)、專題培訓(xùn)、課題攻關(guān)、自主自學(xué)等方式和途徑,切實提高科技人員的政治思想素質(zhì)和業(yè)務(wù)工作水平。
2、扎實工作,增強業(yè)務(wù)系統(tǒng)的建設(shè)力。基層央行自身業(yè)務(wù)系統(tǒng)的有效維護和保障,是做好科技管理,為金融機構(gòu)提供信息化網(wǎng)絡(luò)有效運行的工作基礎(chǔ),因此,加強基層央行科技管理,加快自身各種系統(tǒng)應(yīng)用工作的建設(shè),保證高效、穩(wěn)定運行就顯得尤為必要。一是要做好應(yīng)用系統(tǒng)的建設(shè)、維護工作。根據(jù)安排,基層央行科技管理方面要開展業(yè)務(wù)網(wǎng)電子公文傳輸系統(tǒng)及電子檔案系統(tǒng)、金融業(yè)信息交換系統(tǒng)、ACS系統(tǒng)建設(shè)的相關(guān)工作,同時要做好已經(jīng)接入運行的國庫信息處理系統(tǒng)(TIPS)等系統(tǒng)的優(yōu)化、完善工作。二是完善基層央行機房及網(wǎng)絡(luò)等基礎(chǔ)設(shè)施的建設(shè)工作。要認(rèn)真實施轄區(qū)內(nèi)人民銀行縣級支行電視電話會議系統(tǒng)建設(shè)工程,根據(jù)上級的統(tǒng)一部署,積極開展機房建設(shè),在規(guī)范縣級支行信息安全等級保護工作的基礎(chǔ)上,做好科技常態(tài)化管理和科技工作的完善提高。三是建立和實施計算機客戶端信息安全檢查制度。要指導(dǎo)各業(yè)務(wù)科室和人員,每月對計算機進(jìn)行全盤病毒掃描和安全配置檢查,消除安全隱患,為系統(tǒng)安全運行提供保障。
3、積極有為,增強科技管理的創(chuàng)新力。實踐證明,創(chuàng)新是科技管理科學(xué)化、現(xiàn)代化的不竭動力。基層央行科技管理要從以下方面開展創(chuàng)新工作:一是激發(fā)科技人員的創(chuàng)新意識,開展“勤思考、勇創(chuàng)新”活動,對科技管理提出“新點子”,提升科技管理工作的潛能和效率。二是創(chuàng)新服務(wù)方式。要針對縣支行科技人員多為兼職、科技管理水平參差不齊的狀況,編寫縣支行科技管理工作手冊,指導(dǎo)縣支行提高信息化系統(tǒng)運行維護技能,規(guī)范金融科技管理。三是創(chuàng)新信息安全防范工具。根據(jù)計算機病毒多發(fā)、易發(fā)的情況,開發(fā)病毒防護輔助工具,指導(dǎo)和提醒用戶定期掃描計算機,防止病毒擴散,有效地提升計算機病毒防護工作水平。
4、綜合治理,增強行業(yè)管理的執(zhí)行力。一是建立“金融機構(gòu)信息安全評價辦法”,從人員組織、網(wǎng)絡(luò)、機房、系統(tǒng)建設(shè)、災(zāi)難恢復(fù)、安全管理等方面對銀行業(yè)金融機構(gòu)加強科技管理,開展信息安全現(xiàn)場與非現(xiàn)場評價,促進(jìn)銀行業(yè)金融機構(gòu)增強信息安全管理意識、提高信息安全內(nèi)部管理水平。二是進(jìn)一步做好外聯(lián)機構(gòu)的網(wǎng)絡(luò)接入管理。根據(jù)人民銀行總行“統(tǒng)籌規(guī)劃、集中組織、電信匯聚、一口接入”的方式,進(jìn)一步規(guī)范村鎮(zhèn)銀行、小額貸款公司等小、微型金融機構(gòu)的接入服務(wù)。三是指導(dǎo)銀行業(yè)金融機構(gòu)開展等級保護工作。根據(jù)人民銀行《關(guān)于銀行業(yè)金融機構(gòu)信息系統(tǒng)安全等級保護定級的指導(dǎo)意見》等文件要求,指導(dǎo)銀行業(yè)金融機構(gòu)進(jìn)一步落實系統(tǒng)安全等級定級和備案工作,同時將等保工作納入安全評價范圍,督促其做好三級及以上系統(tǒng)的測評和整改工作,確保系統(tǒng)達(dá)到相應(yīng)等級的技術(shù)要求,提高系統(tǒng)安全性。四是深入推進(jìn)銀行卡與電子支付管理工作。繼續(xù)推動金融IC卡遷移,指導(dǎo)地方性法人金融機構(gòu),及時總結(jié)有關(guān)商業(yè)銀行的亮點經(jīng)驗和做法,加快金融IC卡系統(tǒng)的改造步伐。以行業(yè)合作模式促進(jìn)金融IC卡多應(yīng)用,加強與地方政府相關(guān)部門的溝通,指導(dǎo)商業(yè)銀行積極開展金融IC卡在公共服務(wù)領(lǐng)域應(yīng)用,擴大金融社??ǖ陌l(fā)卡地區(qū)和發(fā)行量,建立并完善社會保障卡加載金融功能的工作協(xié)調(diào)機制。嚴(yán)把準(zhǔn)入關(guān),加強銀行卡發(fā)卡和電子支付技術(shù)審核。
【參考文獻(xiàn)】
[1] 孫耀君:西方管理學(xué)名著提要[M].江西人民出版社,1995.