商業銀行信息系統風險評估模型的研究與實現

摘要:隨著商業銀行信息化程度的不斷提高，怎樣控制和評估由此帶來的系統風險，是商業銀行目前急需解決的問題#65377;本文分析商業銀行信息系統的特征和風險，研究信息系統風險評估的理論#65380;技術，提出風險評估的方法和過程，建立商業銀行信息系統的風險控制與評估的模型#65377;

關鍵詞:商業銀行;信息系統;風險評估

中圖分類號:TP311

文獻標識碼:A

1引言

商業銀行作為現代經濟的核心，在加快實現銀行信息化建設的過程中，越來越關注信息化項目的合理性#65380;有效性#65380;經濟性#65380;可用性和安全性#65377;在這種需求的推動下，銀行信息系統風險評估走上了銀行風險控制的前臺，成為商業銀行信息化項目治理的重要組成部分#65377;運用先進的評估方法，逐步完善信息系統風險評估的流程，建立適合商業銀行風險特征的評估的模型，并通過信息系統風險評估的手段，保障信息資產的安全#65380;數據的完整#65380;提高信息系統的效率，可以使商業銀行不斷加強信息系統風險管理和內部控制，以適應風險環境日益復雜化的需要，以確保信息系統安全#65380;穩定#65380;有效運行#65377;

2商業銀行信息系統風險分析

2.1商業銀行信息系統基本特征

隨著我國經濟的飛速發展及加入WTO后和世界經濟一體化進程的加快，企業以及個人相互之間的資金往來需要一個安全高效的資金劃撥#65380;支付結算手段及環境，銀行不斷完善信息管理系統，實現信息系統的電子化#65380;網絡化，使商業銀行的信息系統具有了新的特點#65377;

1)商業銀行的業務系統的特點

網點虛擬化，將帳戶的核算與管轄分開，會計核算由總行統一處理，各行處負責具體業務的經辦，使業務處理打破了分支機構界限#65377;通過帳務與業務的結合，使得會計系統和銀行業務的聯系更加緊密，客戶的數據在各系統內可以共享，并通過流程的控制使業務操作更加安全#65380;可靠#65377;

面向業務設計銀行業務處理，所有功能都由交易來驅動，記帳部分位于業務的底層，業務層通過調用統一的記帳核心來完成帳務處理#65377;通過實施業務流程再造，實現銀行業務的重組，更好地配置現有的資源#65377;

2)商業銀行信息系統的業務結構分析商業銀行主要業務包括存款#65380;貸款#65380;信用卡#65380;中間業務#65380;國際業務#65380;結算#65380;代收代付#65380;ATM#65380;POS#65380;網上銀行等#65377;商業銀行信息系統為銀行業務提供一個支撐平臺，結構如圖1所示#65377;圖1商業銀行信息系統業務結構

3)商業銀行信息系統結構分析商業銀行信息系統構架為三個層次，第一層核心業務系統，主要提供帳務記錄#65380;主要業務支撐和業務報表;第二層中間業務平臺，是核心數據與外部接口的交換平臺，提供數據接口的轉換功能;第三層外圍系統，提供外部數據的接口，如圖2所示#65377;圖2商業銀行信息系統層次結構

2.2商業銀行信息系統風險的特點

銀行業務處理中對及時性和可靠性的特殊需求，使得商業銀行信息系統風險體現出明顯的行業特征#65377;

1)商用銀行信息系統風險的業務特點

網絡和安全技術的飛速發展，使得商業銀行已成為商品交易的電子平臺和電子金庫#65377;因此商業銀行對數據完整性要求極高，對業務和數據的可用性#65380;安全性，以及對業務中斷和數據丟失等事故的防范和處理要求十分嚴格#65377;

2)商業銀行信息系統風險的技術特點

銀行開展信息化的時間較長，其應用系統較為普及，但長期來，銀行信息系統相對較為封閉#65377;近年來，隨著網銀#65380;中間業務等銀行新型業務和金融產品的出現，對開放信息系統的要求越來越高，銀行的信息系統均開始不同程度向外界開放#65377;

由于各商業銀行實行數據大集中，導致單筆交易所跨越的網絡環節越來越多，銀行信息系統 對網絡依賴程度越來越高#65377;

3)商業銀行信息系統風險的現狀

信息系統本身固有的風險在加大#65377;銀行業是信息化技術與產品相對密集的行業，由于信息化規模的不斷擴大，信息技術迅速發展，銀行信息系統所采用信息技術與信息系統軟硬件本身存在著很大的脆弱性，如果這些脆弱性被特定的威脅所利用，就會產生風險，從而對銀行信息系統的機密性#65380;完整性及可用性產生損害#65377;

銀行數據集中后使信息系統風險不易分解#65377;目前各家商業銀行已陸續完成數據大集中，實現銀行賬務數據與營業機構的分離，使銀行從以賬務和產品為中心轉變為以客戶為中心#65377;但是，數據集中后信息系統風險增大，系統一旦出現問題，將影響到整個銀行的正常運營#65377;

電子金融服務的發展，使商業銀行隨時面對來自公共網絡的威脅#65377;近年來，網上銀行#65380;移動銀行#65380;電子商務等銀行新業務，在成為商業銀行利潤增長點的同時，使商業銀行的網絡風險日益凸現#65377;

人員的風險成為最大的風險#65377;統計結果表明，在商業銀行信息安全事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%~80%是由于內部員工的疏忽或有意泄密造成的#65377;

3商業銀行信息系統風險評估模型設計

3.1商業銀行信息系統風險評估的現狀與趨勢

信息系統風險評估已得到國際社會的普遍重視，風險評估的重點也從操作系統#65380;網絡環境發展到整個管理體系#65377;西方國家在實踐中不斷發現，風險評估作為保證信息安全的重要基石發揮著關鍵作用#65377;在信息安全#65380;安全技術的相關標準中，風險評估均作為關鍵步驟進行闡述，如ISO13335#65380;COBIT#65380;BS7799-3等#65377;

我國的信息系統風險評估工作目前還處于起步階段，還沒有形成一套成形的專業規范，缺少一支能夠全面開展信息系統風險評估的人才隊伍#65377;無論是國際上大型的跨國公司還是國內一些規模較大的企業都在不斷地擴大信息技術在其經營活動的應用范圍，運用傳統的信息技術和風險評估知識已經不能實現真正意義上的\"風險基礎模式\"的風險評估，這些都影響到我國IT治理和信息系統風險控制的實施#65377;

隨著商業銀行經營管理活動對信息技術的高度依存，信息科技風險控制已成為商業銀行風險管理的重要內容，并需要從戰略的角度將信息系統與實現公司治理的總體目標緊密聯系在一起#65377;因此，解析國內銀行信息系統風險評估的現狀及存在的問題，并根據國際經驗與我國實際情況進行差異性分析，最后，找到我國銀行業信息系統風險評估的有效方法，由此，實現信息系統風險評估在國內銀行業質的飛躍#65377;

3.2商業銀行信息系統風險評估模型的設計

在目前所應用的風險控制與評估模型中，基本區分為兩類，一類是基于業務風險控制的風險評估模型，這類模型的基礎是傳統的風險評估理論，因此更加注重于業務流程的控制和業務的風險管理;另一類是關注于技術控制的風險評估模型，這類模型建立在相關的信息安全標準之上，主要考慮的是技術的實現架構和實現方式，評估系統的技術風險#65377;

銀行在面對實際的信息風險時，需要建立定位于信息全面管理的風險評估模型#65377;因此，必須結合業務風險模型和技術風險模型的相關方法，通過分析系統自身內部控制機制中存在的薄弱環節和危險因素，發現系統與外界環境交互中不正常和有害的行為，完成系統弱點和安全威脅的定性分析，在銀行信息系統內部風險各要素之間建立風險評估模型，如圖3所示#65377;

商業銀行信息系統風險評估模型信息系統的風險評估模型由三個基本元素組成，分別是銀行核心業務系統#65380;銀行信息系統風險管理和風險評估的方法和技術#65377;

銀行核心業務系統是業務運轉的基礎，是商業銀行固有風險的體現，它通過硬件平臺的支撐#65380;應用軟件的設計#65380;數據資源的管理，實現銀行業務職能#65377;

銀行信息系統風險管理，是商業銀行控制剩余風險的能力#65377;它主要包括系統建設風險控制#65380;系統數據完備性#65380;系統功能實現#65380;業務流程風險控制#65380;數據遷移等6個方面#65377;

風險評估的方法和技術，是風險評估和控制的手段#65377;它針對信息系統風險管理的需求和特點，采用不同的風險評估方法和技術，識別固有風險和剩余風險，對銀行信息系統進行整體風險的評估#65377;

4商業銀行信息系統風險評估模型的實現

4.1風險評估的實現框架

商業銀行隨時面對遭遇傷害和損失的可能性，而這些風險由關鍵信息資產#65380;資產所面臨的威脅以及威脅所利用的脆弱點來確定#65377;實現信息系統風險評估模型，需對信息資產的識別，進行威脅分析和弱點分析，實現框架如圖4所示#65377;

信息資產不僅包括硬件設備，還包括應用軟件和信息系統的相關人員#65377;信息資產的識別與賦值可以通過普查和調查的方式實現#65377;

信息系統的威脅來源于內部風險的管理和外部風險環境的變化，通常使用的手段包括:用戶訪談#65380;異常行為檢測#65380;日志分析等方法進行分析#65377;

弱點來源于信息系統的安全與業務安全需求的不匹配，弱點分析的方法有:應用軟件評估#65380;網絡構架評估#65380;人工評估#65380;工具掃描#65380;安全管理審計#65380;策略評估等#65377;

圖4風險評估模型實現框架

4.2風險評估的實施步驟

商業銀行信息系統風險評估的實施主要有如下步驟:

1)對信息系統風險戰略進行分析

商業銀行首先應建立信息系統風險戰略，并在內部發布和維護，以對信息安全的支持與承諾，使其與銀行的業務發展相一致#65377;

信息系統風險評估必須對信息系統業務支持的可行性進行分析，了解技術發展的內外部狀況和管理層對信息技術的支持度等情況，評價信息系統風險戰略是否與業務發展戰略相一致#65377;如圖5所示，首先需要確定總風險和剩余風險;其次把確認的風險進行排序，建立戰略風險和流程風險項目;最后確定流程執行的效力#65377;

2)對風險評估內容進行詳細定義#65377;

建立信息系統風險評估范圍的表格，如該項評估所包含的系統#65380;人員#65380;資源等#65377;對信息系統的運行進行評估，如主機系統#65380;硬件設備#65380;人員管理#65380;災難備份#65380;權限管理等#65377;建立信息系統流程評估表格，如主流程#65380;次流程#65380;流程所對應的操作;流程中的主要固有風險#65380;風險的控制手段等#65377;

3)明確審計的技術和步驟#65377;

確定信息系統審計需要使用的技術和技術使用的步驟，常用的測試技術有現場觀察#65380;訪談#65380;審閱#65380;再執行#65380;知識評估等#65377;

4)出具審計報告#65377;

對信息系統進行測試后，出具評估報告#65377;評估報告應包括信息系統的基本情況#65380;面臨的內外部風險#65380;評估所發現的問題#65380;對評估發現事項提出的建議#65377;

5)風險問題的跟蹤和跟進#65377;

評估完成后，對發現的問題需根據問題的重要性和對象，提出報告并跟蹤解決#65377;圖5 信息系統風險戰略及流程分析

5結束

語將業務評估模型和技術評估模型相結合，建立一套基于商業銀行信息系統風險評估評估模型與實施方法，可以避免傳統評估模型應用在商業銀行風險評估上的片面性#65377;并通對商業銀行的資產#65380;威脅#65380;脆弱性#65380;風險進行識別，發現控制缺陷#65380;漏洞和以前從信息系統內部看不到的潛在風險，提出有效的解決方案，幫助商業銀行建立健全內部控制制度，并根據業務發展的需要，明確信息化建設的目標和內容，不斷調整現有的信息系統管理架構和流程，使其更好地服務于商業銀行的業務管理#65377;

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。