基于ＣＯＢＩＴ的網上銀行控制目標體系研究

[摘要] COBIT是國際上公認的安全與信息技術管理和控制的開放性標準，它為實施信息系統的管理和控制提供依據，保證信息系統的安全性、可靠性和有效性。本文論述了COBIT控制目標體系的理論模型和在信息系統中的有效應用，提出了基于COBIT的網上銀行控制目標體系的建立。

[關鍵詞] COBIT 控制目標 網上銀行

一、引言

隨著我國銀行業信息化服務體系的逐步完善，網上銀行以低成本、高效益、方便快捷、應用廣泛的特點，蓬勃發展顯示出了強大的生命力。在享受網上銀行方便和效益的同時，也要認識到網上銀行是建立在開放網絡上的銀行信息系統，風險的擴散性大，易發性強。為了保證網上銀行的安全、可靠和有效，需要進行嚴格的管理和控制，建立起一套安全有效的網上銀行控制目標體系。

COBIT (Control Objectives for Information and related Technology，信息及相關技術的控制目標)是美國信息系統審計與控制基金會ISACF（Information Systems Audit and Control Foundation）與IT治理研究所（IT Governance Institute）共同研究與開發的國際上公認的安全與信息技術管理和控制的標準。它將組織(政府或企業)的信息化歸納為34個IT處理流程，34個IT處理過程按自然分組的方式劃分到規劃與組織、采集與實施、交付與支持、監控4個域中，全面介紹了如何控制、管理和測量每個流程。COBIT考慮了企業自身的戰略規劃，將戰略規劃所產生的目標、政策、行動計劃作為信息技術的關鍵環境，由此確定IT準則。在IT準則指導下，利用COBIT模型來控制和管理信息資源，同時引入審計指南，從而保證IT資源管理的安全性、可靠和有效性。COBIT模型實現了企業戰略與IT戰略的互動，并形成持續改進的良性循環機制，為企業提供了具有一定參考價值的解決方案，對推動信息技術的發展和應用具有十分重要的現實意義。因此，通過將COBIT應用到網上銀行信息系統的開發和實施環境，可以為強化和評估網上銀行的管理和控制提供依據。

但是也要考慮到，正因為COBIT的通用性，它忽略了各個信息系統的特殊性，因此不能生搬硬套COBIT工具的整套控制目標體系，而是需要根據實際情況把它具體化。首先，銀行在應用COBIT前必須先了解其指導思想，COBIT是為了有效地整合組織的業務流程與信息系統，因此必須理解從IT資源的規劃、信息的產生到整個業務流程的循環中，需要投入的IT資源，可以達到的IT目標，以及如何使每個IT處理過程有效運轉，相互協調。其次，以COBIT的34個IT處理過程為模板，結合企業的業務流程和信息系統的具體情況，建立基于企業特殊要求的IT處理過程，然后提出每個IT處理過程的控制目標。最后，在應用COBIT的過程中，企業的業務流程、業務需求，以及IT技術在不斷的變化發展中，COBIT本身也在不斷的更新，因此，企業的IT處理過程及其控制目標必須及時更新。

二、基于COBIT的網上銀行的目標管理體系的建立

由于缺乏有效的管理措施和控制機制，目前我國在網上銀行建設和運行中存在一定風險。主要表現在網絡基礎設施建設不夠完善，安全防范能力差；內控管理不夠嚴格，業務創新和組織力度差；系統運行效益不夠明顯，監管機制和信用體系發育差。下面對照COBIT控制目標體系，結合網上銀行系統具體情況，提出網上銀行的管理和運行控制目標體系。

1.規劃與組織

(1)制定統一的信息規劃。規劃是網上銀行建設的第一步，規劃的好壞對系統建設的成敗有著至關重要的影響。根據銀行業“十一五”信息化建設發展規劃，本著“降低應用系統的運行保障成本、減少信息采集環節及存儲加工環節，同時大大減小接口的復雜性”目標，對于提供主要的本外幣對私和對公金融產品賬戶交易處理，實現核算和賬務體系集成的核心業務系統，堅持走統一集中的道路。對于銀行卡系統、證券交易系統等金融產品應用系統，已運行的系統要予以規范，盡量平滑過度到統一的平臺上，形成功能強大的網上銀行綜合應用系統。

(2)建立完善的組織機構和人員配備。網上銀行使銀行業的內部組織結構由垂直式形態向扁平式形態發展。商業銀行電子化、網絡化即時溝通了各分支行與各部門之間的信息聯系，網絡中的各個成員可以直接從職能管理部門獲取管理指令和反饋管理信息，商業銀行業務經營中的各種授權，授信等均可通過網絡實時實現。從而多層次的內部組織制度將被平行式的制度所替代。要建立起銀行內部的人才儲備庫，成立專家在內的系統建設領導小組和由管理人員組成的技術雄厚的開發團隊。

(3)進行系統總體設計，確定開發應用標準和規范。結合網上銀行系統應滿足客戶的高效、穩定及新型業務二次開發的需求，綜合考慮業務系統包括個人銀行、企業銀行、外匯業務、證券交易和網上支付等幾大業務模塊進行系統的總體設計。同時要建立各子系統所必須依據的統一技術規范、應用平臺、指標體系、信息代碼、運行管理制度等，以確保整個網上銀行系統成為高效運行的有機整體。

(4)構建基本支撐體系。低層通信網選用TCP/IP，利用SSL（Secure Socket Layer)或其他安全協議構建安全通信通路;通過用戶ID+口令、動態口令卡、USB Key數字證書認證機制等來實現身份鑒別；建立面向互聯網的運行安全保障體系:網段隔離、雙異構防火墻、入侵監測系統、漏洞掃描系統、病毒防護系統和基于加密機制的內網加密體系;建立應急與災難備份系統建設和事后審查機制，有效完成系統實體安全、運行安全和信息安全。

2.采集與實施

(1)分析業務流程。明確用戶需求，劃清各個業務流程，確定每個節點流出的信息與正常工作的運轉情況一致。

(2)確定應用開發模式。網上銀行應用系統的開發模式分為自行研發、外包和合作開發三種。相比傳統的自行研發模式開發周期長，人員老化快，技術更新差和外包開發模式的開發維護成本高，受外包公司影響大的缺點，新的網上銀行系統的開發模式倡導走合作開發的道路。應用編碼和系統編程分離開來，銀行向外包商購買相應業務的程序功能模塊，再通過自己的技術人員根據系統需求進行構建組裝，建立業務管理通用開發平臺。

(3)選用系統開發的方法。一個信息系統開發的成敗與采用的開發方法有直接的關系。在網上銀行的設計開發中應堅持“以客戶為中心”的原則，以原型法開發方法為主要的理論依據。在開發過程中銀行業務人員應始終參與系統開發過程，使得系統目標和功能得以保證，較快地研制出滿足用戶需求的應用系統，盡可能減少維護代價。

(4)選擇開發平臺。選擇具有高度的可伸縮性、能夠實現多系統并存所需的互操作能力，以及多種資源管理能力的應用開發平臺。比如全球著名的電子商務解決方案供應商Financial Fusion公司開發的J2EE網上銀行平臺E-Financial Suite，支持1000萬個注冊賬戶，可以同時進行12000個網上銀行用戶并發處理。

3.交付與支持

(1)與原有系統銜接。原有的信息系統（如辦公自動化系統）中多年積累起來的大量信息數據和在銀行工作中形成的各種文檔都是國家的資源，應該很好地保留并充分利用起來。因此，在建立網上銀行系統時要很好地考慮與原有系統的銜接問題，做到網上銀行系統與原有系統的平滑過度。

(2)用戶培訓。各大商業銀行應提供系列培訓，借助網上銀行信息發布平臺向用戶提供安全提示、開通安全應用咨詢熱線、向大眾普及網上銀行的安全知識，介紹科學有效的信息安全措施。

(3)確保各個層次的安全。銀行的網絡整體結構是一個通過WAN連接的三層網絡。系統采用雙和防火墻結構，將網絡劃分為不同安全級別的區域進行區域隔離，有效地抵御來自內部、外部、中間部分的入侵。同時提供動態安全解決方案，對網絡的每個結點的漏洞進行檢測、對重要主機的操作系統進行檢測、對數據庫的安全進行檢測、對網絡關鍵的網段的數據流進行實時監控。

4.審計和評估

定期對網上系統進行內部的IT審計或獨立的第三方IT審計和評估。首先確定待評估系統的邊界和范圍，明確評估的目的，幫助銀行網絡明確作為整個體系的安全目標什么；整個安全體系需要保護的對象是什么；其次，確定待評估系統的狀態與所處的階段，對銀行網的信息安全風險能夠從自身脆弱性，潛在威脅，策略和管理的評估等多方面綜合分析，得出評估結果并做出評估報告，對于銀行的風險有一個全面的認識。

網上銀行關系到電子商務和銀行工作的正常運轉，通過應用網上銀行系統控制目標，從規劃與組織、采集與實施、交付與支持、審計與評估4個方面實施控制，為政府領導、IT技術人員、機關工作人員和IT審計人員提供了發揮其業務能力的平臺，保證了網上銀行系統的質量，大大促進了網上銀行系統的安全、可靠與有效，充分發揮了銀行信息化建設的整體效益。

參考文獻:

[1]IT Governance Institute/ISACF.COBIT 4rd edition[EB/OL].http://www.isaca.org

[2]Ron Weber. information systems control and audit[M].Upper Saddle River，NJ:prentice Hall Inc.，1999

[3]胡克瑾:IT審計[M].北京:電子工業出版社，2002

[4]羅川君:銀行應用系統開發模式探討[J].華南金融電腦， 2004.5

[5]銀行業“十一五”信息化建設發展規劃報告[R].2006

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。