論商業(yè)銀行信息系統(tǒng)風(fēng)險評估與控制

摘要：信息系統(tǒng)風(fēng)險是在商業(yè)銀行的日常經(jīng)營中客觀存在的。因此，商業(yè)銀行必須提高自身的管理與控制水平。通過闡述商業(yè)銀行信息系統(tǒng)風(fēng)險模型，提出了相應(yīng)的評估方法與風(fēng)險控制措施，并提出了“持續(xù)風(fēng)險管理”的理念，以及具體的操作方法。

關(guān)鍵詞：商業(yè)銀行；信息系統(tǒng)風(fēng)險；控制

中圖分類號：F832.4 文獻(xiàn)標(biāo)志碼：Ａ文章編號：１６７３－２９１Ｘ（２０11）05－０114－02

為了有效防范銀行信息系統(tǒng)風(fēng)險監(jiān)管，銀監(jiān)會正式頒布了《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引》，以促進(jìn)我國銀行業(yè)信息系統(tǒng)安全、持續(xù)、穩(wěn)健運(yùn)行。作為基層銀行，就要認(rèn)真學(xué)習(xí)商業(yè)銀行信息系統(tǒng)的特點，建立適合商業(yè)銀行風(fēng)險特征的評估模型，運(yùn)用先進(jìn)的風(fēng)險評估方法，逐步完善信息系統(tǒng)風(fēng)險評估的流程，并通過信息系統(tǒng)風(fēng)險評估的手段，保障企業(yè)信息資產(chǎn)的安全，確保系統(tǒng)數(shù)據(jù)的完整，使商業(yè)銀行適應(yīng)復(fù)雜的運(yùn)行環(huán)境，滿足日益強(qiáng)化的風(fēng)險管理需要。

一、商業(yè)銀行信息系統(tǒng)風(fēng)險模型

商業(yè)銀行信息系統(tǒng)風(fēng)險評估模型基本上可以劃分為基于業(yè)務(wù)風(fēng)險控制的風(fēng)險評估模型和基于信息技術(shù)控制的風(fēng)險評估模型。商業(yè)銀行信息系統(tǒng)按業(yè)務(wù)劃分，主要業(yè)務(wù)模塊包括柜面業(yè)務(wù)系統(tǒng)， ATM、POS、網(wǎng)上銀行、電子商務(wù)支付和客服中心等，其中柜面業(yè)務(wù)子系統(tǒng)包括：存取款、貸款、信用卡、中間業(yè)務(wù)、國際業(yè)務(wù)、結(jié)算、代收代付等。其商業(yè)銀行的業(yè)務(wù)功能結(jié)構(gòu)如圖1。

以上可以看出，基于業(yè)務(wù)風(fēng)險控制的風(fēng)險評估模型是針對業(yè)務(wù)流程的控制和業(yè)務(wù)的風(fēng)險管理，是信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過程中由于管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險[1]。

另一類是關(guān)于技術(shù)控制的風(fēng)險評估模型。這類模型建立在相關(guān)的信息安全標(biāo)準(zhǔn)之上，主要考慮的是安全技術(shù)的實現(xiàn)架構(gòu)和實現(xiàn)方式，并以此來評估系統(tǒng)的技術(shù)風(fēng)險。銀行的安全架構(gòu)是由物理設(shè)備安全、網(wǎng)絡(luò)安全、交易安全和數(shù)據(jù)完整性安全等，其中交易安全包括：密碼技術(shù)、身份認(rèn)證和安全交易技術(shù)。其層次結(jié)構(gòu)如圖2。

隨著信息技術(shù)應(yīng)用的普及，網(wǎng)上銀行、手機(jī)銀行飛速發(fā)展，隨著銀行業(yè)務(wù)的拓展，各種中間業(yè)務(wù)等銀行新型業(yè)務(wù)和金融產(chǎn)品的出現(xiàn)，銀行信息系統(tǒng)開始不同程度向外界開放，對銀行開放信息系統(tǒng)的依賴越來越強(qiáng)。加上各商業(yè)銀行實行數(shù)據(jù)大集中，將過去保存在基層的存貸款等業(yè)務(wù)數(shù)據(jù)集中到高層數(shù)據(jù)庫存放，導(dǎo)致單筆交易所跨越的網(wǎng)絡(luò)環(huán)節(jié)越來越多，銀行信息系統(tǒng)對通信網(wǎng)絡(luò)依賴程度越來越高。

電子金融服務(wù)的發(fā)展，使商業(yè)銀行信息系統(tǒng)開放運(yùn)行，與公共網(wǎng)絡(luò)連接，暴露在公共網(wǎng)絡(luò)具有各種威脅底下，網(wǎng)上銀行、手機(jī)銀行、電子商務(wù)支付等銀行新業(yè)務(wù)，在成為商業(yè)銀行利潤增長點的同時，導(dǎo)致銀行信息系統(tǒng)的風(fēng)險劇增。商業(yè)銀行對信息系統(tǒng)的安全性要求進(jìn)一步提高。

二、商業(yè)銀行信息系統(tǒng)風(fēng)險評估方法

商業(yè)銀行在面對實際的信息風(fēng)險時，需要建立定位于信息全面管理的風(fēng)險評估模型。信息系統(tǒng)風(fēng)險管理的目標(biāo)是通過建立有效的機(jī)制，實現(xiàn)對信息系統(tǒng)風(fēng)險的識別、計量、評價、預(yù)警和控制，推動銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)創(chuàng)新，提高信息化水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力[1]。因此，必須兼顧業(yè)務(wù)風(fēng)險模型和技術(shù)風(fēng)險模型的相關(guān)方法，建立一種銀行信息系統(tǒng)風(fēng)險識別模式，用于發(fā)現(xiàn)系統(tǒng)自身內(nèi)部控制機(jī)制中存在的薄弱環(huán)節(jié)和危險因素，發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中不正常和有害的行為，找出系統(tǒng)的弱點和安全威脅的定性分析；必須建立一種銀行信息系統(tǒng)風(fēng)險評價模型，用于在銀行信息系統(tǒng)風(fēng)險各要素之間建立風(fēng)險評估，計量風(fēng)險的定量評價方法。

根據(jù)商業(yè)銀行信息系統(tǒng)風(fēng)險模型，其中基于業(yè)務(wù)風(fēng)險控制的風(fēng)險評估模型主要針對銀行業(yè)務(wù)具體處理，其風(fēng)險識別是觀察每一筆具體的業(yè)務(wù)數(shù)據(jù)，也可以轉(zhuǎn)化為銀行資產(chǎn)的差錯；其中基于信息技術(shù)控制的風(fēng)險評估模型主要針對安全保障技術(shù)，其風(fēng)險識別是找出系統(tǒng)可能存在的不安全因素。據(jù)此，可以推理出系統(tǒng)風(fēng)險評估模型為：

商業(yè)銀行信息系統(tǒng)風(fēng)險評估模型由四個模塊組成：業(yè)務(wù)差錯識別模塊負(fù)責(zé)找出每一筆已經(jīng)發(fā)生的差錯業(yè)務(wù)，其方法是通過業(yè)務(wù)差錯發(fā)現(xiàn)和資產(chǎn)調(diào)查尋找每一筆差錯業(yè)務(wù)，修正商業(yè)銀行信息系統(tǒng)運(yùn)行錯誤；威脅分析模塊負(fù)責(zé)尋找技術(shù)安全威脅，用安全掃描來找出安全漏洞，用入侵檢測來發(fā)現(xiàn)受到的侵犯；安全分析模塊負(fù)責(zé)對系統(tǒng)設(shè)置的安全策略進(jìn)行分析，對系統(tǒng)內(nèi)部運(yùn)行的軟件進(jìn)行分析；系統(tǒng)安全評價模塊在前面三個模塊分析結(jié)論的基礎(chǔ)上由銀行風(fēng)險因素診斷指標(biāo)體系[2]得出系統(tǒng)安全評價量化指標(biāo)。

該商業(yè)銀行信息系統(tǒng)風(fēng)險評估模型的特點主要是：1.業(yè)務(wù)風(fēng)險評估和技術(shù)風(fēng)險評估同一量化構(gòu)成信息系統(tǒng)的風(fēng)險，便于系統(tǒng)的橫向比較；2.采用自動化的檢測評價為主的方法，對于硬件的風(fēng)險和人為的風(fēng)險，可以加入人工評價修正，有利于實時監(jiān)控；3.系統(tǒng)簡潔，事前預(yù)防和事后發(fā)現(xiàn)相結(jié)合，可行適用。

三、商業(yè)銀行信息系統(tǒng)風(fēng)險控制措施

通過風(fēng)險評估，可以進(jìn)行風(fēng)險計算，計算出大致成本，控制防范風(fēng)險就是要采取行動，并得到資金的支持。銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風(fēng)險管理策略，按照信息系統(tǒng)的敏感程度對各個集成要素進(jìn)行分析和評估，并實施有效控制[1]。

在硬件方面控制風(fēng)險，首先要選擇合適的供應(yīng)商，選擇滿足安全要求的解決方案。在網(wǎng)絡(luò)安全方面，要將銀行內(nèi)部網(wǎng)絡(luò)與銀行外部網(wǎng)絡(luò)隔離，通過防火墻或者代理服務(wù)器連接。通過隔離連接容易實現(xiàn)數(shù)據(jù)檢查，減少系統(tǒng)暴露面，發(fā)現(xiàn)問題系統(tǒng)及時報告及時處理。在銀行信息系統(tǒng)建設(shè)上，可以借鑒成熟的運(yùn)行系統(tǒng)，采用成熟的信息技術(shù)，銀行業(yè)金融機(jī)構(gòu)應(yīng)重視知識產(chǎn)權(quán)保護(hù)，使用正版軟件，加強(qiáng)軟件版本管理，優(yōu)先使用具有中國自主知識產(chǎn)權(quán)的軟、硬件產(chǎn)品；積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護(hù)本機(jī)構(gòu)信息化成果。[1]

在銀行信息系統(tǒng)運(yùn)行方面，銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等；明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機(jī)制，實行最小授權(quán)。[1]

銀行信息系統(tǒng)風(fēng)險管理要堅持持續(xù)管理風(fēng)險的理念，銀行信息系統(tǒng)風(fēng)險的存在是會隨著時間和環(huán)境的變化而不斷變化，持續(xù)管理就是要跟隨環(huán)境的變化。建立持續(xù)管理策略，就是在銀行信息系統(tǒng)中，不斷地進(jìn)行評估。不斷地實施PDCA循環(huán)，即計劃（Plan）、實施（Do）、檢測（Check）、改進(jìn)（Action）四個進(jìn)程。安全控制的境界不能放在不斷糾正錯誤上，應(yīng)該放在預(yù)防上，就是要不斷檢測，不斷發(fā)現(xiàn)不安全因素，不斷地改進(jìn)，使系統(tǒng)符合變化環(huán)境下安全需求。

參考文獻(xiàn)：

[1] 中國銀行業(yè)監(jiān)督管理委員會.銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引.銀監(jiān)會313號文件，2006.11.1

[2] 雷宏.網(wǎng)絡(luò)銀行風(fēng)險狀態(tài)診斷方法研究[J].山西大同大學(xué)學(xué)報，2009，10（5）：89.