銀行業信息科技風險管理能力探究

陶良華

江西省農村信用社聯合社信息科技部 江西 330039

0 前言

隨著銀行業對信息科技的高度依賴，銀行信息系統的安全性、可靠性和有效性直接關系到整個銀行業的安全和國家金融體系的穩定。核心業務系統、網上銀行、自助終端、銀行卡等具有高科技含量的系統和設備被廣泛應用，各個銀行信息科技在設備規模和技術水平不斷提高的同時，信息科技風險管理卻相對顯得薄弱，其風險的潛在性也隨著金融產品的增加而增大，風險的復雜性也越來越強。

為加強銀行的信息科技風險管理，提升信息科技風險管理能力，銀監會制定的《電子銀行業務管理辦法》、《電子銀行安全評估指引》、《銀行信息科技風險管理指引》等法規制度相繼出臺，構建和完善了銀行內與信息技術應用有關的組織架構及工作程序，有效地識別、度量、跟蹤和控制信息技術風險。

1 需求分析

銀行進行信息化建設起步較早，但傳統的安全管理方式是將分散在各地、不同種類的安全防護系統分別進行管理，各系統單獨保護，相互沖突和割裂，形成信息孤島，導致安全信息分散，互不相通，安全策略難以保持一致；此外，各安全系統單獨建設，造成分散、低水平重復投資，在建立長效機制方面也考慮較少，難以做到可持續運行、發展和完善。這種傳統的管理運行方式已成為許多安全隱患的根源，因此銀行信息系統對信息安全體系的建設既需要符合政策合規性管理的要求，又存在自身安全保障體系建設的需求。

同時，大多數銀行信息系統建設還存在滯后問題。系統設計、系統運行、外包、業務連續性以及技術操作等一系列新的信息系統風險正逐漸暴露在我們的面前，形成了一定的安全隱患。

2 銀行信息科技風險管理

銀行應從業務需求出發，遵從風險管理的理念，在銀行信息技術戰略規劃的基礎上，借鑒國際最佳實踐經驗，實現全面的信息科技風險管理，實現以下的建設目標：(1)保障業務持續，促進業務發展；(2)保證信息的機密性、完整性和可用性(如圖1)。

圖1 銀行信息科技風險管理體系框架圖

為了保障業務系統穩定、安全運行，銀行應加強信息科技風險管理體系建設：一是完善組織體系建設，建立有效的信息科技治理機構，明確權限，落實責任；二是實施風險管理，識別整個信息系統的薄弱環節，區分業務風險和信息科技風險，制定出相應的風險防范辦法，加以落實并對結果進行檢查，建立起自身的風險防范機制；三是加強信息科技管理，采用多種技術建立縱深防御體系，完善應急響應體系和業務連續性計劃，建立災備恢復體系，規范日常信息系統運維流程。四是通過實施安全審計，做好信息系統的安全檢查工作。

3 銀行信息安全保障體系建設方案

銀行信息安全保障體系的建設是一個體系化的工程，涉及信息安全策略體系、信息安全管理體系、信息安全技術體系、信息安全運作體系四個部分。其中信息安全策略體系是核心內容，覆蓋信息安全工作的各個方面，對管理、技術、運維體系中的各種安全控制措施和機制的部署提出目標和原則；安全管理體系是安全工作的管理和實施體系，監督各種安全工作的開展，協調銀行各部門在安全實施中的分工和合作，保證安全目標的實現；安全運作體系是對安全生命周期中各個安全環節的要求，包括安全工程管理機制，安全預警機制、定期的安全風險識別和控制機制、應急響應機制和定期的安全培訓機制等；安全技術體系是對實現銀行信息安全的具體措施，銀行安全安全策略、安全管理、安全運維必須依托相應的技術手段方可執行，技術體系包括了身份認證、訪問控制、加密、防惡意代碼、安全加固、監控、日志審計和備份恢復，是銀行安全保障體系的重要支撐(如圖2)。

根據銀行信息科技風險管理的需要，參照近年來信息安全領域出現的信息系統安全保障理論模型和技術框架(如IATF等)、信息安全管理標準ISO/IEC 27002：2005和ISO/IEC TR 13335系列標準以及IT治理相關理論，結合銀行業的特點和信息化現狀，建設信息安全保障體系，為銀行信息系統的平穩運行和業務的持續開展提供強有力的保障，提升信息科技風險防范和響應能力。

(1) 根據信息安全級別，將網絡劃分為不同的邏輯安全域，對每個域和整個網絡進行物理或邏輯分區，通過部署系列安全產品實現網絡內容過濾、邏輯訪問控制、入侵檢測、網絡監控、記錄活動日志等。

(2) 部署安全管理中心(SOC)對網絡設備、安全設備、服務器等產生的日志進行收集分析，監控各系統的安全狀態，產生的各類 IT運維及安全事件通過工單管理模塊分派處理事件的責任人，實現全網風險的有效管理。

圖2 信息安全保障體系建設圖

(3) 為了確定信息科技中存在隱患的區域，評價信息科技風險對銀行業務的潛在影響并確定風險防范措施及所需資源的優先級別，應定期進行信息科技風險的全面識別與評估，對信息科技風險管理工作中存在的問題提出有效整改措施，建立信息科技風險管理策略和評估流程。

4 總結

網絡安全風險在信息時代的今天愈加凸顯，需要引起更多的關注和重視，也將在未來面對更多的挑戰。本文從宏觀的角度對銀行業的信息安全體系建設做了詳細的介紹，希望能為大家的信息安全保障和管理工作提供一些新的思路。

[1] 商業銀行信息科技風險管理指引.

[2] 商業銀行數據中心監管指引.

[3] ISO 27002:2005信息安全管理體系實施指南.

[4] 李東衛.商業銀行信息科技風險的分析與對策.中國銀行業監督管理委員會陽泉監管分局.

[5] 唐磊.商業銀行信息科技風險現狀與管理策略分析.中國工商銀行股份有限公司蘇州分行信息科技部.

[6] 張倩,張云志,祁妙.關于商業銀行信息科技風險的調查與思考.