提升防護能力 確保銀行業(yè)信息系統(tǒng)安全
文章來源:中國城鄉(xiāng)金融報
?
銀行業(yè)網(wǎng)絡與信息系統(tǒng)是國家網(wǎng)絡基礎設施的重要組成部分����,其安全穩(wěn)定運行關(guān)乎人民群眾的切身利益�,關(guān)系到金融穩(wěn)定和社會穩(wěn)定的大局。
為了確保銀行業(yè)網(wǎng)絡與信息系統(tǒng)安全運行,近期,人民銀行會同銀監(jiān)會在北京召開會議部署了銀行業(yè)金融機構(gòu)開展網(wǎng)絡與信息安全的自查工作。不久,銀監(jiān)會又設立信息科技監(jiān)管部�,以加強銀行業(yè)信息科技監(jiān)管督導和專項排查����?��?梢钥闯?����,銀行業(yè)信息科技風險已引起監(jiān)管部門的重視����,各商業(yè)銀行需要積極應對���。
信息科技風險凸顯
在復雜的市場環(huán)境中����,商業(yè)銀行面臨的風險是多方面的�����,主要包括信用風險��、市場風險、操作風險等���。按照新《巴塞爾資本協(xié)議》的規(guī)定,操作風險是指由不完善或有問題的內(nèi)部程序���、人員及系統(tǒng)或外部事件造成的風險,包括內(nèi)部欺詐��、外部欺詐�����、勞動合同及工作場所��、客戶產(chǎn)品及業(yè)務操作、實體資產(chǎn)損壞�����、業(yè)務中斷和系統(tǒng)失敗以及執(zhí)行��、交割和流程管理問題等內(nèi)容�����,而其中的業(yè)務中斷和系統(tǒng)失敗指的就是信息科技領(lǐng)域的風險。
隨著金融電子化程度的日益提高以及數(shù)據(jù)集中體系建設力度的加大�,商業(yè)銀行業(yè)務對信息科技的依賴度顯著增強���,由此帶來包括信息科技系統(tǒng)策略�����、數(shù)據(jù)集中度、系統(tǒng)設計外包�����、系統(tǒng)處理中斷以及技術(shù)操作等一系列新的風險點���。近幾年���,我國金融機構(gòu)因為信息系統(tǒng)故障導致業(yè)務無法開展的例子并不鮮見�,而作為金融同業(yè)的韓國農(nóng)協(xié)銀行在2011年爆發(fā)的重大信息安全事件仍歷歷在目,教訓深刻��。作為韓國境內(nèi)最大的四家銀行之一���,農(nóng)協(xié)銀行由于信息系統(tǒng)遭受黑客攻擊���,大量業(yè)務數(shù)據(jù)遭到惡意刪除����、篡改和泄漏,導致該行所有分行全部停業(yè)���,服務中斷時間長達3天,造成3500萬客戶信息遭到泄漏��,堪稱全球金融業(yè)最嚴重的數(shù)據(jù)泄漏事件�����。可以肯定地說����,信息科技風險已成為商業(yè)銀行不容忽視的重要風險之一���。
監(jiān)管部門頻頻出擊
為了應對日益凸顯的信息科技風險��,我國金融監(jiān)管部門頻頻出擊,不斷加強銀行業(yè)信息科技風險監(jiān)管力度。人民銀行要求從維護金融穩(wěn)定的角度來看待銀行業(yè)科技風險,將其納入全面風險的管理框架;銀監(jiān)會在2009年出臺了《商業(yè)銀行信息科技風險管理指引》�����,從技術(shù)與管理兩個層面為我國商業(yè)銀行信息科技風險管理工作指明了方向����。
為進一步做好信息科技風險控制工作,近日,人民銀行會同銀監(jiān)會召開了銀行業(yè)金融機構(gòu)網(wǎng)絡與信息安全檢查工作動員部署會議,會議傳達學習了國務院關(guān)于開展重點領(lǐng)域網(wǎng)絡與信息安全檢查行動的要求����,緊急部署了銀行業(yè)金融機構(gòu)開展網(wǎng)絡與信息安全的自查工作���。
人民銀行副行長李東榮指出��,當前網(wǎng)絡與信息領(lǐng)域新技術(shù)、新應用發(fā)展迅速,信息安全新情況、新問題不斷涌現(xiàn),信息安全事件時有發(fā)生��,我國面臨著嚴峻復雜的信息安全形勢����。銀行業(yè)金融機構(gòu)必須高度重視此次自查工作:要加強組織領(lǐng)導,落實工作責任��;要認真研究自查中發(fā)現(xiàn)的問題����,采取有效措施進行整改;要強化信息報送,及時報告自查中發(fā)現(xiàn)的重大安全隱患��,并做好自查總結(jié)工作���;要做好風險控制和保密管理�,確保被檢查信息系統(tǒng)正常運行,涉密信息得到有效保護。
與此同時����,銀監(jiān)會正式設立信息科技監(jiān)管部�����。新設立的信息科技監(jiān)管部負責制定銀行業(yè)信息科技監(jiān)管政策,指導銀行業(yè)信息科技發(fā)展規(guī)劃,開展信息科技非現(xiàn)場監(jiān)管和現(xiàn)場檢查,處置信息科技突發(fā)事件���,開展銀行業(yè)標準化相關(guān)工作以及銀監(jiān)會信息科技風險防范工作歸口管理。據(jù)了解,下一步�����,信息科技監(jiān)管部將深入開展風險評估�、監(jiān)測、評級和現(xiàn)場檢查工作�����,促進銀行業(yè)信息化建設和信息科技風險管控工作健康發(fā)展��。
商業(yè)銀行要積極應對
信息科技風險作為金融風險的重要組成部分受到銀行業(yè)機構(gòu)的一致重視�����,各大商業(yè)銀行通過建設信息科技風險管理信息系統(tǒng)和IT審計系統(tǒng)���、完善信息科技治理結(jié)構(gòu)�、健全科技管理制度,初步形成了富有自身特色的信息科技風險管理體系��,有效保障了銀行業(yè)穩(wěn)健運行����。此次全國范圍的重點領(lǐng)域網(wǎng)絡與信息安全檢查行動,是國家加強信息安全保障工作的一項重要舉措�,也是商業(yè)銀行提升自身信息科技風險管理水平的一次重要契機�。
一直以來����,農(nóng)行高度重視信息科技風險管理工作,在堅持“科技立行”的發(fā)展戰(zhàn)略下��,按照“積極防御���、綜合防范”的方針��,以安全生產(chǎn)為中心��,以保障業(yè)務連續(xù)性為出發(fā)點,初步建立了能夠適應農(nóng)行信息化發(fā)展的信息科技風險管理的“三道防線”���,并納入全面風險管理體系。
對于此次網(wǎng)絡與信息安全自查工作����,農(nóng)行進行了緊急動員和統(tǒng)一部署����。自查工作將從網(wǎng)絡與信息安全涉及的物理層面�、網(wǎng)絡層面、系統(tǒng)層面���、應用層面�、數(shù)據(jù)層面等多個維度入手,盡量做到風險排查到位��、管理措施到位�、整改落實到位,從維護銀行業(yè)務穩(wěn)健運行的全局出發(fā)�,加強信息科技監(jiān)管和專項排查����。通過開展專項自查工作,進一步梳理�����、掌握信息系統(tǒng)基本情況����,查找突出問題和薄弱環(huán)節(jié),分析面臨的安全威脅和風險���,評估安全防護水平,有針對性地采取防范對策和改進措施��,加強信息系統(tǒng)安全管理和技術(shù)防護��,促進安全防護能力和水平提升�,切實保障信息安全�;通過開展專項自查工作,進一步檢驗信息科技風險管理體系的科學性和有效性�,完善信息科技風險管理制度�,提升信息科技風險規(guī)范化和精細化管理水平�����,提高員工風險防范意識�����,完善信息科技風險監(jiān)測和預警機制��,實現(xiàn)風險管理防線的前移����,做到對信息科技風險早發(fā)現(xiàn)���、早處置��,做到“防患于未然”�����。
(文章來源:中國城鄉(xiāng)金融報)
本文鏈接:http://www.lajishu.com/product/html/26.html轉(zhuǎn)載請注明!
