客服熱線:400-615-8698
信息安全是金融行業永遠的話題。如何利用信息技術的優勢加強金融機構的內部控制,提高金融監管和服務水平,防范和化解金融風險,促進金融改革和創新,從而推動我國經濟社會的發展,是當前我國金融業信息化建設面臨的重大問題。金融信息系統外應用系統相互牽連、使用對象多樣化、安全風險的多方位、信息可靠性、保密性要求高等特征構成了金融系統的突出特點。國際金融危機以來,金融系統的風險控制和監管被提到了前所未有的高度。
安全體系全員參與
目前金融機構已經從傳統的資產負債經營轉向風險經營,一個完善的金融機構必須構建一個覆蓋業務各個維度的風險經營管理體系。從小的方面來說,可以是一個較為完整的安全體系。
對于小范圍安全體系,在這里我們可以先看看巴塞爾Ⅱ協議,流動性風險、市場風險和操作風險,已經覆蓋了金融機構運營的各個角度和維度。
對于信息風險(安全)我們可以從操作風險的角度來審視,由于目前IT應用已經涉及到金融的各個業務和辦公領域,對于IT帶來的風險管理已經是金融運營不可切割的一部分。所以,我們認為對于金融機構的風險管理體系(或安全體系)應該是一個從業務部門到技術部門都必須參與控制的過程。
不管從巴塞爾Ⅱ協議,還是我國商業銀行風險指引都要求我國銀行構建一個完整的風險管理體系。我們認為信息科技安全體系應該是一個從需求、設計、上線、運維到下線,一個全生命周期的風險(安全)管理體系,涉及與各環境相關的業務部門和科技部門。通常來說7分管理3分技術,在這里強調一下管理的重要性,我們認為管理不僅僅是人員、崗位、角色的管理,也包含著策略和流程。
故而我們建議對于金融信息科技風險管理(安全管理)體系的目標是圍繞業務發展,緊密結合業務發展戰略,利用科技手段構建風險防范平臺,鍛造精細風險管理能力,深化風險防范建設,為促進金融機構發展提供可靠保障。
圍繞目標在金融機構的各個部門從方針政策、人員到策略、流程直至技術防控措施全方位、全視角構建風險管理體系(安全體系)。
隨著技術的發展和業務的擴展,銀行的核心業務系統和后臺管理系統要進行不斷的升級換代,在此基礎上的安全防御系統也要調整配合。
我們應該從兩個角度去看待這樣的工作:
1.全生命周期的配合。風險防控是對IT系統全生命周期的管理。不是單獨的一個環節。由于業務發展需要,對銀行IT系統不斷更新和換代這是正常的。這樣需要IT風險管理也是要動態、同步跟進系統建設。
2.PDCA,即使IT系統不進行更新和換代,由于漏洞的發現和黑客技術的更新,同樣也需要風險管理的及時跟進。
所以說IT風險管理比IT系統更新換代更需要敏捷性。
對于一個良好的銀行機構不僅需要IT風險管理的同步更新,同時也需要風險管控部門及時對風險撥備進行更新。
將新技術納入風險防控體系
在這個競爭激烈的年代,銀行必須通過不斷的業務創新來發展自己的業務,那么對于現在不斷發展的技術來說,是金融創新的輔助手段和工具,諸如:internet、3G、云計算、SOA等技術,這些新技術的應用給銀行機構帶來了業務的增長,同時也帶來了相應的風險。我們應該采取積極創取,謹慎對待的態度。
銀行是一個經營風險的機構,積極進取、穩健經營是一個銀行機構經營的宗旨。科技創新帶動業務創新也是新一代金融機構發展的另外一個口號和宗旨。故而銀行機構在采用新技術時會積極并且穩健。
對于銀行來說,既要對新技術的出現采取積極的態度和精神去跟進,同時也要通過不同緯度去審視新技術帶來的安全隱患和風險。
我們認為,任何一項技術的采用和使用都是因其業務發展的需要。機遇永遠與風險并存,故此我們建議在采用一項新技術之前要進行嚴格的風險評議,并且有相應的流程去審議這些新技術的采用。對于任何新技術的采用可以建立完整的風險防控機制,并納入到風險防控體系中。
亡羊補牢,未為晚也
中小型金融機構信息系統眾多環節都存在漏洞,在建設過程中因為沒有統籌考慮,對于系統安全建設部分中的硬件設施、軟件設計模塊缺乏,造成諸如審計、保密、數據傳輸中的完整性、數據正確性、對外來攻擊的預防等安全措施弱化或缺失。
對于中、小金融系統來說,在其IT系統建設過程中如果沒有進行統籌考慮,只考慮了業務功能性要求,對風險和安全控制沒有進行安排和規劃,會導致目前的運行中出現各類相應的隱患和問題。
信息科技風險,是一個動態的過程,并且對信息科技風險的識別、管理和控制這樣的過程也是一個動態的過程。所謂“亡羊補牢,未為晚也,”對于信息科技風險管理是一個非常明智的選擇。
前文我們說過了信息科技風險管理的目的和宗旨,在這里我想說的是,信息科技風險管理對于金融機構不分大小,也不分先進和落后,對于任何一個金融機構都適用,只不過因為中、小金融機構由于人才儲備少、建設經驗缺乏不能著急獨立完成信息科技風險管理體系的建設,而是采用外部專業機構來輔助完成而已。如工商銀行、建設銀行及興業銀行、廈門銀行等。
對此,我們認為中、小金融機構現在應審時度勢,跟進自己的業務特點,結合行業的標桿經驗,聘請有經驗的外部機構,盡早地搭建適合其業務發展特征的風險管理體系。
變被動為主動
目前網上攻擊以黑客竊取核心數據為目的,在數據越來越重要的今天,網上安全日益嚴峻。面對日益猖獗的網絡攻擊,銀行在發展其網銀業務的同時,更加不應該放松的是網銀風險防控。
我們認為應該積極主動建立健全網銀風險防控(安全)措施,從風險威脅源、路徑和目標做好相應的措施和流程。
IT系統基架于網絡上就變成網絡應用,網銀系統正是這樣的一個系統。對于任何一個網絡應用都是端對端的應用,那么對于安全問題也同樣演變成一個端對端的問題,故而我們在思考網銀安全的時候,不僅考慮到客戶端和服務端的安全問題,更要全面的思考,其中包括:客戶端、服務器端和整個的傳輸路徑等方面。
針對網銀安全,人民銀行于2009年下發了19號文件,著重強調了網銀各個環節的安全策略及控制措施。在此,我們強調指出,各家金融機構不應該只滿足《網上銀行系統信息安全通用規范》的基本要求,建議具有居安思危的意識和理念,滿足《網上銀行系統信息安全通用規范》增強性要求和更高的標準,同時也應該做好網銀風險的撥備。值得注意的是不僅要被動應對安全檢查,也要加強主動防范意識來應對來自網絡的攻擊。
(文章來源:賽迪網)
