基层银行业信息科技风险表现及防范对策.doc_第1页
基层银行业信息科技风险表现及防范对策.doc_第2页
基层银行业信息科技风险表现及防范对策.doc_第3页
基层银行业信息科技风险表现及防范对策.doc_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

基层银行业信息科技风险表现及防范对策随着信息科技在银行业经营管理全过程的推广运用,银行对信息科技的依赖程度显著提高,在促进银行改进流程、加快发展的同时,银行业机构信息科技风险防范工作面临着新形势、新情况和新问题,信息科技风险事件凸现。加强基层银行业机构信息科技风险防范,对于维护银行业机构以及整个银行业体系的安全稳定至关重要。 一、当前银行业机构信息科技风险的主要表现(一)数据大集中引发的风险 数据的集中直接带来了银行金融产品的升级和服务、管理手段的提高,但银行数据大集中后,可能带来的风险隐患也随之加大。一是不可抗力引发的风险。一旦出现突发的灾难事故,将导致系统性的业务停顿与客户流失,甚至会引起业务系统瘫痪,造成社会不稳定。二是系统安全维护工作不及时引发的危险。在数据大集中前,系统架构相对简单,原有的各地方数据中心均由技术人员负责辖内各系统的安全维护工作。由于他们对原系统涉及的各个环节比较熟悉,与系统软件开发商的联系较为密切,与区域内的网络运营商的协调能力较强,因此能迅速调动各种技术力量解决问题,对客户的响应时间较快。而数据集中后,虽然在管理上便于维护、升级,但由于数据集中后的系统的架构变得更加复杂,牵扯的各方面因素比原来大大增加,而且很多问题由于权限问题在市级分行层面漂统前置立韵无法得到很好的解决,往往需要向总行数据总中心反映,才能得到根本的解决,这在一定程度上削弱了现有数据中心技术人员应急抗灾能力和应变管理能力。三是外包风险。数据大集中后,对系统开发、网络管理、运行维护等的要求更加专业化了。随着IT 外包服务的概念逐步被各银行业机构接受,各银行业机构开始尝试实施IT 服务外包,这既有利于银行降低运营成本,也有利于银行集中更多的精力专注于自身的核心业务发展。但银行不是一般的企业,它是经营货币的特殊企业,银行信息系统、数据的安全不仅关系着自身的生存,而且关系着整个国家的经济命脉,而实行IT 外包服务后不仅银行内部掌握的大量敏感数据可能被外包公司掌握,而且更重要的是目前可以为银行提供IT 外包服务的大多数是国际跨国公司,万一国际政治、军事形势发生变化,外包公司随时可能停止提供服务,造成我国银行业的业务中断,严重影响我国的金融经济秩序,造成巨大混乱和损失。(二)技术风险 近几年,银行业机构开展了以互联网技术支持的银行服务与产品创新,出现了网络银行和较完备的电子银行体系,为客户提供“随时、随地、随意”的 3A ”级服务。该创新领域在提升服务效率的同时存在以下风险:一是行业性风险。由于应有程序在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全,出现应用系统在运行过程中账务错乱、数据信息受损等问题。二是外生性风险。由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。三是数据传输风险。客户在进行网上交易时,数据在传输过程中被泄露、篡改、伪造致使客户信息被盗取,影响资金安全。四是网上银行的操作风险。由于网上银行快速发展,假银行网站、克隆网站或网络黑客通过截获客户通讯数据、安装木马程序等方式套取用户密码和交易密码,转移客户在银行的资金。(三)安全风险 一是物理安全。计算机房设计、安装达不到国家规定的安全运行环境标准而造成的隐患。二是网络安全。该风险既来自计算机系统停机、磁盘列阵破坏等不确定因素,也来自网络外部的黑客攻击,以及计算机病毒破坏等因素。三是主机安全。网上黑客的袭击范围不断增大,手段日益翻新,利用网上的任何漏洞和缺陷非法进入主机,窃取银行信息。四是系统安全。计算机网络病毒通过网络进行扩散与传染,传播速度是单机的几倍,一旦某个程序被感染,则整台机器、整个网络也很快被感染,不仅会扰乱或中断正常的服务,而且会给银行带来直接的经济损失。 (四)管理风险 一是制度不健全。银行信息科技风险管理的有关制度和程序还存着一定的漏洞,与快速发展的信息科技不适应,距专业化的要求还有一定距离,还需要进一步完善和细化组织机构及岗位设置。具体表现在:各级管理层没有成立相关信息科技风险管理的领导和决策机构,科技部门独立于其它业务部1 之外的现象比较普遍。二是执行不规范。银行业机构由于信息科技人员较少,存在人员数量不足,系统开发、技术支持、系统操作维护和系统安全不能严格分开,主要技术支持岗位未实现岗位定期轮换。缺乏专门的技术风险管理部门或岗位进行有效的监督约束,不能有效识别并量化可能存在的信息科技风险因素。三是管理不规范。由于信息技术部1 专业性极强,高级管理层和风险控制部门无法对其实施有效监管飞四是信息科技人才短缺,无法实现计算机业务数据录入员、计算机程序员和网络系统管理员之间相互制约、互相监督,容易产生操作风险。二、加强信息科技风险管理的建议(一)建立银行业信息科技安全审核制度要建立信息科技安全联席会议。由监管部门牵头,各家商业银行参与,定期对银行信息科技情况进行交流,对各银行信息科技安全进行评价与沟通。对现有的银行信息技术法规和标准进行全面检查、清理、规范,研究制定新的系统性发展规划,加快推进银行信息化技术规范和标准体系建设的步伐。 (二)加强信息科技风险监管 监管机构应密切关注商业银行的科技信息风险,了解掌握信息科技风险状况和水平,全面推进信息科技风险监管。对信息科技内部、外部风险进行评价和审计,将信息科技风险纳入银行整体风险监管框架之中。 (三)督促商业银行建立和完善信息科技内控机制 一是加强内控制度建设,做到“制度防内”。二是建立信息科技安全防范体系,做到“技术防外”。商业银行应研究制订安全技术标准和技术规范,逐步建立银行信息系统安全应用平台,从技术手段上加强安全措施,通过部署防火墙子系统、VPN 子系统、入侵检测子系统、服务器核心防护子系统、防病毒子系统、日志审计子系统、内网监控子系统、安全管理子系统等,防止病毒及外部黑客的入侵,确保银行信息系统安全。 (四)加强信息科技安全应急机制的建设要加强信息科技安全应急恢复体系的建设,加强安全监控,进一步完善信息安全应急处置机制和信息通报机制,制定应急预案并进行演练,提高金

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论