序論:在您撰寫金融科技安全時���,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度���。
第1篇
一�、金融科技風險分析
影響金融科技風險主要存在于以下三個方面:第一�����,部分科技工作者安全技術水平低��,安全意識淡薄。雖然管理者制定了相應的安全管理規(guī)章制度���,但是在執(zhí)行的過程中����,會出現(xiàn)執(zhí)行力度小或者誤操作等情況��,導致一些重要的數(shù)據(jù)泄露和密碼丟失等��,讓系統(tǒng)的安全受到很大的威脅��。第二����,計算機網(wǎng)絡安全技術水平低。因為系統(tǒng)漏洞的存在�,給一些不法分子如黑客可乘之機,他們通過侵入系統(tǒng)盜取數(shù)據(jù)����,甚至給系統(tǒng)帶來毀滅性的破壞。第三����,監(jiān)督管理機制不完善��。很多第三方支付、P2P交易模式等新的交易平臺出現(xiàn)的時候�,沒有經(jīng)過嚴格的監(jiān)管審核和缺乏相應的法律法規(guī)的約束,就出現(xiàn)了盜取客戶資產(chǎn)而追討無果的后果���。安全是先行者�,在安全得不到保障的情況下�����,客戶的信息和資產(chǎn)就得不到保障�����,進而影響互聯(lián)網(wǎng)技術的發(fā)展�����,長遠來說就會阻礙經(jīng)濟的發(fā)展和社會的進步���。所以在互聯(lián)網(wǎng)發(fā)展的進程中�,首先要解決安全問題��。解決安全問題需要科技工作者、業(yè)務人員和監(jiān)管者等多方面共同努力�����,也不是一蹴而就的��,每一種新的技術和產(chǎn)品的出現(xiàn)����,會伴隨著新的攻擊手段的出現(xiàn),所以一定要重視安全問題��,并不斷尋找解決各種安全風險的方法����。其次,相關管理部門需要制定相應的安全管理規(guī)范和規(guī)章制度��,來提高操作人員的技術水平�,規(guī)范其操作行為�,進而規(guī)避人為因素帶來的金融風險。
二�、對金融科技風險進行防范的具體措施
金融與計算機相互依賴��、相互促進�����。金融產(chǎn)品業(yè)務模式的創(chuàng)新促進了計算機技術的進步��,同時計算機技術的進步帶動了金融業(yè)務的發(fā)展�。為了更好地為金融服務�����,為金融產(chǎn)品保駕護航��,必須要加強計算機安全技術和安全管理��,盡量避免人為操作和技術缺陷帶來的風險�����。
(一)加強對計算機軟件系統(tǒng)的管理
可靠的軟件系統(tǒng)是用戶交易安全的保障��,安全的密碼策略�、短信驗證碼、指紋����、人臉識別技術和成熟的實名認證技術等在軟件中應用提高了交易的安全系數(shù)��,可以進一步保障金融機構以及客戶的資金安全以及相應的信息數(shù)據(jù)����。所以�����,金融機構在對軟件進行研發(fā)的過程中��,需要盡可能使用全面的計算機軟件安全管理手段來規(guī)避歷史問題�����。在計算機軟件安全管理時�����,可以采用以下方法來保障軟件安全問題�。首先,在軟件產(chǎn)品研發(fā)的各個階段�����,都要確保軟件質量,使用更安全的登錄技術�、加密技術、角色權限管理策略和密碼策略等手段來保障用戶安全的使用軟件;其次���,在數(shù)據(jù)庫方面�����,配置相應的安全管理策略�����,設置嚴格的分級查詢修改權限,必要時建立同城和異地災備系統(tǒng);再次�����,在軟件的運行維護方面�,將開發(fā)權限、運行和維護權限分開管理�,配備專業(yè)的維護人員對軟件進行維護,防止因操作權限分配問題導致的操作系統(tǒng)被一些非法用戶闖入�����,泄露一些重要的信息數(shù)據(jù);最后,我們還要定時更新病毒庫���,并且積極升級更新殺毒軟件�����,對計算機進行殺毒����,完善病毒檢測和殺毒措施�����,避免因計算機中存在病毒導致系統(tǒng)出現(xiàn)崩潰的現(xiàn)象����。安裝防火墻并定期檢查系統(tǒng)漏洞,更新并安裝系統(tǒng)補丁�����,關閉一些不安全的端口等��,力保計算機軟件系統(tǒng)在運行的過程中的安全性�����。
(二)加強對計算機硬件的管理
計算機的高速計算能力極大地加快了業(yè)務發(fā)展,同時也對運行環(huán)境提出了比較高的要求����。不僅要避開高溫高濕和強磁環(huán)境,還需要相關的專業(yè)維護人員對計算機的硬件進行定期的維護���,對一些出現(xiàn)損壞或老化的零部件進行及時的更換和維修���,以免出現(xiàn)一些較大的安全事故。
第2篇
信息系統(tǒng)的安全性���、可靠性和有效性不僅是商業(yè)銀行賴以生存和發(fā)展的重要基礎,還關系到整個銀行業(yè)的安全和國家金融體系的穩(wěn)定��,因此國家金融監(jiān)管部門對銀行信息科技風險管理日益重視�����,對銀行信息科技風險管理提出了明確要求����,各商業(yè)銀行也普遍提髙了對信息科技風險管理的關注程度���。
1.加強信息科技風險管理是金融監(jiān)管部門高度重視的重要問題
中國銀監(jiān)會主席劉明康在信息科技風險管理與評價審計工作會議上指出,根據(jù)近幾年國際上出現(xiàn)的信息系統(tǒng)故障事件分析��,如果銀行信息系統(tǒng)中斷1小時����,將直接影響該行的基本支付業(yè)務;中斷1天�,將對其聲譽造成極大傷害;中斷2?3天以上不能恢復���,將直接危及銀行乃至整個金融系統(tǒng)的穩(wěn)定���。這在一定程度上反映了國家金融監(jiān)管部門對信息科技風險的深刻認識和日益重視。2008年7月�,銀監(jiān)會頒發(fā)了《銀行業(yè)金融機構信息系統(tǒng)安全保障問責方案》,明確各銀行的法定代表人為本單位信息系統(tǒng)安全保障的第一責任人���,并要求逐級簽訂信息系統(tǒng)安全保障責任書�。同時���,中國人民銀行��、銀監(jiān)會組織全國金融機構開展了奧運信息科技風險全面自查工作����,并相繼對各主要商業(yè)銀行進行了現(xiàn)場專項檢查;國家審計署也在對6家大型商業(yè)銀行的2008年度全面審計工作中首次引入了信息科技審計的內容�,著重從信息安全的角度出發(fā),站在維護國家金融穩(wěn)定和國家安全的髙度�����,分析當前我國銀行業(yè)信息科技工作面臨的主要風險�����,并提出了有針對性的改進建議��。國家有關監(jiān)管和審計部門推出的這些卓有成效的管理措施��,對銀行不斷改進和完善信息科技風險管理工作具有十分重要的指導意義���,充分體現(xiàn)出了我國政府對銀行業(yè)信息科技風險管理的尚度重視。
2.加強信息科技風險管理是新《巴塞爾資本協(xié)議》的基本要求
在2004年正式公布的新《巴塞爾資本協(xié)議》中��,重新修訂了銀行風險的分類和定義�,強調銀行在進行風險管理的時候���,不僅要重視傳統(tǒng)的信用風險、市場風險��、流動性風險����,而且要將防范操作風險放在一個重要的地位,并將信息科技風險明確劃歸操作風險的范疇���,從而使得信息科技風險管理成為了銀行全面風險管理體系中的重要組成部分��。
3.加強信息科技風險管理是銀行提高IT治理水平的需要
根據(jù)IT治理模型��,IT風險管理與戰(zhàn)略一致性����、資源管理����、績效評估等構成IT治理總體架構,而且是其中的一個重要方面�。隨著各家銀行信息化建設的深入,對信息科技風險的認識也在逐步加深���,從單一的信息安全轉變?yōu)楹w生產(chǎn)運行���、應用研發(fā)���、信息安全等方面的全面IT風險管理,信息科技風險管理水平體現(xiàn)了銀行的信息化程度和整體的風險管理水平���。在商業(yè)銀行完成股份制改造和上市之后���,商業(yè)銀行已普遍認識到信息科技方面一旦發(fā)生風險事件,不僅會影響業(yè)務的正常辦理�����,還可能會對銀行的聲譽和市值產(chǎn)生負面影響�����,因此更加重視信息科技風險管理���,對加強信息科技風險管理提出了更髙的要求���。
二、加強信息科技風險管理的相應舉措
根據(jù)國際權威機構信息系統(tǒng)審計與控制委員會(ISACA)的信息系統(tǒng)風險控制和IT審計工作的最佳實踐指南����,信息科技風險管理應關注IT治理、軟件生命周期管理(即項目開發(fā)與變更)����、IT服務交付與支持(即系統(tǒng)運行維護)、信息安全���、業(yè)務連續(xù)性管理等五大領域�����。在上述領域�����,各家商業(yè)銀行紛紛采取了各種風險管理措施����。下面以中國工商銀行股份有限公司(以下簡稱“工商銀行”)為例進行介紹����。
多年來����,工商銀行堅持“科技興行'“科技引領”發(fā)展戰(zhàn)略�,建立了集約化的科技組織體系,并逐步建立了與國際大銀行相適應的先進的科技體系和技術平臺���。自2006年起��,工商銀行正式將信息科技風險納入了全行風險管理體系����,作為操作風險管理的重要內容����,并在信息科技風險管理方面開展了大量工作。
1.信息科技風險管理組織體系工商銀行成立了信息系統(tǒng)應急領導小組�,由行長擔任組長,主管副行長任副組長��,信息科技部�、辦公室、個人金融部���、運行管理部等相關部門負責人為成員�,負責領導和組織信息系統(tǒng)重大事件的應急處理、災難備份和恢復�����、計算機信息系統(tǒng)的安全防護等工作�����?���?萍疾块T定期向董事會��、行長辦公會�、技術審查委員會、風險管理委員會匯報信息科技風險管理工作�����。同時����,工商銀行總行以及分行的科技部門均設有負責信息科技風險管理的部門,建立了一支專業(yè)的風險防護隊伍,為加強信息科技風險管理提供了組織保障�。
2008年,國家有關監(jiān)管�����、審計部門對工商銀行目前的信息科技風險管理情況都給予了較髙的評價�,認為工商銀行構建了較完整的信息科技治理結構,構成了信息科技管理����、信息科技風險管理和信息科技審計三道防線。
2.項目開發(fā)管理
針對由于版本質量造成的應用研發(fā)風險�,工商銀行采取了一系列措施,嚴格保障應用系統(tǒng)研發(fā)質量����。一是不斷改進研發(fā)和測試管理流程,加強需求管理�、項目方案審查、研發(fā)過程管理和項目質量控制���;二是及時優(yōu)化調整應用版本�����、測試和投產(chǎn)策略�����,針對版本投產(chǎn)比較頻繁等情況���,明確了“版本集中投產(chǎn)”的原則,切實降低因版本投產(chǎn)和生產(chǎn)變更帶來的風險隱患��;三是與業(yè)務部門密切配合����,力卩強溝通和協(xié)調,實現(xiàn)風險共擔�����。
3.運行維護和操作管理
生產(chǎn)運行風險是信息科技風險的突出表現(xiàn)��,并且根據(jù)實際情況統(tǒng)計����,大約有50%的生產(chǎn)運行風險是由管理操作原因引起的。為此����,工商銀行始終堅持“將確保信息系統(tǒng)安全穩(wěn)定運行放在信息科技工作首位”的指導思想���,并持續(xù)強化運行管理操作的各項措施,降低系統(tǒng)運行風險���。一是建立了全行統(tǒng)一集中的監(jiān)控管理平臺(ECC)��,對主機和開放平臺等各類應用系統(tǒng)進行實時監(jiān)控���,實現(xiàn)生產(chǎn)操作、監(jiān)控的自動化����;二是通過部署幫助臺系統(tǒng)、網(wǎng)絡管理系統(tǒng)��、性能容量管理系統(tǒng)�、資源管理系統(tǒng)等工具和系統(tǒng),逐步提髙生產(chǎn)運行管理的自動化程度�;三是建立了完備的應急管理體系,明確了應急預案和流程�,確保出現(xiàn)緊急事件情況下能夠進行妥善處理,將事件影響降至最低�����。
4.信息安全管理
信息安全管理的核心是要建立健全信息安全的內部控制體系,通過技術和管理手段��,確保銀行信息系統(tǒng)和數(shù)據(jù)的機密性�、完整性和可用性。為此����,工商銀行建立了一支專門的信息安全防護隊伍,及時分析和解決存在的各類信息安全隱患����。同時�,積極落實信息安全體系規(guī)范和信息安全等級保護措施,部署了入侵檢測�、漏洞掃描等一系列信息安全防護工具,實施了客戶端安全管理���。由于采取了及時有效的防御措施����,假冒網(wǎng)站����、網(wǎng)絡攻擊等事件雖然時有發(fā)生����,伹沒有對信息系統(tǒng)的穩(wěn)定運行造成不良影響����。特別是在北京奧運會期間,工商銀行成功抵御了針對網(wǎng)上銀行系統(tǒng)的惡意攻擊����,保障了電子銀行業(yè)務正常開展,維護了企業(yè)聲譽�。
5.業(yè)務連續(xù)性管理
多年來,工商銀行始終堅持“數(shù)據(jù)集中處理����、主機災難備份、平臺多點接入���、業(yè)務跨區(qū)受理”的原則開展信息系統(tǒng)技術體系建設���,自行建立了國內同業(yè)領先的完善的技術災備體系。2003年以后,工商銀行建立了核心業(yè)務異地災難備份系統(tǒng)���,實施了同城磁盤鏡像����,成為國內同業(yè)第一家同時具備同城和異地災備系統(tǒng)的銀行�,為保障信息系統(tǒng)的連續(xù)性運行奠定了技術基礎。與此同時�,工商銀行依靠自身力量制定了《信息系統(tǒng)連續(xù)性運作計劃(ITCP)》,并從2005年開始���,每年都進行一次全行業(yè)務級災難恢復應急演練��,模擬在上海的生產(chǎn)中心發(fā)生災難或信息系統(tǒng)長時間無法得到恢復的情況下�����,將全行核心業(yè)務切換到北京的災備中心的技術和業(yè)務處理,有效保障了災備系統(tǒng)的有效性�。
三、加強信息科技風險管理需要思考的若干問題
目前����,商業(yè)銀行在實施信息科技風險管理過程中主要面對以下幾方面的問題。
1.要關注信息科技風險計量和相關標準規(guī)范體系建設
對于銀行來說�,操作風險本身就是一種比較難以控制的風險�,目前世界銀行業(yè)也沒有一種公認的成熟方法來計量����。新《巴塞爾資本協(xié)議》要求2007年所有的銀行都要開始按照協(xié)議規(guī)定的三種方法中的一種來計算經(jīng)濟資本,進而控制操作風險�。伹據(jù)調查,60%以上的銀行未從2007年開始對操作風險實行量化管理�,大多數(shù)銀行的預期實施時間是2010年?2012年?���?梢姡y行業(yè)在對于整個操作風險的管理體系�、流程、計量方法和工具等方面的探索還遠遠落后于傳統(tǒng)的信用風險和市場風險管理等領域�。而銀行信息科技風險除了人為誤操作因素以外,還與日趨復雜的信息系統(tǒng)軟硬件環(huán)境直接相關�����,因此要對其進行科學���、準確的度量和評估����,存在更大難度。從全球范圍來看����,盡管國際上一些大銀行在信息科技風險管理方面已經(jīng)積累了一定的經(jīng)驗,伹迄今為止真正構建出有效的�����、完善的�����、可量化的信息科技風險管理體系的銀行卻為數(shù)寥寥�。因此,國內銀行業(yè)需要首先考慮建立一套量化的指標體系��,科學衡量銀行的信息科技風險��。同時��,建議相關主管部門牽頭在信息科技管理領域建立相應的標準規(guī)范����,以指導和促進國內商業(yè)銀行提髙信息科技風險管理的規(guī)范化、標準化水平�。
2.正確認識災難備份體系建設的內涵
建立完備的災備體系對銀行的重要意義毋庸置疑,伹災備體系建設應遵循什么樣的標準和原則���,是否所有銀行系統(tǒng)都遵循同樣的標準建設災備系統(tǒng)���,是商業(yè)銀行在災備體系規(guī)劃和建設過程中需要認真考慮的問題。通常情況下��,銀行可以根據(jù)業(yè)務系統(tǒng)的重要性�、災難恢復的時效性要求和銀行自身的風險承受能力等因素,參考相關國際標準n����,綜合評定劃分災備等級,確定業(yè)務恢復時間(RTO)�、業(yè)務丟失時間(RPO)等關鍵指標,在此基礎上��,遵循成本效益的原則����,按照相應的標準開展災備建設。目前�����,國外現(xiàn)代化商業(yè)銀行普遍采用此種做法,首先確定系統(tǒng)的災備等級�,并相應實施不同的災備策略,重點對關鍵設施和系統(tǒng)實施髙等級的災備保護措施���。
因此�,建議國內相關行業(yè)主管部門積極引導各商業(yè)銀行根據(jù)實際情況��,采取分級實施�、逐步推進的原則,借鑒國外銀行的先進經(jīng)驗��,優(yōu)先確保關鍵設施和重要業(yè)務系統(tǒng)的連續(xù)性運作�,在實現(xiàn)災備體系建設目標的同時,也相應降低建設和維護的成本����。
3.信息科技風險管理需要業(yè)務部門的關注和共同參與
與應用產(chǎn)品創(chuàng)新工作需要科技部門和業(yè)務部門共同完成類似,雖然信息科技風險管理更多關注的是IT領域��,伹其中相當一部分內容與業(yè)務部門息息相關����。
在業(yè)務連續(xù)性管理方面����,在科技部門建成了災備系統(tǒng)的基礎上�����,需要業(yè)務部門制定業(yè)務層面的應急計劃��,指導業(yè)務人員在信息系統(tǒng)中斷和恢復時進行業(yè)務的應急處理���,從而與科技部門協(xié)同開展應急恢復工作。
第3篇
信息系統(tǒng)的安全性�����、可靠性和有效性不僅是商業(yè)銀行賴以生存和發(fā)展的重要基礎�,還關系到整個銀行業(yè)的安全和國家金融體系的穩(wěn)定,因此國家金融監(jiān)管部門對銀行信息科技風險管理日益重視�����,對銀行信息科技風險管理提出了明確要求�,各商業(yè)銀行也普遍提髙了對信息科技風險管理的關注程度。
1.加強信息科技風險管理是金融監(jiān)管部門高度重視的重要問題
中國銀監(jiān)會主席劉明康在信息科技風險管理與評價審計工作會議上指出�����,根據(jù)近幾年國際上出現(xiàn)的信息系統(tǒng)故障事件分析,如果銀行信息系統(tǒng)中斷1小時��,將直接影響該行的基本支付業(yè)務���;中斷1天�����,將對其聲譽造成極大傷害�����;中斷2?3天以上不能恢復�,將直接危及銀行乃至整個金融系統(tǒng)的穩(wěn)定�。這在一定程度上反映了國家金融監(jiān)管部門對信息科技風險的深刻認識和日益重視。2008年7月��,銀監(jiān)會頒發(fā)了《銀行業(yè)金融機構信息系統(tǒng)安全保障問責方案》����,明確各銀行的法定代表人為本單位信息系統(tǒng)安全保障的第一責任人,并要求逐級簽訂信息系統(tǒng)安全保障責任書��。同時,中國人民銀行�����、銀監(jiān)會組織全國金融機構開展了奧運信息科技風險全面自查工作���,并相繼對各主要商業(yè)銀行進行了現(xiàn)場專項檢查;國家審計署也在對6家大型商業(yè)銀行的2008年度全面審計工作中首次引入了信息科技審計的內容��,著重從信息安全的角度出發(fā)���,站在維護國家金融穩(wěn)定和國家安全的髙度�,分析當前我國銀行業(yè)信息科技工作面臨的主要風險��,并提出了有針對性的改進建議��。國家有關監(jiān)管和審計部門推出的這些卓有成效的管理措施���,對銀行不斷改進和完善信息科技風險管理工作具有十分重要的指導意義����,充分體現(xiàn)出了我國政府對銀行業(yè)信息科技風險管理的尚度重視����。
2.加強信息科技風險管理是新《巴塞爾資本協(xié)議》的基本要求
在2004年正式公布的新《巴塞爾資本協(xié)議》中�,重新修訂了銀行風險的分類和定義�,強調銀行在進行風險管理的時候,不僅要重視傳統(tǒng)的信用風險�、市場風險、流動性風險�,而且要將防范操作風險放在一個重要的地位,并將信息科技風險明確劃歸操作風險的范疇���,從而使得信息科技風險管理成為了銀行全面風險管理體系中的重要組成部分���。
3.加強信息科技風險管理是銀行提高IT治理水平的需要
根據(jù)IT治理模型,IT風險管理與戰(zhàn)略一致性�����、資源管理�、績效評估等構成IT治理總體架構,而且是其中的一個重要方面���。隨著各家銀行信息化建設的深入��,對信息科技風險的認識也在逐步加深���,從單一的信息安全轉變?yōu)楹w生產(chǎn)運行���、應用研發(fā)、信息安全等方面的全面IT風險管理���,信息科技風險管理水平體現(xiàn)了銀行的信息化程度和整體的風險管理水平���。在商業(yè)銀行完成股份制改造和上市之后�����,商業(yè)銀行已普遍認識到信息科技方面一旦發(fā)生風險事件����,不僅會影響業(yè)務的正常辦理,還可能會對銀行的聲譽和市值產(chǎn)生負面影響���,因此更加重視信息科技風險管理����,對加強信息科技風險管理提出了更髙的要求。
二����、加強信息科技風險管理的相應舉措
根據(jù)國際權威機構信息系統(tǒng)審計與控制委員會(ISACA)的信息系統(tǒng)風險控制和IT審計工作的最佳實踐指南,信息科技風險管理應關注IT治理���、軟件生命周期管理(即項目開發(fā)與變更)���、IT服務交付與支持(即系統(tǒng)運行維護)、信息安全��、業(yè)務連續(xù)性管理等五大領域����。在上述領域,各家商業(yè)銀行紛紛采取了各種風險管理措施�����。下面以中國工商銀行股份有限公司(以下簡稱“工商銀行”)為例進行介紹��。
多年來����,工商銀行堅持“科技興行'“科技引領”發(fā)展戰(zhàn)略,建立了集約化的科技組織體系,并逐步建立了與國際大銀行相適應的先進的科技體系和技術平臺�����。自2006年起�,工商銀行正式將信息科技風險納入了全行風險管理體系,作為操作風險管理的重要內容��,并在信息科技風險管理方面開展了大量工作���。
1.信息科技風險管理組織體系工商銀行成立了信息系統(tǒng)應急領導小組��,由行長擔任組長�����,主管副行長任副組長,信息科技部��、辦公室�����、個人金融部��、運行管理部等相關部門負責人為成員,負責領導和組織信息系統(tǒng)重大事件的應急處理����、災難備份和恢復、計算機信息系統(tǒng)的安全防護等工作����。科技部門定期向董事會���、行長辦公會���、技術審查委員會、風險管理委員會匯報信息科技風險管理工作���。同時�����,工商銀行總行以及分行的科技部門均設有負責信息科技風險管理的部門����,建立了一支專業(yè)的風險防護隊伍�,為加強信息科技風險管理提供了組織保障����。
2008年�,國家有關監(jiān)管、審計部門對工商銀行目前的信息科技風險管理情況都給予了較髙的評價����,認為工商銀行構建了較完整的信息科技治理結構,構成了信息科技管理�����、信息科技風險管理和信息科技審計三道防線����。
2.項目開發(fā)管理
針對由于版本質量造成的應用研發(fā)風險,工商銀行采取了一系列措施����,嚴格保障應用系統(tǒng)研發(fā)質量����。一是不斷改進研發(fā)和測試管理流程,加強需求管理�、項目方案審查�、研發(fā)過程管理和項目質量控制�����;二是及時優(yōu)化調整應用版本���、測試和投產(chǎn)策略��,針對版本投產(chǎn)比較頻繁等情況��,明確了“版本集中投產(chǎn)”的原則�����,切實降低因版本投產(chǎn)和生產(chǎn)變更帶來的風險隱患��;三是與業(yè)務部門密切配合����,力卩強溝通和協(xié)調�����,實現(xiàn)風險共擔�����。
3.運行維護和操作管理
生產(chǎn)運行風險是信息科技風險的突出表現(xiàn),并且根據(jù)實際情況統(tǒng)計�,大約有50%的生產(chǎn)運行風險是由管理操作原因引起的。為此�,工商銀行始終堅持“將確保信息系統(tǒng)安全穩(wěn)定運行放在信息科技工作首位”的指導思想,并持續(xù)強化運行管理操作的各項措施����,降低系統(tǒng)運行風險。一是建立了全行統(tǒng)一集中的監(jiān)控管理平臺(ECC)��,對主機和開放平臺等各類應用系統(tǒng)進行實時監(jiān)控���,實現(xiàn)生產(chǎn)操作��、監(jiān)控的自動化�����;二是通過部署幫助臺系統(tǒng)��、網(wǎng)絡管理系統(tǒng)、性能容量管理系統(tǒng)����、資源管理系統(tǒng)等工具和系統(tǒng)���,逐步提髙生產(chǎn)運行管理的自動化程度;三是建立了完備的應急管理體系�,明確了應急預案和流程,確保出現(xiàn)緊急事件情況下能夠進行妥善處理�����,將事件影響降至最低�。
4.信息安全管理
信息安全管理的核心是要建立健全信息安全的內部控制體系,通過技術和管理手段����,確保銀行信息系統(tǒng)和數(shù)據(jù)的機密性、完整性和可用性�����。為此�����,工商銀行建立了一支專門的信息安全防護隊伍��,及時分析和解決存在的各類信息安全隱患。同時��,積極落實信息安全體系規(guī)范和信息安全等級保護措施���,部署了入侵檢測�、漏洞掃描等一系列信息安全防護工具�,實施了客戶端安全管理。由于采取了及時有效的防御措施����,假冒網(wǎng)站、網(wǎng)絡攻擊等事件雖然時有發(fā)生��,伹沒有對信息系統(tǒng)的穩(wěn)定運行造成不良影響����。特別是在北京奧運會期間,工商銀行成功抵御了針對網(wǎng)上銀行系統(tǒng)的惡意攻擊�,保障了電子銀行業(yè)務正常開展,維護了企業(yè)聲譽����。
5.業(yè)務連續(xù)性管理
多年來,工商銀行始終堅持“數(shù)據(jù)集中處理、主機災難備份�����、平臺多點接入�、業(yè)務跨區(qū)受理”的原則開展信息系統(tǒng)技術體系建設���,自行建立了國內同業(yè)領先的完善的技術災備體系���。2003年以后,工商銀行建立了核心業(yè)務異地災難備份系統(tǒng)��,實施了同城磁盤鏡像����,成為國內同業(yè)第一家同時具備同城和異地災備系統(tǒng)的銀行,為保障信息系統(tǒng)的連續(xù)性運行奠定了技術基礎�����。與此同時��,工商銀行依靠自身力量制定了《信息系統(tǒng)連續(xù)性運作計劃(ITCP)》��,并從2005年開始,每年都進行一次全行業(yè)務級災難恢復應急演練�����,模擬在上海的生產(chǎn)中心發(fā)生災難或信息系統(tǒng)長時間無法得到恢復的情況下�,將全行核心業(yè)務切換到北京的災備中心的技術和業(yè)務處理,有效保障了災備系統(tǒng)的有效性��。
三�����、加強信息科技風險管理需要思考的若干問題
目前�,商業(yè)銀行在實施信息科技風險管理過程中主要面對以下幾方面的問題。
1.要關注信息科技風險計量和相關標準規(guī)范體系建設
對于銀行來說����,操作風險本身就是一種比較難以控制的風險,目前世界銀行業(yè)也沒有一種公認的成熟方法來計量���。新《巴塞爾資本協(xié)議》要求2007年所有的銀行都要開始按照協(xié)議規(guī)定的三種方法中的一種來計算經(jīng)濟資本��,進而控制操作風險�����。伹據(jù)調查�,60%以上的銀行未從2007年開始對操作風險實行量化管理,大多數(shù)銀行的預期實施時間是2010年?2012年���?����?梢姡y行業(yè)在對于整個操作風險的管理體系�、流程、計量方法和工具等方面的探索還遠遠落后于傳統(tǒng)的信用風險和市場風險管理等領域��。而銀行信息科技風險除了人為誤操作因素以外���,還與日趨復雜的信息系統(tǒng)軟硬件環(huán)境直接相關���,因此要對其進行科學、準確的度量和評估���,存在更大難度����。從全球范圍來看,盡管國際上一些大銀行在信息科技風險管理方面已經(jīng)積累了一定的經(jīng)驗�����,伹迄今為止真正構建出有效的����、完善的、可量化的信息科技風險管理體系的銀行卻為數(shù)寥寥����。因此,國內銀行業(yè)需要首先考慮建立一套量化的指標體系����,科學衡量銀行的信息科技風險。同時��,建議相關主管部門牽頭在信息科技管理領域建立相應的標準規(guī)范���,以指導和促進國內商業(yè)銀行提髙信息科技風險管理的規(guī)范化����、標準化水平���。
2.正確認識災難備份體系建設的內涵
建立完備的災備體系對銀行的重要意義毋庸置疑�����,伹災備體系建設應遵循什么樣的標準和原則��,是否所有銀行系統(tǒng)都遵循同樣的標準建設災備系統(tǒng)���,是商業(yè)銀行在災備體系規(guī)劃和建設過程中需要認真考慮的問題��。通常情況下,銀行可以根據(jù)業(yè)務系統(tǒng)的重要性�����、災難恢復的時效性要求和銀行自身的風險承受能力等因素�����,參考相關國際標準n��,綜合評定劃分災備等級�,確定業(yè)務恢復時間(RTO)、業(yè)務丟失時間(RPO)等關鍵指標�,在此基礎上�����,遵循成本效益的原則�����,按照相應的標準開展災備建設�����。目前���,國外現(xiàn)代化商業(yè)銀行普遍采用此種做法,首先確定系統(tǒng)的災備等級�����,并相應實施不同的災備策略��,重點對關鍵設施和系統(tǒng)實施髙等級的災備保護措施���。
因此��,建議國內相關行業(yè)主管部門積極引導各商業(yè)銀行根據(jù)實際情況�,采取分級實施、逐步推進的原則���,借鑒國外銀行的先進經(jīng)驗���,優(yōu)先確保關鍵設施和重要業(yè)務系統(tǒng)的連續(xù)性運作,在實現(xiàn)災備體系建設目標的同時���,也相應降低建設和維護的成本�。
3.信息科技風險管理需要業(yè)務部門的關注和共同參與
與應用產(chǎn)品創(chuàng)新工作需要科技部門和業(yè)務部門共同完成類似���,雖然信息科技風險管理更多關注的是IT領域�,伹其中相當一部分內容與業(yè)務部門息息相關��。
在業(yè)務連續(xù)性管理方面�,在科技部門建成了災備系統(tǒng)的基礎上��,需要業(yè)務部門制定業(yè)務層面的應急計劃����,指導業(yè)務人員在信息系統(tǒng)中斷和恢復時進行業(yè)務的應急處理,從而與科技部門協(xié)同開展應急恢復工作�����。
第4篇
關鍵詞:計算機安全 科技風險 金融電子
伴隨著計算機應用技術的發(fā)展,電子金融市場面臨著機遇的同時也面臨著挑戰(zhàn)����,金融科技風險的發(fā)生成了金融業(yè)不得不面對的問題。在這種背景下�,計算機安全管理在防范金融科技風險中的作用得到了越來越多的關注[1]。本文結合現(xiàn)有的金融科技風險的實際情況���,對計算機安全管理在防范金融科技風險中的作用進行探討�����。
一�����、金融科技風險概述
金融科技風險通常又被稱作金融計算機風險�,指的是金融行業(yè)在實施技術創(chuàng)新與金融電子化進程中所應用的計算機與網(wǎng)絡通信等技術所帶來的風險�,這是由于計算機硬件、計算機軟件以及計算機的操作系統(tǒng)缺少計算機安全管理制度的有效規(guī)范��,潛伏中存在諸多不安全因素容易造成潛在的或者已經(jīng)出現(xiàn)的各類風險�����。金融行業(yè)的計算機信息系統(tǒng)作為技術密集結合體,有著人――機――環(huán)境的復雜系統(tǒng)�����,該系統(tǒng)在正常運作過程中有著一定的脆弱性�,容易遭受攻擊。傳統(tǒng)金融行業(yè)的銀行與金庫�����,通常都管理嚴格�,外人很難潛人,金融機構內部的不同業(yè)務部門之間也設置一定的物理方式的分隔措施[2]�����。但金融行業(yè)電子化以后��,特別是計算機聯(lián)網(wǎng)實施以后�����,銀行傳統(tǒng)的邊界已經(jīng)逐步消失���,進而導致金融計算機信息系統(tǒng)存在一定程度的易受攻擊���,在自然災害與人為破壞方面的防護能力不強,整個系統(tǒng)在運營過程中容易出現(xiàn)問題���,如可能會遇到不法分子通過國外的計算機網(wǎng)絡進人到銀行的數(shù)據(jù)庫���,進而導致?lián)p害的發(fā)生。
二����、金融科技風險分析
從現(xiàn)有金融科技風險的情況來看,主要的金融科技風險主要表現(xiàn)在以下幾個方面:
首先�����,計算機安全管理意識淡薄而導致的金融科技風險����。金融行業(yè)在防范金融科技風險方面水平的高低與組織人員,尤其是管理人員安全意識的強弱有著密切的聯(lián)系��。以基層銀行的計算機安全管理工作為例,我國現(xiàn)有的多數(shù)縣支行僅僅配備一名計算機方面的專業(yè)技術人員�����,同時對這些人員的薪酬管理存在著不規(guī)范的行為���,導致這些人員的安全意識低�����,工作積極性差�,進而影響到金融科技風險的防范工作有效性的提升[3]�。又如一些營業(yè)網(wǎng)點的員工由于自身的安全意識比較淡薄,因而經(jīng)常會讓無關人員進入到網(wǎng)點的工作區(qū)�����,進而讓這些人員接觸到計算機設備�����,進而為不法分子進行計算機方面的犯罪提供了便利�����。
其次���,銀行等機構的內控制度不健全���。如銀行的一些營業(yè)網(wǎng)點在計算機的應用中沒有貫徹分級授權的管理原則,存在著操作系統(tǒng)管理與主管操作員的口令都在記賬員手里的情況�,嚴重的甚至超級用戶與數(shù)據(jù)庫管理系統(tǒng)的口令也由記賬員掌握,這就使得記賬員有修改數(shù)據(jù)的可能性���,進而為金融科技風險的產(chǎn)生留下伏筆�。
同時��,計算機非法用戶以及計算機病毒侵入給金融科技也帶來一定的風險���,一些計算機非法用戶通過高科技方式的應用���,竊取到銀行等金融機構的用戶密碼后,以合法身份聯(lián)入到銀行等金融機構的計算機網(wǎng)絡系統(tǒng)中進行破壞�����,進而導致金融科技風險的出現(xiàn)����。
除此以外�,銀行等金融機構的工作人員在計算機安全操作方面的水平較低�����,導致違章操作的情況較多��,尤其是在計算機等操作技術快速提升的背景下��,工作人員操作水平低的情況容易導致金融科技風險的出現(xiàn)[4]�。簡而言之,導致金融科技風險存在的原因是多方面的�,表現(xiàn)形式也呈多元化的發(fā)展趨勢,因而有必要加強計算機安全管理在防范金融科技風險方面作用的發(fā)揮���。
三�����、計算機安全管理在防范金融科技風險的作用
本文結合計算機安全管理在防范金融科技風險中的現(xiàn)有情況��,對計算機安全管理在防范金融科技風險的作用做如下探討:
(一)計算機安全管理在防范金融科技風險中的重要性
銀行等金融機構通過計算機安全管理工作水平的提升���,有利于促進金融行業(yè)的整體發(fā)展���,進而有效的處理銀行等金融機構在電子化發(fā)展過程中面臨的諸多安全風險方面的問題,進而實現(xiàn)金融行業(yè)的凈化����,提升金融行業(yè)的綜合發(fā)展能力��。伴隨著金融行業(yè)的發(fā)展���,尤其是人們個性化金融需求水平不斷提高的背景下�����,銀行等金融機構在關注市場風險����、信用風險�����、以及流動風險等行業(yè)所面臨的風險上�����,更應關注金融科技給自身帶來的風險��。這是因為金融科技風險的出現(xiàn)�,不但會影響到金融機構正常業(yè)務的辦理,嚴重的會影響到金融行業(yè)整體的發(fā)展�,正因為如此,應關注計算機安全管理在防范金融科技風險中作用的發(fā)揮[5]���。
(二)基于計算機安全管理的金融科技風險防范途徑
從現(xiàn)有的計算機安全管理在防范金融科技風險作用的發(fā)揮來看���,主要集中于以下幾個途徑:
1.提高軟件系統(tǒng)的安全性
軟件是否可靠對金融機構的數(shù)據(jù)資料與客戶資金的安全有著重要的影響��。這就決定了在計算機安全管理中�,在軟件引入時應關注軟件應有的安全性,合理的應用加密技術�����。同時����,還應在應用過程中設置分級保密制度,將進入口令與密碼做到分人保管�,進而有效的提高技術防范金融科技風險的能力。
2.合理的配備硬件環(huán)境
計算機硬件環(huán)境的配置對防范金融科技風險有著重要的作用����。應對電磁進行屏蔽,避免不法人員利用電磁機會入侵金融機構的計算機���。合理的配備硬件環(huán)境可以采取的方法是鋪設防止靜電的地板;在沒有強磁場的地方進行計算機的安放����;對于控制主要業(yè)務的計算機應盡可能的配備兩臺計算機����,進而有效的確保系統(tǒng)的正常運行。
3.提高避免病毒與黑客入侵的工作力度
從以往的金融科技風險方面的案例來看��,其中計算機病毒以及黑客侵入的比例較高����。這就決定了金融機構在計算機安全管理方面應加強對網(wǎng)絡信息安全的監(jiān)管,嚴格控制非金融結構工作人員登錄系統(tǒng)���,對用戶的權限進行合理的限制���,提高對系統(tǒng)中各類意外事件的跟蹤能力與分析能力,進而有效的提高避免病毒與黑客入侵的工作水平�。
4.提綱金融計算機安全防范技術
計算機安全管理作用的發(fā)揮需要安全防范技術水平的不斷提高作為保障。從這個層面出發(fā)�����,計算機廠商應在計算機硬件與軟件技術應用方面���,不斷提高計算機安全防范技術的水平[6]��。廠商在編制與設計計算機程序時應嚴格依照制度的要求來進行,通過責任制的實施來確立編制與設計人員之間能夠進行相互制約與相互監(jiān)督����,避免工作人員存在弄虛作假的行為。在具體的計算機操作中�,確保計算機能夠同步進行自動記錄,避免刪除�����、修改以及非法使用行為的存在。要開發(fā)專門的監(jiān)控軟件對計算機系統(tǒng)實施監(jiān)控�����,對破壞計算機系統(tǒng)程序的行為進行識別與消除�。提高對系統(tǒng)數(shù)據(jù)通信所作的加密措施的工作力度�,不斷提高加密技術、防火墻技術以及濾波技術���,進而避免金融科技風險的出現(xiàn)���。
(三)基于計算機安全管理的金融科技風險防范保障途徑
計算機安全管理在防范金融科技風險的作用發(fā)揮�����,也需要相應的風險防范保障途徑�,如應提高監(jiān)管理理念�、轉變我國在金融科技風險控制方面的法律理念以及加強對計算機安全管理專業(yè)人員的培養(yǎng)等等。這是由金融科技風險產(chǎn)生受多因素制約的特點決定的[7]�。我國應從自身的實際情況出發(fā),建立起國家���、金融行業(yè)�����、金融機構以及金融行業(yè)從業(yè)人員等等多主體參與的防范金融科技風險的體系�����,進而促進計算機安全管理在金融行業(yè)應用水平的提高��。
綜上所述�����,計算機安全管理在防范金融科技風險方面作用的發(fā)揮��,需要多方面的緊密配合才能實現(xiàn)����。因而需要金融行業(yè)應在自身的發(fā)展過程中���,不斷的提高防范金融科技風險的水平,尤其加強計算機安全管理在金融科技風險中作用的發(fā)揮���,進而有效的確保金融機構應有的安全����。
參考文獻
[1]魏國慶.對農(nóng)村信用社計算機安全管理的思考[J].科技信息.2010(05):97.
[2]劉騏源,黃虹妮.淺談計算機技術在風險管理和金融監(jiān)管中的利用[J].現(xiàn)代商業(yè).2010(09):64.
[3]馬輝.計算機技術與金融風險的對策分析[J].科技風.2010(17):53.
[4]蘇向陽.金融信息管理與現(xiàn)代計算機技術關系研究[J].信息與電腦(理論版).2011(03):157-159.
[5]王永.計算機在金融監(jiān)管工作中的作用探析[J].軟件導刊.2011(02):143-144.
第5篇
關鍵詞:計算機安全管理 防范 金融科技風險 作用
中圖分類號:TP393 文獻標識碼:A 文章編號:1672-3791(2015)05(b)-0132-01
現(xiàn)階段��,科技在不斷發(fā)展進步中�,大部分銀行業(yè)都已建立了全國性的電子聯(lián)行系統(tǒng),在大城市中�,也完善了同城資金清算系統(tǒng)��,基本上完成了電子化管理�,計算機的推廣以及使用對金融行業(yè)的發(fā)展有一定的促進作用。
1 金融科技風險
首先�����,管理者安全意識較為淡薄�,管理控制制度較不完善��,管理不嚴���,一些縣級支行缺乏相關的專業(yè)人員,對計算機的應用也較為隨意,相關重要數(shù)據(jù)以及密碼都由一人掌控��,對數(shù)據(jù)的安全造成一定威脅�。
其次,黑客以及相關病毒的入侵破壞了計算機網(wǎng)絡系統(tǒng)����,造成較大的風險隱患。
第三����,電子設備運行的物理環(huán)境無法達到既定要求,造成較大的安全威脅�。
第四,電子化項目軟件在研發(fā)以及創(chuàng)新中��,造成了一定的安全漏洞���,致使系統(tǒng)崩潰�����。
2 對金融科技風險進行防范的具體措施
如金融計算機出現(xiàn)風險�,就會對正常的業(yè)務處理造成一定影響���,對數(shù)據(jù)信息資料造成一定破壞����,對客戶的利益以及金融機構的資金安全構成一定威脅,因此�����,對計算機加強安全管理�,能夠對金融科技風險有效防范。
2.1 對計算機軟件系統(tǒng)加強管理�����,提高金融科技管理安全系數(shù)
可靠的軟件系統(tǒng)是保障銀行以及客戶資金安全的基礎���。
(1)銀行在對軟件進行開發(fā)或者購進時,首先需要考慮的問題就是安全系數(shù)�。對于銀行自身來說,就需要積極開發(fā)軟件���,以使加密技術更加先進,保障數(shù)據(jù)的安全性�。因銀行計算機系統(tǒng)中���,安全防范的核心內容就是數(shù)據(jù)�,因此,應對數(shù)據(jù)庫的各級訪問權限進行嚴格設置���,實施等級管理制度�,定期對密碼進行修改��。
(2)對操作系統(tǒng)的級別也需進行一定防范措施����,選擇較為專業(yè)的人員進行管理,避免操作系統(tǒng)被一般用戶非法闖入��,泄露重要數(shù)據(jù)�����,特別需注意對應用終端進行系統(tǒng)的操作進行限制����。
(3)定期的計算機進行殺毒處理����,避免計算機因中毒導致系統(tǒng)崩潰��,并積極創(chuàng)新殺毒軟件以及技術手段�����,將病毒的檢測措施進行完善,使計算機軟件系統(tǒng)的運行安全得到一定保障���。
2.2 對計算機運行硬件進行有效管理
計算機是信息化社會高速發(fā)展的產(chǎn)物��,具有較高的精度����,對周圍的運行環(huán)境要求也較高���,因此��,相關管理人員應對硬件設備進行定期檢查��,及時更換或者維修損壞的零部件,避免發(fā)生較大的事故����。
(1)屏蔽硬件環(huán)境。具體屏蔽內容包括靜電���、磁屏以及電磁���。其中,需對電磁屏蔽特別注意,其來源包括電磁場�、靜電以及電源系統(tǒng)內部等多個途徑,產(chǎn)生的危害也較大��。解決措施就是將強電磁場源位置盡量避開或者鋪設防靜電的活動地板�。
(2)采取雙機備份措施��。一般在采取雙機備份時需要保證相同的主機型號���,相同的系統(tǒng)控制外設能力��。針對于通訊控制設備���,需要借助電子開關完成自動切換��,并保持接地以及供電環(huán)境的良好性��,使供電保證持續(xù)性。
2.3 對計算機網(wǎng)絡加強安全防范措施����,避免黑客侵入
(1)對網(wǎng)絡硬件設備加大保護力度,避免出現(xiàn)電磁輻射���。
一般情況下�,不法分子都能夠借助截取雙絞�����、電磁輻射等方式對數(shù)據(jù)信息進行盜取��,對網(wǎng)絡傳輸介質進行竊聽����,最為薄弱的環(huán)節(jié)就是光纜的轉換器以及接口位置處����,所以,針對傳輸以及存儲環(huán)節(jié)的數(shù)據(jù)需加大保密力度����。
(2)重點關注網(wǎng)絡黑客���。
在風險防范措施中,需要對網(wǎng)絡資源加大管理力度�,對用戶登錄以及存取權限進行控制,在密碼的設置上需要嚴格保密��,重要數(shù)據(jù)還需要進行加密處理��。此外��,還需要對網(wǎng)絡環(huán)境加大監(jiān)控力度�,做好審計�����、跟蹤以及監(jiān)控工作,避免黑客入侵��。
2.4 對內部安全管理機制應加大控制力度
(1)做好人事管理工作����,以接觸系統(tǒng)密級為依據(jù),對人員進行選擇��,避免出現(xiàn)非工作人員操作��;定期觀察考核技術人員�����,保證其在調動時做好工作交接�����,對密碼進行更改�。
(2)做好技術管理工作�,對于內部系統(tǒng)的軟件應加強管理措施,避免出現(xiàn)非法修改或者更換的現(xiàn)象,在對程序修改前�����,需將此情況報備給主管����,并對更改的程序進行嚴格測試后�,安全性能得到保障時���,才能投入使用�,與此同時����,還需將數(shù)據(jù)進行備份,避免因出現(xiàn)故障造成一定損失���。
3 結語
計算機的不斷發(fā)展進步,在銀行系統(tǒng)中已經(jīng)得到較為廣泛的應用�����,為了保障銀行系統(tǒng)的安全性,就應該對計算機管理以及安全技術方面加大防范力度�����,避免金融科技風險的發(fā)生���,使銀行業(yè)務系統(tǒng)的安全性得到一定保證�����,最終使金融業(yè)得到持續(xù)穩(wěn)定的發(fā)展�。
參考文獻
[1] 李剛.對金融機構計算機安全管理的思考[J].硅谷��,2009(9):41-41.
[2] 劉偉.計算機安全管理在防范金融科技風險的作用探討[J].科學與財富�����,2013 (4):157-157.
[3] 潘宇樂.淺談金融機構計算機安全管理存在的問題及對策[J].計算機光盤軟件與應用��,2010(11):75-75.
第6篇
【 關鍵詞 】 金融機構����;信息科技����;風險管理
1 引言
隨著信息科技水平的不斷提高�����,信息科技在給小微金融機構中帶來作用的同時也不斷增加了信息科技風險,給小微金融機構的經(jīng)營發(fā)展帶來了挑戰(zhàn)����。當前,小微金融機構對信息科技風險管理的水平還比較低��,如何有效控制與管理信息科技風險�����,是當前小微金融機構在信息化建設過程中必須面對的重要課題���。
2 小微金融機構信息科技所面臨的風險
小微金融機構信息科技風險指的小微金融機構在運用信息科技的過程中,因技術漏洞�����、管理缺陷等人為的或自然的原因而造成的問題或危機���。在當前信息技術與銀行業(yè)務深度融合的情況下���,信息科技風險事件涉及的范圍廣、程度深�,給銀行等其他金融機構帶來較大的經(jīng)濟損失,尤其在小微金融機構中���,信息科技風險帶來的損失更為嚴重����。
3 小微金融機構信息科技風險管理中存在的問題
3.1 信息科技風險管理的技術水平較低
從現(xiàn)狀來看�����,我國小微金融機構信息科技風險管理的技術水平較低主要體現(xiàn)在如下方面,首先����,以銀行為代表的大部分小微金融機構缺乏專業(yè)化的信息資產(chǎn)風險管理機構�����,缺乏系統(tǒng)的信息系統(tǒng)管理政策、技術標準及監(jiān)督�����、績效評估工作�,領導者與風險管理部門無法實現(xiàn)對風險管理的有效監(jiān)督�����。另一方面�����,小微金融機構對信息科技安風險管理的工作仍停留在定性的層面���,缺乏對信息技術風險管理專業(yè)的定量分析。與此同時���,金融機構信息科技風險管理的IT風險管理手段僅停留在制度檢查層面����,缺乏技術支持,對風險管理的預防措施有限��,對風險管理的技術控制難度大,其信息系統(tǒng)的自我控制的能力較差��。
3.2 基礎設施安全建設存在隱患
從我國小微金融機構基礎設施安全建設情況來看�����,存在較大的隱患���。
一方面�����,機房管理滯后�����,在我國小微金融機構的機房中��,存在著防水火及供電不達標的問題����,且缺乏相應的防雷系統(tǒng)��、門禁系統(tǒng)等��,機房安全管理嚴重滯后��;另一方面�����,網(wǎng)絡運行安全性不高��,由于金融機構的分支機構及營業(yè)網(wǎng)點及業(yè)務都處于數(shù)據(jù)集中的狀態(tài)中�����,這樣就給金融機構網(wǎng)絡的穩(wěn)定性及通暢性提出了更高要求����,而在小微金融機構中�,存在未按監(jiān)管要求配置主備通訊線路的現(xiàn)象��,容易導致營業(yè)網(wǎng)點出現(xiàn)業(yè)務辦理受阻的現(xiàn)象�,致使信息科技風險隱患增加����。
4 應急處置能力低
信息系統(tǒng)的集中及數(shù)據(jù)爆炸式的增長使金融機構的應急處置面臨巨大的挑戰(zhàn),尤其對于小微金融機構來說�����,其應急保障機制更為落后�����。在我國小微金融機構中�,一般都設有信息系統(tǒng)的應急預案���,但對于預案卻缺乏相應的應急演練�����,在系統(tǒng)發(fā)生緊急事故時��,無法對問題實施預案應急措施�。其次,部分小微金融機構的系統(tǒng)應急預案覆蓋面籠統(tǒng)���,缺乏針對性和操作性�����,缺乏有效的技術支持。另外���,風險管理的人員的應急處理能力較低�����,對重大信息科技風險的應急執(zhí)行缺乏有效性���,導致風險損失增加。
5 加強小微金融機構信息科技風險管理對策
5.1 提升信息科技風險管控能力
小微金融機構要提高信息科技風險管理的水平��,首先應該提高其信息科技風險管控的能力�����,因此,小微金融機構有必要建立三個機制����。
第一���,信息科技風險管理保障機制。金融機構領導者應該提高風險管理意識���,將信息科技風險管理工作納入議事日程�,并建立健全的信息科技風險管理機構的和崗位責任制度�,充分發(fā)揮出安全檢查、風險監(jiān)控����、審計監(jiān)督的作用;加強對信息科技風險管控人員的培訓與管理���,并加大違規(guī)行為的處罰力度,提高其風險管理的能力�����。
第二,信息科技風險評估和預警機制�����。小微金融機構應該在充分分析信息科技風險對金融機構影響的基礎上��,有針對性的落實風險評估制度和建立信息科技風險監(jiān)測制度���,將風險分類并制定相應的風險報告機制,使信息科技部門與業(yè)務部門緊密聯(lián)合起來���,加強溝通協(xié)調��,提高對信息科技風險的評估與預防能力��。
第三�、信息科技風險應急處理機制����。小微金融機構要加強對信息備份、災難恢復及業(yè)務連續(xù)的管理����,對應急預案要加以培訓和演練��,將應急和災備工作從技術管理層面提升到全行工作層面,以提高應對信息系統(tǒng)安全事件的團隊應急能力�����。
5.2 加強基礎設施安全建設
加強金融機構基礎設施安全建設��,有利于提高基礎設施安全水平���,進而有利于降低信息科技風險��。小微金融機構應加強基礎設施安全建設投入�����,重點加強機房消防系統(tǒng)��、防雷系統(tǒng)��、UPS等的技術投入,完善機房基礎設施并完善機房管理制度��,保證系統(tǒng)設備的正常運行�,加強對系統(tǒng)設備故障的預測與報警����。并設立專門的技術設施檢查維修小組,負責基礎設施的安全維護工作�����,確?����;A設施安全管理的有效性��。
5.3 強化金融交易監(jiān)管
隨著金融環(huán)境與金融交易方式的變化�����,信息化的金融交易也帶來了一定的信息科技風險��,小微金融機構應該采取措施強化金融交易監(jiān)管�����。
一方面�,要加快網(wǎng)絡金融安全立法進程�����,制定金融安全政策和標準��,成立對應的網(wǎng)絡金融安全管理部門,指導網(wǎng)絡金融的發(fā)展�����,并嚴厲打擊網(wǎng)絡金融犯罪����;另一方面,要建立跨部門的現(xiàn)代化信息安全管理網(wǎng)絡��,實現(xiàn)對金融機構業(yè)務信息安全風險的及時、動態(tài)�����、全面���、連續(xù)的監(jiān)管�����。還應該借鑒國外的網(wǎng)絡安全管理模式���,建立適合于我國小微金融機構信息化建設的網(wǎng)絡框架��,以實時的監(jiān)管小微金融機構業(yè)務����,保證交易的安全性。
5.4 加強對從業(yè)人員的素質建設和崗位管理
相對于大型及核心金融機構���,小微金融機構從業(yè)人員的專業(yè)素質及崗位配置明顯落后,小微金融機構應該加大對農(nóng)村金融機構人員的投入����,積極引進高素質的信息科技人員,并對原有的從業(yè)人員進行定期的培訓工作����,提高其信息科技風險防范意識與風險管理能力。同時�����,金融機構還應增加對信息系統(tǒng)管理、運行��、維護等崗位人員的配置�,以完善職責分配,落實崗位制衡�����。最后,完善相應的信息科技風險管理制度�����,加強信息科技風險審計�����,完善激勵約束機制���,激發(fā)從業(yè)人員的主觀能動性�,從整體上提升小微金融機構信息科技風險管理的水平���。
6 結束語
在信息科技風險管理的工作中,小微金融機構要從安全制度建設及技術手段上加強對風險的防范與管理�����,在全面��、可行的安全防護措施中����,將信息科技風險降低到最低的程度,進而才能保證小微金融機構得到穩(wěn)定的發(fā)展��。
參考文獻
[1] 陳文雄.發(fā)展銀行業(yè)信息科技 風險管理意識須先行[J].中國金融�����,2009(07).
[2] 唐磊.商業(yè)銀行信息科技風險現(xiàn)狀與管理策略分析[J].中國金融電腦��,2009(02).
第7篇
【關鍵詞】 科技管理 基層央行 應對措施
近年來����,隨著區(qū)域經(jīng)濟社會的快速發(fā)展,一方面在信息化條件下社會各界�、企業(yè)和居民個人對金融科技的服務需求進一步增多,服務要求越來越高�����;另一方面金融機構的增多、金融科技外部環(huán)境的復雜多元給基層央行的科技管理帶來眾多的新問題和新挑戰(zhàn)���。本文在分析基層央行科技管理面臨現(xiàn)狀的基礎上�����,對存在的問題進行分析�����,并提出應對思路和措施�����。
一��、基層央行科技管理工作的現(xiàn)狀及面臨的問題
隨著現(xiàn)代信息技術在區(qū)域金融業(yè)的廣泛應用�����,基層央行科技管理的地位和作用越來越突出����,出現(xiàn)了許多新情況、新問題���。
1�����、銀行業(yè)的快速發(fā)展����,對基層央行“科技保障業(yè)務”能力和保障水平的要求越來越高。近年來��,隨著區(qū)域經(jīng)濟的快速發(fā)展��,銀行業(yè)金融機構發(fā)展較快�,基層央行的金融科技保障工作量越來越大����。以浙江省義烏市為例,2012年底止,義烏市有銀行業(yè)機構23家�,機構數(shù)比2009年增加17家,增速35.3%��。2012年底止�����,義烏市金融機構本外幣存貸款分別為1985.51億元人民幣和1514.31億元人民幣�����,分別比2009年增加58.37%和74.62%���。同時信息技術創(chuàng)新的發(fā)展進程快,對基層央行金融科技的工作要求越來越高�����。從發(fā)展軌跡看����,我國銀行業(yè)信息化發(fā)展先后歷經(jīng)了3個階段,第一階段是從上世紀60年代初至上世紀90年代中期�����,一般稱為業(yè)務電算化階段����,第二階段是上世紀90年代末至“十一五”規(guī)劃中期的數(shù)據(jù)大集中階段,第三階段是“十一五”規(guī)劃后期發(fā)展到至今的整合優(yōu)化階段��,目前仍處于整合優(yōu)化過程�。信息化過程中,業(yè)務電算化階段經(jīng)歷了30多年時間�����,數(shù)據(jù)大集中階段大約經(jīng)過了10年左右時間��,發(fā)展階段的時間間隔呈現(xiàn)越來越短的態(tài)勢�,科技信息系統(tǒng)建設從“以業(yè)務為中心”過渡到“以系統(tǒng)為中心”,發(fā)展到“以客戶為中心”����,使基層央行金融科技的保障、管理遇到了前所未有的挑戰(zhàn)���。
2����、現(xiàn)代社會生存模式的發(fā)展和轉變,使得基層央行科技管理的服務職能履職要求越來越高。現(xiàn)代社會生存模式��,正由現(xiàn)實空間向網(wǎng)絡空間擴展��,虛擬化�、網(wǎng)絡化的生存模式,對金融服務需求異常強烈��,金融科技保障達到前所未有的高度��,科技管理對網(wǎng)絡和系統(tǒng)安全的重視程度不斷提高�。作為區(qū)域金融公共產(chǎn)品的提供者和金融生態(tài)環(huán)境的重要維護者,基層央行為保障金融業(yè)的安全運行所提供安全���、高效的科技信息化服務責任越發(fā)重大�,降低社會經(jīng)濟活動的交易成本�����,促進區(qū)域經(jīng)濟金融和社會發(fā)展的作用越發(fā)顯現(xiàn)����。目前,我國已進入了更加注重統(tǒng)籌兼顧���、協(xié)調發(fā)展的新階段�����,社會發(fā)展將更加注重保障和改善民生��,更加重視弱勢群體的金融可獲得性和基礎金融服務的均等化����、普惠性��。如何適應新形勢的發(fā)展�����,盡快滿足人民群眾在支付�����、結算��、轉賬�、匯兌等方面的金融保障需求,已經(jīng)成為基礎央行科技管理工作的現(xiàn)實課題�����。
3��、新時期的金融科技發(fā)展規(guī)劃遠景����,對基層央行科技管理工作提出眾多新的挑戰(zhàn)����。根據(jù)“十二五”時期金融信息化的工作安排,人民銀行將建設更加安全����、高效��、便捷的第二代支付系統(tǒng)���,統(tǒng)籌考慮支付服務現(xiàn)實需求和未來發(fā)展����。第二代支付系統(tǒng)將構建以大額支付系統(tǒng)為主渠道���,小額支付系統(tǒng)��、網(wǎng)銀互聯(lián)系統(tǒng)���、支票影像交換系統(tǒng)為輔助渠道的支付體系,支持銀行通過單一法人賬戶集中辦理跨行資金結算等集約化經(jīng)營的需要���。目前�����,基層央行科技部門人員配備相對不足,人員素質離業(yè)務發(fā)展的要求還有一定的差距�,科技管理的水平也還需提高和改善。因此����,基層央行科技管理工作除了要適應金融信息化發(fā)展新趨勢外��,還要做好央行自身各個業(yè)務系統(tǒng)的科技保障工作����,任務十分艱巨�����。
4�����、科技管理方面存在許多安全隱患。從外部環(huán)境看�����,許多金融機構科技基礎工作較為薄弱,信息安全技術保障措施不夠健全�����,更增加了基層央行科技管理工作的難度���。這幾年,隨著新設立金融機構的不斷增多����,再加上金融業(yè)務快速發(fā)展所帶來的科技保障業(yè)務運行的壓力���,使得信息安全和金融運行的矛盾越來越突出����,科技管理方面存在許多安全隱患。
(1)信息安全與機構設置�����、業(yè)務發(fā)展不匹配,不相適應���。部分銀行機構存在“重業(yè)務發(fā)展�����,輕信息安全”思想。許多機構專職的科技人員配備嚴重不足����,有的機構雖然配備了科技人員,但一人多崗�����,忽視了科技工作專業(yè)性���,人力資源配備難以保障信息安全的需要。
(2)技術設施不盡完善�����。一是有的銀行機構機房設計有待完善����。如有個別機構將主機房與廚房相連�,存在一定的安全隱患����。二是有的銀行機構供配電系統(tǒng)形同虛設。有的銀行未按規(guī)定配置發(fā)電機或者是租用了發(fā)電機�,但無法實現(xiàn)接入機房����,使供配電保障系統(tǒng)難以保證業(yè)務穩(wěn)健運行的信息安全要求,一旦發(fā)生意外�����,極易釀發(fā)金融風險���。三是許多新設立的銀行機構災備系統(tǒng)不盡完善����。有的銀行機構未建立同城災備中心���,有的銀行機構異地災備中心設計在合理性�、規(guī)范性上缺陷較多,給信息安全埋下眾多隱患�����。
(3)制度執(zhí)行不夠到位��。一是制度建立設未能跟上發(fā)展的步伐����,出現(xiàn)許多真空和盲點。有的銀行機構未建立監(jiān)測類科技管理內控制度����。有的銀行機構未能根據(jù)近幾年信息安全出現(xiàn)的新情況和業(yè)務“扁平化”發(fā)展的現(xiàn)狀及時地對本單位的信息安全制度進行修訂�����。二是銀行機構業(yè)務運行內網(wǎng)和外聯(lián)網(wǎng)絡管理比較寬松���,漏洞多����、隱患多���。如有的銀行外聯(lián)單位線路未采取任何防護措施就直接接入內部核心網(wǎng)絡,如遇網(wǎng)絡黑客攻擊���,極易造成網(wǎng)絡運行出現(xiàn)故障,嚴重的會造成系統(tǒng)運行癱瘓。三是有的銀行機構移動存儲介質方面制度要求不嚴��,管理寬松����,容易誘發(fā)病毒感染,造成信息安全隱患���,給信息安全和網(wǎng)絡安全運行帶來一定影響�。
二、加強基層央行科技管理的思路和應對措施
1�、統(tǒng)籌協(xié)調,增強科技管理的綜合力���。一是加強調研��,根據(jù)金融科技發(fā)展現(xiàn)狀��,制定完善區(qū)域金融科技信息化發(fā)展規(guī)劃,明確基層央行金融科技的工作目標�、工作重點和工作任務,并將其納入到業(yè)務發(fā)展中同部署��、同落實��。二是在人民銀行的主導下��,發(fā)揮銀行業(yè)金融機構信息安全聯(lián)席會議的作用�,及時溝通交流區(qū)域銀行業(yè)金融機構信息化發(fā)展情況,探討金融科技發(fā)展中遇到的新情況�����、新問題,及時研究解決方法���,促進金融信息化健康發(fā)展。三是適應金融信息化發(fā)展新要求�����,及時更新基層央行科技人員工作理念����,適當增加科技人員配備�,同時對現(xiàn)有科技人員采取外出學習、專題培訓�、課題攻關、自主自學等方式和途徑�����,切實提高科技人員的政治思想素質和業(yè)務工作水平����。
2、扎實工作���,增強業(yè)務系統(tǒng)的建設力�。基層央行自身業(yè)務系統(tǒng)的有效維護和保障�,是做好科技管理,為金融機構提供信息化網(wǎng)絡有效運行的工作基礎�,因此��,加強基層央行科技管理��,加快自身各種系統(tǒng)應用工作的建設�����,保證高效����、穩(wěn)定運行就顯得尤為必要。一是要做好應用系統(tǒng)的建設�����、維護工作�。根據(jù)安排,基層央行科技管理方面要開展業(yè)務網(wǎng)電子公文傳輸系統(tǒng)及電子檔案系統(tǒng)�、金融業(yè)信息交換系統(tǒng)�����、ACS系統(tǒng)建設的相關工作����,同時要做好已經(jīng)接入運行的國庫信息處理系統(tǒng)(TIPS)等系統(tǒng)的優(yōu)化�����、完善工作���。二是完善基層央行機房及網(wǎng)絡等基礎設施的建設工作。要認真實施轄區(qū)內人民銀行縣級支行電視電話會議系統(tǒng)建設工程����,根據(jù)上級的統(tǒng)一部署,積極開展機房建設���,在規(guī)范縣級支行信息安全等級保護工作的基礎上,做好科技常態(tài)化管理和科技工作的完善提高����。三是建立和實施計算機客戶端信息安全檢查制度。要指導各業(yè)務科室和人員,每月對計算機進行全盤病毒掃描和安全配置檢查����,消除安全隱患,為系統(tǒng)安全運行提供保障��。
3��、積極有為���,增強科技管理的創(chuàng)新力��。實踐證明���,創(chuàng)新是科技管理科學化、現(xiàn)代化的不竭動力�����?���;鶎友胄锌萍脊芾硪獜囊韵路矫骈_展創(chuàng)新工作:一是激發(fā)科技人員的創(chuàng)新意識��,開展“勤思考、勇創(chuàng)新”活動��,對科技管理提出“新點子”�����,提升科技管理工作的潛能和效率�。二是創(chuàng)新服務方式。要針對縣支行科技人員多為兼職��、科技管理水平參差不齊的狀況�����,編寫縣支行科技管理工作手冊����,指導縣支行提高信息化系統(tǒng)運行維護技能���,規(guī)范金融科技管理�����。三是創(chuàng)新信息安全防范工具�����。根據(jù)計算機病毒多發(fā)�����、易發(fā)的情況����,開發(fā)病毒防護輔助工具���,指導和提醒用戶定期掃描計算機���,防止病毒擴散,有效地提升計算機病毒防護工作水平���。
4���、綜合治理,增強行業(yè)管理的執(zhí)行力����。一是建立“金融機構信息安全評價辦法”���,從人員組織、網(wǎng)絡���、機房、系統(tǒng)建設����、災難恢復、安全管理等方面對銀行業(yè)金融機構加強科技管理��,開展信息安全現(xiàn)場與非現(xiàn)場評價�,促進銀行業(yè)金融機構增強信息安全管理意識�����、提高信息安全內部管理水平����。二是進一步做好外聯(lián)機構的網(wǎng)絡接入管理。根據(jù)人民銀行總行“統(tǒng)籌規(guī)劃�����、集中組織、電信匯聚�����、一口接入”的方式����,進一步規(guī)范村鎮(zhèn)銀行、小額貸款公司等小�����、微型金融機構的接入服務�。三是指導銀行業(yè)金融機構開展等級保護工作���。根據(jù)人民銀行《關于銀行業(yè)金融機構信息系統(tǒng)安全等級保護定級的指導意見》等文件要求��,指導銀行業(yè)金融機構進一步落實系統(tǒng)安全等級定級和備案工作����,同時將等保工作納入安全評價范圍�����,督促其做好三級及以上系統(tǒng)的測評和整改工作,確保系統(tǒng)達到相應等級的技術要求��,提高系統(tǒng)安全性��。四是深入推進銀行卡與電子支付管理工作���。繼續(xù)推動金融IC卡遷移�,指導地方性法人金融機構����,及時總結有關商業(yè)銀行的亮點經(jīng)驗和做法,加快金融IC卡系統(tǒng)的改造步伐�����。以行業(yè)合作模式促進金融IC卡多應用����,加強與地方政府相關部門的溝通�,指導商業(yè)銀行積極開展金融IC卡在公共服務領域應用����,擴大金融社?�?ǖ陌l(fā)卡地區(qū)和發(fā)行量��,建立并完善社會保障卡加載金融功能的工作協(xié)調機制����。嚴把準入關�����,加強銀行卡發(fā)卡和電子支付技術審核��。
【參考文獻】
[1] 孫耀君:西方管理學名著提要[M].江西人民出版社���,1995.
