閆　力

隨著金融業(yè)信息科技化程度日趨提高，信息科技風(fēng)險(xiǎn)對(duì)于商業(yè)銀行，無疑是金融企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)的組成部分。而銀行業(yè)信息安全管理對(duì)于人民銀行來說，同樣也是提高人民銀行履職水平、保障轄區(qū)金融服務(wù)正常運(yùn)轉(zhuǎn)的重要內(nèi)容。因此，各家商業(yè)銀行以及相關(guān)金融管理部門，共同商討商業(yè)銀行的信息科技風(fēng)險(xiǎn)問題，對(duì)促進(jìn)信息科技風(fēng)險(xiǎn)意識(shí)的提高，維護(hù)銀行業(yè)信息系統(tǒng)的安全運(yùn)行，提高金融服務(wù)效率和水平，有著重要的意義。

為應(yīng)對(duì)當(dāng)前金融信息化發(fā)展的復(fù)雜態(tài)勢(shì)，國(guó)務(wù)院在2008年8月新批復(fù)的“三定”(即2008年6月25日，國(guó)務(wù)院常務(wù)會(huì)議上審議通過的《主要職責(zé)、內(nèi)設(shè)機(jī)構(gòu)和人員編制規(guī)定》)方案中規(guī)定了人民銀行負(fù)責(zé)指導(dǎo)、協(xié)調(diào)金融業(yè)的信息安全和信息化工作，國(guó)務(wù)院信息辦也明確規(guī)定人民銀行負(fù)有對(duì)金融業(yè)信息安全指導(dǎo)、協(xié)調(diào)的責(zé)任，對(duì)人民銀行沈陽分行來說，組織遼寧省內(nèi)金融業(yè)加強(qiáng)對(duì)信息安全的管理，防范和化解信息科技風(fēng)險(xiǎn)，既是人民銀行科技部門的工作職責(zé)，更是顧全區(qū)域金融發(fā)展大局、維護(hù)金融穩(wěn)定的需要。

遼寧省銀行業(yè)信息科技安全體系的現(xiàn)狀

當(dāng)前的金融信息安全形勢(shì)可以說是越來越緊迫。各家商業(yè)銀行都很重視信息化建設(shè)，幾大國(guó)有商業(yè)銀行和發(fā)展較快的股份制商業(yè)銀行逐漸探索出了具有各自特色的IT架構(gòu)以及管理模式，業(yè)務(wù)流程信息化的規(guī)范相當(dāng)完備，核心業(yè)務(wù)系統(tǒng)不斷進(jìn)行升級(jí)改造，系統(tǒng)開發(fā)、運(yùn)行與信息安全防護(hù)體系的構(gòu)建逐漸向?qū)I(yè)化、國(guó)際化方向發(fā)展。新成立的中小銀行也加強(qiáng)交流學(xué)習(xí)、相互借鑒，迅速實(shí)現(xiàn)了對(duì)各項(xiàng)業(yè)務(wù)工作的信息化處理，并逐步完成自身網(wǎng)絡(luò)體系建設(shè)以及數(shù)據(jù)的集中存儲(chǔ)與管理，科技管理與風(fēng)險(xiǎn)控制體系逐步建立起來，為建立以客戶為中心的流程化業(yè)務(wù)系統(tǒng)提供了有力支持，并取得了顯著的效益。但我們必須看到，信息化高速發(fā)展也是一柄“雙刃劍”，在提高效率、節(jié)約成本的同時(shí)，對(duì)電子設(shè)備、網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的高度依賴性也帶來了潛在的巨大風(fēng)險(xiǎn)。當(dāng)前商業(yè)銀行的信息科技風(fēng)險(xiǎn)仍然十分突出，不僅體現(xiàn)在銀行信息系統(tǒng)故障時(shí)有發(fā)生、各類信息領(lǐng)域犯罪花樣翻新等方面，2008年的汶川大地震，以及奧運(yùn)會(huì)前敵對(duì)勢(shì)力大規(guī)模的網(wǎng)絡(luò)攻擊，也暴露了很多銀行在網(wǎng)絡(luò)安全和應(yīng)急機(jī)制方面的不足。因此，從實(shí)際發(fā)生的情況看，我們應(yīng)當(dāng)清醒地認(rèn)識(shí)到，對(duì)于激烈競(jìng)爭(zhēng)中的商業(yè)銀行而言，信息科技風(fēng)險(xiǎn)的潛在危害有可能甚于業(yè)務(wù)管理控制風(fēng)險(xiǎn)，系統(tǒng)內(nèi)的業(yè)務(wù)風(fēng)險(xiǎn)有認(rèn)真履行職責(zé)的監(jiān)管部門進(jìn)行科學(xué)、規(guī)范地細(xì)致審查，即使出現(xiàn)問題或隱患，很多在金融業(yè)內(nèi)部即可督促解決，但多年來缺乏外部監(jiān)管的系統(tǒng)內(nèi)信息科技風(fēng)險(xiǎn)，一旦出現(xiàn)安全漏洞或突發(fā)事件，常常會(huì)直接產(chǎn)生較大的負(fù)面社會(huì)影響?！扒Ю镏獭⒂谙佈ā?，如果不對(duì)信息科技風(fēng)險(xiǎn)問題高度重視，商業(yè)銀行經(jīng)營(yíng)幾十年、上百年積累的聲譽(yù)有可能瞬間就受到損害，這顯然不是經(jīng)濟(jì)損失所能彌補(bǔ)的。

當(dāng)前遼寧省銀行業(yè)信息科技安全管理存在的問題

總的來看，遼寧省銀行業(yè)的信息安全管理方面，目前還存在不少薄弱環(huán)節(jié)，主要體現(xiàn)在以下五個(gè)方面。

一是缺乏有效的、適應(yīng)形勢(shì)需要的銀行業(yè)信息系統(tǒng)應(yīng)急協(xié)作機(jī)制，應(yīng)對(duì)重大突發(fā)事件的能力還不夠強(qiáng)。二是地方性金融機(jī)構(gòu)的科技風(fēng)險(xiǎn)管理體系亟待完善，未進(jìn)行科學(xué)規(guī)劃的信息化建設(shè)不僅影響成本控制，而且影響信息安全管理方面的投入，尤其災(zāi)備建設(shè)進(jìn)展較慢。三是商業(yè)銀行的業(yè)務(wù)監(jiān)控管理系統(tǒng)建設(shè)沒有跟上核心業(yè)務(wù)系統(tǒng)發(fā)展的步伐。四是銀行信息安全風(fēng)險(xiǎn)評(píng)估體系與內(nèi)部科技審計(jì)制度有待進(jìn)一步完善。五是新興業(yè)務(wù)的安全防范措施尚不完備，在防范高科技犯罪方面缺乏有效的溝通、監(jiān)管與檢查措施。這些問題的根源，還是在于各家銀行對(duì)信息科技風(fēng)險(xiǎn)問題的重視程度不夠，在投入上普遍存在“重產(chǎn)品創(chuàng)新與系統(tǒng)研發(fā)、輕運(yùn)維管理與安全防范”的現(xiàn)象，可喜的是，有些國(guó)際化步伐較快的股份制銀行已經(jīng)注意在這方面，加大了投入力度，建設(shè)了先進(jìn)的IT管理體系和高標(biāo)準(zhǔn)的災(zāi)備中心。

要積極應(yīng)對(duì)形勢(shì)帶來的挑戰(zhàn)，有效解決這五個(gè)方面的問題，需要我們各方的共同努力。包括人民銀行、銀監(jiān)局、政府金融辦、各家商業(yè)銀行、銀聯(lián)分公司這些金融相關(guān)部門，方¨大協(xié)調(diào)工作力度，努力爭(zhēng)取公安部門等政府有關(guān)部門以及電力、電信等單位的大力支持，群策群力，共同保障金融平穩(wěn)運(yùn)行、健康發(fā)展。

人民銀行沈陽分行在信息安全管理方面的經(jīng)驗(yàn)總結(jié)

近年來，人民銀行沈陽分行在信息安全管理方面始終積極探索，有了顯著進(jìn)步，也取得了一些寶貴經(jīng)驗(yàn)。

注重信息化建設(shè)的規(guī)劃性。信息化發(fā)展需要有規(guī)劃進(jìn)行指導(dǎo)，這是落實(shí)科學(xué)發(fā)展觀的要求，不僅能夠節(jié)約建設(shè)成本，而且可以避免信息化發(fā)展的盲目性和顧此失彼的片面性，消除了項(xiàng)目或階段性建設(shè)帶來的風(fēng)險(xiǎn)隱患。

認(rèn)真執(zhí)行全面、客觀的信息安全風(fēng)險(xiǎn)評(píng)估制度。沈陽分行開展信息安全風(fēng)險(xiǎn)評(píng)估從啟動(dòng)前的組織機(jī)構(gòu)準(zhǔn)備、方案制定到評(píng)估執(zhí)行與評(píng)估后的整改，都形成了一整套的規(guī)范，目前來看效果還是比較顯著的。

堅(jiān)持信息安全管理的技術(shù)與制度、檢查“三管齊下”。技術(shù)防范手段總會(huì)有漏洞，嚴(yán)密、可操作性強(qiáng)的安全制度要跟上項(xiàng)目建設(shè)的步伐，同時(shí)嚴(yán)格落實(shí)責(zé)任，對(duì)安全制度必須一絲不茍地執(zhí)行。加強(qiáng)安全檢查、尤其是現(xiàn)場(chǎng)檢查的工作力度，強(qiáng)化安全意識(shí)教育、加強(qiáng)對(duì)相關(guān)人員的管理都是必修課。以信息安全保密為例，人民銀行沈陽分行為做好新時(shí)期的信息保密工作，先是進(jìn)行細(xì)致到每臺(tái)設(shè)備、每個(gè)人的應(yīng)用調(diào)查，然后研究制定了新的信息安全保密制度，積極開展全員保密宣傳教育，嚴(yán)格責(zé)任追究制度，并將所有電腦、移動(dòng)存儲(chǔ)介質(zhì)均按保密制度重新嚴(yán)格分類、登記在冊(cè)，同時(shí)全面安裝移動(dòng)存儲(chǔ)介質(zhì)監(jiān)控系統(tǒng)，用技術(shù)手段杜絕移動(dòng)存儲(chǔ)介質(zhì)在內(nèi)外網(wǎng)的交叉使用。實(shí)踐證明，預(yù)防科技風(fēng)險(xiǎn)，只要“一把手”高度重視，技術(shù)、制度、人員、檢查幾方面的工作…起抓，才能抓出顯著成效。

加強(qiáng)跨部門，跨行業(yè)的溝通交流。為適應(yīng)人民銀行新“三定”方案的要求，人民銀行沈陽分行根據(jù)遼寧省內(nèi)實(shí)際，加強(qiáng)了科技調(diào)研工作，以奧運(yùn)信息安全保障工作為契機(jī)，積累了一些跨部門合作的寶貴經(jīng)驗(yàn)。既重視風(fēng)險(xiǎn)防范，同樣重視應(yīng)急措施。全面的、適應(yīng)形勢(shì)需要的各類應(yīng)急預(yù)案是應(yīng)急體系的基礎(chǔ)，在此基礎(chǔ)上，沈陽分行努力從多方位、多層次完善應(yīng)急預(yù)案，同時(shí)注重應(yīng)急演練的組織與管理。

為應(yīng)對(duì)復(fù)雜多變的金融信息安全形勢(shì)，人民銀行沈陽分行在保障好人民銀行系統(tǒng)內(nèi)的信息安全基礎(chǔ)上，需要在三個(gè)方面繼續(xù)加大工作力度：一是要積極爭(zhēng)取相關(guān)部門的支持，做好銀行業(yè)信息安全工作的組織與協(xié)調(diào)。包括召開聯(lián)席會(huì)議，組織技術(shù)交流研討或風(fēng)險(xiǎn)分析，拓寬溝通渠道，促成銀行業(yè)內(nèi)信息科技風(fēng)險(xiǎn)控制方面的共識(shí)，完善行業(yè)的風(fēng)險(xiǎn)防范與應(yīng)急協(xié)作機(jī)制。二是要更好地對(duì)地方性金融機(jī)構(gòu)的

信息安全工作進(jìn)行指導(dǎo)。在2008年2月，人民銀行總行已經(jīng)發(fā)布了《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》行業(yè)標(biāo)準(zhǔn)，對(duì)銀行業(yè)系統(tǒng)災(zāi)難恢復(fù)策略以及災(zāi)備中心建設(shè)從宏觀上給予了指導(dǎo)，沈陽分行還要結(jié)合本地實(shí)際，在具體項(xiàng)目建設(shè)方面提出有價(jià)值的建議、意見。三是加強(qiáng)銀行業(yè)信息安全管理的監(jiān)督與檢查。檢查工作應(yīng)在深入調(diào)研的基礎(chǔ)上，切合實(shí)際，有針對(duì)性，而且要對(duì)檢查后的整改進(jìn)行有效監(jiān)督。

商業(yè)銀行強(qiáng)化信息管理的對(duì)策

對(duì)于商業(yè)銀行，各商業(yè)銀行的管理者要在思想上進(jìn)一步提高信息安全風(fēng)險(xiǎn)意識(shí)，審時(shí)度勢(shì)，增強(qiáng)緊迫感，加大在信息科技風(fēng)險(xiǎn)控制方面的投入，并在以六個(gè)方面強(qiáng)化信息管理。

一是各家銀行應(yīng)在信息科技風(fēng)險(xiǎn)控制方面樹立科學(xué)的發(fā)展觀。要在實(shí)際工作中平衡項(xiàng)目建設(shè)和安全建設(shè)投入的關(guān)系，在項(xiàng)目建設(shè)或新產(chǎn)品設(shè)計(jì)中考慮科技風(fēng)險(xiǎn)因素，重視銀行科技管理的體系化、標(biāo)準(zhǔn)化和可審計(jì)性問題。二是加強(qiáng)應(yīng)急能力建設(shè)。尤其是地方性金融機(jī)構(gòu)，在業(yè)務(wù)產(chǎn)品多樣化、跨地區(qū)拓展的同時(shí)，應(yīng)高度重視應(yīng)急能力建設(shè)，重點(diǎn)包括災(zāi)備設(shè)施建設(shè)和應(yīng)急演練的常規(guī)化，建立反應(yīng)靈活的指揮決策機(jī)制和有效運(yùn)作的協(xié)同工作機(jī)制。三是定期開展全面的信息安全風(fēng)險(xiǎn)評(píng)估。與內(nèi)部信息科技審計(jì)相結(jié)合，堵塞漏洞，降低系統(tǒng)的脆弱性。四是強(qiáng)化網(wǎng)絡(luò)安全。尤其是加強(qiáng)互聯(lián)網(wǎng)應(yīng)用安全，重點(diǎn)放在網(wǎng)上銀行服務(wù)網(wǎng)站和客戶端上，引入安全性和標(biāo)準(zhǔn)符合性測(cè)試機(jī)制，完善網(wǎng)絡(luò)監(jiān)控措施，進(jìn)一步增強(qiáng)客戶端的安全防護(hù)，有效保護(hù)客戶資金安全。五是建設(shè)更加適應(yīng)業(yè)務(wù)系統(tǒng)發(fā)展、應(yīng)用到各級(jí)分支機(jī)構(gòu)的業(yè)務(wù)監(jiān)控管理系統(tǒng)。六是確保支付環(huán)境安全，遏制高科技犯罪。加強(qiáng)對(duì)自助設(shè)備、對(duì)相關(guān)人員的管理，進(jìn)一步規(guī)范外包服務(wù)行為，及時(shí)匯報(bào)、溝通利技風(fēng)險(xiǎn)事件與案件，有力遏制高科技犯罪。

商業(yè)銀行是以提供金融服務(wù)為宗旨的，以客戶和市場(chǎng)需求為中心、用業(yè)務(wù)創(chuàng)新提高競(jìng)爭(zhēng)力是一個(gè)現(xiàn)代金融企業(yè)的指導(dǎo)原則，這個(gè)宗旨和原則，在這個(gè)信息技術(shù)飛速發(fā)展的時(shí)代，無疑要依靠信息科技手段去實(shí)現(xiàn)，如何在實(shí)現(xiàn)過程中兼顧效率與安全，建立起完備的信息安全管理體系，必然是個(gè)需要不斷研討、不斷學(xué)習(xí)、不斷修正的過程，也需要各家金融機(jī)構(gòu)、各金融管理部門共同商榷與努力。

(作者系中國(guó)人民銀行沈陽分行副行長(zhǎng))