基于商業(yè)銀行操作風(fēng)險(xiǎn)下的信息安全研究

喬悅懌

?

基于商業(yè)銀行操作風(fēng)險(xiǎn)下的信息安全研究

喬悅懌

摘要：銀行業(yè)的快速發(fā)展使得銀行面臨的風(fēng)險(xiǎn)越來越多，其中操作風(fēng)險(xiǎn)因貫穿整個(gè)銀行經(jīng)營管理活動(dòng)的始終而備受重視。不僅如此，由操作風(fēng)險(xiǎn)引發(fā)的信息安全事件屢見不鮮，解決信息安全問題迫在眉睫。在對操作風(fēng)險(xiǎn)有一定了解的基礎(chǔ)上，分析操作風(fēng)險(xiǎn)管理下的信息安全現(xiàn)狀，明確管理過程中存在的問題。雖然國家和銀行采用了諸多方案來保護(hù)信息安全，但效果并不顯著。因此，必須以現(xiàn)有的信息安全管理措施為基礎(chǔ)，提出更為切實(shí)可行的信息安全保護(hù)方案，改善銀行管理環(huán)境，保證銀行經(jīng)營活動(dòng)的安全穩(wěn)定運(yùn)行。

關(guān)鍵詞：銀行；操作風(fēng)險(xiǎn)；信息安全

一、引言

近年來，商業(yè)銀行的操作風(fēng)險(xiǎn)事件和信息安全事件相繼暴露，引起了社會(huì)的高度重視。越來越多的學(xué)者對操作風(fēng)險(xiǎn)及信息安全展開研究，并提出相關(guān)解決方案，分析其原因，主要是由操作風(fēng)險(xiǎn)管理不善所致。操作風(fēng)險(xiǎn)主要是指由于銀行內(nèi)部的工作人員、軟件系統(tǒng)、內(nèi)部程序和外來因素所造成的失誤或錯(cuò)誤，從而引發(fā)操作性的風(fēng)險(xiǎn)事故，以致銀行遭受損失。操作風(fēng)險(xiǎn)具有顯著的人為性特征、突發(fā)性和直接損失性。

二、商業(yè)銀行操作風(fēng)險(xiǎn)下的信息安全現(xiàn)狀

信息安全主要面臨操作風(fēng)險(xiǎn)，技術(shù)風(fēng)險(xiǎn)和決策風(fēng)險(xiǎn)。其中操作風(fēng)險(xiǎn)是最復(fù)雜，最難以控制的。我國商業(yè)銀行操作風(fēng)險(xiǎn)下的信息安全現(xiàn)狀表現(xiàn)為以下幾點(diǎn)：

第一，信息安全意識薄弱。現(xiàn)階段，不僅普通公民對自身的信息保護(hù)意識差，銀行的從業(yè)人員對信息安全的認(rèn)識也不高。因銀行過多強(qiáng)調(diào)對業(yè)務(wù)板塊的培訓(xùn)，卻放松甚至忽略了對員工風(fēng)險(xiǎn)意識的培養(yǎng)，造成員工在后期工作中因不重視風(fēng)險(xiǎn)防范而產(chǎn)生錯(cuò)誤，引起信息泄露。如：與友人聊天或在推銷理財(cái)產(chǎn)品時(shí)，無意泄露了客戶信息，或者以買賣信息來獲得經(jīng)濟(jì)利益，對信息安全造成威脅。

第二，缺乏維護(hù)銀行信息安全的復(fù)合型人才。從事理財(cái)?shù)穆殕T不懂技術(shù)知識，后臺維護(hù)的職員不了解金融知識，綜合性人才嚴(yán)重缺乏，在信息安全事件發(fā)生時(shí)，不能夠及時(shí)找出原因并迅速給出解決方案，增加了銀行的損失。

第三，系統(tǒng)設(shè)施不完善。由于“先入為主”的觀念，人們依然更傾向采用國外的產(chǎn)品，國內(nèi)軟件不受歡迎，我國銀行采用的諸多軟件都來自于其他國家，一旦該軟件存在缺陷或漏洞，我國不能在短時(shí)間內(nèi)識別。風(fēng)險(xiǎn)應(yīng)急機(jī)制不完善，也不能快速解決突如其來的風(fēng)險(xiǎn)。

第四，銀行信息安全的法律法規(guī)不完善，執(zhí)行力度不夠。銀行在經(jīng)營活動(dòng)中，不僅受到內(nèi)部環(huán)境的影響，外部環(huán)境也對其有所限制。國家在強(qiáng)調(diào)完善信息安全法律法規(guī)的同時(shí)，卻忽略了對執(zhí)行過程的監(jiān)督，使得犯罪分子逃離國家的制裁，或者僅受到不相符的處罰。

銀行的信息安全關(guān)系重大，面對當(dāng)前現(xiàn)狀，銀行管理人員采納了重多方案，但效果并不明顯，依然存在問題。要保證銀行的信息安全，就必須解決這些問題，并提出更好的解決方案。

三、新的解決措施

銀行信息安全保護(hù)措施必須與銀行實(shí)際情況相符，并得到具體的落實(shí)。針對銀行面臨的現(xiàn)狀，本文提出以下幾個(gè)解決措施：

首先，解決由人為因素引發(fā)的操作風(fēng)險(xiǎn)下的信息安全問題，主要采用以下幾個(gè)方法：

第一，開展信息安全專題的講座。信息安全不僅關(guān)乎銀行，還與客戶利益息息相關(guān)，然而，對信息安全知識有較多了解的客戶并不多。因此，銀行要開展相關(guān)的講座，給客戶講解信息安全的重要性，并號召客戶在辦理業(yè)務(wù)的時(shí)候主動(dòng)確認(rèn)業(yè)務(wù)信息的準(zhǔn)確性，提高客戶信息安全意識，如：在柜臺辦理業(yè)務(wù)時(shí)，仔細(xì)核查職員給出的信息核對單，若發(fā)現(xiàn)錯(cuò)誤，及時(shí)指出，將操作風(fēng)險(xiǎn)降至最低。銀行的信息安全需要客戶與銀行工作人員的共同協(xié)作和努力，員工引導(dǎo)客戶，客戶監(jiān)督員工，形成互補(bǔ)。

第二，采用操作責(zé)任制管理方案。員工的操作失誤不僅與其自身有關(guān)，也與上層管理者的管理方式有關(guān)。要減少員工操作失誤的可能性，不僅需要客戶的監(jiān)督，還需要上層管理者的督促。實(shí)行責(zé)任制，就是當(dāng)員工出現(xiàn)操作失誤或錯(cuò)誤的時(shí)候，員工和管理者都要為此負(fù)責(zé)，用制度給管理者施壓，讓管理者加強(qiáng)對員工的管理及培訓(xùn)，環(huán)環(huán)相扣，保證各個(gè)環(huán)節(jié)的操作安全。

第三，采用胡蘿卜加大棒的管理方案。對員工的管理不能僅靠懲罰或獎(jiǎng)勵(lì)單方面來完成，需要將二者結(jié)合起來，方能發(fā)揮最大功效。對有過錯(cuò)的員工要給予懲罰，如：罰款，公示。對表現(xiàn)良好者要給予獎(jiǎng)勵(lì)，如：獎(jiǎng)金、加薪、升職。將保護(hù)信息安全與員工切身利益掛鉤，用此方法激勵(lì)員工認(rèn)真對待工作，減少人為因素引起的操作風(fēng)險(xiǎn)。

其次，解決由系統(tǒng)因素引發(fā)的操作風(fēng)險(xiǎn)下的信息安全問題，主要采用以下幾個(gè)方法：

第一，按期排查系統(tǒng)風(fēng)險(xiǎn)。我國銀行目前主要采用國外的先進(jìn)技術(shù)產(chǎn)品，但并沒有掌握其核心技術(shù)，對采用的系統(tǒng)是否存在安全隱患并不完全知曉。因此，銀行必須按期排查系統(tǒng)風(fēng)險(xiǎn)，及時(shí)發(fā)現(xiàn)設(shè)備故障，解除隱患，確保系統(tǒng)在一定時(shí)期的安全穩(wěn)定運(yùn)行。

第二，逐漸推廣國內(nèi)信息系統(tǒng)產(chǎn)品。國外產(chǎn)品雖然技術(shù)先進(jìn)，但終究不能掌握其核心技術(shù)，難以確保系統(tǒng)的安全。我國必須根據(jù)國內(nèi)的基本國情，研發(fā)出適合我國銀行使用的信息系統(tǒng)產(chǎn)品，逐漸用國內(nèi)產(chǎn)品替換國外產(chǎn)品，掌握系統(tǒng)核心技術(shù)，從而在系統(tǒng)的管理上能夠更加方便和完善。

最后，解決由外來因素引發(fā)的操作風(fēng)險(xiǎn)下的信息安全問題，主要采用以下幾個(gè)方法：

第一，國家對做好信息安全工作的銀行給予獎(jiǎng)勵(lì)或表彰。銀行與銀行之間存在著各種各樣的競爭，國家可以通過表彰來激勵(lì)銀行加強(qiáng)信息安全保護(hù)的決心，增強(qiáng)自身競爭力及抵御風(fēng)險(xiǎn)的能力，以應(yīng)對一切不利的外來因素的攻擊。

第二，加強(qiáng)對法律法規(guī)執(zhí)行力度的監(jiān)督。僅有完善的法律法規(guī)制度是不足夠的，必須加強(qiáng)對其執(zhí)行力的監(jiān)督，讓犯罪分子得到應(yīng)有的懲戒，樹立國家法治制度的威信，對潛在的犯罪人員起到震懾作用，明確不法行為的后果，遏制不法分子對銀行系統(tǒng)的攻擊，為銀行安全運(yùn)營創(chuàng)造良好的環(huán)境。

四、結(jié)語

在當(dāng)前信息安全事件頻繁發(fā)生的背景下，本文緊跟時(shí)代熱點(diǎn)，對引發(fā)信息安全事件的操作風(fēng)險(xiǎn)給予分析。首先介紹銀行操作風(fēng)險(xiǎn)的概念及特征，在此基礎(chǔ)上，進(jìn)一步分析我國銀行信息安全現(xiàn)狀，認(rèn)識商業(yè)銀行操作風(fēng)險(xiǎn)管理下的信息安全問題。銀行采用了諸多保護(hù)信息安全的措施，但信息安全事件并沒有得到較好的遏制，本文對此進(jìn)行分析，找出問題關(guān)鍵點(diǎn)，從各個(gè)方面提出銀行操作風(fēng)險(xiǎn)下信息安全管理的有效措施。操作風(fēng)險(xiǎn)最容易引起信息安全事件，而銀行的信息安全涉及多方面的利益，需要各個(gè)方面的共同努力，真正將管理方案落實(shí)到各個(gè)環(huán)節(jié)。(作者單位：中南財(cái)經(jīng)政法大學(xué)信息與安全工程學(xué)院)

參考文獻(xiàn):

[1]劉培強(qiáng)，馬海龍.淺談我國商業(yè)銀行操作風(fēng)險(xiǎn)及防范措施.時(shí)代金融(中旬)，2014(2).

[2]陳之瑜，淺談商業(yè)銀行操作風(fēng)險(xiǎn)管理.中國外資，2014(10).

[3]馬嵐.我國商業(yè)銀行操作風(fēng)險(xiǎn)控制與管理分析.商業(yè)經(jīng)濟(jì)，2014(6).

[4]范螢心.信息全球化時(shí)代下我國國家信息安全與國際關(guān)系研究.太平洋學(xué)報(bào)，2013.21(9).

[5]何苗.銀行信用卡犯罪類型及風(fēng)險(xiǎn)防范.時(shí)代金融(下旬)，2014(3).

[6]王磊.A銀行操作風(fēng)險(xiǎn)管理體系研究.山東大學(xué).2011.

[7]喬元昊，劉艷.重新認(rèn)識銀行信息安全的重要性.英國奧斯特大學(xué)商學(xué)院，2014(6).

[8]林婷.商業(yè)銀行信息安全管理——以花旗銀行為例.浙江工商大學(xué).2013.

[9]匡小飛.我國商業(yè)銀行信息安全的風(fēng)險(xiǎn)評估及控制.人行和田地區(qū)中心行.2014(11).

作者簡介：喬悅懌(1992.07-)，女，中南財(cái)經(jīng)政法大學(xué)在讀碩士研究生，管理學(xué)學(xué)位，研究方向：信息安全管理。