完善信息安全体系,提供稳健金融服务
2009-11-19闫力
闫 力
随着金融业信息科技化程度日趋提高,信息科技风险对于商业银行,无疑是金融企业经营风险的组成部分。而银行业信息安全管理对于人民银行来说,同样也是提高人民银行履职水平、保障辖区金融服务正常运转的重要内容。因此,各家商业银行以及相关金融管理部门,共同商讨商业银行的信息科技风险问题,对促进信息科技风险意识的提高,维护银行业信息系统的安全运行,提高金融服务效率和水平,有着重要的意义。
为应对当前金融信息化发展的复杂态势,国务院在2008年8月新批复的“三定”(即2008年6月25日,国务院常务会议上审议通过的《主要职责、内设机构和人员编制规定》)方案中规定了人民银行负责指导、协调金融业的信息安全和信息化工作,国务院信息办也明确规定人民银行负有对金融业信息安全指导、协调的责任,对人民银行沈阳分行来说,组织辽宁省内金融业加强对信息安全的管理,防范和化解信息科技风险,既是人民银行科技部门的工作职责,更是顾全区域金融发展大局、维护金融稳定的需要。
辽宁省银行业信息科技安全体系的现状
当前的金融信息安全形势可以说是越来越紧迫。各家商业银行都很重视信息化建设,几大国有商业银行和发展较快的股份制商业银行逐渐探索出了具有各自特色的IT架构以及管理模式,业务流程信息化的规范相当完备,核心业务系统不断进行升级改造,系统开发、运行与信息安全防护体系的构建逐渐向专业化、国际化方向发展。新成立的中小银行也加强交流学习、相互借鉴,迅速实现了对各项业务工作的信息化处理,并逐步完成自身网络体系建设以及数据的集中存储与管理,科技管理与风险控制体系逐步建立起来,为建立以客户为中心的流程化业务系统提供了有力支持,并取得了显著的效益。但我们必须看到,信息化高速发展也是一柄“双刃剑”,在提高效率、节约成本的同时,对电子设备、网络和应用系统的高度依赖性也带来了潜在的巨大风险。当前商业银行的信息科技风险仍然十分突出,不仅体现在银行信息系统故障时有发生、各类信息领域犯罪花样翻新等方面,2008年的汶川大地震,以及奥运会前敌对势力大规模的网络攻击,也暴露了很多银行在网络安全和应急机制方面的不足。因此,从实际发生的情况看,我们应当清醒地认识到,对于激烈竞争中的商业银行而言,信息科技风险的潜在危害有可能甚于业务管理控制风险,系统内的业务风险有认真履行职责的监管部门进行科学、规范地细致审查,即使出现问题或隐患,很多在金融业内部即可督促解决,但多年来缺乏外部监管的系统内信息科技风险,一旦出现安全漏洞或突发事件,常常会直接产生较大的负面社会影响。“千里之堤、溃于蚁穴”,如果不对信息科技风险问题高度重视,商业银行经营几十年、上百年积累的声誉有可能瞬间就受到损害,这显然不是经济损失所能弥补的。
当前辽宁省银行业信息科技安全管理存在的问题
总的来看,辽宁省银行业的信息安全管理方面,目前还存在不少薄弱环节,主要体现在以下五个方面。
一是缺乏有效的、适应形势需要的银行业信息系统应急协作机制,应对重大突发事件的能力还不够强。二是地方性金融机构的科技风险管理体系亟待完善,未进行科学规划的信息化建设不仅影响成本控制,而且影响信息安全管理方面的投入,尤其灾备建设进展较慢。三是商业银行的业务监控管理系统建设没有跟上核心业务系统发展的步伐。四是银行信息安全风险评估体系与内部科技审计制度有待进一步完善。五是新兴业务的安全防范措施尚不完备,在防范高科技犯罪方面缺乏有效的沟通、监管与检查措施。这些问题的根源,还是在于各家银行对信息科技风险问题的重视程度不够,在投入上普遍存在“重产品创新与系统研发、轻运维管理与安全防范”的现象,可喜的是,有些国际化步伐较快的股份制银行已经注意在这方面,加大了投入力度,建设了先进的IT管理体系和高标准的灾备中心。
要积极应对形势带来的挑战,有效解决这五个方面的问题,需要我们各方的共同努力。包括人民银行、银监局、政府金融办、各家商业银行、银联分公司这些金融相关部门,方¨大协调工作力度,努力争取公安部门等政府有关部门以及电力、电信等单位的大力支持,群策群力,共同保障金融平稳运行、健康发展。
人民银行沈阳分行在信息安全管理方面的经验总结
近年来,人民银行沈阳分行在信息安全管理方面始终积极探索,有了显著进步,也取得了一些宝贵经验。
注重信息化建设的规划性。信息化发展需要有规划进行指导,这是落实科学发展观的要求,不仅能够节约建设成本,而且可以避免信息化发展的盲目性和顾此失彼的片面性,消除了项目或阶段性建设带来的风险隐患。
认真执行全面、客观的信息安全风险评估制度。沈阳分行开展信息安全风险评估从启动前的组织机构准备、方案制定到评估执行与评估后的整改,都形成了一整套的规范,目前来看效果还是比较显著的。
坚持信息安全管理的技术与制度、检查“三管齐下”。技术防范手段总会有漏洞,严密、可操作性强的安全制度要跟上项目建设的步伐,同时严格落实责任,对安全制度必须一丝不苟地执行。加强安全检查、尤其是现场检查的工作力度,强化安全意识教育、加强对相关人员的管理都是必修课。以信息安全保密为例,人民银行沈阳分行为做好新时期的信息保密工作,先是进行细致到每台设备、每个人的应用调查,然后研究制定了新的信息安全保密制度,积极开展全员保密宣传教育,严格责任追究制度,并将所有电脑、移动存储介质均按保密制度重新严格分类、登记在册,同时全面安装移动存储介质监控系统,用技术手段杜绝移动存储介质在内外网的交叉使用。实践证明,预防科技风险,只要“一把手”高度重视,技术、制度、人员、检查几方面的工作…起抓,才能抓出显著成效。
加强跨部门,跨行业的沟通交流。为适应人民银行新“三定”方案的要求,人民银行沈阳分行根据辽宁省内实际,加强了科技调研工作,以奥运信息安全保障工作为契机,积累了一些跨部门合作的宝贵经验。既重视风险防范,同样重视应急措施。全面的、适应形势需要的各类应急预案是应急体系的基础,在此基础上,沈阳分行努力从多方位、多层次完善应急预案,同时注重应急演练的组织与管理。
为应对复杂多变的金融信息安全形势,人民银行沈阳分行在保障好人民银行系统内的信息安全基础上,需要在三个方面继续加大工作力度:一是要积极争取相关部门的支持,做好银行业信息安全工作的组织与协调。包括召开联席会议,组织技术交流研讨或风险分析,拓宽沟通渠道,促成银行业内信息科技风险控制方面的共识,完善行业的风险防范与应急协作机制。二是要更好地对地方性金融机构的
信息安全工作进行指导。在2008年2月,人民银行总行已经发布了《银行业信息系统灾难恢复管理规范》行业标准,对银行业系统灾难恢复策略以及灾备中心建设从宏观上给予了指导,沈阳分行还要结合本地实际,在具体项目建设方面提出有价值的建议、意见。三是加强银行业信息安全管理的监督与检查。检查工作应在深入调研的基础上,切合实际,有针对性,而且要对检查后的整改进行有效监督。
商业银行强化信息管理的对策
对于商业银行,各商业银行的管理者要在思想上进一步提高信息安全风险意识,审时度势,增强紧迫感,加大在信息科技风险控制方面的投入,并在以六个方面强化信息管理。
一是各家银行应在信息科技风险控制方面树立科学的发展观。要在实际工作中平衡项目建设和安全建设投入的关系,在项目建设或新产品设计中考虑科技风险因素,重视银行科技管理的体系化、标准化和可审计性问题。二是加强应急能力建设。尤其是地方性金融机构,在业务产品多样化、跨地区拓展的同时,应高度重视应急能力建设,重点包括灾备设施建设和应急演练的常规化,建立反应灵活的指挥决策机制和有效运作的协同工作机制。三是定期开展全面的信息安全风险评估。与内部信息科技审计相结合,堵塞漏洞,降低系统的脆弱性。四是强化网络安全。尤其是加强互联网应用安全,重点放在网上银行服务网站和客户端上,引入安全性和标准符合性测试机制,完善网络监控措施,进一步增强客户端的安全防护,有效保护客户资金安全。五是建设更加适应业务系统发展、应用到各级分支机构的业务监控管理系统。六是确保支付环境安全,遏制高科技犯罪。加强对自助设备、对相关人员的管理,进一步规范外包服务行为,及时汇报、沟通利技风险事件与案件,有力遏制高科技犯罪。
商业银行是以提供金融服务为宗旨的,以客户和市场需求为中心、用业务创新提高竞争力是一个现代金融企业的指导原则,这个宗旨和原则,在这个信息技术飞速发展的时代,无疑要依靠信息科技手段去实现,如何在实现过程中兼顾效率与安全,建立起完备的信息安全管理体系,必然是个需要不断研讨、不断学习、不断修正的过程,也需要各家金融机构、各金融管理部门共同商榷与努力。
(作者系中国人民银行沈阳分行副行长)