完善我国银行信息化风险防范体系的构想
2009-12-03邵勉也
邵勉也
摘要:我国银行信息化的发展战略,需要适应经济和金融全球化的发展,应选择安全稳定可靠、可持续发展的道路。制定完善的银行信息化风险防范的法律法规制度。为应对银行系统信息化面临的风险,本文提出了完善我国银行信息化危机风险防范体系的构想。
关键词:科学发展观;银行信息化风险;法律法规制度;风险防范体系
中图分类号:F830文献标识码:B文章编号:1006-1428(2009)10-0093-03
一、银行信息化发展应以科学发展观为指导
(一)我国银行的信息化发展要适应经济全球化、金融全球化的要求
银行信息化应以科学发展现为指导,做到安全、稳定、可靠,以适应经济全球化、金融全球化的要求,这是经济金融形势发展的必然需要。美国早在2003年就正式提出在国家战略全局上,对重要信息网络系统要求保证国家和社会生活的安全与稳定。随着我国经济规模的持续壮大。我国已成为仅次于美、日的世界第三大经济体,人民币的国际化是不可避免的。这就对我国金融尤其是银行信息化提出了更高的要求。
银行信息化在发展战略正面临其系统的科学发展,综合效能的发挥,为公众服务的强化,对信息化的总体和体系结构的指引,完善提供银行信息化的法规、标准、认证、评估和测评,以全面适应我国作为世界级的经济体和贸易大国的要求,适应经济全球化、金融全球化的要求,提升我国银行业的服务能力与竞争能力。
(二)我国银行的信息化发展应选择全面、协调、可持续发展的道路
学习实践科学发展观,我国银行信息化要坚持走全面、协调、可持续发展的道路:一是银行信息化要侧重于信息化资源安全与效益的发展,而不局限于具体的业务信息系统。二是银行信息化必须趋利避害。不但要避免危机风险,而且还要关注防范金融危机、打击金融犯罪。三是银行信息化的科学发展还需与经济、商务、政务、社会生活的信息化共同进步。
(三)我国银行的信息化发展要统筹兼顾
一是要全面建设,银行信息化建设的重点是中心城市、大城市,但在建设布局上也要适当向中西部、广大城镇倾斜。
二是要实现所有银行面向社会公众的服务系统向互通、互联和互操作服务方向发展。
三是要求确保银行信息化服务安全、可靠、稳定。在银行为公众服务中。对一切有损于客户利益的行为予以打击,尤其要防范、打击极少数银行员工与社会上的犯罪分子勾结事件,强化银行信息化监控手段。
(四)我国银行信息化发展必须自主创新,攻克信息化核心技术
国际上,日本明确要求确保信息网络安全和信息技术的国际领先地位。俄罗斯把发展信息技术作为重建大国地位的关键要素。我国信息化安全与风险防范不同于一般发达国家和发展中国家,没有“保护伞”,在高端核心技术领域受到封锁将是长期的。因此,既要争取国际合作。更要坚定走自主创新。
二、完善我国银行信息化危机风险防范的法律法规制度
(一)加快制定《国家信息安全法》及其实施细则
信息化发展需要强有力的法律保护。要克服我国信息化法律法规、制度规章标准建设滞后的问题,加快制定《国家信息安全法》及其实施细则。
(二)制定金融信息监管检查手册(或制度)和风险防范制度
在协调明确中央银行与银监会、证监会、保监会各自职责的基础上。建议借鉴美国联邦金融机构检查委员会(FFIEC)颁布的信息技术检查手册,结合我国国情和金融信息化监管的实际,制定出既有理念上的先进性,又有发展上的前瞻性,能涵盖我国金融业信息化监管检查完整内容的监管检查手册(或制度)和风险防范制度。
(三)健全银行信息风险评估等级的设定,完善银行信息系统应急预案制度
目前我国有安全等级而缺少风险评估等级的状况必须改变。严格按公安部、国家保密局、国家密码管理局、国务院信息化办公室联合制定的《信息安全等级保护管理办法(试行)》,在开展银行信息安全等级保护工作的基础上。建立、健全银行信息风险评估等级的设定。
各商业银行分行已普遍建有业务流水查询系统。建议各商业银行以此为基础,建立区域备份台账系统,作为应急手段,并组织定期演练。建议中央银行和银行监管部门制定有关法规,明确并实时更新相关要素。引进危机预警及应对的危机管理预案机制。指导商业银行制定各自的银行信息系统应急预案,在出现突发事件时确保区域金融的稳定。
(四)完善我国银行信息化项目外包管理办法
需要健全信息技术外包责任制。制定相应的银行信息化项目外包管理办法。
在成本核算方面,建议借鉴国外发达国家(如欧洲中央银行和德国中央银行等)的先进经验,在信息管理项目中。针对银行内各部门的信息技术管理费用,采取成本核算的方法,进行可行性研究和定点试验。特别是涉及信息安全管理费用的要予以保证,确保包括“外包可行性研究”在内的信息安全管理费用应有的比例。
在实施步骤方面。在保证安全性的前提下,对核心业务的系统设计、开发、应用和维护完全由银行的信息管理部门自主进行。对于硬件、一般业务系统以及与信息技术相关的业务则承包给外部专业的信息技术服务商。可以考虑先将信息技术服务台业务、信息技术的培训和计算机硬件维护外包出去,然后再视情况将部分软件开发和信息技术维护的业务外包。
三、完善我国银行信息化系统危机风险防范体系的构想
(一)试行首席信息官构架,建立专职机构和应急快速处理队伍
一是试行设立首席信息官(CIO)或信息总监架构。各家银行机构内部建议试行建立首席信息官架构。保证首席信息官的独立性,允许其直接向银行董事会或行领导报告。相关责任落实到人。在董事会或行长室下新设一个信息化安全管理委员会,适当扩大信息化安全管理人员的规模。
二是设置一个跨部门的专职机构和应急处理队伍。该机构应由业务部门、技术部门、综合管理部门和安全保卫部门的精干人员参与,建立有关部门负责人联席会议制度,定期就信息化安全工作进行交流。同时。拓展基层技术和业务部门人员的信息反馈渠道,向在一线工作的业务、技术部门相关人员征集意见。其目的是建立一支素质过硬的突发事件应急处理队伍,提高危机管理的快速反应机制。
三是建立银行重要信息系统应急协调机制。以国家网络与信息安全协调小组《银行重要信息系统应急协调预案》为指南;制定重要信息应急协调预案,建立危机预警系统,健全应急协调机制。
四是加强信息管理的服务标准和质量监督职能。随着金融业的发展,银行业务广泛开拓,系统管理、技术支持和维护方面的压力会越来越大。银行信息化部门的职能设置,不能满足于各部门职能分工明晰。监督工作不能只由内审部门负责,缺少专门职能部门提
供日常的服务标准和质量监督。可以借鉴德国和意大利的做法,设立服务标准和质量监督职能部门,以便信息管理部门更好地提供服务。
(二)加强我国银行信息化安全管理人才的培养
一要建立银行信息安全管理任职资格制度和科技创新的激励机制。二要抓住引进、培养、考核三个环节,注重工作经验积累。三要重视信息技术与银行业务相结合的复合型人才的培养。
(三)完善银行信息系统设备测试与认证机构
创建类似德国网上银行安全测试基地BITS实验室机构,对银行信息设备、软件一概进行测试。经严格测试演练合格后,方给予认证并授予安全证书,从而构筑起银行信息化系统的第一道安全防线。对于未经测试演练、未获得安全证书的设备、软件,不准应用。监管当局应要求:银行信息设备在更换系统前,向监管部门报告备案,并提供多种软件备份;测试时实行测试系统与主机系统的分离;在更换系统前也需进行演练和测试。
(四)健全激励机制和约束机制
银行信息安全管理是一个复杂的工程,单靠CIO是难以实现的。因此,还需要建立激励机制和约束机制。只有把增加信息透明度与信息风险防范相结合,灵活运用现场检查和非现场检查,以及分析评估、发布指引规章、落实市场约束手段,才能真正提高信息风险防范水平。
(五)制定统一的、前沿的信息系统体系战略
首先,银行总行或总部的信息管理不仅要体现总行或总部的监控信息和运行情况。还要能实时反映和监控全行所有部门和所有网点(包括海外网点)的运营情况。
其次,需要研究制定统一的、前沿的信息系统发展战略和风险防范应对方案。其中包括:明确的信息系统发展战略;优化的技术方案;灵活机动、伸缩自如的信息资产基础设施;有关的投资计划和监控规划。
最终是建立起免遭灾难性危机风险的规避、反击信息战、网络战的独立自主的体系。
(六)完善面向服务的信息系统风险防范监管构架
这个构架应进行统一设计。包括:风险监管框架、风险监管流程、信用风险监管、资产负债监管、反病毒入侵及其预警系统、反洗钱及其预警系统。特别是有关面向服务的架构的信息系统设计和创新机制。
对优质的信息系统和资源进行整合。有助于提高风险监管的总体效果。所以,在采用新一代业务信息系统大集中处理模式的条件下,银行需要将业务流程、信息、应用和有关的监管向总行、总部归拢、整合。
(七)完善防范金融道德风险的监控机制
建立符合我国国情的信息披露制度,增加透明度,提高及时性,有利于遏制金融道德风险。对金融领导层实行定期和不定期轮换制,实行内审、财务总监由上级委派、轮换的制度、强化内部制约。
(八)建立管理人员和信息化系统资源一体化风险防范监管体系
银行信息化系统资源的风险监管,必须把对人在银行业务活动中的风险监管与对信息化系统本身运营的风险防范监管有机地结合起来,构成一体化的监管体系。将其建成危机反应管理系统,从而全方位地夯实银行信息化安全管理的基础。这样,银行信息化系统资源管理才能建立起切实有效的安全屏障。
(九)强化灾备体系(ADBS)与灾难恢复系统
银行信息化灾难备份体系要高标准,确保经济、金融基础的牢固。主要有以下几方面:一是在布局上三足鼎立,且相距千里为好。二是第二个灾备中心场地,最好建在中西部地区远离地质断裂带的花岗岩山体隧道中。三是实行严格保密制度和安保体系。四是实行定期轮换制。要求主中心与灾难备份中心实行定期轮换制;中心内部管理、技术、开发人员分成两组,实行定期轮换制。五是银行等国家八大行业都要重视建立灾难恢复系统、灾难恢复人才培养和业务连续性管理(BCM)。
