乔悦怿



基于商业银行操作风险下的信息安全研究

乔悦怿

摘要：银行业的快速发展使得银行面临的风险越来越多，其中操作风险因贯穿整个银行经营管理活动的始终而备受重视。不仅如此，由操作风险引发的信息安全事件屡见不鲜，解决信息安全问题迫在眉睫。在对操作风险有一定了解的基础上，分析操作风险管理下的信息安全现状，明确管理过程中存在的问题。虽然国家和银行采用了诸多方案来保护信息安全，但效果并不显著。因此，必须以现有的信息安全管理措施为基础，提出更为切实可行的信息安全保护方案，改善银行管理环境，保证银行经营活动的安全稳定运行。

关键词：银行；操作风险；信息安全

一、引言

近年来，商业银行的操作风险事件和信息安全事件相继暴露，引起了社会的高度重视。越来越多的学者对操作风险及信息安全展开研究，并提出相关解决方案，分析其原因，主要是由操作风险管理不善所致。操作风险主要是指由于银行内部的工作人员、软件系统、内部程序和外来因素所造成的失误或错误，从而引发操作性的风险事故，以致银行遭受损失。操作风险具有显著的人为性特征、突发性和直接损失性。

二、商业银行操作风险下的信息安全现状

信息安全主要面临操作风险，技术风险和决策风险。其中操作风险是最复杂，最难以控制的。我国商业银行操作风险下的信息安全现状表现为以下几点：

第一，信息安全意识薄弱。现阶段，不仅普通公民对自身的信息保护意识差，银行的从业人员对信息安全的认识也不高。因银行过多强调对业务板块的培训，却放松甚至忽略了对员工风险意识的培养，造成员工在后期工作中因不重视风险防范而产生错误，引起信息泄露。如：与友人聊天或在推销理财产品时，无意泄露了客户信息，或者以买卖信息来获得经济利益，对信息安全造成威胁。

第二，缺乏维护银行信息安全的复合型人才。从事理财的职员不懂技术知识，后台维护的职员不了解金融知识，综合性人才严重缺乏，在信息安全事件发生时，不能够及时找出原因并迅速给出解决方案，增加了银行的损失。

第三，系统设施不完善。由于“先入为主”的观念，人们依然更倾向采用国外的产品，国内软件不受欢迎，我国银行采用的诸多软件都来自于其他国家，一旦该软件存在缺陷或漏洞，我国不能在短时间内识别。风险应急机制不完善，也不能快速解决突如其来的风险。

第四，银行信息安全的法律法规不完善，执行力度不够。银行在经营活动中，不仅受到内部环境的影响，外部环境也对其有所限制。国家在强调完善信息安全法律法规的同时，却忽略了对执行过程的监督，使得犯罪分子逃离国家的制裁，或者仅受到不相符的处罚。

银行的信息安全关系重大，面对当前现状，银行管理人员采纳了重多方案，但效果并不明显，依然存在问题。要保证银行的信息安全，就必须解决这些问题，并提出更好的解决方案。

三、新的解决措施

银行信息安全保护措施必须与银行实际情况相符，并得到具体的落实。针对银行面临的现状，本文提出以下几个解决措施：

首先，解决由人为因素引发的操作风险下的信息安全问题，主要采用以下几个方法：

第一，开展信息安全专题的讲座。信息安全不仅关乎银行，还与客户利益息息相关，然而，对信息安全知识有较多了解的客户并不多。因此，银行要开展相关的讲座，给客户讲解信息安全的重要性，并号召客户在办理业务的时候主动确认业务信息的准确性，提高客户信息安全意识，如：在柜台办理业务时，仔细核查职员给出的信息核对单，若发现错误，及时指出，将操作风险降至最低。银行的信息安全需要客户与银行工作人员的共同协作和努力，员工引导客户，客户监督员工，形成互补。

第二，采用操作责任制管理方案。员工的操作失误不仅与其自身有关，也与上层管理者的管理方式有关。要减少员工操作失误的可能性，不仅需要客户的监督，还需要上层管理者的督促。实行责任制，就是当员工出现操作失误或错误的时候，员工和管理者都要为此负责，用制度给管理者施压，让管理者加强对员工的管理及培训，环环相扣，保证各个环节的操作安全。

第三，采用胡萝卜加大棒的管理方案。对员工的管理不能仅靠惩罚或奖励单方面来完成，需要将二者结合起来，方能发挥最大功效。对有过错的员工要给予惩罚，如：罚款，公示。对表现良好者要给予奖励，如：奖金、加薪、升职。将保护信息安全与员工切身利益挂钩，用此方法激励员工认真对待工作，减少人为因素引起的操作风险。

其次，解决由系统因素引发的操作风险下的信息安全问题，主要采用以下几个方法：

第一，按期排查系统风险。我国银行目前主要采用国外的先进技术产品，但并没有掌握其核心技术，对采用的系统是否存在安全隐患并不完全知晓。因此，银行必须按期排查系统风险，及时发现设备故障，解除隐患，确保系统在一定时期的安全稳定运行。

第二，逐渐推广国内信息系统产品。国外产品虽然技术先进，但终究不能掌握其核心技术，难以确保系统的安全。我国必须根据国内的基本国情，研发出适合我国银行使用的信息系统产品，逐渐用国内产品替换国外产品，掌握系统核心技术，从而在系统的管理上能够更加方便和完善。

最后，解决由外来因素引发的操作风险下的信息安全问题，主要采用以下几个方法：

第一，国家对做好信息安全工作的银行给予奖励或表彰。银行与银行之间存在着各种各样的竞争，国家可以通过表彰来激励银行加强信息安全保护的决心，增强自身竞争力及抵御风险的能力，以应对一切不利的外来因素的攻击。

第二，加强对法律法规执行力度的监督。仅有完善的法律法规制度是不足够的，必须加强对其执行力的监督，让犯罪分子得到应有的惩戒，树立国家法治制度的威信，对潜在的犯罪人员起到震慑作用，明确不法行为的后果，遏制不法分子对银行系统的攻击，为银行安全运营创造良好的环境。

四、结语

在当前信息安全事件频繁发生的背景下，本文紧跟时代热点，对引发信息安全事件的操作风险给予分析。首先介绍银行操作风险的概念及特征，在此基础上，进一步分析我国银行信息安全现状，认识商业银行操作风险管理下的信息安全问题。银行采用了诸多保护信息安全的措施，但信息安全事件并没有得到较好的遏制，本文对此进行分析，找出问题关键点，从各个方面提出银行操作风险下信息安全管理的有效措施。操作风险最容易引起信息安全事件，而银行的信息安全涉及多方面的利益，需要各个方面的共同努力，真正将管理方案落实到各个环节。(作者单位：中南财经政法大学信息与安全工程学院)

参考文献:

[1]刘培强，马海龙.浅谈我国商业银行操作风险及防范措施.时代金融(中旬)，2014(2).

[2]陈之瑜，浅谈商业银行操作风险管理.中国外资，2014(10).

[3]马岚.我国商业银行操作风险控制与管理分析.商业经济，2014(6).

[4]范萤心.信息全球化时代下我国国家信息安全与国际关系研究.太平洋学报，2013.21(9).

[5]何苗.银行信用卡犯罪类型及风险防范.时代金融(下旬)，2014(3).

[6]王磊.A银行操作风险管理体系研究.山东大学.2011.

[7]乔元昊，刘艳.重新认识银行信息安全的重要性.英国奥斯特大学商学院，2014(6).

[8]林婷.商业银行信息安全管理——以花旗银行为例.浙江工商大学.2013.

[9]匡小飞.我国商业银行信息安全的风险评估及控制.人行和田地区中心行.2014(11).

作者简介：乔悦怿(1992.07-)，女，中南财经政法大学在读硕士研究生，管理学学位，研究方向：信息安全管理。