李睿

所谓金融信息化（Financial Informatization），是指采用（计算机技术、通讯技术、网络技术等）信息技术手段，实现金融业务处理和金融服务自动化、金融管理信息化和金融决策科学化等全部活动的过程。该信息系统应能提供金融服务、金融经营管理决策、金融组织管理的信息和以人为本的友好人机界面。

金融信息化的发展是多层次的、交互式的，大致可以划分为三个层次。如图1所示：

一、我国金融信息化的发展现状

（一）信息化网络基础设施建设工作完成

我国金融信息化在过去几十年的不断探索中已逐步形成了一条适合中国国情的金融信息化体系。截止目前，我国的电子化营业网点覆盖率达到90%以上；各类金融机构安装的自动柜员机和销售点终端也随处可见；全国性的金融机构的内部联网建设完成，部分超大型金融企业甚至在全球范围内铺设内部局域网络建设，网络范围已经覆盖了全国所有的省会城市、地级市和全球主要的大中型城市，支持数据、图像、语音等多种信息传输和多种通信协议的金融数据通讯帧中继骨干网，支撑金融数据的传输。

（二）银行信息化业务发展迅速

迄今为止，各商业银行基本完成了全国数据集中处理，进一步建设完善了新一代核心业务应用处理系统。

1、全国范围的电子联行系统初步建成。全国电子联行系统（EIS）是中国人民银行在支付系统现代化建设中的第一次尝试，其主要设计思想是要解决由于纸质票据传递迟缓和清算流程过分烦琐造成的大量在途资金问题，从而加速资金周转，减少支付风险。该系统连结了在全国的2000多家人民银行分行、支行，可以处理跨行和行内、贷记和借记异地支付业务。与此同时，全国性的商业银行基本都完成了各自的电子汇兑系统，客户的异地转帐业务24小时内就可到帐。商业银行和证券公司也可通过银证转帐系统进行证券帐务信息的交换。

2、网上银行服务日新月异。二十一世纪第一个十年已经过去，其科技化、信息化的特征也逐渐融入到人们的生产及生活方式中，反映在金融领域中，最为突出的创新即网上银行的出现。

所谓网上银行（Internet Banking）又称为网络银行、在线银行，是银行借助网络和其他电子通讯手段，以传统的银行柜台业务为基础，为客户提供综合的、实时的金融服务。网上银行业务作为商业银行发展不可避免的趋势发展迅速。

二、金融信息化风险类别

（一）信息安全技术发展时滞潜藏系统被攻击风险

随着计算机技术、通讯技术、及网络信息技术等高科技手段在我国金融行业的广泛应用，银行卡、电子货币、网上银行等虚拟金融业务不断推出，且迅速发展。金融信息化的快速普及使得传统的实体金融业和戒备森严的金库不再是信誉的绝对保障和充分象征。金融信息安全技术发展与信息化普及之间存在的时滞为金融业的管理信息系统带来了巨大的潜在风险，而这种风险主要体现为不法分子恶意攻击信息系统。

最近几年，网络攻击逐渐从个人化行为向以经济利益获取为目的的组织化行为发展，如表1所示。

（二）相关制度不健全潜藏法律风险

目前，我国金融业信息化和计算机方面的专项法律制度建设还不够健全，也没有惩治利用计算机进行金融犯罪活动的有关专项法律条文。对发生计算机方面的不良行为约束不力，对犯罪打击力度不够，这在客观上不利于遏止计算机方面的犯罪行为。我国计算机网络犯罪已呈低龄化、低门槛、集团化发展趋势，作案手段多样、时间短、过程简单，犯罪工具获得容易，可操作性强，作案痕迹容易销毁，取证难等新特点，致使发现和侦破却十分困难，公安机关通常需要采用跨地域侦查取证的办案方式，成本高、效率低。而与之相呼应的国内相关信息安全法律还不够健全，个人信用体系还没有建立起来，由于犯罪成本相对较低，滋生犯罪分子铤而走险，致网络犯罪案件越来越多，随着银行网上银行应用的普及，针对有利益驱动为目的的网络犯罪日趋严重，银行系统成为首当其冲的攻击对象，整个金融管理信息系统面临的网络攻击威胁也随之不断加大。

三、金融信息化的风险防范对策

随着电子信息技术的快速发展和应用，使得金融业在短期内迅速信息化，金融活动也打破了地域限制，得在以全球范围内进行，推动了经济的全球化，强有力地促进了经济的快速发展。与此同时，各金融机构和政府部门通过信息术可以全面掌握和综合处理各种信息，提高决策的科学性，避免决策误，降低人为风险。

（一）提升管理与技术手段，为风险管控奠定基础

目前，国际上信息化风险控制的管理规范与标准已日趋成熟，信息安全产品已日渐丰富，风险防范与安全控制手段已越来越有针对性，这对我国开展金融信息化防范提供了经验与可能。当然，国内金融企业一方面需要引进国外的安全管理规范和安全产品，更需要重视自主创新技术、自主创新服务、自主知识产权的支持力度，推广应用国内信息安全先进技术和产品。国家正组织实施一系列科技攻关和产业化重大专项，开发具有高安全性和高可靠性的金融安全产品，推动国内信息安全产品的快速发展，以解决目前安全产品主要集中在一些国外厂商手里，对我国金融业安全留有一定安全隐患的问题。

（二）参与者应增强对信息化风险管控的认识

各金融机构开展对信息化的风险控制不仅为满足监管要求，更重要的是已作为自身业务发展、防范风险、提高业务竞争力的重要手段得到进一步的认识。为此应采取相应的风险控制措施，包括：一是加强对计算机信息系统安全工作的领导，完善组织管理体系，加强对广大员工的计算机信息系统安全教育，提高安全管理水平和事件处理能力；二是加速计算机信息系统技术风险防范体系的建设，研究制定安全技术标准和技术规范，逐步建立金融业信息系统安全应用平台，完成计算机病毒防范系统的建设，加快计算机安全系统漏洞扫描、入侵实时监测和报警系统的建设；三是实现对系统资源、网络资源、设备性能、作业控制、故障对策和安全策略的自动化管理，增强金融业计算机系统的稳定性，保证系统的不停顿运行；四是加强网上银行、电子商务等新型金融业务安全机制的研究，建立完善的电子银行业务安全机制。与此同时，相关企业及部门也应该加强信息安全的宣传力度，最大程度的提高全民的信息安全防范意识。

（三）改善信息化风险管控法律环境及相关行业标准

近年来，国家各部门正在不断推出各种监管要求，对信息化风险管控领域提出了明确的要求。其中与金融业信息科技风险相关的法律、法规与行业监管指引有：GB/T18336（信息技术安全性评估准则）、GB/T19716（信息技术信息安全管理实用规则）、GB/T19715（信息技术安全管理指南）、GB/T22239（等级保护实施细则）等等②；然而随着金融业信息化的不断深入，信息安全将会面临更多种类、更大破坏力的风险，因此，我国各相关部门必须高度重视相关法律制度的不断建设与完善，争取相关法律制度的完善过程与信息化普及历程相互契合，为金融企业开展信息科技风险控制提供足够有效的依据，最大程度的降低金融信息化引发的法律风险。（作者单位：河北经贸大学）

注释：

① 资料来源：根据相关公开信息整理.

② 资料来源：根据相关公开信息整理.