银行要加强信息技术监管 防范信息风险
来源:金融时报 更新时间:2012-04-13

   信息技术在银行业金融机构广泛的应用,对提高银行业金融机构管理水平,降低交易成本,提高综合竞争能力,都具有非常重要的意义。但信息技术的应用也给银行业金融机构带来了一定风险,表现在:策略风险,主要是科技投资和技术引进决策失误而带来风险;操作风险,例如由于计算机系统控制权限不当、数据备份不当、因系统故障导致系统无法恢复等因素所带来的风险;信誉风险,例如客户数据或资料泄漏,或者计算机系统故障影响正常交易;法律风险,如银行业金融机构与IT服务提供商(包括通信服务商、系统集成服务商、软件开发服务商等第三方服务商)之间发生法律诉讼。这些风险都对银行持续经营、盈利能力、安全性带来了负面的影响。

  国际上,一些发达国家和地区都陆续引入了技术风险监管内容。如:美国货币监理署成立了专门的部门负责对银行技术风险进行监管,并颁布了一系列有关制度和指引用于加强对信息技术风险进行监管;香港金融管理局也成立了专门的部门负责对信息技术风险进行监管,并将信息技术风险情况纳入对银行整体风险评价。

  我国也应尽快出台有关管理办法,以加强对银行业金融机构信息技术风险监管。其重要意义,首先是通过制定有关办法与指引,积极引导银行业金融机构提高信息技术风险管理水平,使得信息技术能够更好地支持银行战略目标,银行金融机构信息资源能够得到充分和有效的利用,在最大限度上规避由于信息技术的应用而带来的策略风险、操作风险、信誉风险和法律风险。其次是通过研究国外银行业信息化建设现状与未来发展趋势,积极引导我国银行业金融机构提升信息化建设水平,逐步提高其竞争能力。再次是定期发布银行业信息化建设情况及信息资产风险情况,提高银行业金融机构透明度。

  信息技术风险监管的手段与内容

  借鉴国际通行做法,应制定信息技术监管办法,用于指导银行业金融机构加强IT治理结构建设,制定信息安全管理策略和程序,加强信息安全管理,防范和化解由于信息技术的应用所带来的技术风险。

  具体来说,首先是督促银行业金融机构加强IT治理结构建设。IT治理结构是指银行业金融机构内与信息技术有关的组织架构及程序。其重要作用在于,保障信息技术能够有效地支持银行总体战略目标及业务目标;确保信息资源(包括资金、技术、人力资源)得到有效地利用;有效地识别、度量、跟踪和控制信息技术风险。良好的IT治理结构,是防范操作风险、策略风险的基础,而良好的IT治理结构应包括两大部分,一是信息技术管理委员会,二是在信息技术管理委员会下设信息技术部门、信息风险管理部门及信息技术审计部门。

  信息技术管理委员会负责制定信息技术治理结构,制定信息技术发展规划与策略,并定期评价信息技术应用的有效性。信息技术部门负责系统开发、测试、运行、维护各应用系统,并落实科技风险管理部门制定的科技风险管理措施。信息技术风险管理部门负责制定与定期检讨风险管理措施,协助业务部门和信息技术部门执行信息技术风险管理程序,以识别、计算、监察及控制信息技术风险。信息技术审计部门定期审查信息技术风险管控措施落实情况及措施的有效性。

  其次是制定信息技术风险管理一般办法,办法应覆盖信息安全策略、组织安全、人员安全、物理与环境安全、存取控制、信息分类与控制、通信与运营安全、业务持续性计划等几个方面。

  信息安全策略。管理层应对信息安全提出明确目标,并制定出可操作的安全管理策略。

  组织安全。组织安全包括组织安全治理架构、与第三方有关、及外包管理安全问题,管理层应设计出有效的组织安全治理架构以维护组织的安全,制定有效的程序防范与第三方有关的、由于软件外包或其他业务外部所带来的安全问题。

  人员安全。明确工作人员在招聘、雇佣、解聘过程中所涉及的信息保密等安全问题,加强对工作人员信息安全培训与教育,提高工作人员安全防范意识,建立必要的安全事故报告制度和报告程序。

  物理与环境安全。分析安全威胁来源,划分物理安全区域,加强对后台计算机服务器与用户桌面计算机的保护,防止因水、火、盗窃、雷电、电力供应、化学腐蚀等因素带来的安全威胁,并制定计算机设备引进、日常运行、销毁处理程序和办法。

  资产分类。对与信息技术有关的资产进行分类,加强与信息技术有关的资产分类管理,识别信息资产、软件资产、物理资产、及其他服务资产,并对这些资产就价值和重要性进行分类标识,实施不同安全措施对这些资产进行保护。

  通信与运营管理。覆盖应用系统日常运营和维护程序、服务水平管理、网络管理、存储介质管理、防恶意软件攻击保护、系统和数据备份与恢复管理、信息交换管理等。

  存取控制。定义用户存取控制策略,管理用户存取过程,包括对网络存取控制、操作系统、应用系统及移动设备和远程工作设备进行存取控制。

  系统开发和维护。明确应用系统安全需求,包括输入数据校验、输出数据校验、业务处理过程校验、传输数据认证等;确定加密控制办法,包括加密、数字签名、不可否认服务、密钥管理等管控办法;确定系统文件的安全保护办法,以及开发和支持过程的安全管理办法。

  业务持续性管理。定义业务持续性管理过程,业务持续性和影响过程分析,制定和执行切实可行的业务持续性计划,定期测试、维护、演练、重新评估业务持续性计划。

  合规性管理。识别现有适用的法律法规,保护个人信息的隐私;使用合法的、正版的系统软件与应用软件;加强计算机安全审计,保障技术和安全策略的合规性的合规性。