1、银行二级分行信息科技风险分析及对策【摘要】 在银行信息处理集中化的形式下,二级分行的信息科技工作量小,科技含量低,但是随着银行业信息化的发展,信息科技的作用越来越大,其存在的风险也在急剧增加,作为商业银行的二级分行,信息科技风险防范仍然是一项不容忽视的课题,本文分析了二级分行所面临的信息科技风险以及风险形成的原因,并针对二级分行的信息科技风险提出了防范风险的对策建议。 【关键词】 二级分行 信息科技 风险防范 对策建议 一、引言 随着近几年银行系统整合和业务信息处理集中化的发展,诸如客服、数据库维护、数据备份、业务程序开发以及电子设备统一采购等职能逐渐向总行集中,数据集中后二级分行的科技工作主
2、要是网络维护、业务系统维护、电子设备维护。与总行、一级分行相比,二级分行的信息科技工作量小,科技含量低,信息科技风险点相对较少,但这并不意味着二级分行的信息科技风险防范工作可以放松。如今,随着银行业信息化的发展,信息科技的作用越来越大,已成为银行稳健运营和业务发展的重要支撑,计算机在银行日常经营管理中起着举足轻重的作用,几乎所有的业务处理系统都由计算机承担,一旦计算机系统出现故障,对银行的工作开展、社会声誉将会造成严重的损害,同时也给人民生活带来不便。因此对于二级分行来说信息科技风险防范仍然是一个不容忽视的重要课题。 二、信息科技风险分析 要做好二级分行信息科技工作,有效防范信息科技风险,首先
3、要做的应该是基于二级分行的信息系统基本情况对潜在的风险进行分析,进而避免盲目防范,做到有的放矢,有效控制风险。二级分行大多建有独立机房,机房建设标准多为 C 类,交换机、路由器及防火墙等网络设备为其主要设备。主要业务系统为应用类业务网络系统,通过网络专线与上级行通信,访问上级行的业务系统服务器。在人员配置方面多为一到两人。系统维护,技术支持,安全防范,保障银行业务系统的稳定运行是二级分行信息科技工作的重点。如今随着分支机构和电子设备不断增加以及业务量的不断攀升,系统维护,技术支持的工作量在不断增大,作为与上级行连接的网络分中心,二级分行信息系统的重要性日益凸显,同时面临的信息科技风险也在日益加
4、重。就目前二级分行的信息系统基本情况看,二级分行可能存在的信息科技风险主要有以下几个方面。 1、信息系统实体风险 一是由于不可抗力,机房环境遭受水害、鼠害、火灾、强磁场等自然灾害,导致机房环境遭到破坏的风险;二是防雷系统等安全设施不健全或失灵,致使机房设备遭受雷击和静电侵害,造成设备损坏或工作不正常的风险。三是机房供配电系统出现故障,造成机房停电或设备损坏的风险。四是机房网络核心设备的软、硬件故障,备用设备未能正常接替故障设备,故障无法及时排除,导致网络系统瘫痪的风险。五是通信运营商机房、线路故障或其他原因造成租用的通信线路部分或全部中断,造成业务中断的风险。六是受办公楼基础条件的限制,机房建
5、设过程中遗留下来的某些不可预知的风险。 2、人为风险 人为风险这里是指因人的主观因素而给信息系统带来的风险。一是计算机使用人员安全防范意识不强,操作权限界定不清,从而引发计算机及网络系统操作风险。二是维修、报废设备时,未将硬盘中涉密信息资料或客户信息清除,造成重要信息泄露。三是移动存储介质的内、外网交叉使用,或内网设备非法连接外网造成病毒感染、信息泄露,或大规模病毒爆发造成系统瘫痪的风险。四是不法分子在 ATM 上安装磁条信息读取设备和针孔摄像机,复制银行卡以盗取客户资金或在通信链路上非法私接、窃用、截取数据流等风险。 3、科技管理风险 一是信息系统安全管理体系不健全,导致工作不规范,措施不得
6、当,从而引发生产事故。二是生产事故发生后缺乏合理明确的应急处置流程,或对应急处置流程不熟悉,不能及时有效地处理生产事故,排除风险。三是未对重要信息进行有效地识别和备份,在重要信息遗失、受损和破坏的情况下不能顺利进行恢复和再生。 三、信息科技风险形成的原因分析 通过以上对信息科技风险的分析不难得出其形成的原因,首先是未形成完善的信息科技风险监测和保障体系,缺少识别、监测信息系统风险的技术和手段,无法及时发现存在的安全隐患。其次是对信息科技风险及其影响缺乏全面而深刻的认识,操作人员风险防范意识淡薄。再次是信息科技风险管理制度不健全,缺少一套完善的信息科技安全管理体系对日常工作进行指导和规范。最后是
7、忽视信息科技风险的预防,多数二级分行中心机房未配备环境监控系统,不能对机房内的供电、温湿度及软硬件进行实时监控,无法在第一时间对机房内出现的异常情况发出警报,使信息科技人员根据警报采取有效的应对措施。另外应急处置机制不完善,一旦发生问题,应急预案难以生效。 四、信息科技风险防范对策建议 为保证二级分行计算机系统的安全稳定运行以及各项工作的顺利开展,我认为应该从以下几个方面对信息科技风险进行防范。 第一,充分认识信息科技安全的重要性,将信息科技风险纳入全行的总体风险框架,完善信息科技风险管理机制,建立全系统自上而下的信息科技风险管理体系,各相关职能部门明确职责,提高认识,协作配合,形成整体合力,
8、加大对信息科技风险的防范力度。 第二,加大信息科技投入,完善机房基础设施配备,对关键设备进行冗余配置,实现双机热备份,提高计算机系统的可用性,避免因系统单点故障而导致整个业务系统中断。同时对各应用系统做好必要的数据备份,备份是数据高可用的最后一道防线,其目的是为了在系统数据崩溃后能够快速的恢复数据,保障系统的正常运行。 第三,建立健全信息系统安全管理相关规章制度,完善岗位职责和责任追究制度,并在日常工作中严格执行,注重落实。制度是规范员工行为的准则,是信息系统安全管理的基础和依据,制度的执行和落实是安全生产的生命线,是有效防控信息科技风险根本保障。需加强网络管制,制定并严格执行机房管理、内外网
9、隔离、互联网接入审批等科技管理相关制度,抓好事前预防,用制度约束行为,同时严格落实相关责任制和事故追究责任制。 第四,加强对信息科技风险知识的学习与培训。态度决定一切,细节决定成败,对于二级分行科技人员,其工作态度直接决定了信息科技风险防范能力的高低,因此科技人员应认清新形势下二级分行信息科技工作的重点,强化安全意识和责任意识,始终将安全生产作为工作的第一要务,对自身高标准,严要求,不断通过学习提高专业技能,提高信息安全管理控制能力。对于业务操作人员,应明确其权限和责任范围,并按照权限、责任范围实行严格的限制,相互制约、互相监督,防止权限过于集中,避免出现管理空档。不断培养全员科技风险防范意识
10、和制度执行意识,在思想上筑起一道防范信息科技风险的“防火墙” ,从而有效地预防因人员操作不规范而引起的计算机操作风险。 第五,做好日常维护工作,加强风险排查。良好的日常维护工作是发现并排除隐患,实现信息系统安全稳定运行的重要途径,需建立机房巡检机制,做好日常的设备巡检工作,尤其是要加强对全行网络设备以及供电系统的检查,有效防范信息系统实体风险。注重计算机病毒的检测和防治,防止“黑客”入侵和病毒侵害。高度重视并积极配合上级行及相关监管部门的监督检查,提高信息科技风险监管合力,通过定期对信息科技系统开展全面的风险排查,实现对信息科技风险的及时预警、识别、和控制。 第六,建立有效的突发事件应急处置体
11、系,不断完善应急预案,确保应急预案的针对性、有效性和可操作性。加强应急管理,并定期组织演练,使应急人员熟悉应急处置流程,提高应急处置能力。同时需加强与监管部门、人民银行、电信运营商以及设备厂商等外部单位之间的沟通协调,确保信息系统事件发生时外部协作的及时有效。凡事预则立,不预则废,只有认真做好充分的准备工作,做到心中有数,才不至于临阵手忙脚乱,不知所措。 五、结语 综上所述,安全无小事,对于二级分行,保障信息系统的安全运行仍然是信息科技工作的重中之重,信息科技风险防范工作任重而道远,只有全行各条线人员提高认识,共同努力,团结协作才能构筑起一道信息科技的安全防线,保障各系统的平稳运行以及各项业务的正常开展。 【参考文献】 1 中国银行业监督管理委员会:商业银行信息科技风险管理指引J.2009(6). 2 王庆:浅谈建立健全城市商业银行信息科技风险管理体系J.现代经济信息,2010(7). 3 张磊:银行业信息科技风险管理的三个维度J.金融电子化,2011(2). 4 宋春燕:一级分行信息科技风险点分析及防范策略J.中国金融电脑,2009(11). 5 张海利、王振华:商业银行信息科技风险分析及对策J.中国金融电脑,2011(9). 6 刘涵:商业银行信息安全风险管理体系研究J.北京邮电大学,2010(5).
