银行信息科技风险及应对策略

    随着银行业信息化建设步伐的加快，金融业务对信息系统的依赖性日益增强，信息科技已经成为银行稳健运营和提高竞争力的基础和保障，在促进银行提高工作效率、提升服务水平、拓展业务范围、优化组织架构等方面日益表现出不可替代的重要作用。在促进银行业务发展的同时, 信息科技风险也日益突出。 

    一、信息技术风险的主要表现：一是银行信息化程度的提高，使信息系统本身固有的风险加大。由于银行信息系统所采用的IT技术与信息系统软硬件本身存在着一定的脆弱性，一旦这些脆弱性被特定的威胁所利用，就会对银行信息系统的保密性、完整性及可用性产生危害。如病毒侵害、系统漏洞、硬件故障、意外灾祸等，都会造成银行信息系统不能正常工作，进而会直接影响到银行业务的连续性，甚至会影响到银行的资金安全。二是银行数据集中处理，加大了信息系统的风险。数据大集中及综合前端上线，在给银行带来诸多好处的同时，相应也使信息系统风险增大，银行信息系统一旦出现问题，如分行前置出现问题或综合前端服务器停止服务，将会影响到很多网点的正常运营。三是网络金融服务的发展，对银行信息系统安全提出了新的挑战。随着信息技术的快速发展，网络金融服务如网上银行、手机银行、电话银行、家居银行等呈现井喷式增长，已成为银行间竞相追逐的新的利润增长点。为顺应开放和互连的趋势，银行业务系统的信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全，银行信息系统面对着来自互联网上黑客、病毒、木马侵袭等更加严重的挑战。

    二、防范信息科技风险的建议：一是建立完善的信息风险防范制度。制度是安全生产的生命线，要有效防控风险，必须完善相关制度，以制度约束员工行为，以制度明确员工责任，以制度指导员工思想。如建立明确的岗位职责、人员分工和岗位制衡的管理机制；建立清晰的工作流程，保障业务的连续性、管理的有效性，增强控制人员风险的实效性。在健全制度的基础上，还要注重对制度执行情况的检查，把检查作为推动制度执行的原动力，确保制度得到有效落实。尤其要做好对数据备份有效性、保密性、涉及自助银行等容易出现风险部位相关制度执行情况的检查。二是打造一支善于攻坚、素质过硬的技术团队。要注重多形式地组织科技人员进行交流培训，开阔眼界，更新知识，提高服务、创新及安全防护水平。此外，要注重整个技术团队的长效激励，在技术职务晋升等方面予以重点考虑，充分调动技术团队的整体积极性，保持进取意识，有效应对人员相对紧张、服务覆盖度不断扩展、知识更新不断加快以及创新要求不断加大等方面的挑战。三是健全激励约束机制。可将信息安全工作纳入日常业务考评机制，设立专项费用，有奖有罚，通过机制逐步改变人们的行为观念，确保信息技术对业务的支撑保障效果，促进业务健康发展。四是加大集中监控与统一管理力度。对办公用机、自助设备防病毒的补丁更新、版本升级等，有必要加大集中监控力度，提高自动化处理程度，减少人工手动干预，从而提高系统效率和安全性，提高运行监控的及时性和规范化程度。例如，在政府实行节能减排，部分地区拉闸限电情况频繁发生的情况下，对电源系统实施自动联网监控，从而实现统一管理和监控，提高对供电基础设施的管理水平，有效防范网点业务停顿风险。五是未雨绸缪，持续做好应急工作。注重持续做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作，并加强应急演练，以保障在突如其来的灾难性事故面前，能够从容应对，迅速恢复生产，尽可能降低事故造成的损失。对无备份线路的网点及自助银行应利用3G无线实现备份，切实保障网络的安全可靠性。六是明确职责，切实做好联动管理。对ATM、POS机、排队机、叫号机、视频播放设备、复印机等与信息科技工作联系密切，但同时由业务部门归口管理的设备，进一步明确各部门条线的管理职责与权限，对安全责任进行明确划分，防止出现管理错位和安全风险。如POS设备目前归属业务部门管理，在商户退出时设备收回及报废、保管、维修等关键环节，如果管理不到位，不及时检查掌握用户情况，极易造成设备流失，引发客户信息泄密及账务安全事件。因此，有必要进一步明确此类设备的归属管理责任，明确分工。