• 快捷搜索
  • 全站搜索

提升防护能力 确保银行业信息系统安全

2012-08-28 16:01:37作者:高松编辑:
银行业网络与信息系统是国家网络基础设施的重要组成部分,其安全稳定运行关乎人民群众的切身利益,关系到金融稳定和社会稳定的大局。

为了确保银行业网络与信息系统安全运行,近期,人民银行会同银监会在北京召开会议部署了银行业金融机构开展网络与信息安全的自查工作。不久,银监会又设立信息科技监管部,以加强银行业信息科技监管督导和专项排查。可以看出,银行业信息科技风险已引起监管部门的重视,各商业银行需要积极应对。

信息科技风险凸显
  在复杂的市场环境中,商业银行面临的风险是多方面的,主要包括信用风险、市场风险、操作风险等。按照新《巴塞尔资本协议》的规定,操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件造成的风险,包括内部欺诈、外部欺诈、劳动合同及工作场所、客户产品及业务操作、实体资产损坏、业务中断和系统失败以及执行、交割和流程管理问题等内容,而其中的业务中断和系统失败指的就是信息科技领域的风险。

  随着金融电子化程度的日益提高以及数据集中体系建设力度的加大,商业银行业务对信息科技的依赖度显著增强,由此带来包括信息科技系统策略、数据集中度、系统设计外包、系统处理中断以及技术操作等一系列新的风险点。近几年,我国金融机构因为信息系统故障导致业务无法开展的例子并不鲜见,而作为金融同业的韩国农协银行在2011年爆发的重大信息安全事件仍历历在目,教训深刻。作为韩国境内最大的四家银行之一,农协银行由于信息系统遭受黑客攻击,大量业务数据遭到恶意删除、篡改和泄漏,导致该行所有分行全部停业,服务中断时间长达3天,造成3500万客户信息遭到泄漏,堪称全球金融业最严重的数据泄漏事件。可以肯定地说,信息科技风险已成为商业银行不容忽视的重要风险之一。

监管部门频频出击
  为了应对日益凸显的信息科技风险,我国金融监管部门频频出击,不断加强银行业信息科技风险监管力度。人民银行要求从维护金融稳定的角度来看待银行业科技风险,将其纳入全面风险的管理框架;银监会在2009年出台了《商业银行信息科技风险管理指引》,从技术与管理两个层面为我国商业银行信息科技风险管理工作指明了方向。

  为进一步做好信息科技风险控制工作,近日,人民银行会同银监会召开了银行业金融机构网络与信息安全检查工作动员部署会议,会议传达学习了国务院关于开展重点领域网络与信息安全检查行动的要求,紧急部署了银行业金融机构开展网络与信息安全的自查工作。

  人民银行副行长李东荣指出,当前网络与信息领域新技术、新应用发展迅速,信息安全新情况、新问题不断涌现,信息安全事件时有发生,我国面临着严峻复杂的信息安全形势。银行业金融机构必须高度重视此次自查工作:要加强组织领导,落实工作责任;要认真研究自查中发现的问题,采取有效措施进行整改;要强化信息报送,及时报告自查中发现的重大安全隐患,并做好自查总结工作;要做好风险控制和保密管理,确保被检查信息系统正常运行,涉密信息得到有效保护。

  与此同时,银监会正式设立信息科技监管部。新设立的信息科技监管部负责制定银行业信息科技监管政策,指导银行业信息科技发展规划,开展信息科技非现场监管和现场检查,处置信息科技突发事件,开展银行业标准化相关工作以及银监会信息科技风险防范工作归口管理。据了解,下一步,信息科技监管部将深入开展风险评估、监测、评级和现场检查工作,促进银行业信息化建设和信息科技风险管控工作健康发展。

商业银行要积极应对
  信息科技风险作为金融风险的重要组成部分受到银行业机构的一致重视,各大商业银行通过建设信息科技风险管理信息系统和IT审计系统、完善信息科技治理结构、健全科技管理制度,初步形成了富有自身特色的信息科技风险管理体系,有效保障了银行业稳健运行。此次全国范围的重点领域网络与信息安全检查行动,是国家加强信息安全保障工作的一项重要举措,也是商业银行提升自身信息科技风险管理水平的一次重要契机。

  一直以来,农行高度重视信息科技风险管理工作,在坚持“科技立行”的发展战略下,按照“积极防御、综合防范”的方针,以安全生产为中心,以保障业务连续性为出发点,初步建立了能够适应农行信息化发展的信息科技风险管理的“三道防线”,并纳入全面风险管理体系。

  对于此次网络与信息安全自查工作,农行进行了紧急动员和统一部署。自查工作将从网络与信息安全涉及的物理层面、网络层面、系统层面、应用层面、数据层面等多个维度入手,尽量做到风险排查到位、管理措施到位、整改落实到位,从维护银行业务稳健运行的全局出发,加强信息科技监管和专项排查。通过开展专项自查工作,进一步梳理、掌握信息系统基本情况,查找突出问题和薄弱环节,分析面临的安全威胁和风险,评估安全防护水平,有针对性地采取防范对策和改进措施,加强信息系统安全管理和技术防护,促进安全防护能力和水平提升,切实保障信息安全;通过开展专项自查工作,进一步检验信息科技风险管理体系的科学性和有效性,完善信息科技风险管理制度,提升信息科技风险规范化和精细化管理水平,提高员工风险防范意识,完善信息科技风险监测和预警机制,实现风险管理防线的前移,做到对信息科技风险早发现、早处置,做到“防患于未然”。

(文章来源:中国城乡金融报)
 

扫码即可手机
阅读转发此文

本文评论