一、銀行業信息安全概述

就銀行業而言，幾乎所有的業務都運行在IT基礎設施之上，尤其是新出現的金融產品和服務更加趨于開放和互聯，進一步加強了對信息系統的依賴程度。

信息系統和信息安全已經成為操作風險管理的重要內容。信息的保密性、完整性、有效性以及信息系統可用性對銀行業務的成敗起著至關重要的作用。

美國的金融服務現代化法案（GLBA，Gramm-Leach-Bliley Act），要求銀行對某些關鍵信息的保密性、完整性等進行保護。巴塞爾銀行監管委員會設立的電子銀行小組（EBG）發表了《電子銀行風險管理原則》，確定了進行電子銀行業務風險管理的14條基本原則，這些大都已經在銀行信息安全管理中得到了不同程度的應用?！缎掳腿麪枀f議》強調在進行風險管理的時候，不僅僅要重視傳統的信用風險，而且要將操作風險放在一個重要的地位。

在中國，金融監管部門對于信息安全也作出了相應的界定。中國銀行業監督委員會《商業銀行信息科技風險管理指引》（銀監發〔2009〕19號）如此定義：信息安全風險是指信息系統在規劃、研發、建設、運行、維護、監控及退出過程中，由于技術和管理缺陷產生的操作、法律和聲譽等風險，具有技術性高、涉及范圍廣、隱蔽性強等特征。

信息安全管理在中小城市商業銀行面臨挑戰。首先是技術問題，表現為計算機硬件、軟件、網絡以及相應業務信息系統所引發的異常情況，包括程序錯誤、系統宕機、軟件缺陷、操作失誤、硬件故障、容量不足、網絡漏洞、故障恢復災難備份以及應急處理等諸多內容。

其次是管理問題，不僅包括信息系統的管理，而且包括中小城市商業銀行各種業務數據的管理。本文就信息系統及其產生的數據，結合中小銀行的特點，在運維、日常使用、應急處置過程中由于管理缺陷產生的風險隱患等方面的內容展開討論。

二、中小城市商業銀行信息安全現狀

（一）信息安全意識不強，綜合管理能力受限

我國中小城市商業銀行規模小、網點少、信息化建設起步晚，因此信息安全意識和管理綜合能力遠落后于信息系統的發展需求。主要體現在以下幾方面。

首先，中小城市商業銀行的自身性質使高級管理層更加關心財務報表，而忽視服務這些財務報表的信息系統，甚至不能明確信息安全是什么。對于信息安全的投入大部分限于基礎設備和系統，卻不知其信息系統的可用性、信息資產的保密性、可控性對其業務的重要作用。

其次，中小城市商業銀行員工普遍認為，信息安全管理工作的效果取決于信息技術，卻不知道用戶對信息系統的每個操作都具有威脅的可能，操作不當將轉變為風險。如信息系統終端密碼長度的最小設定和定期性更改就是最為簡單的安全設施，但對于規范的設置，部分員工認為其降低了工作效率。IDE統計的數據表明，企業中信息系統相關服務中斷，78％以上是人為造成。

最后，中小城市商業銀行信息系統的運維人員則把信息安全管理工作看成是技術問題，過分強調信息系統的可用性，認為信息安全管理工作就是網絡安全和核心主機安全。其實信息安全更多應該是個管理問題，信息系統的可控性和保密性是信息安全不可或缺的部分，合理的管理制度與嚴格的落實才是保障信息安全的基礎。

（二）信息建設投入不足，系統軟硬件環境落后

受各方因素掣肘，中小城市商業銀行普遍存在信息化基礎設施投入不足，無法滿足業務發展需要的問題。

在對全國31個省、自治區和直轄市的四百多家中小城市商業銀行進行調查時發現，受訪的中小城市商業銀行72.56%認為信息安全相關的技術人員不能滿足工作需要，約18%認為機房場地不足，9.32%認為資金投入不足。31.25%的受訪者認為系統災備能力不足，29.50%認為信息系統的冗余容錯能力不足。

國際標準通常如此建議，如果銀行的核心業務系統主機容量使用率超過60%，就須擴大系統容量，但國內很多銀行IT基礎設施都不能滿足該指標，如工行等國有銀行該項指標的平均使用率為67%，個別中小銀行甚至高達90%。

（三）缺乏風險管理標準，應急處置能力有限

信息化給中小城市商業銀行帶來好處的同時，也帶來了新的風險，諸如信息系統本身的設計規劃不當、人為操作錯誤和攻擊破壞，以及安全管理制度的不完善或執行不到位等，都會引起系統故障以及業務中斷。但首先這些銀行并未建立信息系統風險識別、度量、監測、報告和控制管理標準，對于信息系統的威脅和風險事件不能通過科學的方法提前發現，只能在問題出現后被動應對。其次，信息系統的災備系統和容錯能力難以滿足業務安全性的要求，應急事件處置流程缺少業務部門的主動參與。就業務流程來說，其每個環節幾乎都能觸發信息安全事件，因缺乏對風險的識別和處理能力，信息系統一線業務人員通常在其出現問題時才會求助技術部門，應急事件處置被動，甚至影響系統的安全性。

三、構建信息安全體系的建議

（一）多層次培訓提升信息安全綜合能力

首先，樹立正確的信息安全觀念，建立牢固的信息安全意識。信息安全錯綜復雜，且與中小城市商業銀行業務、發展戰略和內部管理關系密切，與每個信息系統的參與者息息相關。只有思想上的重視、制度上的合理以及操作上的合規才能保障信息系統的安全。

其次，加強對監管層關于科技風險治理信息安全文件的學習，加大對信息安全管理的實施者的專業培訓，以此轉變技術人員的觀念，提高預防性管理水平，從而保障網絡安全和核心主機安全，做好技術支持。

（二）建立與業務架構相關的信息安全管理體系

當今商業銀行業務對信息系統的依賴程度不斷加深，商業銀行的業務創新基本上離不開信息系統的有效支撐。信息系統都是以服務業務為宗旨，僅靠中小銀行內部的個別部門無法做好信息安全管理工作，因此建立合適的中小城市商業銀行信息安全管理體系顯得尤為重要。

從商業銀行的業務組織架構著手，參照國際信息安全管理標準體系ISO/IEC17799，銀監會發布的《商業銀行信息科技風險管理指引》等行業標準，結合不同信息系統的威脅和風險，建立與自身發展戰略相適應的信息安全管理組織架構、管理制度等。明確最高管理層對信息安全管理的決策力和推動力，高級管理層對信息安全管理、風險管理重要事項的決策和協調作用，制訂信息安全管理方案，包括信息科技安全標準、策略、實施計劃和持續維持計劃等。落實部門負責人對信息安全管理、風險管理的職責，定期向上級主管部門提交信息安全評估報告，確保信息安全管理與發展戰略一致，使組織內部的溝通協調能夠順利進行，推動信息安全管理工作有效落實。

（三）建立分級內控把控信息安全風險

巴塞爾銀行監管委員會發布的《操作風險管理與監管的穩健做法》指出，“銀行應該制訂控制和/或緩釋重大操作風險的政策、程序和步驟。銀行應該定期檢查其風險限度和控制戰略，并且根據其全面的風險喜好和狀況，通過使用合適的戰略，相應地調整其操作風險狀況”，“董事會要確保本行的操作風險管理系統受到內審部門全面、有效的監督，內審部門必須擁有一支獨立運作、訓練有素、業務精良的內審隊，內審部門不應直接負責操作風險的管理”。2003年7月發布的《電子銀行業務的風險管理原則》安全控制部分要求商業銀行從信息系統的保密性、完整性和可用性等方面做好自身信息安全工作，涉及客戶身份識別、授權，業務交易的不可抵賴性、責任認證，交易和業務信息的完整、保密和可控等方面。

銀監會的《商業銀行信息科技風險管理指引》內部審計部分也對商業銀行作出類似要求，“商業銀行內部審計部門應根據業務的性質、規模和復雜程度，對相關系統及其控制的適當性和有效性進行監測。內部審計部門應配備足夠的資源和具有專業能力的信息科技審計人員，獨立于本銀行的日?；顒?，具有適當的授權訪問本銀行的記錄?！?/p>

商業銀行應從業務和技術兩個層面，對銀行內部信息安全進行細分，結合本身信息安全現狀制訂完善的安全管理規章制度以及工作流程。業務層面應該基于業務操作和流程對業務人員、管理人員作出規定，明確誰操作誰負責，誰使用誰負責；內部審計部門要負責全行內控制度的檢查與監督功能，對內控信息安全風險點作出評級并提出改進建議。在技術層面應基于如ISO/IEC 17799等國際標準及國內監管機構出臺和制訂的信息安全標準和制度，從信息系統的物理環境安全、網絡環境安全、系統應用安全、運維管理安全等角度，明確誰運營誰負責，誰維護誰負責。制度流程應約束管理層遵從事前要預防、事中要檢查、事后要審計三原則，制度內容應包括安全組織、人員管理、安全策略、應急響應等，并根據信息安全形勢和需求及時修訂和補充。

（四）建立量化信息安全評級標準

鑒于銀行業務的不斷發展和信息技術的持續更新，信息系統始終處在不同的變更過程中，這也導致新的安全漏洞和威脅不斷出現，中小城市商業銀行的信息資產也會持續出現新的安全脆弱點，從而影響到整個信息系統的安全風險狀態和安全等級。巴塞爾銀行監管委員會對此也作出明確要求，其發布的操作風險的第5條管理原則指出：銀行應該建立經常性的操作風險監控流程，定期向管理層報告操作風險的相關信息，實現對操作風險的積極管理。

中小城市商業銀行應建立一套動態的信息安全狀況跟蹤和監控機制。內容應涉及機房環境、網絡安全、安全運維、主機應用安全、應用接入端信息安全管理等模塊?？梢詤⒖笺y行業監督管理委員會發布《銀行業金融機構信息系統風險管理指引》科技治理部分?！度嗣胥y行信息系統信息安全等級保護實施指引（試行）》等規定設計符合自己需要的威脅和風險事件列表，以此為量化信息安全的標準并定期進行評估，形成評估安全基線，對信息安全工作有整體、客觀的把握。重點監控威脅程度高的預定義事件，并建立應急預案。

（五）完善信息安全基礎環境建設

中小城市商業銀行的核心業務系統基本建成，但其信息系統軟硬件環境遠落后于業務發展需要，尤其是不能滿足信息安全相關要求。雖然國內目前還沒有明確的容災備份標準，但考慮到中小城市商業銀行業務系統服務中斷，業務數據不可恢復會對其造成災難性打擊的可能，應積極建設災備系統，將異地數據、業務中心寫入中小城市商業銀行的公司發展戰略中，作為完善應急處理機制的核心內容之一。在建設災備和異地中心時，通過參考現有的國際容災標準SHARE 78等來制訂符合自身的建設標準和維護制度，加強管理，并通過共建和引入金融云技術方案等方式來降低初期的成本投入。

參考文獻：

[1]何茂春．商業銀行信息科技風險的量化計量研究[J]．金融論壇，2009（2）：42-48．
[2]馮登國．國內外信息安全研究現狀及其發展趨勢[J]．網絡安全技術與應用，2001（1）：8-13．
[3]馬希佳．銀行信息安全規劃概述[J]．華南金融電腦，2007（7）：64-66．
[4]紀恒建，劉智廣．河北省中小商業銀行信息科技風險狀況調查[J]．金融教學與研究，2008（4）：35-37．