


全文預(yù)覽已結(jié)束
下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
導(dǎo)讀調(diào)查顯示,大多數(shù)中小商業(yè)銀行信息系統(tǒng)建設(shè)都存在滯后問題,系統(tǒng)運(yùn)行、網(wǎng)絡(luò)安全、數(shù)據(jù)集中、系統(tǒng)設(shè)計(jì)、外包、業(yè)務(wù)連續(xù)性以及技術(shù)操作等一系列新的信息系統(tǒng)風(fēng)險(xiǎn)正逐漸暴露在我們的面前,形成了一定的安全隱患。 隨著我國(guó)銀行業(yè)信息系統(tǒng)建設(shè)持續(xù)發(fā)展,核心業(yè)務(wù)系統(tǒng)、網(wǎng)上銀行、自助終端、銀行卡等具有高科技含量的系統(tǒng)和設(shè)備被廣泛應(yīng)用,在提升金融服務(wù)效率和增加服務(wù)品種的同時(shí),信息系統(tǒng)潛在的風(fēng)險(xiǎn)也逐漸顯現(xiàn)。調(diào)查顯示,大多數(shù)中小商業(yè)銀行信息系統(tǒng)建設(shè)都存在滯后問題,系統(tǒng)運(yùn)行、網(wǎng)絡(luò)安全、數(shù)據(jù)集中、系統(tǒng)設(shè)計(jì)、外包、業(yè)務(wù)連續(xù)性以及技術(shù)操作等一系列新的信息系統(tǒng)風(fēng)險(xiǎn)正逐漸暴露在我們的面前,形成了一定的安全隱患。一、我國(guó)中小商業(yè)銀行信息安全現(xiàn)狀(一)建設(shè)趨規(guī)范:金融監(jiān)管延伸至信息化領(lǐng)地在我國(guó)金融業(yè)從傳統(tǒng)運(yùn)作模式向現(xiàn)代運(yùn)作模式轉(zhuǎn)變的背景下,金融監(jiān)管開始適應(yīng)金融業(yè)的信息化運(yùn)作模式,更加具體細(xì)致地與信息技術(shù)聯(lián)系在一起。2007年,公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室頒布了信息安全等級(jí)保護(hù)管理辦法。2006年人民銀行出臺(tái)了關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見,2009年9月,人民銀行對(duì)全國(guó)66家銀行業(yè)金融機(jī)構(gòu)網(wǎng)銀系統(tǒng)安全進(jìn)行了現(xiàn)場(chǎng)檢查,并通過跟蹤整改,促進(jìn)各銀行提高對(duì)信息安全保障工作的重視程度,同月,人民銀行在銀行業(yè)信息安全通報(bào)會(huì)上表示,要將銀行信息安全納入考核。銀監(jiān)會(huì)制定的電子銀行業(yè)務(wù)管理辦法、電子銀行安全評(píng)估機(jī)構(gòu)業(yè)務(wù)資格認(rèn)定工作規(guī)程、電子銀行安全評(píng)估指引、商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引等法規(guī)制度相繼出臺(tái),各商業(yè)銀行也大力推動(dòng)了IT審計(jì)的進(jìn)程。歸納起來看,這幾部法規(guī)強(qiáng)調(diào)了三個(gè)重點(diǎn)。一是關(guān)于銀行業(yè)金融機(jī)構(gòu)完善IT治理結(jié)構(gòu)方面,通過構(gòu)建和完善金融機(jī)構(gòu)內(nèi)與信息技術(shù)應(yīng)用有關(guān)的組織架構(gòu)及工作程序,有效地識(shí)別、度量、跟蹤和控制信息技術(shù)風(fēng)險(xiǎn)。二是規(guī)定了從事某些嚴(yán)重依賴信息技術(shù)的銀行業(yè)務(wù)的資質(zhì)。三是對(duì)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、管理,與國(guó)際銀行業(yè)的發(fā)展趨勢(shì)相一致。(二)發(fā)展有差距:中小商業(yè)銀行信息安全建設(shè)整體水平落后于股份制商業(yè)銀行近年來,我國(guó)各股份制商業(yè)銀行為了提高競(jìng)爭(zhēng)力,相繼對(duì)核心業(yè)務(wù)系統(tǒng)和后臺(tái)管理系統(tǒng)進(jìn)行了改造開發(fā),信息化發(fā)展水平相對(duì)比較先進(jìn),且信息安全體系較為健全。目前,大部分股份制銀行或是穩(wěn)健引進(jìn)國(guó)外核心業(yè)務(wù)系統(tǒng),或是通過自身的研發(fā)力量,不斷地在原有系統(tǒng)基礎(chǔ)上,打造出更適合未來發(fā)展的新系統(tǒng),以全面提升信息化建設(shè)水平為落腳點(diǎn),在信息安全管理方面作出了令人矚目的成績(jī)。相比之下,中小商業(yè)銀行,特別是城市商業(yè)銀行、城信社、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行及農(nóng)信社的信息化建設(shè)嚴(yán)重滯后于業(yè)務(wù)發(fā)展的需要,其信息安全管理亦存在較多隱患。(三)防范多漏洞:中小商業(yè)銀行信息安全隱患驟增中小型金融機(jī)構(gòu)信息系統(tǒng)眾多安全環(huán)節(jié)都存在漏洞,首先是核心數(shù)據(jù)的安全沒有保障,表現(xiàn)在:第一,核心計(jì)算機(jī)機(jī)房的建設(shè)符合標(biāo)準(zhǔn)的不多,在選址、供電、機(jī)房的建設(shè)標(biāo)準(zhǔn)、機(jī)房的安保措施都或多或少存在問題。第二,沒有能力建設(shè)自身的異地備份中心,所有的數(shù)據(jù)存在于一個(gè)點(diǎn)上,如果發(fā)生極端情況,后果將是災(zāi)難性的。其次,在建設(shè)過程中,因?yàn)闆]有統(tǒng)籌考慮,對(duì)于系統(tǒng)安全部分的硬件設(shè)施、軟件設(shè)計(jì)模塊缺乏,造成諸如審計(jì)、保密、數(shù)據(jù)傳輸中的完整性、數(shù)據(jù)正確性、對(duì)外來攻擊的預(yù)防等安全措施弱化或缺失。再次,在系統(tǒng)投入生產(chǎn)后的運(yùn)維周期,主要依靠系統(tǒng)承包商,自身的能力不足以做好運(yùn)維工作,人力風(fēng)險(xiǎn)明顯。二、中小商業(yè)銀行信息安全風(fēng)險(xiǎn)分析(一)IT外包風(fēng)險(xiǎn)-忽略業(yè)務(wù)連續(xù)性的無奈選擇在國(guó)內(nèi)中小銀行IT外包迅速發(fā)展的同時(shí),也面臨諸多風(fēng)險(xiǎn)。一是市場(chǎng)風(fēng)險(xiǎn)。中國(guó)的IT服務(wù)市場(chǎng)仍不夠成熟,一旦IT外包后,商業(yè)銀行需要借助外包商的力量規(guī)避市場(chǎng)需求變化的風(fēng)險(xiǎn),且銀行也不可能輕易涉入外包商的經(jīng)營(yíng)管理工作中,對(duì)中小銀行而言,市場(chǎng)的不確定性很大。二是技術(shù)風(fēng)險(xiǎn)。外包商研發(fā)能力與銀行現(xiàn)有的技術(shù)不匹配.就會(huì)嚴(yán)重阻礙銀行的信息化進(jìn)程;外包商采用的新技術(shù)不夠成熟,將危及整個(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的穩(wěn)定性和安全性。三是交易風(fēng)險(xiǎn)。由于外包市場(chǎng)的不成熟,服務(wù)標(biāo)準(zhǔn)的不完善,交易雙方市場(chǎng)信息的不對(duì)稱,商業(yè)銀行在價(jià)格、質(zhì)量、時(shí)間等方面承擔(dān)一定的風(fēng)險(xiǎn)。四是戰(zhàn)略風(fēng)險(xiǎn)。易造成核心信息外泄。(二)災(zāi)備恢復(fù)風(fēng)險(xiǎn)-效益與成本之間的兩難選擇災(zāi)備中心的運(yùn)營(yíng)是構(gòu)建業(yè)務(wù)連續(xù)管理體系非常重要的一環(huán)。一個(gè)運(yùn)行良好、作用有效的災(zāi)難備份與恢復(fù)體系建設(shè)不僅涉及IT、業(yè)務(wù)、財(cái)務(wù)、后勤保障等部門,還需獲得消防、電力和電信行業(yè)等相關(guān)部門、單位的支持,以確保相應(yīng)的配套資源。2005年以來,為應(yīng)對(duì)因數(shù)據(jù)大集中而帶來的技術(shù)風(fēng)險(xiǎn)集中,以工商銀行為代表的國(guó)有商業(yè)銀行采取了自建災(zāi)備中心的措施,多數(shù)全國(guó)性股份制商業(yè)銀行也基本完成了災(zāi)備中心建設(shè)。但出于成本考慮,中小商業(yè)銀行的災(zāi)備建設(shè)還未出現(xiàn)良好的“中國(guó)模式”。中國(guó)的中小商業(yè)銀行,特別是城市商業(yè)銀行在系統(tǒng)災(zāi)難備份方面幾乎是空白。(三)信息安全認(rèn)識(shí)偏差產(chǎn)生的風(fēng)險(xiǎn)-運(yùn)行機(jī)制不健全的產(chǎn)物與國(guó)有商業(yè)銀行及股份制銀行相比,我國(guó)中小商業(yè)銀行的信息化進(jìn)程起步較晚,對(duì)隨之而來的信息安全問題一定程度上存在認(rèn)識(shí)偏差。以咸陽中小商業(yè)銀行為例,大部分對(duì)于信息安全與網(wǎng)絡(luò)安全的區(qū)別認(rèn)識(shí)不清,僅重視安全工具投資而忽視管理投資,大多信息安全工作不成體系。在當(dāng)前信息化由局部化應(yīng)用向一體化應(yīng)用演變、信息管理由分散化向集中化過度的背景下,這種由認(rèn)識(shí)偏差而產(chǎn)生的風(fēng)險(xiǎn)極易導(dǎo)致信息化建設(shè)重復(fù)投資、管理無序,由此而帶來的信息安全隱患亦隨著信息化進(jìn)程的加速而倍增。三、我國(guó)中小商業(yè)銀行信息安全建設(shè)的戰(zhàn)略選擇相較國(guó)有商業(yè)銀行及股份制銀行,中小商業(yè)銀行在信息安全建設(shè)方面處于后來者的地位,在自籌資金有限,管理水平較低,硬件設(shè)備投入不夠的緊迫壓力下,為避免重復(fù)投資、無序管理,一個(gè)科學(xué)合理的規(guī)劃尤為重要。可預(yù)見的一段時(shí)期,我國(guó)中小商業(yè)銀行的總體目標(biāo)應(yīng)是:通過建立完善的信息安全管理制度和安全防御技術(shù)手段,構(gòu)建一個(gè)包括管理體系、組織體系與技術(shù)體系相結(jié)合的全方位、多層次、可動(dòng)態(tài)發(fā)展的縱深安全防范體系,為金融業(yè)務(wù)的發(fā)展提供一個(gè)堅(jiān)實(shí)的基礎(chǔ)保障。為實(shí)現(xiàn)上述目標(biāo),我國(guó)中小商業(yè)銀行信息安全建設(shè)應(yīng)在戰(zhàn)略上作出以下策略選擇。(一)以確保信息安全建設(shè)的協(xié)調(diào)性、開放性和持續(xù)性為戰(zhàn)略重點(diǎn)進(jìn)行遠(yuǎn)期規(guī)劃中小商業(yè)銀行必須重視做好全面、系統(tǒng)的信息系統(tǒng)架構(gòu),將安全融入整個(gè)信息系統(tǒng)生命周期中,通過借鑒其他銀行的成功經(jīng)驗(yàn),明確階段性建設(shè)目標(biāo),力爭(zhēng)在前期以最少的資金投入獲得高標(biāo)準(zhǔn)的信息服務(wù)和安全保障。中小商業(yè)銀行信息安全遠(yuǎn)期規(guī)劃的首要任務(wù)是組織行內(nèi)外力量,結(jié)合本行信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃和經(jīng)營(yíng)管理戰(zhàn)略,在充分把握金融信息技術(shù)發(fā)展趨勢(shì)的基礎(chǔ)上,全面分析銀行外部經(jīng)營(yíng)環(huán)境及內(nèi)部經(jīng)營(yíng)環(huán)境,立足現(xiàn)實(shí)的資源能力,對(duì)銀行信息安全建設(shè)的總體目標(biāo)、實(shí)施步驟、關(guān)鍵技術(shù)、相關(guān)規(guī)范、階段劃分及費(fèi)用評(píng)估進(jìn)行統(tǒng)籌安排。(二)以健全和完善IT安全治理機(jī)制為重點(diǎn),提高信息安全的管理績(jī)效當(dāng)IT成為銀行業(yè)務(wù)發(fā)展和管理不可或缺的組成部分,并在提供收益的同時(shí)帶來風(fēng)險(xiǎn)時(shí),銀行對(duì)IT必須從管理走向治理。有效的IT安全治理需要解決三個(gè)方面的問題。首先是明確目標(biāo)。一是必須確保銀行IT安全治理與IT治理的目標(biāo)、內(nèi)容、步驟環(huán)環(huán)相扣,緊密銜接,并作為銀行公司治理整體的一部分和諧共存。二是明確IT治理的決策內(nèi)容,即IT原則、IT架構(gòu)、IT基礎(chǔ)設(shè)施、IT商業(yè)應(yīng)用及IT投資。三是根據(jù)自身實(shí)際情況制定IT安全治理計(jì)劃。其次是解決IT安全治理的組織性問題,關(guān)鍵是準(zhǔn)確定義銀行IT安全治理的角色和職責(zé)。最后是完善IT安全治理的控制機(jī)制。一是IT投資的控制機(jī)制。應(yīng)根據(jù)銀行IT安全管理的實(shí)際情況,針對(duì)薄弱環(huán)節(jié),按安全級(jí)別進(jìn)行排序,優(yōu)先把資金投入到銀行急需的IT安全資源中。二是IT安全治理的監(jiān)控機(jī)制。(三)以加強(qiáng)IT風(fēng)險(xiǎn)管理為重點(diǎn),全面構(gòu)筑信息安全保障體系一是加強(qiáng)組織管理體系建設(shè),落實(shí)風(fēng)險(xiǎn)管理和安全運(yùn)行責(zé)任制。重點(diǎn)在發(fā)現(xiàn)整個(gè)信息系統(tǒng)的薄弱環(huán)節(jié),區(qū)分業(yè)務(wù)風(fēng)險(xiǎn)和信息系統(tǒng)風(fēng)險(xiǎn),制定出相應(yīng)的風(fēng)險(xiǎn)防范辦法加以落實(shí)并對(duì)結(jié)果進(jìn)行檢查,建立起自身的風(fēng)險(xiǎn)防范機(jī)制。二是加強(qiáng)信息安全保障體系建設(shè),完善應(yīng)急反應(yīng)體系和商業(yè)銀行業(yè)務(wù)連續(xù)性計(jì)劃,加快建立災(zāi)備恢復(fù)體系,建設(shè)應(yīng)急儲(chǔ)備倉(cāng)庫(kù),倉(cāng)庫(kù)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 河北省石家莊市二十八中學(xué)2024年九年級(jí)化學(xué)第一學(xué)期期末復(fù)習(xí)檢測(cè)試題含解析
- 2025至2030運(yùn)動(dòng)和健身房地板行業(yè)發(fā)展趨勢(shì)分析與未來投資戰(zhàn)略咨詢研究報(bào)告
- 河南省開封市蘭考縣2024年八年級(jí)物理第一學(xué)期期末達(dá)標(biāo)檢測(cè)試題含解析
- 倉(cāng)儲(chǔ)物流中心車間出租管理合同
- 空間技術(shù)裝備市場(chǎng)拓展策略研究
- 水輪機(jī)技術(shù)革新前沿:1000MW級(jí)混流式水輪機(jī)行業(yè)深度研究
- 2025至2030體外診斷試劑市場(chǎng)行業(yè)發(fā)展趨勢(shì)分析與未來投資戰(zhàn)略咨詢研究報(bào)告
- 2025至2030中國(guó)自行車消費(fèi)GPS行業(yè)市場(chǎng)深度研究及發(fā)展前景投資可行性分析報(bào)告
- 2025至2030中國(guó)自動(dòng)閘門操作員行業(yè)發(fā)展趨勢(shì)分析與未來投資戰(zhàn)略咨詢研究報(bào)告
- 2025至2030中國(guó)自動(dòng)離合器行業(yè)市場(chǎng)深度研究及發(fā)展前景投資可行性分析報(bào)告
- HG-T20678-2023《化工設(shè)備襯里鋼殼設(shè)計(jì)標(biāo)準(zhǔn)》
- 初中數(shù)學(xué)分層作業(yè)設(shè)計(jì)論文
- 中小學(xué)校長(zhǎng)管理案例
- 《電力設(shè)施治安安全風(fēng)險(xiǎn)等級(jí)和安全防護(hù)要求》
- 工程項(xiàng)目部安全生產(chǎn)治本攻堅(jiān)三年行動(dòng)實(shí)施方案
- 四川建筑安全員-C證考試(專職安全員)題庫(kù)及答案
- 光伏驗(yàn)收?qǐng)?bào)告
- 職業(yè)倦怠量表MBI-HSS
- 學(xué)校桌椅采購(gòu)?fù)稑?biāo)方案
- 盤扣式外腳手架施工方案
- 初中數(shù)學(xué)目錄(浙教版)
評(píng)論
0/150
提交評(píng)論