《政策性银行信息科技风险缘故分析和计谋》由会员分享,可在线阅读,更多相关《政策性银行信息科技风险缘故分析和计谋(9页珍藏版)》请在装配图网上搜索。
1、政策性银行信息科技风险缘故分析及计谋现代政策性银行的以后与进展已经与信息科技的进展紧密相关,信息科技风险愈来愈受到人们的关注。如何认知信息科技风险的特点,寻觅产生信息科技风险的本源,充分识别、分类、防范和规避信息科技风险,从而最大限度地降低信息科技风险,是摆在信息科技工作者眼前一个严肃的课题。本文就此做一分析,并提出计谋和建议。一、信息科技风险的特点1 .认知弱。从领导层对业务风险的的认知清楚,很熟悉,但对科技风险对银行的阻碍知晓度不高,参与度不够。2 .难气宇。一样风险可用特定方式气宇,如经营风险可用经营杠杆系数衡量,财务风险可用财务杠杆系数气宇。但因为信息科技风险的不确信性更强,目前还缺乏
2、专门好的评判指标和评级体系。3 .易扩散。现代信息技术的进展,银行不可能只通过内部网开展业务,而必需借助互联网。这种内外交互使银行在享受便利的信息效劳的同时,也会使银行受到黑客的解决或因操作失误涉及整个经营网络,致使损失迅速蔓延放大,从而阻碍银行形象和声誉。4 ,阻碍大。一旦发生重大信息科技风险事件,比如信息系统瘫痪,那么极可能致使全社会交易秩序的错乱,损害客户利益。二、信息科技风险的本源信息科技治理不完善。治理文化未形成、公司治理与信息科技治理、治理架构不全、责任不清楚。信息化建设滞后于业务进展。新的业务需求不断显现,当前在基础建设、应用开发、数据分析、信息共享等方面都与“以客户为中心”经营
3、模式有相当的差距。系统治理粗放。尽管成立相关制度,但制度实施成效不佳,缺乏相关流程。在计划部门、技术风险治理部门和审计部门三者之间的耿责分工、治理流程等方面存在严峻问题。软硬件及核心技术受制于人。目前各银行大多数高端软硬件设备都是入口的,软件开发大多是外包给第三方,核心技术受制于人,对系统平安造成隐患,乃至可能危及银行的健康进展。信息科技的价值不能充分表现。治理层看到的前台业务的价值,对处于中后台的信息技术价值的缺乏熟悉。队伍建设很不适应。信息科技人员占员工比例偏小,而从事开发、计划等尖端人材比例更低。信息科技风险治理大体上被“事件推动、缺乏有效的信息科技风险治理体系,风险操纵方法的实施靠不断
4、发生的平安事件来推动。信息科技风险治理机制没有成立起来。信息科技风险治理在组织、制度、人员、技术等方面没有形成体系。信息科技风险治理绩效与机构及人员的考核体系没有挂勾。信息科技审计力量单薄,信息科技审计标准没有成立起来三、政策性银行信息科技风险概述信息科技风险依照成因大体分为以下四类:政策性风险、决策性风险、系统性风险和操作性风险。政策性风险是指由于政策转变而系统未作相应转变或无法转变致使的风险。如规章制度变更(如会计制度转变,会计科目调整)、金融宏观数据调整(如利率调整,预备金率调整等)等。其危害是由于系统没有及时调整、调整不妥或无法调整,可能造成数据错误或系统无法运行。政策性风险是不可抗的
5、,任何一个系统都会存在如此的风险,对此必需正确地对待、分析和处置。决策性风险是指由于决策不妥或项目草草上马,可行性较差,达不到预期的成效,最终使项目成为弃之可惜、食之无味的鸡肋,其危害是产生大量的无效劳动,造成资源的极大浪费。决策性风险是决策层面形成的风险,具有风险级别高、风险损失大、难以补救等特点。系统性风险。任何实体都会面对自然灾害、人为破坏、结构失衡、系统失效等问题,也确实是人们通常所说的天灾人祸。其危害是系统崩溃或系统无效造成系统不可用,进而产生经济损失和声誉风险。系统性风险是客观存在的风险,要对此进行科学的评估、识别和规避,制定合理易操作的应急预案。操作风险性是指由于外部人员歹意解决
6、、内部人员利用工作之便纂改灵敏数据、系统没有进行适当授权和操纵、信息科技人员不按有关规定操作从而产生伪数据、系统局部失灵或系统瘫痪。操作风险在金融信息科技风险中大量存在,也是信息科技风险预防和操纵的重点。其危害是经济损失、给声誉带来负面阻碍等,又能够细分为内部讹诈、外部讹诈、业务中断、滥用授权操纵、系统上线前未进行充分测试等。内部讹诈是指内部员工利用工作之便对信息科技系统中的灵敏信息,如客户信息、客户效劳级别、客户协议、账户余额积数等进行纂改,为本身或他人谋取利益的行为。外部讹诈是指外部人员利用与信息系统有关系的工作便利或虽无关系但采取歹意解决的方式非法登录信息系统刺探或修改灵敏信息,从而成心
7、无心谋取利益或阻碍信息系统平安的非法行为。业务中断是指由于信息系统不可用造本钱地域(或全国/全世界)局部(或全数)业务无法受理,其危害是给银行声誉带来负面阻碍,诸如网络中断、前置效劳中断、电力中断等。业务未进行适当授权或操纵是指信息系统对系统的运行或变更没有进行相应的授权或操纵,引发数据混乱,造成系统停业、客户资金随意转出等不良或严峻后果,其危害是经济损失和给声誉带来负面阻碍。系统上线前未进行充分的测试,一样是指新业务由于业务开办时刻紧迫、同业竞争压力或没有第三方测试环境等因素没有通过充分的测试,造成业务投产后流程中断、无法办理,严峻阻碍信息系统利用者的声誉,其危害是经济损失和给声誉带来负面阻
8、碍。四、政策性银行信息科技风险的计谋了解了政策性银行信息科技风险的成因和特点后,就能够够有的放矢地预防和操纵信息科技风险。1 .幸免政策性风险法律审查部门或法律顾问要常常性地对银行有关政策进行法律审查,看是不是与本国或监管部门法律法规相违抗,同时紧密关注本国或监管部门的法律转变及转变趋势,幸免法律滞后造成的法律风险。同时,银行各应用系统要科学设立科目、利率、预备金率调整的应用模块,在碰到相关政策调整时在最短时刻内高效完整完成。2 .防范决策性风险防范决策性风险的最好方法是项目立项时要通过严格审慎的可行性分析和集体决策,反复征求意见,反复论证,专家评估等环节,幸免显现个别领导的拍脑袋决策。3 .
9、操纵系统性风险系统性风险是信息系统固有的风险,咱们既无法回避,也不能置之不睬,必需采取科学的态度对待,采有效的方式识别,采取得力的方法进行防范,具体来讲,应该采取以下不同的方式进行处置。关于自然破损问题,可采取备份的方式加以解决,依照设备的地位、作用和价值等因素统筹考虑是整机备份仍是关键、要紧部件备份,是冷备仍是热备,是同城备份仍是异地备份等。关于人为破坏问题,可采取适当的方法加以防范,最好采取人防和技术防范多种方式。如适当的授权或操纵程序、有效的爱惜方法、必要的监控方法等。关于结构失衡问题,关键是在项目立项时要进行项目风险评估和规避建议,幸免项目先天不足,设备内部、设备与设备之间非100%匹
10、配和兼容,显现时好时坏的偶发故障,给往后的工作带来隐患。关于系统失效问题,要按期对系统进行评估,一是看系统性能是不是正常,若是不正常就要进行分析,是设备老化仍是系统臃肿,解决设备老化的手腕是更新设备,解决系统臃肿的手腕是进行系统保护和数据清理;二是看系统是不是与现行的规章制度或有关监管部门的要求相违抗,若是不符合要求就要在规定的时刻内升级或更新,避免造成业务中断。4 .预防操作性风险(1)内部讹诈。防范内部讹诈的手腕较多,如制度的约束、良好的银行文化和科技文化的建设、健康的系统操纵、业务多角色操作和授权等。(2)外部讹诈。常言道,道高一尺,魔高一丈,因此,防范外部讹诈的难度较大。对此,银行应该
11、尽到应尽的义务,如风险提示、设备的防护、系统的防范等,关于银行自身的系统要采取必要的平安方法,如采纳让客户预留验证信息、登录验证码、汇款验证码、防钓鱼网站等成熟的信息平安技术。(3)业务中断。业务中断的缘故超级复杂,既有内部缘故也有外部缘故,因此,避免业务中断的方法也超级多。关于外部缘故造成的中断,一是要与有关合作伙伴签定业务支持保障协议,进行硬性约束,如关于电力、电信等部门就能够够签定合作协议,对违约行为进行惩罚;二是对系统进行必要的平安爱惜,最大限度地避免非法侵入,如设置登录验证码,就能够够专门好地避免间谍软件对客户密码进行刺探。关于内部缘故造成的中断,一是开发系统监控软件,对系统运行情形
12、进行监控;二是要对系统按期进行例行健康检查;三是做好系统备份;四是要成立切实可行的应急预案,一旦碰到问题,做到早发觉、早处置,争取把事故消灭在萌芽状态,或把事故阻碍降低到最小范围,或把损失操纵到最小值。(4)业务未进行适当授权或操纵。关于此类风险,分为硬件操纵和软件操纵。关于硬件,能够采取硬件的物理操纵和逻辑操纵,物理操纵包括加装爱惜装置;逻辑操纵包括给系统设置防火墙、实行密钥操纵等,避免非法侵入。关于软件,一是对自身系统要增强涉密资源治理,杜绝简单密码和明码(如N位相同数字组成的密码等),二是对重要的交易实行身份审查和适当的授权,避免非法分子冒领或转出客户资金。(5)业务投产未进行充分的测试
13、。关于此类风险,一是要增强制度建设,强化业务投产测试治理,加大违章惩罚力度,在业务投产前进行相应的交易、参数、账务、报表等测试,确保系统投产后平安、平稳运行;二是要对不具有第三方测试环境的系统搭建模拟器,如搭建跨行支付、银企互联、公民身份信息联网核查等系统模拟器等,尽可能幸免显现测试死角。五、几点建议L在实施信息科技风险治理方法时,需要人、财、物方面的资源投入,需要取得领导的大力推动与支持。2 .成立有效的IT风险治理组织,和谐好IT风险治理组织与各部门之间的关系,真正的平安工作不但是IT部门的事,需要各个部门所有员工的参与,领导的和谐工作尤其重要。3 .建议把信息平安纳入生产运维平安部系,并持续开展平安治理工作,催促落实人员耿责,把平安意识、平安技术、平安方法看成重要的工作内容来抓。4 .为增进信息平安部系的持续改良,建议把对信息平安治理体系的审计纳入组织内控审计体系。5 .将信息平安绩效作为机构与人员评判指标之一,纳入人力资源考核体系,制定并落实信息平安奖惩方法。6 .推动信息平安的教育与培训的工作的开展。平安的意识的养成、平安技术的完善、治理水平的提高离不开多层次的培训工作。7 .建设信息科技风险治理平台,将各类信息汇总关联成为科技风险信息,形成信息平安风险治理的“仪表板”,通过系统多角度地展现信息平安风险,能够有利于治理层简练、形象地了解信息科技风险情形并作出相应的决策。
政策性银行信息科技风险缘故分析和计谋
