首页 > 服务支持 > 银行科技风险

银行科技风险

编辑:瀚博网络品牌管理办 来源:河南瀚博网络 所属栏目:服务支持-银行科技风险

1、商业银行科技风险管理的必要性

近年来,商业银行的业务量、业务种类快速增长,信息科技在商业银行的各项工作中得到了越来越广泛的应用.在促进商业银行提高工作效率、提升服务水平、拓展业务范围、优化组织架构等方面,信息科技发挥着不可替代的作用。新《巴塞尔资本协议》对于信息科技风险有明确的定义,将其作为操作风险中的重点进行防控,并确定把信息科技风险纳入银行总体风险监管框架.如何提升信息系统的适应性、准确性、安全性,如何对信息科技工作管理架构和业务流程进行调整和优化,以期提高信息科技风险的防范能力,是金融业面临的严峻挑战。

商业银行科技风险主要体现在如下方面:

数据及集中也是风险集中的过程

由于银行经营模式从以帐务和产品为中心向以客户为中心的转变,采用数据大集中成为银行业务发展的必然趋势。只有完成数据集中,才能实现银行账务数据与营业机构的分离,支持灵活的客户需求和产品创新。数据的集中,对数据的传输、处理和存储相关的安全风险也必然集中,对应急响应、备份恢复、业务连续性要求更高。

电子银行对信息安全提出更高要求

由于网上银行、手机银行、电子支付等金融业务创新,B2C业务模式的普遍采用,银行业务扩展到互联网,信息安全中不可控因素急剧增加,系统面临更大的攻击可能性。同时由于数据集中的处理模式,使的信息安全问题更加突出。

银行业务与信息科技的紧密融合

为了支持迅速发展的银行业务创新,银行不断采用新技术,大部分银行采用统一技术架构、统一开发平台,把B/S模式作为标准的应用模式,银行业务离不开信息技术的支持,任何信息技术的风险,直接带来业务风险。但是信息安全技术的发展滞后于信息技术的发展,新的应用模式带来的安全风险没有及时得到解决,给银行业务带来潜在的风险。

商业银行科技风险管理

【图】商业银行科技风险管理

2、商业银行科技风险管理的理念

商业银行科技风险管理,贯彻了“管法人、管风险、管内控、提高透明度”的银行监管理念,表现在以下几个:

一是从坚持法人监管出发,指出商业银行法定代表人是本机构信息科技风险管理的第一责任人。

二是从坚持风险监管出发,要求商业银行建立有效的机制,实现对信息科技风险的识别、计量、监测和控制,提高信息技术使用水平。

三是从内控监管要求出发,要求商业银行建立完整的管理组织架构,制订完善的管理制度和流程,以相互制约的管理机制对信息科技各环节进行控制。

四是从保护广大储户利益出发,要求商业银行在信息系统开发、测试和维护,以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露,对业务连续性管理也加以规范,保障客户数据安全和服务连续。

3、解决商业银行科技风险的思路

解决商业银行科技风险必须构建信息科技风险管理的“三道防线”,即信息科管理、信息科技风险管理、信息科技风险审计。

信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。

信息科技风险管理,明确要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,制定全面的信息科技风险管理策略,建立持续的信息科技风险计量和监测机制。本章是从信息科技风险管理部门的角度,提出商业银行信息科技风险管理的事前控制。

为完善了信息科技治理架构,由科技部、风险管理部、内审部作为信息科技风险管理的三道防线,分别司职事前IT管理、事中IT风险控制以及事后IT审计,从而形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。通过技术措施、制度建设、人员管理三管齐下,全方位提高信息科技风险管理能力和水平。

4、商业银行科技风险管理咨询方法

进行商业银行科技风险管理咨询的步骤:

符合性评审分析阶段

信息科技治理评审:对信息治理的组织架构、人员配备、人员职责、规章制度、以及实际运行情况进行评审,并进差距分析。

科技风险管理评审:对科技风险管理制度、计划和风险管理策略进行评审,包括风险识别和评估流程、信息科技风险管理制度、技术标准和操作规程以及风险计量和监测机制。并对易识别的风险、制定的应对措施进行评价。

科技风险审计评审:对科技风险的内部、外部审计制度、策略、审计计划的执行、审计结果的处理进行评审,确定审计制度、审计范围、审计措作、审计结果处理是否合理、充分和有效。

信息安全管理评审:对安全制度管、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理等方面的信息安全策略进行评审,确定安全策略的合理、有效性。

最佳安全实践评估

网路基础架构安全评估:对网络架构设计、网络边界防护、远程访问、无线访问、内联网访问、外联网访问、恶意软件防护、网络安全设备配置、网络访问策略进行评估,确认网络基础设施的脆弱性、威胁和影响。

主机系统安全评估:对核心系统、网银系统、中间业务系统等重要系统使用的主机服务器进行安全评估,确认主机在补丁升级、远程访问、用户策略、账户策略、审核策略、安全配置等方面的脆弱性、威胁和影响。

应用系统安全评估:对应用系统架构设计、访问控制、输入输出、口令策略、权限控制、错误处理、通信安全、密码密钥管理、日志审计、备份恢复进行评估,确认应用系统的脆弱性、威胁和影响。

5、商业银行科技风险咨询的收益

通过银行科技风险咨询,客户可以获得如下收益:

满足商业银行科技风险指引的符合性要求

切实提高银行的整体信息安全水平

使银行的科技风险管理符合信息安全最佳实践

建立起完整的信息安全管理组织、策略、制度、规程

为企业进行信息安全培训,提高信息安全管理和技术水平

中国银行、商业银行金融机构列表附录

媒体报道
推荐解决方案
集团业务
全国统一服务热线:0371-56692OO2 版权所有 © 2002-2017 瀚博网络,河南省早期互联网公司之一 http://www.dahan2002.com 保留一切权利。豫ICP备15024233号-1