关于银行信息科技风险管理的现状分析及对策研究

1关于银行信息科技风险管理的现状分析及对策研究论文摘要：从当前形势来看，现代银行业务的每一个环节都包含着信息化要素，这些要素的存在无形中推动了金融业务的增长和银行运营效率的改进。近年来，**行加大对信息科技的投入，信息化建设高速发展，为全行的业务发展和金融创新提供强有力的支撑。但随之而来的信息科技管理的压力也越来越大，由于计算机本身（包括硬件、软件等）和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性，潜伏着许多不安全风险因素。为此，本文针对信息科技风险管理的现状进行了分析与研究。关键字：信息科技风险管理随着**行信息化的快速发展,信息科技的作用已从业务支持逐步走向与业务融合的阶段，然而，对于信息科技风险管理还处于不成熟的阶段，如何最大限度地防范信息科技风险，充分享受信息科技带来的便捷和效率，已成为当前我们必须认真研究的一个重要课题，信息科技风险管理的信息化建设进程刻不容缓。一、**行信息科技风险管理的现状分析（一）信息科技风险管理的观念不浓重信息科技风险管理还处在靠“事件推动”的基础上，常常“好了伤疤忘了痛”，主要是思想认识不到位，信息科技风险管理意2识淡薄。目前，基层普遍存在着“重建设、轻管理”的现象，对信息科技的风险了解不多，过分强调信息科技的服务职能，忽视隐患的排查和防范，更忽视金融科技的监管，设置了风险管理部门，但基本上仅履行业务风险的职能，并未涵盖信息科技风险。如有些未建立健全信息系统风险排查制度，无法及时发现系统运行的异常情况及故障，这些都说明缺乏一个专门的技术风险管理部门或岗位进行有效的监督。（二）信息科技的“硬件建设”存在风险信息科技硬件基础设施薄弱。目前，还有部分基层机房的建设不达标，个别机房简陋，计算机房设计、安装达不到国家规定，已建成的新机房也存在漏洞，未配备机房预警监控系统而不能及时发现机房失火或雷击等突发性事故，造成安全风险隐患；稳定的网络运行环境需要核心网络设备的配合，如供电系统、后备电源、服务器等，如果核心网络设备使用期限已到或者超期服役，而未进行及时的更换，一旦设备损坏或者老化，极易造成业务中断；现在虽已实行了内、外网的物理隔离，但对移动设备的管理缺乏有效的制约手段，极易导致病毒的传播和感染。（三）信息科技的“软件建设”存在风险在信息科技的“软件建设”进程中往往在系统软件设计中就会出现不兼容、衔接性差、容错能力差、自我防御能力差等缺陷，或者有些未经全面测试就投入使用，而在系统变更或者升级后更要时常监控系统的正常运行，如CM2006新系统升级上线时曾发3生的系统性故障则当时并未及时发现，导致软件出错，业务无法正常进行，这就提示在一些重要系统要加入风险监控与提示的的功能。有些会出现“重推广、轻维护”的现象，就更容易引发软件风险，比如有些因缺少有效的数据备份或数据备份不及时，当数据库一旦发生损坏则无法将所有数据完全恢复，致使系统中重要数据丢失等。现在我行的系统比较分散，不利于信息资源的整合利用，资源利用率较低。（四）信息科技风险管理不到位信息科技的先进投资不完全是信息工具和创新技术的投资，还应该包括风险策略、规划管理和应急处理机制等方面的投资，部分基层没有制定专门的科技风险管理制度，有制度的又大多分散于其他管理制度中，不具有系统性，且操作性也不强，缺乏具体的识别、监测和控制风险的措施。现在大多基层行的信息科技人员是兼职管理员，主要精力放在业务上，必然会顾此失彼，不能专心致力于全行的信息管理和维护工作，同时信息管理人员不是科班出身、专业不对口等，人员专业能力有限，无法准确评估科技风险，因而也忽视了风险防范的重要性，往往制定的应急预案仅停留在形式上。从未进行过应急演练，影响应急预案的实效性。二、加强**行信息科技风险管理的对策和建议（一）建立信息科技风险管理体系。各级行政领导要重视计算机安全风险工作，成立信息科技安全领导小组，明确权利责任，4做好对安全运行领导、检查和监督工作。定期召开信息科技风险自查与抽查工作，开展信息科技风险管理会议，找出风险点，进行重点管理和监控。在风险管理部门中重视信息科技的风险管理职能，营造出“科技安全，人人有责”的氛围，提高全行信息科技风险管理意识。（二）定期检查硬件运行环境，时时监控硬件运行状况。加大各种信息工具的投产，只有让科技在一个高效的工作平台上动作才能发挥出它的功效。随着现代科技的引入和新项目的投产，与之配套的硬件设备不可忽视，为满足业务流程改造对计算机设备的新要求，要积极盘点计算机设备的配备情况，及时淘汰旧设备安装新设备，对未过保或未到年限的设备做好设备维护工作，建立对各种计算机及网络设备定期检修、维护制度，并做好检修、维护记录，对已过保的和到年限的核心设备都要及时更换与登记。同时，基础设施的建设的好坏也直接影响到银行的技术支撑能力，所以全行要加大基础设施建设投资力度，狠抓中心机房、综合布线、电力供应等硬实力建设，防震、防潮、防火、防鼠等防范措施做到位，提升数据中心机房建设标准，改造机房环境，推进信息技术基础达标。市级分行要积极协助未完成的县支行加紧机房的改造。对已改造的机房中设立模范机房，总结各地机房在改造过程中的亮点，让之后准备改造的网点有个参考，取长补短，打造出真正的绿色机房，做到高可用性与高可靠性并重，为业务发展提供安全的基础保障环境。、加强信息安全建设，消除5各类安全风险隐患。一是确保计算机的无毒状态，对计算机病毒与恶意软件进行常规监测，尤其要注意对移动盘的安全检查，对防病毒软件版本不符的机器升级至最新版本，及时更新病毒库，遏制计算机网络系统感染病毒的机率，提高系统安全性。我行严格按照要求定期对网络进行检查，确保网络畅通、及时发现网络故障；在继续坚持内外网隔离的原则上，进一步加强了对U盘的安全管理工作。二是通过自查与抽查的方式，定期开展信息科技安全检查工作，我行加大基础管理检查力度，进行季度对市分行本级以及县支行的基础管理工作，对检查中发现的风险点及时反馈给相关行并督促其进行有效整改。（三）加强应用系统平台的建设，时时监控各类软件的正常运行情况。加快应用系统建设，采用自主研发和引进相结合的方式，坚持“科技先行”的原则，确保系统的可靠性。针对一些系统维护成本高与后续开发难、重复建设与资源浪费等问题，要加强运维的精细化管理，借助先进的运行管理工具，对系统的运行监控集中管理，实现多个关键应用系统实时数据的存储和备份，保障网络系统的安全畅通和服务的连续性。每年都对当年的信贷统计系统进行数据备份、路由器配置备份、NOTES数据备份并刻盘存档。对于系统整体改造应该要分期分批进行，充分利用非工作日时间进行数据迁移和模拟运行操作；开发和测试工作应该细到小节，尤其不能忽视软件测试，要对软件进行查漏补缺，有针对“点”地进行开发和升级，处理好前后兼容衔接性问题，不仅要6注重个性化，还要注重人性化，界面清晰，功能完整，方便使用者操作和管理；后期维护注重实时监控系统运行状况，能够通过短信平台及时反馈故障情况，确保安全运行。在集中管理的大前提下，应该建立起一个统一的信息系统服务平台，配合数据大集中上线工作，理清各条线路关联关系，实现集约型管理模式，同时建立集中监控中心，使管理者可以置身其中就能监控整个银行网络、系统及应用的运行状况，一旦发生故障可以及时解决，同时记录在案方便今后查询和审计。（四）加强信息科技风险管理的制度建设和执行，解决人员素质对计算机及网络风险的影响。一是健立健全信息科技风险管理制度，查漏补缺，优化管控职能；建立全系统自上而下的信息科技风险管理体系，处理好业务发展与信息科技风险防范之间的关系，实现对信息科技风险的识别、计量、监测和控制；建全全网信息系统应急预案并实施演练，使之制度化、规范化并有针对性地把制定的预案进行量化评估，充分体现预案所具有的应对事故和预防事故的双重作用，不断提升应急处置的能力，积极采取措施消除信息科技风险重大隐患。二是建立一支高素质、复合型的信息科技队伍，以提升信息管理人员技术保障水平和全员信息技术水平为支撑，保质保量努力提高信息化人才资本的积累。