银行金融机构网络信息科技风险.doc

精品文档 仅供参考 学习与交流银行金融机构网络信息科技风险管理【精品文档】第 7 页银行金融机构网络信息科技风险管理随着计算机风险的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式的多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件的攻击。因此，网络必须要有足够强的安全措施，否则该网络将是个无用、甚至会危及部门安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。信息系统风险管理的目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力。一、信息技术是现代银行业核心竞争力之一。随着银行业务同信息技术结合越来越紧密，使信息技术在银行业务经营中的作用，已经不仅仅局限于单纯的技术支持和服务，而是在以下几方面发挥着重要作用：1、直接管理和监控银行所有业务及处理过程，确保其安全高效运营。2、大多数新型银行服务产品，如自助设备服务、电话银行、网上银行、各类金融信息增值服务和产品创新等都只能依靠信息技术的实际应用才能实现。3、信息技术已经渗透到银行业务经营、管理和决策等所有过程，信息技术中心在某种程度上已经成为整个银行的神经中枢，如何将信息技术有效地融合到银行的整体服务决策中去，已成为一个银行是否具备良好核心竞争力的重要标志。二、建立健全各项规章制度和工作流程。1、切实加强信息系统运行管理工作，建立和完善突发事件预防和预警机制，建立严格的运行值班制度并制定了营业网点计算机网络系统管理暂行办法、计算机网络中心机房管理办法、综合业务系统操作流程、计算机管理人员职责等各项技术规范、操作规程制度和安全管理办法。同时，依据上述制度，建立了前置机运行情况登记簿、服务器操作维护记录登记簿、机房值班日志、人员出入登记簿等。金融机构应建立有效的信息系统风险管理架构，采取措施防范自然灾害、运行环境变化等产生的安全威胁，防止各类突发事故和恶意攻击。完善内部组织结构和工作机制，防范和控制信息系统风险。组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训。2、金融机构应明确与信息系统相关人员的职责权限，建立制约机制，实行最小授权。严格检查各项规章制度的落实及安全措施的落实情况，重点确保业务系统的安全稳定运营。三、高度重视网络与信息安全工作，有效防范金融风险。1、加强网络安全管理。网络安全包含通信线路和网络设备两部份，要建立网络设备配置参数备份制度、网络运行状况监测制度、信息资料登记制度、网络故障应急预案、网络安全控制制度及各项工作流程，加强与线路运营商的联系。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制；使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段，有效降低外部攻击、信息泄漏等风险，加强信息系统网络、系统和应用的安全管理，确保信息内容的安全；加强系统数据的备份与保密安全管理，重点保障涉及各类资金、客户信息的生产数据安全，确保系统安全、可靠、稳定运行。2、按照“尽早发现、有效控制、限时解决、降低风险”的处置原则。做好信息系统安全防护和运行管理工作。规范应急处置管理，保证突发应急事件发生时能够有组织地正确应对和合理处置。3、要针对信息系统在物理、网络、系统、应用、数据等方面可能存在的安全隐患，完善和细化各级各类应急预案。加强对分支机构、数据中心、业务运营中心、灾备中心等应急处置工作的部署，建立全面的应急管理体系。四、金融机构信息科技风险管理存在以下几个问题：1、系统风险操作系统风险。操作系统是作为计算机资源的直接管理者,它直接和硬件打交道并为用户提供接口,是银行网络系统能够正常、安全运行的基础。应用系统风险。口令密码等重要身份凭证管理，关键设备的安全防卫措施，密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。数据存储风险。数据存取、保密、硬盘损坏导致的风险。数据传输风险。数据传输过程中被窃取、修改等风险。 2、操作风险操作风险是由于金融机构内部程序的不完善或操作人员的失误，以及外部事件而导致银行直接或间接损失的风险。产生操作风险的原因有以下几点：银行操作人员风险意识淡薄。操作员安全配置不当造成的安全漏洞，用户安全意识不强，口令选择不慎，随意转借他人或与别人共享等带来的威胁。组织机构职责不明确，责任不清。内控制度不健全或执行不力。3、物理访问的风险与控制系统应用环境出入通道锁具的可靠性。摄像监控设施。报警系统设施。3、信用风险银行的信用风险主要表现为客户在网络银行上使用信用卡进行支付时恶意透支，或使用伪造的信用卡来欺骗银行。4、法律风险网络银行和网上交易缺乏相应的法规。如：电子货币问题、电子转账问题等。随着我市农村合作金融机构电子化建设工作的深入发展，各类信息系统日趋庞大复杂，社会上对各类信息攻击和破坏的手段不断变化，信息系统安全管理和风险防范工作任重而道远，我们充分认识到这项工作的重要性、艰巨性和复杂性。信息安全已经成为国家安全的重要组成部分。所以近年来人民银行和银监局分别对网络安全问题相继提出了越来越多、越来越严格的要求，目的就是为了加强网络安全，维护金融和社会稳定。