标题:我国银行业IT风险管理现状、趋势与对策
我国银行业IT风险管理现状、趋势与对策

  
商业银行以股份制改革为契机,为防范和化解信息技术风险,确保经济安全,各家银行在信息安全领域做了大量工作,基本保障了信息系统的稳定、安全运行。虽然银行业在IT风险管理方面取得了长足进步,但仍需改进。

一、我国银行业IT风险管理现状
1.基本建成银行IT风险内控框架
目前,我国主要商业银行已建立起合理的公司治理框架,制订了包含业务和IT风险的内控制度。银行都有较完备的信息安全战略目标和规划,初步建成信息安全保障体系,制订并颁布了一系列和实际业务发展水平相适应的银行信息安全管理制度和技术规范。从总部到分支机构,健全了信息安全组织机构。中资商业银行与_投资者在股权基础上,从业务和技术层面加强合作,实现了由“引资”向“引智”和“引技”的转变。与国外大银行在IT风险管理方面的差距越来越小。
2.银行业IT风险管理水平明显提高
在流动性过剩的金融环境下,监管部门不失时机地推动、引领银行业加快创新步伐,坚持“鼓励和规范并重、培育和防险并举”的监管原则,正视信息风险,以鼓励推动创新,以规范防范风险,以培育完善市场,以发展满足需求。2006年底银监会专门组织开展银行业信息科技风险内部和外部评价审计工作。各家银行近期也开展了多层次、务 ……(快文网http://www.fanwy.cn省略951字,正式会员可完整阅读)…… 
  更多相关文章:我国银行业IT风险管理现状、
  • 工商局强化监管风险管理确保工商队伍安全

  • 浅析工商责任区监管中的风险管理

  • 加强基层国税部门财务风险管理的探讨

  • 市国税系统建立廉政风险管理机制侧记

  • 市国家税务局关于2008年风险管理工作的情况报告

  • 浅谈税收风险管理与信息管理优化

  • 风险管理:走在大企业税务管理的前沿

  • 建立税收风险管理体系问题探析

  • 关于加强出口退税风险管理的几点思考

  • 落实信息管税要求 强化税收风险管理

  • 加强税收风险管理 夯实税收征管基础

  • 浅析税收风险管理面临的问题及其解决建议

  • 供电局筑牢三级安全风险管理体系纪实

    • 足。

    三、我国银行业信息安全近期趋势

    通过学习“十一五”规划,参照国外银行业发展历程,结合国内银行信息安全方面的实际情况,我国银行在信息安全方面将会出现一些趋势性的变化。
    第一,银行业信息安全将全面转型为IT风险管理。将来IT风险管理人员工作的主要出发点是控制和降低IT风险,促进业务发展。以技术防范为主的被动信息安全工作将逐步转变为以预防控制为主的主动IT风险管理。通过IT风险管理体系的重新规划,制订紧跟业务发展的IT风险管理体系架构,制订和完善适应我国银行业发展战略的信息安全政策和标准规范体系,推广实施信息安全基础设施。安全工作的重点是对信息资产提供风险评估、规划、加固、控制和应急恢复等服务。这种转变在理念和素质上对现有银行信息安全人员提出更高要求。
    第二,银行业IT风险管理体系渐趋完备。银行业务对信息系统依赖性较高,对信息安全高度重视。参照ISO/IEC 17799、ISO27001等国际标准进行体系建设,各家银行的信息核心部门会建立全面的信息安全体系,提高内部IT风险管理水平。将来通过信息安全外部认证的银行部门会逐渐增多。
    第三,风险评估活动日益兴盛。经过若干年的IT建设,银行内业务和技术部门对信息系统存在的风险有了深刻体会。大家认同信息系统等级保护的思想,希望通过了解进而规避系统立项、研发和运行过程中的风险。大家不再满足于定性掌握的风险种类,而希望通过定量分析风险影响,获得有价值的风险评估数据。银行在逐步重视风险评估的同时,进一步改善风险评估的合作模式。以前对信息系统进行风险分析时,银行会邀请国际名牌的审计公司来承担。但从实际效果看,外部人员很难揭示真实的信息风险,同时也难以提供切实有效的后续加固服务。这种模式对银行信息化建设作用低于预期,将来风险评估的模式可能是在保留外部审计模式的同时,强化以银行自评为主,适当借助专业安全公司等社会力量的自我评估模式。根据信息安全行业内部预测,近期主要集中对组织进行风险评估,以后重点是对信息系统的风险评估。未来所有重点信息系统项目建设,在可行性研究阶段就需要信息安全部门提供独立的专业化IT风险评估报告,核心系统每年都会对运行风险进行常规评估。
    第四,IT集中管理与资源整合后,银行业将构建全行级IT风险管理基础设施。银行使用信息系统广泛,大部分主流的设备和系统,在银行都能够找到。由于这些设备和系统的复杂性与互不兼容性,导致无人能够及时回答“谁进入了系统?在系统内干什么?” 的基本安全问题。目前有些银行开始建立统一的认证管理平台,整合各个系统的用户管理功能;并通过集中管理设备和系统的安全日志,构建集中式跨设备和应用系统的风险控制监控平台,及时回答上述问题。
    黑客入侵时,可能同时从多个薄弱环节进行攻击,要求银行信息安全部门快速反应,及时跟踪入侵轨迹。出于加强内控的需要,对系统维护人员也要强化监督。因此将会有许多银行建立集中式IT风险管理工具,对上万个设备和上千个系统进行全面安全监控,实时掌控银行IT信息风险状况。
    第五,银行业的信息安全最佳实践在全社会发挥先导作用。银行信息化建设有将近20年的历史沉淀,在信息技术应用和风险管理上积累了丰富经验,信息科技人才约3万人,10年以上的资深专家上千人。相比军事等安全封闭单位,银行信息系统更注重经济、安全和用户体验3方面的平衡,社会其他行业容易学习和借鉴。银行在学习国际标准和国外企业风险管理经验时,也要注意总结自身特点的项目经验,将一些优秀银行项目加以总结,供社会其他行业信息安全建设参考。可以预计将会有众多银行成功案例的管理思想、设计架构和运行保障经验在全社会逐步推广。

    四、提高我国银行业IT风险管理水平

    我国银行业要想跳跃式发展,快速弥补IT风险管理短板,就需要在充分关注国际相关信息安全的研究成果、借鉴国际先进银行IT风险管理经验基础上,结合我国银行目前的科技发展水平,主动调整信息安全策略和规划,逐步实施。
    1.全面落实IT风险内控制度
    通过建立首席IT风险官制度,从组织上保证信息风险有具体人员来承担责任,强化执行力和合规性。日常信息风险管理从传统发文检查的简单管理模式,逐步过渡到基于评估、规划、执行和监督全面循环改进的模式。尽早制订详细的IT风险管理架构,确立IT服务管理与IT风险管理的关系,明确IT风险管理的范围、职责,制订符合银行实际情况的管理流程,出台可操作性强的安全技术规范,加强开发过程的风险控制。重视软件安全测试在项目验收环节 ……(未完,全文共4451字,当前只显示2473字,请阅读下面提示信息。收藏我国银行业IT风险管理现状、趋势与对策

    上一篇:交通银行信息化建设成果与展望
    下一篇:广播电视台台长保持党的纯洁性心得体会

    相关栏目:银行 管理 综合论文 调研报告 文教论文