信息安全的各个层面的工作已经开始,网络、系统、应用、管理等信息安全的各个组成部分开始联动。网上银行的安全是这两年银行信息安全建设的一个重要内容,各行都加强了网上银行的安全建设,其中CA中心的建设是重点。目前,中行、工行、交行都有已运行的CA中心,人民银行也建设了中国金融CA中心。
数据集中后,数据中心的建设成了各大银行的建设重点。数据中心的建设从机制上解决了数据分散、权限控制不力导致的严重安全隐患。稽核成为信息安全的一个有力环节和手段,银行开始在稽核部门内部设置专门的电脑稽核机构,对信息处理本身进行稽核,对需求、程序设计、风险点控制、分权、安全访问控制等进行全方位稽核,这对信息安全来说是不可忽略的保障力量。
信息化之路依然漫长
“十五”期间,我国银行业的信息化建设虽然取得了不俗的成绩,但现阶段面临的问题和挑战仍然不少,尚有很长的路要走。
1.整体规划落后于系统建设
目前,金融行业的信息化整体规划缺乏高度协调的机制,尚不适应我国金融信息化发展要求。另外,银行的信息化发展规划仍明显落后于系统建设。这种落后局面的直接后果是,工作开展比较被动,突出问题就是治理不够,IT效益发挥得不好。
2.信息安全形势依然严峻
目前,我国金融信息安全领域不容乐观,表现在三个方面: 一是金融业实现全国数据集中处理以后,带来了技术风险的集中。目前,金融业的灾难备份管理、系统的监控分析、故障诊断自动化程度,以及应对突发事件和风险能力还很薄弱。二是互联网金融服务的发展,使银行在为客户提供方便、快捷服务的同时容易产生新的操作风险。今年频频发生的假冒网站事件和最近的手机短信诈骗案件是银行面临的严重安全隐患。而且内控机制也不健全,问题得不到及时有效的处理,对电子银行、网上证券和保险等高风险系统缺乏安全的评估规范和指标,也缺乏经验和高水平管理人才。三是信息安全的监管严重滞后,监管的理念、方法、方式、手段不适应,信息化建设与管理的安全监管要求也不明确。
3.反洗钱监管技术仍显落后
虽然我国目前建立了大额支付异常系统,初步实现了对本币大额和可疑支付的监测,侦破了一些洗钱案件。但是反洗钱监管技术还很落后,影响了反洗钱工作质量。一是作为金融机构,对大额和可疑支付交易的识别主要依靠临柜人员的主观分析和判断,在社会经济活动日趋活跃,交易资金流量大、流速快、类别繁杂的情况下,难以严格按照“一规两法”中列举的数十项报告标准和识别标准进行甄别筛选,错报、漏报现象在所难免。二是对大额和可疑支付交易的登记、统计、汇总、报送主要依靠纸质材料,传递速度慢,数据准确性差,降低了反洗钱的有效性。三是中央银行对金融机构反洗钱的执法检查,主要依靠现场检查,非现场监管不足,无法对金融机构反洗钱工作有效监控。
4.风险管理能力有待提高
商业银行不仅是经营货币的企业,更是管理风险的企业。目前,商业银行虽有一套比较完整的贷款审批流程,但由于在信息的收集、利用方面还存在问题,以至于在评级及打分方面不如国外银行那样系统客观,难以起到其应有的作用。专家建议,银行应尽快建立完整的客户信息体系,并利用先进的信息技术,结合国内的风险管理经验和国外的风险管理方法,建立客观的风险评级评分模型,对已有客户的风险变化进行追踪分析,使风险管理真正做到贷前、贷中、贷后一条龙的服务、监督和管理。(计世网)
