【IT168 信息化】

　　“银行资产风险管理”，不是新话题，但“银行信息资产风险监管”，却是一个崭新的话题。仅仅“信息”一词之差，表明在银行业务与信息化高度融合的业务处理系统、信息管理系统和决策支持系统中，存在大量信息资产风险。它不仅涵盖了传统的操作风险、信誉风险，而且还包含了在银行的经营管理过程中，所表现出的许多与信息化相关联的其他类型风险。

　　因此，可以说，信息资产质量的高低，已直接关系到商业银行的内控水平。要提高银行抵抗各种风险的能力，必须从信息资产的风险管理入手，全面提升银行内控的信息化内涵。本期就让我们从规章、制度、技术、人员管理等角度契入，共同来关注银行信息资产的风险管理问题。

　　风险管理是当前银行经营活动的主旋律。在银行界越来越依赖于信息技术的情况下，信息风险监督成为银行信息化风险管理不可忽略的重要组成部分。虽然各银行都有自己的信息安全主管部门，他们是信息安全的建设者、维护者，对信息安全有着丰富的现场经验与专业经验，但在他们身兼运动员和裁判员双重身份的同时，已不足以向最高管理层保证信息安全的有效性。因此，建立科学的信息风险监督机制，对加强银行风险管理，确保银行信息系统的安全、稳定、持续有效地运行，就显得尤为重要。

　　信息系统风险监督的内涵及意义

　　在2004年2月台台的银行业监督管理法中明文规定:“要对银行业金融机构运用电子计算机管理业务数据系统进行检查。”这成为银行信息资产风险监督的最初起源。信息风险监督是指对特定环境中的信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等进行监督，进而对其安全性进行风险分析、评估，找出潜在的致命缺陷和易被忽略的问题，为信息系统的安全设计，选择合理的安全产品和安全管理提供可靠的依据。信息风险监督的内容包括信息系统的物理安全、系统安全、网络安全、技术安全保障和安全管理控制五个部分。

　　风险监督对信息安全具有非常重要的意义。首先，它能摸清情况，评判保护措施，可对信息安全有关的决策产生决定性的影响。其次，它是信息安全规划的重要依据。第三，它是改进信息安全工作的依据和出发点。因此，信息风险监督作为加强信息安全风险管理的重要组成部分，在整个银行业信息风险管理中占有极其重要的地位。

　　信息系统的脆弱性需要风险监督

　　信息系统安全是相对的，没有绝对的安全系统。因此，为了实现信息系统的安全、稳定运行这一目标，就必须采取一系列的安全制度和技术保障方法，对信息系统风险进行事先防患、事中控制、事后监督及纠正，以化解因信息系统的脆弱所造成的金融风险。

　　信息系统软硬件本身存在着很大的脆弱性。一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素，如火灾、水灾、地震、战争等不可抗拒的自然灾难。另一方面表现在由于技术发展的局限和人类的能力限制,面对庞大的操作系统、复杂的应用程序，在设计之初人们不能认识所有的问题，失误和考虑不周在所难免。

　　银行数据传输网络的脆弱性。随着金融网上业务的拓展，网上银行、移动银行、电子商务等，已成为银行追逐的利润增长点。银行业务系统要顺应开放和互连的趋势，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全，在公网环境下防止黑客、病毒的破坏，在Internet上保证金融数据的安全采集、安全存储、安全传输和安全处理，将是金融信息系统建设面临的重要挑战。

　　安全技术保障的欠缺。当前我国金融业信息安全建设，在整体安全系统、内部网络安全监控与防范的、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面，都有很多不足之处。

　　此外也要看到，信息风险是动态变化的。技术的发展和环境的变化使系统安全始终处于动态之中，不同配制的新系统组件会引入新的问题。

　　化解信息风险关键在于管理

　　我们面临的信息安全问题还不仅在于IT技术的脆弱性，解决信息安全问题，三分靠技术，七分靠管理。加强对信息安全管理体系的建设，是信息监督的重要任务和目标。

　　一个好的信息安全管理体系，离不开以下个环节:

　　领导的重视。信息安全管理是一个复杂、动态的系统工程，关系到安全项目的规划、应用需求的分析、网络技术运用、安全策略制定、人员分工人员安全培训及规章制度建立的各个层面。这些仅依靠技术部门的职能作用是无法完成的，必须有领导的高度重视与自身参与。

　　随需求确定安全管理策略。不同的系统有不同的安全需求，在有限的资金情况下，遵照国家和本单位有关信息安全的技术标准和管理规范，针对本单位专项应用，对数据管理和系统流程的各个环节进行安全评估，确定使用的安全技术、设定安全应用等级、明确人员职责、制定安全分步实施方案，达到安全和应用的科学平衡。

　　全员参与安全培训。信息安全最大的威胁不是来自外部，而是内部人员对信息安全知识的缺乏和对制度的忽视。因此，加强信息安全培训和制度管理就显得尤为重要。通过对计算机安全知识的培训和法制教育，使他们真正认识到计算机网络系统安全的重要性和解决这一问题的长期性和艰巨性，真正了解遵守安全管理制度的必要性和违反制度带来的后果，从而自觉把遵守规章制度贯彻到实际工作中去。

　　狠抓制度建设和落实。根据金融信息化建设的总体要求，逐步健全一套完整的风险安全管理体系，以加强规范信息管理和制度控制，规范银行管理和操作人员的行为，明确具体责任。同时，各项制度要有很强的可操作性，并保证其有效实施。

　　相关链接

　　银行信息资产风险监管的定义

　　1、信息资产，是指银行业金融机构运用信息技术处理业务活动的信息系统及其所产生的生产经营信息、研发和服务能力、管理水平以及其他与信息化相关的各种有形和无形资产。

　　2、信息资产风险，是指信息资产在形成、运用、管理过程中产生的各类风险。

　　3、信息资产风险监管的目标，是通过依法、公正、公开和效率监管，促进我国银行业的合法、持续、稳健运行。

　　4、信息资产风险监管的主要内容，是信息资产的发展规划管理、信息安全、信息资产审计和信息资产风险评估。