银行业也面临着许多挑战，主要以下几方面：

　　第一、机构差异性大，很难用标准去衡量。

　　第二、面临着很多国际的合作，如何解决安全问题。

　　第三、公众意识单薄。目前银行做了很多工作，但是很多工作做出后让客户在不安全的环境里化为乌有，公众安全的意识对我们影响很大，这方面也需要更多的关注。

　　第四、信息安全的测评不到位，现在的测评从国内产品和国外产品，都存在隐患、测评、缺陷等，所以很多未知因素使风险防范也存在很多的不足。

　　第五、网络的脆弱性和依赖使安全面临着很多困难，尤其是现在出现各种事件，现在很多防范措施已经很乏力需要更多的关注，也需要安全厂商更多的努力。

　　第六、新资本协议的实施对系统会产生一种影响，明年新资本协议的新要求对系统提出了很多的变化，这变化里面就有很多的不稳定因素，需要防范。

　　第七、业务的同质化。业务同质化使风险进一步扩大。

　　第八、信息技术的定位出现了问题，现在信息技术作为支持与服务，其实IT大应该是银行支撑的部分，作为支持的服务。另外，在信息化本身我们都关注了业务信息化，对决策信息化关注不够，参与不够，IT话语权受到影响。

　　第九、内控目标不合理，很多银行业金融机构内控目标作为合规为主，在这层面很难做到对风险的更多防范。

　　第十、IT作用的发挥还需进一步加强，信息科技风险的管理有一个特色，是一把手工程，一把手的参与，一把手的认知对信息科技风险的防范，信息科技的管理是一个很关键的一环。那么信息科技风险的管理也是靠事件推动，很多机构出了事情以后才觉得应该加强。

　　第十一、现在信息科技管理很多管理措施都是靠人工措施，用系统化自动化的防范做的还不够。同时，信息科技的评价标准现在出现了很大的问题，在各个机构，各个层面，在关键的时刻都会要求IT部门做到万无一失，这个万无一失不光是100分标准，应该是120分标准，但是当成60分，这就造成了重建设轻管理，管理的时候只会拿到60分。

　　对信息科技风险的定位要点：

　　第一、由于业务快速发展，需求在不断往前推进，信息科技就需要立等可取，这里面无形中埋下很多不稳定因素。

　　第二、信息科技一直是支持服务与系统后台一样，在话语权方面差了很多，即便有个别银行在科技部门给了很高的待遇，但是话语权依然与其他部门还差了许多。

　　第三、对业务的高度融合现在很多业务的问题出了以后都往IT推卸责任，IT是没有再往外推的机会。
　　防范信息科技风险的要点分析

　　防范信息科技风险，陈文雄认为首先是定位，把信息技术定位为支持服务本身就是一个对风险防控的很大欠缺，把信息技术发挥出来很关键，讲风险防控我想用IT去防控，用技术手段去防控，比人工防控要强得多，这也是体现IT管理价值所在。另外，IT风险防控整个还处于初级阶段，最关键的是IT治理层面，怎么能关注。很多时候，很多机构，很多的银行都会把制度的制定放在很重要的环节，但是制度制定出很多落不到实处，怎么把制度融入到每个环节这很关键。另外，银行业金融机构在中华文化的背景下有很多特有的因素需要考虑，比如人际关系，在西方环境下人际关系很简单，很简单的人与人的关系，很简单的人与机构的关系，很简单的机构与机构的关系，到了东方异常复杂。

　　第二、要讲忧患意识，IT事件频频发生，对银行冲击很大，911事件出现后对全球的数据保护，灾难备份起了关键作用。

　　各个银行业金融机构、IT部门所管的很多事情不是通过管控来避免的，比如电力、通讯、软件、硬件，包括人员的问题，是都有可能发生的。停电所有业务都中断。一个银行停电，UPS还可以工作，就让来修，结果没有修好所有电都没有了，通过自身再好的能力都不可避免，怎么办？需要对外来的因素有更多的预案来应对。

　　第三、对风险的价值需要有清醒的认识，所有风险就是与价值关联，讲风险就是讲它的影响面、影响的价值。IT风险首先要认清它的价值，现在评估的方式、评估的模型、还有评估的认知有很大的缺陷，这对风险的防控就有很大的影响，所以需要对IT风险本身的价值要有很好的计量，才能谈得上控制。价值的认知对风险的防控是至关重要的，所以要更多的关注。对IT价值的认识需要我们本身来转变，把IT发展好需要更多的IT部门有更多的作为。一是贴近领导，在决策层面增加话语权；第二是贴近业务，引领业务发展；第三、贴近最终用户得到大规模的认同。

　　第四、在安全方面需要一个清醒的目标、一个合理的容忍。这个容忍就是需要有各个部门的折衷，这样才能把控制做好，安全做好。比如灾备。系统级灾备在同城异地来讲，一是高效率小概率事件，异地系统级灾备是低效率极小概率事件，我们现在热衷把异地灾备做起来，同城没有建起来，这样应对灾难时很乏力。

　　信息科技风险防范需要全员参与，信息科技风险大家都会把信息科技部门关联起来，其实安全和木桶原理是一样的，所有网络参与者、系统使用者都需要贡献，如果在上面做的不到位，一个U盘就可以使网络崩溃，使系统崩溃。

　　对业务需求方面，也需要有共同的认识，全员参与，业务需求的不准确，不确定也会对系统产生致命的影响，统计分析60%风险与业务有关。在应急和业务持续方面更需要共同参与。如果没有共同参与，只是IT部门在做，现在很多IT部门都热衷于把系统的连续性作为业务连续性来管理，这不够的，需要业务部门的真正参与，真正在业务的持续方面做出贡献。