摘要:隨著商業(yè)銀行信息化程度的不斷提高，怎樣控制和評估由此帶來的系統(tǒng)風險，是商業(yè)銀行目前急需解決的問題#65377;本文分析商業(yè)銀行信息系統(tǒng)的特征和風險，研究信息系統(tǒng)風險評估的理論#65380;技術，提出風險評估的方法和過程，建立商業(yè)銀行信息系統(tǒng)的風險控制與評估的模型#65377;

關鍵詞:商業(yè)銀行;信息系統(tǒng);風險評估

中圖分類號:TP311

文獻標識碼:A

1引言

商業(yè)銀行作為現(xiàn)代經濟的核心，在加快實現(xiàn)銀行信息化建設的過程中，越來越關注信息化項目的合理性#65380;有效性#65380;經濟性#65380;可用性和安全性#65377;在這種需求的推動下，銀行信息系統(tǒng)風險評估走上了銀行風險控制的前臺，成為商業(yè)銀行信息化項目治理的重要組成部分#65377;運用先進的評估方法，逐步完善信息系統(tǒng)風險評估的流程，建立適合商業(yè)銀行風險特征的評估的模型，并通過信息系統(tǒng)風險評估的手段，保障信息資產的安全#65380;數(shù)據的完整#65380;提高信息系統(tǒng)的效率，可以使商業(yè)銀行不斷加強信息系統(tǒng)風險管理和內部控制，以適應風險環(huán)境日益復雜化的需要，以確保信息系統(tǒng)安全#65380;穩(wěn)定#65380;有效運行#65377;

2商業(yè)銀行信息系統(tǒng)風險分析

2.1商業(yè)銀行信息系統(tǒng)基本特征

隨著我國經濟的飛速發(fā)展及加入WTO后和世界經濟一體化進程的加快，企業(yè)以及個人相互之間的資金往來需要一個安全高效的資金劃撥#65380;支付結算手段及環(huán)境，銀行不斷完善信息管理系統(tǒng)，實現(xiàn)信息系統(tǒng)的電子化#65380;網絡化，使商業(yè)銀行的信息系統(tǒng)具有了新的特點#65377;

1)商業(yè)銀行的業(yè)務系統(tǒng)的特點

網點虛擬化，將帳戶的核算與管轄分開，會計核算由總行統(tǒng)一處理，各行處負責具體業(yè)務的經辦，使業(yè)務處理打破了分支機構界限#65377;通過帳務與業(yè)務的結合，使得會計系統(tǒng)和銀行業(yè)務的聯(lián)系更加緊密，客戶的數(shù)據在各系統(tǒng)內可以共享，并通過流程的控制使業(yè)務操作更加安全#65380;可靠#65377;

面向業(yè)務設計銀行業(yè)務處理，所有功能都由交易來驅動，記帳部分位于業(yè)務的底層，業(yè)務層通過調用統(tǒng)一的記帳核心來完成帳務處理#65377;通過實施業(yè)務流程再造，實現(xiàn)銀行業(yè)務的重組，更好地配置現(xiàn)有的資源#65377;

2)商業(yè)銀行信息系統(tǒng)的業(yè)務結構分析商業(yè)銀行主要業(yè)務包括存款#65380;貸款#65380;信用卡#65380;中間業(yè)務#65380;國際業(yè)務#65380;結算#65380;代收代付#65380;ATM#65380;POS#65380;網上銀行等#65377;商業(yè)銀行信息系統(tǒng)為銀行業(yè)務提供一個支撐平臺，結構如圖1所示#65377;圖1商業(yè)銀行信息系統(tǒng)業(yè)務結構

3)商業(yè)銀行信息系統(tǒng)結構分析商業(yè)銀行信息系統(tǒng)構架為三個層次，第一層核心業(yè)務系統(tǒng)，主要提供帳務記錄#65380;主要業(yè)務支撐和業(yè)務報表;第二層中間業(yè)務平臺，是核心數(shù)據與外部接口的交換平臺，提供數(shù)據接口的轉換功能;第三層外圍系統(tǒng)，提供外部數(shù)據的接口，如圖2所示#65377;圖2商業(yè)銀行信息系統(tǒng)層次結構

2.2商業(yè)銀行信息系統(tǒng)風險的特點

銀行業(yè)務處理中對及時性和可靠性的特殊需求，使得商業(yè)銀行信息系統(tǒng)風險體現(xiàn)出明顯的行業(yè)特征#65377;

1)商用銀行信息系統(tǒng)風險的業(yè)務特點

網絡和安全技術的飛速發(fā)展，使得商業(yè)銀行已成為商品交易的電子平臺和電子金庫#65377;因此商業(yè)銀行對數(shù)據完整性要求極高，對業(yè)務和數(shù)據的可用性#65380;安全性，以及對業(yè)務中斷和數(shù)據丟失等事故的防范和處理要求十分嚴格#65377;

2)商業(yè)銀行信息系統(tǒng)風險的技術特點

銀行開展信息化的時間較長，其應用系統(tǒng)較為普及，但長期來，銀行信息系統(tǒng)相對較為封閉#65377;近年來，隨著網銀#65380;中間業(yè)務等銀行新型業(yè)務和金融產品的出現(xiàn)，對開放信息系統(tǒng)的要求越來越高，銀行的信息系統(tǒng)均開始不同程度向外界開放#65377;

由于各商業(yè)銀行實行數(shù)據大集中，導致單筆交易所跨越的網絡環(huán)節(jié)越來越多，銀行信息系統(tǒng) 對網絡依賴程度越來越高#65377;

3)商業(yè)銀行信息系統(tǒng)風險的現(xiàn)狀

信息系統(tǒng)本身固有的風險在加大#65377;銀行業(yè)是信息化技術與產品相對密集的行業(yè)，由于信息化規(guī)模的不斷擴大，信息技術迅速發(fā)展，銀行信息系統(tǒng)所采用信息技術與信息系統(tǒng)軟硬件本身存在著很大的脆弱性，如果這些脆弱性被特定的威脅所利用，就會產生風險，從而對銀行信息系統(tǒng)的機密性#65380;完整性及可用性產生損害#65377;

銀行數(shù)據集中后使信息系統(tǒng)風險不易分解#65377;目前各家商業(yè)銀行已陸續(xù)完成數(shù)據大集中，實現(xiàn)銀行賬務數(shù)據與營業(yè)機構的分離，使銀行從以賬務和產品為中心轉變?yōu)橐钥蛻魹橹行?65377;但是，數(shù)據集中后信息系統(tǒng)風險增大，系統(tǒng)一旦出現(xiàn)問題，將影響到整個銀行的正常運營#65377;

電子金融服務的發(fā)展，使商業(yè)銀行隨時面對來自公共網絡的威脅#65377;近年來，網上銀行#65380;移動銀行#65380;電子商務等銀行新業(yè)務，在成為商業(yè)銀行利潤增長點的同時，使商業(yè)銀行的網絡風險日益凸現(xiàn)#65377;

人員的風險成為最大的風險#65377;統(tǒng)計結果表明，在商業(yè)銀行信息安全事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%~80%是由于內部員工的疏忽或有意泄密造成的#65377;

3商業(yè)銀行信息系統(tǒng)風險評估模型設計

3.1商業(yè)銀行信息系統(tǒng)風險評估的現(xiàn)狀與趨勢

信息系統(tǒng)風險評估已得到國際社會的普遍重視，風險評估的重點也從操作系統(tǒng)#65380;網絡環(huán)境發(fā)展到整個管理體系#65377;西方國家在實踐中不斷發(fā)現(xiàn)，風險評估作為保證信息安全的重要基石發(fā)揮著關鍵作用#65377;在信息安全#65380;安全技術的相關標準中，風險評估均作為關鍵步驟進行闡述，如ISO13335#65380;COBIT#65380;BS7799-3等#65377;

我國的信息系統(tǒng)風險評估工作目前還處于起步階段，還沒有形成一套成形的專業(yè)規(guī)范，缺少一支能夠全面開展信息系統(tǒng)風險評估的人才隊伍#65377;無論是國際上大型的跨國公司還是國內一些規(guī)模較大的企業(yè)都在不斷地擴大信息技術在其經營活動的應用范圍，運用傳統(tǒng)的信息技術和風險評估知識已經不能實現(xiàn)真正意義上的\"風險基礎模式\"的風險評估，這些都影響到我國IT治理和信息系統(tǒng)風險控制的實施#65377;

隨著商業(yè)銀行經營管理活動對信息技術的高度依存，信息科技風險控制已成為商業(yè)銀行風險管理的重要內容，并需要從戰(zhàn)略的角度將信息系統(tǒng)與實現(xiàn)公司治理的總體目標緊密聯(lián)系在一起#65377;因此，解析國內銀行信息系統(tǒng)風險評估的現(xiàn)狀及存在的問題，并根據國際經驗與我國實際情況進行差異性分析，最后，找到我國銀行業(yè)信息系統(tǒng)風險評估的有效方法，由此，實現(xiàn)信息系統(tǒng)風險評估在國內銀行業(yè)質的飛躍#65377;

3.2商業(yè)銀行信息系統(tǒng)風險評估模型的設計

在目前所應用的風險控制與評估模型中，基本區(qū)分為兩類，一類是基于業(yè)務風險控制的風險評估模型，這類模型的基礎是傳統(tǒng)的風險評估理論，因此更加注重于業(yè)務流程的控制和業(yè)務的風險管理;另一類是關注于技術控制的風險評估模型，這類模型建立在相關的信息安全標準之上，主要考慮的是技術的實現(xiàn)架構和實現(xiàn)方式，評估系統(tǒng)的技術風險#65377;

銀行在面對實際的信息風險時，需要建立定位于信息全面管理的風險評估模型#65377;因此，必須結合業(yè)務風險模型和技術風險模型的相關方法，通過分析系統(tǒng)自身內部控制機制中存在的薄弱環(huán)節(jié)和危險因素，發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中不正常和有害的行為，完成系統(tǒng)弱點和安全威脅的定性分析，在銀行信息系統(tǒng)內部風險各要素之間建立風險評估模型，如圖3所示#65377;

商業(yè)銀行信息系統(tǒng)風險評估模型信息系統(tǒng)的風險評估模型由三個基本元素組成，分別是銀行核心業(yè)務系統(tǒng)#65380;銀行信息系統(tǒng)風險管理和風險評估的方法和技術#65377;

銀行核心業(yè)務系統(tǒng)是業(yè)務運轉的基礎，是商業(yè)銀行固有風險的體現(xiàn)，它通過硬件平臺的支撐#65380;應用軟件的設計#65380;數(shù)據資源的管理，實現(xiàn)銀行業(yè)務職能#65377;

銀行信息系統(tǒng)風險管理，是商業(yè)銀行控制剩余風險的能力#65377;它主要包括系統(tǒng)建設風險控制#65380;系統(tǒng)數(shù)據完備性#65380;系統(tǒng)功能實現(xiàn)#65380;業(yè)務流程風險控制#65380;數(shù)據遷移等6個方面#65377;

風險評估的方法和技術，是風險評估和控制的手段#65377;它針對信息系統(tǒng)風險管理的需求和特點，采用不同的風險評估方法和技術，識別固有風險和剩余風險，對銀行信息系統(tǒng)進行整體風險的評估#65377;

4商業(yè)銀行信息系統(tǒng)風險評估模型的實現(xiàn)

4.1風險評估的實現(xiàn)框架

商業(yè)銀行隨時面對遭遇傷害和損失的可能性，而這些風險由關鍵信息資產#65380;資產所面臨的威脅以及威脅所利用的脆弱點來確定#65377;實現(xiàn)信息系統(tǒng)風險評估模型，需對信息資產的識別，進行威脅分析和弱點分析，實現(xiàn)框架如圖4所示#65377;

信息資產不僅包括硬件設備，還包括應用軟件和信息系統(tǒng)的相關人員#65377;信息資產的識別與賦值可以通過普查和調查的方式實現(xiàn)#65377;

信息系統(tǒng)的威脅來源于內部風險的管理和外部風險環(huán)境的變化，通常使用的手段包括:用戶訪談#65380;異常行為檢測#65380;日志分析等方法進行分析#65377;

弱點來源于信息系統(tǒng)的安全與業(yè)務安全需求的不匹配，弱點分析的方法有:應用軟件評估#65380;網絡構架評估#65380;人工評估#65380;工具掃描#65380;安全管理審計#65380;策略評估等#65377;

圖4風險評估模型實現(xiàn)框架

4.2風險評估的實施步驟

商業(yè)銀行信息系統(tǒng)風險評估的實施主要有如下步驟:

1)對信息系統(tǒng)風險戰(zhàn)略進行分析

商業(yè)銀行首先應建立信息系統(tǒng)風險戰(zhàn)略，并在內部發(fā)布和維護，以對信息安全的支持與承諾，使其與銀行的業(yè)務發(fā)展相一致#65377;

信息系統(tǒng)風險評估必須對信息系統(tǒng)業(yè)務支持的可行性進行分析，了解技術發(fā)展的內外部狀況和管理層對信息技術的支持度等情況，評價信息系統(tǒng)風險戰(zhàn)略是否與業(yè)務發(fā)展戰(zhàn)略相一致#65377;如圖5所示，首先需要確定總風險和剩余風險;其次把確認的風險進行排序，建立戰(zhàn)略風險和流程風險項目;最后確定流程執(zhí)行的效力#65377;

2)對風險評估內容進行詳細定義#65377;

建立信息系統(tǒng)風險評估范圍的表格，如該項評估所包含的系統(tǒng)#65380;人員#65380;資源等#65377;對信息系統(tǒng)的運行進行評估，如主機系統(tǒng)#65380;硬件設備#65380;人員管理#65380;災難備份#65380;權限管理等#65377;建立信息系統(tǒng)流程評估表格，如主流程#65380;次流程#65380;流程所對應的操作;流程中的主要固有風險#65380;風險的控制手段等#65377;

3)明確審計的技術和步驟#65377;

確定信息系統(tǒng)審計需要使用的技術和技術使用的步驟，常用的測試技術有現(xiàn)場觀察#65380;訪談#65380;審閱#65380;再執(zhí)行#65380;知識評估等#65377;

4)出具審計報告#65377;

對信息系統(tǒng)進行測試后，出具評估報告#65377;評估報告應包括信息系統(tǒng)的基本情況#65380;面臨的內外部風險#65380;評估所發(fā)現(xiàn)的問題#65380;對評估發(fā)現(xiàn)事項提出的建議#65377;

5)風險問題的跟蹤和跟進#65377;

評估完成后，對發(fā)現(xiàn)的問題需根據問題的重要性和對象，提出報告并跟蹤解決#65377;圖5 信息系統(tǒng)風險戰(zhàn)略及流程分析

5結束

語將業(yè)務評估模型和技術評估模型相結合，建立一套基于商業(yè)銀行信息系統(tǒng)風險評估評估模型與實施方法，可以避免傳統(tǒng)評估模型應用在商業(yè)銀行風險評估上的片面性#65377;并通對商業(yè)銀行的資產#65380;威脅#65380;脆弱性#65380;風險進行識別，發(fā)現(xiàn)控制缺陷#65380;漏洞和以前從信息系統(tǒng)內部看不到的潛在風險，提出有效的解決方案，幫助商業(yè)銀行建立健全內部控制制度，并根據業(yè)務發(fā)展的需要，明確信息化建設的目標和內容，不斷調整現(xiàn)有的信息系統(tǒng)管理架構和流程，使其更好地服務于商業(yè)銀行的業(yè)務管理#65377;

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。