银行信息技术

银行信息技术（共12篇）

银行信息技术 篇1

金融创新是近年来金融业发展的一种趋势。金融创新活动的兴起和迅猛发展, 给整个世界金融体制、各国金融宏观调节乃至世界经济的发展都带来了深远的影响。随着以计算机技术、通信技术和国际互联网技术为代表的信息化革命的飞速发展, 全球银行业务模式的创新也在发生变化。美国美理迪安公司进行的一项研究表明, 美国公司用于信息技术方面的投资将以每年4.7%的速度增长, 而金融业用于这方面的战略性投资将以每年17.7%的高速度增长, 金融业在信息技术方面的战略性投资占全部信息技术总投资的20%。由此可见银行金融业务的发展与转变, 离不开信息技术的技术支撑。当代信息技术的冲击不仅促使银行的服务创新不断跃上新台阶, 还使银行本身的存在形态发生了本质的变化。相对传统概念上的银行而言, 如今的银行正不断走向电子信息网络化, 不断走向虚拟, 并缔造了一个全新的组织体系与经营形态。银行的金融科技综合实力, 特别是业务需求、业务软件、系统集成和网络技术的水平, 将越来越决定着银行金融创新的能力, 并成为衡量银行竞争实力的标志。

一、银行业务创新

银行业务创新是商业银行在其经营过程中所提供的金融产品而进行的创新活动, 它是金融产品创新的重要内容之一。菲利普·科特勒把产品定义为“能够提供给市场, 引起人们注意, 供人取得使用或消费, 并能够满足某种欲望和需要的任何东西”。银行通常被认为是服务行业, 这主要是由于其竞争力来源于产品和服务的高度整合。若没有产品, 所谓服务就是空谈。但是有了好产品服务却跟不上, 市场份额也难以扩大。在很多的情况下金融产品与金融服务是密不可分的。一项银行产品总是包含着一项或数项金融服务, 而某一项金融服务可能渗透到几种银行产品之中。因此, 在许多场合金融产品与金融服务是难以明确区分的。从这个意义上说, 我们可以将其统称为银行业务。

1、银行业务的特征。银行业务主要属于服务性产品的范畴, 与制造业的产品相比, 有其自身的特性。

(1) 无形性。客户在消费或投资银行所提供的产品之前, 这种产品既看不见, 又摸不着, 难以用语言、文字来形容, 也无法感觉到它的质量和价值。银行产品的无形性在一定程度上体现了银行品牌和信誉的价值。

(2) 整体性。一项银行产品总是包含着一种或数种服务, 而某一种服务可能渗透到几项产品之中。所以说有时银行所提供的实际物质服务不变, 但其可能会因营业网点的不同或客户购买方式的改变而变化。银行业务只有在整个产品体系中与其它产品、服务结合在一起才能更好地发挥作用。

(3) 易逝性。银行业务不涉及制造, 贮存和运送的过程。只在提供给顾客时才发生, 产品提供后即告消失。

(4) 易模仿性。银行产品大多数为无形产品, 无法申请专利, 因此银行新开发的产品容易被其他银行所仿效, 产品创新者无法有效地保护其产品的特权。常用的价格竞争以及其它营销手段也很容易为其他金融机构所模仿, 而且模仿的时间较短。

(5) 增值性和高风险性。商业银行出售产品尤其是贷款和信用, 实际上是货币和银行品牌使用权的“出租”。它要求客户不仅要支付“租金”———利息或手续费, 还要求货币和信用在约定期限后安全偿还。因此, 和一般企业实现销售即获得营业收入和利润不同的是, 银行卖出了产品就买入了风险, 这是银行产品区别其它产品的显著特点。

2、银行业务创新的内容。根据银行经营的业务分类, 银行业务创新的内容主要包括以下几方面。

(1) 负债业务的创新。负债业务的创新主要发生在60年代, 其创新动力一方面是为了规避政府的管制, 另一方面是为了增加银行的负债来源。主要大额可转让定期存单 (CDs) 、可转让支付命令账户 (NOW账户) 、货币市场存款账户、协定账户、个人退休金账户及货币市场存单等。

(2) 资产业务的创新。主要有消费信用、住宅抵押贷款、分享股权贷款、组合性贷款等。

(3) 中间业务的创新。主要有信托业务、租赁业务等。银行中间业务的创新改变了银行传统的业务结构, 增强了竞争力。

(4) 清算系统的创新。包括信用卡的开发与使用、电子计算机转账系统的应用等。

二、金融信息化的发展历程

所谓金融信息化, 是指信息化与金融的融合, 是构建在由通信网络、计算机、信息资源和人力资源四要素组成的国家信息基础框架之上, 具有统一技术标准, 通过不同速率传送数据、语音、图形图像、视频影像的综合信息网络, 将具备智能交换和增值服务的多种以计算机为主的金融信息系统互联在一起, 创造金融经营、管理、服务新模式的系统工程。

在金融信息化领域, 以信息通信技术的发展和成熟为基础的数据大集中是近年来的热门话题, 并成为包括银行、证券、保险等行业在内的整个金融信息化的发展大趋势。所谓大集中是一种通俗的说法, 虽然集中的方式和程度不同, 但其实质就是数据的集中和系统、应用的集合。它是提高银行核心竞争力的重要基石, 一方面能够对金融业务进行即时风险控制, 另一方面支持新业务的大规模、低成本扩张。数据大集中使银行业发展的后台支撑系统, 能为用户带来的最直观感受的就是建立在各种信息技术基础上的电子化金融业务。

在国外发达国家, 银行业信息化建设随着信息技术的几次革命, 大体经历了四个主要阶段。

1、第一阶段是脱机批处理阶段。

大约在二十世纪五十年代, 国外一些银行就开始利用计算机进行票据集中录入, 实现账务管理的批处理, 以提高银行账务处理效率。这一信息技术的应用在客观上使银行账务管理模式由传统的分散型走向了集中型。

2、第二阶段是联机实时处理阶段。

随着网络技术和计算机分时操作系统的出现, 大约从二十世纪七十年代开始, 国外银行开始通过联机实时交易实现异地的通存通兑, 出现了ATM、POS机等新型自助服务渠道, 使银行业务迅速超出传统的存、贷、汇范畴, 金融的服务、产品和渠道创新发生了革命性的变革。

3、第三阶段是经营管理信息化阶段。

随着数据库和现代网络通信技术的发展, 国外银行业在二十世纪八十年代开始利用现代信息技术进行客户信息分析, 同时推出了更具个性化的家庭银行、企业银行、电话银行等服务和产品。初步建立了电子银行体系, 基于信息技术的现代银行产品服务体系趋于完整。

4、第四阶段是银行业务虚拟化阶段。

进入二十世纪九十年代后, 互联网技术突飞猛进, 国外先进同业开始基于互联网技术探索对银行服务渠道和产品的不断创新, 出现了网络银行、电子商务等新型服务渠道以提供虚拟化、个性化服务。对于银行业务的虚拟化, 国外发达国家也处在尝试和探索阶段。

三、信息技术对银行业务创新的影响

业务创新是金融创新的核心, 金融信息化作为一个跨行业的综合性系统工程, 不仅是计算机技术在金融业的推广应用, 还表现为金融业务的管理和发展与电子科技的高度统一与整合。信息技术推动了金融业务创新, 从银行业务创新的历史可以看到几乎所有金融创新品种的背后都有技术因素的有力支撑。从某种意义上可以说, 银行金融业务发展的历史也是银行高科技不断发展和应用的历史, 金融创新和科技创新有着极大的契合性。信息技术从以下几个方面来影响金融业务创新。

1、信息技术的应用极大地降低了银行相关业务的经营成本, 提高了经营效率。

网上银行的出现是信息技术带来银行业创新最直接的成果之一。网上银行通过使用信息技术、实现了交易无纸化、业务无纸化和办公无纸化。所有传统银行使用的票据和单据全面电子化, 全面使用了网络货币, 不仅能给银行节约使用现金的业务成本, 而且可以减少资金的滞留和沉淀, 银行利用计算机和数据通信网传递信息, 利用电子数据交换进行结算, 从而简化了业务流程, 提高了银行的经营效率。

2、信息技术为各金融机构的间接合作提供了一个技术平台。

技术型金融创新可以有效地规避分业经营模式对商业银行金融创新的限制。利用互联网的交互性, 银行只需聘请少数专业人员就可以解决客户购买保险、证券、基金等金融产品的各类疑问, 从而顺利地实现分销。从某种意义上说, 互联网模糊了各行业之间的截然分别, 实现了它们之间的有机合作, 给客户提供一站式服务, 在以后的柜台上可以享受保险、证券、基金的服务。从发达国家己经建立的网上银行看, 它已经成为了“一站购足”的金融超市, 各类金融服务和相关信息可以得到充分利用。

3、信息技术为银行向客户提供个性化服务奠定了基础。

以网络银行为例, 由于网络银行的客户地域跨度大, 传统的大众营销模式已经不适合新的客户结构。因此如何根据客户需求提供个性化的服务是网络银行竞争成败的关键所在。借助网上完善的交易记录, 银行可以对客户的交易行为进行分析和数据处理, 从中发现重要的客户, 并细分服务市场, 制定特定的营销策略和服务内容。

4、由信息技术推动的金融创新给传统商业银行开辟了更加

广阔的发展空间, 银行借助信息技术可以更快的实现资金的流动。银行集中各式各样的经济和金融信息, 并向社会发布, 从而引导社会商品运动和资金的运动, 以实现金融资源在社会各经济部门间的最优配置。

参考文献

[1]余波、单树峰:金融产品创新:理论约束和策略[J].河南社会科学, 2003 (11) .

[2]张卫:90年代金融创新的特点及对金融效率的影响[J].金融与经济, 2000 (12) .

[3]杨均:浅析银行产品的软开发[J].武汉金融, 2000 (10) .

[4]张华清:论金融产品的开发与管理[J].银行与企业, 1996 (7) .

[5]帅青红、张宽海:金融电子化概论[M].成都:西南财大出版社, 2004.

银行信息技术 篇2

---酒泉农商银行成功举办第三届业务技术比赛

为了展现我行员工精神风貌，检阅员工教育培训成果，不断提高全员业务操作技能，有效促进和提高金融服务水平。10月13日，酒泉农商银行成功举办了第三届业务技术比赛，来自全辖19个支行、部的86名选手分别参加了业务知识竞赛、汉字录入及表格制作、手工计息、珠算、单指单张、多指多张点钞6个项目的激烈角逐。比赛中，各参赛团队和比赛选手严格遵守赛场纪律和竞赛规则，在赛场上是对手，争分夺秒，沉着应战；在赛场外是朋友，相互交流，汲取经验，充分发扬了团结协作、奋力拼搏的进取精神，展现了酒泉农商银行员工昂扬向上、争创一流的精神风貌，赛出了成绩，赛出了风格，赛出了友谊。通过为期一天、9个场次的紧张激烈角逐，商行营业部、城关支行、新城区支行斩获了团体前三名，32名选手分别获得了单项前三名的好成绩。期间，部分获奖选手还登台交流了思想，畅谈了认识，演示了精湛娴熟的业务技能并现场对参赛选手进行了辅导培训，达到了相互帮助，共同提高的比赛目的。

银行信息系统弊端甚巨 篇3

最近，媒体广泛报道了广东开平案和江苏铁本案，加上此前的上海周正毅案和新疆啤酒花案，银行风险似乎危机四伏，防不胜防，在大家忙于制定各种规章制度“亡羊补牢”时，却有一个关键问题似乎被忽略了，那就是银行的信息系统问题。

先看广东开平案和江苏铁本案。小小一个开平支行，许超凡、余振东、许国俊等人前后控制10年之久，开平支行如同一个坚硬的“地堡”，把那些见不得人的勾当掩盖得严严实实。而最终被发现，还是中国银行决定将过去1040个电脑中心统一成一套系统，集中设置33个中心，从汇差数据不一致顺藤摸瓜才将此案暴露，但60亿元的巨大“黑洞”已经形成，至今无法弥补。江苏铁本案也如出一辙，小小的一个地市分行却敢授信放出巨额贷款，总行全然不知。难怪以前有一位商业银行行长感叹道，从总行到基层分理处，上上下下要经过6个层次，总部政策到达基层，真正全面贯彻需要至少四年时间，总行对全系统的情况基本上处于闭目塞听的境地，所谓风险控制和有效管理都是一句空话。相比之下，国外银行营业终了之时，总经理对当天经营成果、风险状况、成本控制等一目了然，真可谓是“一切尽在掌握之中”，而做到这一点全有赖于其高效、通畅的内部信息系统管理。

再看上海周正毅案和新疆啤酒花案。两个案件情况不同，但有一点却是共同的，都是信息不畅通。目前，我们国家的银行之间信息是相互封闭的，一些人正是钻了这一空子，通过注册不同的皮包公司，或者通过关联公司进行担保，在不同银行间来回骗取贷款和授信，而银行对这样的“黄金客户”不识庐山真面目，竞相垒“大户”，不知不觉中已进入“雷区”。这就是说，不仅一个银行系统内部，银行与银行之间的信息沟通同样存在障碍。

再来看看一些上市银行，同样是由于信息问题，轻则被监管部门处罚，重则遭到投资者起诉，信誉严重受损。

无论是银行内部的信息系统，还是银行间的信息共享，抑或是银行信息的披露，任何一个环节只要信息失真，便有可能留下隐患。作为管理者也好，作为同业竞争者也好，作为利益相关者也好，其一切决策均建立在真实、可靠的信息资料上，没有这一基础，一切无从谈起。

银监会最近出台的国有商业银行法人治理结构改革方案明确提出，要加强信息科技建设，全面提升国有商业银行的综合管理与服务功能。要求国有商业银行加强信息科技建设，提高信息科技处理能力，满足业务管理和业务发展以及风险管理的需要，使之成为提高产品市场竞争力和加强管理的有效手段。同时，在制定中国银行和中国建设银行股份制改革试点考核指标时，在成本收入比指标上留出一定空间，督促其尽快建立快速、高效的信息管理系统。

应该说，这些年商业银行在信息系统建设也没少花钱，但问题是缺少统一规划，各自为政，画地为牢，没有全局观和前瞻性，最后是劳民伤财，甚至只为为少数人发财致富提供了途径和机会。因此，在今后的信息系统建设中，一定要突出专业、超前、实用、统一的原则，一定要通过公开外包的方式，通过市场化途径让专业公司来完成。

据悉，银监会正在加紧建立相关监管信息系统，系统建成后对整个银行业信息的集中和监测将大为改观。凭借这一系统，将改变目前主要依靠举报信息进行监管的被动局面，可以通过非现场监管，发现问题，主动出击。同时，可以对重点贷款户实行持续监管，全过程监测，银行监管效率必将有一个大的提升，监管工作的主动性将大为加强。

银行信息披露管理工作也要加强。银行对外的信息披露不仅关系到投资者的利益，更有利于监管者借助资本市场这一机制，对上市银行进行全方位的外部治理，即将上市银行的一切置于公众和媒体的监督之下，有利于其规范操作，迫使其去追求“阳光下的利润”，减少违法违纪事件的发生。监管部门将在已有信息管理的基础上，进一步加大对商业银行信息披露的管理。

银行信息技术 篇4

目前在线手机银行已实现了查询、挂失、转账汇款、缴费支付、投资理财、个人贷款、信用卡、公积金等比较齐全的银行业务功能。随着手机银行功能的不断丰富和完善, 以及多层面各种途经的大力宣传、营销和引导, 手机银行客户规模迅猛增长。手机银行客户规模的快速增长说明了其操作简单、携带方便、手续费优惠等优点已经普遍被用户接受和认可。手机支付成为新的竞争点, 无线通信技术的应用。随着无线通信技术的发展和手机终端功能的不断升级, 以及3G网络投入应用, 由于手机携带方便, 更多的是因为手机普及率的提高和人们对手机依赖度的加深, 手机增值服务应用越来越广, 其中最被人关注的就是手机支付业务。移动运营商凭借其在通信技术、客户资源和用户体验引导等方面的优势, 将在手机支付市场占据主导地位。各家移动运营商从手机话费中扣款的支付方式, 已普遍被用户接受;逐步推出了“手机钱包”业务, 逐渐应用到机票、电影票、彩票、保险、报刊订阅、教育、缴费、充值等领域。下面对手机银行缴费支付模式进行分析。

1 手机银行电子钱包

手机银行将客户的身份信息与手机号码唯一绑定, 进而与客户追加的账户关联, 从而实现了以手机芯片作为安全介质的电子银行渠道。这是手机银行最大的业务亮点, 也是一种高保障的安全策略。

1.1 电子钱包设计思路

电子钱包支付模式的设计思想来源于手机银行的手机到手机转账, 由于客户手机银行的首选账户与手机号码唯一绑定, 因此在交易中可以使用手机号码作为索引, 来代替客户的银行账号。在手机到手机的转账功能中, 使用收款人的手机号码代替收款账号;而在电子钱包支付中, 使用付款人的手机号码代替付款账户, 这样手机号码就可以作为电子钱包编号用在支付交易中了。当电子钱包编号和支付密码匹配时, 支付系统发送短信验证码到电子钱包对应的手机号码, 系统通过校验客户输入的短信验证码来进行身份确认, 从而完成一次安全可靠的交易。使用手机号码作为电子钱包编号, 输入的数字位数少, 便于记忆, 操作简单快捷, 同时有效保护账号不被他人窥窃;使用手机短信作为验证码, 相当于硬件动态口令技术, 简单又安全。

1.2 安全措施的探讨

设置支付密码的考虑:一是防止他人通过电子钱包支付功能恶意向某个手机号发送短信, 或客户本人在输错手机号情况下向他人发送短信, 造成客户的恐慌;二是防止客户手机被盗的情况下被他人用来做交易, 造成资金风险。通过发送短信验证, 短信验证码由客户开通手机银行的手机号码接收, 是一种基于硬件的动态口令技术, 只有在同时掌握支付密码和手机芯片的情况下才能完成交易, 安全性高。短信验证码应统一由银行数据端口发送, 设置一定的时效性, 并且验证码与订单对应, 一条验证码只能在一次支付中使用。另外对于交易的控制, 客户必须首先签约手机银行服务, 然后登录手机银行在“缴费支付”菜单下开通电子钱包支付功能, 开通支付功能的同时设置支付密码, 然后才能在商户网站使用电子钱包支付。在“缴费支付”菜单下, 客户还可以设置默认的付款账户、个性化的支付限额, 并可以随时修改支付密码或关闭支付功能。

1.3 电子钱包的应用

手机银行电子钱包操作简单, 可快速完成支付交易, 适合各种网上商户的小额支付。比如游戏点卡充值, 还可以应用于网上商城、彩铃超市、第三方支付等等。电子钱包方便快捷的支付方式也可以应用到商场购物。对商场POS机做相关系统升级后, 客户在收银台的POS机键盘上输入电子钱包编号和支付密码, 再输入银行数据端口发送的短信验证码, 如果验证码通过则支付成功, 在POS机上打印支付回执。

1.4 不足之处

手机银行电子钱包支付时需要系统发送短信验证码, 因此将可能发生短信延时的情况, 尤其是近两年短信通客户的快速增长, 短信发送量也随之增长, 短信端口时常会发生堵塞, 必将造成客户因短信验证码延时太长而取消交易。因此建议短信平台对验证码类的短信优先发送, 并且升级短信平台硬件设备。

2 二维码电子票证业务

二维码是同时在横向和纵向两个方向表达信息的条码符号。移动二维码是基于中国移动通信网络的电子化的凭证, 将服务提供商的特定业务信息加密、编制成二维条码, 根据手机终端型号进行适配封装后, 通过移动数据通道发送到消费者手机终端并显示出来, 然后在服务场所的受理终端上解析成原业务信息, 实现特定业务信息的快速、准确、有效地传递, 以达到对业务数据或客户资料的跨行业远程识别。这种形似迷宫的二维码, 可以广泛应用于移动电子商务活动中, 成为电子化的交易凭证。中国移动近两年大力推广二维码增值业务, 在客户体验上进行了大胆的尝试, 并在客户培育方面投入了大量的工作。

2.1 电子票证业务流程设计

在手机银行渠道中增加相应的缴费项目, 借助二维码技术实现电子票证的配送, 可以实现电影票、入场券、汽车票甚至火车票等票证的售票业务, 下面以订购亚运会篮球决赛门票为例, 简要探讨订票的流程: (1) 客户登录手机银行, 进入“缴费支付”菜单, 选择缴费项目“广州亚运会门票”, 再选择“比赛项目” (篮球) 、“比赛场次” (决赛) 、“座位号”、订票张数等信息; (2) 客户确认应缴费金额、缴费账号等要素后, 提交中间业务平台进行账务处理;如果扣费失败, 则在手机银行页面显示缴费失败的原因;如果缴费成功, 中间业务平台将以上客户订票信息和客户手机号码一起打包传送到商户的票务管理服务器系统; (3) 票务系统登记售票情况, 并将客户订票信息和客户手机号码传送到二维码回执平台; (4) 二维码回执平台将客户订票信息进行加密, 生成二维码图片, 通过彩信平台发送到客户的手机, 返回电子门票发送结果。

下面介绍一下检票业务流程: (1) 比赛开始前, 客户在场馆入口检票处打开手机彩信, 工作人员在受理终端上读取彩信中的二维码信息; (2) 受理终端将二维码信息解析成门票信息, 由工作人员和检票系统核对确认, 即完成消费。

2.2 电子票证业务模式的特点

在上面的流程中, 涉及到银行的业务流程和系统结构基本上没有改动, 主要是在商户的票务管理系统上增加了移动运营商的相关业务接口———二维码回执平台和二维码受理终端, 而这些接口基本上是硬件设备的配置, 业务处理中涉及到的加密订票信息、生成二维码图片、发送彩信等, 都是由移动运营商的硬件模块完成。因此业务扩展和流程改造都比较容易。

二维码的应用有效地解决了人工配送票券的难题, 将为手机银行办理电子票证业务开辟新的天地, 业务前景十分广阔。同时二维码在银行代缴费业务中的应用, 助推了移动运营商二维码业务的发展, 促进了其增值业务的增长。而对于买家和商户, 二维码作为两者业务上的信任依据, 加快了业务流转, 并为买家提供了极大的方便。

近年来, 随着全球通迅技术的迅猛发展, 手机性能日新月异, 以手机为终端的新应用不断涌现。手机得到广泛应用的最大优势在于其能够实现数据和信号的无线传输, 手机银行作为以无线通讯方式实现的电子渠道, 在功能展现方面应充分挖掘无线传输的优势, 突出产品特色。

综合本节前面设计的两种手机银行缴费支付模式, 都是借助移动通迅技术 (短信验证码和二维码) , 实现“银行+移动运营商+商户”的缴费支付模式, 即银行专注于资金账务处理、移动运营商专注于通讯技术及通讯的安全保障, 这也将是移动商务的主要模式。

手机银行缴费支付业务的广泛应用, 必将带动手机银行客户的递增和使用率的提高。最关键的是, 如果能结合移动通讯技术、计算机网络以及多媒体技术等信息技术, 创新手机银行业务功能和业务模式, 将生活中与金融业相关联的业务展现在手机这个私人的随身空间上, 电子支付业务中的瓶颈必将取得新的突破, 手机银行才能真正应用到零售支付, 服务于生活。

摘要：本文在分析手机银行应用现状及手机支付发展趋势的基础上, 论证了研发贴近生活的缴费支付功能的必要性和迫切性, 并结合现有成熟的信息技术, 提出了应用于手机银行的缴费模式和支付模式, 从功能创新出发来拓宽手机银行的应用面, 提高手机银行的竞争力。

关键词：手机银行,二维码,通信技术,信息加密

参考文献

[1]张润彤, 朱晓敏.移动商务概论[M].北京:北京大学出版社, 2012:23-25.

[2]张宽海.电子商务概论[M].北京:电子工业出版社, 2010.

银行信息技术 篇5

发表于:2010-5-1

4为加强我国网上银行安全管理，促进网上银行业务健康发展，有效增强网上银行系统信息安全防范能力，2010年1月19日中国人民银行向银行业金融机构发布 了《网上银行系统信息安全通用规范（试行）》（以下简称《规范》），本文将就《规范》的内容和技术特点做重点解读。

一、《规范》出台的背景

自1998年招商银行率先在国内推出“一网通”领跑网上金融业以来，国内已有近百家国有银行和城市商业银行加入了网上银行行列，纷纷开通网络转账、付款、贷款和投资等业务。据中国银行业协会发布的《2009中国银行业服务改进情况报告》数据显示，截止2009年底，我国网上银行注册用户数达到1.89 亿，网银交易额达404.88万亿元。网上银行交易快捷、方便和操作简单的特性，极大地满足了网民的交易需求，因而倍受网民的青睐。

但是，由于互联网的开放性，网上银行系统的安全性问题令人担忧。目前，犯罪分子作案手段层出不穷，通过木马、钓鱼网站等威胁客户资金安全，甚至对网银系统 进行恶意渗透破坏和拒绝服务攻击。网上银行趋利性犯罪的高发态势，不仅会损害广大用户的经济利益，也将成为网上银行业务进一步发展的掣肘。因此，我国金融 行业亟需出台一项网上银行系统安全方面的标准，从技术标准层面引导网银业务的发展。

二、《规范》的基本内容

众所周知，网上银行系统在客户端、认证介质、网银后台三个主要安全点可能存在安全隐患，而将这三个安全点串联起来的交易传输网络也可能存在一定的安全风 险，由此构成了整个网上银行系统的安全风险链。在《信息安全技术网上银行系统信息安全保障评估准则（GB/T 20983-2007）》的基础上，结合网上银行系统的技术和业务特点，人民银行及时出台了该《规范》。

该《规范》共分为安全技术、安全管理和业务运作三部分，各部分又分别包含基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求为三年内应达到的 安全要求。其中，安全技术规范内容包括：客户端安全、专用辅助设备

安全、网络通信安全、银行服务器端安全四个方面；安全管理规范内容包括：组织机构、管理 制度、安全策略、人员/文档管理和系统运行管理五个方面；业务运作安全内容包括：业务申请及开通、业务安全交易机制和客户宣传教育三个方面。

《规范》要求银行业金融机构现阶段要遵照执行基本要求，同时积极采取改进措施，在规定期限内达到增强要求。

三、《规范》的技术特点

《规范》对目前已知的网上银行犯罪案例、网上银行常见交易认证机制存在的问题进行挖掘和分析，通过对商业银行网上银行安全检查进行深入分析和总结，从正面 提出规范性要求，具有较强的针对性和可操作性；不仅针对网上银行现实问题，而且针对潜在风险点均提出了应对措施，具有前瞻性；同时内容涵盖了网上银行系统 各个部分、交易的全过程，具有全面性。《规范》的主要技术特点包括：

（1）明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作

目前，用户使用文件证书作为认证方式时，其私钥保存在客户端计算机内，而且签名等涉及私钥的敏感操作也在客户的计算机上进行。大部分对于文件证书的保护机 制都依赖于浏览器，而浏览器对于文件证书的保护机制已经不足以抵御目前的各种攻击。因此，《规范》明确禁止仅使用文件证书进行转账类操作，从而能够有效规 避不法分子对客户资金安全的直接威胁，约束金融机构更好地保护客户利益。

（2）强调客户端的安全性

目前，绝大多数网上银行安全事件源于客户端安全隐患。由于客户端受到网上银行木马程序、网上钓鱼等黑客技术的侵害，且客户端程序基于通用浏览器开发，这会 存在利用通用浏览器的漏洞获取客户的网上银行登录信息的风险，另外客户端采用的安全控件防护强度较弱等问题都有可能导致其无法抵御一些常见攻击，因此对客 户端程序的检测就显得十分重要。

《规范》要求在客户端程序上线前要进行严格的代码测试，并关注最新的安全技术和安全漏洞，定期对客户端程序进行检查，从而能够及时发现客户端程序存

在的漏 洞并采取相应的规避措施。同时，金融机构应通过专业的第三方测试机构对客户端程序进行安全检测，目的是通过内部和外部的检测，能够公正、及时、全面地反映 客户端程序存在的问题，从而尽可能地保证其防范常见的针对网上银行客户端的攻击，例如防范采用挂钩Windows键盘消息等方式进行键盘窃听。

（3）对硬件数字证书的应用提出规范要求

USB Key作为专用辅助安全设备的主流产品，其相关安全测试和准入机制还不完善，黑客可能利用USB Key设计上存在的缺陷获得对Key的控制权。《规范》要求USB Key能够防范常见的物理攻击和逻辑攻击，进行PIN码加密传输，并在进行敏感操作时具有提示功能。同时《规范》要求对网上银行上经常使用的USB Key、OTP令牌、动态口令卡和其他专用辅助安全设备进行安全性检测，从源头上解决专用辅助安全设备的安全缺陷所导致的网上银行安全问题，有效防范应用 中的漏洞隐患。

（4）交易机制的规范化基于客户计算机终端不安全的假定

《规范》要求网上银行系统应具有防范客户端数据被篡改的机制，校验客户提交的数据之间的隶属关系，并由客户确认转账交易关键数据，以确保交易数据的真实有 效。在进行确认时，推荐使用手机短信或电话等第二通信渠道请求客户反馈确认交易信息。同时，为了使客户能够及时获取资金变化的信息并发现可疑交易，《规 范》规定了转账交易中，金融机构应提供及时通知客户资金变化的服务，通过采取有效措施，最大限度地保障客户信息和资金安全。

（5）关注Web应用安全

大部分网上银行系统都通过Web向用户提供服务，在Web应用中，《规范》要求应注意防范SQL注入、跨站脚本攻击、拒绝服务攻击等，保障网上银行系统能 够经受黑客等不法分子的攻击，从而保证系统持续、安全运行。

四、《规范》出台的意义

《规范》是人民银行多年来对银行业网上银行信息安全管理工作实践与经验总结的提升，是对金融信息安全认识不断深化的重要成果，也是有效降低金融网络案件、维护金融稳定的重要举措。

《规范》为金融机构开展网上银行系统建设，内部安全检测和合规性审计提供了规范性依据，为行业主管部门、评估测试机构进行检查、检测提供了标准化依

据。《规范》实施后，必将明显提高网上银行整体安全水平，特别是认证机制、交易机制安全性的完善提高，能够有效保障客户信息和资金的安全，增强客户信心，对推 动网上银行更好更快发展，具有里程碑意义。

我国银行信息科技风险监管研究 篇6

关键词：银行；信息科技风险；监管

现代金融行业在信息技术的推动下已经发生了飞跃式变化，对信息技术的依赖性也不断提高，从业务电子化到管理信息化，从数据大集中到信息集成系统，信息技术已经渗透到银行的各个方面，成为现代银行正常经营的基础，极大的提高了银行的经营效率；信息技术与银行业务的融合在促进了业务的发展的同时，还带来了风险隐患，若不对其进行有效监管，则可能引发系统风险，甚至会危及整个金融经济体系，因此，对银行信息科技风险监管进行研究，具有重要的社会意义。

1 银行信息科技风险分析

1.1 信息科技风险概述

银行信息科技风险是指银行在使用计算机、网络等技术进行产品、服务或信息传输时，所产生或引发的不确定性因素。我国银监会出台的《商业银行信息科技风险管理指引》中对此做了如下界定：信息科技在银行运行过程中，由于自然因素、人为因素、技术漏洞以及管理缺陷产生的操作、法律或声誉等风险。可见，科技信息风险不仅涉及银行内部程序和流程，还关系到银行的组织结构、政策以及操作风险的管理流程。

1.2 银行信息科技风险特征分析

银行信息科技风险兼具信息技术和银行业务的特点，可从风险属性和管理角度对其进行分类。

第一，从属性方面分析，银行信息科技风险具有技术含量高、突发性强、快速蔓延和覆盖面广的特点。与传统风险相比，信息科技涉及计算机技术、网络通信技术和安全技术，因此其技术含量较高；信息技术风险多数是由于自然灾害或不可抗力造成技术设备被破坏，从而导致业务连续性风险；信息技术的任何一个环节出现故障，都会迅速蔓延，加剧风险的严重性；信息科技风险故障源责任无法准确确认，电信部门、电力部门或外包服务商都可能对其正常运行产生影响。

第二，从管理方面分析，信息科技风险具有历史短、范围广、标准化不足、评估和计量困难的特点。信息科技在银行业务中的应用历史较短，因此仅被视作业务处理技术手段，而未上升到战略决策的高度；信息科技与银行业务层、操作层、管理层和决策层有不同程度的关联，增大了管理范围；信息科技的硬件、软件、网络等没有形成标准化，不同银行的实现方式不同，增大了管理难度；信息科技风险引发的财产损失无法衡量，而与之相关的法律风险、战略风险更是难以进行评估和计量。

可见，银行信息科技风险具有自身特点，若不对其进行严格的防范和管理，将严重影响银行企业的运行，甚至对国家的经济稳定产生威胁，因此，加强银行信息科技风险的监督管理意义重大。

2 我国银行信息科技风险监管存在的问题

2.1 监管法规和政策方面

首先，银监会出台的一系列政策并不含国际监管准则的基本要素，仅对监管目标进行了笼统的概述，还没有建立明确的监管程序和监管要求，这些要素的缺失，降低了监管的可操作性。其次，目前的信息技术风险监管多是发布风险提示，如针对“网银安全问题”发布的“网上银行安全风险提示”，这种做法存在的主要弊端是银行和监管人员不清楚违反要求操作，会给业务带来哪些不利影响，因此降低了监管的有效性。最后，信息科技风险监管法律法规的框架已经具备，但建立的不同法规之间会存在重复或遗漏问题，对科技信息重点问题缺乏监管和指引，需要进一步的协调和完善。

2.2 监管手段和方法

目前，我国银行还未建立有效的信息科技风险评估方法和评价体系。传统风险可用特定方法进行度量，但科技信息风险具有极强的不确定性，且造成的损失存在隐蔽性，难以估量，因此还没有建立比较完善的评价体系。风险评估手段的缺失，导致银行部门无法利用传统的方法对信息科技风险进行抵御和防范；在非现场监管方面，无法有进一步的作为，只能对科技投入进行监测，无法对由于内部操作引起的损失进行全面掌握，监管处于事后应对的被动阶段。信息科技风险监管不仅缺乏量化指标，还缺少有效的评价体系，难以对银行信息科技风险形成较为全面的理解，监管处于割裂、无序的状态。

2.3 监管人力资源

我国银行信息科技风险监管人员配备上存在很大不足，据统计，全国银监会系统内专职从事信息科技风险监管工作的专业人员仅为总数的0.4%左右，与国外发达国家相比，存在很大差距；从人员素质方面上看，我国银行信息科技风险监管人员多为计算机专业，对银行业务了解不多，因此只能承担着本单位内部系统维护的职能；银行信息科技风险监管是需要懂技术、懂业务的复合型人才，否则难以发现信息科技系统内存在的风险隐患。

3 加强我国银行信息科技风险监管的对策研究

3.1 完善银行信息科技风险监管机制

3.1.1 健全银行信息科技风险监管的法律法规体系

监管机构应积极学习国外银行的先进理念，结合我国国情制定完善的法律法规体系。为有效应对我国银行机构在信息科技方面治理缺失、重视不够、规划不足和管理不到位等原因，带来的系统性风险不断增大等问题，将风险管理关口前移，监管机构应在机构、业务和信息准入方面加大管理力度，将信息科技准入纳入相关的行政许可法规中，确保银行在金融机构设立、业务开办与系统运行之前就能符合业务发展的需要，为业务的正常运行提供安全的环境；要制定银行信息科技风险治理意见，从组织结构、战略规划、运行机制、激励约束等方面明确监管要求，指导银行建立完善的风险管理组织结构。制定银行信息安全管理规范，组织银行金融机构总结经验，明确目标，制定符合我国银行发展实际的信息安全管理规范，从安全策略、管理体系、技术要求、风险评价与监督四个方面形成完善的信息安全管理体系。

3.1.2 增加信息科技风险监管资本投入力度

信息科技与银行业务高度融合，这就要求我们不仅要从科技角度对其风险进行识别、评估和处理，还应将信息科技与监管资本密切联系。首先，将信息科技风险纳入银行机构全面风险管理框架中，使信息科技风险得到量化评估；其次，建立信息科技风险监管协作机制，将风险专业评估结果纳入风险评估报告中，在机构、高管和业务准入及退出环节增加信息科技条件，防止信息科技风险防控不达标的机构、高级管理人员和有关业务进入；最后，将信息科技风险与监管资本结合，提高机构对信息科技管理及风险防控的重视力度。

3.1.3 完善信息科技风险评估体系

信息科技风险评估的有效开展是以非现场监管为基础的，建立一套科学、合理的监管风险体系可为监管人员的业务开展提供便利，促使其准确识别、监测、评估和分析信息科技风险，并为风险预警、监管评级、分类管理和持续改善提供参考和依据。我国科技信息风险监管处于起步阶段，要尽快积累历史数据，对其进行分析，然后根据不同机构的特点制定一套标准模型分值和权重，使其在实际应用过程中不断完善和修正；充分发挥信息监管人员的积极性，鼓励他们不断学习，提高自身的学习的积极性；学习国内外企业的先进监管经验，吸收和借鉴最新的实践成果，对现有的评价体系进行调整和补充。

3.2 提升信息科技风险监管科技水平

银行机构应建立信息技术实验室，为监管人员模拟银行业务操作，近距离了解信息科技风险提供条件。信息技术实验室主要职能有：信息科技风险培训，实验室可由两部分组成，其中一部分为小型的数据中心，配备网络、服务器等设备，同时安装银行业务模拟系统，供监管人员了解二维码、云计算、家庭银行、在线测试技术的发展情况，保障监管机构在技术风险管理领域处于领先地位。

3.3 强化信息科技风险监管队伍建设

信息科技风险监管专业性强、进入门槛高，是否具备足够的高素质专业人才是决定监管有效性的重要因素。我国银行业信息科技风险监管人才匮乏，应大力加强人才队伍的建设。建立学习型团队，将监管人员从大量、繁杂的技术维护工作中解放出来，使其能够继续学习专业技能；进一步加强合作交流，可派技术骨干前往其他机构学习考察，学习先进的管理经验和预防技巧；通过交流，分享经验，探讨形势及其应对策略；鼓励业务监管人员掌握信息科技监管知识，增加信息科技风险监管人员的来源途径，减轻人力资源紧张问题。

4 结束语

综上所述，信息技术、网络技术和通信技术与银行业务的融合，一定程度上促进了银行业务的拓展，方便了人们的消费，提高了银行工作效率；同时我们也应该意识到，信息技术的应用也会给银行业务造成威胁，应从监管体系、资本投入以及人才培养三个方面采取措施，降低信息科技风险带来的损失，提升我国银行应对信息科技风险的能力，保障我国金融行业的稳定发展。

参考文献：

[1]孙一飞.商业银行信息科技风险管理研究[D].上海交通大学，2013.

[2]潘勇，邢燕.论我国网上银行的监管及其完善[J].河南省政法管理干部学院学报，2010（05）.

[3]王海颍.银行信息科技风险现状研究与对策建议[J].时代金融，2015（21）.

银行信息技术 篇7

1 银行信息技术的主要风险

1.1 安全性

银行的信息系统是建立在TCP/IP为基础的网络上的, 由于TCP/IP协议是对公共开放的, 可能受到网络内外部的攻击, 这就给银行信息系统的监管、访问控制、身份认证、等环节带来了安全性的风险。比如访问控制系统得不到完善, 会给黑客攻击银行的信息系统、获取秘密的信息来提供便利, 银行的管理人员可以通过对系统主机的接触来修改数据, 盗用客户的资金, 软件负责人员可能通过定时启动某些程序, 对数据进行操作和修改。

1.2 战略风险

所谓战略风险, 指的是因为决策的不当而使银行的收益造成影响的可能性。它对金融机构有着长期和决定性的影响。银行信息化的目的是实现银行业务流程的再造, 而非替代手工操作。如果信息化的决策偏离了银行总体的业务目标, 就会产生战略风险。新技术一般其风险性很高, 然而如果只会跟随浪潮的话则会失去发展机会。新技术不够成熟的话, 会对计算机系统的稳定性造成损害, 而如果采用的技术过于落后, 银行将会面临技术过时的风险, 很快将失去生命力。

1.3 法律风险

银行在双方违反相关的法律法规、标准、惯例, 或者法律上的义务没有得到明确规定的情况下所受到的损失, 是法律风险。法律风险可能导致银行声誉降低、发展潜力降低、业务机会受限, 并且承担赔偿和罚款的后果。目前我国在这方面的法律法规尚没有得到完善, 因而使得银行面临着各种各样的法律风险。法律风险主要有证书授权商的风险、法律法规不完善造成的风险、罪犯进行洗钱活动的风险等方面。

1.4 声誉风险

声誉风险是指公众舆论下降使银行客户和资金流失所造成的风险。声誉风险可能是银行的声誉造成损害, 给银行的经济带来损失, 影响银行对客户继续服务的能力, 也会对银行建立新客户的能力造成影响。不仅仅对某个银行, 声誉风险对整个银行业的影响都是巨大的。

1.5 跨境

跨境风险是一种多方面综合的风险。在当今的商业环境之中, 银行的客户范围可以借助网络来近乎无限制地延伸, 当其市场跨越了国家的范围之后, 就会有跨界风险的存在, 其中包括法律风险、信用风险、操作风险、国家风险等等。不同的国家对银行处理客户交易有着不用的法律要求, 这种法律的不一致性将带给银行法律上的风险。

1.6 外包

在银行系统中, 需要对大量数据进行处理的环境不仅有核心的业务系统, 还包括网络银行、ATM机、手机银行、客服中心等业务系统。各方面的压力和要求使得银行对IT系统的投入将越来越大, 而IT技术的专业性以及银行业务集成的复杂性, 使得银行对外包服务的需求与日俱增。然而如果对业务外包的管理控制不当, 就会引发外包风险。外包风险主要的内容有信息系统失控、战略信息伤害、服务得不到有效提供三方面的风险。

2 管理方面存在的问题

2.1 管理制度不健全

当前银行大多缺乏预见性的管理机制, 没有根据银行业务的发展对IT技术的要求来制定业务系统, 不能做到与时俱进, 依旧使用过时的管理模式, 造成了信息技术与业务需要的脱节。近年来, 我国的金融活动非常频繁, 基金证券等理财服务活跃于市场, 给银行的信息技术体系带来了前所未有的挑战。此外, 由于管理机构的缺乏和管理机制的不完善, 使得银行不能明确各个部门的职责, 对事情的责任相互推诿, 无法对信息技术进行更新, 造成了很多的安全隐患。

2.2 沟通不协调

银行信息技术的规划必须由各个部门来参与和配合, 然而有些银行在信息技术的管理过程中, 并没有做好整个银行所有部门间的协调工作, 而仅仅是信息技术部门在单独调控。这样一方面会造成银行的信息管理部门在工作中仅仅考虑自身, 无法进行全面的规划;另一方面, 因为没有其他部门的配合, 其规划也较难以实施和应用。由于沟通的缺乏, 各部门在面对风险和问题时相互推诿, 不能对风险进行及时的处理应对, 造成整个银行应急能力的低下。

2.3 技术落后

目前, 很多新式的技术设备在我国的银行系统中得以应用, 然而由于这些设备大多来自国外。而且在我国银行外包机制的应用下, 软件等业务的开发一般会由第三方来完成, 技术掌握在他人手中。这就造成了在技术方面的受制于人, 为管理和服务增加了难度, 还为银行的信息安全造成了更大的隐患。

2.4 人才缺乏

信息技术系统的修护和完善的需要, 要求银行必须配备有对IT技术和银行业务双方面都精通的工作人员。这种高要求的职业大部分员工都是难以胜任的, 而且银行的待遇相对而言较低, 因此造成了很多的银行信息业优秀人才的流失。这不仅降低我国银行的市场竞争力, 优秀人才流入国外的银行, 也是对国外银行竞争力的增加, 国内银行因此面临着安全隐患不断显现的困境。

3 应对措施

3.1 加强管理技术

银行应该加强风险管理制度, 对银行的管理体制进行完善, 对防范风险的技术措施要进行加强。其中主要包括加强银行设备的安全性和加强银行客户的安全性两个方面。设立防火墙和入侵检测系统, 进行病毒的预防和清除工作, 通过数据和身份双方面的认证来确认客户的身份, 进行数据安全性的鉴别。

3.2 在制度上降低风险

银行应该对自己的信用值进行加强, 调整信贷的政策和对其信贷业务的管理, 做好对贷款企业的调查。还要对资金的进出做好监控, 对利率、利润的变化要提早做好防备, 提高银行对安全事件的应变能力。最后要对业务流程、员工制度等措施进行完善, 不断地增强自己的风险管理能力, 促进稳健的经营。

3.3 人才管理

作为银行信息技术的智力支持和发展保障, 技术人才是银行所必须重视的。因此, 银行必须加强人才的培养和管理, 既要注重对技术人才的引进, 又要做好对员工技术素质的培养。银行应该建设完善的激励机制以避免现有人才的流失、吸引更多的人才加盟;另一方面应该加强员工职业道德和业务技能, 提高其计算机系统的操作能力, 在一定程度上降低风险。

参考文献

[1]忻友.浅谈我国银行计算机管理系统维护的现状与对策[J].广东科技, 2012 (13) .

[2]刘鸿彬.论我国网络银行面临的问题与对策[J].河南机电高等专科学校学报, 2006 (4) .

银行信息技术 篇8

随着信息化的迅猛发展, 信息技术已经渗透到各个金融管理和服务领域。中央银行的业务工作对信息技术的依赖程度不断提高, 信息安全和技术风险问题也日益受到关注, 在人民银行系统全面开展信息技术审计应得到各部门的高度重视。信息技术审计是面对计算机信息系统的审计, 其目标是通过对计算机信息系统资产所面临的威胁、脆弱性识别, 以及管理和环境风险水平计算, 来评估审计对象科技信息安全状态和存在的不足的流程, 探索建立人民银行信息科技审计模型, 发现和识别在科技信息系统的风险点和控制薄弱环节, 提出有针对性的意见和建议, 促进和维护计算机系统的合规性、安全性、可靠性及有效性。

二、人民银行信息技术审计风险评估指标体系构建

(一) 资产重要性识别

资产是具有价值的信息或资源, 是安全策略保护的对象。它能够以多种形式存在, 有无形的、有形的, 有硬件、软件, 有文档、代码, 也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息科技审计中资产的价值不仅仅以资产的账面价格来衡量, 而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值, 而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。根据资产的表现形式, 可将资产分为数据、软件、硬件、文档、服务、人员等类。

通过对资产的机密性、完整性和可用性综合分析评定, 可以对被审计资产的重要性给出一个评估结论。笔者将资产重要性划分为五级, 级别越高表示资产重要性程度越高。具体见表1。

(二) 资产威胁识别

威胁是一种对组织及其资产构成潜在破坏的可能性因素, 是客观存在的。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机, 人为因素又可分为恶意和无意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击, 例如非授权的泄露、篡改、删除等, 在机密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。根据人民银行科技信息工作实际, 根据表现形式, 威胁主要分为以下几类。见表2。

判断威胁出现的频率是威胁识别的重要工作, 审计人员应根据经验和 (或) 科技部门提供的有关的统计数据来进行判断。根据人民银行工作实践, 判断依据主要包括以下三个方面。

1.以往安全事件报告中出现过的威胁及其频率的统计。

2.实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计。

3.近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计, 以及发布的威胁预警。

威胁频率等级划分为五级, 分别代表威胁出现的频率的高低。等级数值越大, 威胁出现的频率越高。表3 提供了威胁出现频率的一种赋值方法。

(三) 资产脆弱性识别

脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别, 弱点是资产本身存在的, 如果没有相应的威胁发生, 单纯的弱点本身不会对资产造成损害。而且如果系统足够强健, 再严重的威胁也不会导致安全事件, 并造成损失。即, 威胁总是要利用资产的弱点才可能造成危害。

脆弱性识别将针对每一项需要保护的资产, 找出可能被威胁利用的弱点, 并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者, 以及相关业务领域的专家和软硬件方面的专业等人员。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

脆弱性识别主要从技术和管理两个方面进行, 技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面, 前者与具体技术活动相关, 后者与管理环境相关。具体识别内容见表4。

可以根据对资产损害程度、技术实现的难易程度、弱点流行程度, 采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性由于很多弱点反映的是同一方面的问题, 应综合考虑这些弱点, 最终确定这一方面的脆弱性严重程度。对某个资产, 其技术脆弱性的严重程度受到组织的管理脆弱性的影响。因此, 资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。

脆弱性严重程度的等级划分为五级, 分别代表资产脆弱性严重程度的高低。等级数值越大, 脆弱性严重程度越高。见表5。

(四) 风险分析

审计人员在完成了资产识别、威胁识别、脆弱性识别, 将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性, 考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响, 即安全风险。风险计算以下面的范式形式化加以说明:

风险值=R (A, T, V) = R (L (T, V) , F (Ia, Va ) )

其中, R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。有以下三个关键计算环节。

1.计算安全事件发生的可能性

根据威胁出现频率及脆弱性状况, 计算威胁利用脆弱性导致安全事件发生的可能性, 即:

安全事件发生的可能性=L (威胁出现频率, 脆弱性) =L (T, V )

在具体评估中, 应综合攻击者技术能力 (专业技术程度、攻击设备等) 、脆弱性被利用的难易程度 (可访问时间、设计和操作知识公开程度等) 以及资产吸引力等因素来判断安全事件发生的可能性。

2.计算安全事件发生后的损失

根据资产重要程度及脆弱性严重程度, 计算安全事件一旦发生后的损失, 即:

安全事件的影响=F (资产重要程度, 脆弱性严重程度) =F (Ia, Va )

部分安全事件的发生造成的影响不仅仅是针对该资产本身, 还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时, 应将对组织的影响也考虑在内。

3.计算风险值

根据计算出的安全事件发生的可能性以及安全事件的损失, 计算风险值, 即:

风险值=R (安全事件发生的可能性, 安全事件的损失) =R (L (T, V) , F (Ia, Va ) )

具体计算方法可以采用风险矩阵测量法。

这种方法的特点是根据以上过程事先估算的资产价值、威胁等级和脆弱性等级赋值建立一个对应矩阵, 预先将风险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。资产风险判别矩阵如表6 所示。

对于每一资产的风险, 都将考虑资产价值、威胁等级和脆弱性等级。例如, 如果资产值为3, 威胁等级为“高”, 脆弱性为“低”。查表可知风险值为5。如果资产值为2, 威胁为“低”, 脆弱性为“高”, 则风险值为4。由上表可以推知, 风险矩阵会随着资产值的增加、威胁等级的增加和脆弱性等级的增加而扩大。

当一个资产是由若干个子资产构成时, 可以先分别计算子资产所面临的风险, 然后计算总值。例如:系统S有三种资产A1, A2, A3。并存在两种威胁:T1, T2。设资产A1 的值为3, A2 的值为2, A3 的值为4。如果对于A1 和T1, 威胁发生的可能性为“低”, 脆弱性带来的损失是“中”, 则频率值为1 (见表1) 。则A1 的风险为4。同样, 设A2 的威胁可能性为“中”, 脆弱性带来损失为“高”, 得风险值为6。对每种资产和相应威胁计算其总资产风险值。总系统分数ST=A1T+ A2T + A3T。这样可以比较不同系统来建立优先权, 并在同一系统内区分各资产。

(五) 风险结果判定

风险等级划分为五级, 等级越高, 风险越高。审计人员应根据所采用的风险计算方法为每个等级设定风险值范围, 并对所有风险计算结果进行等级处理, 最终给予审计对象一个审计结果。见表7。

人民银行应当综合考虑风险控制成本与风险造成的影响, 提出一个可接受风险阈值。对某些风险, 如果评估值小于或等于可接受风险阈值, 是可接受风险, 可保持已有的安全措施;如果评估值大于可接受风险阈值, 是不可接受风险, 则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面, 可以参照信息安全的相关标准实施。

在对于不可接受风险选择适当的安全措施后, 为确保安全措施的有效性, 可进行再审计, 以判断实施安全措施后的残余风险是否已经降低到可接受的水平。

某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内, 应考虑是否接受此风险或进一步增加相应的安全措施。

三、人民银行信息技术审计中应注意的问题

在信息技术审计中如何坚持风险导向审计是一个不断摸索、不断总结提高的过程。笔者认为, 只有不断积累风险数据信息, 持之以恒的加强人才培养, 新旧审计模式互为补充, 才能更进一步发挥好内部审计职能。因此, 应注意以下几点。

(一) 建立动态的风险信息数据库, 为运用现代风险导向审计模式提供信息基础

由于内部审计时间资源有限, 不可能对所有的监督内容和所有的环节进行全面监督, 比较科学的办法是建立一个完整的审计风险模型, 对造成审计风险的多种因素进行全面分析和评估, 发现被审计单位内部控制中的薄弱环节, 确定审计的重点和范围, 从而制定更具有针对性的审计策略。

(二) 新型审计模式的运用并不意味着旧审计模式的消亡

风险导向审计是在传统审计模式基础上发展起来的新型审计模式, 立足于对被审计对象整体风险管理进行系统审查、分析和评价, 并以此确定审计策略及审计计划。因此, 必须注重新旧审计模式的有机结合。将风险导向审计理念融入传统审计模式, 可以使传统审计项目内容得以扩展, 审计更加灵活, 更好地坚持全面审计、突出重点的原则。

(三) 重视信息技术审计人才的培养, 为风险导向审计提供智力支持

人民银行运用风险导向审计方法, 不仅要求内部审计人员熟练掌握有关规章制度, 还要求审计人员利用审计职业独特的判断力, 在实际运用中对审计风险点加以判断。因此, 复合型人才培养与储备是运用风险导向审计方法必不可少的前提条件。要通过各类后续教育及培训, 进一步更新内部审计人员业务知识, 提升专业胜任能力, 逐步建立起具有现代知识素养和职业水平的内部审计干部队伍。

(四) 加快辅助审计软件的开发及应用, 为风险导向审计提供技术支持

随着信息技术的发展, 审计技术手段日新月异。在风险导向模式下, 加强审计信息化建设十分重要。通过搭建信息收集和监测平台, 开发和应用计算机辅助审计软件, 迅速有效地完成各项审计信息的审核工作, 将内部审计人员从机械性检查中解放出来, 把主要精力用在对重要业务系统、重要业务环节的监控和评价上, 从而减少审计成本、提升审计效率。

参考文献

[1]中国人民银行福州中心支行内审处.借鉴风险导向型审计拓展央行内审新领域[J].福建金融, 2007 (10) .

[2]罗伯特·莫勒尔.布林克现代内部审计学[M].北京:中国时代经济出版社, 2005.

[3]孙晓, 马鹏飞.人民银行信息技术应用的风险管理研究——基于审计角度的分析[J].金融会计, 2011 (12) .

[4]李帆, 骆钰.风险导向审计模式在人民银行内部审计中的运用研究[J].武汉金融, 2009 (9) .

银行信息技术 篇9

一、积极响应市场，构建面向应用的数据集市

在地区经济形势飞速发展的背景下，众多外资银行先后进入内蒙古市场，同业竞争日趋激烈。建行内蒙古分行意识到，在比产品、比服务的同时，如果能充分利用现有的数据、信息对目前市场进行分析，为经营管理决策提供支持，那将为建设银行内蒙古分行在这场竞争中获胜增添砝码。因此，自2007年起，借总行操作型存储系统在全国推广的契机，建设银行内蒙古分行充分利用当前成熟的数据仓库挖掘技术，建立起自己的数据集市，并基于现行业务发展实际，对银行多种业务分散的数据源进行了有效的整合，对银行业务数据按主题概念进行理解和规范，实现了不同类型数据的统一管理和不同类型应用的统一支持。

二、数据挖掘为营销决策提供有力数据支撑

2008年底，为了适应新形势下银行经营管理的需要，各家银行的竞争演变为对优质客户的竞争。为此，建设银行内蒙古分行开始大力推进网点转型工作，促进理财中心的销售服务工作从“产品驱动”模式向“客户需求驱动”模式转变，规范VIP客户销售服务流程，着力提高VIP客户的服务能力和满意度。其核心内容就是强化客户经理的职能，通过“六步销售流程”——制定/更新客户联系计划、联系客户、评估客户金融需求、执行销售、销售后续跟踪及庆祝流程六个步骤，规范客户经理日常销售行为。

在网点转型的过程中，我们发现制定/更新客户联系计划、评估客户金融需求、销售后续跟踪等步骤，完全可以利用现有的数据资源，通过数据挖掘技术实现，进而将客户经理从繁琐的事务性工作中解放出来，将更多的精力投入到更有价值的营销工作中。例如制定客户联系计划，可以从数据集市中准确地筛选出客户的联系方式，并综合客户个人特征，制定适宜的联系计划，以供客户经理参考。

经过前期详细的需求分析，建设银行内蒙古分行开发了营销作业支持系统，通过对客户信息和交易信息的采集、清洗、分析，挖掘出客户经理营销所需要的基础数据，以指令形式提供给前台客户经理。例如，对于当天生日的客户，系统会形成指令提示客户经理，要求客户经理按照已经筛选出的客户进行生日问候;对于上一日发生大额取款、转账、结清业务的客户，要求客户经理进行定位跟踪分析，以防发生客户流失的现象;根据客户持有的产品数量，判断客户产品的覆盖率，提示客户经理对客户缺失的产品及时进行推荐营销。

三、数据挖掘为产品销售分析提供全面数据保证

随着我国金融行业的迅速发展，理财产品呈遍地开花的发展势头，就建设银行内蒙古分行而言，目前理财产品已成为主打销售产品，占到建设银行内蒙古分行金融资产销售总量的60%。所谓知己知彼、百战不殆，为了在激烈的市场竞争中保持优势地位，必须对现有理财产品的销售情况、资金结构状况、客户群体等信息了如指掌，这就需要从庞大的账务数据中挑选出各类理财产品的相关数据并进行分析，而这恰好可以利用数据挖掘技术的海量数据处理技术实现。

通过在数据集市中采集理财产品信息、销售信息以及销售前后客户账户的变动信息，完成了对理财产品销售在产品级和客户级的多维分析，并对持有客户的结构、认购资金的流向等信息进行深层次分析，进而巩固和发展优质客户，以便确定有别于竞争对手的市场定位和差异性的竞争策略，从而进一步扩大建设银行内蒙古分行产品销售的竞争优势，提高建设银行内蒙古分行的经营管理水平。

银行信息技术 篇10

网银运营风险, 因为其难以定量和定性, 一直以来银行界对于运营风险没有统一的定义。直至巴塞尔银行监督委员会在新巴塞尔资本协定发布第二次咨询文件中, 就运营风险定义为“由于内部运营、人员以及系统之使用不当或失误, 或因外部事件所造成之直接或间接的损失”。巴塞尔II还对运营风险的各个方面, 包括资本的分配, 风险衡量, 运营管理等进行一系列的规范和建议, 并自2006年底开始施行。

对于银行运营风险管理工作, 网絡银行业务是一个新的挑战领域。网絡银行运营风险一方面难以预见与管理, 但另一方面又具有软件的自动化、运营简便等优势。因此, 通过应用信息智能技术于网絡银行业务运营风险管理, 达到更具效益的风险管理。

二、信息智能技术应用于网絡银行运营风险管理

运营风险管理的组织结构框架可以归纳为三个要素:1、管理政策;2、建模与衡量的方法论;3、管理结构, 包含相关的人事、系统以及有序的管理过程。

自从巴塞尔II新资本协议推出后, 银行运营风险管理已经趋向信息科技化、系统化和规范化。

信息智能技术自80年代至今一直是计算机科学的热门话题, 以往主要集中在自动化和游戏对弈等领域, 近年来在机器学习, 人脸、图像、声音识别等领域有很大发展, 并且已经开始应用到银行业之中。信息智能的领域很广, 结合本文的特点, 我们将会集中探讨机器学习的方法。

机器学习 (Machine Learning) , 是通过对测试数据或者历史资料的分析, 寻找最优化解决方法的某些计算机算法的统称 (Alpaydin, 2004) 。通过对给定的数据集的“学习”, 计算机程序能对新的数据进行判断、分类等。以下介绍兩种比较适合应用于运营风险管理的两种机器学习的方法:

(一) 贝氏网络 (Bayesian Networks)

贝氏网络通过图示模型表示变量之间的相互作用和关系 (Alpaydin, 2004) , 网络由一个有向无回路图 (Directed Acyclic Graph, DAG) 组成, 结点表示随机变量, 结点间的箭头表示各风险事件之间的依靠性联系。下图1.1表示一个简单的贝氏网络的构造, 由图1.1可见风险事件C的属性依赖于风险事件A和风险事件B, 风险事件D的属性依赖于风险事件B和风险事件C。

图1.1一个简单的贝氏网络

当A, B, C, D的属性分别为a, b, c, d时对应的回报为R (a, b, c, d) , 则不难理解下面两个公式:

贝氏网络理论有助于在运营风险管理中建立因果网络 (Causal Network) 。

(二) 增强学习法 (Reinforcement Learning)

增强学习法与一般的监督学习法不同, 是在没有任何指导的情况下, 就每个程序所做出的选择, 在执行所作的选择以后, 外部环境会对其选择给予一个回报或者损失, 程序根据得到的回报或损失更新信息, 供下次做出选择时参考。增强学习法适用于连续性的选择行动, 其意义为当前的回报比往后得回报更加受到重视, 同时也影响学习的速度与精确性。

三、信息智能技术应用于网絡银行风险管理

网络银行服务可以定义为“透过电信、网络等方式直接与客户进行银行产品和服务的系统” (FFIEC, 2003) 。网络银行服务包括账户管理、网上交易与支付、信贷等。建立网络银行服务必须同时考虑网络设施、系统软件、法律条文、防火墙等相关因素。以下为一个典型的网絡银行风险管理系统框架其组成元件包括:风险管理政策、内部监控、风险资本、关键风险指标、记分卡、损失资料库、系统环境參素和风险管理模型。

运营风险管理可划分为五个步骤包括:

(一) 运营风险识别

运营风险识别的关键步骤是风险对照和关键风险指标的建立。通过建立因果网络构建风险因素之前的交互联系, 可以得出清晰明确的关键风险指标。运营风险识别的流程图见图1.2:

运营风险识别的步骤包括: (1) 运营风险管理层根据风险损失数据或情景分析结果识别出风险; (2) 过程定位, 找出与运营风险相关的业务部门与相关的活动项目; (3) 通过收集到的信息, 建立风险档案, 填写相关信息如风险编号、风险描述、相关业务部门等; (4) 因果分析, 分析与风险损失相关之事件活动之间的因果联系, 建立因果网络模型; (5) 设立关键风险指标, 并对其定期监控与追踪。

通过过程定位, 获取有关运营风险的足够信息以后, 我们必须建立运营风险档案。运营风险档案必须包含以下信息: (1) 风险编号。由系统自动编号, 风险编号包括分类编号和风险排号。 (2) 风险描述。对风险简明的描述, 不需要太长的描述但要包含所有有必要令运营风险管理经理了解的信息。 (3) 其他信息。

一个因果网络根据一个或多个相关的运营风险损失建立。因果网络由风险管理人员自行设定, 但必须致力建立能详尽表达风险因果关系的因果网络模型, 而且不会过于复杂使得计算量过于庞大。因此, 建议因果网络模型根据以下模板建立并扩充, 见图1.3。

1. 系统程序

表示内部计算机系统、网络服务器等自动化系统程序的运行状态, 如系统当机的发生率等等。自动化系统是当今企业管理尤其是电子银行中必不可少的一部分。当系统程序占业务运营的比重越大时, 该风险指标的权重也应该更大。评分等级可以分为好和差。

2. 业务流量

业务流量, 即该业务每年的交易数量和营业额等, 毫无疑问直接影响着风险的发生机率和损失程度等。除此以外也会影响员工效率, 如过多的业务可能导致效率降低等。评分等级为低和高。

3. 业务复杂性

一般来说, 必须任务的复杂性会比选择性任务的复杂性要高, 因为有完成期限等条件限制。业务复杂性可以分为低和高级别。

4. 员工效率

人是业务中最关键的元素。员工数目和平均工作时数是员工效率的主要指标, 对于详尽的衡量系统可以考虑年龄、熟练程度、薪水等因素, 此外该风险因素也受到业务流量和业务复杂性的影响。员工效率的评级为低和高。

5. 数据来源

数据来源是指所有其它影响风险的因素数据。如客户信息、注册帐户等等。一般来说, 数据来源等级可以分为好和坏。

建立因果网络以后, 通过因果分析即可将对风险影响最大的几个风险因素识别为关键风险指标。此外, 在给定一个或多个风险因素状态的情况下, 进行贝氏推论算法估算即可得出预期损失, 进而可以进行资本分配或者根据实际结果对因果网络进行调整或扩充。

(二) 运营风险评估

采用记分卡系统令运营风险管理层对系统参数进行评估校正, 作为客观数据分析的补充。运营风险评估的系统流程图如图1.4所示:

(三) 运营风险衡量

运营风险衡量采用风险档案的内部直接计算和因果网络的网络推算相结合的方法。 (1) 利用风险档案进行内部直接估算:若损失分布模型尚未建立, 则会采用内部衡量法计算, 否则, 则根据损失分布模型计算尾部在险价值; (2) 利用因果网络推算:根据因果网络的概率推算规则, 算出预期损失。例如损失0-1百万的几率是70%, 1-2百万的几率是20%, 2-3百万的几率是10%, 则预期损失为0.5×0.7+1.5×0.2+2.5×0.1=0.9百万。

将两个结果平均得到风险衡量结果, 然后根据真实的损失, 结果较为接近的方法的权重会增加。

(四) 运营风险管理

一般釆用情景分析或关键风险指标。釆用情景分析法:因果网络可以很好的辅助情景分析。例如, 当需要分析在系统当机情况下的风险状况时, 则可将因果网络中“系统状态”中“好”的几率设为0, “差”的几率为100%, 进后进行因果网络推算。釆用关键风险指标:为了监控关键风险指标, 及时作出降低风险的措施, 我们设定在系统中设定风险状态和行动计划, 帮助我们系统地进行运营风险管理。通过风险状态和行动计划的记录, 便可以创建一个全面系统的运营风险管理平台。

(五) 运营风险报告

一个有效的运营风险管理系统, 是能够報告风险状态給风险管理人員有用的预警信息, 使风险管理人員能及时作出适当和及时防止风险发生的行动计划。

四、增强学习法强化网络运营风险管理

增强学习法是一种在做出选择以后才进行结果评估的机器学习系统。适用于连续性的状态-行动型过程模型的应用, 即 (状态1->行动1->状态2->行动2->……) 的连续型模型。运营风险管理里的关键风险指标的运营风险管理模型即为此类, 因此我们可以应用增强学习法建立自动化关键风险指标的运营风险管理系统。

在已经建立了风险状态集合和行动集合A (S) , 假设在状态s下我们每次执行行动a会进入到唯一的结果状态, 同时通过评估可以得到立即回报 (或者立即损失) , 其中为状态所对应的风险衡量值 (在本系统中则通过因果网络估算得出) 。

接着, 只要应用Q-Learning算法, 建立增强学习系统就可以了。不过和经典的增强学习理论不同的是, 这里的目标不在于在每一个状态下找出最优的行动, 而是希望在每个状态下对所有可行方案进行评估打分, 以提供运营风险管理人员有用的信息帮助其做出更好的选择。因此这里的做法是将Q-Learning算法中得出的值显示到用户界面, 供运营风险管理人员参考。

以目前的运营风险管理系统状况, 以及增强学习法本身准确度的局限性, 使得目前在运营风险管理上应用增强型学习的程度比较有限, 仅作为管理系统的辅助工具。但是相信, 随着电子银行自动化程度逐渐增强, 在今后行动方案能够被系统自动执行的时候, 增强学习法将能够发挥更大的作用。

五、结论

巴塞尔II对银行运营风险管理的要求和我国在“十一五”期間提出金融科技化的理念, 我国商业银行有需要尽快把银行业务网络化, 科技化, 但与此同时, 网络银行业务的快速发展又帶出运营风险管理的问题, 故此我国网络银行界极需求自动化智能化有创新性的运营风险管理技术。

浅议银行信息化的发展 篇11

面对电子商务这一“朝阳产业”的勃勃生机，说银行业是“夕阳产业”的断言还为时过早。因为，网络经济给每一个行业、每一家企业都带来了巨大的机遇，能否获得生存权利和发展机会，取决于能否迅速地适应新的经济模式，银行业亦是如此。全球商业银行正在经历一个动荡的时代，银行业已经成为这个时代变化最为剧烈也最难以预料的行业之一。

随着信息时代的到来，高科技企业向银行业发起了猛烈的挑战。IBM等IT厂商已经 插手银行业务，开始向传统银行业叫板。可以说，在电子化、信息化、自由化条件下谁都可以做银行；而在综合化、全能化经营方式下，银行也可以做任何业务，竞争的胜负将取决于应变能力和创新能力的高下。传统商业银行必须加快电子化、智能化的进程，在电子化建设取得一定规模和成效的情况下，选择网络银行发展道路。因为，银行业在分享高科技带来的发展机遇的同时，也面临着来自行业外的激烈竞争。盖茨曾经预言，“传统商业银行将是要在21世纪灭绝的一群恐龙”。盖茨之所以敢出此言，就在于他作为信息技术的领头人，深切地体会到了信息技术无坚不摧的力量，敏锐地发现了传统银行业墨守成规形成的可乘之机。

二、银行信息化的现状及发展

随着我国金融业的改革与发展，我国银行业的信息化建设取得了令人瞩目的成绩，大大提高了银行业的整体竞争能力和现代化水平。经过几年的信息化建设，中国的金融数据通信网络框架基本形成。但逐步完成的数据集中远非金融信息化建设的终点，信息化依然是银行改革创新的重中之重，特别是面对我国加入WTO后的新形势，金融信息化建设更是任重道远。

电子银行、网上银行、电话银行、移动银行等新兴金融业务，全国数据大集中系统工程建设等这些新的模式应用首先要基于良好的网络基础。这一基础网络必须具备更高的带宽，提供更强的QOS等服务质量保障，以完善金融系统网络平台，构建融合数据、话音、视频为一体的多业务网络，从而对原有的金融系统网络建设提出了较高的要求。金融业务多元化、服务功能综合化、全能化，这都有赖于电信网络质量的提升，电信增值业务的多元化，IT服务的综合化。

另外，随着银行业信息化和虚拟化程度的不断提升，以及电信业移动电话普及率的提高，银行客户和电信用户的范围越来越重叠，越来越多的经济金融服务和交易依赖于银行与电信的紧密融合来实现。通过手机你就可以即时查看你的账户，而同时银行业也在不断地为电信企业提供各种财务服务，比如电信用户的各种缴费都可以到银行网点或网上银行支付，而不需要再跑各个电信运营商的营业厅。银行业与电信业的合作与发展正在进一步拓展和深化。

除了在金融服务上加强合作，在网络服务方面，银行业和电信业也可以利用各自的优势，在数据传输、语音服务、网络资源共享等领域扩大合作空间。

三、电信——银行信息化的强大平台

（一）首先要实现银行网络的高性能和高覆盖，实现网络多业务处理能力，易管理、易维护

要实现从网点到银行总数据中心的数据大集中，带动信息化水平提升，新的网络必须实现所有网点的IP化，提供足够的传输、处理能力，以满足业务增长、拓展的需求，而且不仅简化管理程序，实现简单维护，同时也可节省维护成本。这都需要电信提供的网络平台有足够的带宽传输速率，高质量的网络质量，电信网络的全覆盖以及电信产品的更新换代和增值服务的提升。

（二）在金融信息系统日益发展，信息越来越向上集中，规模越来越大，金融业对它的依赖性不断增加的同时，金融信息化系统安全的重要性也与日俱增

它关系到金融机构的生存和经营的成败，所以，应把金融信息化系统的安全视同资金的安全一样，看作是金融机构的生命。我们要从这个高度，抓好金融信息安全工作尤其是银行系统的信息安全工作，建立完善的金融信息安全机制，保障金融业稳健运营。

要大力开发关键性技术，使保障金融网络安全的密码技术、商用加密技术、身份鉴别技术、防火墙技术、攻击监测技术、病毒防御技术在网络银行上发挥应有的作用。同时要把研究开发CPU和操作系统内核技术作为长期性策略，尽快开发我国自己的操作系统、密码专用芯片和安全处理器。还要大力推行网络隔离技术，推广使用电子认证技术。

另外，灾难防范是目前对网络安全提出的新的更进一步的要求。随着数据的大集中，安全风险也集中了，一个数据中心往往管几个甚至十几个的金融信息处理，直接关系到网点的正常营业，不管是软件、主机或者网络出现的问题，都会对社会产生很大的负面影响。另外各种灾难发生，包括可能发生的恐怖活动都可能导致数据中心不能正常工作，甚至金融信息的损失。如何从灾难的角度进行信息安全设计，如何在投资和信息安全上取得平衡，均是一个不能回避的问题。有关专家指出，我国金融信息安全的目标在上世纪80年代主要是加密、签名和访问控制，希望把攻击者拒之门外。而现在，如何具有容错、容灾和快速恢复，实现不间断服务的能力，已经成为网络安全的主要内容。从整个安全系统来看，金融业在选购存储安全产品时面临的最大问题在于，目前的网络安全产品仍然是在以“点”式发展，比如访问控制、病毒扫描、内容过滤等等。对于应用系统，金融业希望有一个能够提供动态的、可调整的网络安全管理系统，而这样的一个系统可以随着应用业务的不同来定制集成。在今后的应用系统建设当中，完整的网络安全管理系统将是重要的内容。

（三）提升服务是信息化的关键

我国与国外发达的电子金融服务相比，网上银行建设毫无优势。而且国内网上金融企业认证标准的不统一，客观上也对国内银行与外资银行抢占网上市场制造了壁垒。因此，银行业在加大资金投入，完备技术提高网络交易安全，防范金融风险的同时，在服务上，银行必须从以“客户中心主义”为核心的服务观念转变到“以人为本”。强化客户本位的服务观念，在增加业务种类、简化操作手续、设置人性化的服务内容、提升产品性能等方面加快步伐。

四、银行信息化的发展趋势

现代信息技术的广泛应用为银行业的管理模式、经营模式、服务方式带来了深刻的变革，为广大用户带来了超值的金融服务。那么今后金融信息化的发展趋势如何？信息通信业又将如何更好地服务于银行信息化呢？

今后，在银行信息化领域，传统银行将进一步向电子银行过渡，电子银行的交易额占银行总交易额的比重将越来越大；金融业数据大集中的浪潮将继续涌动，而且呈现越来越集中的趋势，还要实现渠道整合、业务整合、流程整合；金融信息化在生产运行管理上的投入将会更多；信息化在银行内部管理和客户关系分析上的应用力度将会进一步加大，银行内部管理和客户信息资源的价值将进一步被开发。

银行信息技术 篇12

银监会为加强商业银行的信息科技风险管理, 提升信息科技风险管理能力发布了一系列的监管文件后, 在2009年3月份银监会正式发布了《商业银行信息科技风险管理指引》 (以下简称《指引》) 。该《指引》适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。本文试图让中小商业银行的IT人员了解《商业银行信息科技风险管理指引》, 以及如何建立满足《商业银行信息科技风险管理指引》的信息安全架构。

一、对《商业银行信息科技风险管理指引》的理解

本次颁布的《商业银行信息科技风险管理指引》共11章76条, 涵盖了信息科技风险管理的各个领域, 同时针对银行现有的组织架构, 对各部门也明确提出了风险管理的要求。下面将主要条款做一个深入的解析。

第一章总则, 明确了指引的目标和适用范围, 指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术, 在商业银行业务交易处理、经营管理和内部控制等方面的应用, 并包括进行信息科技治理, 建立完整的管理组织架构, 制定完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制, 实现对商业银行信息科技风险的识别、计量、监测和控制, 促进商业银行安全、持续、稳健运行, 推动业务创新, 提高信息技术使用水平, 增强核心竞争力和可持续发展能力。

第二章信息科技治理, 明确提出了信息科技治理的概念, 明确了信息科技风险管理的责任人和董事会的相关职责, 并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作, 并直接向首席信息官或首席风险官 (风险管理委员会) 报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责, 互相协作、共同完善信息科技风险管理的架构。

第三章信息科技风险管理, 明确要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划, 制定全面的信息科技风险管理策略, 建立持续的信息科技风险计量和监测机制。本章是从信息科技风险管理部门的角度, 提出商业银行信息科技风险管理的事前控制 (第一道防线) 。

第四章信息安全, 明确要求信息科技部门负责落实信息安全管理职能, 负责建立和实施信息分类、保护体系, 通过建立有效管理用户认证和访问控制的流程保障业务安全, 通过设立物理安全保护区域保障物理安全, 通过将网络划分为不同的逻辑安全域保障网络安全, 通过操作系统和系统软件的安全控制保障系统安全, 同时加强信息系统、终端设备、传输控制、信息保护等方面的安全, 并对员工进行持续培训, 通过建立信息安全体系, 全面控制信息安全方面风险。此章是参考了国内外信息安全最佳实践 (ISO27000与等级保护) , 针对信息科技部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第五章系统开发、测试与维护, 明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废, 制定制度和流程, 采取适当的项目管理方法, 控制信息科技项目相关的风险。采取适当的系统开发方法, 控制信息系统的生命周期。应制定相关控制信息系统变更的制度和流程, 确保系统的可靠性、完整性和可维护性;应制定并落实相关制度、标准和流程, 确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求。此章是针对软件开发与项目实施部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第六章信息科技运行, 明确了商业银行数据中心物理环境要求、人员岗位职责要求, 并要求商业银行制定详尽的信息科技运行操作说明, 建立事故管理与处置机制及时响应信息系统运行事故, 建立服务水平管理相关的制度和流程, 建立连续监控信息系统性能的相关程序, 制定容量规划应及时进行维护和适当的系统升级, 制定有效的变更管理流程以确保生产环境的完整性和可靠性等。此章主要参考了ITIL最佳实践, 针对数据中心与运行部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第七章业务连续性管理, 明确要求商业银行根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划, 以确保在出现无法预见的中断时, 系统仍能持续运行并提供服务, 定期对规划进行更新和演练, 以保证其有效性。此章主要参考了BCP最佳实践, 针对业务运营部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第八章外包管理, 明确商业银行不得将其信息科技管理责任外包, 应合理谨慎监督外包职能的履行, 针对外包方选择、外包谈判、外包协议, 外包执行中的信息安全等方面提出了明确要求。此章是针对商业银行各部门的外包合作, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第九章内部审计, 明确商业银行内部审计部门应根据业务的性质、规模和复杂程度, 对相关系统及其控制的适当性和有效性进行监测, 至少应每三年进行一次全面审计。在进行大规模系统开发时, 要求信息科技风险管理部门和内部审计部门参与, 进行专项审计等。此章主要针对内部审计部门职责, 提出信息科技风险管理的事后控制 (第三道防线) 的重要组成部分。

第十章外部审计, 明确商业银行在符合法律、法规和监管要求的情况下, 委托具备相应资质的外部审计机构进行信息科技外部审计。此章主要从外部审计角度, 提出信息科技风险管理的事后控制 (第三道防线) 的重要组成部分。

通过《指引》解析可以看出, 《指引》的编写借鉴了Cobit, ISO27000, ITIL, CMM, BCP等国内外的最佳实践, 为商业银行的信息科技风险管理指明了方向。同时, 本《指引》从商业银行信息科技相关的每一个主要部门的角度出发, 分别提出具体的监管要求, 从而使得其具备非常强的可操作性。

二、商业银行的应对措施

依据IT风险管理原则与IT风险管理生命周期方法论, 综合通过差距风险获得的具体需求, 设计、规划IT风险管理的目标框架, 指导IT风险管理机制与体制建设。其目标框架如图1所示。

(一) 组织体系建设

建立IT风险管理组织, 采用条线与层级相结合的矩阵式管理模式;建立常设IT风险管理的专业团队, 采用虚拟团队的方式向全行提供IT风险管理专业服务;并设立必要的实体化专业支撑中心。

(二) 管理流程制定

融合IT风险管理生命周期与主要IT流程, 针对IT操作风险与信息安全风险, 建立总体与具体两个层面的风险管理流程, 明确各层面IT风险评估流程的触发机制, 将风险与安全管理工作制度化、日常化, 确保其有效执行。

(三) 控制体系建立

根据风险评估结果、IT风险管理原则及控制策略设计控制措施, 通过完善的IT风险制度体系加以明确, 并通过风险监测与再评估实现对IT风险控制的持续改进。

(四) 技术架构完善

完善信息安全规划的基础设施/技术架构, 设计IT风险管理技术架构, 并推动安全信息管理技术平台的建设以及推广;通过IT风险管理框架, 商业银行可以形成3道防线。

1. 第一道防线

由策略保障体系、组织保障体系、技术保障体系构成完备的信息科技风险管理体制与基础安全控制设施, 形成事前防范的第一道防线, 为业务运行安全打下良好的基础。

2. 第二道防线

由运行保障体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警, 及时排除安全隐患, 确保业务系统持续、可靠地运行。

3. 第三道防线

由应用恢复保障体系与内外部审计构成事后控制的第三道防线。针对各种突发灾难事件, 建立灾难恢复与业务持续性计划, 进行应急演练, 形成快速响应、快速恢复的机制, 将灾难造成的损失降到组织可以接受的程度。通过内外部审计, 保障IT风险管控体系的有效运行。

(五) 利用两种风险控制手段

1. 事件识别

为获得组织的第一手的风险资料, 需要对IT风险事件进行分类, 建立IT风险事件的管理组织与流程, 制定风险事件响应机制。事件的收集与分析也可用于预测未来发生系统故障的可能性, 及时采取必要的控制。

2. 风险管理

风险管理包括风险评估与风险控制。风险评估是指从风险管理角度, 运用科学的方法和手段系统地分析信息与信息系统所面临的威胁及其存在的脆弱性, 评估风险事件一旦发生可能造成的危害程度;风险控制是对已经评估出来的风险要进行风险控制措施的规划与实施, 以建立有效的IT风险控制及日常运作机制, 把IT风险降到组织可以接受的水平。

(六) 利用两种监督措施

1. 风险检查

安全检查工作一般由风险管理部门和信息安全管理部门来负责实施, 经常性的检查有利于落实信息风险管理的方针与策略, 及时发现在技术、人员及流程方面存在的风险隐患, 也有利于提高员工安全意识, 保证业务的持续运行。

2. IT审计