我国银行业信息科技风险管理相对薄弱面临三大风险

　　目前，我国银行业的信息科技建设正处于高速发展期，随着银行业务对信息科技的高度依赖，使得计算机信息系统的安全性、可靠性和有效性直接关系到整个银行业的安全和国家金融体系的稳定。银行业信息科技在设备规模和技术水平不断提高的同时，信息科技风险管理却相对显得十分薄弱，信息科技管理存在3大风险。

　　一是仅从技术层面强调对信息安全的控制，缺乏在管理层面上的协调和重视。

　　国内很多银行的信息技术人员普遍认为，信息安全建设只要部署了高性能、高档次的网络安全设备，如防火墙、通信加密设备、IDS/IPS、防病毒系统、相关监控系统等设备，做了网络访问控制，关键设备实现了双机热备份等管理策略，就是对信息安全做了控制。其实不然，信息安全管理是一个长期、动态的过程，信息安全管理的控制包括技术层面和管理层面，除了在技术层面部署相关的安全设备，制定和实施相关安全策略之外，在管理层面还要一套系统的操作手册、管理制度来协调技术层面的工作。

　　随着银行业务的发展和变化，黑客攻击和入侵方式不断更新，在安全策略方面，还要随其变化做相应的调整，并审查所做调整的正确性，比如，安全设备的日常监控是怎么样的？怎么保证在实施系统变更时维护人员的操作是正确的，有没有一些违规的动作？对于可能出现的安全事件有没有制定应急响应流程和应急处理流程？对于备份的系统有没有进行应急的切换演练等等。一般的情况下，目前银行业的信息安全管理只是做到这些的一个方面或者几个方面，并不能全部覆盖到，很显然，某些设备就成了记录的设备，没有成为一个真正的监控和防护设备，往往是在发生问题的时候才去查相关的日志、操作手册，但那个时候问题已经发生了，已经造成了影响。仅仅强调在技术层面对信息安全的控制，而忽略了平时在管理层面的监督、协调和重视，是我国银行业IT管理面临最大的风险之一。

　　二是缺乏一套完善信息科技管理体系，缺乏完善的信息安全治理架构来指导信息科技管理。

　　目前，在我国银行业IT 管理体系当中，信息科技部门制定了相关的制度，也设置了相关的部门、岗位和对应的人员去完成IT的日常管理，但对制度的建设、人员的管理、岗位的设置缺少整体风险管理概念，缺少一套完整的信息安全管理体系去做指导，导致某些岗位的职责模糊不清，甚至存在不合理的岗位设置，比如出现系统变更的申请、审批、操作、审计都是一个人来担当这种不合理的岗位划分。有些银行做得相对好些，制定了一套IT管理制度和配备了相应的人员来完成日常的信息科技管理，但却缺少周期性对制度的修订，缺少因人员岗位调整而做相应的变动，缺少对日常IT管理情况的定期检查和评价。另外，信息科技人员对于信息科技管理体系、信息安全治理框架都只是知识性、片面性的了解，没有将合适的IT管理系统运用在具体的IT管理工作当中。在日常的管理中，缺乏一套完善的信息科技管理体系和信息安全之类架构来指导，也是我国银行业IT管理面临的风险之一。

　　三是缺少对银行信息科技发展的前瞻性认识。

　　由于没有一套完善的信息科技管理体系来指导信息科技管理工作，领导层在决策IT的发展方向时，比如对增加设备、人手，具体的实施目标表现得不够具体。比如，在监控方面，也是逐个针对每台单独的主机、防火墙、网络设备去做监控，没有考虑到统一的监控和管理平台，并对这些设备进行统一的监控和安全事件的关联分析。技术人员每期在写信息安全报表时，信息安全报表反映也是针对单个设备出现的情况，缺少对各个设备和安全事件的关联性分析，出报表目的为应付监管机构的检查大于对维护系统稳定、安全运行的目的。

　　专家指出，银行业在历经了网络建设、数据大集中、网络安全基础设施建设等阶段后，如今，已进入了体系化信息安全管理的阶段，因此必须建立一套银行业信息安全保障体系，从信息科技运行管理、技术管理、项目管理、综合管理多方面考虑，有效地防范和化解安全风险，堵住后门漏洞，增强金融系统的信息安全整体防范能力，以保证银行的信息系统稳定安全运行及各项业务的持续展开。

　　同时必须认识到，信息技术风险是固有的，银行业务的发展将带来新的信息技术风险和威胁；在建立信息技术风险管理体系时，应重点建立对机构信息技术风险负责的相应组织与架构；做好IT管理的风险分析，准备好应对措施；培养员工的IT管理风险意识，建立与之适应的企业文化。