虽然在实现了数据大集中的银行企业中,有80%的企业都做了系统灾难备份中心的建设,但真正能实现业务连续管理的,估计只有15%左右。
虽然在实现了数据大集中的银行企业中,有80%的企业都做了系统灾难备份中心的建设,但真正能实现业务连续管理的,估计只有15%左右。
信息安全,尤其是金融行业的信息安全,一直是上至国家领导、下至黎民百姓都十分关注的话题。然而,我国金融行业信息系统安全问题并不容乐观。当前,虽然我国出台了一些相关政策和管理办法,但据专家分析,由于专职的安全监管机构的缺失,使得信息系统安全工作很难落实。人们不禁要问: 无人监管,又何来安全呢?
存在问题
随着我国信息化的日益推进,国民经济和社会发展对网络和信息系统的依赖越来越紧密,尤其是银行、证券等行业的信息系统已经成为国家重要基础设施,这些信息系统的安全运行直接关系到国家的安全、人民的利益和社会的稳定。
近些年来,国内外发生的一系列事件表明,如果重要信息系统没有一定的安全防范能力,一旦发生重大事故或遭遇突发事件,将会造成无可挽回的经济损失。
我国相关部门对信息安全工作十分重视,国务院信息化工作办公室司长王渝次曾指出,灾难恢复是信息安全保障的重要的基础性工作,做好国家重要信息系统灾难恢复工作,提高其抵御灾难和重大事故的能力,对于确保重要信息系统数据安全和业务的连续性,保障社会经济的稳定是非常重要的。
2003年颁发的《国家信息化领导小组关于加强信息安全保障工作的意见》,对重要信息系统的安全做出了明确要求。2004年,国务院信息办又组织起草了《重要信息系统灾难恢复指南》,并印发给各基础信息网络和重要信息系统主管部门。
然而,金融行业的信息化虽然取得了快速发展,但其背后隐藏着可怕的问题:虽然在实现了数据大集中的银行企业中,有80%的企业都做了系统灾难备份中心的建设,但真正能实现业务连续管理的,估计只有15%左右。
最近,银行业系统故障不断。就在今年,中国建设银行总行转账系统发生通信故障,数小时后系统才恢复正常。此事件殃及在中国建设银行投资证券公司全国70余家营业部开户的200万股民,致使股民们因无法进行转账交易而受到经济损失。而在这之后,银联因通信网络和主机出现故障造成全国多省市无法刷卡长达7小时,究竟造成了多大的损失,尚无可靠数据。而近期发生的网银大盗横行网络的一系列事件,也再一次为网络银行系统的信息安全敲响了警钟。
机构缺失
为何有国家政策出台,但问题却仍然如此严重呢?
国务院信息化工作办公室的专家、国家金卡工程办公室安全组组长、中国信息产业商会信息安全产业分会常务副理事长屈延文介绍,我国金融行业尤其是银行的信息化系统需要监管的风险资产很大,到目前为止,我国还没有建立基本的专业化信息资产风险监管队伍和组织。
屈延文进一步解释说,“银行信息系统事故还不可怕,可怕的是金融信息化风险有可能引发金融危机,拉丁美洲的金融危机就为我们敲响了警钟。如果发生金融危机,将会影响到我们社会的稳定、人民的切身利益。”
也有专家说,各银行有科技部门,自己会管好自己的,不用为他们担心。
然而,从国外经验看,商业银行信息技术的运营与管理是相互分离的。但目前大多数国内银行现行的信息技术部门既具有十分明显的运营商特征,同时又具有明显的行政管理属性,是集运营、管理、监督于一身的技术垄断部门,这样的运行机制蕴藏着很大的运行风险。
一方面,由于信息技术自身的专业性极强,高级管理层和风险控制部门无法对其实施有效监管。目前,各家银行基本上还没有相应的专业管理部门负责信息业务系统的管理政策、技术标准、风险防范标准的制定,以及监督、检查以及绩效评估等工作。
另一方面,由于既当裁判员,又当运动员,集行政管理与技术管理于一身,信息技术部门本身难以胜任信息技术的监管职责,而且容易产生责任推诿、自行其事的不良风气与行为。正因为如此,直到目前为止,许多银行的信息技术还没有一个明确统一的技术故障的分级标准,信息化投入和产出严重不均衡,业务迟延、事故频繁发生等问题时有发生,银行信息化安全面临严峻挑战。
当然也有人持不同意见,认为人民银行和银监会都有信息中心,由他们统一管理不必过于担心金融行业的信息安全的问题。
然而,屈延文坚持认为,我国金融信息安全正处于监管缺失的状态。其理由有二: 一是人民银行和银监会都在管,政策交叉和死角就很难避免,各银行无法“从一而终”; 二是科技部门大多只是管技术,他们不承担也无法承担安全责任,没人负责也就没人来管。那么,缺失的监管又应由谁来填补呢?
呼吁监管
屈延文认为银行信息化安全属于整个银行监管体系的组成部分,将其从银行监管体系组成部分里面分离出来,是不符合我们银行整个监管安全体制的,同样,也不符合客观规律,不符合中央提出科学发展观,也不符合建立和谐社会、以人为本的要求。
屈延文主张,首先要加强认识,建立银行风险监管科学认识体系,即融合金融学方法、管理学方法、系统工程方法和信息化科学方法为一体化的认识理论体系,要把我国银行信息化发展纳入科学发展的轨道。
在这之后,更为重要的是银行信息化的科学发展必须建立信息资产风险监管组织机构。主要是建立一支在信息化条件下的监管专业队伍。首先是要建立安全监管机构,有了专人负责之后,很快相关标准、长效机制、审核措施等顺理成章地就会出来了,而且工作的落实也就有了监督。那么,迅速高效地推行金融信息安全工作也就不是难事了。
屈延文分析,没有一支监管专业队伍,难以提出银行企业、领域和监管当局信息化的科学发展战略,无法实现银行信息资产风险监管的综合方法,以及对人类与网络两个世界一体化的监管体系的运营和维系,也无法研究信息资产风险价值化体系、信息资产风险监管标准体系和信息资产风险监管法规体系。没有专门的信息资产监管专业机构,就不可能实现信息资产风险监管计划、管理和监控,就不可能实现实时掌控银行信息化系统的运行情况和各种风险情况。
巨大的数字化的资产与财产天天在网络上传输飞跑,依然采用“服务在网络里”和“监管在网络外”的监管方法,而无视信息化条件下的风险监管问题,其监管措施就不可能是可信与有效的。
屈延文强调,主管部门应该成立信息安全监管司,“成立这样一个机构是绝决对必要的,因为承担银行信息安全责任不是国家的哪一个部委,而是银行,是银监会。没有这样一个机构,工作也就不到位。”
出于对当前金融信息安全监管问题的担忧,屈延文曾给相关主管部门提出建议,阐明成立安全监管机构的紧迫性和必要性,相关领导也对此表示了一定的重视。
“当前不是谈网络如何建设、怎么弄防火墙的时候,先要谈如何监管信息安全的问题,这个问题不解决,其他问题没法搞。”屈延文十分担忧,这不是哪一个人的事情,也不是哪一个部门的事情,这将牵扯到整个国家的经济安全。”
屈延文呼吁:“我国银行信息化系统需要监管的风险资产如此之大,如果没有基本的专业化信息资产风险监管队伍和组织,价值与风险之间的关系也就不可能平衡。”
链接:我国银行安全监管现状及相关政策
在上市转型和外资银行进入中国金融市场的双重压力下,过去5年,特别是进入2005年以来,我国的银行监管部门明显加快了对商业银行的监管力度,初步建立了较为完善的市场准入、退出,非现场监管、现场监管、高级管理人员管理、风险预警等金融监管预警系统。比如,针对日益严重的电子支付安全问题而出台的《电子支付指引(第一号)》法令,就是人民银行在今年的重要举措。“电子支付指引”一定程度上进一步规范和引导了电子支付业务的健康发展,有利于防范电子支付业务风险,确保银行和客户资金的安全。
由于电子银行所面临的技术安全、客户利益被侵犯以及第三方过失等风险日益突出,银监会去年还出台了《电子银行业务管理办法》、《电子银行安全评估指引》和《电子银行安全评估机构业务资格认定工作规程》三个法令,目的是强化电子银行风险监管、防范电子银行业务风险、规范电子银行业务发展,银监会对商业银行监管正在加强。
作为监管主体,各商业银行也加强了自身的监管,相继成立了风险管理委员会和内部评级小组,出台了一系列加强信贷风险管理的具体措施,构建了从内控环境到风险识别和评估、实施与运行、监测评价和持续改进等的一整套系统的、文件化的内部控制体系。同时利用信息技术手段,加强了全面风险管理的系统建设。
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]