2.2商業(yè)銀行信息系統(tǒng)風(fēng)險的特點

    銀行業(yè)務(wù)處理中對及時性和可靠性的特殊需求，使得商業(yè)銀行信息系統(tǒng)風(fēng)險體現(xiàn)出明顯的行業(yè)特征。

    1）商用銀行信息系統(tǒng)風(fēng)險的業(yè)務(wù)特點

    網(wǎng)絡(luò)和安全技術(shù)的飛速發(fā)展，使得商業(yè)銀行已成為商品交易的電子平臺和電子金庫。因此商業(yè)銀行對數(shù)據(jù)完整性要求極高，對業(yè)務(wù)和數(shù)據(jù)的可用性、安全性，以及對業(yè)務(wù)中斷和數(shù)據(jù)丟失等事故的防范和處理要求十分嚴(yán)格。

    2）商業(yè)銀行信息系統(tǒng)風(fēng)險的技術(shù)特點

    銀行開展信息化的時間較長，其應(yīng)用系統(tǒng)較為普及，但長期來，銀行信息系統(tǒng)相對較為封閉。近年來，隨著網(wǎng)銀、中間業(yè)務(wù)等銀行新型業(yè)務(wù)和金融產(chǎn)品的出現(xiàn)，對開放信息系統(tǒng)的要求越來越高，銀行的信息系統(tǒng)均開始不同程度向外界開放。

    由于各商業(yè)銀行實行數(shù)據(jù)大集中，導(dǎo)致單筆交易所跨越的網(wǎng)絡(luò)環(huán)節(jié)越來越多，銀行信息系統(tǒng)對網(wǎng)絡(luò)依賴程度越來越高。大集中后，大部分銀行將建立一個生產(chǎn)中心和一個異地備份中心，進(jìn)一步提高了網(wǎng)絡(luò)系統(tǒng)在銀行信息系統(tǒng)的地位。

    3）商業(yè)銀行信息系統(tǒng)風(fēng)險的現(xiàn)狀

    信息系統(tǒng)本身固有的風(fēng)險在加大。銀行業(yè)是信息化技術(shù)與產(chǎn)品相對密集的行業(yè)，由于信息化規(guī)模的不斷擴大，信息技術(shù)迅速發(fā)展，銀行信息系統(tǒng)所采用信息技術(shù)與信息系統(tǒng)軟硬件本身存在著很大的脆弱性，如果這些脆弱性被特定的威脅所利用，就會產(chǎn)生風(fēng)險，從而對銀行信息系統(tǒng)的機密性、完整性及可用性產(chǎn)生損害。

    銀行數(shù)據(jù)集后使信息系統(tǒng)風(fēng)險不易分解。目前各家商業(yè)銀行已陸續(xù)完成數(shù)據(jù)大集中，實現(xiàn)銀行賬務(wù)數(shù)據(jù)與營業(yè)機構(gòu)的分離，使銀行從以賬務(wù)和產(chǎn)品為中心轉(zhuǎn)變?yōu)橐钥蛻魹橹行摹５?，?shù)據(jù)集中后信息系統(tǒng)風(fēng)險增大，系統(tǒng)一旦出現(xiàn)問題，將影響到整個銀行的正常運營。

    電子金融服務(wù)的發(fā)展，使商業(yè)銀行隨時面對來自公共網(wǎng)絡(luò)的威脅。近年來，網(wǎng)上銀行、移動銀行、電子商務(wù)等銀行新業(yè)務(wù)，在成為商業(yè)銀行利潤增長點的同時，使商業(yè)銀行的網(wǎng)絡(luò)風(fēng)險日益凸現(xiàn)。

    人員的風(fēng)險成為最大的風(fēng)險。統(tǒng)計結(jié)果表明，在商業(yè)銀行信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，70%～80%是由于內(nèi)部員工的疏忽或有意泄密造成的。

    3 商業(yè)銀行信息系統(tǒng)風(fēng)險評估模型設(shè)計

    3.1商業(yè)銀行信息系統(tǒng)風(fēng)險評估的現(xiàn)狀與趨勢

    信息系統(tǒng)風(fēng)險評估已得到國際社會的普遍重視，風(fēng)險評估的重點也從操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境發(fā)展到整個管理體系。西方國家在實踐中不斷發(fā)現(xiàn)，風(fēng)險評估作為保證信息安全的重要基石發(fā)揮著關(guān)鍵作用。在信息安全、安全技術(shù)的相關(guān)標(biāo)準(zhǔn)中，風(fēng)險評估均作為關(guān)鍵步驟進(jìn)行闡述，如ISO13335、COBIT、BS7799-3等。

    我國的信息系統(tǒng)風(fēng)險評估工作目前還處于起步階段，還沒有形成一套成形的專業(yè)規(guī)范，缺少一支能夠全面開展信息系統(tǒng)風(fēng)險評估的人才隊伍。目前我國所進(jìn)行的一些信息系統(tǒng)風(fēng)險評估的探索和嘗試以及開發(fā)的一些計算機審計軟件還大都停留在對被評估單位的電子數(shù)據(jù)進(jìn)行處理的階段。無論是國際上大型的跨國公司還是國內(nèi)一些規(guī)模較大的企業(yè)都在不斷地擴大信息技術(shù)在其經(jīng)營活動的應(yīng)用范圍，運用傳統(tǒng)的信息技術(shù)和風(fēng)險評估知識已經(jīng)不能實現(xiàn)真正意義上的“風(fēng)險基礎(chǔ)模式”的風(fēng)險評估，這些都影響到我國IT治理和信息系統(tǒng)風(fēng)險控制的實施。

    隨著商業(yè)銀行經(jīng)營管理活動對信息技術(shù)的高度依存，信息科技風(fēng)險控制已成為商業(yè)銀行風(fēng)險管理的重要內(nèi)容，并需要從戰(zhàn)略的角度將信息系統(tǒng)與實現(xiàn)公司治理的總體目標(biāo)緊密聯(lián)系在一起。因此，解析國內(nèi)銀行信息系統(tǒng)風(fēng)險評估的現(xiàn)狀及存在的問題，并根據(jù)國際經(jīng)驗與我國實際情況進(jìn)行差異性分析，最后，找到我國銀行業(yè)信息系統(tǒng)風(fēng)險評估的有效方法，由此，實現(xiàn)信息系統(tǒng)風(fēng)險評估在國內(nèi)銀行業(yè)質(zhì)的飛躍。
 
    3.2商業(yè)銀行信息系統(tǒng)風(fēng)險評估模型的設(shè)計

    在目前所應(yīng)用的風(fēng)險控制與評估模型中，基本區(qū)分為兩類，一類是基于業(yè)務(wù)風(fēng)險控制的風(fēng)險評估模型，這類模型的基礎(chǔ)是傳統(tǒng)的風(fēng)險評估理論，因此更加注重于業(yè)務(wù)流程的控制和業(yè)務(wù)的風(fēng)險管理；另一類是關(guān)注于技術(shù)控制的風(fēng)險評估模型，這類模型建立在相關(guān)的信息安全標(biāo)準(zhǔn)之上，主要考慮的是技術(shù)的實現(xiàn)架構(gòu)和實現(xiàn)方式，評估系統(tǒng)的技術(shù)風(fēng)險。

    銀行在面對實際的信息風(fēng)險時，需要建立定位于信息全面管理的風(fēng)險評估模型。因此，必須結(jié)合業(yè)務(wù)風(fēng)險模型和技術(shù)風(fēng)險模型的相關(guān)方法，通過分析系統(tǒng)自身內(nèi)部控制機制中存在的薄弱環(huán)節(jié)和危險因素，發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中不正常和有害的行為，完成系統(tǒng)弱點和安全威脅的定性分析，在銀行信息系統(tǒng)內(nèi)部風(fēng)險各要素之間建立風(fēng)險評估模型，如圖3所示。

 
 圖3  商業(yè)銀行信息系統(tǒng)風(fēng)險評估模型

    信息系統(tǒng)的風(fēng)險評估模型由三個基本元素組成，分別是銀行核心業(yè)務(wù)系統(tǒng)、銀行信息系統(tǒng)風(fēng)險管理和風(fēng)險評估的方法和技術(shù)。

    銀行核心業(yè)務(wù)系統(tǒng)是業(yè)務(wù)運轉(zhuǎn)的基礎(chǔ)，是商業(yè)銀行固有風(fēng)險的體現(xiàn)，它通過硬件平臺的支撐、應(yīng)用軟件的設(shè)計、數(shù)據(jù)資源的管理，實現(xiàn)銀行業(yè)務(wù)職能。

    銀行信息系統(tǒng)風(fēng)險管理，是商業(yè)銀行控制剩余風(fēng)險的能力。它主要包括系統(tǒng)建設(shè)風(fēng)險控制、系統(tǒng)數(shù)據(jù)完備性、系統(tǒng)功能實現(xiàn)、業(yè)務(wù)流程風(fēng)險控制、數(shù)據(jù)遷移等6個方面。

    風(fēng)險評估的方法和技術(shù)，是風(fēng)險評估和控制的手段。它針對信息系統(tǒng)風(fēng)險管理的需求和特點，采用不同的風(fēng)險評估方法和技術(shù)，識別固有風(fēng)險和剩余風(fēng)險，對銀行信息系統(tǒng)進(jìn)行整體風(fēng)險的評估。