王智阳
摘要:作为经济发展体系中至关重要的一环,我国商业银行扮演着不可或缺的角色作用。高速的发展、不断提升的技术、改进扩充的设备规模使得我国商业银行竞争力与日俱增。然而,在信息数据高速运转的今日,我国商业银行的信息安全管理体现出其薄弱性和不成熟性,对于风险投资的轻视、对于管理安全的忽略为我国商业银行的发展造成了隐藏的巨大阻碍。不够成熟的系统、未完全开化的软硬件、有待斟酌的信息安全管理制度都为我国商业银行未来发展造成了巨大隐患。因此,分析我国商业银行的安全问题并给出合理改善方法显得至关重要。
关键词:商业银行;信息安全;管理;花旗银行
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2017)22-0090-02
在大数据信息化时代来临的背景之下,银行对数据的需求极为迫切,合理地收发数据,管理数据,建立定期更新的數据库系统的成功与否决定了银行在领域内的竞争和领导能力。纵观众多金融犯罪、超额灰色收入、机密窃取等案件的发生,其最主要原因就是发生了信息犯罪,即嫌疑人盗取或更改了银行信息系统的机密文件或者代码从而发生了经济纠纷,信息安全的重要性可见一斑。
银行对于国家的经济体系及发展有着极高的重要性,如果银行信息的采集、使用、维护存在着某一方面或者环节的疏漏,轻则直接影响到银行信誉度及边际利益,重则直接会导致银行倒闭破产,造成不可估量的损失。继而会间接导致国有体制的崩塌,经济体制会面临着崩溃。目前虽有众多文献涉及银行制度的改革以及经济体系的完善,但是对于商业银行的信息安全管理还鲜有涉及,因此借鉴研究并提升国内商业银行的信息安全管理显得尤为重要。
1理论概述
1.1内部控制
该文中对于商业银行内部控制的概念根据三个极具代表的文献分为两个阶段,阐述如下。第一阶段:根据文献《金融机构的内部指导原则》,1996,其定义为:商业银行内部控制并非单纯针对于某一部门,而是完成对目标的评估预测以及对有关防范危险的提出,是对一系列有关职能部门的业务活动所进行约束和规范的一个过程。其原则为相关性及互补性,归结成一种内部相互的自律行为。第二阶段:根据文献《商业银行内部控制指引》,2001,其指引说明商业银行的内部控制也可以看作为了实现经营目标所规定和有效实施的一系列制度、程序以及方法,是一种动态的连续的从风险的事前防范直到事后监督以及纠正的连续机制。
1.2信息安全
不同文化不同地区下对于信息安全的看法不尽相同,国内外众多学者提出了很多极具建设性意义的看法,陈述如下。美国国安局信息保障主任将信息安全定义为“认”。此字高度概括了信息安全需要承担完全性、不伪性、保密性、持续性、和不可抵赖性这五种安全服务,在美国联邦调查局常用“信息保障”来描述信息安全。在我国国家信息安全重点实验室对信息安全的定义为:为保护计算机硬件、软件、数据不因偶然的恶意原因所遭到破坏修改、显露而对数据处理系统采取技术以及管理方面的防护手段。
2我国商业银行现状及原因
2.1信息系统漏洞
1)管理漏洞
我国商业银行大多是在封闭稳定的计算机以及服务器上安装应用操作系统,例如公司的内部私密程序及文件,如客户的私人信息、年化销售预估及评测等均是在IP网络进行传送,所以依靠这种方式的传输传送被盗用和篡改的数据有时候严重程度会比损失的更为严重,而最基本的文件安全加密也没有合理利用代码加入到数据传输的过程之中,以致多类信息安全漏洞事件频发,信息安全数据管理的漏洞不可忽视。
2)软件成熟度不够达标
按照软件能力成熟度模型,根据软件完备性、体验性、可维护性分为多种等级,如初始级、可重复级、已定义级、最高达到完备级。由于银行商业系统的特殊性和保密性,所以银行的数据库系统多由自己内部开发。由于人员对于系统开发的不熟悉性,因此多数应用软件仅处于初始级,这种未开化的非开源系统和软件是极容易受到攻击的,再加上没有定期的更新和维护,这种软件系统的漏洞更多的体现在了软件生产的安全质量以及商业信息安全的质量之上。
2.2内部控制及组织建设不到位
1)制度尚未完备
由于商业银行的宗旨是为了自身边际利益而服务,因此银行首要考虑的重要因素为营业额。为使效益实现最大化,银行制定了多种奖励规范制度对于各个人事管理及相关部门提供了很高的绩效奖励,然而在追求相应年化利润的同时往往忽略了出台完备的商业信息安全制度,以此来为高额的利润做出铺垫以及可靠的保险。信息化建设固然重要,然而在大力追求信息化的建设时,应该考虑到银行面临的最大是信息安全威胁,由上文可知,内部控制的核心是为了对软件、硬件、工作人员的合理控制,首要的解决重点应该是治理频发的信息安全问题。
2)安管部门分工差
我国的商业银行起步较晚,由于对于利益的渴求,高层在工作日志中把更多目光投入到了信息化大数据所带来的利润和便捷之中力求,然而在追求利益的同时渐渐忽略了其所带来的巨大的潜在威胁。信息安管部门是一个商业银行从事一切商业交涉、资金转移成功的基石,因此建立一个稳定持续的安全管理部门是应该得到高度重视并且尽快解决的问题。信息安全问题引发的犯罪及损失分门别类、种类繁多,也许只是信誉度的削减,也许是毁灭性的打击,所谓的风险预测也是由于目前信息安全安管部门的不完善所造成的新兴产业。
2.3员工能力及培训欠佳
在拥有了能力成熟的软件系统、完备的内部控制法规之后,员工的个人素质以及员工培训显得不可忽视,因为人是一个银行一个系统中不可忽视的一环。信息安全观念及意识的形成是员工接受教育的第一环也是关键的一环。如果全体员工能够意识到信息安全的重要性,并且在全部相关商业银行业务中给予足够高的重视,则会实现技术上完备的堡垒,形成由上而下极强的推动力。但往往大多数员工在执行密码时由于设定的繁琐,无法真正意义上实现信息安全观念的贯彻,如何进行信息安全观念的正确培养也是商业银行所需要慎重考虑的问题。endprint
3案例分析:花旗银行信息安全管理实施状况
3.1花旗银行简介
花旗银行是在花旗集团属下的一家商业零售银行,其前身是在1812年成立的纽约城市银行,经过两个世纪的发展、并购以及经营,现在已经成为美国最大的银行之一。在我国,2012年9月18日,花旗银行(中国)有限公司在上海宣布在中国的信用卡业务正式运作。花旗银行的主要产品服务分为以下类别:信用卡业务、私人银行业务、新型市场服务、企业银行服务、跨国公司业务。
3.2花旗有效的信息安全管理
1)系统的安全防护
在每个不同时代不同的大背景之下,各个银行在不同地区对于信息安全的要求以及对于信息安全把控的标准不同,为了迎合时代背景,防止网络系统发生突变,花旗银行按照严格的安全風险把控模型去分析信息安全程度,设计系统按照分析、设计和维护三个步骤来建立系统的安全信息,同时不断的修改和补充。设计系统的更新不只是包括了系统的软硬件设施更包括了系统的操作环境、操作人员和操作习惯等等。多年来,面临着大数据时代,花旗银行已经将内部的数据库系统从原有的初始级不断改善成为了今天的完备级。
2)内部管理
花旗银行的内部管理有着其独有的想法与创意。大体分为了人员管理、质量管理、配置管理、风险管理、安全管理、应急管理。与其他银行各自分工各为其主不同的是,花旗银行的内部各个管理部门有着合理的串联,定期各个部门会有会议沟通,以确保信息安全的各个方面都无懈可击,正是这种对于内部管理的严格把控、对于信息安全不厌其烦的确认,才会使花旗从未有过严重的信息安全犯罪事件。
3)外部管理
银行只有完善合理的内部管理还远远不够,成熟的外部管理体系与内部管理相结合才会体现出其强有力的控制预测。花旗银行的外部管理主要分为了银行信息的合理性规划、信息安全事故的灾后重建能力。以204年的事件为例,三十六万来自全球的花旗银行客户由于花旗银行受到的黑客攻击账户信息被窃取。面对这一严重的金融犯罪,花旗银行亲自对于每一个受害客户给予了不同程度的补偿,并为他们免费补办新卡。在遭到黑客攻击后,积极完善了信息系统的内部防御功能,自此之后鲜有不同程度的商业犯罪再在花旗发生。
4结合案例对商业银行信息安全管理提出的对策
4.1完善银行信息系统的安全维护
1)加强银行信息系统平台的安全防护
有了无懈可击的商业银行内部服务器,才会更加安全的对信息安全起到绝对的防护。所谓的信息系统平台的安全防护并非是定期对于系统服务器和平台的一次阶段安检,是需要时刻进行维护和防护的重要措施。
花旗银行的成功,绝大多数的功劳都应该归功于其完善的平台安全防护,相比我国现有商业银行,花旗银行投入到了更多的经历于商业内部信息安全的建设与维护,为业务后期的行而有效做出了良好的铺垫。
2)建立商业银行信息系统的监控征信
顾名思义,商业银行的监控征信是信用监控的高度概括。信用监控能让商业银行及时对于供应商、客户、竞争对手、子公司等进行实时监控,目前信用世界已覆盖众多产业。发展良好的监控征信从另一种层面上也会使得商业对于未知风险做出及时的预测,并及时提出可变的方案。这是一种直接避免我国常常发生的金融犯罪的良好措施。
4.2建立银行信息安全内控制度和信息安全部门
1)完善信息安全风险评估和检测制度
拥有了良好的商业银行服务器系统后,必须有完善的信息安全风险评估和检测制度去保证系统的安全运行以及业务的合理开展。
纵观花旗银行的成功,其对于目标的全面实施的有效与连续性令人感叹。在这成功的背后高层坦言,前期对于安全风险评估做了极多的功课并且所有商业业务必须通过公司内部的检测制度才可以进行后续的实施。我国商业银行也需要推出自己的一套检测制度并付诸实施。
2)建立银行信息安全部门
良好的制度需要有专门的部门去定期修订与执行。信息安全部门是在商业银行谋求最大利益的过程中不可缺少的一环。良好的信息安全部门会及时对于风险评估形成报表做出合理预测。大数据时代,信息瞬息万变,信息安全也兼具针对于不同金融背景对于检测制度做出适当修改并监督业务的运行。
4.3加强对人员信息安全人才培养和观念培训
信息安全的保障也并非单单一个部门或者高层领导所应重视的前提。商业银行内部工作员工在追求业绩效率的同时也同样不可忽视信息安全的重要性。
定期的人才培养与观念培训以团队建设中重要的环节,此类团社活动不仅可以加强员工的团队协作能力更是深入公司文化、加深安全观念培训最直接的手段。往往由于内部员工对于业务所涉及的信息安全性的不了解或者不重视才会导致诸多诈骗犯罪的产生,定期培训的开展将有效改善这一现象。
5结论
根据以上分析,我们得出以下几轮,首先,应该完善对于系统的维护,通过以上对于花旗银行的概括不难发现完善系统的维护对于信息安全管理有着极其显著的影响,对于我国的商业银行设置系统如下所示。其次,对制度的改良与部门的扩建。良好的信息技术安全部门应该建立起良好的信息系统管理标准、项目开发的体系架构;并审时度势制定银行内部的战略目标和业务发展的信息发展战略并加以严格实施;参与负责信息科技战略规划的具体实施和监督检查。长此以往,不断改善信息系统的完备性和连续性会使得银行的金融信息安全得以全方面的保障。endprint