2.2商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)的特點(diǎn)

    銀行業(yè)務(wù)處理中對(duì)及時(shí)性和可靠性的特殊需求，使得商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)體現(xiàn)出明顯的行業(yè)特征。

    1）商用銀行信息系統(tǒng)風(fēng)險(xiǎn)的業(yè)務(wù)特點(diǎn)

    網(wǎng)絡(luò)和安全技術(shù)的飛速發(fā)展，使得商業(yè)銀行已成為商品交易的電子平臺(tái)和電子金庫(kù)。因此商業(yè)銀行對(duì)數(shù)據(jù)完整性要求極高，對(duì)業(yè)務(wù)和數(shù)據(jù)的可用性、安全性，以及對(duì)業(yè)務(wù)中斷和數(shù)據(jù)丟失等事故的防范和處理要求十分嚴(yán)格。

    2）商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)的技術(shù)特點(diǎn)

    銀行開(kāi)展信息化的時(shí)間較長(zhǎng)，其應(yīng)用系統(tǒng)較為普及，但長(zhǎng)期來(lái)，銀行信息系統(tǒng)相對(duì)較為封閉。近年來(lái)，隨著網(wǎng)銀、中間業(yè)務(wù)等銀行新型業(yè)務(wù)和金融產(chǎn)品的出現(xiàn)，對(duì)開(kāi)放信息系統(tǒng)的要求越來(lái)越高，銀行的信息系統(tǒng)均開(kāi)始不同程度向外界開(kāi)放。

    由于各商業(yè)銀行實(shí)行數(shù)據(jù)大集中，導(dǎo)致單筆交易所跨越的網(wǎng)絡(luò)環(huán)節(jié)越來(lái)越多，銀行信息系統(tǒng)對(duì)網(wǎng)絡(luò)依賴程度越來(lái)越高。大集中后，大部分銀行將建立一個(gè)生產(chǎn)中心和一個(gè)異地備份中心，進(jìn)一步提高了網(wǎng)絡(luò)系統(tǒng)在銀行信息系統(tǒng)的地位。

    3）商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)的現(xiàn)狀

    信息系統(tǒng)本身固有的風(fēng)險(xiǎn)在加大。銀行業(yè)是信息化技術(shù)與產(chǎn)品相對(duì)密集的行業(yè)，由于信息化規(guī)模的不斷擴(kuò)大，信息技術(shù)迅速發(fā)展，銀行信息系統(tǒng)所采用信息技術(shù)與信息系統(tǒng)軟硬件本身存在著很大的脆弱性，如果這些脆弱性被特定的威脅所利用，就會(huì)產(chǎn)生風(fēng)險(xiǎn)，從而對(duì)銀行信息系統(tǒng)的機(jī)密性、完整性及可用性產(chǎn)生損害。

    銀行數(shù)據(jù)集后使信息系統(tǒng)風(fēng)險(xiǎn)不易分解。目前各家商業(yè)銀行已陸續(xù)完成數(shù)據(jù)大集中，實(shí)現(xiàn)銀行賬務(wù)數(shù)據(jù)與營(yíng)業(yè)機(jī)構(gòu)的分離，使銀行從以賬務(wù)和產(chǎn)品為中心轉(zhuǎn)變?yōu)橐钥蛻魹橹行?。但是，?shù)據(jù)集中后信息系統(tǒng)風(fēng)險(xiǎn)增大，系統(tǒng)一旦出現(xiàn)問(wèn)題，將影響到整個(gè)銀行的正常運(yùn)營(yíng)。

    電子金融服務(wù)的發(fā)展，使商業(yè)銀行隨時(shí)面對(duì)來(lái)自公共網(wǎng)絡(luò)的威脅。近年來(lái)，網(wǎng)上銀行、移動(dòng)銀行、電子商務(wù)等銀行新業(yè)務(wù)，在成為商業(yè)銀行利潤(rùn)增長(zhǎng)點(diǎn)的同時(shí)，使商業(yè)銀行的網(wǎng)絡(luò)風(fēng)險(xiǎn)日益凸現(xiàn)。

    人員的風(fēng)險(xiǎn)成為最大的風(fēng)險(xiǎn)。統(tǒng)計(jì)結(jié)果表明，在商業(yè)銀行信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，70%～80%是由于內(nèi)部員工的疏忽或有意泄密造成的。

    3 商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型設(shè)計(jì)

    3.1商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀與趨勢(shì)

    信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估已得到國(guó)際社會(huì)的普遍重視，風(fēng)險(xiǎn)評(píng)估的重點(diǎn)也從操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境發(fā)展到整個(gè)管理體系。西方國(guó)家在實(shí)踐中不斷發(fā)現(xiàn)，風(fēng)險(xiǎn)評(píng)估作為保證信息安全的重要基石發(fā)揮著關(guān)鍵作用。在信息安全、安全技術(shù)的相關(guān)標(biāo)準(zhǔn)中，風(fēng)險(xiǎn)評(píng)估均作為關(guān)鍵步驟進(jìn)行闡述，如ISO13335、COBIT、BS7799-3等。

    我國(guó)的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作目前還處于起步階段，還沒(méi)有形成一套成形的專業(yè)規(guī)范，缺少一支能夠全面開(kāi)展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的人才隊(duì)伍。目前我國(guó)所進(jìn)行的一些信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的探索和嘗試以及開(kāi)發(fā)的一些計(jì)算機(jī)審計(jì)軟件還大都停留在對(duì)被評(píng)估單位的電子數(shù)據(jù)進(jìn)行處理的階段。無(wú)論是國(guó)際上大型的跨國(guó)公司還是國(guó)內(nèi)一些規(guī)模較大的企業(yè)都在不斷地?cái)U(kuò)大信息技術(shù)在其經(jīng)營(yíng)活動(dòng)的應(yīng)用范圍，運(yùn)用傳統(tǒng)的信息技術(shù)和風(fēng)險(xiǎn)評(píng)估知識(shí)已經(jīng)不能實(shí)現(xiàn)真正意義上的“風(fēng)險(xiǎn)基礎(chǔ)模式”的風(fēng)險(xiǎn)評(píng)估，這些都影響到我國(guó)IT治理和信息系統(tǒng)風(fēng)險(xiǎn)控制的實(shí)施。

    隨著商業(yè)銀行經(jīng)營(yíng)管理活動(dòng)對(duì)信息技術(shù)的高度依存，信息科技風(fēng)險(xiǎn)控制已成為商業(yè)銀行風(fēng)險(xiǎn)管理的重要內(nèi)容，并需要從戰(zhàn)略的角度將信息系統(tǒng)與實(shí)現(xiàn)公司治理的總體目標(biāo)緊密聯(lián)系在一起。因此，解析國(guó)內(nèi)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀及存在的問(wèn)題，并根據(jù)國(guó)際經(jīng)驗(yàn)與我國(guó)實(shí)際情況進(jìn)行差異性分析，最后，找到我國(guó)銀行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的有效方法，由此，實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估在國(guó)內(nèi)銀行業(yè)質(zhì)的飛躍。
 
    3.2商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型的設(shè)計(jì)

    在目前所應(yīng)用的風(fēng)險(xiǎn)控制與評(píng)估模型中，基本區(qū)分為兩類(lèi)，一類(lèi)是基于業(yè)務(wù)風(fēng)險(xiǎn)控制的風(fēng)險(xiǎn)評(píng)估模型，這類(lèi)模型的基礎(chǔ)是傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估理論，因此更加注重于業(yè)務(wù)流程的控制和業(yè)務(wù)的風(fēng)險(xiǎn)管理；另一類(lèi)是關(guān)注于技術(shù)控制的風(fēng)險(xiǎn)評(píng)估模型，這類(lèi)模型建立在相關(guān)的信息安全標(biāo)準(zhǔn)之上，主要考慮的是技術(shù)的實(shí)現(xiàn)架構(gòu)和實(shí)現(xiàn)方式，評(píng)估系統(tǒng)的技術(shù)風(fēng)險(xiǎn)。

    銀行在面對(duì)實(shí)際的信息風(fēng)險(xiǎn)時(shí)，需要建立定位于信息全面管理的風(fēng)險(xiǎn)評(píng)估模型。因此，必須結(jié)合業(yè)務(wù)風(fēng)險(xiǎn)模型和技術(shù)風(fēng)險(xiǎn)模型的相關(guān)方法，通過(guò)分析系統(tǒng)自身內(nèi)部控制機(jī)制中存在的薄弱環(huán)節(jié)和危險(xiǎn)因素，發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中不正常和有害的行為，完成系統(tǒng)弱點(diǎn)和安全威脅的定性分析，在銀行信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)各要素之間建立風(fēng)險(xiǎn)評(píng)估模型，如圖3所示。

 
 圖3  商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型

    信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估模型由三個(gè)基本元素組成，分別是銀行核心業(yè)務(wù)系統(tǒng)、銀行信息系統(tǒng)風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估的方法和技術(shù)。

    銀行核心業(yè)務(wù)系統(tǒng)是業(yè)務(wù)運(yùn)轉(zhuǎn)的基礎(chǔ)，是商業(yè)銀行固有風(fēng)險(xiǎn)的體現(xiàn)，它通過(guò)硬件平臺(tái)的支撐、應(yīng)用軟件的設(shè)計(jì)、數(shù)據(jù)資源的管理，實(shí)現(xiàn)銀行業(yè)務(wù)職能。

    銀行信息系統(tǒng)風(fēng)險(xiǎn)管理，是商業(yè)銀行控制剩余風(fēng)險(xiǎn)的能力。它主要包括系統(tǒng)建設(shè)風(fēng)險(xiǎn)控制、系統(tǒng)數(shù)據(jù)完備性、系統(tǒng)功能實(shí)現(xiàn)、業(yè)務(wù)流程風(fēng)險(xiǎn)控制、數(shù)據(jù)遷移等6個(gè)方面。

    風(fēng)險(xiǎn)評(píng)估的方法和技術(shù)，是風(fēng)險(xiǎn)評(píng)估和控制的手段。它針對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理的需求和特點(diǎn)，采用不同的風(fēng)險(xiǎn)評(píng)估方法和技術(shù)，識(shí)別固有風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)，對(duì)銀行信息系統(tǒng)進(jìn)行整體風(fēng)險(xiǎn)的評(píng)估。