国家“十一五”规划明确提出,要加强基础信息网络和国家重要信息系统的安卜全防护工作。银行信息安全是保持我国金融安全稳定的重要组成部分。随着银行信息化程度进一步加深,对于本质即经营风险的金融机构而言,更要正视风险的、存在,把风险控制在可承受的范围之内,利用信息化成果提升银行经营业绩,为社会提供安全持续、稳定的金融服务。编辑从理论与实际相结合的角度,节选以下篇文章,以飨读者。我国银行业风险管理现状、趋势与对策文中国建设银行信息技术管理部上海开发中心严峻业银行以股份制改革为契机,为防范和化解信息技术育和防险并举”的监管原则,正视信息风险,以鼓励推动创。商风险,确保经济安全,各家银行在信息安全领域做了大新,以规范防范风险,以培育完善市场,以发展满足需求量工作,基本保障了信息系统的稳定、安全运行。虽然银行年底银监会专门组织开展银行业信息科技风险内部和外。、业在风险管理方面取得了长足进步,但仍需改进。部评价审计工作各家银行近期也开展了多层次务实的风险检查。一、我国银行业风险管理现状风险可控性逐步加强基本建成银行风险内控框架,近几年银行在信息化建设方面步伐很快各家银行都已。目前,我国主要商业银行已建立起合理的公司治理框完成数据集中工程银行核心业务系统集中在总行数据中心,架,制订了包含业务和风险的内控制度。银行都有较完银行网点内仅设置业务终端。随着各类信息系统上收,营业备的信息安全战略目标和规划,初步建成信息安全保障体机构的风险降低。但银行业务对数据中心的依赖性逐步上。系,制订并颁布了一系列和实际业务发展水平相适应的银行升,保障数据中心信息安全成为关键目前数据中心的灾难、信息安全管理制度和技术规范。从总部到分支机构,健全了备份建设业务连续性计划和信息安全等级保护工作正在有。信息安全组织机构。中资商业银行与境外投资者在股权基础条不紊地开展,风险的可控性逐步加强银行信息安全的基,、、上,从业务和技术层面加强合作,实现了由“引资”向“引础设施框架基本健全尤其在网络安全运行管理病毒防。智”和“引技”的转变。与国外大银行在风险管理方面的范等方面很有成效差距越来越小。金融外部信息安全环境不断改菩银行业风险管理水平明显提高,国家对信息安全历来重视加快制订基础性的信息安全,,在流动性过剩的金融环境下,监管部门不失时机地推应用规范和技术标准推进信息化法制建设互联网治理效,。动、引领银行业加快创新步伐,坚持“鼓励和规范并重、培果显著银行网上支付业务发展迅速年公安部掌握的⋯樱黔粉技术⋯与应用矗严重网上案件只有几十起,大规模的网络灾难事件显著减少。服务。这种转变在理念和素质上对现有银行信息安全人员提出更高要求。二、我国银行业信息安全的薄弱环节第二,银行业风险管理体系渐趋完备。银行业务对信息系统依赖性较高,对信息安全高度重视。参照对比国际信息安全标准,以及国外优秀银行在风险管、等国际标准进行体系建设,各家银行的信理方面的最佳实践,国内银行还存在一定差距。息核心部门会建立全面的信息安全体系,提高内部风险管第一银行部分人员认为信息安全就是不出安全事件。理水平。将来通过信息安全外部认证的银行部门会逐渐增多。目前银行业信息安全的管理工作大部分停留在定性估计层,缺乏对风险专业的定量分析。科技开发和其他业务管理一样,热衷追求项目上线数量,粗放经营情况普遍。如何在抢占市场份额的同时降低风险,平衡信息系统功能和安全之间的关系是个难题。第二技术上缺乏统一的丁风险管理基础设施。在目前的考核机制下,基层部门风险管理成绩和绩效考核有一定关系,基层单位本能地尽量掩饰风险。在上报安全季报时,统计数据可能失真。如果利用风险管理工具,识别和判断银行全局信息风险就有基础数据支持,从而实事求是了解全行信息风险状况。此外,安全事件信息分散在总、分行各个系统中,未形成关联性分析。银行内部也没有正规的风险分析团队,尚不能提供对全行信息安全状况的建设银行信息技术管理部上海开发中心首批参加信息安全应知应会闭卷考分析、支持及风险预警信息。试的名员工在上海开发中心主任马恒鑫、严志根的带头下按时坐入考场。第三,管理手段比较原始。从风险管理手段来看,基本停留在制度检查层面,缺乏基础技术支撑。事后第三风险评估活动日益兴盛。经过若干年的建设,查出问题较多,事前预防作用有限,事中控制更难。下发的银行内业务和技术部门对信息系统存在的风险有了深刻体会。文件带有为监管免责因素居多,窗口指导意义比较弱。基层大家认同信息系统等级保护的思想,希望通过了解进而规避银行对风险进行自我评估、自我加固的内在动力不足。系统立项、研发和运行过程中的风险。大家不再满