我国中小商业银行信息安全建设问题研究

我国银行业信息系统建设持续发展，核心业务系统、网上银行、自助终端、银行卡等具有高科技含量的系统和设备被广泛应用，在提升金融服务效率和增加服务品种的同时，信息系统潜在的风险也逐渐显现。调查显示，大多数中小商业银行信息系统建设都存在滞后问题，系统运行、网络安全、数据集中、系统设计、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴露在我们的面前，形成了一定的安全隐患。

一、我国中小商业银行信息安全现状

（一）建设趋规范：金融监管延伸至信息化领地

在我国金融业从传统运作模式向现代运作模式转变的背景下，金融监管开始适应金融业的信息化运作模式，更加具体细致地与信息技术联系在一起。2007年，公安部、国家保密局、国家密码管理局、国务院信息工作办公室颁布了《信息安全等级保护管理办法》。2006年人民银行出台了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》，2009年9月，人民银行对全国66家银行业金融机构网银系统安全进行了现场检查，并通过跟踪整改，促进各银行提高对信息安全保障工作的重视程度，同月，人民银行在银行业信息安全通报会上表示，要将银行信息安全纳入考核。银监会制定的《电子银行业务管理办法》、《电子银行安全评估机构业务资格认定工作规程》、《电子银行安全评估指引》、《商业银行信息科技风险管理指引》等法规制度相继出台，各商业银行也大力推动了it审计的进程。归纳起来看，这几部法规强调了三个重点。一是关于银行业金融机构完善it治理结构方面，通过构建和完善金融机构内与信息技术应用有关的组织架构及工作程序，有效地识别、度量、跟踪和控制信息技术风险。二是规定了从事某些严重依赖信息技术的银行业务的资质。三是对风险的识别、计量、管理，与国际银行业的发展趋势相一致。

（二）发展有差距：中小商业银行信息安全建设整体水平落后于股份制商业银行

近年来，我国各股份制商业银行为了提高竞争力，相继对核心业务系统和后台管理系统进行了改造开发，信息化发展水平相对比较先进，且信息安全体系较为健全。目前，大部分股份制银行或是稳健引进国外核心业务系统，或是通过自身的研发力量，不断地在原有系统基础上，打造出更适合未来发展的新系统，以全面提升信息化建设水平为落脚点，在信息安全管理方面作出了令人瞩目的成绩。相比之下，中小商业银行，特别是城市商业银行、城信社、农村商业银行、农村合作银行及农信社的信息化建设严重滞后于业务发展的需要，其信息安全管理亦存在较多隐患。

（三）防范多漏洞：中小商业银行信息安全隐患骤增

中小型金融机构信息系统众多安全环节都存在漏洞，首先是核心数据的安全没有保障，表现在：第一，核心计算机机房的建设符合标准的不多，在选址、供电、机房的建设标准、机房的安保措施都或多或少存在问题。第二，没有能力建设自身的异地备份中心，所有的数据存在于一个点上，如果发生极端情况，后果将是灾难性的。其次，在建设过程中，因为没有统筹考虑，对于系统安全部分的硬件设施、软件设计模块缺乏，造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。再次，在系统投入生产后的运维周期，主要依靠系统承包商，自身的能力不足以做好运维工作，人力风险明显。

二、中小商业银行信息安全风险分析

（一）it外包风险-忽略业务连续性的无奈选择