浅析新时期商业银行科技信息系统风险管理

徐锦英　　周会员

（中国农业银行黑龙江省分行营业部科技部，黑龙江　哈尔滨　１５００１８）

　　摘　　要：为了防范计算机系统事故发生，有效避免事故给商业银行及客户造成巨大损失，树立商业银行良好的社会形象，必须对新时期商业银行的科技信息系统风险管理进行认真的分析和研究，确保国家和人民、银行和客户的财产安全。　　关键词：商业银行；科技信息系统；风险管理　　　　随着计算机及网络技术的不断发展，计算机技术对于商业银行经营和管理更加广泛深入。商业银行的计算机信息系统风险点逐渐增多，因此科技信息系统风险控制和管理就显得尤为重要。为了防范计算机系统事故发生，有效避免事故给商业银行及客户造成巨大损失，树立商业银行良好的社会形象，必须对新时期商业银行的科技信息系统风险管理进行认真的分析和研究，确保国家和人民、银行和客户的财产安全。

　　　　１　现代商业银行科技信息系统面临的风险问题

　　　　１．１计算机实体及环境的信息风险

　　　　银行科技信息系统风险首要来自自然灾害的影响，尤其是雷电的影响。在近年计算机系统故障处理中，发现计算机及网络被雷击的现象比较普遍，对计算机系统和信息造成的危害也比较大。信息数据的存储介质、硬件等计算机实体本身的质量也是信息风险主要因素。计算机系统所处计算机机房环境同样存在不安全的隐患，一些计算机机房建造达不到安全的标准，多数空调只满足当初设计，而在定期清洁和保养环节上忽略，造成过滤网堵塞，导致空调通风不畅、调温失控等诸多问题，计算机实体的环境得不到安全的保证。

　　　　１．２计算机信息系统软件应用的风险　　　　现在商业银行应用主流的操作系统为ＬＮＩＸ、ＵＮＩＸ、Ｗｉｎｄｏｗｓ等操作系统，这些系统仍然还存在各种各样漏洞，需要各种补丁程序。有些个别应用软件未得到成熟有效的测试而进入应用。计算机病毒产生的信息风险问题更加让科技信息管理人员头疼。大多计算机病毒导致计算机系统程序和数据严重破坏，使网络的效率和作用大大降低，甚至瘫痪，计算机软件应用存在着较大的信息风险问题。

　　　　１．３操作人员的职业道德产生的信息风险

　　　　在现代商业银行改革的过程中，有个别计算机操作人员在处理单位和客户等诸多问题和矛盾时，难免产生消极和不满情绪，这些消极和不满情绪体现在工作上就会酝酿较大的道德风险，尤其在计

算机操作流程设计比较简单环节上，导致的操作人员在出现道德风险后，操作流程的不可控，产生预想不到的事故和案件。

　　　　２　现代商业银行科技信息风险的管理　　　　商业银行科技信息风险管理工作是一个极为复杂的系统工程，是技术、制度和人才的统一体。要花气力下功夫做好这项工作，在工作实践中觉得应从以下几方面加强商业银行科技信息系统的风险管理：

　　　　２．１各级领导要高度重视科技信息风险防范工作

　　　　一要选派责任心强，有较好职业道德操守的人员负责管理科技信息工作，在科技人员的选用上也要遵循这一原则。　　　　二要加强职业道德教育，针对人员的思想情况，积极开展思想政治工作，消除矛盾，解决思想上的疙瘩，使他们心情舒畅地工作。

　　　　三要加强先进信息技术的培训。定期或不定期地开展科技培训，使科技人员掌握最新的计算机技术和成果。

　　　　四要在资金可能的情况下，对计算机硬件系统和计算机应用环境进行更新改造，防止设备的老化和环境指标不达标对信息系统风险的影响，及时进行维护，避免意外的事故发生。

　　　　五要对相关产品构造要及时建立更新防御机制，特别是新产品刚推出之前就要建立，防范机制要跟得上计算机的发展，来防范科技信息风险的出现。　　　　２．２加强信息风险制度的建立和落实　　　　制度建设是做好任何事物的前提：　　　　首先，要制定出切实可行又比较全面的各类安全管理制度。制度要符合现代商业银行计算机系统信息风险的发展要求，要与时俱进。对行之有效的规章制度，能量化的必须量化，使之有较强的可操作性。

　　　　其次，制度的落实是有效防范科技信息风险的保证，要把制度落实到每一个网点和每一个责任人，与单位和个人的经济利益挂钩，每年要对制度建设和落实情况进行检查和综合考核，对科技信息每个风险点的防范情况进行检查，是否按照风险点的要求予以落实，防止走

过场。通过建立和健全各种规章制度，把规章制度真正落实到工作中，才能有效防范科技信息风险的产生。

　　　　２．３采取有效的技术手段防范科技信息系统的风险

　　　　２．３．１首先是建立各种有效的计算机操作口令或密码。做好密码的保管和及时更换工作。对重要的密码进行分段管理，严格控制访问网络权限。

　　　　２．３．２对重要计算机系统采取备份，无论是硬件还是软件，无论是数据还是网络，都要采取备份，尤其注意备份存储环境和介质的优良性，并且定期对备份进行有效性检查，这样在计算机系统出现问题时，才能做到及时反应和安全处理。

　　　　２．３．３制定有效的业务操作流程，在避免烦琐的同时注意操作权限集中或流程单一，设计分段操作和互相监督的效果。避免因操作人员的道德风险而产生的计算机系统操作风险。

　　　　２．３．４搭建全方位的计算机系统信息防御体系。全方位的防御体系是信息系统风险的安全运行保障。计算机系统信息风险不是单一的防范，而是一项动态的、整体的系统工程，可以从操作系统、应用系统、计算机防病毒软件、硬件防火墙、网络端口检测、网络监控、信息审计、通信加密、灾难备份恢复等技术保障，来保证业务的安全稳定运行。

　　　　２．３．５制定信息系统的风险预案，定期进行演练。在建立各种行之有效的规章制度，采取计算机系统技术防范手段后，可以制定信息系统的风险预案，定期进行计算机系统及业务信息风险预案的演练，检测当前的制度、技术、备份等是否符合发展的需要。及时堵塞漏洞，解决信息风险问题。适应新的信息风险需要，保证商业银行的业务系统安全运行。

　　　　总之，现代商业银行的计算机信息系统风险工作，不是一朝一夕的工作，而是一项长期的系统任务，是一个动态的高科技工程。需要商业银行的各级管理者和科技人员一同参与和努力，才能确保商业银行业务经营安全平稳运行。

　　　　　　　　　　　　　　　　　　责任编辑：魏玉新