信息科技风险自查

信息科技风险自查（共8篇）

篇1：信息科技风险自查

信息科技自查报告

按照上级领导的指示，我行认真贯彻精神，为充分做好重要时期金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下：

一、设备间建设规范和管理规范

（1）设备间安装了温湿度仪表，以用来监控机房温度和湿度，并能够及时开启控温控湿设备来保证机房的温度和湿度。

（2）设备间每周由网点经理或支行行长来对设备间的环境状况进行检查，并登记成册，以确保设备间保持整洁和规范。

（3）设备间严格控制出入人员，并保证营业网点外来人员有相关证件登记。

（4）支行技术人员每年一次对设备间的主要设备进行巡检，确保设备能够正常使用，并在相关登记本上记录。

二、应急管理和终端安全

（1）支行会不定期对一些预案进行检查，确保这些预案是最新的，且告知网点人员张贴在需要的地方。

（2）支行每年会抽取一定的网点人员进行培训和演练，并书写心得和体会，确保网点人员能够正确的应对突发状况。

（3）支行每月会不定期的抽查相关电脑的软件安装情况，检查是否存在私自安装不必要的软件，以及是否私自开通ADSL等违规的网络。

篇2：信息科技风险自查

**农商行

按照上级领导的指示，我行认真贯彻《关于加强2010年重要时期金融信息安全保障工作的通知》（银发[2010]57号文件）精神，为充分做好重要时期金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下：

一、组织架构、制度建设及管理情况

1.信息科技治理组织架构

（1）我行在董事会下设科技信息安全管理委员会，行长室下设信息科技管理委员会，信息安全管理委员会下设应急处理领导小组。

科技信息安全管理委员会全面负责领导和协调本行科技信息安全。

科技管理委员会负责统一规划全行的信息化建设，指导和监督科技部门的各项工作，审议全行计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则，统一组织、协调、指导、检查全辖应急处置的管理；负责全辖信息系统突发事件的应急指挥、组织协调和过程控制

（2）我行成立了科技管理部和科技开发部，做到科技运维和科技开发有效分离，加强了信息科技治理。

（3）科技风险审计工作由我行稽核审计部完成，信息科技风险管理由风险管理部门完成。

（4）在支行层面则设立合规员，负责各支行科技信息相关风险监控和报告

2.信息科技管理制度建设

（1）安全管理

对安全管理活动中的各类管理内容建立安全管理制度，制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理总则《江苏**农村商业银行计算机信息系统安全管理制度》，安全管理制度经信息安全领导小组审定，审定周期为一年一次，并且及时发现缺漏或不足对制度进行修订，并有修订记录

（2）事件管理

制订了安全事件报告和处置管理制度——《信息安全事件管理制度》明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责，并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对安全事件进行等级划分，制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置方法等，并对发现的安全弱点和可疑事件有《异常情况上报规定》

（3）应急处理

建立较为完善的信息系统应急恢复策略《江苏**农村商业银行计算机信息系统应急处理方案》，对各业务信息系统进行分类，按照重要程度，确定保障级别，制定了各信息系统突发事件专项应急预案。制定数据中心、灾备中心机房关键基础设施专项应急预案。

（4）安全操作规范及管理流程

我行有完整的信息安全管理流程，控制信息安全管理。包括介质管理、网络管理、维护及故障处理制度、软硬件变更流程、备份管理、ATM安全管理、机房管理、监控管理、密钥管理、巡检制度等等科技管理部各项流程。

（5）岗位职责与分工

配备一定数量的系统管理员、网络管理员、安全管理员等。每个岗位设立2个以上操作维护人员。重要系统均配备A/B角，A/B角定期轮换。明确岗位职责《科技管理部岗位设置》《科技开发部工作职责》《科技管理部岗位百分考核办法》（6）密级管理制度

录用人员签署保密协议；制定人员离岗管理流程规范，严格规范人员离岗过程，及时终止离岗员工的所有访问权限；与外包商签订保密协议；有密级的安全管理制度，注明安全管理制度密级，并进行密级管理。

二、信息系统的技术措施情况

1.物理和环境建设

（1）机房的物理访问控制：机房实现门禁控制，严防外部人员进入机房擅自操作。

（2）系统密码均由专门人员掌管，计算机终端无人看管时锁定；

（3）机房采用集中监控，监控清晰全面，机房环境设施均有专人岗位值班管理，参数实行24小时不间断监控，岗位人员具备管理监控专业素质。

（4）机房供电系统均采用双路UPS供电，线路冗余性好，负载能力强，完全能够满足机房电力需求。

（5）机房空调系统的有效性和冗余性，给排风系统的有效性：机房空调系统安全有效，给排风系统工作正常。

（6）中心机房和灾备机房均有配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施，确保机房正常运转。

（7）机房技术文档完备、有效：制定了《**农村商业银行计算机信息系统安全管理制度》、《科技部信息部中心机房监控制度》，《**农村商业银行计算机系统运行维护管理制度》为机房维护制定详细的规范文档。

2.网络管理

我行根据文件要求，对重要网络设施(包括网络传输线路、网络设备、网络安全设备)进行了详细的自查，情况如下: 1.网络安全策略

（1）内网的安全管理情况；

内网网络安全管理： 外联单位互联安全保护措施：通过两台PIX525防火墙连接外联单位，两台防火墙通过FAILOVER形成热备，在防火墙上配置安全策略，严格控制进出生产网的数据。

在对外路由器上设置过滤规则，形成防护网。使用过滤规则设置功能，作过滤防护，形成银行网络与外联单位之间的第一道防护网。正确地配置和使用防火墙。防火墙功能正确实施的关键是其安全策略的配置和管理，为企业的重要数据和内部网络系统提供了一层可靠的安全保障。

使用地址转换的通信策略，防火墙对内部地址进行转换，对外映射为一个虚拟地址。

（2）外网的安全管理情况；

办公网网络安全建设：天融信防火墙安全防护建设：在**农商行办公网INTERNET出口部署两台天融信防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、即时通信应用，以及BT、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、乃至流量控制。还提供了定制功能，可以对用户所关心的网络应用进行全面控制。

能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构，自身能够实现A/A部署和状态同步，能够实现动态的链路切换，同时提供了电源冗余功能，最大限度地满足了网络的健壮性及稳定性，保证了整个网络的不间断工作。

（3）加密技术应用和私钥的管理情况；

ARRY设备远程VPN安全保护建设：**农商行办公网已经部署了VPN，INTERNET用户可以连接到内部办公网。采用VPN技术，加强信息传输过程中的安全防范，可以在公共Internet网络上提供安全通信。是企业远程用户、业务合作伙伴和供应商尽快实现通信和共享信息理想的安全性解决方案。根据业务系统的特点选择对业务数据进行传输加密；对于网络设备认证过程中敏感的信息进行加密。制定了《**农村商业银行科技部密钥管理制度》。

（4）防火墙的设置、维护和管理情况；

在网银系统设置两层物理防火墙，将网络分为三个逻辑区域，及非授信区、停火区及安全区。非授信区可理解为Internet，即存在潜在威胁的区域；停火区（DMZ）内部署网银Web服务器、RA服务器以及其它直接向外部提供服务或者进行通讯的服务器，如Mail服务器、防病毒服务器等；安全区用户部署网银应用服务器、数据库服务器、通信服务器等核心部件；

（5）、设置入侵检测系统。

入侵检测用在网络关键节点设置探头以侦测网络数据中。

2.网络服务连续性、冗余性

1.所有重要通信线路均有备份线路且采用不同运营商，确保网络无断点。

2.网络设备的冗余性：网络设备均有备份。核心网络设备，核心生产系统设备均采用双机热备，同城设有灾备机房，确保关键生产设备运行的可靠性

3.访问线路的带宽完全能够满足各信息系统的带宽需求，无网络拥塞现象。

4.网络设备管理配置均由专人分管负责，确保合理操作，保障网络通畅、安全； 5.日志服务器暂无，有网络日志，但无集中审计，需加强网络设备日志的安全审计。

3.信息系统可靠性

我行根据文件要求，对关键服务器、存储器运行的可靠性，生产系统资源冗余度等进行了全面自查，情况如下: 1.系统重要设备和组件的冗余备份

经自查，关键生产设备均采用双电源，服务器有UPS电源支持，且有RAID保护。系统具备较高的可用性，所有前置系统都有备机，且定期切换演练，系统重要设备和组件均有相应的定时备份。

2.制定各系统的应急预案，定期对预案修订和培训，目前，我行针对世博会演练了信贷系统切换，中心机房供电演练，影像支付系统演练，网银系统恶意攻击模拟演练。

3.设备和系统的维护和升级管理

设备、系统均有专人维护管理，部分设备、系统聘请专业公司人员进行升级维护，岗位人员均具备相关素质，并实行AB角色。

4.对外包系统要求开发商要对我行技术人员进行详细的日常运行、维护培训，把相关技术移交给我行技术人员，对涉及二次开发的系统要求开发商提供完整的二次开发手册，培训我行技术人员掌握二次开发技术 5.系统软件的用户授权及鉴别认证措施：

系统软件用户密码相关人员各自保管，重要系统管理密码实行分左右手密码保管原则，系统软件用户访问实现权限控制，各级人员只能进行权限内操作。

6.系统变更管理: 制定了变更管理的主要准则和规章制度，变更管理的审批授权机制和工作流程；对变更管理进行登记、备案和存档，制定了非计划性紧急变更的实施方案、备份和恢复。

7.对系统日志及操作行为日志进行监察审计，确保系统稳定运行

8.系统容量管理计划

系统处理容量增长趋势完全满足增量业务需求，并有适度冗余。

9.补丁更新

及时关注系统安全漏洞最新情况，及时对新发现的安全漏洞打上相关的安全补丁。经检查当前系统已是最新最完整版本，已安装了最新补丁

10.病毒、恶意代码的安全防护

系统均安装病毒查杀软件，对病毒、恶意代码进行安全防护。同时严格控制操作人员在机器上运行可能携带恶意代码、病毒的脚本的外来第三方软件

11.系统安全配置检查 定期巡检，对系统的安全配置实行不定期检测，对可能存在的隐患进行排除。

4.应用安全

1.业务应用系统的用户授权及鉴别认证措施

业务应用系统用户密码相关业务人员各自保管，通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。

2.业务应用系统的用户访问控制

系统软件用户访问实现权限控制，各级人员只能进行权限内操作

4.数据安全、备份可用性

1.数据备份策略及备份数据的可用性

（1）对各应用系统指定相应备份策略，指定不同级别的具体备份操作，每次备份完毕应检查备份数据的有效性，并异地妥善保管好磁介质，重要数据永久保存

（2）应定期执行恢复程序，检查和测试备份介质的有效性，确保可以在恢复程序规定的时间内完成备份的恢复。

（3）不定期对数据进行抽检，与业务所在日期数据进行比对核实。并有应急恢复预案，及同城异地灾备系统确保数据恢复性。

2.数据安全性（1）敏感数据的传输和存储加密：

敏感数据传输实行加密管理，存储的一些敏感数据实行加密乱码显示。

（2）重要业务数据的通信完整性检测

重要业务数据通信检测完整、正常。

（3）重要业务数据的备份策略及恢复测试机制

重要业务数据定时备份，专人存储保管，有完整的应急恢复预案。

（4）建立了同城异地灾备中心，并制定了《江苏**农村商业银行异地容灾项目灾难恢复计划书》，内容包括危险级别的定义划分、决策流程、灾难恢复团队、日常备份和恢复流程、灾难响应和行动流程、灾难切换流程、灾备系统回切流程、灾难恢复计划的测试、维护等。还包含了涉及系统设备的具体清单、操作步骤等，预计RTO为6小时以内，RPO较低。

5.运行维护监控系统

我行根据文件要求，对信息系统的监测预警进行了全面自查，情况如下: 1.监测预警制度、流程及自动化监控平台

已建立完善监测预警制度、流程，机房环境、参数，系统的运行状况，CPU使用情况、文件系统使用情况等均实现自动化监控。

2.监测预警组织结构及人员设置

每天有人员24小时值班，检查系统及网络运行状况，及时发现问题，监测预警专人负责，按照警报级别逐级上报，确保故障的及时排除。

3.监测预警日志

设立监控日志，每日由监测预警人员负责记录。

4.监测预警文档的完备性

有监测预警文档说明，但不够完善。

5.与电力供应部门、网络供应商、公安部门等外部机构均有相应的应急联动机制，我行正在实施保卫部网点声光联动报警，做到入侵报警设施与照明、视频安防监控及声音复核等设备联动

三、不足和改进方法

1.需将管理与技术相结合，进一步加强信息安全管理手段

从IT风险管理手段来看，部分系统的风险控制不够先进，缺乏专业的风险技术支持，事前预防作用有限，事中控制不够。缺乏对科技风险的集中审计。本行将引进AAA统一认证管理系统，加强系统用户的授权，权限控制和账号管理。架设日志服务器，对系统日志进行集中收集和审计。通过平台对所有用户进行统一的授权。采用基于角色的授权机制，按照内部的组织结构划分角色，并为用户绑定角色。对于不同的角色分配不同应用系统的访问权限。平台依靠记录追踪用户和管理人员的访问过程，建立一套全面的、有效的回溯和追查机制。可以实时监测用户对各应用系统的访问状态，及时发现非法访问事件，对出现的问题进行事后追溯和责任追究提供实证。通过对系统运行状态实时监控审计，增强系统的可维护性。

2.进一步完善计算机系统安全管理制度

篇3：信息科技风险自查

随着金融全球化的推进,金融行业的竞争日趋激烈,特别是20世纪90年代以来,金融创新层出不穷,银行业无论是经营涉及的业务范围还是提供的金融产品的种类,都更具多元化;与此同时,先进的信息技术和金融技术在银行业得到了越来越广泛的应用,伴随着盈利空间的迅速扩大,商业银行的经营也面临着比以往任何时候都更加复杂多变的环境。伴随着信息科技的产生,也带来了风险脆弱性(Borade)[1]。

为加强商业银行信息科技风险管理,中国银行业监督管理委员会于2009年6月1日颁布并实施了《商业银行信息科技风险管理指引》(以下简称《指引》),目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力[2]。2009年初,银监会在全国推广了信息科技风险非现场监管系统,按季度收集报表,并对全国范围内的银行法人机构信息科技风险进行了试评估。从全国的试评级情况看:没有评级为一级的机构,大型国有银行和大部分股份制银行评为二级,剩余股份制银行和部分好一些的城商行评为三级。总的来看,我国商业银行信息科技风险防控水平较低,未来形势不容乐观。因此,建立一套科学有效且符合我国国情的商业银行信息科技风险评估模型十分必要。

2 研究现状

2.1 信息科技风险的概念

作为事实上国际银行业行规制定者,巴塞尔银行监管委员会于2004年6月公布了新版的《巴塞尔协议》,并在其中明确指出:信息科技(IT)风险是操作风险的重点[3]。根据定义,信息科技风险指的是任何由于使用计算机硬件、软件、网络等系统所引发的不利情况。它包括了程序错误、系统宕机、软件缺陷、操作失误、硬件故障、容量不足、网络漏洞及故障后恢复能力等诸多方面。

新《指引》也对信息科技风险概念进行了描述,指出:“信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险” [2]。

2.2 事件研究法综述

在国外,事件研究法已被广泛应用于金融经济领域、会计领域、法律和经济领域等等。正如Fama所言:“近几十年来出现的有关事件研究方面的文献已成为金融经济文献中重要的组成部分”。国外学者提供了多种对于信息科技风险及其事件表现形式的视角[4]。Campbell等、Kannan等 在其数据和安全漏洞的研究中广泛应用了机密-完整性-可用性框架(C.I.A.),该框架已经被大量应用于组织数据和信息资产的风险评估中[5,6]。在此基础上,Whitman将信息科技风险事件主要归结为机密性事件、完整性事件及可用性事件,而这些事件大多产生于恶意行为及突发因素导致[7]。Cavusoglu等依靠严密的企业资源基础模型与信息传递理论,试图建立理论模型来分别验证信息科技风险事件对大型公司和证券公司的影响[8]。Im和Baskerville认为,实际上信息科技风险事件均由人为因素导致[9]。Willison和Siponen调查了1 280家金融机构,发现绝大多数的风险限于蓄意电脑滥用、数据隐私侵权以及其他一些恶意威胁[10]。Goldstein等利用资源脆弱性理论和声誉-质量保证理论,阐述了关于信息科技风险事件的战略问题[11]。

国内方面,缺乏专门研究信息科技风险事件的文章,多数集中于对操作风险事件的研究。盛军对国内银行级别和案例类别、损失事件数目和金额的地域分布、损失事件发生年份和案例类别进行了交叉分析,并与国际上的分析结论进行了比较,得出了定性的区别[12]。何茂春将影响信息系统事件级别的影响度、紧急度等关键因素的基本属性进行评估量化分解,以多因子事件等级量化方法,按照加权处理的原理,同预先设定的对应等级数值表对照比较,准确地给出事件等级的定级,为风险计量与控制提供了量化依据[13]。谭诤对商业银行操作风险事件的时间特征进行了研究,得出如下特征:操作风险损失事件历年分布频率呈现先升后降态势;隐蔽性越强的操作风险损失事件发生频率相对越低;操作风险事件越隐蔽,损失越大,处理时间越长;操作风险事件管理呈现明显时滞性[14]。陈平、戴伟光从事件类型、业务类型、地域分布等方面对我国商业银行操作风险事件的特征进行了分析,揭示了引起我国商业银行操作风险事件的主要原因以及操作风险易发区域、易发业务线和各业务线的风险易发环节[15]。

由此可见,国外学者对于信息科技风险事件的研究已十分成熟,国内研究尚处于起步阶段,多集中于定性分析层面。本文以中国银监会信息科技风险评价体系为基础,将其每一个指标看作一个事件,建立了基于风险事件的商业银行信息科技风险评估模型。

3 模型构建

基于风险事件的商业银行信息科技风险评估模型如图1所示。

该评估模型从结构上可以分为横向比较(按照时间先后对商业银行自身风险状况进行比较)和纵向比较(按照同一地区对同行业间风险状况进行比较)两个维度。风险评估的主要参与者是信息科技管理委员会下属的商业银行高级管理层、信息科技部、风险部及审计部。其中,信息科技部处于核心地位,负责调查工作的组织与实施;风险部及审计部的参与能够最大程度上保证调查结果的客观性及准确性,从而及时发现问题。风险评估的对象是风险事件,通过一定的风险事件发生频率来衡量固有风险;通过一定的风险事件控制情况来衡量控制有效性。风险评估的目标在于确定固有风险及控制有效性等级。模型具体描述如下:

首先,商业银行以中国银监会信息科技风险试评估体系中的固有风险四级评价指标作为事件,调查其一定时期内(一般为一年)的发生频率。由于固有风险属于成本类指标,故风险事件的发生频率从小到大依次分为五个等级,即从无、偶尔、一般、频繁及很频繁。

其次,商业银行以信息科技风险评价体系中的控制有效性四级评价指标作为事件,调查其一定时期内(一般为一年)的控制情况。由于控制有效性属于收益类指标,故风险事件的发生频率从大到小依次分为五个等级,即很好、较好、一般、较差及很差。

最终,结合前两步得到的固有风险得分及控制有效性得分,结合中国银监会给定的指标权重,可以依次得出三级指标残余风险、二级指标风险等级及一级指标综合风险水平。通过横向比较与纵向比较,可以进一步明确商业银行信息科技风险的动态水平及行业地位。

3.1 商业银行信息科技风险评价体系

中国银监会信息科技风险试评估体系如表1所示。

从中可以看出,商业银行信息科技风险主要通过固有风险和控制有效性两个二级指标进行评估。其中,固有风险可以理解为科技基础的完备性,下设5个三级指标、17个四级指标;控制有效性可以理解为风险管理情况,下设8个三级指标、36个四级指标。

3.2 风险指标量化

对于固有风险,发生事件意味着风险增加;对于控制有效性而言,发生事件意味着风险降低。风险事件得分区间如表2所示。

固有风险得分越高,风险越大;控制有效性得分越高,风险越低。根据表2,按照找出问题、发现问题、解决问题的思路,为了能够最大限度地放大问题,选择固有风险得分区间的上限作为得分固有风险发生频率的量化值,选择控制有效性得分区间的下限作为控制有效性比例的量化值,即:

固有风险发生频率的得分向量为:

U1=[20 40 60 80 100]T

控制有效性比例的得分向量为:

U2=[0 21 41 61 81]T

设三级评价指标C关于二级评价指标B的权重向量为:

Wc=[W1c,W2c,…Wjc,…W13c]T,j=1,2,…13

设四级评价指标D关于三级评价指标C的权重向量为:

WD=[W1D,W2D,…WiD,…W53D]T,i=1,2,…53

则四级评价指标关于二级评价指标的组合权重为:

Wij=[WiD×WjC]T

设风险事件得分为Ri,则对于固有风险得分P1,有如下公式:

${\rm P}{}_1={\displaystyle \sum _{i=1}^{17}{\displaystyle \sum _{j=1}^5\frac{R{}_i\times W{}_{ij}}{100}}}(1)$

式中,i=1,2,…17;j=1,2,…5

对于控制有效性得分P2,有如下公式:

${\rm P}{}_2={\displaystyle \sum _{i=18}^{53}{\displaystyle \sum _{j=6}^{13}\frac{R{}_i\times W{}_{ij}}{100}}}(2)$

式中,i=18,19,…53;j=6,7,…13

定义残余风险测算函数f(a):

$f(a)=\{\begin{array}{l}\frac{{\rm P}{}_{aj}}{100\times W{}_j{}^C}a=1\\ 1-\frac{{\rm P}{}_{aj}}{100\times W{}_j{}^C}a=2\end{array}(3)$

式中:Paj表示三级指标得分,a为一个二元变量。当a=1时,表示固有风险类指标;当a=2时,表示控制有效性类指标。

3.3 风险评估标准

根据得分不同,将固有风险和控制有效性分别划分为8个等级,如表3所示。

根据固有风险及控制有效性的8个级别,可以得到64种组合,归纳为六大级别,如图2所示。其中,一级表示信息科技风险综合可控程度最高,六级表示信息科技风险综合可控程度最低。

4 案例分析

4.1 问卷的收集与分析

课题组选取了辽宁省某X银行进行信息科技风险评估。针对该银行的现状,课题组采用问卷调查并结合访谈法来获得风险指标的得分。首先,对该银行的信息科技部门经理、风险管理部门经理及审计部门经理分别进行了个人访谈。通过访谈,针对商业银行信息科技风险评价体系中的各项风险指标,得到了信息科技风险评估现状及目前存在问题,为风险评估的实施提供了组织保障。其次,由调查者根据调查目的,结合新《指引》中的有关规定设计调查问卷,并辅以相关解释说明。再次,根据概念模型中的要求,由银行的管理层、信息科技部、风险部、审计部分别独立完成调查问卷的填写。最后,调查者通过邮件的方式收集调查问卷样本,共收集有效调查问卷36份。从统计结果可以归纳出以下特点:

(1)参与本次调研的人员知识结构较为互补。其中,信息科技部有效问卷占到了50%,风险管理部有效问卷占到了16.7%,审计部有效问卷占到了33.3%,后两个部门合计50%。这说明信息科技部在本次评估中居于核心地位,另外两个部门处于辅助地位,这与模型描述一致。

(2)参与本次调研的人员经验较为丰富。其中,10年以上从业人员占到了55.6%,大于50%。这说明参与本次调研的人员具有丰富的业务经验与行业背景,能够为本次评估提供较为科学、客观的样本数据。

(3)参与本次调研的人员职称较为分散。其中,中级和其他基层业务人员均占到了33.%,初级、副高级、正高级依次占到了16.7%、11.1%、5.6%。这从一定程度上保证了样本数据的广泛性,能够从各个层级获取真实有效的数据。

(4)参与本次调研的人员职务较为合理。其中,总经理跟副总经理合计50%,经理占据了另外50%。这从一定程度上说明公司高管对本次调研的重视程度,保证了本次评估的顺利实施。

4.2 指标权重的确定

三级指标及四级指标的权重由辽宁银监局事先给定(辽银监发【2011】264号),即采用了专家调查法得到指标权重。其中,二级评价指标B关于一级评价指标A的权重向量为:

WB=[0.50,0.50]T

三级评价指标C关于二级评价指标B的权重向量为:

W${}_{1-5}^C$=[0.30,0.20,0.10,0.18,0.18]T

W${}_{6-13}^C$=[0.15,0.12,0.10,0.10,0.15,0.08,0.10,0.20]T

四级评价指标D关于三级评价指标C的权重向量为:

4.3 风险评估

4.3.1 三级指标残余风险测算

利用问卷调查法得到的36份样本数据,结合u1和u2,根据公式(3)定义的残余风险测算函数,可以计算出X银行信息科技风险评估的三级指标残余风险,将其按数值大小降序排列,如表4所示。

根据表4中的残余风险大小,结合ABC分类法,课题组将三级评价指标归为以下3大类别:

(1)需要特别重视的工作。排在前3位的分别是外包、信息科技审计、信息科技风险管理,残余风险分别达到55.64%、53.88%、50.76%,大于1/2。因此,X银行在这三方面还需要引起特别的重视,加大风险控制措施的实施力度。

(2)需要足够重视的工作。排在第4至第10位的依次是信息安全、数据中心运行与灾备、信息科技项目、信息科技外包控制、系统开发机测试、重要信息系统、信息科技治理,残余风险分别达到了43.71%、43.46%、43.08%、40.85、40.69、40.45、40.23,均大于40%。相比前3位,数值较小,但不容忽视,因此,X银行在这7项工作上今后应引起足够的重视,合理分配一定的资源。

(3)需要适当关注的工作。排在第11至第13位的依次是信息科技运行、系统恢复及数据保护、灾难恢复及应急管理,残余风险分别达到了36.80%、34.44%、34.38%,稍大于1/3。这说明X银行在这些方面已经取得了一定的成绩,属于可控制范围,今后需适当关注,发挥优势,保持竞争力。

4.3.2 二级指标风险等级划分

根据公式(1)、公式(2),结合上文给出的评价体系三级指标及四级指标权重矩阵,可得固有风险得分及控制有效性得分:

$\begin{array}{l}{\rm P}{}_1={\displaystyle \sum _{i=1}^{17}{\displaystyle \sum _{j=1}^5\frac{R{}_i\times W{}_{ij}}{100}}}=42.97\\ {\rm P}{}_2={\displaystyle \sum _{i=18}^{53}{\displaystyle \sum _{j=6}^{13}\frac{R{}_i\times W{}_{ij}}{100}}}=58.44\end{array}$

根据表3中的固有风险及控制有效性等级划分,可以判断固有风险等级评定为“中低+”,控制有效性等级评定为“中强-”。

4.3.3 一级指标综合风险水平测算

根据图2中的信息科技风险等级矩阵,可以得出X银行的信息科技风险综合水平为三级。考虑到2010年辽宁省银行机构信息科技风险试评估中较好的银行如盛京银行、辽宁省联社、锦州银行、营口银行及辽阳银行均评为三级,由此可见,X银行的信息科技风险综合水平较高。

5 结论

(1)本文以事件研究法为理论基础,结合中国银监会信息科技风险试评估体系,提出了基于风险事件的商业银行信息科技风险评估模型。本方法适用于没有建立风险事件分布数据库的中小商业银行,能够为其信息科技风险管理提供有力的决策工具。

(2)通过风险评估,商业银行既可以从细节上掌握本行存在的残余风险,从而有针对性地提出改进措施;又可以从整体上把握信息科技风险的可控程度,从而确定本行风险控制的战略及规划。

(3)通过商业银行自身的横向比较,可以掌握信息科技风险的变化,实现信息科技风险的动态管理;通过地区内同行业间的纵向比较,可以明确商业银行的信息科技风险所处地位,从而制定风险战略和目标。

(4)以辽宁省某X银行为例,实施了信息科技风险评估,验证了本文构建的评估模型的有效性。

篇4：我国银行信息科技风险监管研究

关键词：银行；信息科技风险；监管

现代金融行业在信息技术的推动下已经发生了飞跃式变化，对信息技术的依赖性也不断提高，从业务电子化到管理信息化，从数据大集中到信息集成系统，信息技术已经渗透到银行的各个方面，成为现代银行正常经营的基础，极大的提高了银行的经营效率；信息技术与银行业务的融合在促进了业务的发展的同时，还带来了风险隐患，若不对其进行有效监管，则可能引发系统风险，甚至会危及整个金融经济体系，因此，对银行信息科技风险监管进行研究，具有重要的社会意义。

1 银行信息科技风险分析

1.1 信息科技风险概述

银行信息科技风险是指银行在使用计算机、网络等技术进行产品、服务或信息传输时，所产生或引发的不确定性因素。我国银监会出台的《商业银行信息科技风险管理指引》中对此做了如下界定：信息科技在银行运行过程中，由于自然因素、人为因素、技术漏洞以及管理缺陷产生的操作、法律或声誉等风险。可见，科技信息风险不仅涉及银行内部程序和流程，还关系到银行的组织结构、政策以及操作风险的管理流程。

1.2 银行信息科技风险特征分析

银行信息科技风险兼具信息技术和银行业务的特点，可从风险属性和管理角度对其进行分类。

第一，从属性方面分析，银行信息科技风险具有技术含量高、突发性强、快速蔓延和覆盖面广的特点。与传统风险相比，信息科技涉及计算机技术、网络通信技术和安全技术，因此其技术含量较高；信息技术风险多数是由于自然灾害或不可抗力造成技术设备被破坏，从而导致业务连续性风险；信息技术的任何一个环节出现故障，都会迅速蔓延，加剧风险的严重性；信息科技风险故障源责任无法准确确认，电信部门、电力部门或外包服务商都可能对其正常运行产生影响。

第二，从管理方面分析，信息科技风险具有历史短、范围广、标准化不足、评估和计量困难的特点。信息科技在银行业务中的应用历史较短，因此仅被视作业务处理技术手段，而未上升到战略决策的高度；信息科技与银行业务层、操作层、管理层和决策层有不同程度的关联，增大了管理范围；信息科技的硬件、软件、网络等没有形成标准化，不同银行的实现方式不同，增大了管理难度；信息科技风险引发的财产损失无法衡量，而与之相关的法律风险、战略风险更是难以进行评估和计量。

可见，银行信息科技风险具有自身特点，若不对其进行严格的防范和管理，将严重影响银行企业的运行，甚至对国家的经济稳定产生威胁，因此，加强银行信息科技风险的监督管理意义重大。

2 我国银行信息科技风险监管存在的问题

2.1 监管法规和政策方面

首先，银监会出台的一系列政策并不含国际监管准则的基本要素，仅对监管目标进行了笼统的概述，还没有建立明确的监管程序和监管要求，这些要素的缺失，降低了监管的可操作性。其次，目前的信息技术风险监管多是发布风险提示，如针对“网银安全问题”发布的“网上银行安全风险提示”，这种做法存在的主要弊端是银行和监管人员不清楚违反要求操作，会给业务带来哪些不利影响，因此降低了监管的有效性。最后，信息科技风险监管法律法规的框架已经具备，但建立的不同法规之间会存在重复或遗漏问题，对科技信息重点问题缺乏监管和指引，需要进一步的协调和完善。

2.2 监管手段和方法

目前，我国银行还未建立有效的信息科技风险评估方法和评价体系。传统风险可用特定方法进行度量，但科技信息风险具有极强的不确定性，且造成的损失存在隐蔽性，难以估量，因此还没有建立比较完善的评价体系。风险评估手段的缺失，导致银行部门无法利用传统的方法对信息科技风险进行抵御和防范；在非现场监管方面，无法有进一步的作为，只能对科技投入进行监测，无法对由于内部操作引起的损失进行全面掌握，监管处于事后应对的被动阶段。信息科技风险监管不仅缺乏量化指标，还缺少有效的评价体系，难以对银行信息科技风险形成较为全面的理解，监管处于割裂、无序的状态。

2.3 监管人力资源

我国银行信息科技风险监管人员配备上存在很大不足，据统计，全国银监会系统内专职从事信息科技风险监管工作的专业人员仅为总数的0.4%左右，与国外发达国家相比，存在很大差距；从人员素质方面上看，我国银行信息科技风险监管人员多为计算机专业，对银行业务了解不多，因此只能承担着本单位内部系统维护的职能；银行信息科技风险监管是需要懂技术、懂业务的复合型人才，否则难以发现信息科技系统内存在的风险隐患。

3 加强我国银行信息科技风险监管的对策研究

3.1 完善银行信息科技风险监管机制

3.1.1 健全银行信息科技风险监管的法律法规体系

监管机构应积极学习国外银行的先进理念，结合我国国情制定完善的法律法规体系。为有效应对我国银行机构在信息科技方面治理缺失、重视不够、规划不足和管理不到位等原因，带来的系统性风险不断增大等问题，将风险管理关口前移，监管机构应在机构、业务和信息准入方面加大管理力度，将信息科技准入纳入相关的行政许可法规中，确保银行在金融机构设立、业务开办与系统运行之前就能符合业务发展的需要，为业务的正常运行提供安全的环境；要制定银行信息科技风险治理意见，从组织结构、战略规划、运行机制、激励约束等方面明确监管要求，指导银行建立完善的风险管理组织结构。制定银行信息安全管理规范，组织银行金融机构总结经验，明确目标，制定符合我国银行发展实际的信息安全管理规范，从安全策略、管理体系、技术要求、风险评价与监督四个方面形成完善的信息安全管理体系。

3.1.2 增加信息科技风险监管资本投入力度

信息科技与银行业务高度融合，这就要求我们不仅要从科技角度对其风险进行识别、评估和处理，还应将信息科技与监管资本密切联系。首先，将信息科技风险纳入银行机构全面风险管理框架中，使信息科技风险得到量化评估；其次，建立信息科技风险监管协作机制，将风险专业评估结果纳入风险评估报告中，在机构、高管和业务准入及退出环节增加信息科技条件，防止信息科技风险防控不达标的机构、高级管理人员和有关业务进入；最后，将信息科技风险与监管资本结合，提高机构对信息科技管理及风险防控的重视力度。

3.1.3 完善信息科技风险评估体系

信息科技风险评估的有效开展是以非现场监管为基础的，建立一套科学、合理的监管风险体系可为监管人员的业务开展提供便利，促使其准确识别、监测、评估和分析信息科技风险，并为风险预警、监管评级、分类管理和持续改善提供参考和依据。我国科技信息风险监管处于起步阶段，要尽快积累历史数据，对其进行分析，然后根据不同机构的特点制定一套标准模型分值和权重，使其在实际应用过程中不断完善和修正；充分发挥信息监管人员的积极性，鼓励他们不断学习，提高自身的学习的积极性；学习国内外企业的先进监管经验，吸收和借鉴最新的实践成果，对现有的评价体系进行调整和补充。

3.2 提升信息科技风险监管科技水平

银行机构应建立信息技术实验室，为监管人员模拟银行业务操作，近距离了解信息科技风险提供条件。信息技术实验室主要职能有：信息科技风险培训，实验室可由两部分组成，其中一部分为小型的数据中心，配备网络、服务器等设备，同时安装银行业务模拟系统，供监管人员了解二维码、云计算、家庭银行、在线测试技术的发展情况，保障监管机构在技术风险管理领域处于领先地位。

3.3 强化信息科技风险监管队伍建设

信息科技风险监管专业性强、进入门槛高，是否具备足够的高素质专业人才是决定监管有效性的重要因素。我国银行业信息科技风险监管人才匮乏，应大力加强人才队伍的建设。建立学习型团队，将监管人员从大量、繁杂的技术维护工作中解放出来，使其能够继续学习专业技能；进一步加强合作交流，可派技术骨干前往其他机构学习考察，学习先进的管理经验和预防技巧；通过交流，分享经验，探讨形势及其应对策略；鼓励业务监管人员掌握信息科技监管知识，增加信息科技风险监管人员的来源途径，减轻人力资源紧张问题。

4 结束语

综上所述，信息技术、网络技术和通信技术与银行业务的融合，一定程度上促进了银行业务的拓展，方便了人们的消费，提高了银行工作效率；同时我们也应该意识到，信息技术的应用也会给银行业务造成威胁，应从监管体系、资本投入以及人才培养三个方面采取措施，降低信息科技风险带来的损失，提升我国银行应对信息科技风险的能力，保障我国金融行业的稳定发展。

参考文献：

[1]孙一飞.商业银行信息科技风险管理研究[D].上海交通大学，2013.

[2]潘勇，邢燕.论我国网上银行的监管及其完善[J].河南省政法管理干部学院学报，2010（05）.

[3]王海颍.银行信息科技风险现状研究与对策建议[J].时代金融，2015（21）.

篇5：信息科技风险自查

查报告

一、网络运行风险

1、来自互联网和移动磁介质上病毒的攻击。随着我区农村信用社电子化建设的发展，计算机技术在农村信用社各项业务中的广泛应用，部分员工因病毒防范意识较为薄弱，加上计算机水平又是参差不齐，有的员工很难主动发现客户端系统出现的漏洞从而实施补丁升级，U盘滥用且从不进行病毒扫描，这样就容易造成内部信息泄漏或网络阻塞，中断重要业务的正常运行。

二、操作流程风险

随着业务的更新和科技步伐的加快，员工的计算机操作业务能力与严格执行规范程序不适应,综合柜员制未能全面落实 ,不能够完全掌握农信社的各项业务操作流程及处置程序,必然会造成操作失误而导致风险。操作风险大致分为以下几方面:

1、操作行为不规范,安全防范意识差。目前，我区农村信用社计算机操作员一般只通过了短期辅导培训，未能全面掌握计算机理论知识及运用技术，主要表现在：一是一些操作人员对计算机知识的缺乏，经常出现操作性错误；二是操作人员基本安全意识不强，缺乏安全防范意识；三是人员调离或岗位变动时不及时注销操作员，导致操作员不便于管理；四是人离机不退，个别人随意离开工作岗位，也不签退，给他人可乘之机，造成了严重的信息安全隐患。

2、不严格执行操作流程，造成安全隐患。由于部分员工跟不上当前农村信用社电子化建设步伐，对推出的硬件设备以及电子化产品及功能不熟悉或风险意识不强等原因造成了在操作过程中出现系列风险。一是操作人员不严格执行硬件设备的操作流程，造成设备损坏，致使重要业务中断的风险；二是没有定期对机器除尘、保养，使微机在较恶劣环境下带“病”工作，计算机运行报错或元器件损坏时有发生，影响了信用社窗口的服务效率和形象；三是不严格按照业务操作流程操作业务系统程序，给他人或科技结算中心造成不必要的负担。

为此我们将严格按照省市联社关于计算机管理的一系列相关要求，对日常计算机信息管理中存在的问题经行重点监督和整改：

1、严格业务系统、办公系统与因特网等公众系统的隔离，无法隔离的要随时升级杀毒程序，同时严格移动磁介质的使用范围、杀毒流程。加强员工计算机知识培训，提高员工的电脑操作技能，制定防

毒策略，养成良好的上网习惯，严防病毒侵害。

2、加强对一线人员的操作流程、各项基本规定的培训，加强对信息专管员的培训，提高其处理计算机及网络故障、防范计算机及网络风险的能力；对业务操作人员要重点抓好计算机知识的普及培训工作，建立各种形式的岗位培训和定期轮训制度，提高职工的政治素质、业务技能、敬业精神、计算机业务操作水平和安全防范综合能力。一线人员的操作和授权不能流于形式，坚决杜绝各种混岗现象，严格遵循管理制度。

3、严格操作规范及操作权限管理

随着农村信用社的发展，信贷系统，财务系统，OA系统的成功上线并投入使用，操作人员必须学习和掌握农村信用社的操作流程和各项规章制度,加强制度执行力的管理。操作员密码必须定期不定期修改，并严格按规定设置操作员及操作员密码，还需定期修改密码，多用字母或符号，严禁使用6位相同数字或电话号码或生日号码等，严禁口头或电话告知操作密码。

4、加强内控建设，强化监督，完善防范机制。首先，建立柜员岗位制约为主，做到责任到岗、落实到人、相互制约、互相监督。其次，全面落实以主任、内勤主任为主的监管体系，确保做到实时监管，及时发现问题，及时进行整改，消除风险隐患。再则，加强会计事后监督和电视监控系统管理，加大查处力度，重点是督促基层社各项计算机制度执行与落实，提升基层执行力，以此推进和完善防范制度，切实做到防患于未然。

5、日常维护方面，由基社信息专管员负责每周一次对机房卫生清理和设备故障排查，发现问题及时上报科技信息部处理；每月在各基社网点信息专管员的配合下，对网络设备的运行和管理进行维护和检查至少一次，全辖的ATM和POS机由科技信息部统一管理，落实基社网点专人负责，加大专管人员的培训，使日常操作、维护工作和安全防范措施得以落实。

篇6：银行支行网络科技风险自查报告

关于我行按照市行相关的文件要求，组织科技人员对我银行中心机房和网点的设备及线路进行了自查，现将自查情况汇报如下：

一、加强领导，明确各自职责

科技部为确实落实此次活动，成立了由陈经理为组长、科技部全员负责全行网络科技风险防范工作，并负责以后网络科技风险防范的统筹布署指导及网点信息科技工作的应急事项；对网点的易出现的故障点进行检查，切实做好风险防范工作，确保我行综合业务网络系统安全、持续、稳定运行。

二、组织开展自查，保障综合业务网络系统安全运行

一是对我行机房的设备、线路、电力保障系统、消防系统、防雷措施进行检查，检查中发现UPS电源逆变时存在故障，经与厂家维修人员联系更换了出现故障的老化蓄电池一块，及时的消除了隐患；并于网通公司联系，取得技术支持，密切关注网点的运行状态，出现问题及时沟通，争取在最短的时间内解决。二是明确“谁主管谁负责”的原则，要求检察员对机房机柜设备、通讯线路、电力系统进行了自查，在检查中存在机柜上方摆放杂物，设备尘土过多等问题，及时进行了整改和清理，以免影响设备的正常运行；并提出保障供电，出现问题及时启动发电机的应急设备，保证网点正常营业。

三、对备品、备件进行了检查，重新核实了备品、备件的数量，并对其进行加电测试，保证设备处于良好运行状态，出现故障时能够应急使用。

四、严格执行值班制度，科技部安排了节日期间值班表，密切关注营业期间设备的运行状况，存在问题第一时间到达现场进行故障排查并及时解决；明确了网点的签到及签退时间，有特殊情况不能及时签退的必须与科技部联系说明情况。

五、对接入综合业务网络系统的PC机进行了检查，对存在的内、外网混用现象及时进行了整改，对杀毒软件未安装升级的及时进行了升级，有效的防范了网络病毒的攻击。

篇7：信息科技风险报告 - 副本

按照上级领导的指示，认真贯彻《XX通知》（XX文件）精神，为充分做好重要时期金融网络和信息系统安全保障工作，防范信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。对信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下：

一、组织架构、制度建设及管理情况

1、信息科技治理组织架构

信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则，统一组织、协调、指导、检查全辖应急处置的管理；负责全辖信息系统突发事件的应急指挥、组织协调和过程控制

成立了信息科技部，加强了信息科技管理。

2、信息科技管理制度建设（1）安全管理

对安全管理活动中的各类管理内容建立安全管理制度，制定了《南乐县农村信用社计算机信息系统安全管理制度》等，并且及时发现缺漏或不足对制度进行修订。

（2）应急处理

建立较为完善的信息计算机信息系统管理办法，制定中心机房关键基础设施专项应急预案。

二、信息系统的技术措施情况

1、物理和环境建设

（1）机房的物理访问控制：机房实现门禁控制，严防外部人员进入机房擅自操作。

（2）系统密码均由专门人员掌管，计算机终端无人看管时锁定；

（3）机房采用集中监控，监控清晰全面，参数实行24小时不间断监控，岗位人员具备管理监控专业素质。

（4）机房供电系统均采用双路UPS供电，线路冗余性好，负载能力强，完全能够满足机房电力需求。

（5）机房空调系统的有效性和冗余性，给排风系统的有效性：机房空调系统安全有效，给排风系统工作正常。

（6）中心机房有配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施，确保机房正常运转。

2、网络服务连续性、冗余性

1.所有重要通信线路均有备份线路且采用不同运营商，确保网络无断点。

2.网络设备的冗余性：网络设备均有备份。核心网络设备，核心生产系统设备均采用双机热备，确保关键生产设备运行的可靠性。

3.访问线路的带宽完全能够满足各信息系统的带宽需求，无网络拥塞现象。

4.网络设备管理配置均由专人分管负责，确保合理操作，保障网络通畅、安全；

3、应用安全

1.业务应用系统的用户授权及鉴别认证措施

业务应用系统用户密码相关业务人员各自保管，通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。

2.业务应用系统的用户访问控制

系统软件用户访问实现权限控制，各级人员只能进行权限内操作

三、不足和改进方法

需将管理与技术相结合，进一步加强信息安全管理手段

1、从IT风险管理手段来看，部分系统的风险控制不够先进，缺乏专业的风险技术支持，事前预防作用有限，事中控制不够。缺乏对科技风险的集中审计。

篇8：信息科技风险自查

与旧《指引》相比, 新《指引》具有以下特点:

一、重视信息科技治理, 明确风险管理职责

新《指引》规定了商业银行法定代表人是本机构信息科技风险管理的第一责任人, 明确了董事会和高级管理层在信息科技风险管理中承担的主要责任, 要求商业银行在决策层设立首席信息官, 深化了信息科技部门、风险管理部门、审计部门的职责, 有利于商业银行形成科学、合理的组织架构, 更好地履行信息科技治理职能。

二、提高安全管理标准, 细化风险管理要求

新《指引》参照Cobit, ISO27000, ITIL, CMM, BCP等国内外的最佳实践, 对商业银行在具体操作层面提供了可供借鉴、操作性强、目标精细的更高要求, 如信息系统建设各个环节、数据中心各项要求指标、业务持续性等。全面、细致、高标准的管理要求将促进商业银行信息科技风险管理水平的持续提升。

三、强化外包风险防范, 加大内外审计力度

新《指引》对外包采取了极为审慎的态度, 制定了禁止信息科技管理责任外包、实施重要外包时应正式报告、建立应急措施应对外包重大缺失等规定, 有效地明确了外包管理职责, 提升了外包准入门槛, 加强了外包风险应急处理。

新《指引》要求审计贯穿信息科技工作始终。在内审方面, 新《指引》明确规定了内审的频率及条件, 这给内审部门与风险管理部门和信息科技部门的协作提出了新课题。在外审方面, 外审机构的权威性及其审计报告的有效性大大提高, 能起到较好的监督作用。

四、突出科技人才作用, 提升客户服务意识

人员是信息科技风险管理的中坚力量, 新《指引》提出应确保所有员工理解相关制度与流程, 加强全体员工的安全意识, 配备足够的人力资源。