完善信息安全管理机制防范银行信息科技风险——访中国工商银行信息科技部总经理林晓轩
打造网点无线上网服务 助力网点转型和线上线下联动——中国工商银行信息科技部副总经理张颖访谈
打造网点无线上网服务助力网点转型和线上线下联动——中国工商银行信息科技部副总经理张颖访谈作者:焦卢玲来源:《中国金融电脑》 2016年第8期本刊记者焦卢玲当前,宏观经济增速放缓、利率市场化进程加速、资本市场加快发展、互联网金融创新不断……商业银行前行的路上可谓荆棘丛生。
在这一背景下,切实做到“以客户为中心”,为客户带来更多更好的增值服务,从而实现业务增长、拓展潜在客户、精准营销,成为未来银行追求的必然趋势。
物理营业网点作为商业银行服务大众的重要平台和触角,如何提升客户在网点的服务体验成为商业银行的关切点之一,网点WiFi 作为银行业为客户提供的一项增值服务,一方面让众多客户在办理业务的同时可以获得更满意的服务体验;另一方面使银行可通过无线上网服务提升网点现场服务和管理水平,挖掘潜在客户,获得深度营销、品牌关怀、业务回馈的机会,以及理财工具和各类APP 推送下载等增值利好。
作为网点无线上网服务的先行者,工商银行于2015年5 月率先实现境内营业网点无线上网服务的全覆盖,已累计部署超过2 万个无线热点。
2015 年6 月至2016年5 月,已有近7000 万人次免费享受工商银行的无线上网服务。
网点WiFi 全覆盖,助力银行业务联动发展网点无线上网服务作为网点开展营销工作的重要抓手,在逐渐普及网点WiFi 覆盖率的过程中,工商银行依托网点无线上网服务开展线上线下交互活动,有力推动了业务联动发展。
工商银行信息科技部副总经理张颖告诉记者,工商银行的无线上网服务采取“自研、自建、自管”的模式,在总行的统一组织下,工商银行无线上网服务的创新研发和试点推广历时8 个月,2015 年5 月全行境内所有有效网点均已开通无线上网服务。
工商银行的无线上网服务具备全行统一的管理平台,总分行两级集中管理,上网门户内容可分级灵活配置和自动发布。
客户在网点办理业务时,可免费使用网点WiFi 上网,体验更好,服务更人性化,符合工商银行“以客户为中心”的服务宗旨;工商银行网点可通过无线上网服务平台,举行线上线下联动营销,提供产品引流,引导客户使用工商银行总行的互联网金融产品,如融 e 行手机银行、融e 购电商平台、融e 联社交平台等;基于无线上网服务的客户上网行为分析成为大数据分析挖掘的新的数据源,也是互联网时代银行客户画像的重要数据补充。
工商银行信息治理工作总结
工商银行信息治理工作总结
信息治理是现代企业管理中的重要组成部分,尤其对于金融机构来说,信息治
理更是至关重要。
作为国内领先的商业银行之一,工商银行一直致力于信息治理工作,以确保客户数据的安全和机密性,保障金融交易的正常进行。
以下是对工商银行信息治理工作的总结和展望。
首先,工商银行信息治理工作注重制度建设。
银行建立了完善的信息治理制度,包括信息安全管理制度、数据管理制度、网络安全管理制度等,确保各项信息管理工作有章可循,有人负责、有法可依。
这些制度的实施,为信息治理工作提供了有力的保障。
其次,工商银行注重技术应用。
银行不断引进先进的信息技术,加强信息系统
的安全性和稳定性。
通过建设安全的网络平台、加密技术的应用、安全审计等手段,有效防范各类网络攻击和数据泄露事件,保障客户信息的安全。
此外,工商银行注重人员培训。
银行加强对员工的信息安全意识培训,提高员
工对信息治理工作的重视和认识,增强员工的信息安全意识和技能,减少人为失误对信息安全的影响。
最后,工商银行信息治理工作还需要不断完善。
随着信息技术的不断发展和金
融业务的不断创新,工商银行信息治理工作仍面临着新的挑战和风险,需要不断加强对信息治理工作的监督和管理,不断完善信息治理工作的制度和技术手段,以应对新形势下的信息安全挑战。
综上所述,工商银行信息治理工作在制度建设、技术应用和人员培训等方面取
得了显著成绩,但也面临着新的挑战和风险。
工商银行将进一步加强信息治理工作,不断提升信息安全保障能力,为客户提供更加安全、便捷的金融服务。
工商银行信息安全工作总结
工商银行信息安全工作总结
近年来,随着互联网金融的快速发展,信息安全问题也日益凸显。
作为我国领
先的银行之一,工商银行一直以来都高度重视信息安全工作,不断加强安全防范措施,保障客户的资金和信息安全。
在过去的一段时间里,工商银行信息安全工作取得了显著成绩,现总结如下:
一、加强技术防范,提升安全防护能力。
工商银行不断引进先进的信息安全技术,建立了完善的安全防护系统,包括网络防火墙、入侵检测系统、数据加密技术等,有效防范了网络攻击和数据泄露风险。
二、加强内部管理,提高员工安全意识。
工商银行通过加强内部培训,提高员
工对信息安全的认识和重视程度,建立了完善的内部安全管理制度,加强对员工的监督和管理,确保员工不泄露客户信息。
三、加强风险评估,建立应急响应机制。
工商银行建立了完善的信息安全风险
评估体系,对各种可能的安全风险进行全面评估和预警,同时建立了应急响应机制,一旦发生安全事件能够迅速响应并采取有效措施。
四、加强合作,共同应对安全挑战。
工商银行积极与国内外信息安全机构合作,加强信息共享和技术交流,共同研究解决信息安全问题,提升整体安全防护能力。
总的来说,工商银行信息安全工作取得了显著成绩,但是在信息安全形势日益
严峻的背景下,工商银行还需要不断加强信息安全工作,持续提升安全防护能力,确保客户资金和信息的安全。
希望工商银行未来能够在信息安全领域取得更大的成就,为客户提供更加安全可靠的金融服务。
工商银行风险管理措施
工商银行风险管理措施工商银行是中国四大国有银行之一,拥有庞大的客户群体和复杂的业务,因此风险管理措施显得尤为重要。
以下是工商银行风险管理措施的详细介绍:1.业务风险管理工商银行通过完善的内部控制制度,对各类业务风险进行管控。
例如,在贷款发放过程中对借款人的资金用途、还款能力、信用状况等进行彻底调查,确保借款人资金的安全性和贷款的合法性。
此外,工商银行还通过审核和评估程序,积极审查和监督贷款风险、市场风险、信用风险等。
2.信息技术风险管理随着金融科技的快速发展,银行的信息技术风险越来越受到关注。
为了确保客户信息和交易数据的安全,工商银行加强了信息安全意识培训、定期进行风险评估和漏洞测试等,建立了完善的信息安全管理机制。
此外,工商银行还将信息技术风险管理纳入年度审计计划,以进一步加强风险管控。
3.市场风险管理工商银行积极开展市场分析和研究,掌握市场动态和趋势,及时调整经营策略,以降低市场风险。
工商银行通过建立资产负债表管理机制,严格控制各项指标的符合程度。
此外,为降低市场风险,工商银行还建立了统一的交易风险管理系统,对各项风险指标和预警信号进行实时监控和管理。
4.信用风险管理作为国有银行,信贷业务一直是工商银行的主要业务。
在信用风险管理方面,工商银行采取了多种措施:对客户的信用评估进行精准化,严格控制不良信贷的比例;建立贷前、贷中、贷后全流程的信用风险管理机制,及时发现和处理信用风险;统一建立大额信用风险集中度监管机制,保证信用风险控制的及时有效性。
总之,工商银行在风险管理措施方面做得非常出色。
无论是业务风险、信息技术风险、市场风险还是信用风险,工商银行都建立了完善的风险管理机制,以保护客户和企业资产的安全和稳定。
工商银行风险管理概述
工商银行风险管理概述工商银行风险管理概述随着金融市场的不断变化和发展,银行面临着越来越复杂的风险环境。
风险管理成为银行业务的核心问题之一。
作为中国最大的商业银行之一,工商银行一直致力于实施全面的风险管理体系,做好风险的预见、评估、遏制和应对工作,为全球金融市场的稳定发展做出了积极贡献。
一、工商银行的风险管理体系工商银行的风险管理体系主要包括风险管理策略、风险评估和控制、风险监测和报告以及危机应对四个方面。
1.风险管理策略工商银行制定了一系列的风险管理策略,以确保银行进行稳健经营。
银行将风险管理纳入整个业务决策过程中,并将风险管理融入到日常经营中去,建立风险意识、责任意识和规章制度意识。
2.风险评估和控制工商银行通过风险评估和控制系统,对潜在风险进行识别、测量和控制。
银行制定了一系列的风险评估和控制方法,并且针对不同类型的风险制定了相应的管理措施。
3.风险监测和报告工商银行建立了全面的风险监测和报告系统,通过对风险指标的监测和报告,及时发现异常情况并采取相应的措施。
银行的风险监测和报告系统具有高度的自动化、实时性和全面性,可以准确捕捉到市场、信用、流动性、操作和法律等各种风险。
4.危机应对工商银行建立了完善的危机管理体系,对各种可能的危机进行预见和规避,及时采取相应的措施,以保障银行业务的稳定运行。
银行根据不同风险的特点制定了相应的危机应对预案,并通过不断演练和应急演练来提高应对危机的能力。
二、工商银行的主要风险类型工商银行面临的主要风险类型包括市场风险、信用风险、流动性风险、操作风险和法律风险。
1.市场风险市场风险是指由市场价格波动引起的风险。
工商银行的市场风险包括利率风险、汇率风险、股票等金融工具价格风险等。
银行通过建立风险管理模型和系统,进行市场风险的测量和管理。
2.信用风险信用风险是指借款人或交易对手无法按时履约或违约的风险。
工商银行的信用风险主要来自于贷款、信用担保业务和证券交易等。
银行通过建立信用评估体系,加强信用审查和风险控制,提高信用风险的管理水平。
银行信息科技风险管理策略
**银行信息科技风险管理策略信息科技在银行的广泛应用,使其成为银行稳健运营和提高竞争力的基础和保障,信息科技在促进银行业务发展的同时,也使银行业面对巨大的技术风险,一旦信息科技方面发生问题,将会直接影响到银行业务的连续性,甚至会影响到银行的运营安全。
因此,商业银行加强银行信息科技风险管理,确保银行信息系统的安全、稳定、持续有效运行,已经直接关系到银行的运营和发展。
一、信息科技风险定义信息科技风险定义。
在中国银保监会下发的《商业辍行信息科技风险管理指引》中,对商业银行的信息科技风险做了如下定义:“信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”。
二、信息科技风险来源信息科技风险主要来自四个方面:一是自然原因导致的风险,包括地震、台风等自然灾害造成的风险;二是系统风险,是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬件设备老化、应用和系统软件质量缺陷等;三是管理缺陷导致的风险,主要体现在由管理制度的缺失或组织架构的制衡机制不完善,引起的管理或制度的空白及漏洞;四是由人员有意或无意的违规操作引起的操作风险。
三、信息科技风险管理目标通过建立有效的信息科技风险管理机制,实现对本行信息科技风险的识别、分析和评估、控制、监测及报告,促进本行信息系统安全稳定的运行,推动业务创新,提高信息技术使用水平,增强本行核心竞争力和可持续发展能力。
四、信息科技风险管理原则(一)事前预防为主原则:在风险发生以前建立有效的风险管理措施,降低风险发生的可能性或减少风险可能造成的损失。
(二)全面性原则:信息科技风险管理应全行各部门、岗位、人员以及操作环节中,使信息科技风险能够被识别、评估、计量、监测和控制。
(三)成本效益原则:对风险管理措施的实施成本和风险可能造成的损失进行分析比较,选取成本效益最佳的风险防控方案。
五、信息科技风险管理内容本行信息科技风险管理内容主要包括有信息科技风险治理风险、信息科技战略风险、信息科技运维风险、信息安全风险、系统开发风险、信息科技外包风险、业务连续性管理风险和法律法规分析等八大领域的风险管理。
工商银行风险管理措施
工商银行风险管理措施工商银行(ICBC)是中国最大的商业银行之一,为了保障业务的稳定和客户的利益,工商银行采取了一系列的风险管理措施。
本文将深入探讨工商银行的风险管理措施,包括其内部控制和风险管理框架,并分享我的观点和理解。
1. 内部控制体系工商银行建立了一套完善的内部控制体系,以确保业务的合规性和风险的可控性。
工商银行设立了风险管理委员会和各项专业委员会,全面负责风险管理。
这些委员会由高级管理人员组成,负责制定风险管理策略、决策和规定,并进行监督和评估。
工商银行建立了风险管理部门,专门负责风险辨识、量化和控制。
这个部门通过建立风险分类和评估模型,对每一项业务进行风险评估,并制定相应的风险管理措施。
另外,工商银行还实施了岗位责任制和内部审计,确保员工遵守规章制度和操作程序,并定期对各项业务和流程进行内部审计,发现和修正存在的问题。
总体而言,工商银行的内部控制体系有效地保证了业务的稳定性和可持续性。
通过依靠委员会、部门和员工的配合和监督,银行能够及时发现和应对潜在的风险,保护客户的利益。
2. 风险管理框架工商银行建立了基于国际标准的风险管理框架,包括风险辨识、风险评估、风险监控和风险应对四个环节。
风险辨识是风险管理的首要步骤。
工商银行通过对内外环境的监测和分析,及时辨识出可能对银行业务造成影响的各类风险,如信用风险、市场风险和操作风险等。
风险评估是分析风险的概率和影响程度,并确定其优先级的过程。
工商银行以定量和定性的方法对各类风险进行评估,通过量化指标和风险评级,为风险的控制和应对提供依据。
风险监控是对风险的跟踪和监测,并通过建立风险指标和风险报告机制,及时预警和预防风险的发生。
工商银行通过内部控制和信息化系统,及时获取和分析风险相关数据,并及时报告给风险管理委员会和高级管理层。
风险应对是对风险进行控制和处理的过程。
工商银行根据风险评估结果,制定相应的风险管理措施,包括建立风险限额、启动风险救助和转移机制等,以降低风险对银行的影响。
银行信息科技风险管理培训NEW
05
银行信息科技风险防范措施
风险防范策略制定与实施
制定全面的信息科技风险管理策略
明确风险管理目标、原则、框架和流程,确保与银行整体战略和业务目标保持一致。
建立风险识别与评估机制
通过定期风险评估、漏洞扫描、安全测试等手段,及时发现和评估潜在风险,为风险防范 提供决策支持。
制定风险防范措施和应急预案
加强风险监测和报告
建立风险监测机制,实时监测信息科技风险状况, 定期向高层管理人员报告风险情况,确保及时应 对和处置风险。
风险管理能力提升途径
加强人才队伍建设
培养和引进具有信息科技风险管理专业知识和经验的人才,提升 银行整体风险管理能力。
推进风险管理信息化建设
利用先进的信息技术手段,建立和完善风险管理信息系统,提高风 险管理的效率和准确性。
风险处置案例分析
针对已经发生的风险事件,分析风险处置的过程和结果, 评估处置措施的有效性和合理性,提出改进建议。
风险预警案例分析
通过模拟或真实的风险预警案例,展示风险预警系统的功 能和作用,提高银行对潜在风险的识别和应对能力。
综合案例分析
结合多个案例,综合分析银行信息科技风险的成因、特点 和趋势,提出系统性的风险管理策略和建议。
根据风险评估结果,制定相应的风险防范措施和应急预案,明确处置流程、责任人和时限 ,确保在发生风险事件时能够迅速响应和处置。
风险防范技术手段应用
加强网络安全防护
应用先进的安全技术
采用防火墙、入侵检测、病毒防范等 网络安全技术,确保银行网络系统的 安全性和稳定性。
积极应用云计算、大数据、人工智能 等先进技术,提升银行信息科技风险 管理水平和效率。
风险评估案例分析
案例一
大数据时代下的信息安全治理
F e a t u r e网事焦点大数据不能乱了方寸工商银行信息安全治理情况工商银行围绕“外部有效防御”和“内部完备防护”两大目标,从组织保障、制度建设、技术手段和管理措施等方面入手,逐步探索建立了适合工行需要的综合信息安全治理体系。
(一)建立了信息安全组织体系与管理制度。
工商银行建立了全行性信息安全决策机构——信息科技管理委员会,负责对全行信息安全策略、信息安全评估报告和信息安全管理制度等重大事项进行审议,推动全行信息安全管理工作深入开展。
同时,建立了信息科技、内控合规、保密管理等多部门共同参与、各司其职的信息安全联动机制,全面推动全集团的信息安全管理工作。
为确保信息安全各项工作落地实施,工商银行制定形成了一整套有效的信息安全管理制度以及相应的信息安全技术规范体系。
(二)采取多种有效技术手段确保信息安全。
信息安全防护主要是对外防御攻击和入侵,对内防护信息大数据时代下的信息安全治理■ 中国工商银行首席信息官/林晓轩泄漏及保障企业合作中的信息安全。
在对外信息安全防御方面,工商银行在内部网络与互联网之间构筑了严密的外网安全防护系统,对来自互联网的扫描、攻击、入侵等行为进行不间断的监测、防护,较好地防范了各类外部安全威胁。
今年一季度,工行监测并成功防御了327次有一定威胁的外部攻击行为,未对工行信息系统正常运行造成影响。
在对内信息安全防护方面,工商银行建立了覆盖全行的客户端安全防护技术体系,实施了严格的网络准入硬控制,无论是办公终端还是生产客户端,必须通过安全性验证、符合工商银行安全策略要求才能接入内网。
同时,部署了信息防泄露、电子文档安全管理等专用安全工具,对客户端本地存储的涉及敏感信息的内容进行扫描检查,对U 盘拷贝、外发邮件进行实时监控,有效防止敏感信息的非法存储和外泄。
今年一季度,全行监测并自动阻断可能包含敏感信息的外发邮件2.8万封。
随着互联网的快速发展和大数据技术的深入应用,信息的价值在被不断挖掘的同时,信息安全问题也日益凸显。
分行科技工作大有可为——访广东工行信息科技部总经理黄循富
信息化建设 尚处于高速发展 阶段 , 与国际差距 , 继续加大科 技投入 并强化科技职能是必然 的。
集中之美:
然而, 大集 中之路并不平坦。 黄
循 富告诉记者 :“ 集中之初, 大 工行 内部也有 疑虑 , 特别是各 分行科 技
黄循 富在广 东省金融 电子化 学会2 1年年会 0 0 暨第六届广东金融科学技术进步奖表彰大会
上 作 演讲 。
的增 长率高速成长 , 特别是 数据大 集 中后, 广东 工行 的发 展速度 更达 到甚至超过 3 %。 0 今年上半年 , 广东
作。 而且 , 随着信息化的深入, 地方
在生产 管理方 面, 由于信息科
技风险是当前 唯一可能引发全 局性 风险 的一类 风险, 是银行监管部 也
关 注
用 的技术架构 , 总行 软件 开发 中心 根 据各地方分行提 出的需求 , 开发
了大 量 的外 围 接 口, 以满 足 绝 大 可
门监 管和工行总行考核最关心的内 容之一, 事关银行 的生存和发展 , 因
科技部门将更多地介入销售、 服务、 管理等领域, 其职能只会加强 , 不可 能被 弱化 。 外, 此 信息化建设 是 一
个 没 有 终 点 的 工 程 , 之 国 内金 融 加
工行的利润为10 2 多亿 元 , 同比增长
超 过 3 %。 0
日 , 前 广东 工行 信息科 技部总
经理黄循 富先生接受了《 华南金融电
“ 通过 外 围接 口, 我们 已经很
好 地 解 决 了地 方 灵 活性 和 创 造 性 受
总分行分工更明确
1年前 , 0 工行顺应世界 信息科 技发展潮流 , 国内率先 进行数 据 在 大集 中, 引领 国内金融机 构走 上大
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
完善信息安全管理机制防范银行信息科技风险——访中国工商银行信息科技部总经理林晓轩本刊记者程卫李勇近年来,信息化建设在促进金融业提高服务水平、优化业务流程、变革组织架构、提升核心竞争力等方面发挥了重要作用。信息化水平领先的金融企业在应对经济全球化挑战方面具有显著优势。然而,随着信息技术与金融业务的深度融合,金融机构信息安全的重要性日益突出。目前,国内金融企业信息化亟待解决的问题之一是,要加强信息系统的风险管理,确保北京奥运期间业务的连续性。各家金融机构需要根据自身的情况,在完善管理模式、更新观念、提高素质和应急预案的制定、演练等方面做好充分的准备,并对业务流程、组织机构、管理制度等进行合理的调整和优化,以适应金融业务快速发展和树立国际化企业品牌的需要。为此,中10中国金融电脑2008・5国工商银行信息科技部林晓轩总经理在接受本刊记者专访时,分析了中国工商银行(以下简称“工行”)信息安全工作所面临的挑战,深入探讨了信息安全策略的新思路和完善应急机制的新举措。记者:随着金融业务的快速发展和信息化建设的深入,信息安全问题已成为金融业关注的焦点。请您介绍一下工行信息安全工作的情况?林晓轩:当前,社会上对银行信息安全的认识有一个误区,即将信息安全等同于信息系统运行(生产运行)的安全,信息安全工作就是保障生产运行不间断和业务连续性。这在一定程度上体现了社会各界对信息系统安全运行这项工作的重视。但是,除了生产运行管理
万方数据以外,银行信息安全工作还应包括软件开发与测试过程管理、信息系统架构管理和信息数据管理等方面。生产运行安全是信息安全工作中最重要的组成部分。早在2002年,工商银行的姜建清董事长就强调指出,要求全行各级信息科技部门把70%以上的精力放在生产运行管理方面。这充分说明了总行高层领导对信息安全的重视,尤其是对生产运行管理的高度重视。近几年来,由于总行信息科技部与数据中心、软件开发中心的密切配合,使信息系统的可用性得到不断提升。自2005年以来,工行信息系统的可用性保持在99.95%以上(剔除计划性停机因素)。相对于工行如此庞大而复杂的信息系统而言,这一成绩的取得已经十分不容易了。近几年来,我们主要在以下几方面开展了信息安全工作。第一,不断完善信息系统的基础设施建设。在数据大集中的基础上,2005年工行率先完成了异地灾难备份中心的工程建设。自2005年以来,我们每年都实实在在地组织进行了全行参加的数据中心系统灾备演练,模拟在上海的生产中心发生灾难或信息系统长时间无法得到恢复的情况下,将全行核心业务切换到北京的灾备中心进行处理。2007年6月,工行又完成了生产中心主机存储系统的同城灾难备份建设。至此,工行建立了可操作的远程灾难备份系统和同城备份系统。在去年组织进行的灾备演练中,我们成功地实施了同城和远程的灾难恢复演练。在我们实施数据大集中的同时,我们也在推进对数据中心主机系统、网络设备和各项应用的集中监控系统平台建设,已建立了问题管理、变更管理等流程管理信息平台。第二,坚持强化生产运行的管理。对于现代商业银行而言,科技水平的领先不取决于数据中心的规模和硬件设施的先进,关键在于管理是否到位。为此,我们在信息系统的生产运行管理上做了大量的工作。首先,建立健全各项制度和规范。从2001年底开始,工行针对信息系统生产运行工作涉及的领域制定了一套完整的生产运行管理制度,并努力推行实施,认真地考核各级科技部门的制度执行情况。我们在实施的过特别策划・-专'i/i圆程中,注意收集各方面的意见反馈,每年底坚持集中修订一次。去年底,我们完成了最新的一次集中制度修订,并在今年1月中旬下发全行,对新制度的培训工作也已于3月初完成。截至B前,我行已经形成了包括25项管理办法、59项实施细则和几十项管理手册的一套比较完整的总、分行科技管理制度。近几年来,我们还从主机到开放平台,针对系统、网络、应用、安全等领域,先后制定了将近70项的技术规范。这些制度和规范适合我行实际,对规范全行科技管理工作起到了重要的基础作用。其次,强化生产运行的日常管理。严格执行制度和规范是生产运行日常管理的重要内容,我们十分强调对数据中心的生产运行日常管理,要求数据中心的管理和技术人员将全部精力投入到生产运行管理上,特别是加强对生产系统的性能、容量的日常管理。结合人民银行,银监会等监管部门对信息系统实施等级保护的要求,我们对全行的各信息系统安全等级进行了划分,并要求对不同安全等级的信息系统分别采取不同强度的管理和应急措施,关注对日常生产中出现问题的分析、解决的跟踪管理。我们在总行层面建立了生产运行例会制度,通过每天的生产运行例会和每周的小结例会来加强总行科技开发,测试和生产运行部门之间的信息沟通,分析和跟踪当前全行生产运行的情况以及存在问题,协调相关资源,督促问题的整改落实。再次,通过信息系统的内部和外部安全检查,不断提升生产运行的稳定性。总行信息科技部每年一般会组织两次面向总行各数据中心、软件开发中心和部分分行的交叉检查。但是,我们更加强调各数据中心和分行自身内部的合规检查和日常工作抽查,强调发挥数据中心内部安全部门的作用,使之根据各信息系统不同的安全等级和重要性程度,对数据中心内部在执行性能容量管理,用户权限管理、问题管理、变更管理等方面的执行情况进行定期抽查,等级越高、越重要的系统抽查强度越大,借此发现可能存在的风险隐患。同时,我们每年都要接受多次外部对工行信息系统风险管理方面的审
FINANCIALCOMPUTEROFCHINA2008・511 万方数据圆特别策划・专访计,我行内部审计部门每年也会组织多次针对信息系统风险管理某一领域的专项审计。一直以来,我们都以积极、开放的态度主动配合内部、外部的审计工作,认真对待各审计机构的审计发现,对于存在的问题积极组织整改。这些审计机构在帮助我们及时消除可能存在的风险隐患、不断改进科技风险管理方法上起到了重要的作用。这里还需要说明一点,任何制度、规范和技术平台的完善最后都还是需要依靠人。前面我已经说过,我行的高层领导十分重视信息系统安全运行工作,在资金和人员队伍建设上舍得投入。我们最早就是在生产运行领域开始引进外部管理和技术团队,并派出我们的管理和技术人员到国外大型数据中心进行较长时间地学习和工作。我们的目标就是努力建立专业化的数据中心管理团队和技术团队。第三,完善软件开发和测试过程的风险管理。软件开发和测试过程管理的目的是为生产环境提交合格可靠的产品,既要满足业务部门的功能需求,还要保证产品的性能和质量经得起生产环境的压力考验。为加强对应用软件的质量管理,工行组建了独立的软件测试队伍,按照专业方法、应用技术工具对软件的质量进行测试。从软件开发、测试到生产运行,我们逐步建立了一套衡量软件版本开发测试和生产质量的量化评价指标。这项工作已逐步走上健康发展的轨道,为保障工行日益复杂庞大的信息系统的稳定起到了重要的作用。第四,确保工行业务数据和客户信息的安全。这项工作目前已经受到各方面的重视,我们按照监管部门的要求,从系统开发到生产运行,逐步完善对信息访问的安全控制、对研发和测试环境使用的业务数据的安全管理,建立了网络安全防护、防止病毒入侵和系统漏洞等管理和工作机制。在我行内部员工的用户端信息安全管理上,我们正在部署一系列的技术产品,加强对重要信息访问的安全管理,实现对用户端信息的下载、打印、转发等过程的可跟踪管理。此外。为了积极应对日益增强的内外部网络技术攻击,避免可能造成的资金和信12中国金融电脑2008・5誉损失,我们建立了专门的信息安全防护小组,主动跟踪、研究我行和社会同业发生的各类信息安全事件,研究应急应对措施,及时发现我行信息系统可能存在的安全漏洞,并提出对策。记者:去年以来,国内几家比较先进的金融机构先后发生了IT风险事件。请您谈一下如何正确认识IT风险管理?林晓轩:对于信息系统风险管理的认识是一个循
序渐进的过程。虽然一直以来工行上下都很重视信息系统的风险管理,制定和实施了一系列的制度来保障生产运行的安全,但是无法绝对保证信息系统不发生运行故障。去年以来,包括工行在内的几家商业银行都发生了一些生产事件。事件发生后,我行组织数据中心、软件开发中心一起进行了严肃认真的整改。去年发生的生产事件的技术原因很复杂,在外部业务量快速增长的情况下,引发了我们使用的主机系统和应用软件上的问题。信息系统风险管理的主要工作是防止生产事件的发生,正如前面所讲的,虽然我们做了很多工作,但是谁也无法保证不发生生产事件,关键是在发生生产事件之后,我们的应急预案在哪里?这些应急预案是否合理?相关人员是否掌握?应急预案的启动条件和人员职责是否明确?等等一系列问题都暴露出来了。对这些问题,我们不能回避,只能认真总结,并组织各级管理人员、技术人员在思想上和行动上进行整改。因此,在去年的生产事件发生后,我们在各方面查找问题、提出了将近60项整改措施。当然,信息系统发生了生产事件后,我们科技部门首先要尽快恢复生产。其次,业务部门也要组织启动业务应急预案,包括通过营业网点和社会媒体向客户做好解释说明。在生产恢复期间,我们要主动与业务部门保持密切的信息沟通。记者:为了保障北京奥运期间信息系统的安全运行。工行做了哪些部署?林晓轩:今年年初以来,人民银行、银监会等上级主管和监管部门陆续下发通知和召开会议,(下转第15页)
万方数据全保障,数字证书是PKI的核心元素,是一个权威的电子文档,是公钥的载体。公钥必须对应一个唯一的私钥,用私钥加密的文件可用公钥解密,用作数字签名,用公钥加密的文件可用私钥解密,用作通信。PKI证书机制利用CA公钥,可以实现单向或双向认证。银行通过服务器验证用户的真实身份,用户也可以借此检查银行证书的有效性,从而验证登录的网站是否是自己的真实开户行。由于能很好地解决网上支付各方身份的真实性、交易数据的保密和完整性、交易的不可抵赖性,因而,数字证书机制能有效防范假网站,杜绝“网上钓鱼”,成为目前网上银行、电子支付和电子商务中安全交易的保证,也是国内外较为安全的网上交易安全解决方案。需要引起注意的是,有些银行自己向用户发放数字证书,提供认证服务,但根据《电子签名法》、((电子特别策划・专题圆认证服务管理办法》,必须由依法设立的第三方安全认证机构(经国家主管部门批准,为网上交易双方提供安全认证服务,处于交易双方之外,不涉及交易双方的利益)提供认证服务。暂且抛开合法性不谈,商业银行自发证书缺乏公信力和权威性,一旦出现纠纷,银行无法证明自己无过错,这样就必须承担赔偿责任。而由合法的第三方安全认证机构发放证书,当客户和银行出现纠纷时,第三方安全认证机构会提供证据。CFCA就是由中国人民银行牵头、组织全国各商业银行建立的金融行业第三方安全认证机构。目前,我国境内绝大部分网上银行都已纳入1统一的金融安全认证体系”。随着法律,法规、政策环境的完善,以及银行自身依法合规经营意识的增强,“统一的金融安全认证体系”建设的步伐正在不断加快,将逐步实现客户。一证在手,跨行通用”。圆