2.2商業(yè)銀行信息系統(tǒng)風險的特點

    銀行業(yè)務處理中對及時性和可靠性的特殊需求，使得商業(yè)銀行信息系統(tǒng)風險體現(xiàn)出明顯的行業(yè)特征。

    1）商用銀行信息系統(tǒng)風險的業(yè)務特點

    網絡和安全技術的飛速發(fā)展，使得商業(yè)銀行已成為商品交易的電子平臺和電子金庫。因此商業(yè)銀行對數(shù)據(jù)完整性要求極高，對業(yè)務和數(shù)據(jù)的可用性、安全性，以及對業(yè)務中斷和數(shù)據(jù)丟失等事故的防范和處理要求十分嚴格。

    2）商業(yè)銀行信息系統(tǒng)風險的技術特點

    銀行開展信息化的時間較長，其應用系統(tǒng)較為普及，但長期來，銀行信息系統(tǒng)相對較為封閉。近年來，隨著網銀、中間業(yè)務等銀行新型業(yè)務和金融產品的出現(xiàn)，對開放信息系統(tǒng)的要求越來越高，銀行的信息系統(tǒng)均開始不同程度向外界開放。

    由于各商業(yè)銀行實行數(shù)據(jù)大集中，導致單筆交易所跨越的網絡環(huán)節(jié)越來越多，銀行信息系統(tǒng)對網絡依賴程度越來越高。大集中后，大部分銀行將建立一個生產中心和一個異地備份中心，進一步提高了網絡系統(tǒng)在銀行信息系統(tǒng)的地位。

    3）商業(yè)銀行信息系統(tǒng)風險的現(xiàn)狀

    信息系統(tǒng)本身固有的風險在加大。銀行業(yè)是信息化技術與產品相對密集的行業(yè)，由于信息化規(guī)模的不斷擴大，信息技術迅速發(fā)展，銀行信息系統(tǒng)所采用信息技術與信息系統(tǒng)軟硬件本身存在著很大的脆弱性，如果這些脆弱性被特定的威脅所利用，就會產生風險，從而對銀行信息系統(tǒng)的機密性、完整性及可用性產生損害。

    銀行數(shù)據(jù)集后使信息系統(tǒng)風險不易分解。目前各家商業(yè)銀行已陸續(xù)完成數(shù)據(jù)大集中，實現(xiàn)銀行賬務數(shù)據(jù)與營業(yè)機構的分離，使銀行從以賬務和產品為中心轉變?yōu)橐钥蛻魹橹行?。但是，?shù)據(jù)集中后信息系統(tǒng)風險增大，系統(tǒng)一旦出現(xiàn)問題，將影響到整個銀行的正常運營。

    電子金融服務的發(fā)展，使商業(yè)銀行隨時面對來自公共網絡的威脅。近年來，網上銀行、移動銀行、電子商務等銀行新業(yè)務，在成為商業(yè)銀行利潤增長點的同時，使商業(yè)銀行的網絡風險日益凸現(xiàn)。

    人員的風險成為最大的風險。統(tǒng)計結果表明，在商業(yè)銀行信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，70%～80%是由于內部員工的疏忽或有意泄密造成的。

    3 商業(yè)銀行信息系統(tǒng)風險評估模型設計

    3.1商業(yè)銀行信息系統(tǒng)風險評估的現(xiàn)狀與趨勢

    信息系統(tǒng)風險評估已得到國際社會的普遍重視，風險評估的重點也從操作系統(tǒng)、網絡環(huán)境發(fā)展到整個管理體系。西方國家在實踐中不斷發(fā)現(xiàn)，風險評估作為保證信息安全的重要基石發(fā)揮著關鍵作用。在信息安全、安全技術的相關標準中，風險評估均作為關鍵步驟進行闡述，如ISO13335、COBIT、BS7799-3等。

    我國的信息系統(tǒng)風險評估工作目前還處于起步階段，還沒有形成一套成形的專業(yè)規(guī)范，缺少一支能夠全面開展信息系統(tǒng)風險評估的人才隊伍。目前我國所進行的一些信息系統(tǒng)風險評估的探索和嘗試以及開發(fā)的一些計算機審計軟件還大都停留在對被評估單位的電子數(shù)據(jù)進行處理的階段。無論是國際上大型的跨國公司還是國內一些規(guī)模較大的企業(yè)都在不斷地擴大信息技術在其經營活動的應用范圍，運用傳統(tǒng)的信息技術和風險評估知識已經不能實現(xiàn)真正意義上的“風險基礎模式”的風險評估，這些都影響到我國IT治理和信息系統(tǒng)風險控制的實施。

    隨著商業(yè)銀行經營管理活動對信息技術的高度依存，信息科技風險控制已成為商業(yè)銀行風險管理的重要內容，并需要從戰(zhàn)略的角度將信息系統(tǒng)與實現(xiàn)公司治理的總體目標緊密聯(lián)系在一起。因此，解析國內銀行信息系統(tǒng)風險評估的現(xiàn)狀及存在的問題，并根據(jù)國際經驗與我國實際情況進行差異性分析，最后，找到我國銀行業(yè)信息系統(tǒng)風險評估的有效方法，由此，實現(xiàn)信息系統(tǒng)風險評估在國內銀行業(yè)質的飛躍。
 
    3.2商業(yè)銀行信息系統(tǒng)風險評估模型的設計

    在目前所應用的風險控制與評估模型中，基本區(qū)分為兩類，一類是基于業(yè)務風險控制的風險評估模型，這類模型的基礎是傳統(tǒng)的風險評估理論，因此更加注重于業(yè)務流程的控制和業(yè)務的風險管理；另一類是關注于技術控制的風險評估模型，這類模型建立在相關的信息安全標準之上，主要考慮的是技術的實現(xiàn)架構和實現(xiàn)方式，評估系統(tǒng)的技術風險。

    銀行在面對實際的信息風險時，需要建立定位于信息全面管理的風險評估模型。因此，必須結合業(yè)務風險模型和技術風險模型的相關方法，通過分析系統(tǒng)自身內部控制機制中存在的薄弱環(huán)節(jié)和危險因素，發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中不正常和有害的行為，完成系統(tǒng)弱點和安全威脅的定性分析，在銀行信息系統(tǒng)內部風險各要素之間建立風險評估模型，如圖3所示。

 
 圖3  商業(yè)銀行信息系統(tǒng)風險評估模型

    信息系統(tǒng)的風險評估模型由三個基本元素組成，分別是銀行核心業(yè)務系統(tǒng)、銀行信息系統(tǒng)風險管理和風險評估的方法和技術。

    銀行核心業(yè)務系統(tǒng)是業(yè)務運轉的基礎，是商業(yè)銀行固有風險的體現(xiàn)，它通過硬件平臺的支撐、應用軟件的設計、數(shù)據(jù)資源的管理，實現(xiàn)銀行業(yè)務職能。

    銀行信息系統(tǒng)風險管理，是商業(yè)銀行控制剩余風險的能力。它主要包括系統(tǒng)建設風險控制、系統(tǒng)數(shù)據(jù)完備性、系統(tǒng)功能實現(xiàn)、業(yè)務流程風險控制、數(shù)據(jù)遷移等6個方面。

    風險評估的方法和技術，是風險評估和控制的手段。它針對信息系統(tǒng)風險管理的需求和特點，采用不同的風險評估方法和技術，識別固有風險和剩余風險，對銀行信息系統(tǒng)進行整體風險的評估。