2.2商业银行信息系统风险的特点

    银行业务处理中对及时性和可靠性的特殊需求，使得商业银行信息系统风险体现出明显的行业特征。

    1）商用银行信息系统风险的业务特点

    网络和安全技术的飞速发展，使得商业银行已成为商品交易的电子平台和电子金库。因此商业银行对数据完整性要求极高，对业务和数据的可用性、安全性，以及对业务中断和数据丢失等事故的防范和处理要求十分严格。

    2）商业银行信息系统风险的技术特点

    银行开展信息化的时间较长，其应用系统较为普及，但长期来，银行信息系统相对较为封闭。近年来，随着网银、中间业务等银行新型业务和金融产品的出现，对开放信息系统的要求越来越高，银行的信息系统均开始不同程度向外界开放。

    由于各商业银行实行数据大集中，导致单笔交易所跨越的网络环节越来越多，银行信息系统对网络依赖程度越来越高。大集中后，大部分银行将建立一个生产中心和一个异地备份中心，进一步提高了网络系统在银行信息系统的地位。

    3）商业银行信息系统风险的现状

    信息系统本身固有的风险在加大。银行业是信息化技术与产品相对密集的行业，由于信息化规模的不断扩大，信息技术迅速发展，银行信息系统所采用信息技术与信息系统软硬件本身存在着很大的脆弱性，如果这些脆弱性被特定的威胁所利用，就会产生风险，从而对银行信息系统的机密性、完整性及可用性产生损害。

    银行数据集后使信息系统风险不易分解。目前各家商业银行已陆续完成数据大集中，实现银行账务数据与营业机构的分离，使银行从以账务和产品为中心转变为以客户为中心。但是，数据集中后信息系统风险增大，系统一旦出现问题，将影响到整个银行的正常运营。

    电子金融服务的发展，使商业银行随时面对来自公共网络的威胁。近年来，网上银行、移动银行、电子商务等银行新业务，在成为商业银行利润增长点的同时，使商业银行的网络风险日益凸现。

    人员的风险成为最大的风险。统计结果表明，在商业银行信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，70%～80%是由于内部员工的疏忽或有意泄密造成的。

    3 商业银行信息系统风险评估模型设计

    3.1商业银行信息系统风险评估的现状与趋势

    信息系统风险评估已得到国际社会的普遍重视，风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现，风险评估作为保证信息安全的重要基石发挥着关键作用。在信息安全、安全技术的相关标准中，风险评估均作为关键步骤进行阐述，如ISO13335、COBIT、BS7799-3等。

    我国的信息系统风险评估工作目前还处于起步阶段，还没有形成一套成形的专业规范，缺少一支能够全面开展信息系统风险评估的人才队伍。目前我国所进行的一些信息系统风险评估的探索和尝试以及开发的一些计算机审计软件还大都停留在对被评估单位的电子数据进行处理的阶段。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动的应用范围，运用传统的信息技术和风险评估知识已经不能实现真正意义上的“风险基础模式”的风险评估，这些都影响到我国IT治理和信息系统风险控制的实施。

    随着商业银行经营管理活动对信息技术的高度依存，信息科技风险控制已成为商业银行风险管理的重要内容，并需要从战略的角度将信息系统与实现公司治理的总体目标紧密联系在一起。因此，解析国内银行信息系统风险评估的现状及存在的问题，并根据国际经验与我国实际情况进行差异性分析，最后，找到我国银行业信息系统风险评估的有效方法，由此，实现信息系统风险评估在国内银行业质的飞跃。
 
    3.2商业银行信息系统风险评估模型的设计

    在目前所应用的风险控制与评估模型中，基本区分为两类，一类是基于业务风险控制的风险评估模型，这类模型的基础是传统的风险评估理论，因此更加注重于业务流程的控制和业务的风险管理；另一类是关注于技术控制的风险评估模型，这类模型建立在相关的信息安全标准之上，主要考虑的是技术的实现架构和实现方式，评估系统的技术风险。

    银行在面对实际的信息风险时，需要建立定位于信息全面管理的风险评估模型。因此，必须结合业务风险模型和技术风险模型的相关方法，通过分析系统自身内部控制机制中存在的薄弱环节和危险因素，发现系统与外界环境交互中不正常和有害的行为，完成系统弱点和安全威胁的定性分析，在银行信息系统内部风险各要素之间建立风险评估模型，如图3所示。

 
 图3  商业银行信息系统风险评估模型

    信息系统的风险评估模型由三个基本元素组成，分别是银行核心业务系统、银行信息系统风险管理和风险评估的方法和技术。

    银行核心业务系统是业务运转的基础，是商业银行固有风险的体现，它通过硬件平台的支撑、应用软件的设计、数据资源的管理，实现银行业务职能。

    银行信息系统风险管理，是商业银行控制剩余风险的能力。它主要包括系统建设风险控制、系统数据完备性、系统功能实现、业务流程风险控制、数据迁移等6个方面。

    风险评估的方法和技术，是风险评估和控制的手段。它针对信息系统风险管理的需求和特点，采用不同的风险评估方法和技术，识别固有风险和剩余风险，对银行信息系统进行整体风险的评估。

[1]   [2]   [3]