银行内控合规之信息与网络安全思考

随着计算机技术和信息通讯技术的飞速发展，从互联网到物联网再到人工智能，人们的工作方式和生活方式发生显著变化，人类社会进入了数字化、网络化、智能化的新时代。信息技术和金融行业的不断融合，催生了一种新型金融业务模式——金融科技（Fintech），极大提高了金融服务质量和效率，促进了金融业务创新发展，也带来了便捷高效的客户体验。然而，金融科技也给银行信息与网络安全带来严峻挑战。如何加强内控合规管理，构建银行信息与网络安全的有效防线，保障金融安全，也成为银行必须迫切解决的重大问题。

中国建设银行内控合规部总经理  丰习来

新形势下银行信息与网络安全面临严峻挑战

        随着业务种类及其复杂程度的增加，银行越来越依赖系统和网络拓宽客户、产品、区域、渠道，使得业务交易突破时空的限制。同时，银行面临的风险也从网点不断延伸，既有外部的网络攻击，还有内部管理的漏洞，导致网络攻击、信息泄露、系统中断等事件时有发生，形成巨大的损失。

        1.银行对系统和网络的依赖程度逐步提升。一是业务处理系统化。由于业务模式、营销模式、管理模式方面发生了巨大转变，信息系统取代了手工作业模式，成为业务开展的重要承载平台，交易过程及结果全部通过信息系统实现。二是系统建设规模化。随着以客户为中心、细分市场、金融创新、决策支持、风险防范等业务需求的升级，信息系统建设迅速发展壮大，已从早期的单机作业演变成目前跨地域、7×24小时运行、上万台电子设备同时运行和承载上百个业务应用的大型信息系统。并且，这些系统间的关联性很高，一旦其中一个系统出现问题，其他系统也难以继续工作。三是交易渠道电子化。银行的交易渠道不断发展，从柜面渠道向电子渠道转变，产生了电话银行、网上银行、手机银行、微信银行。客户办理业务也逐步由网点柜面转向网上银行、手机银行等电子渠道。据银监会在《中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿）》中披露的信息，银行业电子渠道高速增长，截至“十二五”末期，主要银行机构的网上银行、手机银行账户数已达21.6亿户，主要电子交易笔数替代率平均达到72.1%，其中，手机银行在主要电子渠道交易占比5年内增长了43倍，ATM、POS交易也保持了较高的增长速度。银行各项业务对系统和网络依赖的程度大幅提升后，信息与网络安全问题尤为重要。

        2.外部人员和机构针对银行系统和网络的侵害越来越严重。一是网络攻击目的和手段多样化。除了使用SQL注入、DDOS等传统攻击方式外，还发动了APT等新型攻击方式，使得银行沦为APT攻击重灾区。据统计，国内银行一年遭受的网络攻击次数就高达上千万次。二是黑客攻击已经产业化并不断发展壮大。由过去无目的、单兵作战，转为以经济利益为目的、集团化攻击。从敏感信息的收集与贩卖，到伪卡制卡，甚至网银木马的量身定制，都可以在网络上找到相应的服务提供商。三是病毒木马不断翻新及快速传播。目前针对网上银行的木马程序、密码嗅探程序等病毒不断翻新，通过盗取客户资料，直接威胁网银安全。网络给病毒的传播提供了很好的路径，网络病毒传播速度之快、危害之大令人吃惊。特别是近期流行的一些蠕虫病毒、勒索病毒，更是防不胜防，造成全球恐慌，形成巨大损失。如，2016年3月黑客在银行系统安装恶意软件，通过国际银行结算系统SWIFT从孟加拉银行盗取8100万美元。

        3.银行内部管理不足导致信息泄漏问题更加突出。一是银行员工泄露客户信息。银行员工因经济利益，利用工作便利窃取、出售或非法提供客户个人信息。一旦不法分子掌握了泄露的银行信息和数据，将可能发生冒用身份开展电信诈骗，或者通过猜密码直接盗窃客户资金等违法活动。如，某股份制银行信用卡中心风险管理部贷款审核员胡某就曾向作案人出售个人信息300多份；某国有银行客户经理曹某，通过征信查询系统向作案人提供了多达2318份个人信息。二是第三方泄露客户信息。银行对外包人员行为管控不严，导致外包人员为了利益诱惑泄露客户信息。如：在银保电话保险推销中，一些中小银行外包的后台支援中心以几元不等的价格出售客户资料进行牟利。

        4.系统中断事件屡有发生、造成损失巨大。一是系统中断造成的直接损失巨大。银行为应对业务中断或信息安全问题，需要投入大量的人力、财力和物力，这直接体现为巨额的成本支出。二是系统中断造成的间接损失难以估量。业务中断造成业务量减少、客户流失，为安抚客户而进行的赔偿和让利，以及由此产生的声誉影响等间接损失也很巨大。如2014年7月，某城市商业银行核心系统数据库出现故障，导致存取款、网银、ATM等业务全部中断长达37个多小时，期间只能手工办理业务。银行系统与网络一旦中断，不仅侵犯了消费者合法权益、带来客户资金损失，而且还将给银行经营和声誉带来重大影响。

        党中央高度重视国家信息安全，特别成立网络安全和信息化领导小组。全国人大制定《中华人民共和国网络安全法》，从法律层面保障网络安全，保护公民、法人等合法权益。银监会在发布《商业银行信息科技风险管理指引》之后，又将信息科技风险管理纳入全面风险管理的范畴。银行是金融业的重中之重，在国家金融体系处于核心地位，“牵一发而动全身”。银行信息与网络安全是银行业务开展的基础，是银行安全稳健运行的保障，事关国家金融安全乃至国家安全。加强银行信息与网络安全可谓迫在眉睫、势在必行。

共同构建信息与网络安全管理的“三道防线”

        银行信息与网络安全包括系统安全、应用安全、数据安全、物理环境安全等方面的内容，其威胁主要来自机构内部、互联网、外部人员和机构、灾难性事件等。由于信息与网络安全风险具有多样性，且分散于银行各业务领域和流程中，因此管理工作应立足于“三道防线”，分别履行主体责任、管理责任、监督责任，在前中后台各个部门参与下，共同发挥作用。

        各个业务应用部门、信息技术部门下辖的开发中心和数据中心等属于第一道防线，履行信息与网络安全管理的主体责任。其中，业务应用部门按银行统一的管理政策和方法识别、评估、缓释处置、监控、分析、报告各业务领域信息与网络安全风险，提出业务系统建设安全目标，识别本业务领域内客户敏感信息和经营敏感信息，制定业务应急预案，配合开展业务连续性应急演练和应急处置；信息技术部门下辖的开发中心和数据中心各自负责开发、测试、运行中的信息与网络安全管理工作。

        信息技术部门、内控合规部门以及与信息网络安全管理相关的人力、财务、采购、总务、安保等中后台管理部门属于第二道防线，履行管理责任，负责制定职责范围内的管理制度、流程、标准和工具，开展工作并定期报告。其中，信息技术部门是第二道防线的核心部门，牵头负责信息与网络安全的管理体系和技术体系的建设，从组织架构、制度流程、信息系统、支持保障等方面推进相关工作；内控合规部门负责推动合规理念宣导，实施合规性审查，开展合规监测和合规检查，组织推动业务连续性管理。

        审计部门属于第三道防线，履行信息与网络安全管理监督责任，针对信息与网络安全事件执行专项审计，揭示和发现问题并提出管理建议，监督第一、二道防线信息与网络安全管理工作。

加强内控合规管理，保障银行信息与网络安全

        内控合规部门是第二道防线的重要力量，应加强与信息技术等部门之间的协调和配合，采取有效措施，发挥积极作用，守牢信息与网络安全底线、保障业务连续健康发展、维护消费者权益。

        1.加强信息与网络安全方面的理念宣导和人才培养。一是对内针对银行相关员工做好信息与网络安全的教育和培训，一方面是使员工了解信息安全的重要性以及其职责范围内的信息保护流程，另一方面是培养信息和网络安全的专业技术人才，协调制定有关信息科技风险管理策略，为业务部门和信息科技部门提供建议及相关合规性信息，提升信息与网络安全防护能力。

        二是对外针对银行客户推动相关部门加强信息与网络安全的宣传和引导，通过收集典型案例宣传网络钓鱼、电信诈骗等风险防范知识，提升客户安全意识；推动相关部门引导客户采用多因素认证、生物识别（指纹、虹膜、语音）等先进身份认证技术，同时引导客户形成不点击陌生链接、不乱装来历不明软件、妥善保管密码等安全使用习惯，提高客户风险防范意识和能力。

        2.加强新系统、新制度的合规性审查，从源头堵住风险漏洞。一是介入新系统开发流程中，在系统正式上线推广前开展合规性审查，重点审查新系统中各类威胁信息与网络安全的风险是否得到准确的识别、防范和应对风险的控制措施是否适当和有效。

        二是加强与银行信息与网络安全相关的新制度的合规性审查，从岗位设置、人员配备、授权和审批、沟通与合作、审核和检查等方面对信息与网络安全工作提出审查要求，特别要将管理客户信息的岗位视为重要岗位，提出不相容岗位分离、定期轮岗等管理要求，确保新制度严格落实内部控制相关标准。

        3.加强识别、评估和监测，及时发现信息与网络安全事件。一是交易执行前，做好客户身份识别和认证。根据不同的应用场景，建立一个多维度、分层次的身份识别体系，结合大数据对客户的位置信息、活动规律等进行识别，便捷、精准地实现客户身份识别和认证，防止出现冒用客户身份办理业务的情况。

        二是交易执行中，做好交易真实性的分析和判断。建立反欺诈模型并建立相应的信息系统，实时监测各类业务交易的执行情况，利用大数据分析客户行为和交易特征，发现异常交易行为，及时提示客户并积极处置风险隐患。

        4.加强合规检查，加大员工违反信息与网络安全的处罚力度。一是加强常态化的合规检查机制，通过调取录像、调阅资料、扫描系统等方法，及时发现银行员工通过手机拍摄客户信息、或者未经客户授权查询征信系统截取客户信息等违规行为；开展针对系统重要岗位的强制轮岗、离岗注销等关键部位的常态化监督检查，确保针对系统岗位的内控措施有效执行；推动相关部门定期对银行的各类设备进行安全检查，确保所有终端设备安全运行。

        二是对合规检查发现的违规问题进行处置，采取多种手段和方式对违规机构和人员进行问责，达到“违规必罚、违规重罚”的震慑效果，大力培育“主动合规、全员合规”的文化氛围。

        5.加强业务连续性管理，增强小概率事件的风险防范能力。在全行统一的业务连续性管理体系框架及业务恢复策略下，指导并推动信息技术部门加强信息科技业务连续性管理工作。

        一是推动开展信息科技风险评估，及时定位并管理信息与网络安全中的关键风险点及薄弱环节；加强“冷热备”等资源建设，提高信息系统自身的高可用性，减少信息、系统、应用及网络的路障发生；加强对基础环境（机房、供电等）的监控与管理，防止因基础环境故障导致的大面积信息系统安全生产事故。

        二是推动建设信息系统应急预案并开展演练，做好与业务部门应急预案的对接并加强联动演练测试等，保证突发事件发生时能迅速开展系统修复并恢复业务运营。

        三是推动建设“两地三中心”灾备体系，实现重要信息系统灾备全覆盖，有效缩短灾难场景下的系统及业务恢复时间，降低因版本投产及升级维护造成的计划内业务停机时间，实现同城及异地灾备、有效应对各等级的灾难场景，保证业务运营的安全性及连续性。

        金融和科技之间的融合不断加深，银行信息与网络安全的机遇和挑战并存。随着云计算、大数据、区块链、人工智能等新技术的不断发展和应用，信息与网络的安全防护能力将更加科学、高效和可靠。在“金融科技”新时代下，内控合规部门将发挥其在内部控制和合规管理等方面的专业优势，助力银行信息与网络安全管理工作，迎接更加美好、光明、灿烂的未来。

（文章来源：金融电子化杂志） 

扫码即可手机
阅读转发此文