邵勉也

摘要：我國(guó)銀行信息化的發(fā)展戰(zhàn)略，需要適應(yīng)經(jīng)濟(jì)和金融全球化的發(fā)展，應(yīng)選擇安全穩(wěn)定可靠、可持續(xù)發(fā)展的道路。制定完善的銀行信息化風(fēng)險(xiǎn)防范的法律法規(guī)制度。為應(yīng)對(duì)銀行系統(tǒng)信息化面臨的風(fēng)險(xiǎn)，本文提出了完善我國(guó)銀行信息化危機(jī)風(fēng)險(xiǎn)防范體系的構(gòu)想。

關(guān)鍵詞：科學(xué)發(fā)展觀；銀行信息化風(fēng)險(xiǎn)；法律法規(guī)制度；風(fēng)險(xiǎn)防范體系

中圖分類號(hào)：F830文獻(xiàn)標(biāo)識(shí)碼：B文章編號(hào)：1006-1428(2009)10-0093-03

一、銀行信息化發(fā)展應(yīng)以科學(xué)發(fā)展觀為指導(dǎo)

(一)我國(guó)銀行的信息化發(fā)展要適應(yīng)經(jīng)濟(jì)全球化、金融全球化的要求

銀行信息化應(yīng)以科學(xué)發(fā)展現(xiàn)為指導(dǎo)，做到安全、穩(wěn)定、可靠，以適應(yīng)經(jīng)濟(jì)全球化、金融全球化的要求，這是經(jīng)濟(jì)金融形勢(shì)發(fā)展的必然需要。美國(guó)早在2003年就正式提出在國(guó)家戰(zhàn)略全局上，對(duì)重要信息網(wǎng)絡(luò)系統(tǒng)要求保證國(guó)家和社會(huì)生活的安全與穩(wěn)定。隨著我國(guó)經(jīng)濟(jì)規(guī)模的持續(xù)壯大。我國(guó)已成為僅次于美、日的世界第三大經(jīng)濟(jì)體，人民幣的國(guó)際化是不可避免的。這就對(duì)我國(guó)金融尤其是銀行信息化提出了更高的要求。

銀行信息化在發(fā)展戰(zhàn)略正面臨其系統(tǒng)的科學(xué)發(fā)展，綜合效能的發(fā)揮，為公眾服務(wù)的強(qiáng)化，對(duì)信息化的總體和體系結(jié)構(gòu)的指引，完善提供銀行信息化的法規(guī)、標(biāo)準(zhǔn)、認(rèn)證、評(píng)估和測(cè)評(píng)，以全面適應(yīng)我國(guó)作為世界級(jí)的經(jīng)濟(jì)體和貿(mào)易大國(guó)的要求，適應(yīng)經(jīng)濟(jì)全球化、金融全球化的要求，提升我國(guó)銀行業(yè)的服務(wù)能力與競(jìng)爭(zhēng)能力。

(二)我國(guó)銀行的信息化發(fā)展應(yīng)選擇全面、協(xié)調(diào)、可持續(xù)發(fā)展的道路

學(xué)習(xí)實(shí)踐科學(xué)發(fā)展觀，我國(guó)銀行信息化要堅(jiān)持走全面、協(xié)調(diào)、可持續(xù)發(fā)展的道路：一是銀行信息化要側(cè)重于信息化資源安全與效益的發(fā)展，而不局限于具體的業(yè)務(wù)信息系統(tǒng)。二是銀行信息化必須趨利避害。不但要避免危機(jī)風(fēng)險(xiǎn)，而且還要關(guān)注防范金融危機(jī)、打擊金融犯罪。三是銀行信息化的科學(xué)發(fā)展還需與經(jīng)濟(jì)、商務(wù)、政務(wù)、社會(huì)生活的信息化共同進(jìn)步。

(三)我國(guó)銀行的信息化發(fā)展要統(tǒng)籌兼顧

一是要全面建設(shè)，銀行信息化建設(shè)的重點(diǎn)是中心城市、大城市，但在建設(shè)布局上也要適當(dāng)向中西部、廣大城鎮(zhèn)傾斜。

二是要實(shí)現(xiàn)所有銀行面向社會(huì)公眾的服務(wù)系統(tǒng)向互通、互聯(lián)和互操作服務(wù)方向發(fā)展。

三是要求確保銀行信息化服務(wù)安全、可靠、穩(wěn)定。在銀行為公眾服務(wù)中。對(duì)一切有損于客戶利益的行為予以打擊，尤其要防范、打擊極少數(shù)銀行員工與社會(huì)上的犯罪分子勾結(jié)事件，強(qiáng)化銀行信息化監(jiān)控手段。

(四)我國(guó)銀行信息化發(fā)展必須自主創(chuàng)新，攻克信息化核心技術(shù)

國(guó)際上，日本明確要求確保信息網(wǎng)絡(luò)安全和信息技術(shù)的國(guó)際領(lǐng)先地位。俄羅斯把發(fā)展信息技術(shù)作為重建大國(guó)地位的關(guān)鍵要素。我國(guó)信息化安全與風(fēng)險(xiǎn)防范不同于一般發(fā)達(dá)國(guó)家和發(fā)展中國(guó)家，沒(méi)有“保護(hù)傘”，在高端核心技術(shù)領(lǐng)域受到封鎖將是長(zhǎng)期的。因此，既要爭(zhēng)取國(guó)際合作。更要堅(jiān)定走自主創(chuàng)新。

二、完善我國(guó)銀行信息化危機(jī)風(fēng)險(xiǎn)防范的法律法規(guī)制度

(一)加快制定《國(guó)家信息安全法》及其實(shí)施細(xì)則

信息化發(fā)展需要強(qiáng)有力的法律保護(hù)。要克服我國(guó)信息化法律法規(guī)、制度規(guī)章標(biāo)準(zhǔn)建設(shè)滯后的問(wèn)題，加快制定《國(guó)家信息安全法》及其實(shí)施細(xì)則。

(二)制定金融信息監(jiān)管檢查手冊(cè)(或制度)和風(fēng)險(xiǎn)防范制度

在協(xié)調(diào)明確中央銀行與銀監(jiān)會(huì)、證監(jiān)會(huì)、保監(jiān)會(huì)各自職責(zé)的基礎(chǔ)上。建議借鑒美國(guó)聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)(FFIEC)頒布的信息技術(shù)檢查手冊(cè)，結(jié)合我國(guó)國(guó)情和金融信息化監(jiān)管的實(shí)際，制定出既有理念上的先進(jìn)性，又有發(fā)展上的前瞻性，能涵蓋我國(guó)金融業(yè)信息化監(jiān)管檢查完整內(nèi)容的監(jiān)管檢查手冊(cè)(或制度)和風(fēng)險(xiǎn)防范制度。

(三)健全銀行信息風(fēng)險(xiǎn)評(píng)估等級(jí)的設(shè)定，完善銀行信息系統(tǒng)應(yīng)急預(yù)案制度

目前我國(guó)有安全等級(jí)而缺少風(fēng)險(xiǎn)評(píng)估等級(jí)的狀況必須改變。嚴(yán)格按公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化辦公室聯(lián)合制定的《信息安全等級(jí)保護(hù)管理辦法(試行)》，在開展銀行信息安全等級(jí)保護(hù)工作的基礎(chǔ)上。建立、健全銀行信息風(fēng)險(xiǎn)評(píng)估等級(jí)的設(shè)定。

各商業(yè)銀行分行已普遍建有業(yè)務(wù)流水查詢系統(tǒng)。建議各商業(yè)銀行以此為基礎(chǔ)，建立區(qū)域備份臺(tái)賬系統(tǒng)，作為應(yīng)急手段，并組織定期演練。建議中央銀行和銀行監(jiān)管部門制定有關(guān)法規(guī)，明確并實(shí)時(shí)更新相關(guān)要素。引進(jìn)危機(jī)預(yù)警及應(yīng)對(duì)的危機(jī)管理預(yù)案機(jī)制。指導(dǎo)商業(yè)銀行制定各自的銀行信息系統(tǒng)應(yīng)急預(yù)案，在出現(xiàn)突發(fā)事件時(shí)確保區(qū)域金融的穩(wěn)定。

(四)完善我國(guó)銀行信息化項(xiàng)目外包管理辦法

需要健全信息技術(shù)外包責(zé)任制。制定相應(yīng)的銀行信息化項(xiàng)目外包管理辦法。

在成本核算方面，建議借鑒國(guó)外發(fā)達(dá)國(guó)家(如歐洲中央銀行和德國(guó)中央銀行等)的先進(jìn)經(jīng)驗(yàn)，在信息管理項(xiàng)目中。針對(duì)銀行內(nèi)各部門的信息技術(shù)管理費(fèi)用，采取成本核算的方法，進(jìn)行可行性研究和定點(diǎn)試驗(yàn)。特別是涉及信息安全管理費(fèi)用的要予以保證，確保包括“外包可行性研究”在內(nèi)的信息安全管理費(fèi)用應(yīng)有的比例。

在實(shí)施步驟方面。在保證安全性的前提下，對(duì)核心業(yè)務(wù)的系統(tǒng)設(shè)計(jì)、開發(fā)、應(yīng)用和維護(hù)完全由銀行的信息管理部門自主進(jìn)行。對(duì)于硬件、一般業(yè)務(wù)系統(tǒng)以及與信息技術(shù)相關(guān)的業(yè)務(wù)則承包給外部專業(yè)的信息技術(shù)服務(wù)商?？梢钥紤]先將信息技術(shù)服務(wù)臺(tái)業(yè)務(wù)、信息技術(shù)的培訓(xùn)和計(jì)算機(jī)硬件維護(hù)外包出去，然后再視情況將部分軟件開發(fā)和信息技術(shù)維護(hù)的業(yè)務(wù)外包。

三、完善我國(guó)銀行信息化系統(tǒng)危機(jī)風(fēng)險(xiǎn)防范體系的構(gòu)想

(一)試行首席信息官構(gòu)架，建立專職機(jī)構(gòu)和應(yīng)急快速處理隊(duì)伍

一是試行設(shè)立首席信息官(CIO)或信息總監(jiān)架構(gòu)。各家銀行機(jī)構(gòu)內(nèi)部建議試行建立首席信息官架構(gòu)。保證首席信息官的獨(dú)立性，允許其直接向銀行董事會(huì)或行領(lǐng)導(dǎo)報(bào)告。相關(guān)責(zé)任落實(shí)到人。在董事會(huì)或行長(zhǎng)室下新設(shè)一個(gè)信息化安全管理委員會(huì)，適當(dāng)擴(kuò)大信息化安全管理人員的規(guī)模。

二是設(shè)置一個(gè)跨部門的專職機(jī)構(gòu)和應(yīng)急處理隊(duì)伍。該機(jī)構(gòu)應(yīng)由業(yè)務(wù)部門、技術(shù)部門、綜合管理部門和安全保衛(wèi)部門的精干人員參與，建立有關(guān)部門負(fù)責(zé)人聯(lián)席會(huì)議制度，定期就信息化安全工作進(jìn)行交流。同時(shí)。拓展基層技術(shù)和業(yè)務(wù)部門人員的信息反饋渠道，向在一線工作的業(yè)務(wù)、技術(shù)部門相關(guān)人員征集意見(jiàn)。其目的是建立一支素質(zhì)過(guò)硬的突發(fā)事件應(yīng)急處理隊(duì)伍，提高危機(jī)管理的快速反應(yīng)機(jī)制。

三是建立銀行重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機(jī)制。以國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組《銀行重要信息系統(tǒng)應(yīng)急協(xié)調(diào)預(yù)案》為指南；制定重要信息應(yīng)急協(xié)調(diào)預(yù)案，建立危機(jī)預(yù)警系統(tǒng)，健全應(yīng)急協(xié)調(diào)機(jī)制。

四是加強(qiáng)信息管理的服務(wù)標(biāo)準(zhǔn)和質(zhì)量監(jiān)督職能。隨著金融業(yè)的發(fā)展，銀行業(yè)務(wù)廣泛開拓，系統(tǒng)管理、技術(shù)支持和維護(hù)方面的壓力會(huì)越來(lái)越大。銀行信息化部門的職能設(shè)置，不能滿足于各部門職能分工明晰。監(jiān)督工作不能只由內(nèi)審部門負(fù)責(zé)，缺少專門職能部門提

供日常的服務(wù)標(biāo)準(zhǔn)和質(zhì)量監(jiān)督?？梢越梃b德國(guó)和意大利的做法，設(shè)立服務(wù)標(biāo)準(zhǔn)和質(zhì)量監(jiān)督職能部門，以便信息管理部門更好地提供服務(wù)。

(二)加強(qiáng)我國(guó)銀行信息化安全管理人才的培養(yǎng)

一要建立銀行信息安全管理任職資格制度和科技創(chuàng)新的激勵(lì)機(jī)制。二要抓住引進(jìn)、培養(yǎng)、考核三個(gè)環(huán)節(jié)，注重工作經(jīng)驗(yàn)積累。三要重視信息技術(shù)與銀行業(yè)務(wù)相結(jié)合的復(fù)合型人才的培養(yǎng)。

(三)完善銀行信息系統(tǒng)設(shè)備測(cè)試與認(rèn)證機(jī)構(gòu)

創(chuàng)建類似德國(guó)網(wǎng)上銀行安全測(cè)試基地BITS實(shí)驗(yàn)室機(jī)構(gòu)，對(duì)銀行信息設(shè)備、軟件一概進(jìn)行測(cè)試。經(jīng)嚴(yán)格測(cè)試演練合格后，方給予認(rèn)證并授予安全證書，從而構(gòu)筑起銀行信息化系統(tǒng)的第一道安全防線。對(duì)于未經(jīng)測(cè)試演練、未獲得安全證書的設(shè)備、軟件，不準(zhǔn)應(yīng)用。監(jiān)管當(dāng)局應(yīng)要求：銀行信息設(shè)備在更換系統(tǒng)前，向監(jiān)管部門報(bào)告?zhèn)浒?，并提供多種軟件備份；測(cè)試時(shí)實(shí)行測(cè)試系統(tǒng)與主機(jī)系統(tǒng)的分離；在更換系統(tǒng)前也需進(jìn)行演練和測(cè)試。

(四)健全激勵(lì)機(jī)制和約束機(jī)制

銀行信息安全管理是一個(gè)復(fù)雜的工程，單靠CIO是難以實(shí)現(xiàn)的。因此，還需要建立激勵(lì)機(jī)制和約束機(jī)制。只有把增加信息透明度與信息風(fēng)險(xiǎn)防范相結(jié)合，靈活運(yùn)用現(xiàn)場(chǎng)檢查和非現(xiàn)場(chǎng)檢查，以及分析評(píng)估、發(fā)布指引規(guī)章、落實(shí)市場(chǎng)約束手段，才能真正提高信息風(fēng)險(xiǎn)防范水平。

(五)制定統(tǒng)一的、前沿的信息系統(tǒng)體系戰(zhàn)略

首先，銀行總行或總部的信息管理不僅要體現(xiàn)總行或總部的監(jiān)控信息和運(yùn)行情況。還要能實(shí)時(shí)反映和監(jiān)控全行所有部門和所有網(wǎng)點(diǎn)(包括海外網(wǎng)點(diǎn))的運(yùn)營(yíng)情況。

其次，需要研究制定統(tǒng)一的、前沿的信息系統(tǒng)發(fā)展戰(zhàn)略和風(fēng)險(xiǎn)防范應(yīng)對(duì)方案。其中包括：明確的信息系統(tǒng)發(fā)展戰(zhàn)略；優(yōu)化的技術(shù)方案；靈活機(jī)動(dòng)、伸縮自如的信息資產(chǎn)基礎(chǔ)設(shè)施；有關(guān)的投資計(jì)劃和監(jiān)控規(guī)劃。

最終是建立起免遭災(zāi)難性危機(jī)風(fēng)險(xiǎn)的規(guī)避、反擊信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的獨(dú)立自主的體系。

(六)完善面向服務(wù)的信息系統(tǒng)風(fēng)險(xiǎn)防范監(jiān)管構(gòu)架

這個(gè)構(gòu)架應(yīng)進(jìn)行統(tǒng)一設(shè)計(jì)。包括：風(fēng)險(xiǎn)監(jiān)管框架、風(fēng)險(xiǎn)監(jiān)管流程、信用風(fēng)險(xiǎn)監(jiān)管、資產(chǎn)負(fù)債監(jiān)管、反病毒入侵及其預(yù)警系統(tǒng)、反洗錢及其預(yù)警系統(tǒng)。特別是有關(guān)面向服務(wù)的架構(gòu)的信息系統(tǒng)設(shè)計(jì)和創(chuàng)新機(jī)制。

對(duì)優(yōu)質(zhì)的信息系統(tǒng)和資源進(jìn)行整合。有助于提高風(fēng)險(xiǎn)監(jiān)管的總體效果。所以，在采用新一代業(yè)務(wù)信息系統(tǒng)大集中處理模式的條件下，銀行需要將業(yè)務(wù)流程、信息、應(yīng)用和有關(guān)的監(jiān)管向總行、總部歸攏、整合。

(七)完善防范金融道德風(fēng)險(xiǎn)的監(jiān)控機(jī)制

建立符合我國(guó)國(guó)情的信息披露制度，增加透明度，提高及時(shí)性，有利于遏制金融道德風(fēng)險(xiǎn)。對(duì)金融領(lǐng)導(dǎo)層實(shí)行定期和不定期輪換制，實(shí)行內(nèi)審、財(cái)務(wù)總監(jiān)由上級(jí)委派、輪換的制度、強(qiáng)化內(nèi)部制約。

(八)建立管理人員和信息化系統(tǒng)資源一體化風(fēng)險(xiǎn)防范監(jiān)管體系

銀行信息化系統(tǒng)資源的風(fēng)險(xiǎn)監(jiān)管，必須把對(duì)人在銀行業(yè)務(wù)活動(dòng)中的風(fēng)險(xiǎn)監(jiān)管與對(duì)信息化系統(tǒng)本身運(yùn)營(yíng)的風(fēng)險(xiǎn)防范監(jiān)管有機(jī)地結(jié)合起來(lái)，構(gòu)成一體化的監(jiān)管體系。將其建成危機(jī)反應(yīng)管理系統(tǒng)，從而全方位地夯實(shí)銀行信息化安全管理的基礎(chǔ)。這樣，銀行信息化系統(tǒng)資源管理才能建立起切實(shí)有效的安全屏障。

(九)強(qiáng)化災(zāi)備體系(ADBS)與災(zāi)難恢復(fù)系統(tǒng)

銀行信息化災(zāi)難備份體系要高標(biāo)準(zhǔn)，確保經(jīng)濟(jì)、金融基礎(chǔ)的牢固。主要有以下幾方面：一是在布局上三足鼎立，且相距千里為好。二是第二個(gè)災(zāi)備中心場(chǎng)地，最好建在中西部地區(qū)遠(yuǎn)離地質(zhì)斷裂帶的花崗巖山體隧道中。三是實(shí)行嚴(yán)格保密制度和安保體系。四是實(shí)行定期輪換制。要求主中心與災(zāi)難備份中心實(shí)行定期輪換制；中心內(nèi)部管理、技術(shù)、開發(fā)人員分成兩組，實(shí)行定期輪換制。五是銀行等國(guó)家八大行業(yè)都要重視建立災(zāi)難恢復(fù)系統(tǒng)、災(zāi)難恢復(fù)人才培養(yǎng)和業(yè)務(wù)連續(xù)性管理(BCM)。