银行业需加强信息安全防避

　　企业信息系统风险管理专家指出：银行业需加强信息安全防避

　　本报讯记者严丽梅报道：中国银监会网站日前披露了去年至今发生的五起涉及5家商业银行的信息科技风险事件；而近日再度开庭审理的“许霆案”更是成为社会舆论关注的焦点。这些情况均表明，中国银行业网络和信息系统安全问题已日趋重要。据德勤最新发布的一份针对全球金融机构进行的安全调查报告，中国银行业在信息安全防避行动上仍亟需加强。2月26日，德勤企业风险管理服务华南和香港区合伙人顾向圣接受本报记者采访对此进行了分析。

　　中国银监体系已列前位

　　顾向圣介绍，在德勤2007年全球安全调查的169个大型金融机构中，有8%是来自亚太地区（不包括日本），其中来自中国内地和香港特区的金融机构又占较大比重。顾向圣表示，从此次调查结果看，在网络与信息风险监管体系方面，中国银行业与海外银行的差异并不太大。而在亚太地区，中国内地与香港特区的信息系统安全监管体系已走得较前。

　　对包括“认为安全问题已作为一个重要业务领域引起高管或董事会注意”在内的十三项信息安全指标的调查结果表明，除了两项指标外，亚太地区参与调查者的其他指标均接近甚至高于全球水平。

　　顾向圣举例，在银行网络与信息系统监管方面，从2001年起，中国银行监管部门就陆续颁发了一系列规范性政策，如《网上银行业务管理暂行办法》、《中国人民银行关于加强银行数据集中安全工作的指导意见》、《电子银行业务管理办法》、《电子银行安全评估指引》等，像2006年银监会颁布的《关于开展2006年度信息科技风险内部和外部评价审计的通知》，即使在美国OCC（美国货币监理署，另一大商业银行监管机构）也没有出台这样完备的信息安全监管指引。因此，中国监管机构在某些方面走得比美国还前。

　　第 1 页

　　try showAd(3,0,1); catch(ex)

　　 调查暴露出两大问题

　　不过，德勤此次调查也发现，亚太地区银行业对“其信息安全战略由业务职能部门领导人领导和推动的金融服务机构”和“认为其目前已拥有可以有效和高效地应对可预见的安全要求所需要的技能和能力的金融服务机构”两项调查指标的认知程度比较低，为0%和7%，而全球水平为10%和30%。

　　顾向圣表示，这一比例透露出，中国银行业有关战略业务部门领导对推动信息安全工作的重要性认知不够。同时，也反映出中国银行业缺乏经过专业培训的专才。

　　顾向圣还指出，这种状况可能也和目前国内银行业发展速度快、行业竞争激烈有关，国内银行业务发展在资源分配中占比较大，而忽略了信息系统管理。业务发展的速度与安全管理的速度步伐不一致，从而会造成一些信息科技风险方面的意外。

　　顾向圣提到一个有趣的现象：目前IT在银行业中所占比重很大，但没有几家银行设有首席信息官一职，表明现有银行高层对风险管理重要性的认识还没上升到应有的高度。

　　链接

　　德勤最新调查显示：65%金融机构去年曾遭“攻击”

　　本报讯记者严丽梅报道：德勤对全球169个大型金融机构2007年安全调查报告出炉。最新调查结果显示：有65%的参与调查者报告在过去的一年中曾重复遭遇外部破坏事件，其中，电邮攻击位列遭到的外部安全破坏的首位（57%），成为破坏安全的头号元凶。

　　调查结果还表明，涉及信息安全的事件已经持续引起金融机构高层管理人士的注意，但大家仍将解决这些基本问题的责任归于信息技术部门；有不到2/3（63%）的受访者表示，已制定信息安全战略，但仅有10%的受访者表示是由业务部门领导人主导实施信息安全措施。德勤分析认为，这些结果表明，金融机构对安全问题存在自相矛盾的态度：意识到问题的存在但对解决方案缺乏支持。

　　德勤全球金融服务业中国区负责人杜柏伟就此指出，一方面，毫无疑问受访者已经明确了主要的安全问题及有关改善安全和隐私而必须采取行动；另一方面，许多金融机构在采取行动方面却跟不上步伐。