CFCA電子銀行評估 助力銀行信息科技風險管理
電子銀行評估的發展背景
隨著互聯網快速普及,銀行電子銀行業務高速發展。為有效管控電子銀行業務帶來的風險,2006年銀監會頒發了《電子銀行業務管理辦法》和《電子銀行安全評估指引》(以下簡稱《辦法》和《指引》)。要求定期對電子銀行系統進行全面安全評估,包括安全策略、內控制度建設、風險管理狀況、系統安全性、業務連續性計劃、應急計劃、風險預警體系等內容。
電子銀行安全評估指引框架
電子銀行高速發展帶來巨變
目前《辦法》和《指引》已頒布實施十二年了,這十二年是我國金融科技創新高速發展的階段,電子銀行業務發展的市場環境、內容和範圍都已發生了較大變化。
1.電子銀行業務發展迅猛
2006年電子銀行還處於發展初期,電子銀行主要包括網上銀行、電話銀行和手機銀行,這些創新業務的業務量較小,只是作為傳統銀行業務的補充,是銀行業務的一個渠道擴展。電子銀行經過十多年的發展,電子銀行業務比重也越來越大,已經成為銀行最重要的業務之一,並延伸發展出直銷銀行、微信銀行等新服務業態,甚至出現以電子銀行為依託的純互聯網銀行。
2.電子銀行技術創新日新月異
如今電子銀行的技術構架早已更新換代,雲計算、虛擬化、大數據、區塊鏈、人工智慧等前沿技術正逐步被引入到電子銀行中,賦予電子銀行更強大的業務內涵和服務能力。
3.監管政策的發展
2006年出台的《辦法》和《指引》,是從無到有的背景下、為彌補電子銀行監管空白而推出的。隨著電子銀行的深入發展,電子銀行對銀行在業務模式、風險管理、審計等方面都帶來了新的挑戰和壓力,監管機構為管控電子銀行在上述領域的監管風險,相繼出台了一系列具體方面和領域的監管政策和指導文件,如《商業銀行信息科技風險管理指引》、《商業銀行內部審計指引》、《商業銀行信息科技風險動態監測指標(試行)及試點實施方案》、《銀行業金融機構信息科技外包風險監管指引》等。
CFCA緊跟電子銀行發展開拓創新
早期的電子銀行評估主要按照《指引》要求,通過訪談、制度核查等手段評估銀行在電子銀行安全策略、內控制度建設、風險管理等方面的制度和程序的符合性、有效性,評估電子銀行系統在物理環境、數據通信、應用系統等方面的技術脆弱性。近年來,電子銀行評估還需根據電子銀行技術創新和監管要求,在實際實施電子銀行安全評估過程中,不斷完善和擴充新的評估手段和評估內容。
CFCA基於多年電子銀行評估的實踐經驗,結合電子銀行監管政策和技術發展趨勢,在電子銀行評估的方法論和實施手段上進行了多項創新。
1.對採用雲計算的電子銀行系統引入雲安全評估
隨著雲計算技術在電子銀行系統中的深入應用,傳統的電子銀行評估往往專註於系統本身的評測,容易忽略由於引入雲計算技術產生的新的信息科技風險。CFCA根據2017年頒布的《網路安全等級保護基本要求 第2部分:雲計算安全擴展要求》,增加對使用雲計算技術的電子銀行系統進行雲計算所面臨威脅的評估內容。
2.加強客戶信息保護層面的評估
隨著《網路安全法》、《中國銀監會辦公廳關於加強網路信息安全與客戶信息保護有關事項的通知》等相關政策和法規的出台,客戶信息保護成為信息安全防護中非常重要的領域。CFCA結合金融行業客戶信息保護的特殊監管要求,在電子銀行評估中,加強電子銀行的業務安全分析,對客戶信息在電子銀行系統中流轉的全周期進行分析和評估,幫助銀行提升客戶信息保護方面的安全水平和監管合規。
3.以風險事件視角為核心,融入風險管理體系
傳統的電子銀行評估多從分析系統技術和管理的脆弱性出發,提出相應的漏洞修復建議或者風險緩釋措施。在現有銀行信息科技風險管理體系下,需要更貼近風險管理的電子銀行評估方法論。CFCA以風險事件為評估出發點,通過識別和評價風險成因、風險影響,得出風險事件等級,再結合銀行風險管控政策和風險容忍度,給出風險事件的處理建議,幫助銀行達到有效管控信息科技風險的目的。
CFCA憑藉多年金融行業信息系統的安全評估與風險評估經驗,協助銀行客戶落實監管機構的安全和風險管理要求,經驗豐富的專業金融行業信息安全團隊為國內眾多銀行科技提供全面電子銀行風險評估工作,助力銀行實現高水平的信息安全風險管理和監管合規。
※銀行百萬年薪搶人背後:這類人才總缺口達150萬
※銀行改變服務更易「斬獲」人心
TAG:中國電子銀行網 |