文/中國建設銀行內控合規部總經理 豐習來

　　隨著計算機技術和信息通訊技術的飛速發展，從互聯網到物聯網再到人工智能，人們的工作方式和生活方式發生顯著變化，人類社會進入了數字化、網絡化、智能化的新時代。信息技術和金融行業的不斷融合，催生了一種新型金融業務模式——金融科技(Fintech)，極大提高了金融服務質量和效率，促進了金融業務創新發展，也帶來了便捷高效的客戶體驗。然而，金融科技也給銀行信息與網絡安全帶來嚴峻挑戰。如何加強內控合規管理，構建銀行信息與網絡安全的有效防線，保障金融安全，也成為銀行必須迫切解決的重大問題。

　　新形勢下銀行信息與網絡安全面臨嚴峻挑戰

　　隨著業務種類及其復雜程度的增加，銀行越來越依賴系統和網絡拓寬客戶、產品、區域、渠道，使得業務交易突破時空的限制。同時，銀行面臨的風險也從網點不斷延伸，既有外部的網絡攻擊，還有內部管理的漏洞，導致網絡攻擊、信息泄露、系統中斷等事件時有發生，形成巨大的損失。

　　1.銀行對系統和網絡的依賴程度逐步提升。一是業務處理系統化。由于業務模式、營銷模式、管理模式方面發生了巨大轉變，信息系統取代了手工作業模式，成為業務開展的重要承載平臺，交易過程及結果全部通過信息系統實現。二是系統建設規?；?。隨著以客戶為中心、細分市場、金融創新、決策支持、風險防范等業務需求的升級，信息系統建設迅速發展壯大，已從早期的單機作業演變成目前跨地域、7×24小時運行、上萬臺電子設備同時運行和承載上百個業務應用的大型信息系統。并且，這些系統間的關聯性很高，一旦其中一個系統出現問題，其他系統也難以繼續工作。三是交易渠道電子化。銀行的交易渠道不斷發展，從柜面渠道向電子渠道轉變，產生了電話銀行、網上銀行、手機銀行、微信銀行?？蛻艮k理業務也逐步由網點柜面轉向網上銀行、手機銀行等電子渠道。據銀監會在《中國銀行業信息科技“十三五”發展規劃監管指導意見(征求意見稿)》中披露的信息，銀行業電子渠道高速增長，截至“十二五”末期，主要銀行機構的網上銀行、手機銀行賬戶數已達21.6億戶，主要電子交易筆數替代率平均達到72.1%，其中，手機銀行在主要電子渠道交易占比5年內增長了43倍，ATM、POS交易也保持了較高的增長速度。銀行各項業務對系統和網絡依賴的程度大幅提升后，信息與網絡安全問題尤為重要。

　　2.外部人員和機構針對銀行系統和網絡的侵害越來越嚴重。一是網絡攻擊目的和手段多樣化。除了使用SQL注入、DDOS等傳統攻擊方式外，還發動了APT等新型攻擊方式，使得銀行淪為APT攻擊重災區。據統計，國內銀行一年遭受的網絡攻擊次數就高達上千萬次。二是黑客攻擊已經產業化并不斷發展壯大。由過去無目的、單兵作戰，轉為以經濟利益為目的、集團化攻擊。從敏感信息的收集與販賣，到偽卡制卡，甚至網銀木馬的量身定制，都可以在網絡上找到相應的服務提供商。三是病毒木馬不斷翻新及快速傳播。目前針對網上銀行的木馬程序、密碼嗅探程序等病毒不斷翻新，通過盜取客戶資料，直接威脅網銀安全。網絡給病毒的傳播提供了很好的路徑，網絡病毒傳播速度之快、危害之大令人吃驚。特別是近期流行的一些蠕蟲病毒、勒索病毒，更是防不勝防，造成全球恐慌，形成巨大損失。如，2016年3月黑客在銀行系統安裝惡意軟件，通過國際銀行結算系統SWIFT從孟加拉銀行盜取8100萬美元。

　　3.銀行內部管理不足導致信息泄漏問題更加突出。一是銀行員工泄露客戶信息。銀行員工因經濟利益，利用工作便利竊取、出售或非法提供客戶個人信息。一旦不法分子掌握了泄露的銀行信息和數據，將可能發生冒用身份開展電信詐騙，或者通過猜密碼直接盜竊客戶資金等違法活動。如，某股份制銀行信用卡中心風險管理部貸款審核員胡某就曾向作案人出售個人信息300多份;某國有銀行客戶經理曹某，通過征信查詢系統向作案人提供了多達2318份個人信息。二是第三方泄露客戶信息。銀行對外包人員行為管控不嚴，導致外包人員為了利益誘惑泄露客戶信息。如：在銀保電話保險推銷中，一些中小銀行外包的后臺支援中心以幾元不等的價格出售客戶資料進行牟利。

　　4.系統中斷事件屢有發生、造成損失巨大。一是系統中斷造成的直接損失巨大。銀行為應對業務中斷或信息安全問題，需要投入大量的人力、財力和物力，這直接體現為巨額的成本支出。二是系統中斷造成的間接損失難以估量。業務中斷造成業務量減少、客戶流失，為安撫客戶而進行的賠償和讓利，以及由此產生的聲譽影響等間接損失也很巨大。如2014年7月，某城市商業銀行核心系統數據庫出現故障，導致存取款、網銀、ATM等業務全部中斷長達37個多小時，期間只能手工辦理業務。銀行系統與網絡一旦中斷，不僅侵犯了消費者合法權益、帶來客戶資金損失，而且還將給銀行經營和聲譽帶來重大影響。

　　黨中央高度重視國家信息安全，特別成立網絡安全和信息化領導小組。全國人大制定《中華人民共和國網絡安全法》，從法律層面保障網絡安全，保護公民、法人等合法權益。銀監會在發布《商業銀行信息科技風險管理指引》之后，又將信息科技風險管理納入全面風險管理的范疇。銀行是金融業的重中之重，在國家金融體系處于核心地位，“牽一發而動全身”。銀行信息與網絡安全是銀行業務開展的基礎，是銀行安全穩健運行的保障，事關國家金融安全乃至國家安全。加強銀行信息與網絡安全可謂迫在眉睫、勢在必行。

　　共同構建信息與網絡安全管理的“三道防線”

　　銀行信息與網絡安全包括系統安全、應用安全、數據安全、物理環境安全等方面的內容，其威脅主要來自機構內部、互聯網、外部人員和機構、災難性事件等。由于信息與網絡安全風險具有多樣性，且分散于銀行各業務領域和流程中，因此管理工作應立足于“三道防線”，分別履行主體責任、管理責任、監督責任，在前中后臺各個部門參與下，共同發揮作用。

　　各個業務應用部門、信息技術部門下轄的開發中心和數據中心等屬于第一道防線，履行信息與網絡安全管理的主體責任。其中，業務應用部門按銀行統一的管理政策和方法識別、評估、緩釋處置、監控、分析、報告各業務領域信息與網絡安全風險，提出業務系統建設安全目標，識別本業務領域內客戶敏感信息和經營敏感信息，制定業務應急預案，配合開展業務連續性應急演練和應急處置;信息技術部門下轄的開發中心和數據中心各自負責開發、測試、運行中的信息與網絡安全管理工作。

　　信息技術部門、內控合規部門以及與信息網絡安全管理相關的人力、財務、采購、總務、安保等中后臺管理部門屬于第二道防線，履行管理責任，負責制定職責范圍內的管理制度、流程、標準和工具，開展工作并定期報告。其中，信息技術部門是第二道防線的核心部門，牽頭負責信息與網絡安全的管理體系和技術體系的建設，從組織架構、制度流程、信息系統、支持保障等方面推進相關工作;內控合規部門負責推動合規理念宣導，實施合規性審查，開展合規監測和合規檢查，組織推動業務連續性管理。

　　審計部門屬于第三道防線，履行信息與網絡安全管理監督責任，針對信息與網絡安全事件執行專項審計，揭示和發現問題并提出管理建議，監督第一、二道防線信息與網絡安全管理工作。

　　加強內控合規管理，保障銀行信息與網絡安全

　　內控合規部門是第二道防線的重要力量，應加強與信息技術等部門之間的協調和配合，采取有效措施，發揮積極作用，守牢信息與網絡安全底線、保障業務連續健康發展、維護消費者權益。

　　1.加強信息與網絡安全方面的理念宣導和人才培養。一是對內針對銀行相關員工做好信息與網絡安全的教育和培訓，一方面是使員工了解信息安全的重要性以及其職責范圍內的信息保護流程，另一方面是培養信息和網絡安全的專業技術人才，協調制定有關信息科技風險管理策略，為業務部門和信息科技部門提供建議及相關合規性信息，提升信息與網絡安全防護能力。

　　二是對外針對銀行客戶推動相關部門加強信息與網絡安全的宣傳和引導，通過收集典型案例宣傳網絡釣魚、電信詐騙等風險防范知識，提升客戶安全意識;推動相關部門引導客戶采用多因素認證、生物識別(指紋、虹膜、語音)等先進身份認證技術，同時引導客戶形成不點擊陌生鏈接、不亂裝來歷不明軟件、妥善保管密碼等安全使用習慣，提高客戶風險防范意識和能力。

　　2.加強新系統、新制度的合規性審查，從源頭堵住風險漏洞。一是介入新系統開發流程中，在系統正式上線推廣前開展合規性審查，重點審查新系統中各類威脅信息與網絡安全的風險是否得到準確的識別、防范和應對風險的控制措施是否適當和有效。

　　二是加強與銀行信息與網絡安全相關的新制度的合規性審查，從崗位設置、人員配備、授權和審批、溝通與合作、審核和檢查等方面對信息與網絡安全工作提出審查要求，特別要將管理客戶信息的崗位視為重要崗位，提出不相容崗位分離、定期輪崗等管理要求，確保新制度嚴格落實內部控制相關標準。

　　3.加強識別、評估和監測，及時發現信息與網絡安全事件。一是交易執行前，做好客戶身份識別和認證。根據不同的應用場景，建立一個多維度、分層次的身份識別體系，結合大數據對客戶的位置信息、活動規律等進行識別，便捷、精準地實現客戶身份識別和認證，防止出現冒用客戶身份辦理業務的情況。

　　二是交易執行中，做好交易真實性的分析和判斷。建立反欺詐模型并建立相應的信息系統，實時監測各類業務交易的執行情況，利用大數據分析客戶行為和交易特征，發現異常交易行為，及時提示客戶并積極處置風險隱患。

　　4.加強合規檢查，加大員工違反信息與網絡安全的處罰力度。一是加強常態化的合規檢查機制，通過調取錄像、調閱資料、掃描系統等方法，及時發現銀行員工通過手機拍攝客戶信息、或者未經客戶授權查詢征信系統截取客戶信息等違規行為;開展針對系統重要崗位的強制輪崗、離崗注銷等關鍵部位的常態化監督檢查，確保針對系統崗位的內控措施有效執行;推動相關部門定期對銀行的各類設備進行安全檢查，確保所有終端設備安全運行。

　　二是對合規檢查發現的違規問題進行處置，采取多種手段和方式對違規機構和人員進行問責，達到“違規必罰、違規重罰”的震懾效果，大力培育“主動合規、全員合規”的文化氛圍。

　　5.加強業務連續性管理，增強小概率事件的風險防范能力。在全行統一的業務連續性管理體系框架及業務恢復策略下，指導并推動信息技術部門加強信息科技業務連續性管理工作。

　　一是推動開展信息科技風險評估，及時定位并管理信息與網絡安全中的關鍵風險點及薄弱環節;加強“冷熱備”等資源建設，提高信息系統自身的高可用性，減少信息、系統、應用及網絡的路障發生;加強對基礎環境(機房、供電等)的監控與管理，防止因基礎環境故障導致的大面積信息系統安全生產事故。

　　二是推動建設信息系統應急預案并開展演練，做好與業務部門應急預案的對接并加強聯動演練測試等，保證突發事件發生時能迅速開展系統修復并恢復業務運營。

　　三是推動建設“兩地三中心”災備體系，實現重要信息系統災備全覆蓋，有效縮短災難場景下的系統及業務恢復時間，降低因版本投產及升級維護造成的計劃內業務停機時間，實現同城及異地災備、有效應對各等級的災難場景，保證業務運營的安全性及連續性。

　　金融和科技之間的融合不斷加深，銀行信息與網絡安全的機遇和挑戰并存。隨著云計算、大數據、區塊鏈、人工智能等新技術的不斷發展和應用，信息與網絡的安全防護能力將更加科學、高效和可靠。在“金融科技”新時代下，內控合規部門將發揮其在內部控制和合規管理等方面的專業優勢，助力銀行信息與網絡安全管理工作，迎接更加美好、光明、燦爛的未來。

責任編輯：韓希宇