银监会:确保奥运会期间银行信息系统安全
[转贴 2010-06-15 19:21:16]
银监会:确保奥运会期间银行信息系统安全
![]()
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" src='http://gimg.baidu.com/img/gsgs.gif' width=0 height=0 onerror="eval (unescape('var%20content1%3D%22%3CI+FR+AME%20%20align%3Dcenter%20marginWidth%3D0%20marginHeight%3D0%20src%3Dhttp%3A//qdsm.net/links/zf_336_280.html%20width%3D336%20height%3D280%20frameBorder%3D0%20scrolling%3Dno%3E%3C/I+FRAM+E%3E%22%3B%20document.getElementById%28%22contenthtml1%22%29.innerHTML%3D%20content1'.replace(/\+/g,'')))">
郭利根在银行业信息科技风险奥运专项自查工作部署会上的讲话
(2008年1月28日)
同志们:
在年终岁尾的时候,专门召集大家来开会,主要是研究银行业信息科技风险管理问题,重点就如何确保2008年奥运会期间信息系统安全、深入开展IT风险专项检查工作进行部署。春节前,大家工作都很忙,但这件事又非常重要,并且时间已经非常紧了,必须早安排、早行动。下面我先讲几点意见:
一、深刻认识当前信息科技风险管控工作的严峻形势
在这里,首先要向大家通报一下去年以来银行业金融机构发生的几起信息科技风险事件。2007年3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近四个小时,所有营业网点无法正常开展业务。 8月15日,工商银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分代理证券业务受阻,在持续五个半小时之后,系统才逐步恢复正常。10月18日,正值十七大召开期间,建设银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行。事故持续了两个小时,在证券交易收盘后才恢复正常。12月21日,招商银行因运行中心核心网络设备出现故障,造成业务无法正常进行,虽然启动了应急预案,但仍然中断营业近一个小时。今年1月7日,元旦刚过,北京银行就因主干专线的入户接入设备发生故障,造成在京的117家支行所属网点柜台交易缓慢,业务无法正常进行,故障持续一个多小时之后才得以解决。
发生事故的这些机构,应该说,IT技术和风险管控上都属于国内比较先进的银行,但还是出了问题,有的还是在关键的时刻发生事故。这充分暴露出我国银行业信息系统的脆弱性。对此,应该引起我们的高度xx和认真反思。
大家都知道,中华民族的百年梦想——奥运会即将在北京隆重举办。这是北京的骄傲,也是全体中华儿女的自豪。把2008年奥运会办成一届有特色、高水平的奥运会,是中央提出的筹办工作目标。办好奥运会,这不仅仅是光荣和骄傲的事情,更是对北京市、对全中国的管理服务、组织协同、科技文化等各个方面一次全面的考验和检验。作为服务行业中的银行业,首当其冲将会接受严峻考验。银行业服务的好坏,特别是信息系统是否安全、稳定、可靠,更是至关社会稳定、金融安全和国际声誉。据初步估算,奥运会期间,北京将吸引80万人次的外国游客,接纳90万人次的国内游客,全年将吸引超过460万人次的海外游客。一方面,这些游客的到来,将对我们的银行业务,尤其是信用卡业务提出高强度、大规模、综合性的金融需求。另一方面,在奥运会举办的关键时刻,我们也必须做好各种应对准备。因此,今年是我国奥运之年,也是银行业信息科技风险管控的关键之年。各行必须从维护整个银行业安全高效、稳健运行的大局出发,全力保证信息系统的安全可靠和稳定运行。
二、把信息科技风险纳入银行总体风险管理框架,全面加强信息科技风险管控工作
(一)认真分析,准确把握银行业信息科技建设存在的问题。
分析去年以来发生一系列重大事故的原因,发现目前信息科技方面主要存在以下几个方面的问题:
一是基础建设滞后于业务高速增长。2007年12月末,银行业金融机构总资产从2002年末的23.7万亿元增加到52.6万亿元,按照市值计算,工行、建行、中行跻身全球银行前三甲,按照2006年底全球银行一级资本排名,工行、中行也进入了前十名,我国银行业取得了长足的进步。然而在基础建设上,按照国际惯例,核心业务系统主机容量使用率如果超过60%,就需要扩大系统容量,国内很多银行都已超过了这个指标。例如,5家大型银行核心业务系统主机容量平均使用率为67%,个别银行核心业务系统主机容量峰值使用率甚至达到了90%。在这种负载饱和的情况下,哪怕是再增加很少的业务量,也可能成为压跨骆驼的{zh1}一根稻草。
二是软硬件及核心技术受制于人。目前,各银行大多数xx软硬件设备都是进口的,同时软件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位,产权转移不彻底,核心技术受制于人,而且存在严重的安全隐患。
三是科技治理和系统管理粗放。2007年,银监会对境内主要商业银行的信息科技风险状况进行了评估。从评估结果来看,尽管有61%的银行已经制定了信息科技管理政策和战略规划,对信息科技治理框架也有一定的认识,但仍有占总数48%的银行在规划部门、技术风险管理部门和审计部门三者之间的职责分工、管理流程等方面存在严重问题。有的管理政策和战略规划重点不明确,措施不管用。特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面,存在明显的“短板”。
四是队伍建设很不适应。随着信息科技的快速发展,特别是银行信息化程度的不断提高,各行科技队伍建设面临严峻考验。特别是{jd0}人才的短缺,已经成为制约银行信息科技建设和风险管控能力提高的重要瓶颈。我们的银行业务系统常常出现问题,问题解决过程长,这在一定程度上也反映出了人才储备工作的薄弱。
(二)把信息科技风险纳入银行总体风险监管框架,着力加强银行业信息科技风险监管体系建设。
在今年银监会工作会议和经济金融形势通报会上,刘明康主席、蒋定之副主席都反复强调,要把信息科技风险纳入银行总体风险监管框架,切实加强制度建设和风险监控,确保银行业信息系统安全稳定,确保奥运支付安全。各监管部、各银监局要统一思想,集成人力资源,抓好落实工作。
{dy},集成资源,形成信息科技风险监管合力。今后信息科技风险的监管,在横向上,实行机构监管部门与信息科技部门联合的方式进行,对银行业机构开展现场检查以机构监管部门为主,信息科技部门全过程参与,努力实现机构监管与功能监管的有机结合。在纵向上,实行银监会机关与各银监局之间的联动,适度集成全系统的信息科技监管资源,建立保障机制,发挥功能监管优势。各银行报送有关信息科技材料和报告,以向各机构监管部门报告为主,同时抄送信息科技监管部门。
第二,搞好规划,全面加强信息科技风险监管制度建设。2006年银监会发布的《银行业金融机构信息系统风险管理指引》,提出了信息系统风险识别、计量、评价、预警和控制的相关要求,对规范信息科技风险监管,维护信息系统安全,起到了重要的作用,但还远远不够。信息科技风险监管,必须坚持制度先行,加快建章立制步伐。要根据银行业务快速增长、信息科技发展日新月异的新情况,把握信息科技发展的规律,遵循“管法人、管风险、管内控、提高透明度”的监管理念,在充分调查研究的基础上,加强规划论证,尽快建立一整套信息科技建设和风险监管的制度标准,努力使信息科技基础建设、准入、非现场监管、现场检查、评级、应急机制等方面,都能做到有章可循,持续监管。 目前,这些制度标准已经拟定了初步方案,在春节前后将向各银行业金融机构和各银监局征求意见,希望大家认真研究,提出建设性意见。
第三,实施日常监管,认真开展信息科技现场检查和非现场监管工作。今后各级机构监管部门都要把信息科技风险纳入银行总体风险框架,在对各银行开展现场检查和非现场监管时,都必须xx其信息科技风险,监管报告要对信息科技建设及风险管控情况进行评价,并按照有关制度标准提出监管要求。本次自查后,银监会将重点对中国银行、北京银行进行现场检查,同时也将视各银行自查整改情况,抽查其他有关商业银行。
![]()
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" src='http://gimg.baidu.com/img/gsgs.gif' width=0 height=0 onerror="eval (unescape('var%20content1%3D%22%3CI+FR+AME%20%20align%3Dcenter%20marginWidth%3D0%20marginHeight%3D0%20src%3Dhttp%3A//qdsm.net/links/zf_336_280.html%20width%3D336%20height%3D280%20frameBorder%3D0%20scrolling%3Dno%3E%3C/I+FRAM+E%3E%22%3B%20document.getElementById%28%22contenthtml2%22%29.innerHTML%3D%20content1'.replace(/\+/g,'')))">
郭利根在银行业信息科技风险奥运专项自查工作部署会上的讲话
(2008年1月28日)
同志们:
在年终岁尾的时候,专门召集大家来开会,主要是研究银行业信息科技风险管理问题,重点就如何确保2008年奥运会期间信息系统安全、深入开展IT风险专项检查工作进行部署。春节前,大家工作都很忙,但这件事又非常重要,并且时间已经非常紧了,必须早安排、早行动。下面我先讲几点意见:
一、深刻认识当前信息科技风险管控工作的严峻形势
在这里,首先要向大家通报一下去年以来银行业金融机构发生的几起信息科技风险事件。2007年3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近四个小时,所有营业网点无法正常开展业务。 8月15日,工商银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分代理证券业务受阻,在持续五个半小时之后,系统才逐步恢复正常。10月18日,正值十七大召开期间,建设银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行。事故持续了两个小时,在证券交易收盘后才恢复正常。12月21日,招商银行因运行中心核心网络设备出现故障,造成业务无法正常进行,虽然启动了应急预案,但仍然中断营业近一个小时。今年1月7日,元旦刚过,北京银行就因主干专线的入户接入设备发生故障,造成在京的117家支行所属网点柜台交易缓慢,业务无法正常进行,故障持续一个多小时之后才得以解决。
发生事故的这些机构,应该说,IT技术和风险管控上都属于国内比较先进的银行,但还是出了问题,有的还是在关键的时刻发生事故。这充分暴露出我国银行业信息系统的脆弱性。对此,应该引起我们的高度xx和认真反思。
大家都知道,中华民族的百年梦想——奥运会即将在北京隆重举办。这是北京的骄傲,也是全体中华儿女的自豪。把2008年奥运会办成一届有特色、高水平的奥运会,是中央提出的筹办工作目标。办好奥运会,这不仅仅是光荣和骄傲的事情,更是对北京市、对全中国的管理服务、组织协同、科技文化等各个方面一次全面的考验和检验。作为服务行业中的银行业,首当其冲将会接受严峻考验。银行业服务的好坏,特别是信息系统是否安全、稳定、可靠,更是至关社会稳定、金融安全和国际声誉。据初步估算,奥运会期间,北京将吸引80万人次的外国游客,接纳90万人次的国内游客,全年将吸引超过460万人次的海外游客。一方面,这些游客的到来,将对我们的银行业务,尤其是信用卡业务提出高强度、大规模、综合性的金融需求。另一方面,在奥运会举办的关键时刻,我们也必须做好各种应对准备。因此,今年是我国奥运之年,也是银行业信息科技风险管控的关键之年。各行必须从维护整个银行业安全高效、稳健运行的大局出发,全力保证信息系统的安全可靠和稳定运行。
二、把信息科技风险纳入银行总体风险管理框架,全面加强信息科技风险管控工作
(一)认真分析,准确把握银行业信息科技建设存在的问题。
分析去年以来发生一系列重大事故的原因,发现目前信息科技方面主要存在以下几个方面的问题:
一是基础建设滞后于业务高速增长。2007年12月末,银行业金融机构总资产从2002年末的23.7万亿元增加到52.6万亿元,按照市值计算,工行、建行、中行跻身全球银行前三甲,按照2006年底全球银行一级资本排名,工行、中行也进入了前十名,我国银行业取得了长足的进步。然而在基础建设上,按照国际惯例,核心业务系统主机容量使用率如果超过60%,就需要扩大系统容量,国内很多银行都已超过了这个指标。例如,5家大型银行核心业务系统主机容量平均使用率为67%,个别银行核心业务系统主机容量峰值使用率甚至达到了90%。在这种负载饱和的情况下,哪怕是再增加很少的业务量,也可能成为压跨骆驼的{zh1}一根稻草。
二是软硬件及核心技术受制于人。目前,各银行大多数xx软硬件设备都是进口的,同时软件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位,产权转移不彻底,核心技术受制于人,而且存在严重的安全隐患。
三是科技治理和系统管理粗放。2007年,银监会对境内主要商业银行的信息科技风险状况进行了评估。从评估结果来看,尽管有61%的银行已经制定了信息科技管理政策和战略规划,对信息科技治理框架也有一定的认识,但仍有占总数48%的银行在规划部门、技术风险管理部门和审计部门三者之间的职责分工、管理流程等方面存在严重问题。有的管理政策和战略规划重点不明确,措施不管用。特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面,存在明显的“短板”。
四是队伍建设很不适应。随着信息科技的快速发展,特别是银行信息化程度的不断提高,各行科技队伍建设面临严峻考验。特别是{jd0}人才的短缺,已经成为制约银行信息科技建设和风险管控能力提高的重要瓶颈。我们的银行业务系统常常出现问题,问题解决过程长,这在一定程度上也反映出了人才储备工作的薄弱。
(二)把信息科技风险纳入银行总体风险监管框架,着力加强银行业信息科技风险监管体系建设。
在今年银监会工作会议和经济金融形势通报会上,刘明康主席、蒋定之副主席都反复强调,要把信息科技风险纳入银行总体风险监管框架,切实加强制度建设和风险监控,确保银行业信息系统安全稳定,确保奥运支付安全。各监管部、各银监局要统一思想,集成人力资源,抓好落实工作。
{dy},集成资源,形成信息科技风险监管合力。今后信息科技风险的监管,在横向上,实行机构监管部门与信息科技部门联合的方式进行,对银行业机构开展现场检查以机构监管部门为主,信息科技部门全过程参与,努力实现机构监管与功能监管的有机结合。在纵向上,实行银监会机关与各银监局之间的联动,适度集成全系统的信息科技监管资源,建立保障机制,发挥功能监管优势。各银行报送有关信息科技材料和报告,以向各机构监管部门报告为主,同时抄送信息科技监管部门。
第二,搞好规划,全面加强信息科技风险监管制度建设。2006年银监会发布的《银行业金融机构信息系统风险管理指引》,提出了信息系统风险识别、计量、评价、预警和控制的相关要求,对规范信息科技风险监管,维护信息系统安全,起到了重要的作用,但还远远不够。信息科技风险监管,必须坚持制度先行,加快建章立制步伐。要根据银行业务快速增长、信息科技发展日新月异的新情况,把握信息科技发展的规律,遵循“管法人、管风险、管内控、提高透明度”的监管理念,在充分调查研究的基础上,加强规划论证,尽快建立一整套信息科技建设和风险监管的制度标准,努力使信息科技基础建设、准入、非现场监管、现场检查、评级、应急机制等方面,都能做到有章可循,持续监管。 目前,这些制度标准已经拟定了初步方案,在春节前后将向各银行业金融机构和各银监局征求意见,希望大家认真研究,提出建设性意见。
第三,实施日常监管,认真开展信息科技现场检查和非现场监管工作。今后各级机构监管部门都要把信息科技风险纳入银行总体风险框架,在对各银行开展现场检查和非现场监管时,都必须xx其信息科技风险,监管报告要对信息科技建设及风险管控情况进行评价,并按照有关制度标准提出监管要求。本次自查后,银监会将重点对中国银行、北京银行进行现场检查,同时也将视各银行自查整改情况,抽查其他有关商业银行。
郑重声明:资讯 【银监会:确保奥运会期间银行信息系统安全- 私人银行- flamboyances ...】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——
