论商业银行信息系统风险评估与控制

　根据商业银行信息系统风险模型，其中基于业务风险控制的风险评估模型主要针对银行业务具体处理，其风险识别是观察每一笔具体的业务数据，也可以转化为银行资产的差错；其中基于信息技术控制的风险评估模型主要针对安全保障技术，其风险识别是找出系统可能存在的不安全因素。据此，可以推理出系统风险评估模型为：
　　商业银行信息系统风险评估模型由四个模块组成：业务差错识别模块负责找出每一笔已经发生的差错业务，其方法是通过业务差错发现和资产调查寻找每一笔差错业务，修正商业银行信息系统运行错误；威胁分析模块负责寻找技术安全威胁，用安全扫描来找出安全漏洞，用入侵检测来发现受到的侵犯；安全分析模块负责对系统设置的安全策略进行分析，对系统内部运行的软件进行分析；系统安全评价模块在前面三个模块分析结论的基础上由银行风险因素诊断指标体系[2]得出系统安全评价量化指标。
　　该商业银行信息系统风险评估模型的特点主要是：1.业务风险评估和技术风险评估同一量化构成信息系统的风险，便于系统的横向比较；2.采用自动化的检测评价为主的方法，对于硬件的风险和人为的风险，可以加入人工评价修正，有利于实时监控；3.系统简洁，事前预防和事后发现相结合，可行适用。
　　三、商业银行信息系统风险控制措施
　　通过风险评估，可以进行风险计算，计算出大致成本，控制防范风险就是要采取行动，并得到资金的支持。银行业金融机构应根据信息系统总体规划，制定明确、持续的风险管理策略，按照信息系统的敏感程度对各个集成要素进行分析和评估，并实施有效控制[1]。
　　在硬件方面控制风险，首先要选择合适的供应商，选择满足安全要求的解决方案。在网络安全方面，要将银行内部网络与银行外部网络隔离，通过防火墙或者代理服务器连接。通过隔离连接容易实现数据检查，减少系统暴露面，发现问题系统及时报告及时处理。在银行信息系统建设上，可以借鉴成熟的运行系统，采用成熟的信息技术，银行业金融机构应重视知识产权保护，使用正版软件，加强软件版本管理，优先使用具有中国自主知识产权的软、硬件产品；积极研发具有自主知识产权的信息系统和相关金融产品，并采取有效措施保护本机构信息化成果。[1]
　　在银行信息系统运行方面，银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等；明确与信息系统相关人员的职责权限，建立制约机制，实行最小授权。[1]
　　银行信息系统风险管理要坚持持续管理风险的理念，银行信息系统风险的存在是会随着时间和环境的变化而不断变化，持续管理就是要跟随环境的变化。建立持续管理策略，就是在银行信息系统中，不断地进行评估。不断地实施PDCA循环，即计划（Plan）、实施（Do）、检测（Check）、改进（Action）四个进程。安全控制的境界不能放在不断纠正错误上，应该放在预防上，就是要不断检测，不断发现不安全因素，不断地改进，使系统符合变化环境下安全需求。

　　参考文献：
　　[1] 中国银行业监督管理委员会.银行业金融机构信息系统风险管理指引.银监会313号文件，2006.11.1
　　[2] 雷宏.网络银行风险状态诊断方法研究[J].山西大同大学学报，2009，10（5）：89