正   文

电子银行安全评估:防患未然、心中有数

  

  银行的业务开展模式随着网络信息化的发展已经发生了巨大的变化,最明显的就是以信息技术为支撑平台的电子银行逐渐成为各银行的重要业务渠道。而信息安全保障问题是电子银行系统建设中必须解决的基础和根本性问题,关系到客户与银行的切身利益。由于电子银行特定的运作方式和网络环境,电子银行在带给人们极大便利的同时,也带来了更多的传统或新的安全风险。

  电子银行网上交易业务的安全性能否得到充分的保障将直接影响到我国电子商务和电子政务的健康有序发展。为有效防范风险,确保电子银行的安全,就必须加强对电子银行的监督与管理。为此,2005年,中国银监会相继出台《电子银行业务管理办法》和《电子银行安全评估指引》,用于指导金融行业的关于电子银行业务开展和保障电子银行信息安全,并对如何进行安全评估起到了重要的指导性作用。这两项文件,要求申请和开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,利用外部专业评估机构或内部独立于电子银行业务运营及管理的评估部门,定期对电子银行进行安全评估。

  将安全评估进行到底

  电子银行系统的信息安全保障必须从信息系统出发,结合银行行业的特点,以风险和策略为出发点和核心,通过在信息系统生命周期中对技术、过程、管理和人员进行保证,确保信息的机密性、完整性和可用性,从而进一步保障实现安全可靠的电子银行交易的最终目的。这些信息系统包括:用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构以及人员和组件的总和。

  用通俗的语言描述,电子银行的安全评估,就是指对开展电子银行业务的金融机构在电子银行管理过程中的电子银行安全策略、内控制度、系统安全、客户保护等方面,进行的安全测试和风险管理能力等的综合安全考察与评价。通过对电子银行系统进行全方位的安全评估,尽可能地发现电子银行系统中存在的安全隐患,并根据发现的问题提出建议采取的相应措施。同时,也为中国银监会电子银行监管提供重要参考依据。

  由于电子银行采用的信息技术的先进程度日趋完善,系统的设计开发水平日益成熟,以及相关设施设备及其供应商的选择逐渐多元等因素,电子银行的安全和技术风险依靠传统的风险管理机制已很难识别、监测、控制和管理。因此,在一家银行最初建立电子银行系统时,都要进行专业的安全评估项目工作,以便为日后相关业务的发展奠定基础扫清障碍。除此类情况外,在我国境内开展电子银行业务的金融机构以及利用境内的电子银行系统向境外提供电子银行服务的金融机构,都应定期(一般为每两年进行一次)对电子银行安全进行评估。

  “系统测试”、“业务管理”——两手都要抓

  从事安全评估工作,应当由符合一定资质条件、具备相应评估能力的评估机构实施。为保证相关评估机构具备相应的资质,中国银监会利用其掌握的专家资源和专业经验,开展对评估机构电子银行安全评估业务资格的认定工作,作为金融机构选择评估机构时的参考。中国金融认证中心(CFCA)根据中国银监会颁布的《电子银行安全评估指引》,向银监会提交了“电子银行安全评估机构申请资格认定材料”,具备做电子银行安全评估服务的资格。

  CFCA提供的安全评估服务从业务管理和系统测试两方面入手。由于CFCA多年来一直致力于商业银行电子银行领域安全研究,并拥有52家商业银行的安全认证案例,因此对电子银行从业务和技术方面均有非常深入的了解和丰富的经验。目前,行业里其他安全评估厂商均偏重于系统级测试,而CFCA根据多年来在银行业的丰富经验和专业性,从业务管理和系统测试双方面同时开始评估,帮助商业银行发现电子银行的业务体系架构中的安全问题以及系统漏洞,以确保其承载信息的机密性、完整性和有效性。 到目前为止, CFCA已经为众多银行提供了多种安全评估服务,既有全国性的股份制银行,也有地方城市商业银行,还有外资银行。通过安全评估,CFCA为银行提出了切实可行的评估建议和改进方法,为商业银行电子银行的稳定运行提供了帮助,提高了电子银行系统的安全保障能力。  

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888