网络安全风险预案范文

【关键词】网络银行风险防范措施

一、网络银行的技术风险

（1）技术选择风险。网络金融业务的开展必须选择一种成熟的技术解决方案来支撑。在技术选择上存在着技术选择失误的风险。这种风险既来自于选择的技术系统与客户终端软件的兼容性差导致的信息传输中断或速度降低的可能，也来自于选择了被技术变革所淘汰的技术方案，造成技术相对落后、网络过时的状况，导致巨大的技术和商业机会的损失。

（2）系统安全风险。网络金融的业务及大量风险控制工作均是由电脑程序和软件系统完成，所以，电子信息系统的技术性和管理性安全就成为网络金融运行的最为重要的技术风险。虽然网络银行都设计有多层安全系统，并不断出现新的、安全性的技术及方案，以保护虚拟金融柜台的平稳运行，但是网络银行的安全系统仍然是网络银行服务业务中最为薄弱的环节。这种风险既来自计算机系统停机、磁盘列阵破坏等不确定因素，也来自网络外部的数字攻击，以及计算机病毒破坏等因素。

（3）外部技术支持风险。由于网络技术的高度知识化和专业化，或出于降低营运成本的考虑，网络银行往往要依赖外部市场的服务支持来解决内部的技术或管理难题。这种做法适应了网络银行发展的要求，但由于外部技术支持者可能不具备满足网络银行要求的足够能力而无法提供高质量的金融服务。

二、网络银行的业务风险

（1）操作风险。操作风险主要涉及网络银行账户的授权使用、网络银行的风险管理系统、网络银行与客户间的信息交流、真假电子货币的识别等领域。例如，网络银行改变了传统的以图章为支付指令的结算手段，采用数字签名方式对支付指令的有效性进行确认。由于网络的“虚拟性”，数字签名的可靠性完全取决于银行安全控制系统的严密与否。

（2）市场信号风险。由于网络银行无法在网上鉴别客户的风险水平而处于不利的地位，在虚拟的金融市场上，网上客户不了解每家银行提供的服务质量究竟是高是低，多数客户会按照他们对网络银行提供服务的平均质量来确定预期购买价格。结果，高质量的网络银行反而可能被低质量的网络银行排挤出网上市场。

（3）法律风险。网络银行的法律风险源于违反相关法律规定、规章和制度，以及在网上交易中有关权利与义务的规定多不清晰，缺乏相应的网络消费者权益保护管理规则及试行条例。目前国际上和国内都尚未就网络银行涉及的法律问题达成共同协议，也没有―个仲裁机构，客户与网络银行很容易陷入法律纠纷之中，结果是使交易者面对着关于交易行为及其结果的更大的不确定性，增大了网络金融的交易费用，甚至影响网络金融的健康发展。

三、网络银行的监管

通过以上对网络银行面临的诸多崭新风险的分析，我们可以看出网络银行的发展将银行业的监管提升到更高的难度，网络银行的风险监管与控制更趋复杂化。要有效控制网络银行带来的新风险，必须针对各种风险的特征建立起国家、行业、企业三个层次的网络银行监管系统，互相支持，互为补充，达到对风险强有力的预测、控制、化解的作用。

（1）国家层面的网络银行风险控制。国家层面的网络银行风险控制，具体是指在宏观层次上的风险防范与控制，旨在为网络银行的健康发展提供良好的环境和平台。具体来说：大力发展先进的、具有自主知识产权的信息技术。目前我国在金融电子化业务中使用的计算机、路由器等软、硬件系统大部分由国外引进，而且信息技术相对落后，因此增大了我国网络银行发展的安全风险和技术选择风险；加强防范和控制网络银行风险的制度建设。我国目前已初步制定关于网上证券交易、计算机使用安全保障等方面的法规，但还远不能适应网络发展的要求。应借鉴外国经验，在网络金融发展的初期及时制定和颁布有关法律法规，如在电子交易合法性、电子商务的安全保密、禁止利用计算机犯罪等方面加紧立法，修改（合同法）、（商业银行法）等法律条文中不适合网络金融发展的部分。

（2）行业层面的网络银行风险挫制。行业层次即在中央层次的风险防范和控制，主要是中央银行对网络银行的各种风险进行监控。具体来讲：及时调整和转变传统的监管思路和监管理念。应当清醒地认识到网络银行的诞生对中央银行传统监管方式带来的挑战，网络银行的发展打破了传统的金融区域界限和行业界限，使得金融业务综合化发展的趋势不断加强；严格网络银行的市场准入。现阶段，在审批过程中应把握：严格制度建设。网络银行的公示、信息披露、内部控制和系统设计等制度性安排，必须严格审批。重风险防范、化解机制，网络银行的设立或新业务的开展，必须具备完善的风险识别、鉴定、管理、风险弥补和处置方案和计划。

（3）企业层面的网络银行风险控制。企业层面的网络银行风险控制是指各网络银行在各自经营活动中对风险的防范和控制。

透彻研究国家的法律法规，必须强化内部监控，防范违规行为和电脑犯罪，避免因法律的不确定性带来的法律风险。

加强日常安全管理，对网络银行技术方案进行科学缜密的论证，以避免出现大的技术选择错误。

在经营过程中对网上金融消费者进行跟踪和信用登记，尽量避免与信用等级低的客户发生业务关系，降低信用风险。

在经营活动中严格按照信誉至上的准则办事，树立良好的银行信誉。

网络安全风险预案范文

首先通过风险识别，明确企业网络安全风险的存在，找到主要的风险因素，为后面的风险评估和风险规避奠定基础，在风险识别之后须进行风险评估，确定其对企业发展影响的严重性，以便下一步采取相应的措施，然后根据企业内外部风险的实际情况，采取相应的对策、措施或方法进行风险规避，使风险损失对企业生产经营活动的影响降到最小限度，最后应及时或定期进行跟踪，辨识是否有新的风险因素产生，并针对发现的新问题和新风险，采取或者变更应对措施，通过不断的循环，确保风险管理的充分性、适宜性和实效性。

1风险识别

网络安全防护工作主要包括以下几方面：（1）网络与信息安全管理机制，包括组织机构的设置和信息通报制度的建立等；（2）与网络相关的各种设备设施，主要包括服务器、网络设备、存储设备、终端设备和各种操作系统及软件等；（3）支撑网络运行的基础设备设施，主要包括机房电源、UPS、空调、防火设施以及温度感应器、湿度感应器和视频监控等监控设备；（4）网络应急备份设备设施。明确网络安全防护主要内容后，需要对各项内容存在的安全隐患进行逐一识别并加以分析。其中，管理机制可能存在的安全问题有：组织机构的建立以及机构建立后的完善程度，信息通报制度的建立以及通报渠道通畅性，各种管理制度的落实及执行力等。网络相关设备设施存在的主要安全问题有：自然灾害（如火灾、雷击）、环境事故（如断电、鼠患）、人为对硬件破坏、数据库和操作系统等软件的漏洞以及人为等原因造成的安全隐患。支撑网络运行的基础设备设施可能存在的安全问题主要是：机房电源、UPS、空调和防火设施配备是否齐全；由于地震、爆炸、大火等灾害造成通信线路断裂；网络连接接口松动或网络设备损坏等。网络应急备份设备可能存在安全问题主要是：应急预案和应急支援队伍的建立及完善程度；应急演练开展的情况；重要数据和系统是否进行备份和备份的及时性等。

2风险评估

在对网络安全保障工作中可能存在的风险和隐患进行识别后，通过对所收集的识别资料加以分析，进行风险估计。风险评估按照严重性、可能性和风险系数3个影响因素进行划分。（1）风险严重性等级的划分依据是进度延误或者费用超支。延误或超支指标按照每多5个百分点为1级划分，共分为5个等级，分别用1~5数字表示。（2）风险可能性等级依据风险发生的概率进行划分，共分为5个等级，也分别用1~5数字表示，概率<20%的为1级，发生概率每多出20%，即多一个等级。（3）风险系数通过对风险严重性和风险可能性的等级来确定，当风险严重性等级为5，可能性等级为5，那么它的风险系数是5×5=25，当风险严重性等级为1，可能性等级为1，那么它的风险系数是1×1=1，这样风险系数共分为1~25等级。风险系数为1时，风险等级最低，属于小风险，在一定程度上不会造成重大事故的发生，风险系数为25时，风险等级最高，属于重大风险，一旦发生，会造成人员伤亡、财产损失、严重影响生产等后果，带来不良的社会效应，需要引起高度的重视。

3风险规避

在对网络安全防护工作存在的风险进行评估之后，网络部门的管理者已经对网络安全防护工作中存在的种种风险和严重程度有了一定的把握。这时需要找到风险发生的原因或者引起风险的触发条件，并在此基础上，从众多的风险应对策略中，结合工作实际，选择行之有效的方法和规避措施，把风险转化为机会或将风险所造成的负面效应降低到最低的程度。比如，网络安全管理机制的建立及完善是网络安全防护的首要任务。首先，企业需要建立起完善的组织机构，包括领导小组和工作小组。领导小组的组成应该由企业的主要领导及各部门的主要负责人组成，一旦发生隐患和事故时，企业能够做出快速响应；工作小组主要由企业的网络管理员和各部门的相关技术人员组成，除了做好日常网络与信息安全监督和管理工作，还要配合企业做好各项网络安全的检查工作。其次，企业需要建立并完善信息通报制度，并保障通报渠道的通畅性，发生事故时，利用通报渠道，可以迅速把发生事件及严重程度传达到各级部门，使领导能够迅速做出决策并把决策和方案传递到各部门，日常工作中，信息通报渠道也是相关人员学习和交流的平台。再比如，关于某企业下属企业的网络相关设备设施和支撑网络运行的基础设备设施，当网络通道中断时，引发中断的原因可能有3点：网络外部链路故障、企业内电话班或机房设备故障、下属企业内部网络链路故障。根据上述网络通道中断的3个触发条件，需要采取的规避措施是：通过各系统的监控系统对网络状况进行实时监控，发现问题立刻与铁通、电信通等相关单位联系；敦促电话班、上级企业网络中心检查设备，并建立共同的应急机制；检查企业内部网络链路上的关键设备状况；对关键线路上的关键设备进行备份；梳理并熟知应急预案等。

险跟踪

风险管理是一个动态变化的过程。网络安全工作在开展的过程中，本身存在很多不确定的因素，有些甚至可能与分析的风险和预定的计划存在冲突，尤其是针对某些复杂和庞大的生产系统的网络安全防护工作，很多风险是难以预知的。因此，应及时或是定期地进行跟踪，明确风险发生的时间、解决状态、责任人，辨识是否有新的风险因素产生，各类风险的发生概率和严重程度是否有变化，风险规避的措施是否适宜，实施是否有效等。针对发现的新问题和新风险，及时采取或者变更应对措施，这样才能确保风险管理的充分性、适宜性和实效性。

网络安全风险预案范文篇3

【关键词】金融机构；信息科技；风险管理

1引言

随着信息科技水平的不断提高，信息科技在给小微金融机构中带来作用的同时也不断增加了信息科技风险，给小微金融机构的经营发展带来了挑战。当前，小微金融机构对信息科技风险管理的水平还比较低，如何有效控制与管理信息科技风险，是当前小微金融机构在信息化建设过程中必须面对的重要课题。

2小微金融机构信息科技所面临的风险

小微金融机构信息科技风险指的小微金融机构在运用信息科技的过程中，因技术漏洞、管理缺陷等人为的或自然的原因而造成的问题或危机。在当前信息技术与银行业务深度融合的情况下，信息科技风险事件涉及的范围广、程度深，给银行等其他金融机构带来较大的经济损失，尤其在小微金融机构中，信息科技风险带来的损失更为严重。

3小微金融机构信息科技风险管理中存在的问题

3.1信息科技风险管理的技术水平较低

从现状来看，我国小微金融机构信息科技风险管理的技术水平较低主要体现在如下方面，首先，以银行为代表的大部分小微金融机构缺乏专业化的信息资产风险管理机构，缺乏系统的信息系统管理政策、技术标准及监督、绩效评估工作，领导者与风险管理部门无法实现对风险管理的有效监督。另一方面，小微金融机构对信息科技安风险管理的工作仍停留在定性的层面，缺乏对信息技术风险管理专业的定量分析。与此同时，金融机构信息科技风险管理的IT风险管理手段仅停留在制度检查层面，缺乏技术支持，对风险管理的预防措施有限，对风险管理的技术控制难度大，其信息系统的自我控制的能力较差。

3.2基础设施安全建设存在隐患

从我国小微金融机构基础设施安全建设情况来看，存在较大的隐患。

一方面，机房管理滞后，在我国小微金融机构的机房中，存在着防水火及供电不达标的问题，且缺乏相应的防雷系统、门禁系统等，机房安全管理严重滞后；另一方面，网络运行安全性不高，由于金融机构的分支机构及营业网点及业务都处于数据集中的状态中，这样就给金融机构网络的稳定性及通畅性提出了更高要求，而在小微金融机构中，存在未按监管要求配置主备通讯线路的现象，容易导致营业网点出现业务办理受阻的现象，致使信息科技风险隐患增加。

4应急处置能力低

信息系统的集中及数据爆炸式的增长使金融机构的应急处置面临巨大的挑战，尤其对于小微金融机构来说，其应急保障机制更为落后。在我国小微金融机构中，一般都设有信息系统的应急预案，但对于预案却缺乏相应的应急演练，在系统发生紧急事故时，无法对问题实施预案应急措施。其次，部分小微金融机构的系统应急预案覆盖面笼统，缺乏针对性和操作性，缺乏有效的技术支持。另外，风险管理的人员的应急处理能力较低，对重大信息科技风险的应急执行缺乏有效性，导致风险损失增加。

5加强小微金融机构信息科技风险管理对策

5.1提升信息科技风险管控能力

小微金融机构要提高信息科技风险管理的水平，首先应该提高其信息科技风险管控的能力，因此，小微金融机构有必要建立三个机制。

第一，信息科技风险管理保障机制。金融机构领导者应该提高风险管理意识，将信息科技风险管理工作纳入议事日程，并建立健全的信息科技风险管理机构的和岗位责任制度，充分发挥出安全检查、风险监控、审计监督的作用；加强对信息科技风险管控人员的培训与管理，并加大违规行为的处罚力度，提高其风险管理的能力。

第二，信息科技风险评估和预警机制。小微金融机构应该在充分分析信息科技风险对金融机构影响的基础上，有针对性的落实风险评估制度和建立信息科技风险监测制度，将风险分类并制定相应的风险报告机制，使信息科技部门与业务部门紧密联合起来，加强沟通协调，提高对信息科技风险的评估与预防能力。

第三、信息科技风险应急处理机制。小微金融机构要加强对信息备份、灾难恢复及业务连续的管理，对应急预案要加以培训和演练，将应急和灾备工作从技术管理层面提升到全行工作层面，以提高应对信息系统安全事件的团队应急能力。

5.2加强基础设施安全建设

加强金融机构基础设施安全建设，有利于提高基础设施安全水平，进而有利于降低信息科技风险。小微金融机构应加强基础设施安全建设投入，重点加强机房消防系统、防雷系统、UPS等的技术投入，完善机房基础设施并完善机房管理制度，保证系统设备的正常运行，加强对系统设备故障的预测与报警。并设立专门的技术设施检查维修小组，负责基础设施的安全维护工作，确保基础设施安全管理的有效性。

5.3强化金融交易监管

随着金融环境与金融交易方式的变化，信息化的金融交易也带来了一定的信息科技风险，小微金融机构应该采取措施强化金融交易监管。

一方面，要加快网络金融安全立法进程，制定金融安全政策和标准，成立对应的网络金融安全管理部门，指导网络金融的发展，并严厉打击网络金融犯罪；另一方面，要建立跨部门的现代化信息安全管理网络，实现对金融机构业务信息安全风险的及时、动态、全面、连续的监管。还应该借鉴国外的网络安全管理模式，建立适合于我国小微金融机构信息化建设的网络框架，以实时的监管小微金融机构业务，保证交易的安全性。

5.4加强对从业人员的素质建设和岗位管理

相对于大型及核心金融机构，小微金融机构从业人员的专业素质及岗位配置明显落后，小微金融机构应该加大对农村金融机构人员的投入，积极引进高素质的信息科技人员，并对原有的从业人员进行定期的培训工作，提高其信息科技风险防范意识与风险管理能力。同时，金融机构还应增加对信息系统管理、运行、维护等岗位人员的配置，以完善职责分配，落实岗位制衡。最后，完善相应的信息科技风险管理制度，加强信息科技风险审计，完善激励约束机制，激发从业人员的主观能动性，从整体上提升小微金融机构信息科技风险管理的水平。

6结束语

在信息科技风险管理的工作中，小微金融机构要从安全制度建设及技术手段上加强对风险的防范与管理，在全面、可行的安全防护措施中，将信息科技风险降低到最低的程度，进而才能保证小微金融机构得到稳定的发展。

参考文献

[1]陈文雄.发展银行业信息科技风险管理意识须先行[J].中国金融，2009（07）.

[2]唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑，2009（02）.