中證網訊 一份2007年德勤全球金融服務業安全調查報告顯示，信息安全已成為金融機構面臨的風險中的重要一環。而當前中國銀行業金融機構面臨的主要信息科技風險包括缺乏有效的信息科技風險管理戰略、信息科技治理結構還不夠完善、高級管理層重視不夠、信息安全管理工作更多強調技術層面以及合規風險。

　　這份調查報告范圍覆蓋全球169個主要金融機構的主管信息安全和IT的專業人士，其中銀行業占68%、保險占18%、投資和證券占12%、支付處理占2%。

　　報告還指出，總體上，中國的金融機構都制定了業務發展戰略，但缺乏與業務發展戰略相一致的信息科技發展戰略，也缺乏信息科技風險戰略，以指導信息科技風險管控工作。

　　金融機構內部大多數部門都認為信息科技工作是信息科技部門的事情，同樣信息科技風險管理也只是信息科技部門的責任，導致了信息科技治理結構不夠完善，信息科技風險管理缺乏業務、風險管理、內部審計部門的有效支持。高級管理層在“口頭上”都很重視，但高級管理層很少履行切實的承諾，在資金上給與足夠的支持。

　　今天，更多金融機構注重從技術層面加強邊界保護，而很少從流程、技術、人員三個不可分離的層面從事信息安全管理工作。由于當前在信息科技風險管控方面不能夠滿足外部監管機構的要求，從而給金融機構帶來合規風險。

　　報告最后提出了關于加強金融機構信息科技風險管理的建議，即使金融機構應結合自身業務發展戰略，在對信息科技風險評估的基礎上，借鑒先進金融機構的良好做法和國際標準基礎上，制定出與業務發展目標保持一致的信息科技風險管理戰略。加強信息科技風險治理結構建設，設計出包括高級管理層、業務部門、信息科

　　技部門、風險管理部門、審計和合規部門在內的信息科技風險治理架構，以滿足信息科技風險管理對治理結構的要求。

　　從業務需求出發，從人員、技術和流程三個角度加強信息科技風險管控程序建設，逐步提高信息科技風險管控能力，滿足外部監管要求。還要持續地加強高級管理層、管理層以及一般人員，并包括合作伙伴等人員的信息安全意識教育和培訓。