论文部分内容阅读
[摘要] COBIT是国际上公认的安全与信息技术管理和控制的开放性标准,它为实施信息系统的管理和控制提供依据,保证信息系统的安全性、可靠性和有效性。本文论述了COBIT控制目标体系的理论模型和在信息系统中的有效应用,提出了基于COBIT的网上银行控制目标体系的建立。
[关键词] COBIT 控制目标 网上银行
一、引言
随着我国银行业信息化服务体系的逐步完善,网上银行以低成本、高效益、方便快捷、应用广泛的特点,蓬勃发展显示出了强大的生命力。在享受网上银行方便和效益的同时,也要认识到网上银行是建立在开放网络上的银行信息系统,风险的扩散性大,易发性强。为了保证网上银行的安全、可靠和有效,需要进行严格的管理和控制,建立起一套安全有效的网上银行控制目标体系。
COBIT (Control Objectives for Information and related Technology,信息及相关技术的控制目标)是美国信息系统审计与控制基金会ISACF(Information Systems Audit and Control Foundation)与IT治理研究所(IT Governance Institute)共同研究与开发的国际上公认的安全与信息技术管理和控制的标准。它将组织(政府或企业)的信息化归纳为34个IT处理流程,34个IT处理过程按自然分组的方式划分到规划与组织、采集与实施、交付与支持、监控4个域中,全面介绍了如何控制、管理和测量每个流程。COBIT考虑了企业自身的战略规划,将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,由此确定IT准则。在IT准则指导下,利用COBIT模型来控制和管理信息资源,同时引入审计指南,从而保证IT资源管理的安全性、可靠和有效性。COBIT模型实现了企业战略与IT战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案,对推动信息技术的发展和应用具有十分重要的现实意义。因此,通过将COBIT应用到网上银行信息系统的开发和实施环境,可以为强化和评估网上银行的管理和控制提供依据。
但是也要考虑到,正因为COBIT的通用性,它忽略了各个信息系统的特殊性,因此不能生搬硬套COBIT工具的整套控制目标体系,而是需要根据实际情况把它具体化。首先,银行在应用COBIT前必须先了解其指导思想,COBIT是为了有效地整合组织的业务流程与信息系统,因此必须理解从IT资源的规划、信息的产生到整个业务流程的循环中,需要投入的IT资源,可以达到的IT目标,以及如何使每个IT处理过程有效运转,相互协调。其次,以COBIT的34个IT处理过程为模板,结合企业的业务流程和信息系统的具体情况,建立基于企业特殊要求的IT处理过程,然后提出每个IT处理过程的控制目标。最后,在应用COBIT的过程中,企业的业务流程、业务需求,以及IT技术在不断的变化发展中,COBIT本身也在不断的更新,因此,企业的IT处理过程及其控制目标必须及时更新。
二、基于COBIT的网上银行的目标管理体系的建立
由于缺乏有效的管理措施和控制机制,目前我国在网上银行建设和运行中存在一定风险。主要表现在网络基础设施建设不够完善,安全防范能力差;内控管理不够严格,业务创新和组织力度差;系统运行效益不够明显,监管机制和信用体系发育差。下面对照COBIT控制目标体系,结合网上银行系统具体情况,提出网上银行的管理和运行控制目标体系。
1.规划与组织
(1)制定统一的信息规划。规划是网上银行建设的第一步,规划的好坏对系统建设的成败有着至关重要的影响。根据银行业“十一五”信息化建设发展规划,本着“降低应用系统的运行保障成本、减少信息采集环节及存储加工环节,同时大大减小接口的复杂性”目标,对于提供主要的本外币对私和对公金融产品账户交易处理,实现核算和账务体系集成的核心业务系统,坚持走统一集中的道路。对于银行卡系统、证券交易系统等金融产品应用系统,已运行的系统要予以规范,尽量平滑过度到统一的平台上,形成功能强大的网上银行综合应用系统。
(2)建立完善的组织机构和人员配备。网上银行使银行业的内部组织结构由垂直式形态向扁平式形态发展。商业银行电子化、网络化即时沟通了各分支行与各部门之间的信息联系,网络中的各个成员可以直接从职能管理部门获取管理指令和反馈管理信息,商业银行业务经营中的各种授权,授信等均可通过网络实时实现。从而多层次的内部组织制度将被平行式的制度所替代。要建立起银行内部的人才储备库,成立专家在内的系统建设领导小组和由管理人员组成的技术雄厚的开发团队。
(3)进行系统总体设计,确定开发应用标准和规范。结合网上银行系统应满足客户的高效、稳定及新型业务二次开发的需求,综合考虑业务系统包括个人银行、企业银行、外汇业务、证券交易和网上支付等几大业务模块进行系统的总体设计。同时要建立各子系统所必须依据的统一技术规范、应用平台、指标体系、信息代码、运行管理制度等,以确保整个网上银行系统成为高效运行的有机整体。
(4)构建基本支撑体系。低层通信网选用TCP/IP,利用SSL(Secure Socket Layer)或其他安全协议构建安全通信通路;通过用户ID+口令、动态口令卡、USB Key数字证书认证机制等来实现身份鉴别;建立面向互联网的运行安全保障体系:网段隔离、双异构防火墻、入侵监测系统、漏洞扫描系统、病毒防护系统和基于加密机制的内网加密体系;建立应急与灾难备份系统建设和事后审查机制,有效完成系统实体安全、运行安全和信息安全。
2.采集与实施
(1)分析业务流程。明确用户需求,划清各个业务流程,确定每个节点流出的信息与正常工作的运转情况一致。
(2)确定应用开发模式。网上银行应用系统的开发模式分为自行研发、外包和合作开发三种。相比传统的自行研发模式开发周期长,人员老化快,技术更新差和外包开发模式的开发维护成本高,受外包公司影响大的缺点,新的网上银行系统的开发模式倡导走合作开发的道路。应用编码和系统编程分离开来,银行向外包商购买相应业务的程序功能模块,再通过自己的技术人员根据系统需求进行构建组装,建立业务管理通用开发平台。
(3)选用系统开发的方法。一个信息系统开发的成败与采用的开发方法有直接的关系。在网上银行的设计开发中应坚持“以客户为中心”的原则,以原型法开发方法为主要的理论依据。在开发过程中银行业务人员应始终参与系统开发过程,使得系统目标和功能得以保证,较快地研制出满足用户需求的应用系统,尽可能减少维护代价。
(4)选择开发平台。选择具有高度的可伸缩性、能够实现多系统并存所需的互操作能力,以及多种资源管理能力的应用开发平台。比如全球著名的电子商务解决方案供应商Financial Fusion公司开发的J2EE网上银行平台E-Financial Suite,支持1000万个注册账户,可以同时进行12000个网上银行用户并发处理。
3.交付与支持
(1)与原有系统衔接。原有的信息系统(如办公自动化系统)中多年积累起来的大量信息数据和在银行工作中形成的各种文档都是国家的资源,应该很好地保留并充分利用起来。因此,在建立网上银行系统时要很好地考虑与原有系统的衔接问题,做到网上银行系统与原有系统的平滑过度。
(2)用户培训。各大商业银行应提供系列培训,借助网上银行信息发布平台向用户提供安全提示、开通安全应用咨询热线、向大众普及网上银行的安全知识,介绍科学有效的信息安全措施。
(3)确保各个层次的安全。银行的网络整体结构是一个通过WAN连接的三层网络。系统采用双和防火墙结构,将网络划分为不同安全级别的区域进行区域隔离,有效地抵御来自内部、外部、中间部分的入侵。同时提供动态安全解决方案,对网络的每个结点的漏洞进行检测、对重要主机的操作系统进行检测、对数据库的安全进行检测、对网络关键的网段的数据流进行实时监控。
4.审计和评估
定期对网上系统进行内部的IT审计或独立的第三方IT审计和评估。首先确定待评估系统的边界和范围,明确评估的目的,帮助银行网络明确作为整个体系的安全目标什么;整个安全体系需要保护的对象是什么;其次,确定待评估系统的状态与所处的阶段,对银行网的信息安全风险能够从自身脆弱性,潜在威胁,策略和管理的评估等多方面综合分析,得出评估结果并做出评估报告,对于银行的风险有一个全面的认识。
网上银行关系到电子商务和银行工作的正常运转,通过应用网上银行系统控制目标,从规划与组织、采集与实施、交付与支持、审计与评估4个方面实施控制,为政府领导、IT技术人员、机关工作人员和IT审计人员提供了发挥其业务能力的平台,保证了网上银行系统的质量,大大促进了网上银行系统的安全、可靠与有效,充分发挥了银行信息化建设的整体效益。
参考文献:
[1]IT Governance Institute/ISACF.COBIT 4rd edition[EB/OL].http://www.isaca.org
[2]Ron Weber. information systems control and audit[M].Upper Saddle River,NJ:prentice Hall Inc.,1999
[3]胡克瑾:IT审计[M].北京:电子工业出版社,2002
[4]罗川君:银行应用系统开发模式探讨[J].华南金融电脑, 2004.5
[5]银行业“十一五”信息化建设发展规划报告[R].2006
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
[关键词] COBIT 控制目标 网上银行
一、引言
随着我国银行业信息化服务体系的逐步完善,网上银行以低成本、高效益、方便快捷、应用广泛的特点,蓬勃发展显示出了强大的生命力。在享受网上银行方便和效益的同时,也要认识到网上银行是建立在开放网络上的银行信息系统,风险的扩散性大,易发性强。为了保证网上银行的安全、可靠和有效,需要进行严格的管理和控制,建立起一套安全有效的网上银行控制目标体系。
COBIT (Control Objectives for Information and related Technology,信息及相关技术的控制目标)是美国信息系统审计与控制基金会ISACF(Information Systems Audit and Control Foundation)与IT治理研究所(IT Governance Institute)共同研究与开发的国际上公认的安全与信息技术管理和控制的标准。它将组织(政府或企业)的信息化归纳为34个IT处理流程,34个IT处理过程按自然分组的方式划分到规划与组织、采集与实施、交付与支持、监控4个域中,全面介绍了如何控制、管理和测量每个流程。COBIT考虑了企业自身的战略规划,将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,由此确定IT准则。在IT准则指导下,利用COBIT模型来控制和管理信息资源,同时引入审计指南,从而保证IT资源管理的安全性、可靠和有效性。COBIT模型实现了企业战略与IT战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案,对推动信息技术的发展和应用具有十分重要的现实意义。因此,通过将COBIT应用到网上银行信息系统的开发和实施环境,可以为强化和评估网上银行的管理和控制提供依据。
但是也要考虑到,正因为COBIT的通用性,它忽略了各个信息系统的特殊性,因此不能生搬硬套COBIT工具的整套控制目标体系,而是需要根据实际情况把它具体化。首先,银行在应用COBIT前必须先了解其指导思想,COBIT是为了有效地整合组织的业务流程与信息系统,因此必须理解从IT资源的规划、信息的产生到整个业务流程的循环中,需要投入的IT资源,可以达到的IT目标,以及如何使每个IT处理过程有效运转,相互协调。其次,以COBIT的34个IT处理过程为模板,结合企业的业务流程和信息系统的具体情况,建立基于企业特殊要求的IT处理过程,然后提出每个IT处理过程的控制目标。最后,在应用COBIT的过程中,企业的业务流程、业务需求,以及IT技术在不断的变化发展中,COBIT本身也在不断的更新,因此,企业的IT处理过程及其控制目标必须及时更新。
二、基于COBIT的网上银行的目标管理体系的建立
由于缺乏有效的管理措施和控制机制,目前我国在网上银行建设和运行中存在一定风险。主要表现在网络基础设施建设不够完善,安全防范能力差;内控管理不够严格,业务创新和组织力度差;系统运行效益不够明显,监管机制和信用体系发育差。下面对照COBIT控制目标体系,结合网上银行系统具体情况,提出网上银行的管理和运行控制目标体系。
1.规划与组织
(1)制定统一的信息规划。规划是网上银行建设的第一步,规划的好坏对系统建设的成败有着至关重要的影响。根据银行业“十一五”信息化建设发展规划,本着“降低应用系统的运行保障成本、减少信息采集环节及存储加工环节,同时大大减小接口的复杂性”目标,对于提供主要的本外币对私和对公金融产品账户交易处理,实现核算和账务体系集成的核心业务系统,坚持走统一集中的道路。对于银行卡系统、证券交易系统等金融产品应用系统,已运行的系统要予以规范,尽量平滑过度到统一的平台上,形成功能强大的网上银行综合应用系统。
(2)建立完善的组织机构和人员配备。网上银行使银行业的内部组织结构由垂直式形态向扁平式形态发展。商业银行电子化、网络化即时沟通了各分支行与各部门之间的信息联系,网络中的各个成员可以直接从职能管理部门获取管理指令和反馈管理信息,商业银行业务经营中的各种授权,授信等均可通过网络实时实现。从而多层次的内部组织制度将被平行式的制度所替代。要建立起银行内部的人才储备库,成立专家在内的系统建设领导小组和由管理人员组成的技术雄厚的开发团队。
(3)进行系统总体设计,确定开发应用标准和规范。结合网上银行系统应满足客户的高效、稳定及新型业务二次开发的需求,综合考虑业务系统包括个人银行、企业银行、外汇业务、证券交易和网上支付等几大业务模块进行系统的总体设计。同时要建立各子系统所必须依据的统一技术规范、应用平台、指标体系、信息代码、运行管理制度等,以确保整个网上银行系统成为高效运行的有机整体。
(4)构建基本支撑体系。低层通信网选用TCP/IP,利用SSL(Secure Socket Layer)或其他安全协议构建安全通信通路;通过用户ID+口令、动态口令卡、USB Key数字证书认证机制等来实现身份鉴别;建立面向互联网的运行安全保障体系:网段隔离、双异构防火墻、入侵监测系统、漏洞扫描系统、病毒防护系统和基于加密机制的内网加密体系;建立应急与灾难备份系统建设和事后审查机制,有效完成系统实体安全、运行安全和信息安全。
2.采集与实施
(1)分析业务流程。明确用户需求,划清各个业务流程,确定每个节点流出的信息与正常工作的运转情况一致。
(2)确定应用开发模式。网上银行应用系统的开发模式分为自行研发、外包和合作开发三种。相比传统的自行研发模式开发周期长,人员老化快,技术更新差和外包开发模式的开发维护成本高,受外包公司影响大的缺点,新的网上银行系统的开发模式倡导走合作开发的道路。应用编码和系统编程分离开来,银行向外包商购买相应业务的程序功能模块,再通过自己的技术人员根据系统需求进行构建组装,建立业务管理通用开发平台。
(3)选用系统开发的方法。一个信息系统开发的成败与采用的开发方法有直接的关系。在网上银行的设计开发中应坚持“以客户为中心”的原则,以原型法开发方法为主要的理论依据。在开发过程中银行业务人员应始终参与系统开发过程,使得系统目标和功能得以保证,较快地研制出满足用户需求的应用系统,尽可能减少维护代价。
(4)选择开发平台。选择具有高度的可伸缩性、能够实现多系统并存所需的互操作能力,以及多种资源管理能力的应用开发平台。比如全球著名的电子商务解决方案供应商Financial Fusion公司开发的J2EE网上银行平台E-Financial Suite,支持1000万个注册账户,可以同时进行12000个网上银行用户并发处理。
3.交付与支持
(1)与原有系统衔接。原有的信息系统(如办公自动化系统)中多年积累起来的大量信息数据和在银行工作中形成的各种文档都是国家的资源,应该很好地保留并充分利用起来。因此,在建立网上银行系统时要很好地考虑与原有系统的衔接问题,做到网上银行系统与原有系统的平滑过度。
(2)用户培训。各大商业银行应提供系列培训,借助网上银行信息发布平台向用户提供安全提示、开通安全应用咨询热线、向大众普及网上银行的安全知识,介绍科学有效的信息安全措施。
(3)确保各个层次的安全。银行的网络整体结构是一个通过WAN连接的三层网络。系统采用双和防火墙结构,将网络划分为不同安全级别的区域进行区域隔离,有效地抵御来自内部、外部、中间部分的入侵。同时提供动态安全解决方案,对网络的每个结点的漏洞进行检测、对重要主机的操作系统进行检测、对数据库的安全进行检测、对网络关键的网段的数据流进行实时监控。
4.审计和评估
定期对网上系统进行内部的IT审计或独立的第三方IT审计和评估。首先确定待评估系统的边界和范围,明确评估的目的,帮助银行网络明确作为整个体系的安全目标什么;整个安全体系需要保护的对象是什么;其次,确定待评估系统的状态与所处的阶段,对银行网的信息安全风险能够从自身脆弱性,潜在威胁,策略和管理的评估等多方面综合分析,得出评估结果并做出评估报告,对于银行的风险有一个全面的认识。
网上银行关系到电子商务和银行工作的正常运转,通过应用网上银行系统控制目标,从规划与组织、采集与实施、交付与支持、审计与评估4个方面实施控制,为政府领导、IT技术人员、机关工作人员和IT审计人员提供了发挥其业务能力的平台,保证了网上银行系统的质量,大大促进了网上银行系统的安全、可靠与有效,充分发挥了银行信息化建设的整体效益。
参考文献:
[1]IT Governance Institute/ISACF.COBIT 4rd edition[EB/OL].http://www.isaca.org
[2]Ron Weber. information systems control and audit[M].Upper Saddle River,NJ:prentice Hall Inc.,1999
[3]胡克瑾:IT审计[M].北京:电子工业出版社,2002
[4]罗川君:银行应用系统开发模式探讨[J].华南金融电脑, 2004.5
[5]银行业“十一五”信息化建设发展规划报告[R].2006
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。