網(wǎng)絡(luò)攻擊是移動互聯(lián)網(wǎng)時代商業(yè)銀行面臨的外部風(fēng)險之一，在商業(yè)銀行內(nèi)部控制以及合規(guī)風(fēng)險管理中應(yīng)當受到高度重視。2018年10月1日，英國金融行為管理局（Financial Conduct Authority）對英國最大超市樂購集團（Tesco PLC）全資控股的樂購銀行（Tesco Bank）處以罰款1640萬英鎊，折合人民幣1.48億元。罰款是針對該銀行在2016年11月發(fā)生的網(wǎng)絡(luò)攻擊事件中未能夠勤勉、盡職保護客戶免受可預(yù)見的損失而施加的處罰。當前，國際銀行業(yè)面臨的網(wǎng)絡(luò)黑客攻擊形勢嚴峻，英國金融行為管理局對樂購銀行處罰案例為全球商業(yè)銀行的網(wǎng)絡(luò)安全管理敲響了警鐘。下面對該案例進行分析，并以案為鑒，提出對我國銀行業(yè)網(wǎng)絡(luò)風(fēng)險管理的若干啟示及對策建議。

一、樂購銀行基本情況

（一）樂購銀行的背景及業(yè)務(wù)

樂購集團（Tesco）與沃爾瑪、家樂福并稱為全球三大零售商，樂購銀行是樂購集團旗下的網(wǎng)絡(luò)銀行。樂購銀行前身為樂購金融服務(wù)公司，是樂購集團與蘇格蘭皇家銀行的合資公司。2008年12月19日，樂購集團收購了蘇格蘭皇家銀行的股份，全資擁有樂購金融服務(wù)公司并更名為樂購銀行。樂購銀行可以為客戶提供一系列的金融產(chǎn)品及服務(wù)，包括儲蓄、現(xiàn)金、信用卡、抵押、貸款、保險和借記卡服務(wù)等。

在樂購銀行成立之前，樂購集團和國民西敏寺銀行（NatWest）聯(lián)合提供被稱為樂購俱樂部卡的儲蓄卡，該卡與客戶的儲蓄賬戶相關(guān)聯(lián)，客戶能夠通過該卡片進行購物和ATM取款。該卡在樂購銀行成立之后成為樂購銀行的產(chǎn)品。2010年，樂購銀行決定給客戶提供個人現(xiàn)金賬戶的借記卡，并以樂購集團存量客戶為基礎(chǔ)，通過忠誠度獎勵計劃將樂購俱樂部卡融合進來。截至2016年11月末，樂購銀行員工總數(shù)約為4000人，擁有760萬個客戶賬戶，13.6萬個現(xiàn)金賬戶。

（二）樂購銀行卡設(shè)計的缺陷

2016年12月13日之前，樂購銀行在發(fā)行借記卡時是從一批連續(xù)的5萬個數(shù)字當中以隨機的方式進行編碼，直到該批數(shù)字用完才會使用下一批數(shù)字。這導(dǎo)致樂購銀行借記卡出現(xiàn)了有依據(jù)的可被計算的按次序卡號，使網(wǎng)絡(luò)攻擊者容易推測出真實的借記卡卡號。在網(wǎng)絡(luò)攻擊發(fā)生后，樂購銀行修改了這種卡號編碼方式。

樂購銀行使用授權(quán)系統(tǒng)和欺詐交易監(jiān)測系統(tǒng)對交易進行監(jiān)控，通過授權(quán)系統(tǒng)提供基礎(chǔ)授權(quán)服務(wù)，通過欺詐交易監(jiān)測系統(tǒng)進行反欺詐分析和監(jiān)測。一旦出現(xiàn)欺詐交易，欺詐交易監(jiān)測系統(tǒng)將下達指令阻止相關(guān)交易。但樂購銀行的欺詐交易監(jiān)測系統(tǒng)在身份驗證上是針對現(xiàn)金賬戶而不是借記卡，缺乏雙重驗證功能，這導(dǎo)致即使該系統(tǒng)監(jiān)測到網(wǎng)絡(luò)攻擊者發(fā)起欺詐交易，且銀行已經(jīng)對借記卡掛失，但網(wǎng)絡(luò)攻擊者仍然可以使用賬戶上的資金余額，只要該賬戶綁定了另外一張真實的借記卡。

二、樂購銀行遭受網(wǎng)絡(luò)攻擊事件回顧

（一）網(wǎng)絡(luò)攻擊發(fā)生前的風(fēng)險警示

2015年11月4日，維薩國際組織（VISA）向其成員（含樂購銀行）發(fā)出銀行欺詐交易的網(wǎng)絡(luò)攻擊風(fēng)險警示，指出美國和巴西有犯罪分子通過網(wǎng)絡(luò)攻擊進行“PoS91”類型交易的欺詐活動?！癙oS91”是一種行業(yè)代碼，指顧客使用銀行卡通過PoS機進行交易，PoS機終端根據(jù)與借記卡相關(guān)聯(lián)的芯片非接觸或者客戶通過移動設(shè)備完成支付。收到警示信息后，樂購銀行內(nèi)設(shè)的金融犯罪控制團隊立即停止了所有樂購銀行信用卡的“PoS91”類型交易，但是對借記卡的該類型交易沒有停止。2016年9月30日萬事達國際組織（Master Card）也對其成員（含樂購銀行）發(fā)出了“PoS91”類型交易欺詐警示郵件。郵件中提到，“PoS91”類型借記卡無接觸式欺詐交易通常表現(xiàn)為，犯罪分子偽裝成巴西賣家在美國小商品網(wǎng)站上進行低價值商品交易。樂購銀行金融犯罪反欺詐戰(zhàn)略團隊收到了該郵件，但并沒有采取進一步的措施。

（二）網(wǎng)絡(luò)攻擊的發(fā)生和樂購銀行的應(yīng)對

2016年11月5日凌晨2:00，黑客對樂購銀行賬戶發(fā)起網(wǎng)絡(luò)攻擊，利用樂購銀行卡的編碼缺陷，計算出真實的樂購銀行借記卡卡號，再利用這些卡號生成虛擬銀行卡進行數(shù)千筆未授權(quán)的借記卡交易。凌晨4:00，樂購銀行的欺詐交易監(jiān)測系統(tǒng)給賬戶持有人發(fā)送信息，提醒客戶其賬戶發(fā)生可疑交易活動。賬戶持有人隨即與樂購銀行客戶服務(wù)人員進行電話聯(lián)系。樂購銀行的金融犯罪控制團隊這才了解到可疑交易活動的發(fā)生，但對于是否應(yīng)將這些可疑交易活動判斷為網(wǎng)絡(luò)攻擊，還需要進一步鑒別。

在網(wǎng)絡(luò)攻擊發(fā)生時，樂購銀行的金融犯罪控制團隊通過郵件試圖聯(lián)系金融犯罪反欺詐戰(zhàn)略團隊，而不是按照規(guī)定通過電話方式聯(lián)系，這導(dǎo)致金融犯罪控制團隊直到11月5日晚上23:00才與對方取得聯(lián)系。金融犯罪反欺詐戰(zhàn)略團隊從2016年11月6日凌晨1:48開始編制指令試圖阻止可疑交易，但指令的實施效果不明顯，這是因為其錯誤地使用歐洲貨幣代碼替代巴西國家代碼。雖然金融犯罪反欺詐戰(zhàn)略團隊很快發(fā)現(xiàn)了錯誤，重新編制交易阻止指令，但是還是有一些“PoS91”類型交易避開了樂購銀行的授權(quán)和欺詐交易監(jiān)測系統(tǒng)的監(jiān)測。

金融犯罪反欺詐戰(zhàn)略團隊隨后尋求外部專家支援以解決問題。直到2016年11月7日00:59，外部專家才找到問題產(chǎn)生的原因，原來是在最初編制交易阻止指令時引入了錯誤的編碼。11月7日03:35在線交易阻止指令才開始全面生效。11月8日，樂購銀行開始恢復(fù)正常的銀行客戶活動，期間部分客戶使用ATM機還需要進行身份驗證。11月9日8:00，樂購銀行撤銷所有針對網(wǎng)絡(luò)攻擊的相關(guān)措施，全面恢復(fù)正常營業(yè)。

（三）樂購銀行應(yīng)對網(wǎng)絡(luò)攻擊事件暴露出來的問題

一是管理人員未及時采取適當措施阻止網(wǎng)絡(luò)攻擊。當未能與金融犯罪反欺詐戰(zhàn)略團隊取得聯(lián)系時，樂購銀行沒有采取任何措施阻止攻擊的發(fā)生，導(dǎo)致由網(wǎng)絡(luò)攻擊產(chǎn)生的欺詐交易不斷進行，截至交易阻止指令發(fā)出時，已產(chǎn)生46000個欺詐交易，可見樂購銀行未有盡到勤勉責(zé)任、保護客戶免受網(wǎng)絡(luò)攻擊。

二是應(yīng)對網(wǎng)絡(luò)攻擊時出現(xiàn)操作性失誤。金融犯罪反欺詐戰(zhàn)略團隊編制指令以阻止源自于網(wǎng)絡(luò)攻擊形成的欺詐交易時，使用了錯誤的國家代碼，使得阻止指令無法及時生效。此外，由于在編制阻止指令時引入錯誤的編碼，致使部分欺詐交易避開監(jiān)測，阻止指令未能全面生效，導(dǎo)致客戶的權(quán)益持續(xù)受到損害。

三是信息系統(tǒng)設(shè)計存在嚴重缺陷。在第二次編制交易阻止指令時，在外部專家協(xié)助下發(fā)現(xiàn)，樂購銀行的欺詐交易監(jiān)測系統(tǒng)將監(jiān)測對象設(shè)置為個人賬戶而不是借記卡，這意味與交易相關(guān)聯(lián)的借記卡即使被盜或丟失，與該卡相關(guān)聯(lián)的可疑交易也不會被欺詐交易監(jiān)測系統(tǒng)所發(fā)覺。

（四）網(wǎng)絡(luò)攻擊事件對樂購銀行的影響

一是客戶資產(chǎn)受到較大損失。盡管樂購銀行及時阻止了約80%的未授權(quán)欺詐交易，但仍有8261個賬戶受到影響，資金損失達到226萬英鎊。據(jù)事后統(tǒng)計，在網(wǎng)絡(luò)攻擊過程中，客戶個人賬戶受到損失的程度并不相同：約7000位客戶損失在500英鎊以下；超過600位客戶的個人賬戶損失500～1000英鎊；超過600位客戶損失1000～5000英鎊；23位客戶損失5000～10000英鎊；損失最為嚴重的客戶的賬戶發(fā)生22次欺詐交易，總計損失65000英鎊。此外，由于欺詐交易的發(fā)生，樂購銀行客戶的賬戶出現(xiàn)余額扣除現(xiàn)象，導(dǎo)致668筆沒有支付的交易直接計入客戶的賬戶，樂購銀行不得不花費約9000英鎊用以支付全部受到攻擊的客戶賬戶因欺詐交易產(chǎn)生的利息和費用①。

二是客戶體驗受到較大的負面影響。部分客戶在網(wǎng)絡(luò)攻擊發(fā)生后的數(shù)日內(nèi)無法正常使用銀行卡，給生活和工作帶來了諸多不便。超過5000位客戶的賬戶發(fā)生0元酒店預(yù)訂的授權(quán)批準，而實際交易被店家或賣家撤銷、并沒有發(fā)生。部分客戶在接到樂購銀行發(fā)出的可疑交易監(jiān)測短信后，試圖通過電話聯(lián)系銀行客戶服務(wù)中心，卻無法從電話咨詢中獲得任何幫助。據(jù)統(tǒng)計，在11月6日當天，樂購銀行的電話服務(wù)熱線接到來自客戶的3887個電話，但94.4%的電話由于等待時間太長而未有接聽。

（五）樂購銀行的事后救濟措施

一是啟動消費者補償方案。在發(fā)生網(wǎng)絡(luò)攻擊之后，樂購銀行立即啟動消費者補償方案以彌補客戶的損失。樂購銀行將因欺詐交易而擬計入客戶賬戶的金額取消，同時立即退還相關(guān)客戶賬戶費用及利息，并根據(jù)個案的情況補償部分客戶的直接損失和精神損失。

二是對內(nèi)部控制問題進行反省并配合監(jiān)管部門開展整改。在網(wǎng)絡(luò)攻擊發(fā)生后，樂購銀行委托獨立第三方對網(wǎng)絡(luò)攻擊事件進行審查。經(jīng)外部專家證實，在網(wǎng)絡(luò)攻擊過程中沒有發(fā)生個人數(shù)據(jù)泄漏，該結(jié)論得到英國金融行為管理局的認可。此外，樂購銀行對網(wǎng)絡(luò)攻擊發(fā)生的原因與本行應(yīng)對工作進行評估，完善了欺詐交易監(jiān)測的流程及程序設(shè)計。

三、英國金融行為管理局對樂購銀行處罰要點及分析

（一）英國金融行為管理局的處罰認定

英國金融行為管理局認為，犯罪分子利用樂購銀行借記卡設(shè)計缺陷和金融犯罪控制團隊工作的疏忽開展網(wǎng)絡(luò)攻擊，在此過程中，樂購銀行違反了《2000年金融服務(wù)與市場法》，違背了消費者保護、保護與加強金融市場完整性的兩大要旨。此外，根據(jù)英國金融行為管理局發(fā)布的《決定程序和懲罰手冊》（Decision Procedure and Penalties Manual）規(guī)定，商業(yè)銀行必須以盡職、謹慎和勤勉的態(tài)度來開展業(yè)務(wù)，保護其客戶免受金融犯罪的侵害。據(jù)此，英國金融行為管理局對樂購銀行作出罰款的處罰。

（二）罰款金額的計算與確定

英國金融行為管理局根據(jù)《決定程序和懲罰手冊》，通過違法利益收繳、違法嚴重性評估、引入減輕和加重因素三個步驟，計算和決定罰單金額的適當水平。

第一步，違法利益收繳。監(jiān)管當局首先要收繳金融機構(gòu)從直接違反相關(guān)規(guī)定的行為中獲得的收益。在該步驟的評估中，樂購銀行獲益的金額為零。

第二步，違法嚴重性的評估。英國金融行為管理局指出，違法嚴重性是根據(jù)金融機構(gòu)在違規(guī)行為期間相關(guān)的業(yè)務(wù)或產(chǎn)品對消費者帶來的損害以及風(fēng)險進行衡量。英國金融行為管理局認為，樂購銀行案中的違法嚴重性應(yīng)按照網(wǎng)絡(luò)攻擊期間平均每個現(xiàn)金賬戶承受的風(fēng)險金額進行計算，具體時間從2014年6月1日（樂購銀行開始發(fā)行借記卡）到2016年11月9日（樂購銀行開始恢復(fù)正常操作）。通過分時期、分階段進行計算，處罰金額總計3356萬英鎊。

第三步，引入減輕和加重因素。英國金融行為管理局認為，不存在要加重處罰的因素，并將以下因素列為減輕處罰的因素：一是樂購銀行積極配合監(jiān)管調(diào)查；二是在網(wǎng)絡(luò)攻擊發(fā)生之后，立即啟動對本行管理的第三方評估，并根據(jù)評估情況進行了整改；三是對金融犯罪控制團隊加大資源投入，擴充隊伍并開展培訓(xùn)；四是啟動實施消費者補償方案；五是樂購銀行應(yīng)對網(wǎng)絡(luò)攻擊的措施阻止了80%欺詐交易的發(fā)生。綜上，可以對樂購銀行減輕處罰，處罰金額降低至2343萬英鎊。鑒于樂購銀行配合英國金融行為管理局的監(jiān)管調(diào)查并盡快提出了解決方案，可以進一步降低處罰，最終英國金融行為管理局對樂購銀行因違反《決定程序和懲罰手冊》而課以處罰的總金額為1640萬英鎊。

（三）英國金融行為管理局對樂購銀行處罰案中體現(xiàn)的監(jiān)管要旨

1.強調(diào)金融消費者保護。英國金融行為管理局從成立之初，就一直強調(diào)“消費者是監(jiān)管核心”的理念，在所有的監(jiān)管環(huán)節(jié)中始終將金融消費者保護置于最重要的位置。在樂購銀行遭受網(wǎng)絡(luò)攻擊后，英國金融行為管理局經(jīng)過歷時兩年的調(diào)查，作出了相關(guān)的處罰決定，樂購銀行不僅要繳納相應(yīng)的罰金，還要補償消費者226萬英鎊，這一處罰體現(xiàn)了英國金融行為管理局堅持金融消費者權(quán)益至上的理念。

2.加大對違規(guī)行為本身的處罰。在整個網(wǎng)絡(luò)攻擊事件中，樂購銀行內(nèi)部控制與合規(guī)風(fēng)險管理暴露出較多的問題。英國金融行為管理局對樂購銀行的處罰主要基于以下幾點：金融產(chǎn)品設(shè)計存在缺陷，對消費者利益保護不足，忽視對網(wǎng)絡(luò)攻擊的預(yù)警，應(yīng)對攻擊事件不當。這反映了在涉及到風(fēng)險管理方面，英國金融行為管理局更注重對商業(yè)銀行違規(guī)行為的處罰，而不是僅僅考慮攻擊事件的最終結(jié)果以及金融消費者是否得到了合理的補償。

3.重視商業(yè)銀行內(nèi)部控制機制建設(shè)及執(zhí)行。英國金融行為管理局對樂購集團的風(fēng)險管理框架、董事會對金融犯罪的防控、銀行合規(guī)風(fēng)險管理三道防線的運行進行審查，認為樂購銀行的金融犯罪治理框架是清晰的，每一項機制在框架內(nèi)都有獨特的職責(zé)，為降低樂購銀行所面臨的金融犯罪風(fēng)險發(fā)揮了有效作用。但是，樂購銀行在應(yīng)對網(wǎng)絡(luò)攻擊過程中，有關(guān)的負責(zé)人和管理人員未能以專業(yè)、謹慎和勤勉的方式履行職責(zé)，沒有采取適當?shù)拇胧┚忈屨诎l(fā)生的網(wǎng)絡(luò)犯罪風(fēng)險、確保網(wǎng)絡(luò)犯罪帶來的影響得到較好的控制。英國金融行為管理局指出，樂購銀行雖然內(nèi)部控制機制架構(gòu)健全，但是在機制運行方面卻存在較為嚴重的問題，這也是英國金融行為管理局對樂購銀行進行處罰的主要原由所在。

四、商業(yè)銀行網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理的提升路徑：英國金融行為管理局對樂購銀行處罰案帶來的啟示

（一）在防范網(wǎng)絡(luò)攻擊上，商業(yè)銀行要加強對合規(guī)風(fēng)險的識別與評估

金融與互聯(lián)網(wǎng)的深度融合使得網(wǎng)絡(luò)攻擊可能發(fā)生在任何場景之中。若商業(yè)銀行采用的互聯(lián)網(wǎng)技術(shù)未能與業(yè)務(wù)發(fā)展需要相匹配，犯罪分子便可能會利用銀行的管理漏洞從事違法犯罪行為。在英國樂購銀行網(wǎng)絡(luò)攻擊案件中，犯罪分子發(fā)現(xiàn)樂購銀行借記卡的編號漏洞，于是利用云計算模式展開網(wǎng)絡(luò)攻擊，通過偽造欺詐交易以圖獲利。這一網(wǎng)絡(luò)攻擊事件凸顯了樂購銀行在合規(guī)風(fēng)險識別和評估上的缺陷。

合規(guī)風(fēng)險的識別與評估是合規(guī)風(fēng)險管理的前提和基礎(chǔ)。英國金融行為管理局指出，樂購銀行合規(guī)風(fēng)險管理的失職之處主要在于，收到國際銀行卡組織發(fā)出的警報后，并未采取及時、有效的行動防范可能的網(wǎng)絡(luò)攻擊。如果樂購銀行積極開展合規(guī)風(fēng)險的識別與評估，就會對網(wǎng)絡(luò)環(huán)境和自身狀況有更加清晰、明確的認識，及時采取措施加強風(fēng)險管理、避免網(wǎng)絡(luò)攻擊的發(fā)生。

綜上所述，小學(xué)階段是學(xué)生思維能力過渡發(fā)展的重要階段，所以在小學(xué)教學(xué)中，教師應(yīng)該把抽象復(fù)雜的教學(xué)知識具體形象化，隨著社會信息化進程的不斷加快，現(xiàn)代信息技術(shù)已經(jīng)滲透到各個行業(yè)，在此時代背景下，小學(xué)教學(xué)也應(yīng)該與時俱進，積極改革教學(xué)技術(shù)，以充分滿足小學(xué)教學(xué)的實際需要，而信息化教學(xué)資源為廣大師生提供了豐富的教學(xué)資源，不僅充分體現(xiàn)了新課改的教學(xué)理念，還確保了課堂教學(xué)活動的豐富性和趣味性，顯著提升了小學(xué)教學(xué)水平，增強了學(xué)生的綜合素養(yǎng)。

（二）在應(yīng)對網(wǎng)絡(luò)攻擊上，商業(yè)銀行要強化對合規(guī)風(fēng)險的監(jiān)測和檢查

（三）在風(fēng)險事件發(fā)生后，商業(yè)銀行應(yīng)當努力維護金融消費者權(quán)益，加強與監(jiān)管部門的溝通

外部風(fēng)險沖擊事件往往致使商業(yè)銀行遭受聲譽損失以及來自監(jiān)管部門的懲罰。為逃避責(zé)任，有的商業(yè)銀行管理層會對風(fēng)險事件加以掩蓋。樂購銀行在網(wǎng)絡(luò)攻擊發(fā)生之后，立即聘請第三方開展內(nèi)部控制評估、進行內(nèi)部整改，及時停止異常交易，防止消費者損失進一步擴大。對已造成的損失，樂購銀行在清查之后對消費者進行了全面的補償。此外，樂購銀行始終保持與監(jiān)管當局的良好溝通，最終與英國金融行為管理局達成和解協(xié)議，英國金融行為管理局減輕了對該行的處罰力度。盡職維護金融消費者權(quán)益，加強與監(jiān)管當局的溝通，積極配合監(jiān)管當局開展整改，是商業(yè)銀行合規(guī)風(fēng)險管理的必要舉措。

（四）在維護網(wǎng)絡(luò)安全上，商業(yè)銀行應(yīng)當加強內(nèi)部控制體系建設(shè)并保障體系有效運行

應(yīng)對網(wǎng)絡(luò)安全風(fēng)險，必須在公司治理層面建立統(tǒng)一的網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理框架，對每個業(yè)務(wù)部門的職責(zé)加以明確劃分、配置適當?shù)馁Y源以確保各個條線、部門、崗位盡職履行合規(guī)風(fēng)險管理職責(zé)。英國金融行為管理局經(jīng)評估指出，樂購銀行的網(wǎng)絡(luò)安全治理框架是合適的，但合規(guī)風(fēng)險管理的具體執(zhí)行過程中出現(xiàn)了較為嚴重的問題，內(nèi)部管理缺失，相關(guān)工作人員既缺乏專業(yè)化知識應(yīng)對網(wǎng)絡(luò)風(fēng)險事件，也沒有以謹慎和勤勉的態(tài)度履行職責(zé)，這是導(dǎo)致網(wǎng)絡(luò)攻擊事件發(fā)生的根源。由此可見，維護網(wǎng)絡(luò)安全，商業(yè)銀行必須加強內(nèi)部控制體系建設(shè)并保障其合理、順暢運行，方能切實發(fā)揮網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理框架的作用、實現(xiàn)風(fēng)險防控的目標。

五、對我國商業(yè)銀行加強網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理的若干建議

從國內(nèi)情況看，當前互聯(lián)網(wǎng)信息科技與銀行業(yè)務(wù)高度融合，網(wǎng)絡(luò)運營、管理和服務(wù)成為商業(yè)銀行打造核心競爭力的關(guān)鍵環(huán)節(jié)，維護網(wǎng)絡(luò)安全也成為銀行合規(guī)風(fēng)險管理的重要目標。2017年6月1日生效實施的《中華人民共和國網(wǎng)絡(luò)安全法》對商業(yè)銀行網(wǎng)絡(luò)安全管理提出了更高要求。商業(yè)銀行應(yīng)當根據(jù)國家法律法規(guī)對網(wǎng)絡(luò)安全管理的最新要求，加強對網(wǎng)絡(luò)安全形勢的分析與研判，進一步提高網(wǎng)絡(luò)安全的合規(guī)風(fēng)險管理能力。

（一）建立健全網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理框架，明確公司治理層面和各部門職責(zé)分工

網(wǎng)絡(luò)安全屬于信息科技風(fēng)險管理范疇，是操作風(fēng)險管理的重要內(nèi)容。商業(yè)銀行在構(gòu)建合規(guī)風(fēng)險管理框架時，有必要將網(wǎng)絡(luò)安全作為信息科技風(fēng)險治理的重要目標納入其中，明確董事會、監(jiān)事會、高級管理層和相關(guān)部門的職責(zé)分工，建立多層次、相互銜接的運行機制，確保網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理體制機制的有效運行以及監(jiān)督機制作用的發(fā)揮。在公司治理層面，可以考慮成立網(wǎng)絡(luò)安全風(fēng)險治理委員會，專門負責(zé)網(wǎng)絡(luò)安全、防范網(wǎng)絡(luò)攻擊。各業(yè)務(wù)部門承擔與本部門相關(guān)的網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理職責(zé)，由合規(guī)部門對業(yè)務(wù)部門履職進行監(jiān)督及檢查，由審計部門對業(yè)務(wù)部門、合規(guī)部門進行審計監(jiān)督，并且做好對影響銀行正常運營的網(wǎng)絡(luò)安全事故的跟蹤調(diào)查與審計。

（二）加大網(wǎng)絡(luò)安全的合規(guī)風(fēng)險管理的資源投入，加強對員工的專業(yè)化培訓(xùn)

在當前網(wǎng)絡(luò)安全形勢嚴峻的背景下，商業(yè)銀行有必要加大對網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理的資源投入，做到資源投入與網(wǎng)絡(luò)風(fēng)險、業(yè)務(wù)規(guī)模、管理需要等相適應(yīng)。一是要配置有關(guān)網(wǎng)絡(luò)安全防護的軟件和硬件設(shè)施，維護網(wǎng)絡(luò)及系統(tǒng)順暢運行，防范潛在的網(wǎng)絡(luò)攻擊；二是加大人力資源投入，配置專業(yè)化水平較高的網(wǎng)絡(luò)安全管理人員，妥善地管理網(wǎng)絡(luò)安全合規(guī)風(fēng)險、及時預(yù)警并發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊事件；三是定期對在崗人員進行專業(yè)化培訓(xùn)，使從業(yè)人員對商業(yè)銀行面臨的網(wǎng)絡(luò)風(fēng)險具有充分的認識，能夠根據(jù)不同的情況及時采取有效的應(yīng)對措施。

（三）加強網(wǎng)絡(luò)安全合規(guī)風(fēng)險的識別與評估，提前做好風(fēng)險防范

一是建立網(wǎng)絡(luò)安全合規(guī)風(fēng)險定期評估制度。定期對網(wǎng)絡(luò)系統(tǒng)的信息風(fēng)險進行評估，及時更新硬件設(shè)備及操作流程以糾正信息系統(tǒng)、業(yè)務(wù)流程與內(nèi)部控制措施的偏離。盡管大部分商業(yè)銀行對網(wǎng)絡(luò)安全的重視程度不斷提高，但有的商業(yè)銀行仍然缺乏有效應(yīng)對網(wǎng)絡(luò)安全漏洞的管理與修復(fù)機制，這便給網(wǎng)絡(luò)攻擊者提供了可乘之機。合規(guī)風(fēng)險管理部門在開展網(wǎng)絡(luò)安全合規(guī)風(fēng)險評估的過程中，要著重關(guān)注網(wǎng)絡(luò)安全漏洞的修復(fù)與管理，盡早將可能的風(fēng)險隱患識別出來。二是根據(jù)風(fēng)險評估情況開展定期的周期性滲透測試和漏洞評估。通過系統(tǒng)掃描結(jié)果和風(fēng)險評估結(jié)果，對網(wǎng)絡(luò)安全漏洞逐一進行辨認和排查，做好信息系統(tǒng)的合規(guī)風(fēng)險審查。三是建立網(wǎng)絡(luò)安全突發(fā)事件應(yīng)對機制。當網(wǎng)絡(luò)安全事件影響信息系統(tǒng)的保密性、完整性以及金融機構(gòu)的正常運營時，立即進行響應(yīng)并快速評估信息系統(tǒng)的受損情況，進而對系統(tǒng)加以修復(fù)和完善。合規(guī)風(fēng)險管理部門要從風(fēng)險評估機制、控制措施及安全事件的應(yīng)對機制等方面開展監(jiān)督和檢查，督促業(yè)務(wù)部門加強和完善網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理。

（四）加強網(wǎng)絡(luò)安全事件監(jiān)測和檢查，盡早排查風(fēng)險因子

一是加強對網(wǎng)絡(luò)安全事件的監(jiān)測和檢查，建立健全監(jiān)察制度并安排專人負責(zé)該項任務(wù)。二是完善網(wǎng)絡(luò)安全管理制度，制定訪問權(quán)限、應(yīng)用程序安全審查、特定情形的復(fù)合因素認證要求、數(shù)據(jù)保存等網(wǎng)絡(luò)安全控制程序，增加保密和認證環(huán)節(jié)，提高網(wǎng)絡(luò)系統(tǒng)的保密性和安全性。三是對已識別或者監(jiān)測到的網(wǎng)絡(luò)安全事件進行快速回應(yīng)，第一時間采取有效措施控制風(fēng)險因子，隔絕風(fēng)險源，緩釋風(fēng)險點帶來的損害，降低網(wǎng)絡(luò)安全事件帶來的不良影響程度。

（五）確保責(zé)任機制有效落實，提高合規(guī)風(fēng)險管理水平

一是落實金融消費者保護機制。當網(wǎng)絡(luò)攻擊事件發(fā)生后，商業(yè)銀行要重視金融消費者權(quán)益保護，盡快清查消費者遭受的損失并進行合理賠償。這既是商業(yè)銀行合規(guī)風(fēng)險管理的必然要求，也是商業(yè)銀行承擔社會責(zé)任的重要內(nèi)容。但從實際情形來看，有的商業(yè)銀行并沒有積極落實金融消費者保護機制，在網(wǎng)絡(luò)安全事件發(fā)生時，對金融消費者權(quán)益的保護有所忽視，致使消費者蒙受損失。二是落實整改責(zé)任機制。通過排查、整改內(nèi)部控制中存在的問題，提高風(fēng)險管理水平，能夠避免合規(guī)風(fēng)險事件的再次發(fā)生。商業(yè)銀行應(yīng)當對存在網(wǎng)絡(luò)安全合規(guī)風(fēng)險的業(yè)務(wù)流程及制度缺陷進行及時的改造，彌補管理上的漏洞，切實發(fā)揮合規(guī)管理機制的風(fēng)險防控功能。