银行信息安全风险管理问题及对策

银行信息安全风险管理问题及对策

摘要:

对比省级及以上级别的商业银行,中小城市银行分支机构、村镇银行普遍存在信息安全基础设施不达标、技术水平落后、运维能力薄弱等问题。针对这些问题,本文提出了建立统一的信息安全基础环境建设标准以及健全的信息安全管理体系,不断提高信息安全运维水平,有效防范区域性信息安全风险。

关键词:

信息安全;中小城市;银行分支机构;基础设施

近年来,我国中小城市商业银行不断发展壮大,银行业数据大集中趋势越来越明显,对于地级市商业银行分支机构和村镇银行等小微金融机构而言,由于其存在规模小、信息安全专业人才相对匮乏、信息安全建设资金投入较少、信息安全意识淡薄、信息安全风险防范能力不强等原因,风险日益突出。因此,中小城市银行分支机构的信息安全管理应引起高度关注。

一、中小城市银行分支机构信息安全管理现状

以笔者所在城市最近5年的情况来看,新成立村镇银行有3家,商业银行新设分支机构有4家(不包括新设营业网点),根据历年综合执法检查的情况分析,这些银行普遍存在机房基础设施建设不达标、网络综合布线不规范、应急演练记录缺失、应急预案与实际不符、信息安全运维人员匮乏、工作人员信息安全意识薄弱等问题。大部分分支机构的日常运维工作都采取外包服务的方式,其可靠性和安全性无法得到充分保障。

二、中小城市银行分支机构信息安全存在问题

(一)信息安全软硬件环境不达标。

一是机房、供电、综合布线、防雷等安全保护措施等方面达不到相关标准,设备、介质等安全管理软件欠缺。二是由于目前数据大集中趋势,地市级银行分支机构的网络和主机审计、接入认证、系统授权管理等手段缺失,应对信息安全风险事件反应较慢。三是主机病毒防护、系统安全、数据库安全、身份鉴别、数据完整性、保密性等方面缺少必要的软件,或相关安全配置工作不到位。四是大多数地市级银行分支机构缺少整体的运维监控平台,制约了应急响应处置能力。

(二)信息安全管理体系不健全。

信息安全管理工作主要由分支机构综合业务部负责。虽然人民银行加强了“两管理、两综合”检查,对新成立的银行分支机构开展了开业管理,并要求建立全面的信息安全长效管理机制,但在通过开业申请之后,制度执行力往往不够,信息安全责任很难落实到位。应急管理注重形式,缺乏与实际的结合,尽管制定了应急预案,但应急实战演练较少、涵盖范围不全,应急措施缺乏针对性、操作性和实效性。

(三)信息安全管理意识不强。

一是管理层对信息安全管理重视度不高,对信息安全的投入往往只有在机构成立时的一次性投入,忽视了信息安全管理是一个持续长久的过程。二是信息系统的运维人员把信息安全管理工作看成是技术问题,过分强调信息系统的可用性,认为信息安全管理工作就是网络安全和核心主机安全。实际上,信息安全更多应该是个管理问题,信息系统的可控性和保密性是信息安全不可或缺的部分。三是大部分员工只关注计算机的便捷性,而忽视了做好相关安全措施。

(四)信息安全运维能力薄弱。

首先,地市级银行分支机构科技运维大多采用外包方式,外包管理制度和约束不全面,使得系统运行风险及运维难度加大,村镇银行等小微金融机构大多并未配备科技人员,管理科技的人员往往身兼数职,很难对信息安全风险进行及时响应。其次,科技运维人员参加信息技术培训较少,缺少完整、系统的信息安全知识,应对信息安全风险处置能力不够。

三、相关对策和建议

(一)建立一套中小城市银行分支机构信息安全软硬件环境标准。

在不同等级的分支机构及营业网点建立相配套的软硬件设施,特别是加强机房、供配电、网络等基础设施的建设管理,在设备选型、施工安装和运行维护等过程严把关。同时,后期维护和管理也应持续遵循建设标准,做到“有章可循,有据可依”,确保IT基础设施安全稳定运行。

(二)建立健全信息安全管理体系,将责任层层落实。

一是要建立相应的信息安全领导小组,明确领导小组对信息安全管理和监督工作的领导,完善组织保障、协调机制,信息安全管理不只是科技部门的工作,应将信息安全管理纳入机构管理范畴。形成各部门协调统一、齐抓共管的信息安全工作局面。二是实施有效的信息安全防范措施,制定应急预案并与实际情况联系,应急操作要有针对性、实用性,要通过定期的演练来验证应急预案,并及时对应急预案进行评估和修订。

(三)不断提高信息安全运维水平。

一是各商业银行应定期对中小城市银行分支机构的科技人员及全体员工进行信息安全培训,提高风险防范意识,培养信息安全业务骨干,提升分支机构的应急响应和应急处置能力。二是要建立统一的信息资产监控平台,让分支机构的科技人员参与进来,及时发现问题并解决问题。三是要加强外包服务管理,签订相关的保密协议,同时在运维过程中要做好文档管理,充分考虑外包服务的连续性。

(四)监管机构要加强对当地商业银行和小微金融机构的信息安全管理指导和监督。

参考银行业监督管理委员会的《商业银行信息科技风险管理指引》和《人民银行信息系统信息安全等级保护实施指引(试行)》,加强银行分支机构开业管理和指导,定期对辖内银行机构开展信息安全检查,并纳入全年商业银行考评体系。

作者:李苏 单位:中国人民银行衡阳市中心支行

参考文献:

[1]邱成良.中小银行防范科技风险相关实践的探讨[J].时代金融,2014(32):118-120.

[2]何爱元.中小银行营业网点机房管理问题与对策[J].金融科技时代,2016(3):64-65.