1.树立金融信息安全风险全局意识
党中央、国务院高度重视信息安全问题,2012年6月28日下发的《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号),首次并列提及信息化发展和信息安全问题,强调在安全中求发展、发展中不忘安全的理念。近几年来,随着金融业竞争的日益严峻,“重发展、轻管理,重开发、轻维护”的现象在金融业屡见不鲜,相关从业者对金融信息安全风险的认识仍停留在解决具体技术故障的层面,缺乏全局性的统筹考虑。一旦某家金融机构系统出现故障,影响客户的业务办理,再加上媒体的炒作,局面将非常复杂,后果不堪设想。因此,金融从业者要从安全、稳定和可持续发展的大局出发,将金融信息安全管理作为一项综合性和长期性的工作来抓,深刻认识到技术支撑业务,业务与技术融合的发展趋势,把防范和化解金融信息安全风险纳入金融业全面风险管理体系当中。
2.构建集中化的安全生产运维体系
有效的信息安全管理,除了风险事件形成和爆发后的干预和补救外,关键还在于事先预防。如果预防工作到位,可以最大限度地减少突发事件所造成的危机和损失。目前,我国银行业机构几乎在总行集中所有业务应用系统,系统架构和相互关联程度日趋复杂,仅靠传统的分散的运维工具和几名技术骨干已经不能解决全部问题,所以迫切需要建立一套有管理、可控制的集中化的生产运维体系。建立集中化的生产运维体系,可通过成立集中运维中心,对关键服务器、网络设备和安全设备进行集中管控,完成全系统所有的日常运维管理工作。同时,建立安全可控的生产运维技术指标体系,将影响系统安全稳定运行的潜在风险因素进行指标量化。加强日常监控分析,对运维监控中发现的各种异常现象,及时分析并加以处理。动态调整量化监控指标,提升IT基础设施运维效能和效率。此外,分支机构的运维部门只负责本地网络和用户终端等的运维工作,不负责大集中系统的运维管理。集中生产运维模式的特点在于运维资源得到集中和共享,能够减少事件处理环节进而缩短事件响应时间;通过统一集中管理,加强运行管理的可控性,能够降低安全风险,提高管理效率和管理质量;有利于上级单位对基层部门的系统应用情况进行统一监控、集中管理,实现经营的精细化及精确化。
3.完善以保障业务连续性为目标的风险管理体系
业务连续性管理是指当自然灾害、人为破坏和技术故障等原因影响业务运营或造成业务中断事件发生时,确保关键业务在一定时间内持续运营或及时恢复的一整套管理体系,以降低灾难事件或突发事件对银行资金及声誉造成的损失,提高风险防范和抵御能力。国际权威调研机构Gartner公司的研究报告显示,大约有85%的全球性企业实施了灾难恢复计划,但是仅有15%的企业具备完善的业务连续性计划,即仅有少数企业的灾难恢复计划以保障业务连续性为目标。业务连续性管理是一项综合管理流程,相对于灾难恢复,其更像是一个“IT+业务+管理”的混合体。它使银行认识到潜在的业务危机和相关影响,并制定业务连续性的恢复计划。完善的业务连续性管理体系包括:一是建立完善的政策制度和组织体系,明确管理职责、管理策略、管理工具和管理流程;二是拥有专用的备用设施和恢复场地,实现从单一的IT灾备管理到全面业务连续性管理的过程,保障各项业务的迅速恢复;三是建立完善的应急响应和恢复预案体系,从预案覆盖范围、种类、制定、审核、维护等方面进行明确规定,并进行不间断的演练和持续性的改进,确保预案的有效性;四是积极推广业务连续性管理文化,加深员工对业务连续性的理解和认知,提高员工业务连续性管理意识。我国银行业信息安全风险管理体系应在完善灾难备份体系建设、提升应急处置能力的基础上,逐步向业务连续性管理的方向迈进。
作者:郑冬蔚 单位:中国人民银行沈阳分行
