摘要:村镇银行作为金融业的新兴力量,逐步成为推动区域经济发展、强化金融服务的重要力量。指导村镇银行网络信息安全是一项长期、艰巨的工作,应密切关注村镇银行的网络安全状况以及安全技术,确保村镇银行的信息安全。本文介绍了人民银行九江市中心支行指导辖内村镇银行网络信息安全的基本做法,如加强组织领导、落实业务指导、增强沟通协调,并对加强村镇银行网络信息安全提出提升网络安全风险意识、加强人员技术水平、提高制度执行力等建议。
关键词:信息安全;村镇银行;做法和建议
一、引言
2018年9月,人民银行九江市中心支行(以下简称“人行九江中支”)认真贯彻落实《中华人民共和国网络安全法》《中华人民共和国中国人民银行法》《中华人民共和国商业银行法》《金融行业信息系统信息安全等级保护实施指引》等精神,制定了《中国人民银行九江市中心支行辖内村镇银行信息安全操作指引》,在辖内各村镇银行印发并执行。该指引实施以来,人行九江中支从组织领导、业务指导、沟通协调3个方面推进辖内村镇银行网络信息安全建设,并取得良好成效。
二、主要做法
(一)加强组织领导
一方面,人行九江中支成立了由分管科技工作的领导为组长、科技人员组成的村镇银行信息安全指导小组,与村镇银行建立了信息安全管理关联人有效信息交流沟通机制,形成左右联动、上下协同的集成合力,加强对村镇银行的网络信息安全指导。另一方面,结合村镇银行科技力量薄弱的实际情况,建议村镇银行各部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理工作,协同科技部门开展信息安全管理工作。人行九江中支根据“两管理、两综合”的管理体系,从防控组织机制、数据中心安全、网络安全和计算机管理4个方面细化了对村镇银行的指导内容,引导村镇银行形成科学的信息安全防范机制。
(二)落实业务指导
人行九江中支充分发挥自身在网络信息安全管理方面的优势,每半年对村镇银行网络信息安全进行现场指导。一方面,根据操作指导的内容进行逐一指导,对村镇银行开展的网络信息安全工作提出意见。规定系统升级时提前10天公告,并通过微信公众号、短信推送信息,在营业网点张贴公告告知客户。目前,村镇银行办公互联网采用与数据中心网络物理隔离的方式,只在网银区开放互联网接入,采用双层防火墙与入侵防御等安全防护策略。另一方面,指导村镇银行依托在九江和武汉建立的灾备中心,每年开展一次异地灾备切换演练,验证应急演练预案的可行性,对预演方案存在的不足、预演过程中被忽略的细节以及预演后总结不到位的方面进行提示。
(三)增强沟通协调
人行九江中支每季度指导村镇银行开展网络信息安全专项座谈会和学习会,形成科学合理的信息沟通交流机制。会议上加强对《村镇银行信息安全意识期刊》的学习,从管理制度的设计及员工日常工作等方面,讨论如何防范网络信息安全风险,如何识别并巩固网络信息安全防范的薄弱环节,如何有效迅速地应对突发的网络安全问题等。通过集思广益,相互分享本单位现行的先进网络信息安全管理办法和经验,与人民银行、同业金融机构之间沟通交流,增强村镇银行网络信息安全防范意识和能力。同时,人行九江中支还通过金融信息交换平台,将政府、公安等单位的网络信息安全风险提示加以指导性意见及时转发至村镇银行,帮助村镇银行更快、更准确地理解、贯彻相关风险提示,强化人行九江中支与村镇银行间信息的分享交流。
三、取得成效
(一)组织领导卓有成效
一是人行九江中支在村镇银行信息安全管理中起的指导作用,有力地监督了村镇银行网络信息安全管理体系的建设和有效运行,提高了其工作效率和质量,使其形成了严密的防控组织机制,在发现风险时能第一时间作出反应,做到有组织、有领导地去应对风险。二是网络信息安全工作组织架构的完善帮助村镇银行管理层和网络技术人员通过定期巡检发现漏洞和风险,及时提出完善体系建设、改进安全防护举措的意见,为村镇银行网络信息安全提供了制度保障。三是形成了安全保障责任制,保证村镇银行做到合规操作,从源头上预防了风险的发生。同时,村镇银行坚持落实“谁主管,谁负责”的原则,将各项责任落实到个人,确保了信息安全保障工作有人抓、事情有人管、责任能落实。
(二)业务指导立竿见影
一是通过对管理体系、网络信息安全操作的指导,村镇银行全行上下巩固深化了网络信息安全意识,形成了行领导重视信息安全、各部门明确安全职责、全体员工加强安全维护的管理格局,为村镇银行网络信息安全提供了系统、全面的维护。二是人行九江中支对村镇银行的指导给其管理层带来了积极影响,让管理层能更好地了解信息安全操作包含的具体内容以及在实操过程中可能产生的问题,及时掌握安全保障制度的执行情况和风险程度,为有效防范和化解网络信息安全风险、提高内部管理水平提供指引。三是定期开展应急演练,提升了村镇银行抵御风险的能力,从根本上改变了“事后”补救的方式,有效地预防了信息安全风险事件的发生。同时,村镇银行依托九江、武汉灾备中心,在系统遇到安全风险时能做到及时切换系统,既保障了业务的正常运转,又保证了客户的良好体验。
(三)沟通协调明效大验
通过定期指导村镇银行及其他金融机构开展网络信息安全专项座谈会和学习会,一方面,使得村镇银行在日常工作中未发现或未引起重视的部分风险隐患,更加全面、准确、及时地发现潜在风险,及时做好事前预防工作,有效地堵截信息安全风险事件的发生。另一方面,通过与同业金融机构面对面地进行沟通交流,村镇银行获得了第一手的制度建设、系统建设及人员技能建设等方面的先进经验,通过与自身实际情况的结合,逐步建立起行之有效并与村镇银行发展相适应的网络信息安全防范机制,从而帮助村镇银行有效开展网络信息安全防范工作。
四、主要困难
(一)缺乏网络信息安全意识
当前市场竞争激烈,部分村镇银行只重视业务发展,而忽略了对员工的网络信息安全教育,导致在日常工作中,部分员工对网络信息安全的了解仅停留在制度层面,对于支行网络信息方面的实际情况与相关操作均比较生疏,难以识别信息安全风险事件,当发生网络信息安全风险事件时,也无法及时采取有效的应对措施。且存在部分员工满足于固定的操作管理模式,缺乏开发探索有效加强网络信息安全方法的动力。
(二)缺乏专业化技术队伍
通过现场评估指导发现,村镇银行基层网点普遍存在专业科技人员技术水平较低,实际操作水平较差,在较为专业的问题上完全依赖于上级行的情况。且村镇银行上级行对基层网点只是远程指导,基层网点大部分专业科技人员是由其他岗位人员兼职,并不是专业的计算机技术人员,对于网络信息安全保障的实践认识存在很多不足,认识问题、考虑问题存在教条主义,不能将理论与实践有效结合。部分村镇银行对专业技术人员重使用、轻培养,培训方式单一,创新性、有特色的培训较少,难以引起参与培训人员的兴趣,无法实现真正的技术提高。基层村镇银行技术力量的薄弱影响着网络信息安全建设的进一步完善。
(三)缺乏制度执行力
村镇银行出台了一系列的科技制度汇编,《村镇银行机房管理办法》《村镇银行网络安全管理办法》《村镇银行网络安全日常监控管理办法》《村镇银行信息安全应急管理办法》等,涵盖了村镇银行网络信息安全工作的各个方面,范围广、内容多。但在实际操作过程中,基层员工没有真正理解管理办法的内涵,且由于基层支行缺乏专业技术人员加上,科技人员专业技术水平较低,无法将制度里的每项规定真正落实到位,在日常工作中仍会出现一些问题,如未建立机房外来人员出入登记表、机房机柜布线零乱未接地线、机房未安装防火报警装置等。网络信息安全工作涵盖了四大方面,要想在短期内真正将每个方面的工作都落实到位,确实存在一定的困难。
五、相关建议
(一)提升网络安全风险意识
风险意识的提高离不开对风险的正确认识。一方面,村镇银行可鼓励员工依托网络学习平台,自主进行网络信息安全相关知识的学习,让员工首先了解网络信息安全的内容。同时,要求理论与实践相结合,把网络信息安全知识的学习与操作结合起来,思考怎样做才能更好地防范风险。并且通过自查,查找网络信息安全的漏洞,及时采取有效措施堵截漏洞,防范网络信息安全风险的产生。在理论与实践的有机结合中,提高风险意识。另一方面,积极开展典型案件警示教育。村镇银行应经常性地组织员工开展网络信息安全典型案件教育活动,通过典型案例分析,撰写心得体会,促进员工树立“网络信息安全无小事”的观念,吸取各类案件的教训,增强风险防范意识。
(二)加强人员技术水平
针对网络技术人员,村镇银行可以组织向国有银行等具备丰富经验的同业金融机构交流学习。作为机构设置在县、乡镇的村镇银行,日常工作中所涉及的网络信息安全内容相对较少,凭借自身经验的积累难以很好地应对瞬息万变的网络环境。通过向同业金融机构学习,可以了解到较为丰富的网络信息安全知识,借鉴同业金融机构的风险防范机制,在操作系统建设层面为村镇银行网络信息安全保驾护航。针对业务人员,除要求其学习掌握行内下发的相关管理制度和操作流程外,还可指定相应的奖惩机制,鼓励业务人员在日常工作中积极地总结防范网络信息安全问题的经验,不断提高自身的风险识别能力,在日常业务层面为筑牢网络信息安全防线添砖加瓦。
(三)提升制度执行力
首先,要加强学习。着重解读制度实施的目标任务、主要内容、执行标准以及注意事项等,特别要强调容易被误读、被忽视的部分。对于一些难理解的制度规定,通过举实例、讲故事对其进行形象化、通俗化解读,以确保员工能够充分理解。其次,要加强对制度执行的监督。村镇银行可抽取有网络信息安全工作经验的人员成立内部制度执行监督小组,建立制度执行重大事项快速报告机制,实时跟进制度的落实情况,发现存在“踩线”行为时要及时提出并要求整改,避免风险事件的发生。最后,要明确工作职责。指定信息安全管理职能部门,明确该部门在信息安全管理中承担的管理职能,并分别对信息安全员、系统操作员、普通计算机使用员等不同岗位的职责进行明确。
六、结语
指导村镇银行网络信息安全是一项长期、艰巨的工作,须从技术、人员、管理和制度上全面考虑,应密切关注村镇银行的网络安全状况以及安全技术,确保村镇银行的信息安全。
参考文献:
[1]王永刚.对推进基层央行网络信息安全管理的思考[J].金融科技时代,2015(9):76.
[2]张友民.基层人行应加大对村镇银行信息科技安全工作的关注力度[J].基层之声,2014(11):99-100.
[3]周奉强.对银行网络信息安全保护及优化途径的研究[J].中国新通信,2016(9):142.
作者:胡文林 奚琪 单位:中国人民银行彭泽县支行