基層央行科技安全管理現狀及存在的風險

趙輝

摘 要：隨著信息技術在央行的廣泛使用，科技安全管理的重要性越來越突出。通過對山西省16個地市及所轄縣支行歷時六年的實地調查和現場審計，從內部審計的角度對基層央行科技安全管理現狀、潛在風險等進行分析，并提出相關建議。

關鍵詞：科技；安全管理；內部審計；風險隱患；對策

中圖分類號：F830 文獻標志碼：A 文章編號：1673-291X（2016）06-0147-02

隨著科學技術的發展和信息水平的提高，信息技術為央行的相關工作帶來了很多便利，相關部門也在科技安全管理方面做了大量的工作，但是從審計部門近幾年開展的科技安全管理審計情況看，各行在管理、操作等方面仍存在漏洞，需要進一步提高和改進。

一、山西省人民銀行科技安全管理現狀

從2009年開始，歷時六年的時間，我們在全省人民銀行范圍內開展了科技安全管理審計。通過現場審計、發放調查問卷以及和一線職工的溝通交流，了解到基層行在科技安全管理工作中普遍存在和反映較多的問題。

（一）從現場審計掌握的情況

通過對山西省16個地市及縣支行的審計了解，2009—2014年共發現287個問題，主要表現在內控制度、機房安全管理、網絡安全管理、系統安全、應用系統維護、采購外包、應急備份等方面。在上述發現的問題中，機房安全管理、應用系統運行維護和網絡安全管理方面存在的問題最多，風險最大。

1.機房安全管理問題中，主要表現在機房進出控制、監控盲區及安全運行監測信息資料保存期限、日常巡檢及機房選址存在漏水、被盜隱患方面。

2.應用系統運行維護問題中，主要表現在未開啟安全日志審計，口令密碼設置簡單；系統維護記錄不準確等方面。

3.網絡安全管理問題中，主要表現在客戶端未安裝主機監控系統、未禁用系統默認來賓賬戶、使用未注冊的移動存儲介質，防病毒軟件病毒特征庫升級不及時等。

（二）通過調查問卷及訪談了解的情況

1.內控制度落實難。雖然近幾年從上到下均制定了大量的規章制度，但部分制度的制定與執行存在脫節的情況，尤其是上級行制定的一些制度，大部分是針對上級行自身的實際，沒有充分考慮到基層的具體實際情況，制度下發后在基層行很難執行。

2.人員結構調整速度慢。調查問卷顯示，75%的管理層認為科技人員結構不能滿足管理要求，具體表現為：總量不足、年齡大、任務重，知識結構老化。經了解，科技部門現有人員有2/3已超40歲，對新知識接受較慢，尤其在央行數據集中的背景下，信息人員網絡安全知識更新速度跟不上，在工作中容易出現失誤。

3.科技人員少且兼崗多。在實際工作中，大部分安全管理人員既要負責網絡防病毒系統、內部網絡管理維護以及內外網安全管理等工作，還要承擔應用系統的維護、軟件管理、硬件維護和網絡通信管理，時常出現顧此失彼的現象，難以保證科技管理及維護工作的質量。

4.專業技術培訓不足，員工素質相對滯后。調查問卷顯示，90%的科技人員認為需要加強技術及信息安全培訓和經驗交流。經了解，在實際工作中對于業務系統上線及使用，上級行只注重對業務人員的培訓，忽視對科技人員的相關培訓，造成科技人員不熟悉，甚至不了解業務系統，導致問題處理不及時。

二、潛在的風險隱患

針對以上審計中發現的問題可以看出，基層央行科技安全管理方面的風險來源主要為管理風險和操作風險。

（一）管理風險

隨著對信息安全認識的加深，我們逐漸意識到“人”的風險其實是最大的風險。人，特別是銀行內部員工，既可以是對信息系統的最大威脅，也可以是最可靠的安全防線。但是從實地調研情況看，基層行實現從“最大威脅”到“最可靠防線”的轉變中還存在一些不容忽視的問題，表現為：一方面，部分職員沒有樹立正確的職業道德觀念，加之缺乏激勵約束機制，覺得干好干壞沒差別，干多干少一個樣，缺乏工作熱情，出現不思進取的現象；另一方面，基層行科技人員職業技能落后，隨著信息化的高速發展，使一部分職員出現技能上的脫節，遇到威脅信息安全的事件不能及時采取措施，消除威脅，給信息安全帶來潛在風險。

（二）操作風險

隨著央行各項業務對信息系統的依賴程度越來越高，信息系統風險的影響也越來越大。而誘發操作風險的原因也是多種多樣，無論是有意越權訪問或是無意誤操作，還是技術缺失，都會把風險變成實實在在的損失。從審計情況來看，發現的問題大部分屬于操作風險，如在網絡設備安全審計日志的設置及使用方面，基層行科技人員由于對安全審計日志操作不了解，專業技能達不到，不敢貿然操作，導致目前此項工作處于空白狀態，使科技管理人員不能完全掌握網絡信息系統的實際使用狀況，幫助管理者發現潛在的風險，達到控制人為因素造成重要業務系統停頓的損失的目的。

三、對策建議

（一）強化工作人員的科技安全意識

強化科技安全意識就是要讓工作人員認識到科技信息安全是信息正常而高效運轉的基礎，是保障央行信息安全重要前提，從而牢固樹立信息安全第一的思想。管理層要利用多種途徑對員工進行信息安全方面的教育，普及信息安全知識，同時確保防范手段和技術措施的先進性和主動性。

（二）提高職業道德水平

職業道德既體現在思想上對工作認真負責，又體現在技能水平上有充足的專業勝任能力。一方面要通過制定完備的安全管理政策、健全的安全文化建設等手段，達到有效降低人的安全風險；另一方面要引導員工端正職業態度，強化思想教育，定期組織員工進行思想交流，及時糾正員工在思想上的不良傾向。

（三）完善內部控制制度，降低操作風險

要降低操作風險，關鍵在于完善內控，包括對員工、業務流程等的管理措施。基層行要根據自身的實際情況，建立相應的操作風險管理機制，對潛在的風險進行有效的識別和評估，并采取有效的監控手段，從而發現并解決操作風險中存在的問題。

（四）強化監督管理

基層行科技部門人手少，兼崗多，自我監督力量和能力較弱，上級行加強監督檢查顯得尤為重要。在監管過程中要改變單一的“上查下”方式，結合檢查發現的問題，有針對性地開展實地指導，做到既查問題又幫助改進工作，切實達到促進基層行落實制度、防范風險、改進工作的目的。

（五）開展專業維護技能培訓，建立激勵機制

以針對性和實用性為原則，對現有科技人員進行計算機網絡設備、安全防護等方面的培訓，提高其業務技能和水平。同時建立有效的科技工作激勵約束機制，通過強化優勝劣汰的競爭氛圍，提高員工的競爭意識，積極主動提高自己的職業能力，確保基層行科技工作有序開展。

[責任編輯 王玉妹]