試論商業(yè)銀行信息安全現(xiàn)狀及問(wèn)題

劉洋

【摘 要】近些年來(lái)，隨著銀行經(jīng)營(yíng)與管理對(duì)信息技術(shù)依賴的日益廣泛和深入、網(wǎng)上銀行等新渠道業(yè)務(wù)形式的迅速發(fā)展，以及信息系統(tǒng)復(fù)雜程度的日益增加，我國(guó)銀行面臨著日益嚴(yán)峻的信息安全風(fēng)險(xiǎn)帶來(lái)的挑戰(zhàn)。隨著商業(yè)銀行信息安全問(wèn)題的日益復(fù)雜化，其嚴(yán)峻性要求商業(yè)銀行采取一定措施避免出現(xiàn)商業(yè)銀行信息風(fēng)險(xiǎn)帶來(lái)的金融危害。因此，加強(qiáng)對(duì)銀行信息安全風(fēng)險(xiǎn)的研究，把銀行信息安全放在高度的戰(zhàn)略位置上，加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)的提前監(jiān)管與控制，成為當(dāng)代防控銀行信息風(fēng)險(xiǎn)的關(guān)鍵步驟。

【關(guān)鍵詞】商業(yè)銀行；信息安全；管理；策略

為了進(jìn)一步確保銀行的信息安全，推進(jìn)銀行信息安全管理，商業(yè)銀行不僅增加投入比重，加強(qiáng)對(duì)系統(tǒng)運(yùn)行的嚴(yán)格管理。然而，盡管采取了一系列措施措施，銀行信息安全事件還是不斷發(fā)生，近些年來(lái)，一些黑客高手處于商業(yè)利益的考慮也不斷干預(yù)銀行信息安全體系的正常運(yùn)營(yíng)。此外，金融市場(chǎng)上存在的不當(dāng)競(jìng)爭(zhēng)，使得一些銀行采取不當(dāng)或違法方式入侵其它銀行系統(tǒng)，從而為商業(yè)銀行個(gè)人信息安全造成了嚴(yán)重的威脅。這就說(shuō)明我國(guó)商業(yè)銀行信息安全仍然存在著問(wèn)題。

一、商業(yè)銀行信息安全的現(xiàn)狀

（一）信息安全管理制度不斷改進(jìn)

近年來(lái)，我國(guó)政府加強(qiáng)了對(duì)各級(jí)商業(yè)銀行信息安全風(fēng)險(xiǎn)的高度重視，特別是商業(yè)銀行數(shù)據(jù)中心的監(jiān)管工作更是不敢懈怠。商業(yè)銀行不僅在意識(shí)上提高了對(duì)信息安全風(fēng)險(xiǎn)重要性的認(rèn)識(shí)，而且在其信息安全風(fēng)險(xiǎn)的管理方面加大了投入，日高了成本，逐漸完善各項(xiàng)信息安全管理制度，并開(kāi)始建立適合商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系。

（二）信息安全監(jiān)督明顯加強(qiáng)

銀行信息系統(tǒng)的安全、可靠和有效有利于包括商業(yè)銀行在內(nèi)的整個(gè)銀行系統(tǒng)的安全與穩(wěn)定，銀行信息安全理應(yīng)成為整個(gè)金融體系中的關(guān)鍵環(huán)節(jié)，從戰(zhàn)略高度將信息安全的監(jiān)管看做防范與化解風(fēng)險(xiǎn)的重要保障，將信息科技風(fēng)險(xiǎn)管控工作納入總體風(fēng)險(xiǎn)管理框架之中，構(gòu)建監(jiān)管的長(zhǎng)效機(jī)制，不斷完善和正確實(shí)施，才能真正保障信息系統(tǒng)的安全、可靠與穩(wěn)定運(yùn)行。

（三）信息安全管理投入日益加大

加大了在信息安全運(yùn)行系統(tǒng)中運(yùn)行監(jiān)控、流程優(yōu)化、病毒防范等方面的投入力度，推動(dòng)了信息安全管理工作的進(jìn)一步發(fā)展，也使得商業(yè)銀行的整體防范風(fēng)險(xiǎn)水平上了一個(gè)嶄新臺(tái)階。但是也要看到的是，以上這些成就主要集中在國(guó)有大型商業(yè)銀行中，對(duì)于中小商業(yè)銀行來(lái)說(shuō)，由于各種原因的局限性，災(zāi)備中心的建設(shè)還沒(méi)有出現(xiàn)良好勢(shì)頭的“中國(guó)模式”，亟待重視與完善。

二、商業(yè)銀行信息安全存在的問(wèn)題

（一）信息安全意識(shí)不強(qiáng)

要知道商業(yè)銀行要想實(shí)現(xiàn)長(zhǎng)遠(yuǎn)的穩(wěn)健的發(fā)展，必須建立健全約束機(jī)制與清晰的市場(chǎng)定位，而信息安全管理與風(fēng)險(xiǎn)防范工作則是前提中的前提，基礎(chǔ)中的基礎(chǔ)。內(nèi)控機(jī)制的缺位或短缺，直接導(dǎo)致各項(xiàng)業(yè)務(wù)制度保障的失衡，因此銀行內(nèi)部不能夠?qū)ΜF(xiàn)行制度進(jìn)行細(xì)化與整合，使業(yè)務(wù)發(fā)展出現(xiàn)不適應(yīng)性與滯后性。內(nèi)控制度也是一個(gè)銀行信息安全的重要保證，內(nèi)控制度在很大程度上避免了銀行內(nèi)部人員進(jìn)入信息控制中心，從而導(dǎo)致了信息的丟失。

（二）信息安全缺乏統(tǒng)一管理

對(duì)于國(guó)內(nèi)商業(yè)銀行而言，面對(duì)業(yè)務(wù)重組、IT外包、充分授權(quán)、扁平化組織和分布式處理等復(fù)雜多變的商業(yè)環(huán)境，如何精確保證信息安全戰(zhàn)略、信息化戰(zhàn)略與企業(yè)發(fā)展戰(zhàn)略的步調(diào)一致，普遍缺少科學(xué)方法的指導(dǎo)。由此造成信息安全管理缺乏統(tǒng)籌規(guī)劃，管理目標(biāo)不明確，標(biāo)準(zhǔn)規(guī)范不統(tǒng)一，信息安全管理處于混亂無(wú)序的狀態(tài)，并導(dǎo)致資源的分配不均，最終影響銀行整體的信息安全風(fēng)險(xiǎn)管理的效率和效果。

（三）信息安全管理的人才匱乏

銀行方面仍把主要注意力放在業(yè)務(wù)拓展與壯大上，對(duì)信息安全管理的團(tuán)隊(duì)建設(shè)與技術(shù)人才的引進(jìn)與培養(yǎng)缺乏力度。信息技術(shù)人員一般分配在信息技術(shù)部門，但是在管理與業(yè)務(wù)部門的信息技術(shù)人員則相對(duì)有限，直接阻礙了復(fù)合型人才的后期培養(yǎng)。而從美國(guó)銀行業(yè)的情況看，約有44%的信息技術(shù)人員配置在數(shù)據(jù)處理中心，約31%配置在客戶服務(wù)系統(tǒng)部門，其余則配置在服務(wù)系統(tǒng)的終端部分。這種較為合理的人才資源架構(gòu)可以充分發(fā)揮銀行各類從業(yè)人員的專業(yè)潛能，并成為銀行發(fā)展的有效助推力，形成復(fù)合人才的內(nèi)生機(jī)制。

三、商業(yè)銀行信息安全問(wèn)題的解決對(duì)策

（一）強(qiáng)化信息安全觀念

信息安全管理的終極目標(biāo)是在風(fēng)險(xiǎn)發(fā)生之前降低風(fēng)險(xiǎn)系數(shù)，在風(fēng)險(xiǎn)發(fā)生過(guò)程中控制和降低已發(fā)生的風(fēng)險(xiǎn)帶來(lái)的負(fù)面影響與損失，并有效完成信息安全重建工作，修復(fù)信息安全管理體系?？梢?jiàn)，樹(shù)立積極防御的思想，對(duì)信息進(jìn)行基本的測(cè)量、評(píng)估，是信息安全管理的一個(gè)基本前提與方略。為了將信息風(fēng)險(xiǎn)消滅于襁褓之中，防患于未然，減少不必要的損失，商業(yè)銀行應(yīng)樹(shù)立積極防御的思想，先期評(píng)估可能存在的風(fēng)險(xiǎn)與業(yè)務(wù)、信貸評(píng)析。這種先期思想能夠?qū)в袃A向性的問(wèn)題進(jìn)行早期預(yù)測(cè)，針對(duì)一些可能會(huì)出現(xiàn)風(fēng)險(xiǎn)問(wèn)題的營(yíng)業(yè)網(wǎng)點(diǎn)與相關(guān)部門制定有效的防范措施，從而將安全風(fēng)險(xiǎn)的可能性降到最低，減少日后補(bǔ)救所帶來(lái)的經(jīng)濟(jì)與人力成本。

（二）構(gòu)建信息安全管理體系

信息安全風(fēng)險(xiǎn)管理的組織機(jī)構(gòu)是商業(yè)銀行開(kāi)展信息安全風(fēng)險(xiǎn)管理工作的組織保證。因此，成立相關(guān)專業(yè)性和綜合性的機(jī)構(gòu)組織（委員會(huì)或領(lǐng)導(dǎo)小組）是很有必要的，如資產(chǎn)管理委員會(huì)、貸款審查委員會(huì)、“三防一保”領(lǐng)導(dǎo)小組等等，達(dá)到進(jìn)一步加強(qiáng)風(fēng)險(xiǎn)管理的目的。還可以按照巴塞爾委員會(huì)的相關(guān)要求，成立內(nèi)審委員會(huì)，實(shí)行內(nèi)審委員會(huì)對(duì)法人負(fù)責(zé)的制度。另外，為了避免將信息安全管理由科技部門單一負(fù)責(zé)的情況，應(yīng)考慮將信息安全管理置于整個(gè)組織機(jī)構(gòu)的管理范圍中，形成業(yè)務(wù)部門、管理部門與信息安全部門的明確責(zé)任分工，發(fā)揮橫向調(diào)節(jié)、縱向制約的組織功能。

（三）重視復(fù)合型信息安全人才的培養(yǎng)

重視科技與管理人才的引進(jìn)，選拔素質(zhì)高、技能強(qiáng)并具有相關(guān)管理經(jīng)驗(yàn)的復(fù)合型人才從事信息安全管理工作。首先，應(yīng)從人才的引進(jìn)與培養(yǎng)的漸進(jìn)性和連續(xù)性上優(yōu)化人員結(jié)構(gòu)，形成梯隊(duì)；合理配置和使用人力資源，明晰高層、中層以及低層員工在信息安全方面的各自職能，實(shí)現(xiàn)人盡其才的和諧局面，促進(jìn)一個(gè)縱向延伸，橫向制約的信息安全管理系統(tǒng)的建立。另外，圍繞信息安全管理進(jìn)行鼓勵(lì)以及獎(jiǎng)罰制度的制定，建立業(yè)績(jī)?cè)u(píng)價(jià)體系，通過(guò)多種獎(jiǎng)勵(lì)性的刺激手段，樹(shù)立模范典型，促進(jìn)具有較強(qiáng)的凝聚力的信息安全管理人員隊(duì)伍的建立，為在運(yùn)營(yíng)過(guò)程中有效的預(yù)防與處理風(fēng)險(xiǎn)提供人員支持。

（四）建立信息安全內(nèi)部控制

內(nèi)部控制涉及領(lǐng)域領(lǐng)域較廣，可以說(shuō)涵蓋了銀行內(nèi)部所有從業(yè)人員，包括董事會(huì)、管理層和其他工作人員。從目前來(lái)看，商業(yè)銀行的內(nèi)控文化尚未真正建立，特別體現(xiàn)在高層領(lǐng)導(dǎo)不重視，部分工作人員也未能充分認(rèn)識(shí)到內(nèi)控機(jī)制的重要意義。因此，要想在銀行內(nèi)部樹(shù)立內(nèi)控文化體系，應(yīng)首先針對(duì)高層進(jìn)行培訓(xùn)，使他們意識(shí)到信息安全管理與內(nèi)控機(jī)制的重要關(guān)系，并在日常銀行運(yùn)營(yíng)中，將內(nèi)控文化時(shí)時(shí)刻刻體現(xiàn)在銀行內(nèi)部的環(huán)境中，使工作人員在有形與無(wú)形中受到內(nèi)控文化感染，進(jìn)而外化為自己的行為實(shí)踐，嚴(yán)格按照規(guī)章制度辦事。另外，要定期開(kāi)展思想道德教育和法制教育，將職業(yè)道德考察和業(yè)務(wù)緊密結(jié)合，在利欲面前樹(shù)立牢固的思想防線，促使員工樹(shù)立企業(yè)責(zé)任感與主人翁意識(shí)，以自覺(jué)、主動(dòng)地參與到銀行的發(fā)展中。

四、結(jié)語(yǔ)

綜上所述，我國(guó)商業(yè)銀行是我國(guó)金融體系中的重要組成部分，它運(yùn)營(yíng)的安全性是保證我國(guó)國(guó)民經(jīng)濟(jì)健康穩(wěn)定發(fā)展的重要因素。伴隨著我國(guó)銀行業(yè)信息系統(tǒng)建設(shè)的持續(xù)發(fā)展，商業(yè)銀行迎來(lái)了前所未有的發(fā)展機(jī)遇，成為國(guó)民經(jīng)濟(jì)中信息技術(shù)應(yīng)用水平最高的行業(yè)之一。但是近些年來(lái)銀行信息安全不斷暴露出大量問(wèn)題，從而影響了銀行的健康有序的運(yùn)轉(zhuǎn)。因此，針對(duì)這些問(wèn)題，銀行逐漸重視了行業(yè)內(nèi)部個(gè)人信息安全管理制度的建設(shè)，從不同的環(huán)節(jié)入手加強(qiáng)管理，以把由于信息安全方面產(chǎn)生的損失減小到最低限度。

【參考文獻(xiàn)】

[1]馬俊宇.商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)與安全研究[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2019（04）：68-70+73.

[2]唐金海，熊占寅.新形勢(shì)下商業(yè)銀行信息安全現(xiàn)狀及問(wèn)題分析[J].中國(guó)新通信，2018，20（23）：165.

[3]蔡婷婷.基層人民銀行信息安全管理的工作現(xiàn)狀分析[J].時(shí)代金融，2018（24）：84+88.