加強銀行信息安全風險管理探究

邢陳思

摘 要：隨著銀行快速推進信息化建設(shè)，各種業(yè)務(wù)系統(tǒng)持續(xù)上線運行，邁向全面信息化集中處理階段，信息安全成為重難點問題。本文根據(jù)銀行信息安全風險管理的不足，探究加強信息安全風險管理的措施，希望有助于銀行解決信息安全問題，提高信息安全水平。

關(guān)鍵詞：銀行 信息安全 風險管理

中圖分類號：F832.2文獻標識碼：A文章編號：1003-9082（2019）11-00-01

銀行在現(xiàn)階段面臨嚴峻的信息安全風險形勢，尤其是銀行信息系統(tǒng)具有開放性，電子商務(wù)等業(yè)務(wù)量不斷增長，對信息系統(tǒng)的依賴性越來越強，但信息系統(tǒng)極易受到管理風險、技術(shù)風險等的威脅，引發(fā)信息犯罪，加強信息安全風險管理勢在必行。

一、銀行信息安全風險管理的不足

1.風險管理中難以把握適度安全

風險管理并非不計成本地追求絕對安全、零風險，或試圖徹底消滅風險，這屬于嚴重浪費。銀行風險管理也是一樣，要求在安全成本與風險損失之間找到最佳平衡點，提倡適度安全。這樣的平衡對銀行評估風險來說往往難以把握。

2.內(nèi)部信息安全控制制度不完善

盡管很多銀行已經(jīng)構(gòu)建信息安全風險管理體系，但日常業(yè)務(wù)操作環(huán)節(jié)依舊面臨一些信息安全威脅。主要原因就在于銀行內(nèi)部控制制度存在漏洞，內(nèi)部控制管理流程尚不規(guī)范，無法有效預防內(nèi)部風險，影響整個信息系統(tǒng)的安全性[1]。

3.信息安全風險備份能力不夠強

目前銀行整體災(zāi)難備份技術(shù)水平依舊停留在總行級別，很少有分行能達到相同水平，并且即便是總行數(shù)據(jù)信息中心也沒有備份所有數(shù)據(jù)和信息系統(tǒng)，只備份涉及重要信息的核心系統(tǒng)。銀行的備災(zāi)機制也不完善，缺少異地備份，發(fā)生風險或故障時引發(fā)巨大損失。

二、加強銀行信息安全風險管理的措施

1.編制信息安全風險管理實施細則

所有信息安全風險評估標準都只給出指導性文件，未給出實施過程、識別風險要素的方法和分析、計算、定級等方法，導致銀行信息安全風險評估人員只能按照行業(yè)特征、評估目標和個人的理解選擇評估方法，增加風險評估的不確定性。建議銀行以《信息安全風險評估指南》為指導，編制適應(yīng)業(yè)務(wù)特色的風險評估實施細則。并按照所選風險計算方法編寫評估案例，制作各種各樣的模板，實現(xiàn)評估方法與評估過程的統(tǒng)一[2]。如統(tǒng)一銀行的各種調(diào)查表、查檢表、分析方法、計算方法、評估工具、定級標準和賦值標準等，根據(jù)相同的標準與方法開展信息安全風險評估工作，體現(xiàn)評估結(jié)論的可比性，從而適當控制風險，降低安全成本。

2.建立健全安全風險內(nèi)部控制制度

根據(jù)風險管理經(jīng)驗，一套有效的、可行的內(nèi)部控制制度是確保銀行有序開展業(yè)務(wù)的前提，為完成既定目標、防范信息安全風險，銀行必須以按制度辦事、用標準說話為原則建立健全信息安全風險內(nèi)部管控制度，促使信息安全風險管理工作不斷趨于制度化和規(guī)范化，進一步完善人員、設(shè)備、技術(shù)方面的制度建設(shè)，高效管控風險。

第一，完善人防制度，明確銀行崗位責任，根據(jù)崗位職責要求建立責任制度，預防非科技部門人員在信息安全上有所懈怠，真正將信息安全工作落實到各個部門;建立健全業(yè)務(wù)管理制度，根據(jù)計算機網(wǎng)絡(luò)、系統(tǒng)、電子聯(lián)行、反洗錢等信息系統(tǒng)的特點制定運行管理與維護制度，規(guī)范人員業(yè)務(wù)操作流程，減少人員隨意性，將信息安全風險扼殺在萌芽階段。第二，完善物防制度，尤其是在設(shè)備運行中要明確規(guī)定使用權(quán)限和媒體安全，弄清楚每一個細節(jié)，如機房溫度、濕度、頻率、電壓等，還有資料備份制度、保密制度等，預防因人浮于事而損害各類設(shè)備，規(guī)范信息儲藏設(shè)備安全運行。第三，完善技防制度，及時更新機器設(shè)備、升級銀行信息系統(tǒng)、完善訪問控制，對于信息系統(tǒng)中的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖等關(guān)鍵信息必須嚴格保密;提供高效率的、全方位的信息安全風險管理技術(shù)支持體系，預防因技術(shù)制度不完善造成信息安全風險管理出錯。

在此基礎(chǔ)上，銀行應(yīng)建立健全聯(lián)防制度，促使各個部門在信息系統(tǒng)中協(xié)調(diào)配合操作。如業(yè)務(wù)系統(tǒng)的主管、操作員和程序維護員應(yīng)相互制約;建立安全管理部門和公安部門、設(shè)備管理部門和軟硬件供應(yīng)商的橫向協(xié)調(diào)制度、分工負責制度，將制度落到實處。為此，銀行要完善內(nèi)部控制獎懲制度，獎勵執(zhí)行力強、信息安全風險管理效果好的個人、部門，加大宣傳力度，同時懲罰執(zhí)行不力者，嚴厲追究責任，增強全體人員開展信息安全風險管理工作的主動性、積極性;建立各部門協(xié)作制度，促進銀行的科技、稽核、監(jiān)察、紀檢、保衛(wèi)等部門的配合與協(xié)調(diào)，切實執(zhí)行內(nèi)部控制制度，監(jiān)督執(zhí)行情況，發(fā)揮制度的作用。

3.科學使用異地數(shù)據(jù)信息備份技術(shù)

數(shù)據(jù)備份和恢復技術(shù)指的是銀行信息系統(tǒng)遭受安全風險事故時利用數(shù)據(jù)恢復備份，保持銀行業(yè)務(wù)連續(xù)[3]。鑒于當下銀行數(shù)據(jù)信息備份大多為同城備份，無法滿足業(yè)務(wù)連續(xù)性要求，應(yīng)科學使用異地數(shù)據(jù)信息備份恢復技術(shù)。第一，以主機為基礎(chǔ)的容災(zāi)備份技術(shù)，把異地銀行通常是支行或分行系統(tǒng)的數(shù)據(jù)信息復制在總行服務(wù)器上，一旦信息系統(tǒng)出現(xiàn)風險事故，就能轉(zhuǎn)到主機系統(tǒng)運行，預防銀行業(yè)務(wù)中斷。第二，以數(shù)據(jù)庫為基礎(chǔ)的容災(zāi)備份技術(shù)，把銀行數(shù)據(jù)信息遠程復制在備用數(shù)據(jù)庫之中，保持和備用系統(tǒng)聯(lián)網(wǎng)，同時配置遠程復制管理軟件，保持良好的數(shù)據(jù)信息一致性，適應(yīng)銀行信息系統(tǒng)數(shù)據(jù)快速更新。第三，以智能存儲為基礎(chǔ)的容災(zāi)備份技術(shù)，通過銀行智能存儲系統(tǒng)自動進行數(shù)據(jù)備份，該項技術(shù)對存儲設(shè)備有較高的性能要求、規(guī)格要求，在銀行應(yīng)用系統(tǒng)中適用，第四，脫機備份技術(shù)，無需網(wǎng)絡(luò)通訊要求，通常把數(shù)據(jù)信息存儲到硬盤、磁盤及光盤之中，屬于異地冷備份技術(shù)，雖然成本較低，但是數(shù)據(jù)信息容易丟失，銀行應(yīng)盡可能預防使用該技術(shù)手段進行數(shù)據(jù)備份，保護信息安全。

三、結(jié)語

銀行信息安全需求使信息系統(tǒng)面臨越來越嚴格的要求，在銀行的現(xiàn)代化風險管理中，信息安全風險管理是至關(guān)重要的一個環(huán)節(jié)，必須正確認識不足，編制實施細則，保持成本與風險的平衡，同時完善內(nèi)部控制制度，加強內(nèi)部風險管理，在先進異地備份技術(shù)的支持下保證數(shù)據(jù)信息安全，確保銀行信息系統(tǒng)的安全性，為市場經(jīng)濟發(fā)展提供良好環(huán)境。

參考文獻

[1]宋喜新.銀行信息安全風險管理策略探析[J].電腦迷，2018（02）：227.

[2]陳軍.銀行信息安全存在的問題與相關(guān)對策[J].電子技術(shù)與軟件工程，2018（20）：204.

[3]康陽.人民銀行征信信息安全管理中的風險分析與防范[J].金融經(jīng)濟，2017（22）：147-148.

n>我國公共租賃住房若干法律問題研究[D].天津大學，2011.