商業銀行信息安全風險的防控手段研究

吳云鵬 對外經濟貿易大學

商業銀行是金融系統中的重要組成部分，在經濟領域中屬于無可替代的角色，其發展直接關系國家經濟發展方向與水平。商業銀行在經營與發展中會遇到許多外界因素、內部問題威脅，導致其信息泄露不再安全，這樣的局面勢必會影響銀行發展進程與穩定經營。對此商業銀行需要采取行之有效的方式，針對性應對和處理信息安全問題。運用行之有效的方法規避處理風險，保障銀行環境優質與安全。

一、信息安全風險內涵

所謂的信息安全風險說的是信息遭到內部泄漏或是外部竊取，信息被惡意破壞與修改，致使企業蒙受聲譽損失、經濟損失。風險包括兩個維度，第一個維度為風險嚴重程度，第二個維度為風險發生概率[1]。因硬件設備并不完善，所以企業難以避免信息安全風險。此外企業信息的安全風險具有不確定特征，當然這種不確定往往可以直接評估。信息安全風險是企業無形資產[2]。信息安全風險包括很多種，根據特征劃分包括：人員泄露、設備保密性不足、環境風險、網絡安全風險、管理不到位。以上五種類型的風險又包括許多子風險。

二、信息安全風險三維模型

信息安全風險的應對，需要從多個角度出發，同時兼顧宏觀戰略與微觀執行要求。從應急準備、監測、分級響應、恢復、根除、總結改進切入[3]。宏觀戰略方面，需多留意各部門之間的領導關系，必須做到分類、分級管理信息，讓信息安全可以落實到個體與實際。隱患和風險的管控，應集中于突發事件的應急管理與處理。應創建高效企業信息安全突發事件響應機制與實施規范。遇到隱患與突發事件，必須詳細、及時記錄過程與經驗教訓，完善和修正信息安全應急預案。微觀執行角度，則應高效銜接實際時間與應急預案關系。按照實際事件尋找合適應急預案做出及時修正，正確應對與處理企業的信息安全事件。此外應縮短應急的響應時間，減少突發事件引發的企業損失。應急響應和風險管控應做到員工之間、部門之間有序配合[4]。信息安全風險需要對信息安全風險的內涵展開分析，設定問題應對流程。也就是從事件出現開始防控與預警風險，應急響應事件。結束事件問題以后總結經驗，記錄全過程。包括準備、監測、響應、恢復、根除、總結改進。必須落實實際，將隱患和風險管理放在應急管理首要位置。此外應打造高效突發事件實施規范與響應機制。遇到突發事件與安全隱患，需要詳細、及時記錄過程與經驗，不斷完善和修正應急預案。微觀執行信息安全風險的時候，需要高效銜接實際時間和應急預案，按照實際事件選用匹配的應急預案，及時修正問題，應對突發事件。必須盡可能減少應急的響應用時，減少突發事件引發的損失。應急響應與風險管理需要員工和部門相互配合，其具有重要意義。

三、現階段商業銀行信息安全風險情況

在市場經濟及數字化快速發展的今天，如今的金融市場整體環境開始朝向復雜方向變化。在金融系統中，商業銀行有著特殊的地位，屬于重要機構。新時期背景下，商業銀行所面臨的挑戰越來越多，復雜程度不斷加劇，特別是信息安全，迎來了眾多安全挑戰，不利于商業銀行穩定發展，以及深入金融市場調控。信息安全包含要素非常多，風險類型種類數不勝數，常見包括信息管理片面、信息采集困難、信息丟失與泄露。新時期背景下，信息化、智能化成為管理常態。黑客以及病毒等新時代風險成為影響銀行穩定運行的重要因素。引發安全風險的因素非常多，包括人員素質、內控不穩定、體系不完整。對于上述問題，需要商業銀行端正思想態度，更新操作方法與工作機制。以打造優質銀行環境為前提，全面監控銀行發展過程中的各種風險。

四、防控信息安全風險的手段

（一）完善內部管理運行機制

為了消除風險，最重要的工作就是從源頭出發，消除安全隱患。處理運營安全風險，需要從內部干預出發，不斷完善內控機制，規范信息管理路徑，加強內部審核與監督，創造安全信息管理環境，降低風險隱患。對此必須做好信息管理機制的調整和完善研究，明確不同管理人員工作要求、職能范圍。應加強思想宣傳，使所有人員都能形成責任意識，理解信息安全價值與作用。依靠正確思想引導，約束自身作業理念和方式，確定正確的操作思路。此外商業銀行需要成立專門的內控管理部門，確定審計工作要求與職能，圍繞當前的信息管理現狀，嚴格審核信息風險、工作人員崗位表現，加強內部監督，打造良好工作氛圍與環境，減少內部錯誤發生概率。

（二）改進信息管理方案優化管理系統

從經驗來看，絕大多數信息安全風險的誘因都是人為因素。為減少人為失誤引起的管理風險，需要商業銀行投入更多的技術與資金，提高信息安全水平。為迎合新時期背景，適應互聯網新基準、新形勢，商業銀行必須主動引入現代化的管理技術與手段。依靠信息技術創建安全系統和結構，賦予支撐系統更廣泛的功能與作業體系，實現現代化管理與智能化管理，體現管理工作能效價值，減少人工操作失誤引發的安全風險、風險隱患。此外在使用信息技術統計與分析期間，可以運用安全技術和軟件發現各種潛藏的隱患與風險，使用特定手段規避風險，降低風險。現代體系的構建，需要商業銀行加強風險防護管理，創建與自身發展需求相匹配的防護機制。應用信息化技術與軟件，全面發掘和搜集系統內部安全隱患。用軟件自帶的防護系統，屏蔽處理風險隱患。此外工作人員需要使用現代技術管理信息，提前備份信息，利用不同渠道存儲信息。以免因信息泄露，導致數據庫被攻擊，丟失全部資料。

（三）加強監測與防范力度避免風險危機加劇

商業銀行必須加強內部風險監測力度，根據自身發展理念和追求，提前制定合理且完善的防護辦法與措施。應按照內部信息管理系統情況，按照過往經驗，明確風險類型。此外應以信息安全干預原則，主動引入高效、多元的風險預防辦法。例如銀行設置秘鑰對信息操作系統進行優化，使用信息風險自動識別以及病毒查殺技術，監測管理各種風險內容。此外商業銀行有必要提前制定各種風險預處理辦法，有效控制風險范圍，減少風險影響。

（四）加強人員素質管理

在眾多的風險隱患中，大多數隱患的發生都和內部工作人員的素質不足有關。為了減少人員素質安全隱患，商業銀行必須重視人員素質建設工作。招聘人員的時候，必須予以信息安全素養考核高度關注，確保引進的工作人員素質能夠適應崗位要求，提升人員素質能力和工作專業性。除此之外還要重視工作人員安全防護技能培訓，予以安全教育宣傳高度重視。應重點培訓工作人員的風險管理素質，提高工作人員信息安全操作水平與能力。

五、不同時間段的風險應對方案

（一）應急準備

該階段往往是銀行應對信息安全風險實施時間最久的環節，該環節的工作效果，關系到商業銀行能否有效解決突發的信息安全事件。商業銀行該環節需要認真分析與評估信息資產，了解潛在威脅。對于高發生概率且影響嚴重的風險需要提前制定應急預案和預警防控手段。加強員工培訓，合理演練風險應對方案，培養安全意識。

（二）泄露監測

商業銀行平時必須認真監測與預警，使用物聯網智能監測配合人力監測。關鍵風險需要使用多樣化方式。如出現風險爆發前兆需要及時預警，將信息逐級上報至上級領導。

（三）分級響應

必須第一時間做出反應，包括高風險、一般風險、低風險。發生風險時，按照預先設置的預案進行處理響應。

（四）恢復運營

商業銀行信息受損之后，立刻使用備份數據恢復系統。之后檢查銀行運行情況，直到系統恢復正常。已泄露信息需要及時補救，和信息購買方、接受方交涉，截斷信息外泄，降低泄露信息價值。

（五）根除泄密源

解決安全問題以后，必須排除技術漏洞，不斷完善系統。人為因素引起的問題，需處理有關人員。

（六）總結改進

恢復系統后，總結經驗與教訓，完善和改進技術，以免發生類似事件。

六、結語

現如今商業銀行已經成為了我國經濟發展的頂梁柱。商業銀行經營過程中，必須給經營實力管理予以高度關注，確保信息安全性與穩定性，提高商業銀行經濟效益創造能力和收益水平。面對新時期市場經濟環境與背景，商業銀行需要提高信息風險關注度與重視度，結合自身當前經營管理情況，采取更科學有效的問題解決辦法。通過多角度干預，打造安全管理水平與信息環境，以免信息的存儲、管理出現問題。有了前面的鋪墊，才能提高銀行自身管理水平、經營能力。