淺析政府視角下中小型銀行信息安全管理問題探究

李曉娜

【摘 ?要】目前全國中小型銀行快速發(fā)展，其服務(wù)的業(yè)務(wù)范圍和領(lǐng)域逐漸擴(kuò)大。銀行內(nèi)部的信息化建設(shè)需要建設(shè)和發(fā)展，但信息化帶來便利的同時(shí)也存在一定的風(fēng)險(xiǎn)——網(wǎng)絡(luò)信息安全，數(shù)據(jù)的大量集中會(huì)導(dǎo)致不法分子通過網(wǎng)絡(luò)漏洞竊取信息。本文著重從國內(nèi)中小型銀行出發(fā)分析它在信息建設(shè)、安全管理、甚至是各個(gè)政府監(jiān)管部門過程中存在的不足，結(jié)合當(dāng)前國家信息安全系統(tǒng)監(jiān)管標(biāo)準(zhǔn)的要求，不斷的摸索出一套屬于中小型銀行信息安全管理體系。

【關(guān)鍵詞】中小型銀行;信息安全;管理

一、我國中小型銀行信息安全管理的現(xiàn)狀及特點(diǎn)

近幾年來，金融行業(yè)的信息化使用程度越來越高，但給中小型銀行帶來發(fā)展機(jī)遇的同時(shí)，信息安全風(fēng)險(xiǎn)也逐漸成為中小型銀行風(fēng)險(xiǎn)之一。對于國內(nèi)部分中小型銀行來說，投入信息化建設(shè)，能夠擁有強(qiáng)大的數(shù)據(jù)集中存儲與管理，為客戶服務(wù)提供有力支持。但我們必須保持理性，需要重視信息安全建設(shè)。

二、我國中小型銀行信息安全存在問題分析

（一）政府方面的原因

1.監(jiān)管部門之間缺乏協(xié)調(diào)機(jī)制

在我國，對于銀行信息安全的監(jiān)管部門有中國人民銀行、中國銀行監(jiān)督管理委員會(huì)、公安部門及部分地區(qū)的金融辦等。監(jiān)管部門雖多，但是這些部門缺乏統(tǒng)一的協(xié)調(diào)機(jī)制。在執(zhí)行各自的職能時(shí)，會(huì)缺泛一定的溝通和協(xié)調(diào)。一旦銀行信息系統(tǒng)出現(xiàn)問題，會(huì)出現(xiàn)不知道找哪個(gè)部門溝通和處理，部門間可能會(huì)出現(xiàn)脫節(jié)、相互推脫的現(xiàn)象。因此，監(jiān)管部門之間的協(xié)調(diào)機(jī)制十分重要。

2.監(jiān)管手段單一化

隨著銀行業(yè)務(wù)的拓展，信息化建設(shè)加快，但是監(jiān)管部門的監(jiān)管效率較慢，而且檢測技術(shù)落后，信息系統(tǒng)一旦出現(xiàn)問題都要到現(xiàn)場處理，客觀上也造成了社會(huì)資源的消耗。

3.監(jiān)管人員綜合素質(zhì)參差不齊

據(jù)了解，目前銀行監(jiān)管部門的監(jiān)管人員年齡相對較高，在監(jiān)管方面力不從心;而年輕的監(jiān)管人員缺乏工作經(jīng)驗(yàn)，對信息安全建設(shè)不夠了解，自身的綜合素質(zhì)缺乏提升，這導(dǎo)致監(jiān)管人員綜合素質(zhì)參差不齊。

（二）銀行方面的原因分析

1.缺乏信息安全管理理念

我國的中小型銀行雖已建立了信息系統(tǒng)，但對信息安全缺乏概念。加上信息安全系統(tǒng)管理人才的缺失，普遍的管理人員知識有限，對信息安全管理的認(rèn)識存在偏差，對于內(nèi)部審計(jì)、管理流程設(shè)計(jì)、操作規(guī)范、應(yīng)急響應(yīng)機(jī)制等缺少足夠的認(rèn)識和投入，造成了重視安全技術(shù)方面的投入，而忽視管理方面的投入。

2.信息安全管理制度建設(shè)滯后

目前中小型銀行尚未建立起自下而上的責(zé)任制，崗位分工和職責(zé)不清。未實(shí)行業(yè)績考核，沒有將各部門的信息安全管理考核與其收入和晉升等掛鉤，導(dǎo)致內(nèi)部管理人員沒有重視自己的職責(zé)。未建立完整的規(guī)章制度體系，崗位保密責(zé)任和定期輪換崗制度執(zhí)行的不到位。

3.科技安全管理體系不完善

目前中小銀行的信息安全管理尚處于初期，隨著銀行業(yè)務(wù)對信息科技依賴度的加強(qiáng)，信息科技帶來的風(fēng)險(xiǎn)已顯現(xiàn)，存在于外包服務(wù)、網(wǎng)絡(luò)運(yùn)營商服務(wù)當(dāng)中。一些沒有國家資質(zhì)的小企業(yè)開發(fā)的業(yè)務(wù)應(yīng)用系統(tǒng)直接接入核心業(yè)務(wù)系統(tǒng)，給核心業(yè)務(wù)系統(tǒng)帶來了潛在的風(fēng)險(xiǎn)。銀行應(yīng)該謹(jǐn)慎選擇第三方外包服務(wù)商，選擇經(jīng)過國家有關(guān)部門認(rèn)證的機(jī)構(gòu)，并且嚴(yán)格履行考察等手續(xù)。

三、我國中小型銀行信息安全管理對策建議

信息安全管理是一個(gè)龐雜的系統(tǒng)性工程，需要政府的協(xié)調(diào)、指導(dǎo)、規(guī)范，應(yīng)該根據(jù)中小型銀行的發(fā)展變化制定相應(yīng)的指導(dǎo)性規(guī)范或參照標(biāo)準(zhǔn)。同時(shí)也需要中小型銀行自身的重視、建設(shè)、完善，在資金投入有限，管理水平較低，專業(yè)人員匱乏的情況下，加強(qiáng)管理，合理規(guī)劃顯得尤為重要。

（一）政府方面

健全的法律體系、基礎(chǔ)設(shè)施建設(shè)、完善的配套設(shè)施等都為銀行信息化建設(shè)和信息安全體系建設(shè)提供了強(qiáng)有力的保障。政府有關(guān)部門應(yīng)該加強(qiáng)宏觀管理，加強(qiáng)對中小型銀行的監(jiān)管力度，對于存在的信息安全問題及時(shí)發(fā)出預(yù)警，加強(qiáng)行業(yè)指導(dǎo)，制定和完善信息安全管理法規(guī)和標(biāo)準(zhǔn)體系，最重要的是培養(yǎng)信息安全管理專業(yè)人才。

1.健全銀行信息安全監(jiān)管組織

在銀行信息安全監(jiān)管過程中，建議成立獨(dú)立的銀行業(yè)信息安全監(jiān)管組織，只對銀行信息系統(tǒng)安全負(fù)責(zé)。對于在監(jiān)管銀行信息安全時(shí)發(fā)現(xiàn)的涉及風(fēng)險(xiǎn)處理的移交銀監(jiān)會(huì)處理，涉及信息安全犯罪的移交公安部門處理。這樣才能徹底避免信息安全建設(shè)重復(fù)管理的問題，切實(shí)提高銀行信息安全監(jiān)管效率。

2.合理引導(dǎo)銀行業(yè)信息化建設(shè)和信息安全體系建設(shè)

國家應(yīng)該制定銀行業(yè)信息安全管理體系建設(shè)總體剛要，合理引導(dǎo)銀行按照綱要以及自身實(shí)力開展信息安全管理體系的構(gòu)建。對技術(shù)標(biāo)準(zhǔn)、法規(guī)制度、總體架構(gòu)、產(chǎn)品創(chuàng)新、建設(shè)流程、實(shí)施步驟、人員管理等進(jìn)行部署和規(guī)劃。制定周全的信息安全防護(hù)體系范本，提高國產(chǎn)安全產(chǎn)品的研發(fā)推廣，提供可靠的軟硬件設(shè)備和服務(wù)，逐步完善銀行信化技術(shù)體系框柴。

3.有計(jì)劃的培養(yǎng)金融信息安全專業(yè)人才隊(duì)伍

目前，我國的金融信息安全人才缺乏，他們大多數(shù)停留在教學(xué)和理論層面，缺乏實(shí)踐經(jīng)驗(yàn)。因此，在信息安全專業(yè)人才培養(yǎng)方面，各家銀行應(yīng)該與高校加強(qiáng)合作，開展人才定向培養(yǎng)，讓熟悉實(shí)際情況的科技人員進(jìn)入高校深化理論學(xué)習(xí)，也讓高校師生到銀行實(shí)習(xí)，有針對性的培養(yǎng)理論功底扎實(shí)、實(shí)戰(zhàn)經(jīng)驗(yàn)豐富、富有創(chuàng)新能力的高素質(zhì)命融信息安全專業(yè)人才。

4.建立完善的銀行信息安全管理法規(guī)體系

中國政府金融管理部門在金融信息化迅猛發(fā)展的今天，也深刻認(rèn)識到了銀行業(yè)制度建設(shè)的重要性。因此，中國政府金融管理部門應(yīng)該建立一套完善的銀行信息安全管理法規(guī)體系，對一切觸碰法律底線的不法分子，給予嚴(yán)重的處罰。

（二）銀行方面

中小型銀行應(yīng)該切實(shí)提高風(fēng)險(xiǎn)意識，根據(jù)自身的經(jīng)濟(jì)實(shí)力、營業(yè)狀況、發(fā)展規(guī)劃、業(yè)務(wù)特點(diǎn)等多方面多角度積極構(gòu)建合理、高效、實(shí)用的安全管理體系，同時(shí)，也要加強(qiáng)銀行工作人員的信息安全意識，發(fā)現(xiàn)信息漏洞及時(shí)進(jìn)行處理。

1.制定信息安全管理體系建設(shè)總體目標(biāo)

中小型銀行應(yīng)該將銀行信息安全管理體系建設(shè)納入銀行發(fā)展總體規(guī)劃中，統(tǒng)籌安排，從人、財(cái)、物等方面通盤考慮，適時(shí)引入外部先進(jìn)的管理方式，建立統(tǒng)一全面的信息安全政策、標(biāo)準(zhǔn)與規(guī)范體系。中小型銀行必須重視信息安全系統(tǒng)架構(gòu)的搭建，明確階段性建設(shè)目標(biāo)，力爭在前期以最少的資金投入獲得高標(biāo)準(zhǔn)的信息服務(wù)和安全保障。

2.制定安全專業(yè)人才開發(fā)戰(zhàn)略

根據(jù)實(shí)際情況分層次、分步驟培養(yǎng)信息科技人才，培養(yǎng)懂管理、懂技術(shù)、懂業(yè)務(wù)的復(fù)合型管理人才，要通過引進(jìn)專業(yè)人才等手段更新知識和人員結(jié)構(gòu)，充分調(diào)動(dòng)科技人員的積極性，對于有突出貢獻(xiàn)的人員和團(tuán)隊(duì)給予適當(dāng)?shù)莫?jiǎng)勵(lì)，不斷激發(fā)科技人員的歸屬感，強(qiáng)化科技隊(duì)伍的培訓(xùn)，實(shí)現(xiàn)科技人員知識結(jié)構(gòu)的不斷更新，開展信息安全保密教育，提高科技人員的安全防范意識，實(shí)行重要崗位AB角制度，避免因科技人員的流失造成科技工作中斷，確保科技工作的連續(xù)性。

3.完善內(nèi)部信息安全管理機(jī)制

設(shè)立相對獨(dú)立的信息安全監(jiān)督部門，賦予其對信息安全決策、管理和執(zhí)行進(jìn)行監(jiān)督的職能，定期對信息系統(tǒng)的風(fēng)險(xiǎn)檢測調(diào)查研究、評估、分析，排查信息風(fēng)險(xiǎn)的漏洞，并形成專門的報(bào)告，為銀行管理層的決策提供參考和科學(xué)依據(jù)。完善內(nèi)部考核機(jī)制，實(shí)行安全事件"一票否決"，管理人員、操作人員、系統(tǒng)管理員及其他相關(guān)人員實(shí)行"誰使用誰負(fù)責(zé)"、"誰主管誰負(fù)責(zé)"的原則，明確劃分責(zé)任。

四、總結(jié)

在目前，我國許多中小型銀行的信息安全系統(tǒng)還未真正完善，在安全防護(hù)技術(shù)上也存在弱項(xiàng)，但我堅(jiān)信只要國家、政府、銀行內(nèi)部管理人員重視起來，加強(qiáng)對銀行內(nèi)部信息安全系統(tǒng)的監(jiān)督。我相信經(jīng)過我們的共同努力，我國中小型銀行信息安全建設(shè)定能帶來質(zhì)的突破。

參考文獻(xiàn)：

[1]彭金輝.準(zhǔn)公共品視角下銀行業(yè)監(jiān)管模式的探討[J].國家行政學(xué)院學(xué)報(bào)，2011，（03）

[2]江松.國內(nèi)銀行IT外包的優(yōu)勢、風(fēng)險(xiǎn)與對策[J].中國證券期貨，2012，（12）

[3]李振汕.對網(wǎng)絡(luò)信息安全法律若干問題的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（1）