淺析政府視角下中小型銀行信息安全管理問題探究

李曉娜

【摘 ?要】目前全國中小型銀行快速發(fā)展，其服務(wù)的業(yè)務(wù)范圍和領(lǐng)域逐漸擴大。銀行內(nèi)部的信息化建設(shè)需要建設(shè)和發(fā)展，但信息化帶來便利的同時也存在一定的風(fēng)險——網(wǎng)絡(luò)信息安全，數(shù)據(jù)的大量集中會導(dǎo)致不法分子通過網(wǎng)絡(luò)漏洞竊取信息。本文著重從國內(nèi)中小型銀行出發(fā)分析它在信息建設(shè)、安全管理、甚至是各個政府監(jiān)管部門過程中存在的不足，結(jié)合當前國家信息安全系統(tǒng)監(jiān)管標準的要求，不斷的摸索出一套屬于中小型銀行信息安全管理體系。

【關(guān)鍵詞】中小型銀行;信息安全;管理

一、我國中小型銀行信息安全管理的現(xiàn)狀及特點

近幾年來，金融行業(yè)的信息化使用程度越來越高，但給中小型銀行帶來發(fā)展機遇的同時，信息安全風(fēng)險也逐漸成為中小型銀行風(fēng)險之一。對于國內(nèi)部分中小型銀行來說，投入信息化建設(shè)，能夠擁有強大的數(shù)據(jù)集中存儲與管理，為客戶服務(wù)提供有力支持。但我們必須保持理性，需要重視信息安全建設(shè)。

二、我國中小型銀行信息安全存在問題分析

（一）政府方面的原因

1.監(jiān)管部門之間缺乏協(xié)調(diào)機制

在我國，對于銀行信息安全的監(jiān)管部門有中國人民銀行、中國銀行監(jiān)督管理委員會、公安部門及部分地區(qū)的金融辦等。監(jiān)管部門雖多，但是這些部門缺乏統(tǒng)一的協(xié)調(diào)機制。在執(zhí)行各自的職能時，會缺泛一定的溝通和協(xié)調(diào)。一旦銀行信息系統(tǒng)出現(xiàn)問題，會出現(xiàn)不知道找哪個部門溝通和處理，部門間可能會出現(xiàn)脫節(jié)、相互推脫的現(xiàn)象。因此，監(jiān)管部門之間的協(xié)調(diào)機制十分重要。

2.監(jiān)管手段單一化

隨著銀行業(yè)務(wù)的拓展，信息化建設(shè)加快，但是監(jiān)管部門的監(jiān)管效率較慢，而且檢測技術(shù)落后，信息系統(tǒng)一旦出現(xiàn)問題都要到現(xiàn)場處理，客觀上也造成了社會資源的消耗。

3.監(jiān)管人員綜合素質(zhì)參差不齊

據(jù)了解，目前銀行監(jiān)管部門的監(jiān)管人員年齡相對較高，在監(jiān)管方面力不從心;而年輕的監(jiān)管人員缺乏工作經(jīng)驗，對信息安全建設(shè)不夠了解，自身的綜合素質(zhì)缺乏提升，這導(dǎo)致監(jiān)管人員綜合素質(zhì)參差不齊。

（二）銀行方面的原因分析

1.缺乏信息安全管理理念

我國的中小型銀行雖已建立了信息系統(tǒng)，但對信息安全缺乏概念。加上信息安全系統(tǒng)管理人才的缺失，普遍的管理人員知識有限，對信息安全管理的認識存在偏差，對于內(nèi)部審計、管理流程設(shè)計、操作規(guī)范、應(yīng)急響應(yīng)機制等缺少足夠的認識和投入，造成了重視安全技術(shù)方面的投入，而忽視管理方面的投入。

2.信息安全管理制度建設(shè)滯后

目前中小型銀行尚未建立起自下而上的責(zé)任制，崗位分工和職責(zé)不清。未實行業(yè)績考核，沒有將各部門的信息安全管理考核與其收入和晉升等掛鉤，導(dǎo)致內(nèi)部管理人員沒有重視自己的職責(zé)。未建立完整的規(guī)章制度體系，崗位保密責(zé)任和定期輪換崗制度執(zhí)行的不到位。

3.科技安全管理體系不完善

目前中小銀行的信息安全管理尚處于初期，隨著銀行業(yè)務(wù)對信息科技依賴度的加強，信息科技帶來的風(fēng)險已顯現(xiàn)，存在于外包服務(wù)、網(wǎng)絡(luò)運營商服務(wù)當中。一些沒有國家資質(zhì)的小企業(yè)開發(fā)的業(yè)務(wù)應(yīng)用系統(tǒng)直接接入核心業(yè)務(wù)系統(tǒng)，給核心業(yè)務(wù)系統(tǒng)帶來了潛在的風(fēng)險。銀行應(yīng)該謹慎選擇第三方外包服務(wù)商，選擇經(jīng)過國家有關(guān)部門認證的機構(gòu)，并且嚴格履行考察等手續(xù)。

三、我國中小型銀行信息安全管理對策建議

信息安全管理是一個龐雜的系統(tǒng)性工程，需要政府的協(xié)調(diào)、指導(dǎo)、規(guī)范，應(yīng)該根據(jù)中小型銀行的發(fā)展變化制定相應(yīng)的指導(dǎo)性規(guī)范或參照標準。同時也需要中小型銀行自身的重視、建設(shè)、完善，在資金投入有限，管理水平較低，專業(yè)人員匱乏的情況下，加強管理，合理規(guī)劃顯得尤為重要。

（一）政府方面

健全的法律體系、基礎(chǔ)設(shè)施建設(shè)、完善的配套設(shè)施等都為銀行信息化建設(shè)和信息安全體系建設(shè)提供了強有力的保障。政府有關(guān)部門應(yīng)該加強宏觀管理，加強對中小型銀行的監(jiān)管力度，對于存在的信息安全問題及時發(fā)出預(yù)警，加強行業(yè)指導(dǎo)，制定和完善信息安全管理法規(guī)和標準體系，最重要的是培養(yǎng)信息安全管理專業(yè)人才。

1.健全銀行信息安全監(jiān)管組織

在銀行信息安全監(jiān)管過程中，建議成立獨立的銀行業(yè)信息安全監(jiān)管組織，只對銀行信息系統(tǒng)安全負責(zé)。對于在監(jiān)管銀行信息安全時發(fā)現(xiàn)的涉及風(fēng)險處理的移交銀監(jiān)會處理，涉及信息安全犯罪的移交公安部門處理。這樣才能徹底避免信息安全建設(shè)重復(fù)管理的問題，切實提高銀行信息安全監(jiān)管效率。

2.合理引導(dǎo)銀行業(yè)信息化建設(shè)和信息安全體系建設(shè)

國家應(yīng)該制定銀行業(yè)信息安全管理體系建設(shè)總體剛要，合理引導(dǎo)銀行按照綱要以及自身實力開展信息安全管理體系的構(gòu)建。對技術(shù)標準、法規(guī)制度、總體架構(gòu)、產(chǎn)品創(chuàng)新、建設(shè)流程、實施步驟、人員管理等進行部署和規(guī)劃。制定周全的信息安全防護體系范本，提高國產(chǎn)安全產(chǎn)品的研發(fā)推廣，提供可靠的軟硬件設(shè)備和服務(wù)，逐步完善銀行信化技術(shù)體系框柴。

3.有計劃的培養(yǎng)金融信息安全專業(yè)人才隊伍

目前，我國的金融信息安全人才缺乏，他們大多數(shù)停留在教學(xué)和理論層面，缺乏實踐經(jīng)驗。因此，在信息安全專業(yè)人才培養(yǎng)方面，各家銀行應(yīng)該與高校加強合作，開展人才定向培養(yǎng)，讓熟悉實際情況的科技人員進入高校深化理論學(xué)習(xí)，也讓高校師生到銀行實習(xí)，有針對性的培養(yǎng)理論功底扎實、實戰(zhàn)經(jīng)驗豐富、富有創(chuàng)新能力的高素質(zhì)命融信息安全專業(yè)人才。

4.建立完善的銀行信息安全管理法規(guī)體系

中國政府金融管理部門在金融信息化迅猛發(fā)展的今天，也深刻認識到了銀行業(yè)制度建設(shè)的重要性。因此，中國政府金融管理部門應(yīng)該建立一套完善的銀行信息安全管理法規(guī)體系，對一切觸碰法律底線的不法分子，給予嚴重的處罰。

（二）銀行方面

中小型銀行應(yīng)該切實提高風(fēng)險意識，根據(jù)自身的經(jīng)濟實力、營業(yè)狀況、發(fā)展規(guī)劃、業(yè)務(wù)特點等多方面多角度積極構(gòu)建合理、高效、實用的安全管理體系，同時，也要加強銀行工作人員的信息安全意識，發(fā)現(xiàn)信息漏洞及時進行處理。

1.制定信息安全管理體系建設(shè)總體目標

中小型銀行應(yīng)該將銀行信息安全管理體系建設(shè)納入銀行發(fā)展總體規(guī)劃中，統(tǒng)籌安排，從人、財、物等方面通盤考慮，適時引入外部先進的管理方式，建立統(tǒng)一全面的信息安全政策、標準與規(guī)范體系。中小型銀行必須重視信息安全系統(tǒng)架構(gòu)的搭建，明確階段性建設(shè)目標，力爭在前期以最少的資金投入獲得高標準的信息服務(wù)和安全保障。

2.制定安全專業(yè)人才開發(fā)戰(zhàn)略

根據(jù)實際情況分層次、分步驟培養(yǎng)信息科技人才，培養(yǎng)懂管理、懂技術(shù)、懂業(yè)務(wù)的復(fù)合型管理人才，要通過引進專業(yè)人才等手段更新知識和人員結(jié)構(gòu)，充分調(diào)動科技人員的積極性，對于有突出貢獻的人員和團隊給予適當?shù)莫剟睿粩嗉ぐl(fā)科技人員的歸屬感，強化科技隊伍的培訓(xùn)，實現(xiàn)科技人員知識結(jié)構(gòu)的不斷更新，開展信息安全保密教育，提高科技人員的安全防范意識，實行重要崗位AB角制度，避免因科技人員的流失造成科技工作中斷，確保科技工作的連續(xù)性。

3.完善內(nèi)部信息安全管理機制

設(shè)立相對獨立的信息安全監(jiān)督部門，賦予其對信息安全決策、管理和執(zhí)行進行監(jiān)督的職能，定期對信息系統(tǒng)的風(fēng)險檢測調(diào)查研究、評估、分析，排查信息風(fēng)險的漏洞，并形成專門的報告，為銀行管理層的決策提供參考和科學(xué)依據(jù)。完善內(nèi)部考核機制，實行安全事件"一票否決"，管理人員、操作人員、系統(tǒng)管理員及其他相關(guān)人員實行"誰使用誰負責(zé)"、"誰主管誰負責(zé)"的原則，明確劃分責(zé)任。

四、總結(jié)

在目前，我國許多中小型銀行的信息安全系統(tǒng)還未真正完善，在安全防護技術(shù)上也存在弱項，但我堅信只要國家、政府、銀行內(nèi)部管理人員重視起來，加強對銀行內(nèi)部信息安全系統(tǒng)的監(jiān)督。我相信經(jīng)過我們的共同努力，我國中小型銀行信息安全建設(shè)定能帶來質(zhì)的突破。

參考文獻：

[1]彭金輝.準公共品視角下銀行業(yè)監(jiān)管模式的探討[J].國家行政學(xué)院學(xué)報，2011，（03）

[2]江松.國內(nèi)銀行IT外包的優(yōu)勢、風(fēng)險與對策[J].中國證券期貨，2012，（12）

[3]李振汕.對網(wǎng)絡(luò)信息安全法律若干問題的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（1）