基层商业银行信息安全管理工作探析.docVIP

基层商业银行信息安全管理工作探析 　　随着信息化在银行业业务系统中的深入应用，银行业金融电子化进程进一步加快步伐，信息化程度越来越高。网上银行、手机银行、电话银行、POS/ATM终端服务在给广大人民群众带来支付便利的同时，也给金融机构信息安全管理提出了更高的要求。随着人民银行信息安全职能的进一步调整，指导、协调金融业信息安全工作成为央行科技工作职能的重要组成部分，在履行金融业信息安全属地协调管理职责的过程中，发现商业银行市县部分机构存在信息安全管理重视程度不够、制度建设缺位、硬件设备运行环境不达标、科技力量薄弱等方面的问题，对商业银行的业务发展埋下信息安全隐患。本文探讨基层商业银行在信息安全管理问题上存在的一些隐患和应对的方法 一、基层商业银行存在的信息安全问题 本文所指基层商业银行是指在三四线城市及其县支行地域存在的商业银行分支?C构或规模较小的地方法人商业银行。随着对商业银行的安全检查和业务往来的了解，我们发现了一些普遍存在的信息安全管理问题： （一）重视程度不够 有话说，“谁掌握领了信息，控制了网络，谁将拥有整个世界。”这句话不完全对，不过可见信息安全是何等的重要。尤其金融行业是国家经济发展的大动脉，肩负着重要的社会责任，是信息安全防范的重中之重。商业银行对信息安全管理的重要性认识不足，没有把信息安全管理工作作为日常工作的重点，安全意识与信息化发展的要求有相当大的差距，特别是一些人员不能正确认识信息安全的重要性与紧迫性，严重制约了工作的有效开展；信息安全管理体制还需要进一步完善，组织机构不健全，监督管理不到位，规章制度不完善，应急体系不完整，人员配备紧缺等突出问题需要得到根本解决；信息安全基础设施投入不足，资金投入、建设力度与日常运维跟不上发展的需要。这些问题给信息安全管理工作带来了前所未有的威胁和挑战 （二）制度建设缺位 制度建设对商业银行的改革、管理和发展起到了巨大的推动作用，但是，制度建设仍然存在一些问题，制度建设须要进一步深化。虽然各商业银行也制定了信息安全管理制度，但基本上都是套用上级行各类制度，甚至将上级行的制度不做任何修改直接照搬，真正结合本单位、本部门、制定细责的很少，与工作实际脱节，执行起来可行性不高。制度建设形同虚设，摆“花架子”应付检查机构的检查，或者制度体系建设不完整，责任落实不到位，信息安全工作开展缺乏有力的依据和规范 （三）硬件设备运行环境不达标 近年来，商业银行扩疆辟土，新的网点不断涌现。但是对营业场所信息安全设备的投入相对于他们的规模和利润水平是巨大的，在看不到眼前效益的情况下，势必对投入有所保留。设备更新速度较慢，运行环境不达标。虽然商业银行的网点都有独立的机房，但无论机房选址、装修配置、出入登记都存在问题。有得机房距离卫生间仅仅不到五米，切没有做防水处理；机房内没有安装空调，设备温度较高；机房内线缆凌乱，业务网络和互联网络设备随意放置在一起；甚至将机房作为杂物间使用，出入机房没有严格例行登记。这些问题的存在，都给业务运行带来很大的安全隐患 （四）科技力量薄弱 近年来由于商业银行业务处理数据大集中的发展模式，在地市级及以下县级配备科技人员数量较少，有的行或者不配备专业的科技人员，科技人才匮乏且均为兼职。随着各项业务系统上线数量的增多，科技任务越来越重，及时基层机构只设客户端，但一名兼职的科技人员面对如此多的客户端和网点，也只能充当“救火队员”的角色，运维保障质量将大打折扣。以某县域辖区为例：没有一家商业银行的科技人员为计算机专业毕业，另外，科技人员年龄普遍偏大，平均年龄为40.1岁，且知识结构单一，新知识、新技术掌握不多，很难适应当前飞速发展的信息安全工作需要。日常疲于应付各项业务工作，根本无暇顾及较深层次的应用学习，除了某村镇银行每月会通过网络对科技人员进行培训外，其他金融机构的科技人员只是在新系统上线的时候才会进行相应的培训，因此只能简单的对系统进行操做和维护，业务素质跟不上金融电子化的发展。各商业银行缺乏有关信息安全管理教育培训的环境和氛围，每年对员工进行计算机知识方面的培训平均不到一次，而且质量很难得到保证，科技人员如果不在，一旦计算机出现问题，业务很可能停滞 （五）信息安全管理缺乏有力监督 央行近几年明确了金融业信息安全属地化管理职责，也对商业发布了一系列的信息安全工作规范，但对商业银行信息安全的监督管理与指导却没有明确的标准，使得央行基层行在实际管理工作中缺乏依据和标杆，从而加大了管理难度。科技部门对外工作往往面临没有管理、检查依据的尴尬状况。但对金融机构来说，这些制度规定并没有一定的针对性和强制性，工作开展难度较大，成效并不明显 二、解决基层商业银行信息安全问题的思路 （一）充分发挥协调联席会议的职能作