淺析政府視角下中小型銀行信息安全管理問題探究

李曉娜

【摘 ?要】目前全國中小型銀行快速發(fā)展，其服務的業(yè)務范圍和領域逐漸擴大。銀行內部的信息化建設需要建設和發(fā)展，但信息化帶來便利的同時也存在一定的風險——網(wǎng)絡信息安全，數(shù)據(jù)的大量集中會導致不法分子通過網(wǎng)絡漏洞竊取信息。本文著重從國內中小型銀行出發(fā)分析它在信息建設、安全管理、甚至是各個政府監(jiān)管部門過程中存在的不足，結合當前國家信息安全系統(tǒng)監(jiān)管標準的要求，不斷的摸索出一套屬于中小型銀行信息安全管理體系。

【關鍵詞】中小型銀行;信息安全;管理

一、我國中小型銀行信息安全管理的現(xiàn)狀及特點

近幾年來，金融行業(yè)的信息化使用程度越來越高，但給中小型銀行帶來發(fā)展機遇的同時，信息安全風險也逐漸成為中小型銀行風險之一。對于國內部分中小型銀行來說，投入信息化建設，能夠擁有強大的數(shù)據(jù)集中存儲與管理，為客戶服務提供有力支持。但我們必須保持理性，需要重視信息安全建設。

二、我國中小型銀行信息安全存在問題分析

（一）政府方面的原因

1.監(jiān)管部門之間缺乏協(xié)調機制

在我國，對于銀行信息安全的監(jiān)管部門有中國人民銀行、中國銀行監(jiān)督管理委員會、公安部門及部分地區(qū)的金融辦等。監(jiān)管部門雖多，但是這些部門缺乏統(tǒng)一的協(xié)調機制。在執(zhí)行各自的職能時，會缺泛一定的溝通和協(xié)調。一旦銀行信息系統(tǒng)出現(xiàn)問題，會出現(xiàn)不知道找哪個部門溝通和處理，部門間可能會出現(xiàn)脫節(jié)、相互推脫的現(xiàn)象。因此，監(jiān)管部門之間的協(xié)調機制十分重要。

2.監(jiān)管手段單一化

隨著銀行業(yè)務的拓展，信息化建設加快，但是監(jiān)管部門的監(jiān)管效率較慢，而且檢測技術落后，信息系統(tǒng)一旦出現(xiàn)問題都要到現(xiàn)場處理，客觀上也造成了社會資源的消耗。

3.監(jiān)管人員綜合素質參差不齊

據(jù)了解，目前銀行監(jiān)管部門的監(jiān)管人員年齡相對較高，在監(jiān)管方面力不從心;而年輕的監(jiān)管人員缺乏工作經(jīng)驗，對信息安全建設不夠了解，自身的綜合素質缺乏提升，這導致監(jiān)管人員綜合素質參差不齊。

（二）銀行方面的原因分析

1.缺乏信息安全管理理念

我國的中小型銀行雖已建立了信息系統(tǒng)，但對信息安全缺乏概念。加上信息安全系統(tǒng)管理人才的缺失，普遍的管理人員知識有限，對信息安全管理的認識存在偏差，對于內部審計、管理流程設計、操作規(guī)范、應急響應機制等缺少足夠的認識和投入，造成了重視安全技術方面的投入，而忽視管理方面的投入。

2.信息安全管理制度建設滯后

目前中小型銀行尚未建立起自下而上的責任制，崗位分工和職責不清。未實行業(yè)績考核，沒有將各部門的信息安全管理考核與其收入和晉升等掛鉤，導致內部管理人員沒有重視自己的職責。未建立完整的規(guī)章制度體系，崗位保密責任和定期輪換崗制度執(zhí)行的不到位。

3.科技安全管理體系不完善

目前中小銀行的信息安全管理尚處于初期，隨著銀行業(yè)務對信息科技依賴度的加強，信息科技帶來的風險已顯現(xiàn)，存在于外包服務、網(wǎng)絡運營商服務當中。一些沒有國家資質的小企業(yè)開發(fā)的業(yè)務應用系統(tǒng)直接接入核心業(yè)務系統(tǒng)，給核心業(yè)務系統(tǒng)帶來了潛在的風險。銀行應該謹慎選擇第三方外包服務商，選擇經(jīng)過國家有關部門認證的機構，并且嚴格履行考察等手續(xù)。

三、我國中小型銀行信息安全管理對策建議

信息安全管理是一個龐雜的系統(tǒng)性工程，需要政府的協(xié)調、指導、規(guī)范，應該根據(jù)中小型銀行的發(fā)展變化制定相應的指導性規(guī)范或參照標準。同時也需要中小型銀行自身的重視、建設、完善，在資金投入有限，管理水平較低，專業(yè)人員匱乏的情況下，加強管理，合理規(guī)劃顯得尤為重要。

（一）政府方面

健全的法律體系、基礎設施建設、完善的配套設施等都為銀行信息化建設和信息安全體系建設提供了強有力的保障。政府有關部門應該加強宏觀管理，加強對中小型銀行的監(jiān)管力度，對于存在的信息安全問題及時發(fā)出預警，加強行業(yè)指導，制定和完善信息安全管理法規(guī)和標準體系，最重要的是培養(yǎng)信息安全管理專業(yè)人才。

1.健全銀行信息安全監(jiān)管組織

在銀行信息安全監(jiān)管過程中，建議成立獨立的銀行業(yè)信息安全監(jiān)管組織，只對銀行信息系統(tǒng)安全負責。對于在監(jiān)管銀行信息安全時發(fā)現(xiàn)的涉及風險處理的移交銀監(jiān)會處理，涉及信息安全犯罪的移交公安部門處理。這樣才能徹底避免信息安全建設重復管理的問題，切實提高銀行信息安全監(jiān)管效率。

2.合理引導銀行業(yè)信息化建設和信息安全體系建設

國家應該制定銀行業(yè)信息安全管理體系建設總體剛要，合理引導銀行按照綱要以及自身實力開展信息安全管理體系的構建。對技術標準、法規(guī)制度、總體架構、產(chǎn)品創(chuàng)新、建設流程、實施步驟、人員管理等進行部署和規(guī)劃。制定周全的信息安全防護體系范本，提高國產(chǎn)安全產(chǎn)品的研發(fā)推廣，提供可靠的軟硬件設備和服務，逐步完善銀行信化技術體系框柴。

3.有計劃的培養(yǎng)金融信息安全專業(yè)人才隊伍

目前，我國的金融信息安全人才缺乏，他們大多數(shù)停留在教學和理論層面，缺乏實踐經(jīng)驗。因此，在信息安全專業(yè)人才培養(yǎng)方面，各家銀行應該與高校加強合作，開展人才定向培養(yǎng)，讓熟悉實際情況的科技人員進入高校深化理論學習，也讓高校師生到銀行實習，有針對性的培養(yǎng)理論功底扎實、實戰(zhàn)經(jīng)驗豐富、富有創(chuàng)新能力的高素質命融信息安全專業(yè)人才。

4.建立完善的銀行信息安全管理法規(guī)體系

中國政府金融管理部門在金融信息化迅猛發(fā)展的今天，也深刻認識到了銀行業(yè)制度建設的重要性。因此，中國政府金融管理部門應該建立一套完善的銀行信息安全管理法規(guī)體系，對一切觸碰法律底線的不法分子，給予嚴重的處罰。

（二）銀行方面

中小型銀行應該切實提高風險意識，根據(jù)自身的經(jīng)濟實力、營業(yè)狀況、發(fā)展規(guī)劃、業(yè)務特點等多方面多角度積極構建合理、高效、實用的安全管理體系，同時，也要加強銀行工作人員的信息安全意識，發(fā)現(xiàn)信息漏洞及時進行處理。

1.制定信息安全管理體系建設總體目標

中小型銀行應該將銀行信息安全管理體系建設納入銀行發(fā)展總體規(guī)劃中，統(tǒng)籌安排，從人、財、物等方面通盤考慮，適時引入外部先進的管理方式，建立統(tǒng)一全面的信息安全政策、標準與規(guī)范體系。中小型銀行必須重視信息安全系統(tǒng)架構的搭建，明確階段性建設目標，力爭在前期以最少的資金投入獲得高標準的信息服務和安全保障。

2.制定安全專業(yè)人才開發(fā)戰(zhàn)略

根據(jù)實際情況分層次、分步驟培養(yǎng)信息科技人才，培養(yǎng)懂管理、懂技術、懂業(yè)務的復合型管理人才，要通過引進專業(yè)人才等手段更新知識和人員結構，充分調動科技人員的積極性，對于有突出貢獻的人員和團隊給予適當?shù)莫剟?，不斷激發(fā)科技人員的歸屬感，強化科技隊伍的培訓，實現(xiàn)科技人員知識結構的不斷更新，開展信息安全保密教育，提高科技人員的安全防范意識，實行重要崗位AB角制度，避免因科技人員的流失造成科技工作中斷，確?？萍脊ぷ鞯倪B續(xù)性。

3.完善內部信息安全管理機制

設立相對獨立的信息安全監(jiān)督部門，賦予其對信息安全決策、管理和執(zhí)行進行監(jiān)督的職能，定期對信息系統(tǒng)的風險檢測調查研究、評估、分析，排查信息風險的漏洞，并形成專門的報告，為銀行管理層的決策提供參考和科學依據(jù)。完善內部考核機制，實行安全事件"一票否決"，管理人員、操作人員、系統(tǒng)管理員及其他相關人員實行"誰使用誰負責"、"誰主管誰負責"的原則，明確劃分責任。

四、總結

在目前，我國許多中小型銀行的信息安全系統(tǒng)還未真正完善，在安全防護技術上也存在弱項，但我堅信只要國家、政府、銀行內部管理人員重視起來，加強對銀行內部信息安全系統(tǒng)的監(jiān)督。我相信經(jīng)過我們的共同努力，我國中小型銀行信息安全建設定能帶來質的突破。

參考文獻：

[1]彭金輝.準公共品視角下銀行業(yè)監(jiān)管模式的探討[J].國家行政學院學報，2011，（03）

[2]江松.國內銀行IT外包的優(yōu)勢、風險與對策[J].中國證券期貨，2012，（12）

[3]李振汕.對網(wǎng)絡信息安全法律若干問題的研究[J].網(wǎng)絡安全技術與應用，2010（1）