構建商業(yè)銀行信息安全體系的建議

　　信息化給中小城市商業(yè)銀行帶來好處的同時，也帶來了新的風險，下面是小編搜集整理的一篇關于中小城市商業(yè)銀行信息安全現(xiàn)狀探析的論文范文，供大家閱讀查看。

　　一、銀行業(yè)信息安全概述

　　就銀行業(yè)而言，幾乎所有的業(yè)務都運行在IT基礎設施之上，尤其是新出現(xiàn)的金融產(chǎn)品和服務更加趨于開放和互聯(lián)，進一步加強了對信息系統(tǒng)的依賴程度。

　　信息系統(tǒng)和信息安全已經(jīng)成為操作風險管理的重要內(nèi)容。信息的保密性、完整性、有效性以及信息系統(tǒng)可用性對銀行業(yè)務的成敗起著至關重要的作用。

　　美國的金融服務現(xiàn)代化法案(GLBA，Gramm-Leach-Bliley Act)，要求銀行對某些關鍵信息的保密性、完整性等進行保護。巴塞爾銀行監(jiān)管委員會設立的電子銀行小組(EBG)發(fā)表了《電子銀行風險管理原則》，確定了進行電子銀行業(yè)務風險管理的14條基本原則，這些大都已經(jīng)在銀行信息安全管理中得到了不同程度的應用。《新巴塞爾協(xié)議》強調(diào)在進行風險管理的時候，不僅僅要重視傳統(tǒng)的信用風險，而且要將操作風險放在一個重要的地位。

　　在中國，金融監(jiān)管部門對于信息安全也作出了相應的界定。中國銀行業(yè)監(jiān)督委員會《商業(yè)銀行信息科技風險管理指引》(銀監(jiān)發(fā)〔2009〕19號)如此定義：信息安全風險是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設、運行、維護、監(jiān)控及退出過程中，由于技術和管理缺陷產(chǎn)生的操作、法律和聲譽等風險，具有技術性高、涉及范圍廣、隱蔽性強等特征。

　　信息安全管理在中小城市商業(yè)銀行面臨挑戰(zhàn)。首先是技術問題，表現(xiàn)為計算機硬件、軟件、網(wǎng)絡以及相應業(yè)務信息系統(tǒng)所引發(fā)的異常情況，包括程序錯誤、系統(tǒng)宕機、軟件缺陷、操作失誤、硬件故障、容量不足、網(wǎng)絡漏洞、故障恢復災難備份以及應急處理等諸多內(nèi)容。

　　其次是管理問題，不僅包括信息系統(tǒng)的管理，而且包括中小城市商業(yè)銀行各種業(yè)務數(shù)據(jù)的管理。本文就信息系統(tǒng)及其產(chǎn)生的數(shù)據(jù)，結(jié)合中小銀行的特點，在運維、日常使用、應急處置過程中由于管理缺陷產(chǎn)生的風險隱患等方面的內(nèi)容展開討論。

　　二、中小城市商業(yè)銀行信息安全現(xiàn)狀

　　(一)信息安全意識不強，綜合管理能力受限

　　我國中小城市商業(yè)銀行規(guī)模小、網(wǎng)點少、信息化建設起步晚，因此信息安全意識和管理綜合能力遠落后于信息系統(tǒng)的發(fā)展需求。主要體現(xiàn)在以下幾方面。

　　首先，中小城市商業(yè)銀行的自身性質(zhì)使高級管理層更加關心財務報表，而忽視服務這些財務報表的信息系統(tǒng)，甚至不能明確信息安全是什么。對于信息安全的投入大部分限于基礎設備和系統(tǒng)，卻不知其信息系統(tǒng)的可用性、信息資產(chǎn)的保密性、可控性對其業(yè)務的重要作用。

　　其次，中小城市商業(yè)銀行員工普遍認為，信息安全管理工作的效果取決于信息技術，卻不知道用戶對信息系統(tǒng)的每個操作都具有威脅的可能，操作不當將轉(zhuǎn)變?yōu)轱L險。如信息系統(tǒng)終端密碼長度的最小設定和定期性更改就是最為簡單的安全設施，但對于規(guī)范的設置，部分員工認為其降低了工作效率。IDE統(tǒng)計的數(shù)據(jù)表明，企業(yè)中信息系統(tǒng)相關服務中斷，78%以上是人為造成。

　　最后，中小城市商業(yè)銀行信息系統(tǒng)的運維人員則把信息安全管理工作看成是技術問題，過分強調(diào)信息系統(tǒng)的可用性，認為信息安全管理工作就是網(wǎng)絡安全和核心主機安全。其實信息安全更多應該是個管理問題，信息系統(tǒng)的可控性和保密性是信息安全不可或缺的部分，合理的管理制度與嚴格的落實才是保障信息安全的基礎。

　　(二)信息建設投入不足，系統(tǒng)軟硬件環(huán)境落后

　　受各方因素掣肘，中小城市商業(yè)銀行普遍存在信息化基礎設施投入不足，無法滿足業(yè)務發(fā)展需要的問題。

　　在對全國31個省、自治區(qū)和直轄市的四百多家中小城市商業(yè)銀行進行調(diào)查時發(fā)現(xiàn)，受訪的中小城市商業(yè)銀行72.56%認為信息安全相關的技術人員不能滿足工作需要，約18%認為機房場地不足，9.32%認為資金投入不足。31.25%的受訪者認為系統(tǒng)災備能力不足，29.50%認為信息系統(tǒng)的冗余容錯能力不足。

　　國際標準通常如此建議，如果銀行的核心業(yè)務系統(tǒng)主機容量使用率超過60%，就須擴大系統(tǒng)容量，但國內(nèi)很多銀行IT基礎設施都不能滿足該指標，如工行等國有銀行該項指標的平均使用率為67%，個別中小銀行甚至高達90%。

　　(三)缺乏風險管理標準，應急處置能力有限

　　信息化給中小城市商業(yè)銀行帶來好處的同時，也帶來了新的風險，諸如信息系統(tǒng)本身的設計規(guī)劃不當、人為操作錯誤和攻擊破壞，以及安全管理制度的不完善或執(zhí)行不到位等，都會引起系統(tǒng)故障以及業(yè)務中斷。但首先這些銀行并未建立信息系統(tǒng)風險識別、度量、監(jiān)測、報告和控制管理標準，對于信息系統(tǒng)的威脅和風險事件不能通過科學的方法提前發(fā)現(xiàn)，只能在問題出現(xiàn)后被動應對。其次，信息系統(tǒng)的災備系統(tǒng)和容錯能力難以滿足業(yè)務安全性的要求，應急事件處置流程缺少業(yè)務部門的主動參與。就業(yè)務流程來說，其每個環(huán)節(jié)幾乎都能觸發(fā)信息安全事件，因缺乏對風險的識別和處理能力，信息系統(tǒng)一線業(yè)務人員通常在其出現(xiàn)問題時才會求助技術部門，應急事件處置被動，甚至影響系統(tǒng)的安全性。

　　三、構建信息安全體系的建議

　　(一)多層次培訓提升信息安全綜合能力

　　首先，樹立正確的信息安全觀念，建立牢固的信息安全意識。信息安全錯綜復雜，且與中小城市商業(yè)銀行業(yè)務、發(fā)展戰(zhàn)略和內(nèi)部管理關系密切，與每個信息系統(tǒng)的參與者息息相關。只有思想上的重視、制度上的合理以及操作上的合規(guī)才能保障信息系統(tǒng)的安全。

　　其次，加強對監(jiān)管層關于科技風險治理信息安全文件的學習，加大對信息安全管理的實施者的專業(yè)培訓，以此轉(zhuǎn)變技術人員的觀念，提高預防性管理水平，從而保障網(wǎng)絡安全和核心主機安全，做好技術支持。

　　(二)建立與業(yè)務架構相關的信息安全管理體系

　　當今商業(yè)銀行業(yè)務對信息系統(tǒng)的依賴程度不斷加深，商業(yè)銀行的業(yè)務創(chuàng)新基本上離不開信息系統(tǒng)的有效支撐。信息系統(tǒng)都是以服務業(yè)務為宗旨，僅靠中小銀行內(nèi)部的個別部門無法做好信息安全管理工作，因此建立合適的中小城市商業(yè)銀行信息安全管理體系顯得尤為重要。

　　從商業(yè)銀行的業(yè)務組織架構著手，參照國際信息安全管理標準體系ISO/IEC17799，銀監(jiān)會發(fā)布的《商業(yè)銀行信息科技風險管理指引》等行業(yè)標準，結(jié)合不同信息系統(tǒng)的威脅和風險，建立與自身發(fā)展戰(zhàn)略相適應的信息安全管理組織架構、管理制度等。明確最高管理層對信息安全管理的決策力和推動力，高級管理層對信息安全管理、風險管理重要事項的決策和協(xié)調(diào)作用，制訂信息安全管理方案，包括信息科技安全標準、策略、實施計劃和持續(xù)維持計劃等。落實部門負責人對信息安全管理、風險管理的職責，定期向上級主管部門提交信息安全評估報告，確保信息安全管理與發(fā)展戰(zhàn)略一致，使組織內(nèi)部的溝通協(xié)調(diào)能夠順利進行，推動信息安全管理工作有效落實。

　　(三)建立分級內(nèi)控把控信息安全風險

　　巴塞爾銀行監(jiān)管委員會發(fā)布的《操作風險管理與監(jiān)管的穩(wěn)健做法》指出，“銀行應該制訂控制和/或緩釋重大操作風險的政策、程序和步驟。銀行應該定期檢查其風險限度和控制戰(zhàn)略，并且根據(jù)其全面的風險喜好和狀況，通過使用合適的戰(zhàn)略，相應地調(diào)整其操作風險狀況”，“董事會要確保本行的操作風險管理系統(tǒng)受到內(nèi)審部門全面、有效的監(jiān)督，內(nèi)審部門必須擁有一支獨立運作、訓練有素、業(yè)務精良的內(nèi)審隊，內(nèi)審部門不應直接負責操作風險的管理”。2003年7月發(fā)布的《電子銀行業(yè)務的風險管理原則》安全控制部分要求商業(yè)銀行從信息系統(tǒng)的保密性、完整性和可用性等方面做好自身信息安全工作，涉及客戶身份識別、授權，業(yè)務交易的不可抵賴性、責任認證，交易和業(yè)務信息的完整、保密和可控等方面。

　　銀監(jiān)會的《商業(yè)銀行信息科技風險管理指引》內(nèi)部審計部分也對商業(yè)銀行作出類似要求，“商業(yè)銀行內(nèi)部審計部門應根據(jù)業(yè)務的性質(zhì)、規(guī)模和復雜程度，對相關系統(tǒng)及其控制的適當性和有效性進行監(jiān)測。內(nèi)部審計部門應配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日常活動，具有適當?shù)氖跈嘣L問本銀行的記錄。”

　　商業(yè)銀行應從業(yè)務和技術兩個層面，對銀行內(nèi)部信息安全進行細分，結(jié)合本身信息安全現(xiàn)狀制訂完善的安全管理規(guī)章制度以及工作流程。業(yè)務層面應該基于業(yè)務操作和流程對業(yè)務人員、管理人員作出規(guī)定，明確誰操作誰負責，誰使用誰負責;內(nèi)部審計部門要負責全行內(nèi)控制度的檢查與監(jiān)督功能，對內(nèi)控信息安全風險點作出評級并提出改進建議。在技術層面應基于如ISO/IEC 17799等國際標準及國內(nèi)監(jiān)管機構出臺和制訂的信息安全標準和制度，從信息系統(tǒng)的物理環(huán)境安全、網(wǎng)絡環(huán)境安全、系統(tǒng)應用安全、運維管理安全等角度，明確誰運營誰負責，誰維護誰負責。制度流程應約束管理層遵從事前要預防、事中要檢查、事后要審計三原則，制度內(nèi)容應包括安全組織、人員管理、安全策略、應急響應等，并根據(jù)信息安全形勢和需求及時修訂和補充。

　　(四)建立量化信息安全評級標準

　　鑒于銀行業(yè)務的不斷發(fā)展和信息技術的持續(xù)更新，信息系統(tǒng)始終處在不同的變更過程中，這也導致新的安全漏洞和威脅不斷出現(xiàn)，中小城市商業(yè)銀行的信息資產(chǎn)也會持續(xù)出現(xiàn)新的安全脆弱點，從而影響到整個信息系統(tǒng)的安全風險狀態(tài)和安全等級。巴塞爾銀行監(jiān)管委員會對此也作出明確要求，其發(fā)布的操作風險的第5條管理原則指出：銀行應該建立經(jīng)常性的操作風險監(jiān)控流程，定期向管理層報告操作風險的相關信息，實現(xiàn)對操作風險的積極管理。

　　中小城市商業(yè)銀行應建立一套動態(tài)的信息安全狀況跟蹤和監(jiān)控機制。內(nèi)容應涉及機房環(huán)境、網(wǎng)絡安全、安全運維、主機應用安全、應用接入端信息安全管理等模塊�？梢詤⒖笺y行業(yè)監(jiān)督管理委員會發(fā)布《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》科技治理部分。《人民銀行信息系統(tǒng)信息安全等級保護實施指引(試行)》等規(guī)定設計符合自己需要的威脅和風險事件列表，以此為量化信息安全的標準并定期進行評估，形成評估安全基線，對信息安全工作有整體、客觀的把握。重點監(jiān)控威脅程度高的預定義事件，并建立應急預案。

　　(五)完善信息安全基礎環(huán)境建設

　　中小城市商業(yè)銀行的核心業(yè)務系統(tǒng)基本建成，但其信息系統(tǒng)軟硬件環(huán)境遠落后于業(yè)務發(fā)展需要，尤其是不能滿足信息安全相關要求。雖然國內(nèi)目前還沒有明確的容災備份標準，但考慮到中小城市商業(yè)銀行業(yè)務系統(tǒng)服務中斷，業(yè)務數(shù)據(jù)不可恢復會對其造成災難性打擊的可能，應積極建設災備系統(tǒng)，將異地數(shù)據(jù)、業(yè)務中心寫入中小城市商業(yè)銀行的公司發(fā)展戰(zhàn)略中，作為完善應急處理機制的核心內(nèi)容之一。在建設災備和異地中心時，通過參考現(xiàn)有的國際容災標準SHARE 78等來制訂符合自身的建設標準和維護制度，加強管理，并通過共建和引入金融云技術方案等方式來降低初期的成本投入。

　　參考文獻：

　　[1]何茂春.商業(yè)銀行信息科技風險的量化計量研究[J].金融論壇，2009(2)：42-48.

　　[2]馮登國.國內(nèi)外信息安全研究現(xiàn)狀及其發(fā)展趨勢[J].網(wǎng)絡安全技術與應用，2001(1)：8-13.

　　[3]馬希佳.銀行信息安全規(guī)劃概述[J].華南金融電腦，2007(7)：64-66.

　　[4]紀恒建，劉智廣.河北省中小商業(yè)銀行信息科技風險狀況調(diào)查[J].金融教學與研究，2008(4)：35-37.

【構建商業(yè)銀行信息安全體系的建議】相關文章：

商業(yè)銀行約束制度體系的構建09-13

構建合理的商業(yè)銀行績效評價體系09-16

我國商業(yè)銀行全面風險管理體系的構建07-03

企業(yè)信息安全管理體系構建的要點與策略論文06-29

民航空管網(wǎng)絡與信息安全管理體系的構建論文07-03

信息構建與知識構建06-03

淺談構建有中國特色的信息農(nóng)業(yè)發(fā)展體系07-21

機務安全文化體系構建與研究對象論文09-29

關于高校安全文化體系的構建問題探討05-06

房地產(chǎn)企業(yè)營銷安全體系的構建10-16