李艷

隨著信息化在銀行業(yè)業(yè)務(wù)系統(tǒng)中的深入應(yīng)用，銀行業(yè)金融電子化進程進一步加快步伐，信息化程度越來越高。網(wǎng)上銀行、手機銀行、電話銀行、POS/ATM終端服務(wù)在給廣大人民群眾帶來支付便利的同時，也給金融機構(gòu)信息安全管理提出了更高的要求。隨著人民銀行信息安全職能的進一步調(diào)整，指導(dǎo)、協(xié)調(diào)金融業(yè)信息安全工作成為央行科技工作職能的重要組成部分，在履行金融業(yè)信息安全屬地協(xié)調(diào)管理職責(zé)的過程中，發(fā)現(xiàn)商業(yè)銀行市縣部分機構(gòu)存在信息安全管理重視程度不夠、制度建設(shè)缺位、硬件設(shè)備運行環(huán)境不達標(biāo)、科技力量薄弱等方面的問題，對商業(yè)銀行的業(yè)務(wù)發(fā)展埋下信息安全隱患。本文探討基層商業(yè)銀行在信息安全管理問題上存在的一些隱患和應(yīng)對的方法。

一、基層商業(yè)銀行存在的信息安全問題

本文所指基層商業(yè)銀行是指在三四線城市及其縣支行地域存在的商業(yè)銀行分支機構(gòu)或規(guī)模較小的地方法人商業(yè)銀行。隨著對商業(yè)銀行的安全檢查和業(yè)務(wù)往來的了解，我們發(fā)現(xiàn)了一些普遍存在的信息安全管理問題：

（一）重視程度不夠

有話說，“誰掌握領(lǐng)了信息，控制了網(wǎng)絡(luò)，誰將擁有整個世界?！边@句話不完全對，不過可見信息安全是何等的重要。尤其金融行業(yè)是國家經(jīng)濟發(fā)展的大動脈，肩負(fù)著重要的社會責(zé)任，是信息安全防范的重中之重。商業(yè)銀行對信息安全管理的重要性認(rèn)識不足，沒有把信息安全管理工作作為日常工作的重點，安全意識與信息化發(fā)展的要求有相當(dāng)大的差距，特別是一些人員不能正確認(rèn)識信息安全的重要性與緊迫性，嚴(yán)重制約了工作的有效開展；信息安全管理體制還需要進一步完善，組織機構(gòu)不健全，監(jiān)督管理不到位，規(guī)章制度不完善，應(yīng)急體系不完整，人員配備緊缺等突出問題需要得到根本解決；信息安全基礎(chǔ)設(shè)施投入不足，資金投入、建設(shè)力度與日常運維跟不上發(fā)展的需要。這些問題給信息安全管理工作帶來了前所未有的威脅和挑戰(zhàn)。

（二）制度建設(shè)缺位

制度建設(shè)對商業(yè)銀行的改革、管理和發(fā)展起到了巨大的推動作用，但是，制度建設(shè)仍然存在一些問題，制度建設(shè)須要進一步深化。雖然各商業(yè)銀行也制定了信息安全管理制度，但基本上都是套用上級行各類制度，甚至將上級行的制度不做任何修改直接照搬，真正結(jié)合本單位、本部門、制定細責(zé)的很少，與工作實際脫節(jié)，執(zhí)行起來可行性不高。制度建設(shè)形同虛設(shè)，擺“花架子”應(yīng)付檢查機構(gòu)的檢查，或者制度體系建設(shè)不完整，責(zé)任落實不到位，信息安全工作開展缺乏有力的依據(jù)和規(guī)范。

（三）硬件設(shè)備運行環(huán)境不達標(biāo)

近年來，商業(yè)銀行擴疆辟土，新的網(wǎng)點不斷涌現(xiàn)。但是對營業(yè)場所信息安全設(shè)備的投入相對于他們的規(guī)模和利潤水平是巨大的，在看不到眼前效益的情況下，勢必對投入有所保留。設(shè)備更新速度較慢，運行環(huán)境不達標(biāo)。雖然商業(yè)銀行的網(wǎng)點都有獨立的機房，但無論機房選址、裝修配置、出入登記都存在問題。有得機房距離衛(wèi)生間僅僅不到五米，切沒有做防水處理；機房內(nèi)沒有安裝空調(diào)，設(shè)備溫度較高；機房內(nèi)線纜凌亂，業(yè)務(wù)網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)設(shè)備隨意放置在一起；甚至將機房作為雜物間使用，出入機房沒有嚴(yán)格例行登記。這些問題的存在，都給業(yè)務(wù)運行帶來很大的安全隱患。

（四）科技力量薄弱

近年來由于商業(yè)銀行業(yè)務(wù)處理數(shù)據(jù)大集中的發(fā)展模式，在地市級及以下縣級配備科技人員數(shù)量較少，有的行或者不配備專業(yè)的科技人員，科技人才匱乏且均為兼職。隨著各項業(yè)務(wù)系統(tǒng)上線數(shù)量的增多，科技任務(wù)越來越重，及時基層機構(gòu)只設(shè)客戶端，但一名兼職的科技人員面對如此多的客戶端和網(wǎng)點，也只能充當(dāng)“救火隊員”的角色，運維保障質(zhì)量將大打折扣。以某縣域轄區(qū)為例：沒有一家商業(yè)銀行的科技人員為計算機專業(yè)畢業(yè)，另外，科技人員年齡普遍偏大，平均年齡為40.1歲，且知識結(jié)構(gòu)單一，新知識、新技術(shù)掌握不多，很難適應(yīng)當(dāng)前飛速發(fā)展的信息安全工作需要。日常疲于應(yīng)付各項業(yè)務(wù)工作，根本無暇顧及較深層次的應(yīng)用學(xué)習(xí)，除了某村鎮(zhèn)銀行每月會通過網(wǎng)絡(luò)對科技人員進行培訓(xùn)外，其他金融機構(gòu)的科技人員只是在新系統(tǒng)上線的時候才會進行相應(yīng)的培訓(xùn)，因此只能簡單的對系統(tǒng)進行操做和維護，業(yè)務(wù)素質(zhì)跟不上金融電子化的發(fā)展。各商業(yè)銀行缺乏有關(guān)信息安全管理教育培訓(xùn)的環(huán)境和氛圍，每年對員工進行計算機知識方面的培訓(xùn)平均不到一次，而且質(zhì)量很難得到保證，科技人員如果不在，一旦計算機出現(xiàn)問題，業(yè)務(wù)很可能停滯。

（五）信息安全管理缺乏有力監(jiān)督

央行近幾年明確了金融業(yè)信息安全屬地化管理職責(zé)，也對商業(yè)發(fā)布了一系列的信息安全工作規(guī)范，但對商業(yè)銀行信息安全的監(jiān)督管理與指導(dǎo)卻沒有明確的標(biāo)準(zhǔn)，使得央行基層行在實際管理工作中缺乏依據(jù)和標(biāo)桿，從而加大了管理難度。科技部門對外工作往往面臨沒有管理、檢查依據(jù)的尷尬狀況。但對金融機構(gòu)來說，這些制度規(guī)定并沒有一定的針對性和強制性，工作開展難度較大，成效并不明顯。

二、解決基層商業(yè)銀行信息安全問題的思路

（一）充分發(fā)揮協(xié)調(diào)聯(lián)席會議的職能作用

建立信息安全管理工作聯(lián)席會議制度，有利于提高各成員單位處置突發(fā)事件的能力，鞏固轄區(qū)信息安全壁壘。有利于發(fā)揮資源配置優(yōu)勢和信息共享，及時獲取、預(yù)警重要信息安全情況，控制安全風(fēng)險，處置突發(fā)事件。有利于促進轄區(qū)轉(zhuǎn)變信息安全管理模式，實現(xiàn)從點到線，從任務(wù)式到機制化的轉(zhuǎn)變。有利于促進成員單位提高信息安全管理意識，調(diào)整自身的信息安全管理方式。

（二）實行“責(zé)任追究制”，健全制度推進執(zhí)行

基層商業(yè)銀行要建立信息安全領(lǐng)導(dǎo)小組，落實工作具體負(fù)責(zé)人，實行“責(zé)任追究制”。本著“誰主管誰負(fù)責(zé)，誰運營誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的方針，把安全工作責(zé)任落到實處。要制定切合本單位信息安全工作的規(guī)劃、制度和措施，進一步明確科技人員和業(yè)務(wù)人員的義務(wù)和責(zé)任，細化各項實施細則，建立完善各種登記制度，使得各項制度真正具有科學(xué)性、針對性和可操作性，為信息安全管理工作真正落到實處提供強有力的依據(jù)和保障。

（三）加強信息化人才隊伍建設(shè)

基層商業(yè)銀行應(yīng)要引進足夠數(shù)量的能力強的技術(shù)人員，通過組織培訓(xùn)、督促自學(xué)、相互交流等多種形式加大對科技人員及員工的培訓(xùn)力度，普及新的實用信息化應(yīng)用和安全技術(shù)應(yīng)用知識，進一步提高科技人員和員工解決實際信息化應(yīng)用和安全管理問題的能力，最大程度從人的層面上消除信息安全管理工作隱患。

（四）加強基礎(chǔ)設(shè)施投入，優(yōu)化運維環(huán)境

基層商業(yè)銀行應(yīng)加快基礎(chǔ)設(shè)施更新改造步伐，舍得投入，舍得運維，加強電子設(shè)備及運行環(huán)境檢查力度，對重要設(shè)備做好保養(yǎng)工作，對沒有相應(yīng)防護措施的要堅決進行完善，讓硬件設(shè)施和設(shè)備運行環(huán)境跟上信息化發(fā)展的步伐。

（五）完善監(jiān)督管理措施，加強服務(wù)引導(dǎo)職能

央行應(yīng)盡快建立金融業(yè)信息安全管理各項實施細則，明確基層央行對各家金融機構(gòu)信息安全管理的目標(biāo)責(zé)任、管理任務(wù)及指導(dǎo)規(guī)范，以便基層行能夠有效地對金融機構(gòu)的信息安全管理工作進行監(jiān)督和協(xié)調(diào)指導(dǎo)，確保管理指導(dǎo)工作的執(zhí)行力和執(zhí)行效果，切實提高轄區(qū)各家金融機構(gòu)的信息安全保障能力，共同維護一方金融穩(wěn)定。