王耀

摘要：信息化技術(shù)開始影響著各行各業(yè)，而中國(guó)的金融業(yè)信息安全受到了前所未有的關(guān)注。金融標(biāo)準(zhǔn)化工作對(duì)于基層金融機(jī)構(gòu)信息安全起到重要作用。中國(guó)人民銀行作為金融業(yè)信息安全監(jiān)管的主管部門之一，近年來，著力于優(yōu)化金融標(biāo)準(zhǔn)化信息安全管理體制機(jī)制，加強(qiáng)金融標(biāo)準(zhǔn)的實(shí)施與監(jiān)督。本文介紹了基層金融業(yè)信息安全的現(xiàn)狀、內(nèi)外部環(huán)境，就基層金融業(yè)信息安全風(fēng)險(xiǎn)原因分析進(jìn)行了詳細(xì)的分析，并提出了一些對(duì)策和建議。

關(guān)鍵詞：金融標(biāo)準(zhǔn)化 金融機(jī)構(gòu) 信息安全

一、金融標(biāo)準(zhǔn)化下基層金融業(yè)信息安全推進(jìn)現(xiàn)狀

央行等5部委于2017年聯(lián)合發(fā)布的《金融業(yè)標(biāo)準(zhǔn)化體系建設(shè)發(fā)展規(guī)劃（2016-2020年）》，明確了金融標(biāo)準(zhǔn)化工作的指導(dǎo)思想和主要任務(wù)。完成金融標(biāo)準(zhǔn)委員會(huì)換屆，制定發(fā)布證券及相關(guān)金融工具分類、云計(jì)算技術(shù)金融應(yīng)用規(guī)范等18項(xiàng)金融國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，在互聯(lián)網(wǎng)金融領(lǐng)域發(fā)布5項(xiàng)團(tuán)體標(biāo)準(zhǔn)。各金融業(yè)按照國(guó)家的相關(guān)規(guī)定，制定了金融行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)對(duì)于金融行業(yè)由于數(shù)據(jù)集中、信息保密性高、資金交易、網(wǎng)絡(luò)拓?fù)鋸?fù)雜等特點(diǎn)導(dǎo)致的信息安全風(fēng)險(xiǎn)有了很好的防護(hù)效果。目前，我國(guó)建立的新型標(biāo)準(zhǔn)體系，對(duì)新技術(shù)體系下金融IC卡、非銀行支付、移動(dòng)支付體系下等領(lǐng)域的標(biāo)準(zhǔn)在支持實(shí)體經(jīng)濟(jì)發(fā)展方面發(fā)展起到積極作用。當(dāng)前，中國(guó)在國(guó)際金融標(biāo)準(zhǔn)化活動(dòng)中影響力逐步提升，開始主導(dǎo)制定銀行產(chǎn)品服務(wù)說明書描述規(guī)范、非銀行支付系統(tǒng)安全等多項(xiàng)金融國(guó)際標(biāo)準(zhǔn)。

二、國(guó)內(nèi)金融標(biāo)準(zhǔn)化體系建設(shè)現(xiàn)狀的內(nèi)外部環(huán)境

基層金融業(yè)信息安全的內(nèi)部環(huán)境。在技術(shù)方面，隨著國(guó)產(chǎn)化進(jìn)程的加快，逐步替換的軟硬件設(shè)備，國(guó)產(chǎn)化操作系統(tǒng)和殺毒軟件占有了極大的市場(chǎng)份額。但對(duì)于一些其它產(chǎn)品，比如CPU等一些設(shè)備讓那個(gè)無法實(shí)現(xiàn)國(guó)產(chǎn)化。過度依賴國(guó)外市場(chǎng)導(dǎo)致發(fā)生風(fēng)險(xiǎn)。從管理、制度方面，基層金融業(yè)在制定安全規(guī)劃、貫徹和宣傳金融行業(yè)標(biāo)準(zhǔn)等方面存在很多問題。網(wǎng)絡(luò)技術(shù)的高度發(fā)展與制度的相對(duì)滯后，形成了灰色的空白地帶。

基層金融業(yè)信息安全的外部環(huán)境。國(guó)內(nèi)和國(guó)外的網(wǎng)絡(luò)犯罪活動(dòng)都呈現(xiàn)出不斷上升的趨勢(shì)，金融業(yè)作為特殊的行業(yè)成為黑客攻擊的重點(diǎn)。中心化的金融體系結(jié)構(gòu)，對(duì)于數(shù)據(jù)中心和災(zāi)備中心的維護(hù)極其重要，信息安全形勢(shì)不容樂觀。據(jù)統(tǒng)計(jì)，保險(xiǎn)業(yè)和互聯(lián)網(wǎng)金融占金融行業(yè)中漏洞數(shù)排在前二位?；ヂ?lián)網(wǎng)金融平臺(tái)不斷被爆出存在漏洞，互聯(lián)網(wǎng)借貸黑幕，P2P平臺(tái)跑路，后門程序，系統(tǒng)漏洞，信息炸彈，信息猜解（如遍歷查詢和操作他人賬戶、訂單等）成為普遍問題。在金融標(biāo)準(zhǔn)化體系下，基層金融業(yè)信息安全風(fēng)險(xiǎn)成為必須要關(guān)注的重點(diǎn)。

三、基層金融業(yè)信息安全風(fēng)險(xiǎn)原因分析

（一）基層金融業(yè)信息安全管理難度増加

基層金融業(yè)機(jī)構(gòu)在基礎(chǔ)設(shè)施建設(shè)存在多方面不足。一是現(xiàn)在的機(jī)房建設(shè)實(shí)際不符合現(xiàn)有的標(biāo)準(zhǔn)。在對(duì)朔州市轄內(nèi)各金融機(jī)構(gòu)的機(jī)房建設(shè)進(jìn)行實(shí)地走訪后，發(fā)現(xiàn)各機(jī)構(gòu)在生產(chǎn)中心和災(zāi)備中心的地理選擇和具體功能劃分方面都存在若干問題，其中對(duì)于機(jī)房交通、水電和環(huán)境方面問題更加明顯。例如，朔州市部分金融機(jī)構(gòu)機(jī)房?jī)?nèi)存在雨水滲透的風(fēng)險(xiǎn)，用電管理不規(guī)劃等，這些都不符合C類機(jī)房的建設(shè)標(biāo)準(zhǔn)。二是部門金融機(jī)構(gòu)沒有專門環(huán)境監(jiān)測(cè)系統(tǒng)，無法對(duì)整個(gè)中心機(jī)房的供電、消防、溫濕度、安防進(jìn)行全方位監(jiān)控。生產(chǎn)區(qū)域與輔助區(qū)域劃分不明確，機(jī)房堆有雜物。三是第三方服務(wù)商能否長(zhǎng)期穩(wěn)定地為基層金融業(yè)機(jī)構(gòu)提供高質(zhì)量服務(wù)。IT外包風(fēng)險(xiǎn)是服務(wù)商能否長(zhǎng)期穩(wěn)定地為銀行提供高質(zhì)量的服務(wù)，對(duì)于信息系統(tǒng)故障能否及時(shí)響應(yīng)并修復(fù)，以保障銀行業(yè)務(wù)的連續(xù)性。再者，外包服務(wù)商在和銀行密切往來過程中會(huì)獲取一些銀行的內(nèi)部機(jī)密信息，給銀行帶來商業(yè)秘密泄露的風(fēng)險(xiǎn)。

（二）基層金融業(yè)信息安全類標(biāo)準(zhǔn)不一

目前，正在使用的信息安全類標(biāo)準(zhǔn)有國(guó)際標(biāo)準(zhǔn)ISO27000系列、國(guó)家標(biāo)準(zhǔn)GB17859-1999系列、金融行業(yè)標(biāo)準(zhǔn)JR/T0071-2012。由于標(biāo)準(zhǔn)的不一致，信息安全的日常管理和監(jiān)督帶來很多工作上的困難。JR/T0071-2012是GB17859-1999系列的延伸。這三個(gè)標(biāo)準(zhǔn)各有不同，ISO27000系列不具有強(qiáng)制性，JR/T0071-2012明確了實(shí)施要求和測(cè)評(píng)方法，可操作性很強(qiáng)。金融業(yè)行業(yè)標(biāo)準(zhǔn)在國(guó)家標(biāo)準(zhǔn)的基礎(chǔ)上添加了相應(yīng)特性的指標(biāo)，更適用于金融業(yè)管理實(shí)際。

（三）檢查指標(biāo)要求與具體執(zhí)行存在偏差

一是金融標(biāo)準(zhǔn)化制定與金融業(yè)務(wù)的發(fā)展相比較存在一定的滯后性，標(biāo)準(zhǔn)的制定需要一定的時(shí)間和過程，與之相對(duì)的是急速發(fā)展的金融業(yè)務(wù)，如互聯(lián)網(wǎng)金融。二是信息安全等級(jí)分別對(duì)二到四級(jí)有具體的要求，通過對(duì)朔州市各金融業(yè)機(jī)構(gòu)進(jìn)行實(shí)地走訪，發(fā)現(xiàn)符合二級(jí)等級(jí)的系統(tǒng)幾乎沒有，有的機(jī)構(gòu)未減少投入成本，選擇等級(jí)保護(hù)低定。三是在實(shí)際的考核過程中，定量指標(biāo)和定性指標(biāo)分別適用于技術(shù)層面和管理層面。

四、對(duì)策與建議

（一）細(xì)化基層金融業(yè)標(biāo)準(zhǔn)化建設(shè)

基層金融業(yè)機(jī)構(gòu)在系統(tǒng)剛建時(shí)要明確等級(jí)級(jí)別，據(jù)此選擇相應(yīng)的安全措施，從預(yù)防的角度確保系統(tǒng)安全。各基層金融業(yè)機(jī)構(gòu)應(yīng)建立信息安全管理基線，基線管理就是細(xì)化信息安全管理指標(biāo)及其具體要求。通過基線管理，各金融機(jī)構(gòu)可更了解本機(jī)構(gòu)信息安全的薄弱點(diǎn)，可配合風(fēng)險(xiǎn)管理進(jìn)行分析，對(duì)每一個(gè)風(fēng)險(xiǎn)點(diǎn)進(jìn)行評(píng)估。并實(shí)施動(dòng)態(tài)管理，隨著內(nèi)外部環(huán)境的變化，因時(shí)因勢(shì)進(jìn)行改變，尤其是新出現(xiàn)的風(fēng)險(xiǎn)點(diǎn)要及時(shí)的進(jìn)行更改和調(diào)整策略。

（二）充分發(fā)揮基層人民銀行的督促與業(yè)務(wù)指導(dǎo)作用

人民銀行的職能是維護(hù)轄內(nèi)金融穩(wěn)定，對(duì)當(dāng)?shù)亟鹑跈C(jī)構(gòu)的信息依照“依托標(biāo)準(zhǔn)、重在指導(dǎo)、加強(qiáng)協(xié)調(diào)”的原則進(jìn)行安全管理。確定金融機(jī)構(gòu)的信息安全管理的目標(biāo)。在確定目標(biāo)的過程總要充分考慮一致性原則、全面性、關(guān)鍵性和應(yīng)變?cè)瓌t。目標(biāo)應(yīng)該符合金融標(biāo)準(zhǔn)化的要求和轄內(nèi)實(shí)際情況。基層人民銀行要提高金融機(jī)構(gòu)日常信息安全風(fēng)險(xiǎn)防范意識(shí)，完善系信息管理各項(xiàng)措施，加強(qiáng)指導(dǎo)與服務(wù)，全力保障業(yè)務(wù)連續(xù)性。

（三）建立科學(xué)的指標(biāo)評(píng)價(jià)體系

對(duì)于金融業(yè)信息安全管理體系是一個(gè)動(dòng)態(tài)持續(xù)的管理過程。可以用層次分析法確定指標(biāo)權(quán)重，可以用專家討論、兩兩對(duì)比、層次分析法來構(gòu)造判斷矩陣，確定指標(biāo)項(xiàng)的具體權(quán)重。在判斷矩陣的構(gòu)建中，根據(jù)兩指標(biāo)之間的重要性程度來確定指標(biāo)間的分?jǐn)?shù)，可以劃分為極不重要（得分1/10）、不重要（得分1/2）、一樣重要（得分1）、略重要（得分5）、很重要（得分10）這五個(gè)等級(jí)。此評(píng)價(jià)體系在初步建立之后，對(duì)指標(biāo)體系進(jìn)行調(diào)查，經(jīng)過多次反饋之后得出合理可行的指標(biāo)體系，如下表所示4-1所示。M1對(duì)自身的重要性程度為1，對(duì)M2，M3，M4，M5的重要程度分別為1/10，1/2，5，10。

（四）加強(qiáng)金融標(biāo)準(zhǔn)化人才隊(duì)伍建設(shè)

人才在實(shí)施金融標(biāo)準(zhǔn)化中的過程中發(fā)揮著關(guān)鍵作用，只有不斷地為隊(duì)伍注入新鮮血液，才能更好的完成金融機(jī)構(gòu)的標(biāo)準(zhǔn)化工作。一方面要注重用人導(dǎo)向，大力選用具有金融標(biāo)準(zhǔn)化實(shí)際工作經(jīng)驗(yàn)的人，針對(duì)金融標(biāo)準(zhǔn)化下信息安全工作中存在的問題，重點(diǎn)施策。另一方面，加大人才交流力度，學(xué)習(xí)金融信息安全標(biāo)準(zhǔn)化建設(shè)先進(jìn)地區(qū)、先進(jìn)單位的工作經(jīng)驗(yàn)，提升本地區(qū)人才的技能水平。

參考文獻(xiàn)：

[1]魏革軍.標(biāo)準(zhǔn)化是加強(qiáng)和改進(jìn)金融統(tǒng)計(jì)的有效手段——訪中國(guó)人民銀行副行長(zhǎng)杜金富[J].中國(guó)金融，2010（15）.

[2]伍艷梅，王曉昕.服務(wù)金融穩(wěn)定大局加快推進(jìn)金融統(tǒng)計(jì)標(biāo)準(zhǔn)化系統(tǒng)建設(shè)研究[J].吉林金融研究，2017（10）.

[3]程鋮.金融標(biāo)準(zhǔn)化體系下基層金融業(yè)信息安全監(jiān)管研究[D].合肥：安徽大學(xué)，2016.

作者單位：中國(guó)人民銀行朔州市中心支行