構(gòu)建商業(yè)銀行信息安全體系的建議

構(gòu)建商業(yè)銀行信息安全體系的建議

　　信息化給中小城市商業(yè)銀行帶來好處的同時(shí)，也帶來了新的風(fēng)險(xiǎn)，下面是小編搜集整理的一篇關(guān)于中小城市商業(yè)銀行信息安全現(xiàn)狀探析的論文范文，供大家閱讀查看。

　　一、銀行業(yè)信息安全概述

　　就銀行業(yè)而言，幾乎所有的業(yè)務(wù)都運(yùn)行在IT基礎(chǔ)設(shè)施之上，尤其是新出現(xiàn)的金融產(chǎn)品和服務(wù)更加趨于開放和互聯(lián)，進(jìn)一步加強(qiáng)了對(duì)信息系統(tǒng)的依賴程度。

　　信息系統(tǒng)和信息安全已經(jīng)成為操作風(fēng)險(xiǎn)管理的重要內(nèi)容。信息的保密性、完整性、有效性以及信息系統(tǒng)可用性對(duì)銀行業(yè)務(wù)的成敗起著至關(guān)重要的作用。

　　美國(guó)的金融服務(wù)現(xiàn)代化法案(GLBA，Gramm-Leach-Bliley Act)，要求銀行對(duì)某些關(guān)鍵信息的保密性、完整性等進(jìn)行保護(hù)。巴塞爾銀行監(jiān)管委員會(huì)設(shè)立的電子銀行小組(EBG)發(fā)表了《電子銀行風(fēng)險(xiǎn)管理原則》，確定了進(jìn)行電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的14條基本原則，這些大都已經(jīng)在銀行信息安全管理中得到了不同程度的應(yīng)用。《新巴塞爾協(xié)議》強(qiáng)調(diào)在進(jìn)行風(fēng)險(xiǎn)管理的時(shí)候，不僅僅要重視傳統(tǒng)的信用風(fēng)險(xiǎn)，而且要將操作風(fēng)險(xiǎn)放在一個(gè)重要的地位。

　　在中國(guó)，金融監(jiān)管部門對(duì)于信息安全也作出了相應(yīng)的界定。中國(guó)銀行業(yè)監(jiān)督委員會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》(銀監(jiān)發(fā)〔2009〕19號(hào))如此定義：信息安全風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過程中，由于技術(shù)和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)，具有技術(shù)性高、涉及范圍廣、隱蔽性強(qiáng)等特征。

　　信息安全管理在中小城市商業(yè)銀行面臨挑戰(zhàn)。首先是技術(shù)問題，表現(xiàn)為計(jì)算機(jī)硬件、軟件、網(wǎng)絡(luò)以及相應(yīng)業(yè)務(wù)信息系統(tǒng)所引發(fā)的異常情況，包括程序錯(cuò)誤、系統(tǒng)宕機(jī)、軟件缺陷、操作失誤、硬件故障、容量不足、網(wǎng)絡(luò)漏洞、故障恢復(fù)災(zāi)難備份以及應(yīng)急處理等諸多內(nèi)容。

　　其次是管理問題，不僅包括信息系統(tǒng)的管理，而且包括中小城市商業(yè)銀行各種業(yè)務(wù)數(shù)據(jù)的管理。本文就信息系統(tǒng)及其產(chǎn)生的數(shù)據(jù)，結(jié)合中小銀行的特點(diǎn)，在運(yùn)維、日常使用、應(yīng)急處置過程中由于管理缺陷產(chǎn)生的風(fēng)險(xiǎn)隱患等方面的內(nèi)容展開討論。

　　二、中小城市商業(yè)銀行信息安全現(xiàn)狀

　　(一)信息安全意識(shí)不強(qiáng)，綜合管理能力受限

　　我國(guó)中小城市商業(yè)銀行規(guī)模小、網(wǎng)點(diǎn)少、信息化建設(shè)起步晚，因此信息安全意識(shí)和管理綜合能力遠(yuǎn)落后于信息系統(tǒng)的發(fā)展需求。主要體現(xiàn)在以下幾方面。

　　首先，中小城市商業(yè)銀行的自身性質(zhì)使高級(jí)管理層更加關(guān)心財(cái)務(wù)報(bào)表，而忽視服務(wù)這些財(cái)務(wù)報(bào)表的信息系統(tǒng)，甚至不能明確信息安全是什么。對(duì)于信息安全的投入大部分限于基礎(chǔ)設(shè)備和系統(tǒng)，卻不知其信息系統(tǒng)的可用性、信息資產(chǎn)的保密性、可控性對(duì)其業(yè)務(wù)的重要作用。

　　其次，中小城市商業(yè)銀行員工普遍認(rèn)為，信息安全管理工作的效果取決于信息技術(shù)，卻不知道用戶對(duì)信息系統(tǒng)的.每個(gè)操作都具有威脅的可能，操作不當(dāng)將轉(zhuǎn)變?yōu)轱L(fēng)險(xiǎn)。如信息系統(tǒng)終端密碼長(zhǎng)度的最小設(shè)定和定期性更改就是最為簡(jiǎn)單的安全設(shè)施，但對(duì)于規(guī)范的設(shè)置，部分員工認(rèn)為其降低了工作效率。IDE統(tǒng)計(jì)的數(shù)據(jù)表明，企業(yè)中信息系統(tǒng)相關(guān)服務(wù)中斷，78%以上是人為造成。

　　最后，中小城市商業(yè)銀行信息系統(tǒng)的運(yùn)維人員則把信息安全管理工作看成是技術(shù)問題，過分強(qiáng)調(diào)信息系統(tǒng)的可用性，認(rèn)為信息安全管理工作就是網(wǎng)絡(luò)安全和核心主機(jī)安全。其實(shí)信息安全更多應(yīng)該是個(gè)管理問題，信息系統(tǒng)的可控性和保密性是信息安全不可或缺的部分，合理的管理制度與嚴(yán)格的落實(shí)才是保障信息安全的基礎(chǔ)。

　　(二)信息建設(shè)投入不足，系統(tǒng)軟硬件環(huán)境落后

　　受各方因素掣肘，中小城市商業(yè)銀行普遍存在信息化基礎(chǔ)設(shè)施投入不足，無法滿足業(yè)務(wù)發(fā)展需要的問題。

　　在對(duì)全國(guó)31個(gè)省、自治區(qū)和直轄市的四百多家中小城市商業(yè)銀行進(jìn)行調(diào)查時(shí)發(fā)現(xiàn)，受訪的中小城市商業(yè)銀行72.56%認(rèn)為信息安全相關(guān)的技術(shù)人員不能滿足工作需要，約18%認(rèn)為機(jī)房場(chǎng)地不足，9.32%認(rèn)為資金投入不足。31.25%的受訪者認(rèn)為系統(tǒng)災(zāi)備能力不足，29.50%認(rèn)為信息系統(tǒng)的冗余容錯(cuò)能力不足。

　　國(guó)際標(biāo)準(zhǔn)通常如此建議，如果銀行的核心業(yè)務(wù)系統(tǒng)主機(jī)容量使用率超過60%，就須擴(kuò)大系統(tǒng)容量，但國(guó)內(nèi)很多銀行IT基礎(chǔ)設(shè)施都不能滿足該指標(biāo)，如工行等國(guó)有銀行該項(xiàng)指標(biāo)的平均使用率為67%，個(gè)別中小銀行甚至高達(dá)90%。

　　(三)缺乏風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，應(yīng)急處置能力有限

　　信息化給中小城市商業(yè)銀行帶來好處的同時(shí)，也帶來了新的風(fēng)險(xiǎn)，諸如信息系統(tǒng)本身的設(shè)計(jì)規(guī)劃不當(dāng)、人為操作錯(cuò)誤和攻擊破壞，以及安全管理制度的不完善或執(zhí)行不到位等，都會(huì)引起系統(tǒng)故障以及業(yè)務(wù)中斷。但首先這些銀行并未建立信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別、度量、監(jiān)測(cè)、報(bào)告和控制管理標(biāo)準(zhǔn)，對(duì)于信息系統(tǒng)的威脅和風(fēng)險(xiǎn)事件不能通過科學(xué)的方法提前發(fā)現(xiàn)，只能在問題出現(xiàn)后被動(dòng)應(yīng)對(duì)。其次，信息系統(tǒng)的災(zāi)備系統(tǒng)和容錯(cuò)能力難以滿足業(yè)務(wù)安全性的要求，應(yīng)急事件處置流程缺少業(yè)務(wù)部門的主動(dòng)參與。就業(yè)務(wù)流程來說，其每個(gè)環(huán)節(jié)幾乎都能觸發(fā)信息安全事件，因缺乏對(duì)風(fēng)險(xiǎn)的識(shí)別和處理能力，信息系統(tǒng)一線業(yè)務(wù)人員通常在其出現(xiàn)問題時(shí)才會(huì)求助技術(shù)部門，應(yīng)急事件處置被動(dòng)，甚至影響系統(tǒng)的安全性。

　　三、構(gòu)建信息安全體系的建議

　　(一)多層次培訓(xùn)提升信息安全綜合能力

　　首先，樹立正確的信息安全觀念，建立牢固的信息安全意識(shí)。信息安全錯(cuò)綜復(fù)雜，且與中小城市商業(yè)銀行業(yè)務(wù)、發(fā)展戰(zhàn)略和內(nèi)部管理關(guān)系密切，與每個(gè)信息系統(tǒng)的參與者息息相關(guān)。只有思想上的重視、制度上的合理以及操作上的合規(guī)才能保障信息系統(tǒng)的安全。

　　其次，加強(qiáng)對(duì)監(jiān)管層關(guān)于科技風(fēng)險(xiǎn)治理信息安全文件的學(xué)習(xí)，加大對(duì)信息安全管理的實(shí)施者的專業(yè)培訓(xùn)，以此轉(zhuǎn)變技術(shù)人員的觀念，提高預(yù)防性管理水平，從而保障網(wǎng)絡(luò)安全和核心主機(jī)安全，做好技術(shù)支持。

　　(二)建立與業(yè)務(wù)架構(gòu)相關(guān)的信息安全管理體系

　　當(dāng)今商業(yè)銀行業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度不斷加深，商業(yè)銀行的業(yè)務(wù)創(chuàng)新基本上離不開信息系統(tǒng)的有效支撐。信息系統(tǒng)都是以服務(wù)業(yè)務(wù)為宗旨，僅靠中小銀行內(nèi)部的個(gè)別部門無法做好信息安全管理工作，因此建立合適的中小城市商業(yè)銀行信息安全管理體系顯得尤為重要。

　　從商業(yè)銀行的業(yè)務(wù)組織架構(gòu)著手，參照國(guó)際信息安全管理標(biāo)準(zhǔn)體系ISO/IEC17799，銀監(jiān)會(huì)發(fā)布的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等行業(yè)標(biāo)準(zhǔn)，結(jié)合不同信息系統(tǒng)的威脅和風(fēng)險(xiǎn)，建立與自身發(fā)展戰(zhàn)略相適應(yīng)的信息安全管理組織架構(gòu)、管理制度等。明確最高管理層對(duì)信息安全管理的決策力和推動(dòng)力，高級(jí)管理層對(duì)信息安全管理、風(fēng)險(xiǎn)管理重要事項(xiàng)的決策和協(xié)調(diào)作用，制訂信息安全管理方案，包括信息科技安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維持計(jì)劃等。落實(shí)部門負(fù)責(zé)人對(duì)信息安全管理、風(fēng)險(xiǎn)管理的職責(zé)，定期向上級(jí)主管部門提交信息安全評(píng)估報(bào)告，確保信息安全管理與發(fā)展戰(zhàn)略一致，使組織內(nèi)部的溝通協(xié)調(diào)能夠順利進(jìn)行，推動(dòng)信息安全管理工作有效落實(shí)。

　　(三)建立分級(jí)內(nèi)控把控信息安全風(fēng)險(xiǎn)

　　巴塞爾銀行監(jiān)管委員會(huì)發(fā)布的《操作風(fēng)險(xiǎn)管理與監(jiān)管的穩(wěn)健做法》指出，“銀行應(yīng)該制訂控制和/或緩釋重大操作風(fēng)險(xiǎn)的政策、程序和步驟。銀行應(yīng)該定期檢查其風(fēng)險(xiǎn)限度和控制戰(zhàn)略，并且根據(jù)其全面的風(fēng)險(xiǎn)喜好和狀況，通過使用合適的戰(zhàn)略，相應(yīng)地調(diào)整其操作風(fēng)險(xiǎn)狀況”，“董事會(huì)要確保本行的操作風(fēng)險(xiǎn)管理系統(tǒng)受到內(nèi)審部門全面、有效的監(jiān)督，內(nèi)審部門必須擁有一支獨(dú)立運(yùn)作、訓(xùn)練有素、業(yè)務(wù)精良的內(nèi)審隊(duì)，內(nèi)審部門不應(yīng)直接負(fù)責(zé)操作風(fēng)險(xiǎn)的管理”。2003年7月發(fā)布的《電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)管理原則》安全控制部分要求商業(yè)銀行從信息系統(tǒng)的保密性、完整性和可用性等方面做好自身信息安全工作，涉及客戶身份識(shí)別、授權(quán)，業(yè)務(wù)交易的不可抵賴性、責(zé)任認(rèn)證，交易和業(yè)務(wù)信息的完整、保密和可控等方面。

　　銀監(jiān)會(huì)的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》內(nèi)部審計(jì)部分也對(duì)商業(yè)銀行作出類似要求，“商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對(duì)相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測(cè)。內(nèi)部審計(jì)部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計(jì)人員，獨(dú)立于本銀行的日常活動(dòng)，具有適當(dāng)?shù)氖跈?quán)訪問本銀行的記錄。”

　　商業(yè)銀行應(yīng)從業(yè)務(wù)和技術(shù)兩個(gè)層面，對(duì)銀行內(nèi)部信息安全進(jìn)行細(xì)分，結(jié)合本身信息安全現(xiàn)狀制訂完善的安全管理規(guī)章制度以及工作流程。業(yè)務(wù)層面應(yīng)該基于業(yè)務(wù)操作和流程對(duì)業(yè)務(wù)人員、管理人員作出規(guī)定，明確誰操作誰負(fù)責(zé)，誰使用誰負(fù)責(zé);內(nèi)部審計(jì)部門要負(fù)責(zé)全行內(nèi)控制度的檢查與監(jiān)督功能，對(duì)內(nèi)控信息安全風(fēng)險(xiǎn)點(diǎn)作出評(píng)級(jí)并提出改進(jìn)建議。在技術(shù)層面應(yīng)基于如ISO/IEC 17799等國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)監(jiān)管機(jī)構(gòu)出臺(tái)和制訂的信息安全標(biāo)準(zhǔn)和制度，從信息系統(tǒng)的物理環(huán)境安全、網(wǎng)絡(luò)環(huán)境安全、系統(tǒng)應(yīng)用安全、運(yùn)維管理安全等角度，明確誰運(yùn)營(yíng)誰負(fù)責(zé)，誰維護(hù)誰負(fù)責(zé)。制度流程應(yīng)約束管理層遵從事前要預(yù)防、事中要檢查、事后要審計(jì)三原則，制度內(nèi)容應(yīng)包括安全組織、人員管理、安全策略、應(yīng)急響應(yīng)等，并根據(jù)信息安全形勢(shì)和需求及時(shí)修訂和補(bǔ)充。

　　(四)建立量化信息安全評(píng)級(jí)標(biāo)準(zhǔn)

　　鑒于銀行業(yè)務(wù)的不斷發(fā)展和信息技術(shù)的持續(xù)更新，信息系統(tǒng)始終處在不同的變更過程中，這也導(dǎo)致新的安全漏洞和威脅不斷出現(xiàn)，中小城市商業(yè)銀行的信息資產(chǎn)也會(huì)持續(xù)出現(xiàn)新的安全脆弱點(diǎn)，從而影響到整個(gè)信息系統(tǒng)的安全風(fēng)險(xiǎn)狀態(tài)和安全等級(jí)。巴塞爾銀行監(jiān)管委員會(huì)對(duì)此也作出明確要求，其發(fā)布的操作風(fēng)險(xiǎn)的第5條管理原則指出：銀行應(yīng)該建立經(jīng)常性的操作風(fēng)險(xiǎn)監(jiān)控流程，定期向管理層報(bào)告操作風(fēng)險(xiǎn)的相關(guān)信息，實(shí)現(xiàn)對(duì)操作風(fēng)險(xiǎn)的積極管理。

　　中小城市商業(yè)銀行應(yīng)建立一套動(dòng)態(tài)的信息安全狀況跟蹤和監(jiān)控機(jī)制。內(nèi)容應(yīng)涉及機(jī)房環(huán)境、網(wǎng)絡(luò)安全、安全運(yùn)維、主機(jī)應(yīng)用安全、應(yīng)用接入端信息安全管理等模塊。可以參考銀行業(yè)監(jiān)督管理委員會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》科技治理部分。《人民銀行信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引(試行)》等規(guī)定設(shè)計(jì)符合自己需要的威脅和風(fēng)險(xiǎn)事件列表，以此為量化信息安全的標(biāo)準(zhǔn)并定期進(jìn)行評(píng)估，形成評(píng)估安全基線，對(duì)信息安全工作有整體、客觀的把握。重點(diǎn)監(jiān)控威脅程度高的預(yù)定義事件，并建立應(yīng)急預(yù)案。

　　(五)完善信息安全基礎(chǔ)環(huán)境建設(shè)

　　中小城市商業(yè)銀行的核心業(yè)務(wù)系統(tǒng)基本建成，但其信息系統(tǒng)軟硬件環(huán)境遠(yuǎn)落后于業(yè)務(wù)發(fā)展需要，尤其是不能滿足信息安全相關(guān)要求。雖然國(guó)內(nèi)目前還沒有明確的容災(zāi)備份標(biāo)準(zhǔn)，但考慮到中小城市商業(yè)銀行業(yè)務(wù)系統(tǒng)服務(wù)中斷，業(yè)務(wù)數(shù)據(jù)不可恢復(fù)會(huì)對(duì)其造成災(zāi)難性打擊的可能，應(yīng)積極建設(shè)災(zāi)備系統(tǒng)，將異地?cái)?shù)據(jù)、業(yè)務(wù)中心寫入中小城市商業(yè)銀行的公司發(fā)展戰(zhàn)略中，作為完善應(yīng)急處理機(jī)制的核心內(nèi)容之一。在建設(shè)災(zāi)備和異地中心時(shí)，通過參考現(xiàn)有的國(guó)際容災(zāi)標(biāo)準(zhǔn)SHARE 78等來制訂符合自身的建設(shè)標(biāo)準(zhǔn)和維護(hù)制度，加強(qiáng)管理，并通過共建和引入金融云技術(shù)方案等方式來降低初期的成本投入。

　　參考文獻(xiàn)：

　　[1]何茂春.商業(yè)銀行信息科技風(fēng)險(xiǎn)的量化計(jì)量研究[J].金融論壇，2009(2)：42-48.

　　[2]馮登國(guó).國(guó)內(nèi)外信息安全研究現(xiàn)狀及其發(fā)展趨勢(shì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2001(1)：8-13.

　　[3]馬希佳.銀行信息安全規(guī)劃概述[J].華南金融電腦，2007(7)：64-66.

　　[4]紀(jì)恒建，劉智廣.河北省中小商業(yè)銀行信息科技風(fēng)險(xiǎn)狀況調(diào)查[J].金融教學(xué)與研究，2008(4)：35-37.

【構(gòu)建商業(yè)銀行信息安全體系的建議】相關(guān)文章：

1.冶金企業(yè)安全生產(chǎn)信息披露體系構(gòu)建論文

2.學(xué)生信息安全構(gòu)建的思考

3.企業(yè)信息安全管理體系構(gòu)建的要點(diǎn)與策略論文

4.民航空管網(wǎng)絡(luò)與信息安全管理體系的構(gòu)建論文

5.會(huì)計(jì)信息化標(biāo)準(zhǔn)體系的構(gòu)建論文

6.企業(yè)信息安全構(gòu)建分析

7.營(yíng)銷流程體系的構(gòu)建

8.信息安全管理體系研究