基层央行科技安全管理现状及存在的风险

赵辉

摘 要：随着信息技术在央行的广泛使用，科技安全管理的重要性越来越突出。通过对山西省16个地市及所辖县支行历时六年的实地调查和现场审计，从内部审计的角度对基层央行科技安全管理现状、潜在风险等进行分析，并提出相关建议。

关键词：科技；安全管理；内部审计；风险隐患；对策

中图分类号：F830 文献标志码：A 文章编号：1673-291X（2016）06-0147-02

随着科学技术的发展和信息水平的提高，信息技术为央行的相关工作带来了很多便利，相关部门也在科技安全管理方面做了大量的工作，但是从审计部门近几年开展的科技安全管理审计情况看，各行在管理、操作等方面仍存在漏洞，需要进一步提高和改进。

一、山西省人民银行科技安全管理现状

从2009年开始，历时六年的时间，我们在全省人民银行范围内开展了科技安全管理审计。通过现场审计、发放调查问卷以及和一线职工的沟通交流，了解到基层行在科技安全管理工作中普遍存在和反映较多的问题。

（一）从现场审计掌握的情况

通过对山西省16个地市及县支行的审计了解，2009—2014年共发现287个问题，主要表现在内控制度、机房安全管理、网络安全管理、系统安全、应用系统维护、采购外包、应急备份等方面。在上述发现的问题中，机房安全管理、应用系统运行维护和网络安全管理方面存在的问题最多，风险最大。

1.机房安全管理问题中，主要表现在机房进出控制、监控盲区及安全运行监测信息资料保存期限、日常巡检及机房选址存在漏水、被盗隐患方面。

2.应用系统运行维护问题中，主要表现在未开启安全日志审计，口令密码设置简单；系统维护记录不准确等方面。

3.网络安全管理问题中，主要表现在客户端未安装主机监控系统、未禁用系统默认来宾账户、使用未注册的移动存储介质，防病毒软件病毒特征库升级不及时等。

（二）通过调查问卷及访谈了解的情况

1.内控制度落实难。虽然近几年从上到下均制定了大量的规章制度，但部分制度的制定与执行存在脱节的情况，尤其是上级行制定的一些制度，大部分是针对上级行自身的实际，没有充分考虑到基层的具体实际情况，制度下发后在基层行很难执行。

2.人员结构调整速度慢。调查问卷显示，75%的管理层认为科技人员结构不能满足管理要求，具体表现为：总量不足、年龄大、任务重，知识结构老化。经了解，科技部门现有人员有2/3已超40岁，对新知识接受较慢，尤其在央行数据集中的背景下，信息人员网络安全知识更新速度跟不上，在工作中容易出现失误。

3.科技人员少且兼岗多。在实际工作中，大部分安全管理人员既要负责网络防病毒系统、内部网络管理维护以及内外网安全管理等工作，还要承担应用系统的维护、软件管理、硬件维护和网络通信管理，时常出现顾此失彼的现象，难以保证科技管理及维护工作的质量。

4.专业技术培训不足，员工素质相对滞后。调查问卷显示，90%的科技人员认为需要加强技术及信息安全培训和经验交流。经了解，在实际工作中对于业务系统上线及使用，上级行只注重对业务人员的培训，忽视对科技人员的相关培训，造成科技人员不熟悉，甚至不了解业务系统，导致问题处理不及时。

二、潜在的风险隐患

针对以上审计中发现的问题可以看出，基层央行科技安全管理方面的风险来源主要为管理风险和操作风险。

（一）管理风险

随着对信息安全认识的加深，我们逐渐意识到“人”的风险其实是最大的风险。人，特别是银行内部员工，既可以是对信息系统的最大威胁，也可以是最可靠的安全防线。但是从实地调研情况看，基层行实现从“最大威胁”到“最可靠防线”的转变中还存在一些不容忽视的问题，表现为：一方面，部分职员没有树立正确的职业道德观念，加之缺乏激励约束机制，觉得干好干坏没差别，干多干少一个样，缺乏工作热情，出现不思进取的现象；另一方面，基层行科技人员职业技能落后，随着信息化的高速发展，使一部分职员出现技能上的脱节，遇到威胁信息安全的事件不能及时采取措施，消除威胁，给信息安全带来潜在风险。

（二）操作风险

随着央行各项业务对信息系统的依赖程度越来越高，信息系统风险的影响也越来越大。而诱发操作风险的原因也是多种多样，无论是有意越权访问或是无意误操作，还是技术缺失，都会把风险变成实实在在的损失。从审计情况来看，发现的问题大部分属于操作风险，如在网络设备安全审计日志的设置及使用方面，基层行科技人员由于对安全审计日志操作不了解，专业技能达不到，不敢贸然操作，导致目前此项工作处于空白状态，使科技管理人员不能完全掌握网络信息系统的实际使用状况，帮助管理者发现潜在的风险，达到控制人为因素造成重要业务系统停顿的损失的目的。

三、对策建议

（一）强化工作人员的科技安全意识

强化科技安全意识就是要让工作人员认识到科技信息安全是信息正常而高效运转的基础，是保障央行信息安全重要前提，从而牢固树立信息安全第一的思想。管理层要利用多种途径对员工进行信息安全方面的教育，普及信息安全知识，同时确保防范手段和技术措施的先进性和主动性。

（二）提高职业道德水平

职业道德既体现在思想上对工作认真负责，又体现在技能水平上有充足的专业胜任能力。一方面要通过制定完备的安全管理政策、健全的安全文化建设等手段，达到有效降低人的安全风险；另一方面要引导员工端正职业态度，强化思想教育，定期组织员工进行思想交流，及时纠正员工在思想上的不良倾向。

（三）完善内部控制制度，降低操作风险

要降低操作风险，关键在于完善内控，包括对员工、业务流程等的管理措施。基层行要根据自身的实际情况，建立相应的操作风险管理机制，对潜在的风险进行有效的识别和评估，并采取有效的监控手段，从而发现并解决操作风险中存在的问题。

（四）强化监督管理

基层行科技部门人手少，兼岗多，自我监督力量和能力较弱，上级行加强监督检查显得尤为重要。在监管过程中要改变单一的“上查下”方式，结合检查发现的问题，有针对性地开展实地指导，做到既查问题又帮助改进工作，切实达到促进基层行落实制度、防范风险、改进工作的目的。

（五）开展专业维护技能培训，建立激励机制

以针对性和实用性为原则，对现有科技人员进行计算机网络设备、安全防护等方面的培训，提高其业务技能和水平。同时建立有效的科技工作激励约束机制，通过强化优胜劣汰的竞争氛围，提高员工的竞争意识，积极主动提高自己的职业能力，确保基层行科技工作有序开展。

[责任编辑 王玉妹]