李艳
随着信息化在银行业业务系统中的深入应用,银行业金融电子化进程进一步加快步伐,信息化程度越来越高。网上银行、手机银行、电话银行、POS/ATM终端服务在给广大人民群众带来支付便利的同时,也给金融机构信息安全管理提出了更高的要求。随着人民银行信息安全职能的进一步调整,指导、协调金融业信息安全工作成为央行科技工作职能的重要组成部分,在履行金融业信息安全属地协调管理职责的过程中,发现商业银行市县部分机构存在信息安全管理重视程度不够、制度建设缺位、硬件设备运行环境不达标、科技力量薄弱等方面的问题,对商业银行的业务发展埋下信息安全隐患。本文探讨基层商业银行在信息安全管理问题上存在的一些隐患和应对的方法。
一、基层商业银行存在的信息安全问题
本文所指基层商业银行是指在三四线城市及其县支行地域存在的商业银行分支機构或规模较小的地方法人商业银行。随着对商业银行的安全检查和业务往来的了解,我们发现了一些普遍存在的信息安全管理问题:
(一)重视程度不够
有话说,“谁掌握领了信息,控制了网络,谁将拥有整个世界。”这句话不完全对,不过可见信息安全是何等的重要。尤其金融行业是国家经济发展的大动脉,肩负着重要的社会责任,是信息安全防范的重中之重。商业银行对信息安全管理的重要性认识不足,没有把信息安全管理工作作为日常工作的重点,安全意识与信息化发展的要求有相当大的差距,特别是一些人员不能正确认识信息安全的重要性与紧迫性,严重制约了工作的有效开展;信息安全管理体制还需要进一步完善,组织机构不健全,监督管理不到位,规章制度不完善,应急体系不完整,人员配备紧缺等突出问题需要得到根本解决;信息安全基础设施投入不足,资金投入、建设力度与日常运维跟不上发展的需要。这些问题给信息安全管理工作带来了前所未有的威胁和挑战。
(二)制度建设缺位
制度建设对商业银行的改革、管理和发展起到了巨大的推动作用,但是,制度建设仍然存在一些问题,制度建设须要进一步深化。虽然各商业银行也制定了信息安全管理制度,但基本上都是套用上级行各类制度,甚至将上级行的制度不做任何修改直接照搬,真正结合本单位、本部门、制定细责的很少,与工作实际脱节,执行起来可行性不高。制度建设形同虚设,摆“花架子”应付检查机构的检查,或者制度体系建设不完整,责任落实不到位,信息安全工作开展缺乏有力的依据和规范。
(三)硬件设备运行环境不达标
近年来,商业银行扩疆辟土,新的网点不断涌现。但是对营业场所信息安全设备的投入相对于他们的规模和利润水平是巨大的,在看不到眼前效益的情况下,势必对投入有所保留。设备更新速度较慢,运行环境不达标。虽然商业银行的网点都有独立的机房,但无论机房选址、装修配置、出入登记都存在问题。有得机房距离卫生间仅仅不到五米,切没有做防水处理;机房内没有安装空调,设备温度较高;机房内线缆凌乱,业务网络和互联网络设备随意放置在一起;甚至将机房作为杂物间使用,出入机房没有严格例行登记。这些问题的存在,都给业务运行带来很大的安全隐患。
(四)科技力量薄弱
近年来由于商业银行业务处理数据大集中的发展模式,在地市级及以下县级配备科技人员数量较少,有的行或者不配备专业的科技人员,科技人才匮乏且均为兼职。随着各项业务系统上线数量的增多,科技任务越来越重,及时基层机构只设客户端,但一名兼职的科技人员面对如此多的客户端和网点,也只能充当“救火队员”的角色,运维保障质量将大打折扣。以某县域辖区为例:没有一家商业银行的科技人员为计算机专业毕业,另外,科技人员年龄普遍偏大,平均年龄为40.1岁,且知识结构单一,新知识、新技术掌握不多,很难适应当前飞速发展的信息安全工作需要。日常疲于应付各项业务工作,根本无暇顾及较深层次的应用学习,除了某村镇银行每月会通过网络对科技人员进行培训外,其他金融机构的科技人员只是在新系统上线的时候才会进行相应的培训,因此只能简单的对系统进行操做和维护,业务素质跟不上金融电子化的发展。各商业银行缺乏有关信息安全管理教育培训的环境和氛围,每年对员工进行计算机知识方面的培训平均不到一次,而且质量很难得到保证,科技人员如果不在,一旦计算机出现问题,业务很可能停滞。
(五)信息安全管理缺乏有力监督
央行近几年明确了金融业信息安全属地化管理职责,也对商业发布了一系列的信息安全工作规范,但对商业银行信息安全的监督管理与指导却没有明确的标准,使得央行基层行在实际管理工作中缺乏依据和标杆,从而加大了管理难度。科技部门对外工作往往面临没有管理、检查依据的尴尬状况。但对金融机构来说,这些制度规定并没有一定的针对性和强制性,工作开展难度较大,成效并不明显。
二、解决基层商业银行信息安全问题的思路
(一)充分发挥协调联席会议的职能作用
建立信息安全管理工作联席会议制度,有利于提高各成员单位处置突发事件的能力,巩固辖区信息安全壁垒。有利于发挥资源配置优势和信息共享,及时获取、预警重要信息安全情况,控制安全风险,处置突发事件。有利于促进辖区转变信息安全管理模式,实现从点到线,从任务式到机制化的转变。有利于促进成员单位提高信息安全管理意识,调整自身的信息安全管理方式。
(二)实行“责任追究制”,健全制度推进执行
基层商业银行要建立信息安全领导小组,落实工作具体负责人,实行“责任追究制”。本着“谁主管谁负责,谁运营谁负责,谁使用谁负责”的方针,把安全工作责任落到实处。要制定切合本单位信息安全工作的规划、制度和措施,进一步明确科技人员和业务人员的义务和责任,细化各项实施细则,建立完善各种登记制度,使得各项制度真正具有科学性、针对性和可操作性,为信息安全管理工作真正落到实处提供强有力的依据和保障。
(三)加强信息化人才队伍建设
基层商业银行应要引进足够数量的能力强的技术人员,通过组织培训、督促自学、相互交流等多种形式加大对科技人员及员工的培训力度,普及新的实用信息化应用和安全技术应用知识,进一步提高科技人员和员工解决实际信息化应用和安全管理问题的能力,最大程度从人的层面上消除信息安全管理工作隐患。
(四)加强基础设施投入,优化运维环境
基层商业银行应加快基础设施更新改造步伐,舍得投入,舍得运维,加强电子设备及运行环境检查力度,对重要设备做好保养工作,对没有相应防护措施的要坚决进行完善,让硬件设施和设备运行环境跟上信息化发展的步伐。
(五)完善监督管理措施,加强服务引导职能
央行应尽快建立金融业信息安全管理各项实施细则,明确基层央行对各家金融机构信息安全管理的目标责任、管理任务及指导规范,以便基层行能够有效地对金融机构的信息安全管理工作进行监督和协调指导,确保管理指导工作的执行力和执行效果,切实提高辖区各家金融机构的信息安全保障能力,共同维护一方金融稳定。