LN银行信息安全管理研究

黄港++李艳杰++李楠

摘 要：本文基于国内外信息安全管理理论，结合LN银行信息安全管理工作现状，提出目前信息安全管理工作存在的突出问题，并对问题产生的原因加以分析。本文结合国内相关的信息安全管理标准和监管要求，对L N银行信息安全管理上的问题提出了防范对策和改进建议，构建一套适合自身管理需求的信息安全管理体系，力求使风险能够得到有效规避或缓释。

关键词：信息化 信息安全管理 安全保障

中图分类号：F06 文献标识码：A 文章编号：1674-098X（2017）08（c）-0153-02

LN银行为某省级农村合作金融机构，在持续不断提高信息科技投入的基础上，综合业务管理系统、信贷管理系统、OA系统、卡系统等应用系统陆续上线，中间业务功能日趋完善，其信息科技管理范围已涵盖主机、应用系统及数据库、网络、供配电、制度、培训、人员管理等多个方面，信息安全管理难度日益加大，不可控因素及潜在风险隐患日趋增多，亟待加强风险规避及防范能力。

1 LN银行信息安全管理主要问题

（1）银行信息安全岗位设置不完整，管理组织机构设置不完善。LN银行虽设立了专门的信息安全管理团队和岗位，但信息安全组织机构设置并不完善，信息安全岗位设置不完整，信息安全管理岗位没有设置专岗专人，管理部门存在人员缺位现象，造成执行管理和监督方面的匮乏，仅由相关系统运行人员代行信息安全管理职责，相关职责界限不清晰。业务应用系统各环节建设分工不明确，常出现需求质量不高、各业务子系统间衔接不畅、技术标准不一致以及系统上线运维压力大等情况。信息安全部门更多的是侧重生产事件的管理，并未对银行信息安全进行全面管理，影响了信息安全管理的实际效果。项目生命周期过程中缺乏有效的管理体系，最终致使信息安全管理工作很难有效开展。

（2）信息安全人员专业技能不足，信息安全管理人才相对匮乏。银行信息安全管理岗位较其他岗位而言，对人才的要求相对较高。信息安全管理人才不仅要对银行金融业务熟悉了解，还需具备一定的风险管理经验和信息安全技术能力。就目前来看，由于青年员工的数量较多，无相关工作经验，对信息安全专业知识的掌握还存在欠缺，信息安全技术人才的成长周期又比较长，导致既懂金融和管理又懂技术的人才相对匮乏。相关信息安全管理人员缺少CIA、CISA、CISSP等国内外认可的信息安全资质证书，信息安全管理工作的专业能力不够。同时，银行对科技型人才的配置也不够合理，具体表现为信息技术人员往往被分配在信息技术部口，在信息安全管理和风险管理岗位上分配的数量非常有限，这种状况也在一定程度上限制了其对于信息安全管理人才的培养。

（3）信息安全制度不完整。银行目前并没有对信息安全规划和计划相关工作流程进行明确的定义和规范，缺少诸如对于信息安全规划、规划执行、组织架构、预算管理等相关的信息安全管理制度和规范；从工作组织、原则、流程、要求四个角度去考量该份管理办法，其具体内容过于简单，无法落实对从项目可研、立项、实施监控、验收、评价等的控制要求，不能确保项目实施能够与计划保持一致和工作有序有效的进行。

（4）信息安全工作流程不清晰，未建立信息安全事件管理流程。银行目前项目管理流程非常简单，皆由项目负责人自行管理负责；银行目前服务请求和事件方面流程过于简单，目前银行未建立真正意义上的事件管理流程，事件的管控均由具体的项目管理者或者具体部门负责人负责管理，文档记录也不完整；没有清晰的事件处理流程，这使得银行相关部门无法及时对危机制定相应的恢复计划，降低了部门风险防范能力。

2 信息安全管理问题产生的原因

（1）相关管理岗位及职责长期未更新。职责及分工虽初步明确，但是各职能部门之间没有衔接，互不相关，若是不在职责范围内的或是在边界值的特殊工作事项，就会造成互相推诿、缺乏责任心，更没有从全局架构角度出发，牵头开展工作的岗位和人员。

（2）信息安全人员非专业出身且未经过专业培训。信息安全管理人员一部分为系统运维人员调动到安全管理岗从事信息安全管理工作，另一部分为应届毕业大学生，无相关专业经验。加上信息安全管理也是最近几年才提出的新兴概念，这也是造成信息安全管理岗位人员的专业技能不足的必然原因。

（3）信息安全制度建设照搬照抄。在制定本行信息安全相关规章制度时，并未从自身实际情况去考虑，造成管理制度不全，部分内容没有相应的管理规定去制约，制度的内容也无法落到实处，操作性不强。

（4）只注重工具的投入，而忽视管理的投入[1]。网络安全的投入不仅是安全产品和工具的投入，还应包括操作管理流程和应急处理机制等方面的投入。使用安全的产品和工具应该有相应的过程管理机制与之匹配。建立合理的流程管理机制需要投入，这些投入与安全体系的完整性有着紧密的联系。目前银行在信息安全建设这方面的投入还远远不够，整体的安全理念也仅限于技术层面。

3 LN银行信息安全管理问题主要防范对策

（1）规划银行信息安全管理岗位：设计信息安全管理组织架构原则，包括组织架构完整性，职责定位清晰性，价值发挥充分性和规划设计前瞻性等；设计信息安全管理组织模式，结合银行信息安全管理现状与未来科技发展战略目标，同时根据同业的经验，为更好的提升管理職能和提高管理效率，建议采用“三中心”的组织模式，即科技管理中心、开发测试中心和运维服务中心。

（2）充实信息安全管理专业技能及人才：制定员工培养规划，从思想上增强员工的信息安全意识，重视辖内员工的思想启蒙和思想教育，提高思想觉悟和认识，结合实际情况加强培训力度。建立相关员工职业发展管理体系，从“制定职业发展规定”、“实施职业发展跟踪”、“进行职业发展回顾”三个环节构成；按照银行实际工作量及实际需求，招聘信息安全管理人员，提升银行信息安全专业技能水平。

（3）增强安全制度的建设力度、建立起信息安全管理体系，将信息安全工作的策略以及总体的方针确定后，整理理出最终信息安全工作的范围、框架、目标与原则；建立网络、应用系统运维、日志管理、便携式计算机、应急管理、机房、操作系统、涉密安全、办公用机、移动存储介质、变更管理等的各项安全管理制度并制定出相应的审定、检查、审计和修订维护的安全制度，再设置专门的岗位与工作人员指定其负责；建立一套集操作规程、安全策略及管理制度一身的信息安全关系体系。

（4）完善信息安全管理流程：设计项目管理工作流程，主要包括信息科技项目建设管理流程、服务管理流程、综合管理流程三大类；明确信息安全事件管理权责，信息安全管理岗工作人员负责日常的信息安全事件识别和上报；建立事件级别重估制度，并保持信息安全事件升级通道畅通，以防安全事件因响应处理不力而升级扩大。

（5）进一步推动银行业信息化法规和规范化体系建设，建立健全相应的监管机制加强内部管理，可从两个方面着手：一方面加强宣传教育，提高技术人员的思想素质；另一方面完善内部管理，建立一套健全的内部安全管理规章制度，加强和完善银行内部约束机制，使系统管理、开发、测试和操作维护职责严格分离，规范程序的源代码和数据结构和交易接口。此外，生产环境上面的任何操作，包括查询、删除等操作，必须由上级授权，并详细记录，以备检查。

4 结语

论文通过对比其他银行的现状，通过与监管机构工作上的沟通中的了解，这些问题有现阶段银行领域普遍存在的共性问题，也涵盖银行自身的个性化问题。在这些问题的基础上，拟通过建立信息安全管理体系、规范现有信息安全管理工作流程的基础上，解决或化解现阶段所面临的各类信息安全管理工作中出现的问题，以提升信息安全管理水平，改善现有管理工作不完善的现状。本论文在结合实际问题进行分析、研究的基础上，提出加强LN银行信息安全的防范策略，为农村合作金融机构的信息安全管理提供参考，对同行业在实际管理工作中提供了一定的借鉴价值。

参考文献

[1] 郑智鹏.银行信息安全问题及建议[J].科技信息，2016（5）：51-53.

[2] 翟琳洁.中小银行信息安全管理问题与改进措施[J].知识经济，2014（1）：70.

[3] 王夷璇.互联网背景下X商业银行信息安全管理研究[D].华东师范大学，2016：25-52.endprint