胡滟
【摘要】本文以我省金融业信息安全管理为研究对象,运用经典管理模型,从管理制度、操作手段、协调组织三个维度梳理、归纳现行的各项金融业信息安全管理措施,通过从管理制度、管理意识、管理技术三大领域分析金融业信息安全管理难点,提出完善金融业信息安全管理工作的相关建议,以应对新形势下人民银行分支机构有效履行金融业信息安全管理工作职责的新要求。
【关键词】金融业 信息安全 管理模式
《国务院办公厅关于印发中国人民银行主要职责内设构和人员编制规定的通知》发出之后,国务院赋予了人民银行“组织制定金融业信息化发展规划,负责金融标准化组织管理协调工作,指导金融业信息安全工作”等职责。新“三定”赋予了人民银行指导和协调金融业信息安全管理职能,使得基层人民银行科技部门成为金融行业信息安全管理的实施者。为了应对新形势下人民银行分支机构有效履行金融业信息安全管理职责的新要求。
一、现行金融业信息安全管理模式探索
传统的经典管理模式是从特定的管理理念出发,在管理过程中固化下来的一套操作系统,简称为IOS模型,可以用公式表述为:管理模式=管理制度+操作方法+协调组织,可简单表述为:
MS=F(i)+F(o)+F(s)(IOS模型)
其中MS:Management System、I:Idea/Ideology、O:Operation/Organization、S:Stratagem/Strategy。
通过运用IOS管理模型,可以从管理制度、操作方法、协调组织三个维度梳理、归纳现行的云南省金融业信息安全管理措施。管理制度包括:基础安全规范、安全管理制度、安全技术规范;操作手段包括:报告机制、检查机制、评价机制、提示机制;协调组织包括:协调机制。
二、金融业信息安全管理工作中的难点及问题特征
(一)金融业信息安全管理工作中的难点
按照新“三定”的要求,在总行政策指引下,结合云南实际,紧紧围绕管理制度、管理意识、管理技术三大领域,梳理、分析金融业信息安全管理工作的难点。
1.管理难。一是法律规范缺乏。由于缺乏明晰的金融信息安全战略定位,金融信息管理处于分业监管的体系;缺乏系统的金融信息安全法律规范,金融信息安全管理主体的法律地位、管理职责等均不明确,导致各级管理部门开展工作时职能不明确、管理角度和尺度不一、法律依据不足,以及对外资金融机构和产品监管不力。二是规定制度缺位。一方面,面对复杂多变的金融科技形势和层出不穷的金融业信息安全管理新要求,新的规范和方案在出台前未能及时清理完善,加之制度调整本身就缺乏一定的前瞻性和系统性,导致缺位现象,或者前后不衔接,不能为分支机构开展金融业信息安全管理提供标准明确、操作可行的规定。另一方面,随着数据集中化的发展,信息安全管理需要及时调整,以适应数据集中化的发展趋势的需求,而现行的规定制度存在缺位情况,给信息安全管理带来一定困难。三是联动协调缺少。相关单位与金融业相互之间缺少有效的联动响应,应对来自国内外各种围绕信息网络空间的犯罪行为的应急和处置时,存在高难度和低效率的问题。
2.执行难。一是思想观念存在误区。重组织建设,轻责任落实;重业务风险,轻科技安全。二是发展预见性不足。由于对金融信息化发展规划理解不够透彻,对信息化长期发展预见性不足,导致安全防护在经历了几代技术后才真正得以控制。三是舆情工作有待加强。金融业信息安全工作还停留在全力进行事件处理的原有思路,对网络时候的信息传播速度和影响力估计不足,缺少预见、缺乏应对。
3.防范难。一是业务连续性能力需提高。灾备布局规划、灾备基础设施、应急组织协调、应急预案内容、实战应急演練等方面尚需完善;人员思想认识有待加强,存在对突发事件抱有侥幸心理,需进一步提高责任意识。二是自主可控程度不高。云南省金融机构大部分信息系统所用的软硬件为国外产品,大大降低了技术、产品和服务的自主可控度。三是外包风险管控不足。重要系统外包集中化存在安全隐患;中小金融机构过度依赖外包,信息化自主能力不足;缺乏对外包全程有效监督和约束。四是保障措施需健全。通过多项检查、测评显示,金融机构信息安全技术保障措施还存在脆弱性。
(二)金融业信息安全管理的问题特征
总体看来,金融机构重视信息安全工作,但大多停留在对“信息科技风险”的角度,从“操作风险”的角度看待信息安全,理性的按照风险管理理论选择风险分散、风险转移和风险补偿等策略。但是信息安全不能等同于信息科技风险,不能以量化的资金损失来看问题,而是要从国家安全、经济和社会稳定的目标出发,高度重视金融信息安全工作。
三、完善信息安全管理模式的相关建议
近几年来,云南省人民银行分支机构依据政策、结合实际,探索运用管理模式,实施、推进各项信息安全管理,“适应转型要求,促进转型发展”更好地履行央行职责,同时,金融信息化管理和协调职能作用的发挥促进人民银行各职能部门更好地发挥央行的社会作用。但是伴随着“数据集中、资源整合”进程,风险同时也高度聚集,容易引起区域性、系统性风险,从而威胁金融业信息安全。面对信息安全出现的新情况和新问题,人民银行总行、分支机构高度重视金融业信息安全保障工作,不断探索构建金融信息安全保障体系,建立相关标准规范,利用检查测评及技术研究,加强金融信息安全管理。
(一)加强金融业信息安全管理的建议
1.落实标准规范,夯实安全保障基础。一是加强标准规范建设和实施,促进提升风险管理能力。二是科学划分信息安全级别,确保重点工作得到重点关注。三是试建立云南省业务管理规范。
2.加强检查测评,督促落实安全保障要求。一是加强等级保护工作,提升金融业信息系统安全防护能力。二是积极开展信息安全事件处理。总结多年来处置各种信息安全事件的经验,抛弃简单的“出错出发”做法,明确信息安全事件的处置原则,从信息安全事件不可避免的角度,研究提高业务连续性的措施和手段。endprint
3.构建协同机制,形成信息安全综合防御体系。一是健全跨部门、跨省信息安全协调机制。“横向协调相关部门,纵向互动跨省,密切联系支撑单位”,成立建立金融业信息安全保障体系的坚强保证。二是建立信息共享机制。完善云南省金融业信息交互平台,建立信息交换中心,开展“政策宣传、形势分析,案例解读”等多种宣传和培训活动,提高省内的信息安全意识和技术防护水平。
4.尝试创新研究,提高技术风险控制水平。一是推动创新机制。二是开展技术研究。长期跟踪、研究技术发展趋势以及伴随产生的信息安全风险,提高技术风险控制水平。三是组织成立“专家咨询委员会”。充分发挥保障、管理、研究、教学和交流等方面的专家作用,更好地开展全省金融业信息安全的工作。
(二)完善金融业信息安全管理模式-IOSX
根据科技和金融深化结合后信息安全出现的新情况和新问题,在原有的信息安全管理模式下,完善信息安全管理内容,并增加一项场变创新X,以满足新形势下控制和减少信息风险等相关信息安全工作的要求。完善的金融业信息安全管理模型简称IOS模型,用公式表述为:管理模式=管理制度+操作手段+协调组织+创新,可简单表述为:
MS=F(i)+F(o)+F(s)+F(x)(IOSX模型)
其中MS:Management System、I:Idea/Ideology、O:Operation/Organization、S:Stratagem/Strategy、X:field-change。
IOSX管理管理模式,各自组成部分既有各自不同的内涵、不同的定位,又是紧密结合、不可分割的统一整体,能在实际操作中根据实际需要加以适当的调整和使用。
通过运用IOSX管理模型,从管理制度、操作方法、协调组织、场变创新四个维度整合完善云南省金融业信息安全管理措施。管理制度包括:基础安全规范、安全管理制度、安全技術规范,操作手段包括:报告机制、检查机制、评价机制、提示机制,协调组织包括:协调机制、信息共享机制,场变创新包括:推动创新机制、技术研究、专家咨询委员会。
在金融机构持续健康发展的浪潮中,人民银行总行、分支机构更加关注金融业信息安全管理,而信息安全管理的有效性又往往取决于顺势改变的管理模式,以此规范金融机构的行为,才能不断取得成就。IOSX信息安全管理模型正好顺应了金融业信息安全管理的发展趋势,它倡导以管理制度为龙头,以操作手段和组织协调为基础,划分全责,规范运作,进行全方位技术创新研究,实现金融机构快速稳健发展。
参考文献
[1]王永红.切实加强金融信息安全管理——提升金融信息安全保障水平[J].中国信息安全,2013(4).
[2]陈柳钦.构建金融信息安全保障体系的基本思路[J].价格与市场,2009(3).
[3]孙琴芳,许一帆.金融信息安全工作的探索实践和建议[J].实务,2011(11).
[4]赵忠鑫.基于安全基线的金融信息安全管理办法研究[J].软件,2013(6).endprint