杨颖卓
(福建漳州农村商业银行股份有限公司,福建 漳州 363000)
信息安全审计可以使以商业银行为代表的金融行业持续稳定发展,也对其日常运营有积极的影响,相关从业人员需要积极规划三维立体工作框架,规范先进技术的使用方法,构建良好的工作平台,通盘筹划机制建设,有效改善金融维度有待整合、技术方法存在滞后、审计过程存在漏洞、缺乏具体约束机制的现状。
信息安全审计是一种揭示各类风险的绝佳手段和有力武器,能够在符合规定的基础上,着实改进信息安全现状。根据预先确定的审计依据并在一定的范围内,对文件、记录、技术、访谈等活动进行查访,给出客观的评价,真实体现被审对象满足依据的程度,在探查合规性要求的同时,主要从组织机构、需求管理、制度建设、风险管理、教育培训、事件管理、业务连续性、IT外包、存储介质、数据库、源代码、网络系统等方面入手,帮助组织全面掌控相关工作的有效性、适宜性。该种审计方法适用性较强,在以商业银行为代表的金融行业中,获得了广泛的应用,金融行业凭借对IT的高度依赖,将单独的信息安全审计与相关工作融合,发挥工作联动的优势来加大对数据的保护力度,有效推进等级保护建设和管理体系的完善[1]。
近年商业银行的信息化脚步逐渐加快,有力促进了相关业务水平的提升,建立起一套运作流畅、适用性强的业务系统,实现前后台分离,为资金清算、风险管理、稽核等工作提供了强有力的技术支撑。在其高度发展的过程中,一系列风险接踵而至,不仅在一定程度上造成了消极的影响,而且会大幅降低工作效率和经济效益。由此可见,固有风险加大、软硬件脆弱性提高、人为失误、账务与机构糅杂、过于强调产品、服务不到位等问题,对商业银行的信息安全发起了不同的挑战。为保证商业银行的基础业务运营,保障行业健康的发展,当务之急是引入信息安全审计,利用独立的系统来检查、控制各类风险,集中处理各种数据,保证前后账务连续性的同时,将前后业务的规划发展相衔接,为后续的推广、整合等工作做好准备,实现良好的风险管控,出具真实的报告,为管理决策提供科学的参照。
以商业银行为代表的金融行业发展过程中,会受到不同的风险影响,而适时开展相应的审计工作,可以有效排查各类经营风险,为后续的发展提供改进建议。但在实际中,部分管理人员没有较强的规划意识,未能根据实际业务量和经营水平来实施内审,导致场景、技术、账户、价值链等金融维度的整合出现不同程度的“缩水”。这在一定程度上会使其自身的业务能力水平下降,进而导致全价值链能力的提升速度放缓,无法凭借既有的金融维度来思考未来的规划,不利于可持续发展和经济效益的提高[2]。
金融行业在信息安全审计实践中会将主要精力放在数据甄别上,这在一定程度上会造成对人为失误的审查忽视,容易导致人为风险的扩大,而这也成了商业银行发展中的真实缩影。部分银行的工作技术方法存在滞后性,无法有效甄别财务、管理等信息的真实性,也不能准确界定具体操作的合规性,致使信息安全审计沦为了“形式主义”,容易使潜在的风险扩大。
在信息安全审计的过程中,部分人员会选择应用先进技术来进行辅助,保证出具的报告具有科学性,但却忽视了系统的日常维护和平台的定期调试,导致漏洞出现,使出具的报告内容失真。还有一些工作人员的传统思想根深蒂固,未能革新工作理念,仍沿用具有一定滞后性的技术来开展工作,没有注重网络平台的建设和使用,导致工作效率得不到提升,无法为管理者提供真实可靠的决策依据,影响下一步的工作的开展[3]。
面对互联网科技发展和社会的进步,商业银行的审计部门未能积极的完善相应机制,不能应对互联网金融领域的各项挑战,也会在一定程度上限制部门的整体能力提升。缺乏机制的约束,会导致实际行为失去主观控制和客观约束,不利于统计监测和风险的预警,也会使预审机制与其他机制的联合受到影响,长此以往,不利于金融行业的发展和市场经济的稳定。
金融行业的发展中,普遍存在各种信息安全风险,而顺应经济发展潮流,借用先进的技术来规划信息安全审计的三维立体框架,可以进一步消除发展的内在、外在威胁和各类风险。商业银行要对自身存在的各类固有风险进行明确,从而合理的规划三维立体框架,对金融IT战略规划、分析、细节设计进行自审,将互联网操作系统或平台安全性进行缜密分析,严格审核开发商的相关资质,也要对互联网金融管理方面的工作进行梳理,对不同形式的经济业务进行风险排查,从而得出操作领域和技术领域中存在的缺陷,为自审提供良好的依据。三维立体框架的规划要基于以上风险,并从管理、技术、策略三角度入手研究,重视科学布局,提出具有前瞻性的审查工作理念,对被审目标等因素做全局性的考量,同时加强对人员、制度的管理,充分整合人力资源,加强技术培训力度,完善各岗位的责任制度,不断充实相对匮乏的现有制度体系。注重工作质量提升,借鉴国内外知名商业银行的先进理念,高质量策划和协调活动,消除质量与运营之间的标准差异,利用三维立体框架,扎实推进信息安全审计工作效能提升[4]。
技术规范乃是信息安全审计主体采取的手段、规则,主要体现于技术方面的应用、监管、算法、控制等内容,通过前期的预处理和采集,为后续的评估、发现、挖掘提供良好的支持。以商业银行为代表的金融行业,需要不断规范技术的使用方法,从具体的工作中来进行数据测试、联审、日志跟踪、平行模拟、抽点转存等,出具书面报告时,要利用控制矩阵模型、确定性模型等技术,综合考虑相关因素,明确金融行业对于技术使用的监管要求,避免触及法律底线,为管理者出具真实的报告。加强专业化模型的研究力度,在网络检测、统计分析、征信监管等方面细化检测、管理手段,以提高行业的自律性。合理运用算法来提高金融行业的信息安全审计的针对性,大力推进技术使用的规范,参照国外的BSS7799标准、ITIL标准等,结合国内出台的各类条例和办法,在实际工作中探索良好的技术使用规范。根据被审对象特点,针对性的采取方法,适当将技术进行融合,在主体的评价和控制的互联等方面提供良好的保障,致力于相关的规范建设,以获得丰硕的成果。
信息安全审计在金融行业的实践,离不开平台的保障,因此,商业银行需要构建挖掘审计平台,积极挖掘平台的设计与运营方法。基于互联网金融来设计符合商业银行发展的平台,利用网络资源的琐碎特点,采取抽样调查的方法来深挖具有特征的数据,来对总体的数据进行特征估计,为信息安全审计做好准备。合理参照Staffware、MQ Series系统的设计理念,发挥金融数据的异构优势,采集构建挖掘审计平台所需的内容,结合Vectus等实际的案例处理系统来丰富平台功能。审计主体需要基于不同的先进网络系统来建立日志数据库,运用转换工具实现数据到特定语言的转化,为资源管理等工作提供良好的平台。在预处理方面,要利用大数据技术来将平台内融入数据生成功能,提高平台的兼容性与功能性,保持审计信息的一致性和共享性。在平台投用阶段,要定期进行调试和维护,利用模型测试法来对平台中的算法、功能、安全等进行测试,结合金融事件监测需求选择科学的建模方法,完成好平台调试和维护,确保相关的审计工作能够有序开展[5]。
无线支付、虚拟货币、网络理财产品的出现,在一定程度上影响了人们的日常生活,也为不同的人群带来了生活便利。但对于商业银行为代表的金融行业来说,则需要面对更多的考验和挑战,所以,应该立足创新,依托内部环境来提高自身的信息安全性,力争建立常态化安全防范机制。要基于信息安全审计,通盘筹划机制的建设,从理念上树立安全意识和防范思想,加强对相关工作的重视程度,深入认识机制建设的重要性,组建相应的内审工作小组,做好自身信息安全的预审,为通盘筹划提供真实的依据和数据。积极构思宏观层面的机制,将各类先进技术从不同维度进行协调,提高工作质量,进而促进机制体系形成;大力从微观层面促进内在工作层级的整合,站在战略高度审视统筹内审的相关工作内容,为取证、评价等工作提供制度保障。积极明确相关部门的职责和权力,按照具体的工作流程来筹划机制建设,确保在信息安全审计的过程中,相关人员的行为能够被有效监督,进而更好地履职,切实解决工作中的难题,使商业银行能够掌握信息安全保障成效的同时,根据实际需要来构建适合自身发展的机制,进而推动行业进步。
总而言之,信息安全审计在金融行业的实践,不能脱离实际而空谈战略,需要脚踏实地,结合行业发展趋势来探索实践方法。熟悉国内外有关技术标准的规范,准确研判金融行业发展趋势,拓展新思路、树立新理念,积极营造安全和谐的行业发展环境,保障金融领域的生态健康,切实推进商业银行自身的健康发展。