中小银行信息安全管理.doc

关于中小银行信息安全管理问题的探讨【 摘 要 】 目前，我国银行业关于信息系统的建立工作在不断地推进，可是在这个过程中存在一些问题，那就是滞后性，这是很多中小银行都存在的问题，很多关于信息系统方面的风险越来越多，而且不断明显，对信息的安全与可靠造成了一定的威胁。基于此，本文主要对中小银行信息安全管理问题进行了探讨。【 关键词 】 中小银行；信息安全；管理问题【 abstract 】 at present, chinas banking on the establishment of information system work in unceasingly promoted, but in the process has some problems, and that is lagging, this is a lot of small and medium-sized banks are existing problems, a lot about information system in risk is more and more, and constantly obvious, on the safety and reliable information caused a threat. based on this, this paper mainly for small and medium-sized banks information security management problem was discussed.【 keywords 】 small and medium-sized banks; information security; management problems0 引言中小银行在新时代的发展速度非常的快，已经突破了地域的限制，出现了异地之间在业务方面的联系，这使中小银行更具有了活力，可是同时也带来了一定的风险。目前，中小银行与一些规模很大的商业银行之间还存在着很大的差距，主要体现在缺乏对信息风险的有效抵御，对信息风险的处理不足等，这些风险给地区金融体系的稳健带来了很大的不利影响，所以，很多中小银行当前的关键工作就是强化对信息风险的抵御能力。1 信息安全隐患的具体体现1.1 信息安全管理内容的不完整很多的中小银行由于实力还不是很强，利用信息技术的时间滞后且不全面，缺乏完善的信息安全体系以及有力的信息安全管理手段，缺乏对风险的分析以及相关的预防措施，职员信息安全理念的缺失，和国际对信息安全的要求，具体措施以及计划等不管是在内容上还是在质量上都有很大的区别，安全措施的制定不完整，特别是业务的持续管理等水平还很低，且没有引起足够的关注。1.2 外包管理的力度不够，存在的安全风险不易预防首先，中小银行对科技的支持力度不够，先进技术缺乏，缺乏软件开发人员以及有关的组织机构。很多中小银行在技术的利用方面都是和相关的软件开发公司进行协作来获得所需的信息技术，把一些关键的业务系统以及防火墙等方面的工作都交给专业的公司。以信息安全的立场为出发点，把这些软件的开发工作交由相关的公司负责，会使很多的重要信息例如源代码以及有关的配置等技术不受自己掌握，另外，专业的软硬件公司的工作人员一般都不固定，要是商业银行对这些公司的跟进不到位并缺乏有力的制约的话，会给外包系统带来非常不利的影响，给系统的运作到来很大的安全隐患，阻碍系统的有效运作。其次，要是购买别的公司的软件技术的话，由于都是密封的装置，没有源代码的帮助，因此不利于商业银行在管理方面自主性的发挥，无法实施一定的调整以及优化以更好的满足自身的实际，对一些不足等不能及时发现和处理，对系统的维护缺乏主动性。最后，针对外包的一些规定以及制约的不完整性，主要表现在对有关的目标没有进行清晰的规定，对项目缺乏严格的审核，导致一切使用外包的现象的出现，以及对外包的管理没有做到具体问题具体分析。1.3 要积极进行运作监督体系以及预警监测系统的建立与完善一些中小银行缺乏全面的包括硬件设备以及业务体系的信息化的预警监测系统，缺乏对机房以及主机等设施的自动化跟踪监督，而主要依靠的是人的力量，对风险监督的信息化和安全性不够，还缺乏及时的监测，此外，中小银行还要高度关注对信息风险的预防以及相关的预警报告体制的建设和改进，以便于出现风险时，能够做到信息的畅通，有利于有关的人员采取措施进行及时的处理，使风险的处理措施能够尽量科学合理。2 信息安全管理的关键内容2.1 采取信息安全的分层保护信息安全分层保护始终维护的是国家和人民的利益以及社会的稳定，它的制定是以信息风险对国家和人民的利益，社会的稳定以及一些团体的利益带来不利影响的程度为依据的。要想保障中小银行的有效运作，那么一定要确保银行业务系统的安全性，因为业务系统的安全可靠是其他所有业务有效运作的前提，业务系统的可靠性还涉及到用户的实际利益以及社会的安定。可以把银行的业务进行层次的划分，其主要的划分标准是业务系统的重要性，该工作要有所侧重，制定一个清晰的目标，这对于中小银行的有效运作非常重要。所以，中小银行要把信息分层保护的有关工作分给相关的人员和组织负责，强化相关的保护管理体制以及技术要求，制定应急方案，此外，还应该进行信息安全知识的宣传。2.2 进行信息安全风险的分析与评价信息安全管理的一个关键内容是针对风险进行的分析与评价，该项工作不仅是是信息安全管理的基础，而且信息分层保护也是以其为根据的。以风险的分析以及管理规定为依据，可以对用户重视的关键资产，比如软硬件、代码以及设施等进行分层，对由人的因素以及自然的因素引发的风险发生的几率以及后果实施评估，对硬件设施、计算机网络以及运作手段等内容的薄弱程度实施评估，来鉴别用户重视的关键资产的安全等级，在此基础上采取专门的预防措施以及改进办法，实现对风险的有效预防。信息风险评价主要包括自评价以及检测评价两种，而自评价占据主导地位，要是中小银行不能自己实施的话，可以借助第三方组织的力量来实施。2.3 建立信息安全管理系统及其完善信息安全管理最终要依靠信息安全管理系统的建立来保障实施，该系统的建立过程也是对信息安全管理进行规范的过程。该系统是机构在一定的领域内进行的关于保障信息安全的措施的制定以及目标的明确，和实现既定的目标所依靠的手段的集合，需要商业银行清晰信息安全系统的范围以及有关的措施和计划，确定具体工作的内容，清晰资产的范围、以风险的评价为前提，明确控制的目标以及措施，以文件的方式展示文档，并根据实际的需要进行改进。中小银行可以和相关的咨询企业建立协作关系，在信息安全专业人员的建议下，进行符合自身具体实际的信息安全管理系统的构建。3 对信息安全管理体制的建设力度要强化3.1 要强化安全制度的建设清晰安全管理的整体政策以及措施，制定安全管理的整体目标、范围等；进行计算机网路以及专用软件的建立，以及日志和一些硬件设施等涉及安全的所有体制的建立，此外，还要建立相应的检测以及审核体制，改进有关的体制，并把这些工作交给专门的组织和人员来实施；进行管理人员以及执行人员在工作中应该遵守的有关标准的制定；建立一个包括安全措施以及管理体制和操作标准在内的完整有效的信息安全管理系统。3.2 强化组织机构的建设，以保障职能发挥的及时有效中小银行科学的进行人员的分配，清晰高层、中层以及低层的在信息安全方面的职能，实现一个纵向的信息安全管理系统的建立。要积极培养自己的科技人才，在资金方面给予大力的支持，重视科技人才的引进，培养科技人才自行研发的能力、以及对关键的业务系统的保养等方面的能力，围绕信息安全管理进行鼓励以及奖励与惩罚制度的制定，实现高水平，具有较强的凝聚力的信息安全管理人员队伍的建立，为公司在运营过程中有效的预防与处理风险提供人员支持。3.3 完善风险评价体制使其不断优化，强化信息安全分层保护力度中小银行需要建立全面完整的风险管理架构，其有负责人员要掌握目前的风险管理架构，工作人员要熟悉应有关的体制和操作标准；要是可能的话还要对服务以及文档和人员等价值进行科学的预计；确定数据的安全层次，并在固定的时间实施评价；对一些自然灾害例如地震以及气候等灾害的大概发生时间进行研究。此外，还要预防一些人为的因素比例黑客以及其他的攻击行为等并在此基础上进行损失的预计；对系统的薄弱程度实施评估；确定不同的风险的发生几率以及确定风险的大小，在此基础上制定具有针对性的预防措施。中小银行要积极借鉴风险评价的结果，确保信息安全分层保护切实可行，完善相关的体制，满足技术要求，对安全状况要经常性的检查，完善信息风险的分层响应以及有关的解决方案，强化用户的信息安全理念。3.4 完善安全措施，明确安全保护的目的要建立系统评估的安全措施、系统研究的安全措施、系统检测的安全措施、系统保养以及应急的安全措施；清晰每个时期安全保护的目的，建立有关产品的安全措施，例如防火墙、ids以及路由器等产品的具体使用方式。3.5 确保业务的持续性，完善灾备系统中小银行要进行有关的备份等安全管理体制的建立，对备份的形式以及频度和存储时期等内容要清晰地说明；对重要的交易数据一定要确保双份备份，此外，还要积极推进其他地区关于灾难备份机构的建立，坚持一切从实际出发，可以联合多家企业共同建立，也可以是两家，或者是把该工作交给有关的公司负责；为了减少网路故障带来的损害，可以与很多的网络供应商建立合作关系，也可以采取主网备网共用的措施。3.6 强化外包管理力度中小银行的很多业务需要借助外包的力量开完成，因此要规定外包的领域，与第三方组织订立保密合同，规定双方的义务；要对外包项目的一些风险非常熟悉，并要制定行之有效的风险应对措施；要清晰地规定外包商的责任和权利；要建立外包服务突发事件的处理体制，以降低损失。3.7 提高突发事件的处理能力中小银行要在突发事件预案的体制下建立各种风险的解决方案，具体有突发事件预案的实施条件、响应规划、解决步骤、系统恢复正常工作的步骤、事后安全知识的宣传等；要为突发事件预案的贯彻实施提供人员、技术以及资金方面的支持；要经常性的开展突发事件预案的教育，进行演练，要不断地对预案实施再次审查与评价，对不足之处要及时的改进。4 总结简而言之，中小银行要积极参考国内外一些大规模商业银行的有关经验，改进并且不断完善信息安全管理体制，最大程度地规避风险，在风险发生后也能采取有效的解决方案，尽力使经济损失降到最小，积极推进信息安全管理体系的建立。参考文献1 边凯.厦门商行:通过信息系统升级提高网络运营j.金卡工程， 2005,(07).2 李兴明,何宏,王成友.对我国信息安全的几点思考j.重庆工业高等专科学校学报，2004,(05).3 刘春宇.关注中小银行it容灾系统建设j.金融电子化, 2009,(03).4 彭勇.得标准者得“天下”j.中国计算机用户,2005,(35).5 查纯,杨策平.金融信息安全模型分析j.湖北工业大学学报, 2008,(06).