美章网 资料文库 银行业信息安全工作的建议范文

银行业信息安全工作的建议范文

本站小编为你精心准备了银行业信息安全工作的建议参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

银行业信息安全工作的建议

《金融科技时代杂志》2014年第十期

一、信息安全监管中存在的问题

(一)行业法规标准模糊,操作难度大美国、日本和印度早在1995年就出台国家信息安全法,通过出台基本法对计算机的硬件与软件、网上信息、用户数据进行保护、对利用网络传播有害信息的处罚作出相应规定,规范人们的网络行为,保证信息网络的安全运行和网络信息的合理利用。目前,银行业信息安全管理法规主要有国务院《国家信息化领导小组关于加强信息安全保障工作的意见》、中国人民银行和中国银监会下发的《关于进一步加强银行业金融机构信息安全保障工作的指导意见》和《银行业金融机构信息系统风险管理指引》,但这些法规制度中对信息安全的边界界定不明确,行业标准不清晰,不具有实际的可操作性,给银行信息安全管理带来一定的风险隐患。

(二)管理者更注重信息系统建设维护,轻视信息安全管理一是对信息安全重视程度不够,部分银行业机构仅忙于系统建设与日常维护,对信息安全管理无暇顾及。二是管理制度落实不到位,难以对计算机安全的实施进行全面管理。部分机构信息安全部门对信息安全制度落实不到位,只有在遇到总行的信息安全检查时,才会对网络冗余线的有效性进行检验,对交换机、路由器中的ACL策略进行完善,对信息系统中的审计日志进行检查,并没有形成信息安全管理长效机制。业务部门在信息安全方面有章不循,造成计算机的漏洞事件发生。据统计,大约63.1%安全事件是源于没有严格执行规章制度,规章制度不落实、检查监督不严格造成的系统漏洞。三是信息管理疏忽,从已发生的计算机违规事例来看,主要问题是疏于检查、放松管理。具体表现在,有不少人员在未经系统管理员许可情况下擅自使用盗版软件,导致计算机感染病毒,重要数据丢失,严重者造成业务系统瘫痪,影响日常工作的顺利进行。计算机操作口令、密钥、机密数据资料没有按保密规定存放,大量的违章操作、越权滥用没有进行严格处罚,计算机设备的保管使用无专人负责,应用系统的操作未有交接的系统日志,系统的维护不能详实的记录。虽然有制度明确规定操作规程,但执行不严格使本来可以避免的问题频频发生。

(三)管理手段落后,影响管理效能银行业的各项业务与系统管理越来越依赖网络和计算机应用软件,因此对网络安全、系统安全和数据安全监管至关重要。目前,管理单位仍然通过现场检查、听取汇报、材料上报等方式来获取银行的相关情况,缺乏直接、有效的管理手段,管理方式效率低,无法快速、真实反应银行业的信息安全状况,导致银行业务自身存在的信息安全问题不能被及时发现,易造成银行业信息安全事件的发生。

二、问题解决的建议

(一)完善制度标准,做到有法可依规范信息安全管理,首先要完善信息安全的制度建设。一是加快行业信息安全标准统一的进程。管理部门应制定符合当地信息安全标准,组织建立银行业信息技术发展规划,保证银行业信息安全工作的健康发展。部分地区便曾出台信息安全法规,例如《北京市信息化促进条例》、《辽宁省计算机信息系统安全管理条例》、《北京市公共服务网络与信息系统安全管理规定》、《上海市公共信息系统安全测评管理办法》,这种做法值得借鉴。二是设立硬件设备的准入标准。将银行业信息安全问题作为新硬件产品销售及市场准入的重要参考,对进入银行的PC台式机、网络设备、系统服务器都必须经过国家保密部门的安全检查,只有经过筛选的特定型号的引硬件设备才能进入银行系统和网络,从根源上杜绝信息安全漏洞设备的进入。

(二)明确责任制,加大信息安全管理力度一是健全信息安全检查机制。定期对银行业开展信息安全检查工作,对基本的安全设备的防护形成统一模板下发给银行,例如关闭不必要的服务端口号、核心服务器建立堡垒主机、核心网络地址必须配置一对一的双向映射等。二是依据现有法规、技术标准,开展信息安全检查,确保安全检查深度与广度。在开展检查的同时,可让有资质的第三方安全评测公司,对整体信息系统进行全面的攻防测试,对测试结果出具权威的报告,明确安全问题,针对性地进行弱点的加强,保证信息安全工作的实用性和可靠性。三是建立责任通报制度。对检查中发现的违规事件,按规定处罚相关责任人,对检查中发现的安全问题和风险隐患,明确责任部门和责任人并限期纠改,对检查中发现的问题可进行问题归纳梳理汇编成册,下发给银行提供参考。

(三)建立全方位监管手段,防范安全隐患在信息安全中,系统安全风险评估、等级保护、应急管理、数据灾备都有着重要的地位。一是加强风险评估、等级保护和应急管理的建设。通过丰富管理手段,保证信息系统、基础网络和数据系统的高效、稳定运行,有效防范、控制和化解信息技术风险,增强信息系统安全预警、应急处置能力。二是制定应急预案,定期开展演练。通过模拟安全事故应急处理,提升银行业信息安全的系统预警、应急处置和灾后恢复的能力,保障银行业系统的稳定运行。三是完善银行业灾备中心建设。实现关键业务系统的应用灾难恢复能力,完善银行业信息安全应急恢复体系,保证信息系统的可靠运行。

作者:陈雯单位:中国人民银行兰州中心支行