黃港++李艷杰++李楠

摘 要：本文基于國內(nèi)外信息安全管理理論，結(jié)合LN銀行信息安全管理工作現(xiàn)狀，提出目前信息安全管理工作存在的突出問題，并對(duì)問題產(chǎn)生的原因加以分析。本文結(jié)合國內(nèi)相關(guān)的信息安全管理標(biāo)準(zhǔn)和監(jiān)管要求，對(duì)L N銀行信息安全管理上的問題提出了防范對(duì)策和改進(jìn)建議，構(gòu)建一套適合自身管理需求的信息安全管理體系，力求使風(fēng)險(xiǎn)能夠得到有效規(guī)避或緩釋。

關(guān)鍵詞：信息化 信息安全管理 安全保障

中圖分類號(hào)：F06 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2017）08（c）-0153-02

LN銀行為某省級(jí)農(nóng)村合作金融機(jī)構(gòu)，在持續(xù)不斷提高信息科技投入的基礎(chǔ)上，綜合業(yè)務(wù)管理系統(tǒng)、信貸管理系統(tǒng)、OA系統(tǒng)、卡系統(tǒng)等應(yīng)用系統(tǒng)陸續(xù)上線，中間業(yè)務(wù)功能日趨完善，其信息科技管理范圍已涵蓋主機(jī)、應(yīng)用系統(tǒng)及數(shù)據(jù)庫、網(wǎng)絡(luò)、供配電、制度、培訓(xùn)、人員管理等多個(gè)方面，信息安全管理難度日益加大，不可控因素及潛在風(fēng)險(xiǎn)隱患日趨增多，亟待加強(qiáng)風(fēng)險(xiǎn)規(guī)避及防范能力。

1 LN銀行信息安全管理主要問題

（1）銀行信息安全崗位設(shè)置不完整，管理組織機(jī)構(gòu)設(shè)置不完善。LN銀行雖設(shè)立了專門的信息安全管理團(tuán)隊(duì)和崗位，但信息安全組織機(jī)構(gòu)設(shè)置并不完善，信息安全崗位設(shè)置不完整，信息安全管理崗位沒有設(shè)置專崗專人，管理部門存在人員缺位現(xiàn)象，造成執(zhí)行管理和監(jiān)督方面的匱乏，僅由相關(guān)系統(tǒng)運(yùn)行人員代行信息安全管理職責(zé)，相關(guān)職責(zé)界限不清晰。業(yè)務(wù)應(yīng)用系統(tǒng)各環(huán)節(jié)建設(shè)分工不明確，常出現(xiàn)需求質(zhì)量不高、各業(yè)務(wù)子系統(tǒng)間銜接不暢、技術(shù)標(biāo)準(zhǔn)不一致以及系統(tǒng)上線運(yùn)維壓力大等情況。信息安全部門更多的是側(cè)重生產(chǎn)事件的管理，并未對(duì)銀行信息安全進(jìn)行全面管理，影響了信息安全管理的實(shí)際效果。項(xiàng)目生命周期過程中缺乏有效的管理體系，最終致使信息安全管理工作很難有效開展。

（2）信息安全人員專業(yè)技能不足，信息安全管理人才相對(duì)匱乏。銀行信息安全管理崗位較其他崗位而言，對(duì)人才的要求相對(duì)較高。信息安全管理人才不僅要對(duì)銀行金融業(yè)務(wù)熟悉了解，還需具備一定的風(fēng)險(xiǎn)管理經(jīng)驗(yàn)和信息安全技術(shù)能力。就目前來看，由于青年員工的數(shù)量較多，無相關(guān)工作經(jīng)驗(yàn)，對(duì)信息安全專業(yè)知識(shí)的掌握還存在欠缺，信息安全技術(shù)人才的成長周期又比較長，導(dǎo)致既懂金融和管理又懂技術(shù)的人才相對(duì)匱乏。相關(guān)信息安全管理人員缺少CIA、CISA、CISSP等國內(nèi)外認(rèn)可的信息安全資質(zhì)證書，信息安全管理工作的專業(yè)能力不夠。同時(shí)，銀行對(duì)科技型人才的配置也不夠合理，具體表現(xiàn)為信息技術(shù)人員往往被分配在信息技術(shù)部口，在信息安全管理和風(fēng)險(xiǎn)管理崗位上分配的數(shù)量非常有限，這種狀況也在一定程度上限制了其對(duì)于信息安全管理人才的培養(yǎng)。

（3）信息安全制度不完整。銀行目前并沒有對(duì)信息安全規(guī)劃和計(jì)劃相關(guān)工作流程進(jìn)行明確的定義和規(guī)范，缺少諸如對(duì)于信息安全規(guī)劃、規(guī)劃執(zhí)行、組織架構(gòu)、預(yù)算管理等相關(guān)的信息安全管理制度和規(guī)范；從工作組織、原則、流程、要求四個(gè)角度去考量該份管理辦法，其具體內(nèi)容過于簡單，無法落實(shí)對(duì)從項(xiàng)目可研、立項(xiàng)、實(shí)施監(jiān)控、驗(yàn)收、評(píng)價(jià)等的控制要求，不能確保項(xiàng)目實(shí)施能夠與計(jì)劃保持一致和工作有序有效的進(jìn)行。

（4）信息安全工作流程不清晰，未建立信息安全事件管理流程。銀行目前項(xiàng)目管理流程非常簡單，皆由項(xiàng)目負(fù)責(zé)人自行管理負(fù)責(zé)；銀行目前服務(wù)請(qǐng)求和事件方面流程過于簡單，目前銀行未建立真正意義上的事件管理流程，事件的管控均由具體的項(xiàng)目管理者或者具體部門負(fù)責(zé)人負(fù)責(zé)管理，文檔記錄也不完整；沒有清晰的事件處理流程，這使得銀行相關(guān)部門無法及時(shí)對(duì)危機(jī)制定相應(yīng)的恢復(fù)計(jì)劃，降低了部門風(fēng)險(xiǎn)防范能力。

2 信息安全管理問題產(chǎn)生的原因

（1）相關(guān)管理崗位及職責(zé)長期未更新。職責(zé)及分工雖初步明確，但是各職能部門之間沒有銜接，互不相關(guān)，若是不在職責(zé)范圍內(nèi)的或是在邊界值的特殊工作事項(xiàng)，就會(huì)造成互相推諉、缺乏責(zé)任心，更沒有從全局架構(gòu)角度出發(fā)，牽頭開展工作的崗位和人員。

（2）信息安全人員非專業(yè)出身且未經(jīng)過專業(yè)培訓(xùn)。信息安全管理人員一部分為系統(tǒng)運(yùn)維人員調(diào)動(dòng)到安全管理崗從事信息安全管理工作，另一部分為應(yīng)屆畢業(yè)大學(xué)生，無相關(guān)專業(yè)經(jīng)驗(yàn)。加上信息安全管理也是最近幾年才提出的新興概念，這也是造成信息安全管理崗位人員的專業(yè)技能不足的必然原因。

（3）信息安全制度建設(shè)照搬照抄。在制定本行信息安全相關(guān)規(guī)章制度時(shí)，并未從自身實(shí)際情況去考慮，造成管理制度不全，部分內(nèi)容沒有相應(yīng)的管理規(guī)定去制約，制度的內(nèi)容也無法落到實(shí)處，操作性不強(qiáng)。

（4）只注重工具的投入，而忽視管理的投入[1]。網(wǎng)絡(luò)安全的投入不僅是安全產(chǎn)品和工具的投入，還應(yīng)包括操作管理流程和應(yīng)急處理機(jī)制等方面的投入。使用安全的產(chǎn)品和工具應(yīng)該有相應(yīng)的過程管理機(jī)制與之匹配。建立合理的流程管理機(jī)制需要投入，這些投入與安全體系的完整性有著緊密的聯(lián)系。目前銀行在信息安全建設(shè)這方面的投入還遠(yuǎn)遠(yuǎn)不夠，整體的安全理念也僅限于技術(shù)層面。

3 LN銀行信息安全管理問題主要防范對(duì)策

（1）規(guī)劃銀行信息安全管理崗位：設(shè)計(jì)信息安全管理組織架構(gòu)原則，包括組織架構(gòu)完整性，職責(zé)定位清晰性，價(jià)值發(fā)揮充分性和規(guī)劃設(shè)計(jì)前瞻性等；設(shè)計(jì)信息安全管理組織模式，結(jié)合銀行信息安全管理現(xiàn)狀與未來科技發(fā)展戰(zhàn)略目標(biāo)，同時(shí)根據(jù)同業(yè)的經(jīng)驗(yàn)，為更好的提升管理職能和提高管理效率，建議采用“三中心”的組織模式，即科技管理中心、開發(fā)測(cè)試中心和運(yùn)維服務(wù)中心。

（2）充實(shí)信息安全管理專業(yè)技能及人才：制定員工培養(yǎng)規(guī)劃，從思想上增強(qiáng)員工的信息安全意識(shí)，重視轄內(nèi)員工的思想啟蒙和思想教育，提高思想覺悟和認(rèn)識(shí)，結(jié)合實(shí)際情況加強(qiáng)培訓(xùn)力度。建立相關(guān)員工職業(yè)發(fā)展管理體系，從“制定職業(yè)發(fā)展規(guī)定”、“實(shí)施職業(yè)發(fā)展跟蹤”、“進(jìn)行職業(yè)發(fā)展回顧”三個(gè)環(huán)節(jié)構(gòu)成；按照銀行實(shí)際工作量及實(shí)際需求，招聘信息安全管理人員，提升銀行信息安全專業(yè)技能水平。

（3）增強(qiáng)安全制度的建設(shè)力度、建立起信息安全管理體系，將信息安全工作的策略以及總體的方針確定后，整理理出最終信息安全工作的范圍、框架、目標(biāo)與原則；建立網(wǎng)絡(luò)、應(yīng)用系統(tǒng)運(yùn)維、日志管理、便攜式計(jì)算機(jī)、應(yīng)急管理、機(jī)房、操作系統(tǒng)、涉密安全、辦公用機(jī)、移動(dòng)存儲(chǔ)介質(zhì)、變更管理等的各項(xiàng)安全管理制度并制定出相應(yīng)的審定、檢查、審計(jì)和修訂維護(hù)的安全制度，再設(shè)置專門的崗位與工作人員指定其負(fù)責(zé)；建立一套集操作規(guī)程、安全策略及管理制度一身的信息安全關(guān)系體系。

（4）完善信息安全管理流程：設(shè)計(jì)項(xiàng)目管理工作流程，主要包括信息科技項(xiàng)目建設(shè)管理流程、服務(wù)管理流程、綜合管理流程三大類；明確信息安全事件管理權(quán)責(zé)，信息安全管理崗工作人員負(fù)責(zé)日常的信息安全事件識(shí)別和上報(bào)；建立事件級(jí)別重估制度，并保持信息安全事件升級(jí)通道暢通，以防安全事件因響應(yīng)處理不力而升級(jí)擴(kuò)大。

（5）進(jìn)一步推動(dòng)銀行業(yè)信息化法規(guī)和規(guī)范化體系建設(shè)，建立健全相應(yīng)的監(jiān)管機(jī)制加強(qiáng)內(nèi)部管理，可從兩個(gè)方面著手：一方面加強(qiáng)宣傳教育，提高技術(shù)人員的思想素質(zhì)；另一方面完善內(nèi)部管理，建立一套健全的內(nèi)部安全管理規(guī)章制度，加強(qiáng)和完善銀行內(nèi)部約束機(jī)制，使系統(tǒng)管理、開發(fā)、測(cè)試和操作維護(hù)職責(zé)嚴(yán)格分離，規(guī)范程序的源代碼和數(shù)據(jù)結(jié)構(gòu)和交易接口。此外，生產(chǎn)環(huán)境上面的任何操作，包括查詢、刪除等操作，必須由上級(jí)授權(quán)，并詳細(xì)記錄，以備檢查。

4 結(jié)語

論文通過對(duì)比其他銀行的現(xiàn)狀，通過與監(jiān)管機(jī)構(gòu)工作上的溝通中的了解，這些問題有現(xiàn)階段銀行領(lǐng)域普遍存在的共性問題，也涵蓋銀行自身的個(gè)性化問題。在這些問題的基礎(chǔ)上，擬通過建立信息安全管理體系、規(guī)范現(xiàn)有信息安全管理工作流程的基礎(chǔ)上，解決或化解現(xiàn)階段所面臨的各類信息安全管理工作中出現(xiàn)的問題，以提升信息安全管理水平，改善現(xiàn)有管理工作不完善的現(xiàn)狀。本論文在結(jié)合實(shí)際問題進(jìn)行分析、研究的基礎(chǔ)上，提出加強(qiáng)LN銀行信息安全的防范策略，為農(nóng)村合作金融機(jī)構(gòu)的信息安全管理提供參考，對(duì)同行業(yè)在實(shí)際管理工作中提供了一定的借鑒價(jià)值。

參考文獻(xiàn)

[1] 鄭智鵬.銀行信息安全問題及建議[J].科技信息，2016（5）：51-53.

[2] 翟琳潔.中小銀行信息安全管理問題與改進(jìn)措施[J].知識(shí)經(jīng)濟(jì)，2014（1）：70.

[3] 王夷璇.互聯(lián)網(wǎng)背景下X商業(yè)銀行信息安全管理研究[D].華東師范大學(xué)，2016：25-52.endprint