和發(fā)文

（山東省農(nóng)村信用社聯(lián)合社，濟南 250000）

隨著大數(shù)據(jù)、云計算、移動互聯(lián)等技術(shù)的普遍應(yīng)用，農(nóng)村商業(yè)銀行信息化建設(shè)取得了長足進步，以網(wǎng)銀、手機銀行為代表的互聯(lián)網(wǎng)金融產(chǎn)品不斷推出，有力推動了業(yè)務(wù)的高速發(fā)展。同時，業(yè)務(wù)發(fā)展對信息技術(shù)的依賴越來越高，網(wǎng)絡(luò)安全風(fēng)險及帶來的危害日益突出，這些都對網(wǎng)絡(luò)安全管理工作提出了更高要求。

1 農(nóng)村商業(yè)銀行網(wǎng)絡(luò)安全管理現(xiàn)狀分析

（1）網(wǎng)絡(luò)安全管理要求逐漸明晰。面對嚴(yán)峻的網(wǎng)絡(luò)安全形勢，國家和行業(yè)主管部門、監(jiān)管部門積極行動，國家層面相繼出臺了計算機信息系統(tǒng)安全保護條例、網(wǎng)絡(luò)安全法等法律法規(guī)；行業(yè)主管部門和監(jiān)管部門制定了金融行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全等級保護實施指引以及信息科技風(fēng)險管理指引等制度標(biāo)準(zhǔn)，為網(wǎng)絡(luò)安全管理工作指明了方向，明確了要求。

（2）網(wǎng)絡(luò)安全管理體系逐步建立。農(nóng)村商業(yè)銀行根據(jù)ISO27001等有關(guān)標(biāo)準(zhǔn)，開展了網(wǎng)絡(luò)安全管理體系建設(shè)，建立了自上而下的安全管理組織架構(gòu)，組建了網(wǎng)絡(luò)安全管理專職隊伍，出臺了涵蓋主要安全管理領(lǐng)域的制度辦法，并通過落實網(wǎng)絡(luò)安全等級保護、風(fēng)險評估、科技審計等安全管理工作，逐步建立起較為完備的網(wǎng)絡(luò)安全管理體系。

2 存在的主要問題

（1）安全管理專業(yè)人才不足。網(wǎng)絡(luò)安全保護主要依據(jù)網(wǎng)絡(luò)安全法、系統(tǒng)等級保護的要求，圍繞管理和技術(shù)兩個維度開展，管理方面涉及安全管理制度、安全管理機構(gòu)等五個方面，技術(shù)方面涉及物理安全、網(wǎng)絡(luò)安全等五個方面，以三級信息系統(tǒng)為例，國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)中提出的要求項和控制點就達到700余項，涉及范圍廣、專業(yè)性強，對安全人員素質(zhì)要求較高。當(dāng)前農(nóng)村商業(yè)銀行專業(yè)人才配備與實際需求之間存在較大差距。

（2）新的安全管理要求不斷推出。近年來人民銀行和銀保監(jiān)會加快推出新的安全管理要求，先后出臺了網(wǎng)上銀行網(wǎng)絡(luò)安全通用規(guī)范、業(yè)務(wù)連續(xù)性管理指引等制度規(guī)范，農(nóng)村商業(yè)銀行需要不斷學(xué)習(xí)充實知識結(jié)構(gòu)，及時修訂完善現(xiàn)有的安全管理體系，以適應(yīng)新的管理、技術(shù)要求。

（3）防線部門履職不到位。當(dāng)前農(nóng)村商業(yè)銀行建立了科技、風(fēng)險、審計三部門組成的信息科技風(fēng)險防范三道防線，但由于缺乏專業(yè)人才、職責(zé)不明確、溝通機制不健全等原因，導(dǎo)致三道防線履職不到位，無法充分發(fā)揮風(fēng)險防控作用。

（4）安全教育不足。一是對安全管理人員培訓(xùn)次數(shù)和覆蓋面過低。農(nóng)村商業(yè)銀行大都成立了安全管理員隊伍，但每年培訓(xùn)次數(shù)較少，達不到人員全覆蓋。二是員工安全意識不高。人員對網(wǎng)絡(luò)安全風(fēng)險的認知度不高，重視程度不足，日常操作中違規(guī)操作行為時有發(fā)生，人員仍是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)。

（5）大數(shù)據(jù)利用率不高。農(nóng)村商業(yè)銀行具有系統(tǒng)日志、交易數(shù)據(jù)、客戶信息等大數(shù)據(jù)，目前尚未有效挖掘分析，無法最大限度發(fā)揮其在網(wǎng)絡(luò)安全管理工作中的價值。數(shù)據(jù)對于提高網(wǎng)絡(luò)安全管理精準(zhǔn)度，具有重要意義，通過有效的數(shù)據(jù)挖掘分析，可以明確網(wǎng)絡(luò)安全管理薄弱環(huán)節(jié)和技術(shù)漏洞，及時識別和處置預(yù)警信息，并為自動化運維、機器人智能巡檢、客戶畫像、交易風(fēng)險控制提供數(shù)據(jù)支持，有效降低運維操作風(fēng)險和交易風(fēng)險。

3 網(wǎng)絡(luò)安全管理建議

（1）強化安全教育，提升安全意識。一是加強制度宣講?！鞍踩矫孀畲蟮娘L(fēng)險是沒有意識到風(fēng)險”，因此培養(yǎng)安全意識必須先行。農(nóng)村商業(yè)銀行要讓員工了解安全管理制度的具體要求，并結(jié)合日常工作，知可為、知不可為。二是創(chuàng)新培訓(xùn)教育方式。通過網(wǎng)絡(luò)安全宣傳片、網(wǎng)絡(luò)安全短信提醒、在線考試等方式，對技術(shù)人員、業(yè)務(wù)人員、管理人員進行多渠道、多層次的教育培訓(xùn)，提高培訓(xùn)效果。

（2）明確重點，分步實施。一是要合理制定工作規(guī)劃。明確各階段工作落腳點，并分清主次，分步實施。通過制定階段性工作目標(biāo)，設(shè)定完成期限和工作質(zhì)量要求，集中安全管理資源，按時保質(zhì)完成。二是把握重點領(lǐng)域。因受管理范圍、信息系統(tǒng)重要程度、人員專業(yè)水平等因素的影響，安全管理工作應(yīng)把握不同的重點領(lǐng)域。農(nóng)村商業(yè)銀行作為信息系統(tǒng)的建設(shè)和使用單位，應(yīng)重點抓好網(wǎng)絡(luò)安全接入、終端設(shè)備安全管理、安全事件報告、應(yīng)急處置等工作，實施網(wǎng)絡(luò)安全責(zé)任制，規(guī)范員工操作行為，營造濃厚的安全管理氛圍。

（3）以問題為導(dǎo)向，做好整改工作。一是建立問題臺賬。要將各類檢查、評估、審計、滲透測試發(fā)現(xiàn)的問題歸納整理，形成問題臺賬，做到摸清現(xiàn)狀，知己知彼。二是狠抓問題整改。問題就是風(fēng)險點，只有使問題得到有效整改，才能切實提高風(fēng)險防控能力。要以問題為導(dǎo)向，明確安全管理提升的方向和目標(biāo)，按安全管理領(lǐng)域進行合理分類，明確整改措施、期限、責(zé)任人，定期進行督導(dǎo)督辦，掌握整改進度，適時開展后續(xù)檢查，檢驗整改效果。三是做好持續(xù)改進工作。按照ISO27001安全管理標(biāo)準(zhǔn)，通過建立、執(zhí)行、檢查和改進四個基本流程，對現(xiàn)有安全管理工作進行規(guī)范，對各項工作流程進行持續(xù)完善，不斷提高流程的可操作性。

（4）加強合作，破解履職難題。一是加強科技、風(fēng)險、審計部門合作。農(nóng)村商業(yè)銀行風(fēng)險管理部門在開展風(fēng)險識別評估、審計部門在開展科技審計過程中要發(fā)揮科技部門人才優(yōu)勢，加強與科技部門的溝通協(xié)作，積極開展履職工作。二是開展第三方合作。通過外包方式，與第三方公司聯(lián)合開展相關(guān)工作，達到迅速提升自身履職能力的目的。

（5）加強數(shù)據(jù)分析，提高網(wǎng)絡(luò)安全管理精準(zhǔn)度。一是加強數(shù)據(jù)治理。構(gòu)建數(shù)據(jù)治理架構(gòu)，明確數(shù)據(jù)治理職責(zé)；統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)，對數(shù)據(jù)進行有效的分類分級管理，確保數(shù)據(jù)質(zhì)量；明確數(shù)據(jù)收集范圍，對涉及個人敏感信息的數(shù)據(jù)加強防護，保障客戶權(quán)益。二是構(gòu)建大數(shù)據(jù)平臺。充分利用數(shù)據(jù)挖掘技術(shù)，對交易數(shù)據(jù)、系統(tǒng)日志、客戶信息等大數(shù)據(jù)進行有效的、持續(xù)的分析，并利用大數(shù)據(jù)平臺，將相關(guān)數(shù)據(jù)進行整合展示，逐步形成有效的企業(yè)知識庫。充分利用數(shù)據(jù)分析結(jié)果，對信息系統(tǒng)、客戶、安全態(tài)勢進行精準(zhǔn)畫像并持續(xù)監(jiān)測，同時根據(jù)監(jiān)測情況，及時調(diào)整優(yōu)化網(wǎng)絡(luò)安全防護策略。

4 結(jié)束語

農(nóng)村商業(yè)銀行網(wǎng)絡(luò)安全管理工作需要根據(jù)網(wǎng)絡(luò)安全形勢和要求，不斷改進和優(yōu)化。本文通過對農(nóng)村商業(yè)銀行網(wǎng)絡(luò)安全管理現(xiàn)狀進行深入的分析和研究，結(jié)合農(nóng)村商業(yè)銀行信息化發(fā)展及管理實際，提出改進建議，對農(nóng)村商業(yè)銀行有效進行網(wǎng)絡(luò)安全管理工作具有一定的參考價值。