基層央行在金融信息安全保障工作中的履職實踐

檀林

摘 要：文章通過分析基層央行在金融信息安全指導協調履職工作中存在的問題及難點，探討了做好金融信息安全保障工作的實踐方法。

關鍵詞：金融科技 信息安全 央行履職

中圖分類號:F830文獻標識碼:A

文章編號:1004-4914（2012）07-189-02

2008年，人民銀行新“三定”方案賦予人民銀行“指導、協調金融業信息安全”的工作職責。幾年來，為科學履行央行科技的“三定”職責，人民銀行在發揮金融信息安全指導、協調職能，提高金融業信息安全保障工作水平上付出了很多努力，有效保障了金融網絡信息安全，提高了金融機構的信息化工作水平。基層央行金融科技工作按照總行部署從過去偏重內部建設轉到內部建設與行業管理并重，在金融信息安全保障工作中作出了積極的探索。本文通過對央行履職工作的經驗總結探討了做好金融信息安全保障工作的實踐方法。

一、央行各級機構的金融信息安全履職探索

近年來，人民銀行總行在承擔金融信息化協調工作職責中，積極爭取外部支持，主動與相關部委、金融監管部門和金融機構溝通，不斷強化行業協作機制，各項工作取得了顯著進展。2008 年，現場檢查奧運城市銀行的信息安全，組織協調銀行業完成風險評估、應急演練及防范網絡攻擊檢查，圓滿完成奧運安保任務。2009年，針對社會普遍關注的網銀安全問題，制定并頒布《網上銀行系統信息安全通用規范（試行）》，并組織完成對66家商業銀行的網銀系統安全檢查，增強了各商業銀行網銀系統交易的安全性。2010年，人民銀行建立了與公安部、工信部和電監會跨部門協調機制，共同制定并發布了《金融業信息安全協調工作預案》，協調處置數十起信息安全事件，金融信息安全工作機制日漸成熟。為保障網絡金融服務安全，發布《中國人民銀行信息系統電子認證應用指引》，促進了網絡金融服務安全保障機制的完善。2011年，編制印發《中國金融業信息化“十二五”發展規劃》，這是人民銀行首次立足“一行三會”管理格局制訂發展規劃，規劃中對“十二五”時期涉及數據綜合利用，銀、證、保系統互聯互通以及完善金融基礎設施、提升金融服務水平等關鍵問題都作了深入分析和闡述。

基層人民銀行貫徹總行工作思路，在金融信息安全指導和協調方面也取得了良好的成效。一方面充分發揮基層人民銀行指導職能，跟蹤落實金融機構開展各類業務系統接口測試驗收、系統升級、業務切換、應急演練、系統上線等等，做好信息系統基礎技術保障工作。另一方面根據轄區地方特點，建立了符合地方特色的金融信息安全管理體系，通過建立聯合協作和信息共享機制，暢通溝通渠道，加強金融業重要信息安全事件工作信息的通報和交流，協調解決金融信息安全工作中遇到的困難和問題，人民銀行整體信息安全管理水平得到有效提升。

二、基層央行金融信息安全履職中存在的問題及難點

第一，行業協調關系不順。從金融信息安全管理的現狀來看，按照人民銀行總行的信息安全協調部署，各大商業銀行自上而下實行縱向管理，基層人民銀行行業信息安全管理的重點主要在地方性商業銀行和農村信用社。作為轄區金融體系的主要力量，各大商業銀行分支機構的信息安全對保持轄區正常金融服務秩序具有舉足輕重的地位。但是，行業協調關系沒有捋順，造成基層人民銀行橫向管理的缺失。

第二，中小金融機構協調滯后。為有效配置金融資源，近幾年來小額貸款公司、村鎮銀行、農村資金互助社等中小金融機構快速推廣，在金融業發展中占據了一定的份額。除部分村鎮銀行向人民銀行申請了網絡互聯外，大部分中小金融機構因為技術水平或接入費用的問題而無法接入人民銀行網絡，基層人民銀行難以對這類金融機構的信息安全工作進行協調指導。

第三，全局信息掌握不及時。隨著金融業務信息化程度的提升，金融業信息系統的正常運行影響到國家金融安全，特別是銀行業信息系統直接涉及社會公眾，一旦發生故障中斷，如處置不當會影響正常的經營秩序。基層人民銀行僅僅通過定期召開座談會、聯席會以及商業銀行的事件報告很難對金融機構的信息安全發展規劃、信息系統生命周期過程管理等全局性信息做到及時掌握。

三、相關建議

隨著信息技術在組織內部應用的深度和廣度的提高，必須像重視傳統風險一樣，重視銀行的信息安全風險，積極探索做好金融業信息安全工作的新思路新方法，扎實推動金融信息化工作是基層央行面臨的新問題。

第一，建立完善轄區金融業信息安全協調機制，對金融機構切實防范自身風險、提高應急處置工作效率，建立與監管部門、政府職能部門和相關基礎環境運營商之間的互動機制具有積極的意義。充分發揮協調機制的作用，實現應急事件處置的統一指揮、集中管理和快速響應，協調政府部門加大對金融業信息安全協調機制的扶持力度，組織開展多方參與、協作聯動的專項應急演練，拓展應急管理工作的深度和廣度。

第二，深化轄區金融業信息安全協調機制。要以建立全方位、高起點、全覆蓋的協調機制、監督機制、服務機制為目標，制定相應的管理辦法和措施，做到有指標、能量化、有評價、有通報，實現任何操作都有程序性要求，準確掌握區域金融業信息安全的情況，真正實現行業信息安全管理的科技履職。

第三，為中小金融機構提供網絡接入安全技術保障。針對中小金融機構發展迅速，有較大的網絡接入需求的實際，重點對中小金融機構與人民銀行在貨幣信貸、征信管理、國庫、支付結算和調查統計等方面的業務需求，以及科技運維能力進行調研，出臺中小金融機構接入人民銀行金融城域網技術方案，提供安全、規范、節儉、高效的金融服務。

第四，制訂轄區金融機構自建信息系統項目備案制度。對在轄內設立的地方性法人銀行業金融機構，要求其在自建信息系統上線前向當地人民銀行報備，并提交項目研制報告、技術報告、第三方測試報告、保密協議、應急處置預案等備案材料，確保基層人民銀行能夠及時準確掌握地方性金融機構信息項目情況，并促進地方性金融機構信息化工作標準化、規范化，保障金融信息系統安全。

第五，做好金融信息安全風險提示和通報工作。目前，業務發展與信息技術結合越發緊密，網上支付、移動支付等高度融合信息技術的金融服務創新為社會帶來便捷的同時也帶來了信息安全風險。基層人民銀行要在風險控制機制方面加以完善，及時主動掌握金融信息安全風險，通過發布風險提示對信息安全事件加以分析、督導和警示，提高安全信息共享程度，督促轄內各金融機構持續改進信息安全工作。

參考文獻：

1.林兆榮.抓長治促久安——建立信息系統應急保障機制的探索與政策建議.金融電子化,2011(11）

2.閆力.完善信息安全體系，提供穩健金融服務——以遼寧省銀行業為例.銀行家,2009(8）

3.李良軍.建立網上銀行信息安全協作機制.金融電子化,2011(10）

（作者單位：中國人民銀行太原中心支行 山西太原 030001）

（責編:賈偉）