基層央行科技安全管理現(xiàn)狀及存在的風險

趙輝

摘 要：隨著信息技術(shù)在央行的廣泛使用，科技安全管理的重要性越來越突出。通過對山西省16個地市及所轄縣支行歷時六年的實地調(diào)查和現(xiàn)場審計，從內(nèi)部審計的角度對基層央行科技安全管理現(xiàn)狀、潛在風險等進行分析，并提出相關(guān)建議。

關(guān)鍵詞：科技；安全管理；內(nèi)部審計；風險隱患；對策

中圖分類號：F830 文獻標志碼：A 文章編號：1673-291X（2016）06-0147-02

隨著科學(xué)技術(shù)的發(fā)展和信息水平的提高，信息技術(shù)為央行的相關(guān)工作帶來了很多便利，相關(guān)部門也在科技安全管理方面做了大量的工作，但是從審計部門近幾年開展的科技安全管理審計情況看，各行在管理、操作等方面仍存在漏洞，需要進一步提高和改進。

一、山西省人民銀行科技安全管理現(xiàn)狀

從2009年開始，歷時六年的時間，我們在全省人民銀行范圍內(nèi)開展了科技安全管理審計。通過現(xiàn)場審計、發(fā)放調(diào)查問卷以及和一線職工的溝通交流，了解到基層行在科技安全管理工作中普遍存在和反映較多的問題。

（一）從現(xiàn)場審計掌握的情況

通過對山西省16個地市及縣支行的審計了解，2009—2014年共發(fā)現(xiàn)287個問題，主要表現(xiàn)在內(nèi)控制度、機房安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全、應(yīng)用系統(tǒng)維護、采購?fù)獍?yīng)急備份等方面。在上述發(fā)現(xiàn)的問題中，機房安全管理、應(yīng)用系統(tǒng)運行維護和網(wǎng)絡(luò)安全管理方面存在的問題最多，風險最大。

1.機房安全管理問題中，主要表現(xiàn)在機房進出控制、監(jiān)控盲區(qū)及安全運行監(jiān)測信息資料保存期限、日常巡檢及機房選址存在漏水、被盜隱患方面。

2.應(yīng)用系統(tǒng)運行維護問題中，主要表現(xiàn)在未開啟安全日志審計，口令密碼設(shè)置簡單；系統(tǒng)維護記錄不準確等方面。

3.網(wǎng)絡(luò)安全管理問題中，主要表現(xiàn)在客戶端未安裝主機監(jiān)控系統(tǒng)、未禁用系統(tǒng)默認來賓賬戶、使用未注冊的移動存儲介質(zhì)，防病毒軟件病毒特征庫升級不及時等。

（二）通過調(diào)查問卷及訪談了解的情況

1.內(nèi)控制度落實難。雖然近幾年從上到下均制定了大量的規(guī)章制度，但部分制度的制定與執(zhí)行存在脫節(jié)的情況，尤其是上級行制定的一些制度，大部分是針對上級行自身的實際，沒有充分考慮到基層的具體實際情況，制度下發(fā)后在基層行很難執(zhí)行。

2.人員結(jié)構(gòu)調(diào)整速度慢。調(diào)查問卷顯示，75%的管理層認為科技人員結(jié)構(gòu)不能滿足管理要求，具體表現(xiàn)為：總量不足、年齡大、任務(wù)重，知識結(jié)構(gòu)老化。經(jīng)了解，科技部門現(xiàn)有人員有2/3已超40歲，對新知識接受較慢，尤其在央行數(shù)據(jù)集中的背景下，信息人員網(wǎng)絡(luò)安全知識更新速度跟不上，在工作中容易出現(xiàn)失誤。

3.科技人員少且兼崗多。在實際工作中，大部分安全管理人員既要負責網(wǎng)絡(luò)防病毒系統(tǒng)、內(nèi)部網(wǎng)絡(luò)管理維護以及內(nèi)外網(wǎng)安全管理等工作，還要承擔應(yīng)用系統(tǒng)的維護、軟件管理、硬件維護和網(wǎng)絡(luò)通信管理，時常出現(xiàn)顧此失彼的現(xiàn)象，難以保證科技管理及維護工作的質(zhì)量。

4.專業(yè)技術(shù)培訓(xùn)不足，員工素質(zhì)相對滯后。調(diào)查問卷顯示，90%的科技人員認為需要加強技術(shù)及信息安全培訓(xùn)和經(jīng)驗交流。經(jīng)了解，在實際工作中對于業(yè)務(wù)系統(tǒng)上線及使用，上級行只注重對業(yè)務(wù)人員的培訓(xùn)，忽視對科技人員的相關(guān)培訓(xùn)，造成科技人員不熟悉，甚至不了解業(yè)務(wù)系統(tǒng)，導(dǎo)致問題處理不及時。

二、潛在的風險隱患

針對以上審計中發(fā)現(xiàn)的問題可以看出，基層央行科技安全管理方面的風險來源主要為管理風險和操作風險。

（一）管理風險

隨著對信息安全認識的加深，我們逐漸意識到“人”的風險其實是最大的風險。人，特別是銀行內(nèi)部員工，既可以是對信息系統(tǒng)的最大威脅，也可以是最可靠的安全防線。但是從實地調(diào)研情況看，基層行實現(xiàn)從“最大威脅”到“最可靠防線”的轉(zhuǎn)變中還存在一些不容忽視的問題，表現(xiàn)為：一方面，部分職員沒有樹立正確的職業(yè)道德觀念，加之缺乏激勵約束機制，覺得干好干壞沒差別，干多干少一個樣，缺乏工作熱情，出現(xiàn)不思進取的現(xiàn)象；另一方面，基層行科技人員職業(yè)技能落后，隨著信息化的高速發(fā)展，使一部分職員出現(xiàn)技能上的脫節(jié)，遇到威脅信息安全的事件不能及時采取措施，消除威脅，給信息安全帶來潛在風險。

（二）操作風險

隨著央行各項業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高，信息系統(tǒng)風險的影響也越來越大。而誘發(fā)操作風險的原因也是多種多樣，無論是有意越權(quán)訪問或是無意誤操作，還是技術(shù)缺失，都會把風險變成實實在在的損失。從審計情況來看，發(fā)現(xiàn)的問題大部分屬于操作風險，如在網(wǎng)絡(luò)設(shè)備安全審計日志的設(shè)置及使用方面，基層行科技人員由于對安全審計日志操作不了解，專業(yè)技能達不到，不敢貿(mào)然操作，導(dǎo)致目前此項工作處于空白狀態(tài)，使科技管理人員不能完全掌握網(wǎng)絡(luò)信息系統(tǒng)的實際使用狀況，幫助管理者發(fā)現(xiàn)潛在的風險，達到控制人為因素造成重要業(yè)務(wù)系統(tǒng)停頓的損失的目的。

三、對策建議

（一）強化工作人員的科技安全意識

強化科技安全意識就是要讓工作人員認識到科技信息安全是信息正常而高效運轉(zhuǎn)的基礎(chǔ)，是保障央行信息安全重要前提，從而牢固樹立信息安全第一的思想。管理層要利用多種途徑對員工進行信息安全方面的教育，普及信息安全知識，同時確保防范手段和技術(shù)措施的先進性和主動性。

（二）提高職業(yè)道德水平

職業(yè)道德既體現(xiàn)在思想上對工作認真負責，又體現(xiàn)在技能水平上有充足的專業(yè)勝任能力。一方面要通過制定完備的安全管理政策、健全的安全文化建設(shè)等手段，達到有效降低人的安全風險；另一方面要引導(dǎo)員工端正職業(yè)態(tài)度，強化思想教育，定期組織員工進行思想交流，及時糾正員工在思想上的不良傾向。

（三）完善內(nèi)部控制制度，降低操作風險

要降低操作風險，關(guān)鍵在于完善內(nèi)控，包括對員工、業(yè)務(wù)流程等的管理措施。基層行要根據(jù)自身的實際情況，建立相應(yīng)的操作風險管理機制，對潛在的風險進行有效的識別和評估，并采取有效的監(jiān)控手段，從而發(fā)現(xiàn)并解決操作風險中存在的問題。

（四）強化監(jiān)督管理

基層行科技部門人手少，兼崗多，自我監(jiān)督力量和能力較弱，上級行加強監(jiān)督檢查顯得尤為重要。在監(jiān)管過程中要改變單一的“上查下”方式，結(jié)合檢查發(fā)現(xiàn)的問題，有針對性地開展實地指導(dǎo)，做到既查問題又幫助改進工作，切實達到促進基層行落實制度、防范風險、改進工作的目的。

（五）開展專業(yè)維護技能培訓(xùn)，建立激勵機制

以針對性和實用性為原則，對現(xiàn)有科技人員進行計算機網(wǎng)絡(luò)設(shè)備、安全防護等方面的培訓(xùn)，提高其業(yè)務(wù)技能和水平。同時建立有效的科技工作激勵約束機制，通過強化優(yōu)勝劣汰的競爭氛圍，提高員工的競爭意識，積極主動提高自己的職業(yè)能力，確保基層行科技工作有序開展。

[責任編輯 王玉妹]