LN銀行信息安全管理研究

黃港++李艷杰++李楠

摘 要：本文基于國內外信息安全管理理論，結合LN銀行信息安全管理工作現狀，提出目前信息安全管理工作存在的突出問題，并對問題產生的原因加以分析。本文結合國內相關的信息安全管理標準和監管要求，對L N銀行信息安全管理上的問題提出了防范對策和改進建議，構建一套適合自身管理需求的信息安全管理體系，力求使風險能夠得到有效規避或緩釋。

關鍵詞：信息化 信息安全管理 安全保障

中圖分類號：F06 文獻標識碼：A 文章編號：1674-098X（2017）08（c）-0153-02

LN銀行為某省級農村合作金融機構，在持續不斷提高信息科技投入的基礎上，綜合業務管理系統、信貸管理系統、OA系統、卡系統等應用系統陸續上線，中間業務功能日趨完善，其信息科技管理范圍已涵蓋主機、應用系統及數據庫、網絡、供配電、制度、培訓、人員管理等多個方面，信息安全管理難度日益加大，不可控因素及潛在風險隱患日趨增多，亟待加強風險規避及防范能力。

1 LN銀行信息安全管理主要問題

（1）銀行信息安全崗位設置不完整，管理組織機構設置不完善。LN銀行雖設立了專門的信息安全管理團隊和崗位，但信息安全組織機構設置并不完善，信息安全崗位設置不完整，信息安全管理崗位沒有設置專崗專人，管理部門存在人員缺位現象，造成執行管理和監督方面的匱乏，僅由相關系統運行人員代行信息安全管理職責，相關職責界限不清晰。業務應用系統各環節建設分工不明確，常出現需求質量不高、各業務子系統間銜接不暢、技術標準不一致以及系統上線運維壓力大等情況。信息安全部門更多的是側重生產事件的管理，并未對銀行信息安全進行全面管理，影響了信息安全管理的實際效果。項目生命周期過程中缺乏有效的管理體系，最終致使信息安全管理工作很難有效開展。

（2）信息安全人員專業技能不足，信息安全管理人才相對匱乏。銀行信息安全管理崗位較其他崗位而言，對人才的要求相對較高。信息安全管理人才不僅要對銀行金融業務熟悉了解，還需具備一定的風險管理經驗和信息安全技術能力。就目前來看，由于青年員工的數量較多，無相關工作經驗，對信息安全專業知識的掌握還存在欠缺，信息安全技術人才的成長周期又比較長，導致既懂金融和管理又懂技術的人才相對匱乏。相關信息安全管理人員缺少CIA、CISA、CISSP等國內外認可的信息安全資質證書，信息安全管理工作的專業能力不夠。同時，銀行對科技型人才的配置也不夠合理，具體表現為信息技術人員往往被分配在信息技術部口，在信息安全管理和風險管理崗位上分配的數量非常有限，這種狀況也在一定程度上限制了其對于信息安全管理人才的培養。

（3）信息安全制度不完整。銀行目前并沒有對信息安全規劃和計劃相關工作流程進行明確的定義和規范，缺少諸如對于信息安全規劃、規劃執行、組織架構、預算管理等相關的信息安全管理制度和規范；從工作組織、原則、流程、要求四個角度去考量該份管理辦法，其具體內容過于簡單，無法落實對從項目可研、立項、實施監控、驗收、評價等的控制要求，不能確保項目實施能夠與計劃保持一致和工作有序有效的進行。

（4）信息安全工作流程不清晰，未建立信息安全事件管理流程。銀行目前項目管理流程非常簡單，皆由項目負責人自行管理負責；銀行目前服務請求和事件方面流程過于簡單，目前銀行未建立真正意義上的事件管理流程，事件的管控均由具體的項目管理者或者具體部門負責人負責管理，文檔記錄也不完整；沒有清晰的事件處理流程，這使得銀行相關部門無法及時對危機制定相應的恢復計劃，降低了部門風險防范能力。

2 信息安全管理問題產生的原因

（1）相關管理崗位及職責長期未更新。職責及分工雖初步明確，但是各職能部門之間沒有銜接，互不相關，若是不在職責范圍內的或是在邊界值的特殊工作事項，就會造成互相推諉、缺乏責任心，更沒有從全局架構角度出發，牽頭開展工作的崗位和人員。

（2）信息安全人員非專業出身且未經過專業培訓。信息安全管理人員一部分為系統運維人員調動到安全管理崗從事信息安全管理工作，另一部分為應屆畢業大學生，無相關專業經驗。加上信息安全管理也是最近幾年才提出的新興概念，這也是造成信息安全管理崗位人員的專業技能不足的必然原因。

（3）信息安全制度建設照搬照抄。在制定本行信息安全相關規章制度時，并未從自身實際情況去考慮，造成管理制度不全，部分內容沒有相應的管理規定去制約，制度的內容也無法落到實處，操作性不強。

（4）只注重工具的投入，而忽視管理的投入[1]。網絡安全的投入不僅是安全產品和工具的投入，還應包括操作管理流程和應急處理機制等方面的投入。使用安全的產品和工具應該有相應的過程管理機制與之匹配。建立合理的流程管理機制需要投入，這些投入與安全體系的完整性有著緊密的聯系。目前銀行在信息安全建設這方面的投入還遠遠不夠，整體的安全理念也僅限于技術層面。

3 LN銀行信息安全管理問題主要防范對策

（1）規劃銀行信息安全管理崗位：設計信息安全管理組織架構原則，包括組織架構完整性，職責定位清晰性，價值發揮充分性和規劃設計前瞻性等；設計信息安全管理組織模式，結合銀行信息安全管理現狀與未來科技發展戰略目標，同時根據同業的經驗，為更好的提升管理職能和提高管理效率，建議采用“三中心”的組織模式，即科技管理中心、開發測試中心和運維服務中心。

（2）充實信息安全管理專業技能及人才：制定員工培養規劃，從思想上增強員工的信息安全意識，重視轄內員工的思想啟蒙和思想教育，提高思想覺悟和認識，結合實際情況加強培訓力度。建立相關員工職業發展管理體系，從“制定職業發展規定”、“實施職業發展跟蹤”、“進行職業發展回顧”三個環節構成；按照銀行實際工作量及實際需求，招聘信息安全管理人員，提升銀行信息安全專業技能水平。

（3）增強安全制度的建設力度、建立起信息安全管理體系，將信息安全工作的策略以及總體的方針確定后，整理理出最終信息安全工作的范圍、框架、目標與原則；建立網絡、應用系統運維、日志管理、便攜式計算機、應急管理、機房、操作系統、涉密安全、辦公用機、移動存儲介質、變更管理等的各項安全管理制度并制定出相應的審定、檢查、審計和修訂維護的安全制度，再設置專門的崗位與工作人員指定其負責；建立一套集操作規程、安全策略及管理制度一身的信息安全關系體系。

（4）完善信息安全管理流程：設計項目管理工作流程，主要包括信息科技項目建設管理流程、服務管理流程、綜合管理流程三大類；明確信息安全事件管理權責，信息安全管理崗工作人員負責日常的信息安全事件識別和上報；建立事件級別重估制度，并保持信息安全事件升級通道暢通，以防安全事件因響應處理不力而升級擴大。

（5）進一步推動銀行業信息化法規和規范化體系建設，建立健全相應的監管機制加強內部管理，可從兩個方面著手：一方面加強宣傳教育，提高技術人員的思想素質；另一方面完善內部管理，建立一套健全的內部安全管理規章制度，加強和完善銀行內部約束機制，使系統管理、開發、測試和操作維護職責嚴格分離，規范程序的源代碼和數據結構和交易接口。此外，生產環境上面的任何操作，包括查詢、刪除等操作，必須由上級授權，并詳細記錄，以備檢查。

4 結語

論文通過對比其他銀行的現狀，通過與監管機構工作上的溝通中的了解，這些問題有現階段銀行領域普遍存在的共性問題，也涵蓋銀行自身的個性化問題。在這些問題的基礎上，擬通過建立信息安全管理體系、規范現有信息安全管理工作流程的基礎上，解決或化解現階段所面臨的各類信息安全管理工作中出現的問題，以提升信息安全管理水平，改善現有管理工作不完善的現狀。本論文在結合實際問題進行分析、研究的基礎上，提出加強LN銀行信息安全的防范策略，為農村合作金融機構的信息安全管理提供參考，對同行業在實際管理工作中提供了一定的借鑒價值。

參考文獻

[1] 鄭智鵬.銀行信息安全問題及建議[J].科技信息，2016（5）：51-53.

[2] 翟琳潔.中小銀行信息安全管理問題與改進措施[J].知識經濟，2014（1）：70.

[3] 王夷璇.互聯網背景下X商業銀行信息安全管理研究[D].華東師范大學，2016：25-52.endprint