探析銀行信息安全管理體系建設

李兵

[摘要]隨著社會的不斷進步與發展，我國的經濟得到了迅猛的發展，經濟的發展帶動銀行業的快速，穩定發展。為了能夠使銀行提高自身的工作效率以及工作質量，在銀行系統中使用了各種各樣的高科技技術。社會進入了信息化的社會，信息技術在人們日常生活中占據了非常重要的作用，給人們的生產生活帶來了很多便利，但是社會的信息化也存在一些問題，也就是信息泄露等方面的問題，這個問題直接會影響銀行業的信息安全。下文主要是介紹銀行信息安全管理的重要性，當前信息安全管理中存在的問題以及解決這些問題所需要的對策。

[關鍵詞]銀行；信息安全；管理體系建設

信息技術在銀行業中的應用隨著時代的變化，其功能需求也在不斷變化。信息技術從上世紀八十年代開始進入銀行業，最開始信息技術主要是應用于提高銀行的工作效率以及工作質量，但是隨著社會的不斷發展，科技技術的不斷增強，銀行業務的不斷提升，信息技術在銀行系統中占據的位置逐漸增強，由簡單的促進銀行工作效率發展到提高銀行管理模式的作用，并且信息技術直接影響銀行的業務流程。由于信息技術在銀行中占據的地位越來越重要，信息技術直接關系到銀行業的安全運行，甚至會影響到國家金融的安全性以及穩定性。所以為了能夠確保銀行安全穩定的運行，需要做好銀行業信息安全管理的工作。隨著銀行需求的不斷增加，銀行業中的信息技術水平以及使用規模都得到了不斷的提高，但是在實際運行的過程中信息安全管理方面還存在一定的缺陷，為了能夠更好的將信息技術應用于銀行業中，需要構建銀行信息安全管理體系，這樣就能夠對銀行的各種信息進行全面的管理，降低銀行發生風險的概率。

一、銀行信息安全管理中出現的問題

隨著時代需求的不斷變化，信息技術設備在銀行業中有著廣泛的應用，其雖然提高了銀行工作的工作質量以及工作效率，但在實際應用過程中信息安全管理方面還存在一定問題，其問題主要包括以下幾個方面。

（一）信息安全管理體系不健全

在我國銀行信息安全管理中出現的問題，最常見的一種就是信息安全管理體系不健全。對于一些發展比較晚，發展速度比較慢的銀行，對于信息技術的應用是不成熟的，不成熟的標志主要體現在以下幾個方面：其一就是信息技術的應用范圍比較小，不能夠滿足時代的需求和客戶的需求：其二就是對于風險評估以及等級保護做的不夠好，對于一些信息安全的實施策略，標準以及智聯控制還不能夠完全達到國際或國家標準。對于一些銀行來講，還存在信息安全策略不完善，也就是有關的信息資產的管理以及業務管理方面還存在著很大的安全隱患，對于信息的保護措施來講，是不完善的，不能夠滿足人們的需求的。

（二）運維監控與預警系統存在問題

根據我國銀行的實際情況分析，我們了解有很多銀行對于運行監控以及預警系統的建立還是很不完善的，對于銀行的硬件設備以及業務系統方面還存在一定的缺陷，這樣直接造成的后果就是很難監控，控制銀行的重要設備以及銀行整個運行的環境。對于一些信息技術水平較低的銀行來講，在風險預警監控方面的自動化水平比較低，也就是面對一些突發事故時，主要依賴的還是工作人員而不是有關的自動化設備，這樣對于銀行的風險控制來講，不能夠及時的發現，處理有關的事故，給銀行的系統安全運行帶來一定的影響，甚至可能回會造成一定的經濟損失。

（三）工作人員帶來的風險

工作人員是保證銀行正常運行的基礎，但是在銀行中很多的工作人員對于安全意識的認識程度不夠，不了解安全性對于整個銀行運行的重要性，所以在進行工作的過程中不能夠很好的保障銀行的信息安全，當信息安全出現風險的時候，也不能夠及時的發現并進行處理，這樣直接會造成銀行信息泄露風險系數的增加。有些安全意識差的員工在日常工作中不會注意風險的存在，比如可能會把自己的存儲介質直接接入到銀行系統中，這就很容易造成銀行系統中病毒的風險，對銀行信息的安全造成一定的威脅。而且很多銀行對于風險管理人才的重視程度不高，缺乏專業的風險管理人才，不能夠對銀行中存在的風險進行有效的監督與控制。

（四）信息技術的監控與審計不完善

當前，很多銀行在信息技術的監控與審計方面存在一定的問題，主要的問題包括以下兩部分。

1.很多銀行對于審計問題的整改落實情況不到位，也就是銀行對于審計的執行力力度不高，缺乏長效監督，而且銀行通過審計發現問題時不能及時的進行處理。

2.對于有些銀行的審計來講，執行力度不夠，簡單來講就是審計的廣度和深度不夠，并且審計的頻率比較短，有些小銀行完全不重視信息技術的審計工作。

二、加強銀行信息安全管理的重要性

加強銀行信息安全管理，不僅僅能夠使銀行系統安全和穩定的運行，而且還能夠在一定程度上保障我國經濟的平穩增長：加強管理的直接目的就是為了能夠保障信息化的持續穩定發展。對于現在的信息技術來講，在很多銀行的操作系統中存在著漏洞，為了能夠及時的修補漏洞，降低信息發生泄漏的危險，就需要針對每個漏洞進行補丁程序的修訂，定期進行銀行系統的更新。

比如為了能夠保證信息的安全，需要對數據進行備份（包括主機熱備份以及災難備份的方式），按照軟件編程者的習慣，一般在進行設計的時候都會留有“后門”，后門的存在雖然會給軟件的修改和更新提供一定的便利，但是也給一些不法分子提供了攻擊的目標，影響了整個信息系統的安全性。

對于信息安全管理來講，我國在這方面的起步比較晚，與發達國家相比還存在一定的差距，整體的起步比較晚，信息管理的核心技術比較低，對系統風險的認知能力不夠，但是隨著經濟的迅猛發展，我國在信息安全管理行業的發展速度還是很快的。信息安全在銀行的系統運行發展過程中占據了非常重要的位置。隨著社會的發展，信用卡在人們日常的經濟活動中使用的范圍不斷增加，它連接了多個方面的利益關系，所以信息安全成為了重中之重。加強信息安全管理能夠更好的服務于客戶，提高客戶對于銀行的滿意程度，促進銀行的健康發展。endprint

三、如何構建銀行信息安全管理體系

隨著社會的不斷進步與發展，社會進入到了信息化社會，信息技術應用于人們日常的生產生活中，但是信息技術的應用也存在一些信息安全上的問題，如何能夠保障信息安全，是相關的信息安全管理工作人員所需要考慮的問題。在銀行中，為了能夠促使銀行的健康發展，需要加強信息的安全管理，構建一個安全、穩定和高效的銀行信息安全管理體系。

（一）建設信息安全管理技術體系

為了能夠更好的建設信息安全管理體系，先進技術的應用是必不可少的一部分，先進的信息技術能夠有效的降低安全事件發生的概率。當今在銀行中使用的信息技術主要包括身份識別技術，防火墻技術，防病毒技術，漏洞掃描技術和邊界防護技術等。

對于防火墻技術來講，主要使用的位置是在網絡的邊界上。使用的目的就是為了能夠對外界進行隔離，加強信息的安全管理。網絡病毒對于銀行信息安全的威脅是巨大的，一旦出現病毒侵入就會給銀行帶來巨大的經濟損害，為了降低發生事故時的經濟損失需要對系統數據進行備份。除此之外在信息安全管理系統中應充分應用身份識別技術，嚴格控制訪問系統的用戶權限。

（二）建設信息安全管理體系

為了能夠更好的進行銀行的信息安全管理體系建設，首先需要注意兩方面內容：其一就是信息安全制度建設：其二就是人員安全管理。在進行監督的時候需要從制度，政策和操作流程這三方面來進行，并且需要對信息系統中各個工作人員的有關工作的操作進行監控。科學和適應的制度能夠為銀行的信息安全提供基礎的保障，所以有關的銀行應該積極完善，創新信息安全管理制度。

對于銀行的信息安全管理來講，其核心就是要對相關的銀行操作人員進行管理。在人才的選用過程中，嚴格按照相關的規定按流程來進行操作，嚴禁出現暗箱操作等違規的現象；在員工的工作過程中需加強對員工的安全意識培訓以及工作行為的監控，這樣就能夠有效的避免因為工作人員的疏忽而造成銀行安全事故的發生，并且銀行需要建立科學和合理的人事任用制度，保證內部員工能夠按照有關的規定完成相關的工作，同時還需要加強對相關技術人員的培訓，讓技術團隊的應用能力能夠跟上時代發展的需求。建立健全的信息安全管理體系，能夠基本保障整個信息系統安全、穩定運行。

為能夠提高銀行信息系統的安全性，還需要有關的信息安全管理人員定期進行系統的檢測，及時發現系統中存在的問題并有效處置，降低銀行的損失。需要實時對技術以及管理方面的控制措施進行監控，對于銀行信息安全系統的維護，是一項長期并且艱巨的工作任務。

構件銀行信息安全管理體系，不僅能保證銀行核心業務數據的保密性、完整性和可用性，還能夠保證整個信息系統的安全性、可靠性和穩定性。

四、小結

本文主要簡單介紹了銀行信息安全管理體系的建設建議，希望讀者對其有簡單的了解。endprint