基層央行信息安全管理工作的現狀及思考

一、信息安全管理現狀

（一）縣支行科技人員配置優化不夠

目前，人行隴南中支8家縣支行均設有信息安全管理專員，專門解決本單位相關信息安全問題，而轄區內縣支行信息安全管理員一般為兼職，所以在某些突發狀況時存在不能夠及時有效處置的情況。

（二）業務人員對信息安全知識儲備不夠

縣支行部分業務人員對計算機知識了解甚少，對于設備非正常運行或者對其他業務系統運行產生影響的故障，主觀地認為設備機器基本能正常運行，就認為設備或者系統運行正常。同時縣支行業務人員普遍存在計算機有問題就靠科技人員，自己對信息安全問題沒有主動防范意識，大大的增加了計算機使用的安全風險。

二、信息安全管理存在的問題

（一）計算機信息安全意識有待進一步提高

由于每年新入行人員少，縣支行的人員結構更新慢，導致對于新興的信息安全知識欠缺，主動防范意識淡薄。信息安全對基層央行來說至關重要，通常大家對計算機往往都是著重于使用，而輕視管理，眾多相關的信息安全問題，經常要在科技人員提示下才能高度重視，采取相應措施。這些問題主要是由于員工缺乏信息安全意識，對信息安全認識不到位，經常認為信息安全管理工作只是科技人員的職責，很難形成全行上下齊抓共管的局面。

（二）科技人員配備少，業務水平較低

目前，隴南中支轄區8家縣支行均未配備專職科技人員，而是由辦公室業務人員兼任信息安全工作。這些兼職人員不僅要完成崗位職責范圍內的工作，還要處理全單位所有的科技、網絡、信息、設備維護等相關工作，工作量較重、工作壓力大。另外，由于越來越多的系統上線，對于縣支行科技人員的要求也越來越高，導致縣支行信息安全運轉的高要求和科技人員配備、技術水平偏低之間的矛盾越發突出。

（三）突發信息安全事件的處理時效不高

一是由于縣支行管理員對于信息安全專業知識較為匱乏，應用能力欠缺，在重大應急事件的處理上不能夠主動作為，一般都是中支科技人員派專人到縣處理問題，從事件的發生到處理一般都需要一個時間跨度，所以時效性不能夠保證；二是由于安全管理員大部分時間都用于主業，經常忽視網絡信息安全管理工作，使得無法及時有效的開展信息安全管理工作。

（四）業務人員風險意識不強，制度認識不到位

一是業務人員風險意識淡薄。隨著信息電子化的發展，各部門信息安全培訓沒有跟上，防范風險的意識沒有相應的提高；二是部分縣支行科技人員對計算機安全制度的認識不夠全面。在平時配發的新機器上不能夠及時的安裝計算機安全相關軟件或者漏安裝部分安全軟件，導致計算機處于無防護或半防護狀態，在使用過程中容易出現各種問題；三是對制度的宣傳不夠到位。在平時計算機的使用過程中，更多的還是相關業務人員在使用計算機，而對于這一部分人員的計算機安全的相關宣傳不夠到位，使得他們對科技人員的過分依賴，導致在使用過程中比較隨意，缺乏主動防范風險的意識。

三、對策與建議

要把做好信息安全管理工作提升到改善金融服務和保持金融穩定的高度來抓。一方面，要做好科技服務，不斷提高服務水平；另一方面，要充分利用好、整合好現有的資源，切實提高信息安全防范意識和防范水平。

（一）增強安全意識，進一步完善安全管理體系

一是切實加強轄區內信息安全員對信息安全管理和風險防范意識，充分認識信息安全風險所帶來的嚴重后果。定時定期的認真向領導反映支行所面臨的信息安全風險，介紹防范信息安全風險的重要性，引起領導的足夠重視；二是科技管理部門和縣一級信息安全員要認真履行管理職責，積極監督各項制度的落實和實施，加強對本部門信息安全使用情況的檢查，及時發現并解決問題，消除不安全隱患。

（二）克服人員不足難題，提高風險意識

一是在原有人員的基礎上，通過分批次全員培訓的方式，使得人人都有充當信息安全員的能力，進一步降低安全風險。二是建立健全激勵機制，使全轄區信息安全員能夠積極主動的開展信息安全管理工作。例如每年能評選1-2名優秀信息安全員，給予榮譽及適當的物質獎勵，也可以參考對先進工作者和年度考核優秀人員的獎勵。在意識與物質配合的基礎上，進一步強化信息安全管理工作。

（三）加大科技投入，逐步改善網絡和計算機運行環

一是進一步強化科技人員力量，積極向上級行申請專項資金，加大科技投入力度，重點改善縣支行機房設備、安全運行環境、網絡端口、電源線路等問題，切實保障縣支行網絡信息安全運行；二是為進一步提高網絡安全系數，確保重要系統安全穩健運行，科技人員要結合電子設備購置專項指標數，評估本年度需要的設備數量，完善更新計劃，增加安全產品防御系統，確保設備投入可行有效。

（四）經常開展全員信息安全培訓工作

一是分層級進行信息安全培訓，讓全員充分認識信息安全的重要性，特別是要讓行領導尤其是“一把手”真正重視起來，鼓勵全員參與，從根本上避免信息泄漏隱患，讓全員都成為信息安全管理中的明白人，只有思想上重視起來，不斷加強學習信息管理方面的知識，才能為本單位信息安全管理工作打下堅實的基礎；二是本單位相關科技人員要積極主動更新知識儲備，使得能夠獨立自主的處理計算機常規問題、網絡故障以及計算機網絡防御能力，并定期模擬發生信息安全事件，組織各縣支行信息安全員參與信息安全事件的處置過程，提升他們的實戰經驗，檢驗他們對日常信息安全管理知識的掌握情況。對本單位其他人員要經常開展信息安全知識普及、計算機基礎知識等培訓工作，使全員樹立信息安全意識，時刻把安全生產放在首位。

作者簡介：朱彥波（1992-），男，漢族，甘肅康縣人，助理工程師，任職于中國人民銀行隴南市中心支行，研究方向：金融服務、信息安全等。endprint