人民銀行分支機構信息安全管理模式探討

胡滟

【摘要】本文以我省金融業信息安全管理為研究對象，運用經典管理模型，從管理制度、操作手段、協調組織三個維度梳理、歸納現行的各項金融業信息安全管理措施，通過從管理制度、管理意識、管理技術三大領域分析金融業信息安全管理難點，提出完善金融業信息安全管理工作的相關建議，以應對新形勢下人民銀行分支機構有效履行金融業信息安全管理工作職責的新要求。

【關鍵詞】金融業 信息安全 管理模式

《國務院辦公廳關于印發中國人民銀行主要職責內設構和人員編制規定的通知》發出之后，國務院賦予了人民銀行“組織制定金融業信息化發展規劃，負責金融標準化組織管理協調工作，指導金融業信息安全工作”等職責。新“三定”賦予了人民銀行指導和協調金融業信息安全管理職能，使得基層人民銀行科技部門成為金融行業信息安全管理的實施者。為了應對新形勢下人民銀行分支機構有效履行金融業信息安全管理職責的新要求。

一、現行金融業信息安全管理模式探索

傳統的經典管理模式是從特定的管理理念出發，在管理過程中固化下來的一套操作系統，簡稱為IOS模型，可以用公式表述為：管理模式=管理制度+操作方法+協調組織，可簡單表述為：

MS=F（i）+F（o）+F（s）（IOS模型）

其中MS：Management System、I：Idea/Ideology、O：Operation/Organization、S：Stratagem/Strategy。

通過運用IOS管理模型，可以從管理制度、操作方法、協調組織三個維度梳理、歸納現行的云南省金融業信息安全管理措施。管理制度包括：基礎安全規范、安全管理制度、安全技術規范；操作手段包括：報告機制、檢查機制、評價機制、提示機制；協調組織包括：協調機制。

二、金融業信息安全管理工作中的難點及問題特征

（一）金融業信息安全管理工作中的難點

按照新“三定”的要求，在總行政策指引下，結合云南實際，緊緊圍繞管理制度、管理意識、管理技術三大領域，梳理、分析金融業信息安全管理工作的難點。

1.管理難。一是法律規范缺乏。由于缺乏明晰的金融信息安全戰略定位，金融信息管理處于分業監管的體系；缺乏系統的金融信息安全法律規范，金融信息安全管理主體的法律地位、管理職責等均不明確，導致各級管理部門開展工作時職能不明確、管理角度和尺度不一、法律依據不足，以及對外資金融機構和產品監管不力。二是規定制度缺位。一方面，面對復雜多變的金融科技形勢和層出不窮的金融業信息安全管理新要求，新的規范和方案在出臺前未能及時清理完善，加之制度調整本身就缺乏一定的前瞻性和系統性，導致缺位現象，或者前后不銜接，不能為分支機構開展金融業信息安全管理提供標準明確、操作可行的規定。另一方面，隨著數據集中化的發展，信息安全管理需要及時調整，以適應數據集中化的發展趨勢的需求，而現行的規定制度存在缺位情況，給信息安全管理帶來一定困難。三是聯動協調缺少。相關單位與金融業相互之間缺少有效的聯動響應，應對來自國內外各種圍繞信息網絡空間的犯罪行為的應急和處置時，存在高難度和低效率的問題。

2.執行難。一是思想觀念存在誤區。重組織建設，輕責任落實；重業務風險，輕科技安全。二是發展預見性不足。由于對金融信息化發展規劃理解不夠透徹，對信息化長期發展預見性不足，導致安全防護在經歷了幾代技術后才真正得以控制。三是輿情工作有待加強。金融業信息安全工作還停留在全力進行事件處理的原有思路，對網絡時候的信息傳播速度和影響力估計不足，缺少預見、缺乏應對。

3.防范難。一是業務連續性能力需提高。災備布局規劃、災備基礎設施、應急組織協調、應急預案內容、實戰應急演練等方面尚需完善；人員思想認識有待加強，存在對突發事件抱有僥幸心理，需進一步提高責任意識。二是自主可控程度不高。云南省金融機構大部分信息系統所用的軟硬件為國外產品，大大降低了技術、產品和服務的自主可控度。三是外包風險管控不足。重要系統外包集中化存在安全隱患；中小金融機構過度依賴外包，信息化自主能力不足；缺乏對外包全程有效監督和約束。四是保障措施需健全。通過多項檢查、測評顯示，金融機構信息安全技術保障措施還存在脆弱性。

（二）金融業信息安全管理的問題特征

總體看來，金融機構重視信息安全工作，但大多停留在對“信息科技風險”的角度，從“操作風險”的角度看待信息安全，理性的按照風險管理理論選擇風險分散、風險轉移和風險補償等策略。但是信息安全不能等同于信息科技風險，不能以量化的資金損失來看問題，而是要從國家安全、經濟和社會穩定的目標出發，高度重視金融信息安全工作。

三、完善信息安全管理模式的相關建議

近幾年來，云南省人民銀行分支機構依據政策、結合實際，探索運用管理模式，實施、推進各項信息安全管理，“適應轉型要求，促進轉型發展”更好地履行央行職責，同時，金融信息化管理和協調職能作用的發揮促進人民銀行各職能部門更好地發揮央行的社會作用。但是伴隨著“數據集中、資源整合”進程，風險同時也高度聚集，容易引起區域性、系統性風險，從而威脅金融業信息安全。面對信息安全出現的新情況和新問題，人民銀行總行、分支機構高度重視金融業信息安全保障工作，不斷探索構建金融信息安全保障體系，建立相關標準規范，利用檢查測評及技術研究，加強金融信息安全管理。

（一）加強金融業信息安全管理的建議

1.落實標準規范，夯實安全保障基礎。一是加強標準規范建設和實施，促進提升風險管理能力。二是科學劃分信息安全級別，確保重點工作得到重點關注。三是試建立云南省業務管理規范。

2.加強檢查測評，督促落實安全保障要求。一是加強等級保護工作，提升金融業信息系統安全防護能力。二是積極開展信息安全事件處理。總結多年來處置各種信息安全事件的經驗，拋棄簡單的“出錯出發”做法，明確信息安全事件的處置原則，從信息安全事件不可避免的角度，研究提高業務連續性的措施和手段。endprint

3.構建協同機制，形成信息安全綜合防御體系。一是健全跨部門、跨省信息安全協調機制。“橫向協調相關部門，縱向互動跨省，密切聯系支撐單位”，成立建立金融業信息安全保障體系的堅強保證。二是建立信息共享機制。完善云南省金融業信息交互平臺，建立信息交換中心，開展“政策宣傳、形勢分析，案例解讀”等多種宣傳和培訓活動，提高省內的信息安全意識和技術防護水平。

4.嘗試創新研究，提高技術風險控制水平。一是推動創新機制。二是開展技術研究。長期跟蹤、研究技術發展趨勢以及伴隨產生的信息安全風險，提高技術風險控制水平。三是組織成立“專家咨詢委員會”。充分發揮保障、管理、研究、教學和交流等方面的專家作用，更好地開展全省金融業信息安全的工作。

（二）完善金融業信息安全管理模式-IOSX

根據科技和金融深化結合后信息安全出現的新情況和新問題，在原有的信息安全管理模式下，完善信息安全管理內容，并增加一項場變創新X，以滿足新形勢下控制和減少信息風險等相關信息安全工作的要求。完善的金融業信息安全管理模型簡稱IOS模型，用公式表述為：管理模式=管理制度+操作手段+協調組織+創新，可簡單表述為：

MS=F（i）+F（o）+F（s）+F（x）（IOSX模型）

其中MS：Management System、I：Idea/Ideology、O：Operation/Organization、S：Stratagem/Strategy、X：field-change。

IOSX管理管理模式，各自組成部分既有各自不同的內涵、不同的定位，又是緊密結合、不可分割的統一整體，能在實際操作中根據實際需要加以適當的調整和使用。

通過運用IOSX管理模型，從管理制度、操作方法、協調組織、場變創新四個維度整合完善云南省金融業信息安全管理措施。管理制度包括：基礎安全規范、安全管理制度、安全技術規范，操作手段包括：報告機制、檢查機制、評價機制、提示機制，協調組織包括：協調機制、信息共享機制，場變創新包括：推動創新機制、技術研究、專家咨詢委員會。

在金融機構持續健康發展的浪潮中，人民銀行總行、分支機構更加關注金融業信息安全管理，而信息安全管理的有效性又往往取決于順勢改變的管理模式，以此規范金融機構的行為，才能不斷取得成就。IOSX信息安全管理模型正好順應了金融業信息安全管理的發展趨勢，它倡導以管理制度為龍頭，以操作手段和組織協調為基礎，劃分全責，規范運作，進行全方位技術創新研究，實現金融機構快速穩健發展。

參考文獻

[1]王永紅.切實加強金融信息安全管理——提升金融信息安全保障水平[J].中國信息安全，2013（4）.

[2]陳柳欽.構建金融信息安全保障體系的基本思路[J].價格與市場，2009（3）.

[3]孫琴芳，許一帆.金融信息安全工作的探索實踐和建議[J].實務，2011（11）.

[4]趙忠鑫.基于安全基線的金融信息安全管理辦法研究[J].軟件，2013（6）.endprint