農村商業銀行網絡安全管理研究

和發文

（山東省農村信用社聯合社，濟南 250000）

隨著大數據、云計算、移動互聯等技術的普遍應用，農村商業銀行信息化建設取得了長足進步，以網銀、手機銀行為代表的互聯網金融產品不斷推出，有力推動了業務的高速發展。同時，業務發展對信息技術的依賴越來越高，網絡安全風險及帶來的危害日益突出，這些都對網絡安全管理工作提出了更高要求。

1 農村商業銀行網絡安全管理現狀分析

（1）網絡安全管理要求逐漸明晰。面對嚴峻的網絡安全形勢，國家和行業主管部門、監管部門積極行動，國家層面相繼出臺了計算機信息系統安全保護條例、網絡安全法等法律法規；行業主管部門和監管部門制定了金融行業信息系統網絡安全等級保護實施指引以及信息科技風險管理指引等制度標準，為網絡安全管理工作指明了方向，明確了要求。

（2）網絡安全管理體系逐步建立。農村商業銀行根據ISO27001等有關標準，開展了網絡安全管理體系建設，建立了自上而下的安全管理組織架構，組建了網絡安全管理專職隊伍，出臺了涵蓋主要安全管理領域的制度辦法，并通過落實網絡安全等級保護、風險評估、科技審計等安全管理工作，逐步建立起較為完備的網絡安全管理體系。

2 存在的主要問題

（1）安全管理專業人才不足。網絡安全保護主要依據網絡安全法、系統等級保護的要求，圍繞管理和技術兩個維度開展，管理方面涉及安全管理制度、安全管理機構等五個方面，技術方面涉及物理安全、網絡安全等五個方面，以三級信息系統為例，國家標準和行業標準中提出的要求項和控制點就達到700余項，涉及范圍廣、專業性強，對安全人員素質要求較高。當前農村商業銀行專業人才配備與實際需求之間存在較大差距。

（2）新的安全管理要求不斷推出。近年來人民銀行和銀保監會加快推出新的安全管理要求，先后出臺了網上銀行網絡安全通用規范、業務連續性管理指引等制度規范，農村商業銀行需要不斷學習充實知識結構，及時修訂完善現有的安全管理體系，以適應新的管理、技術要求。

（3）防線部門履職不到位。當前農村商業銀行建立了科技、風險、審計三部門組成的信息科技風險防范三道防線，但由于缺乏專業人才、職責不明確、溝通機制不健全等原因，導致三道防線履職不到位，無法充分發揮風險防控作用。

（4）安全教育不足。一是對安全管理人員培訓次數和覆蓋面過低。農村商業銀行大都成立了安全管理員隊伍，但每年培訓次數較少，達不到人員全覆蓋。二是員工安全意識不高。人員對網絡安全風險的認知度不高，重視程度不足，日常操作中違規操作行為時有發生，人員仍是網絡安全中最薄弱的環節。

（5）大數據利用率不高。農村商業銀行具有系統日志、交易數據、客戶信息等大數據，目前尚未有效挖掘分析，無法最大限度發揮其在網絡安全管理工作中的價值。數據對于提高網絡安全管理精準度，具有重要意義，通過有效的數據挖掘分析，可以明確網絡安全管理薄弱環節和技術漏洞，及時識別和處置預警信息，并為自動化運維、機器人智能巡檢、客戶畫像、交易風險控制提供數據支持，有效降低運維操作風險和交易風險。

3 網絡安全管理建議

（1）強化安全教育，提升安全意識。一是加強制度宣講。“安全方面最大的風險是沒有意識到風險”，因此培養安全意識必須先行。農村商業銀行要讓員工了解安全管理制度的具體要求，并結合日常工作，知可為、知不可為。二是創新培訓教育方式。通過網絡安全宣傳片、網絡安全短信提醒、在線考試等方式，對技術人員、業務人員、管理人員進行多渠道、多層次的教育培訓，提高培訓效果。

（2）明確重點，分步實施。一是要合理制定工作規劃。明確各階段工作落腳點，并分清主次，分步實施。通過制定階段性工作目標，設定完成期限和工作質量要求，集中安全管理資源，按時保質完成。二是把握重點領域。因受管理范圍、信息系統重要程度、人員專業水平等因素的影響，安全管理工作應把握不同的重點領域。農村商業銀行作為信息系統的建設和使用單位，應重點抓好網絡安全接入、終端設備安全管理、安全事件報告、應急處置等工作，實施網絡安全責任制，規范員工操作行為，營造濃厚的安全管理氛圍。

（3）以問題為導向，做好整改工作。一是建立問題臺賬。要將各類檢查、評估、審計、滲透測試發現的問題歸納整理，形成問題臺賬，做到摸清現狀，知己知彼。二是狠抓問題整改。問題就是風險點，只有使問題得到有效整改，才能切實提高風險防控能力。要以問題為導向，明確安全管理提升的方向和目標，按安全管理領域進行合理分類，明確整改措施、期限、責任人，定期進行督導督辦，掌握整改進度，適時開展后續檢查，檢驗整改效果。三是做好持續改進工作。按照ISO27001安全管理標準，通過建立、執行、檢查和改進四個基本流程，對現有安全管理工作進行規范，對各項工作流程進行持續完善，不斷提高流程的可操作性。

（4）加強合作，破解履職難題。一是加強科技、風險、審計部門合作。農村商業銀行風險管理部門在開展風險識別評估、審計部門在開展科技審計過程中要發揮科技部門人才優勢，加強與科技部門的溝通協作，積極開展履職工作。二是開展第三方合作。通過外包方式，與第三方公司聯合開展相關工作，達到迅速提升自身履職能力的目的。

（5）加強數據分析，提高網絡安全管理精準度。一是加強數據治理。構建數據治理架構，明確數據治理職責；統一數據標準，對數據進行有效的分類分級管理，確保數據質量；明確數據收集范圍，對涉及個人敏感信息的數據加強防護，保障客戶權益。二是構建大數據平臺。充分利用數據挖掘技術，對交易數據、系統日志、客戶信息等大數據進行有效的、持續的分析，并利用大數據平臺，將相關數據進行整合展示，逐步形成有效的企業知識庫。充分利用數據分析結果，對信息系統、客戶、安全態勢進行精準畫像并持續監測，同時根據監測情況，及時調整優化網絡安全防護策略。

4 結束語

農村商業銀行網絡安全管理工作需要根據網絡安全形勢和要求，不斷改進和優化。本文通過對農村商業銀行網絡安全管理現狀進行深入的分析和研究，結合農村商業銀行信息化發展及管理實際，提出改進建議，對農村商業銀行有效進行網絡安全管理工作具有一定的參考價值。