試論商業銀行信息安全現狀及問題

劉洋

【摘 要】近些年來，隨著銀行經營與管理對信息技術依賴的日益廣泛和深入、網上銀行等新渠道業務形式的迅速發展，以及信息系統復雜程度的日益增加，我國銀行面臨著日益嚴峻的信息安全風險帶來的挑戰。隨著商業銀行信息安全問題的日益復雜化，其嚴峻性要求商業銀行采取一定措施避免出現商業銀行信息風險帶來的金融危害。因此，加強對銀行信息安全風險的研究，把銀行信息安全放在高度的戰略位置上，加強對信息安全風險的提前監管與控制，成為當代防控銀行信息風險的關鍵步驟。

【關鍵詞】商業銀行；信息安全；管理；策略

為了進一步確保銀行的信息安全，推進銀行信息安全管理，商業銀行不僅增加投入比重，加強對系統運行的嚴格管理。然而，盡管采取了一系列措施措施，銀行信息安全事件還是不斷發生，近些年來，一些黑客高手處于商業利益的考慮也不斷干預銀行信息安全體系的正常運營。此外，金融市場上存在的不當競爭，使得一些銀行采取不當或違法方式入侵其它銀行系統，從而為商業銀行個人信息安全造成了嚴重的威脅。這就說明我國商業銀行信息安全仍然存在著問題。

一、商業銀行信息安全的現狀

（一）信息安全管理制度不斷改進

近年來，我國政府加強了對各級商業銀行信息安全風險的高度重視，特別是商業銀行數據中心的監管工作更是不敢懈怠。商業銀行不僅在意識上提高了對信息安全風險重要性的認識，而且在其信息安全風險的管理方面加大了投入，日高了成本，逐漸完善各項信息安全管理制度，并開始建立適合商業銀行信息安全風險管理體系。

（二）信息安全監督明顯加強

銀行信息系統的安全、可靠和有效有利于包括商業銀行在內的整個銀行系統的安全與穩定，銀行信息安全理應成為整個金融體系中的關鍵環節，從戰略高度將信息安全的監管看做防范與化解風險的重要保障，將信息科技風險管控工作納入總體風險管理框架之中，構建監管的長效機制，不斷完善和正確實施，才能真正保障信息系統的安全、可靠與穩定運行。

（三）信息安全管理投入日益加大

加大了在信息安全運行系統中運行監控、流程優化、病毒防范等方面的投入力度，推動了信息安全管理工作的進一步發展，也使得商業銀行的整體防范風險水平上了一個嶄新臺階。但是也要看到的是，以上這些成就主要集中在國有大型商業銀行中，對于中小商業銀行來說，由于各種原因的局限性，災備中心的建設還沒有出現良好勢頭的“中國模式”，亟待重視與完善。

二、商業銀行信息安全存在的問題

（一）信息安全意識不強

要知道商業銀行要想實現長遠的穩健的發展，必須建立健全約束機制與清晰的市場定位，而信息安全管理與風險防范工作則是前提中的前提，基礎中的基礎。內控機制的缺位或短缺，直接導致各項業務制度保障的失衡，因此銀行內部不能夠對現行制度進行細化與整合，使業務發展出現不適應性與滯后性。內控制度也是一個銀行信息安全的重要保證，內控制度在很大程度上避免了銀行內部人員進入信息控制中心，從而導致了信息的丟失。

（二）信息安全缺乏統一管理

對于國內商業銀行而言，面對業務重組、IT外包、充分授權、扁平化組織和分布式處理等復雜多變的商業環境，如何精確保證信息安全戰略、信息化戰略與企業發展戰略的步調一致，普遍缺少科學方法的指導。由此造成信息安全管理缺乏統籌規劃，管理目標不明確，標準規范不統一，信息安全管理處于混亂無序的狀態，并導致資源的分配不均，最終影響銀行整體的信息安全風險管理的效率和效果。

（三）信息安全管理的人才匱乏

銀行方面仍把主要注意力放在業務拓展與壯大上，對信息安全管理的團隊建設與技術人才的引進與培養缺乏力度。信息技術人員一般分配在信息技術部門，但是在管理與業務部門的信息技術人員則相對有限，直接阻礙了復合型人才的后期培養。而從美國銀行業的情況看，約有44%的信息技術人員配置在數據處理中心，約31%配置在客戶服務系統部門，其余則配置在服務系統的終端部分。這種較為合理的人才資源架構可以充分發揮銀行各類從業人員的專業潛能，并成為銀行發展的有效助推力，形成復合人才的內生機制。

三、商業銀行信息安全問題的解決對策

（一）強化信息安全觀念

信息安全管理的終極目標是在風險發生之前降低風險系數，在風險發生過程中控制和降低已發生的風險帶來的負面影響與損失，并有效完成信息安全重建工作，修復信息安全管理體系。可見，樹立積極防御的思想，對信息進行基本的測量、評估，是信息安全管理的一個基本前提與方略。為了將信息風險消滅于襁褓之中，防患于未然，減少不必要的損失，商業銀行應樹立積極防御的思想，先期評估可能存在的風險與業務、信貸評析。這種先期思想能夠對帶有傾向性的問題進行早期預測，針對一些可能會出現風險問題的營業網點與相關部門制定有效的防范措施，從而將安全風險的可能性降到最低，減少日后補救所帶來的經濟與人力成本。

（二）構建信息安全管理體系

信息安全風險管理的組織機構是商業銀行開展信息安全風險管理工作的組織保證。因此，成立相關專業性和綜合性的機構組織（委員會或領導小組）是很有必要的，如資產管理委員會、貸款審查委員會、“三防一保”領導小組等等，達到進一步加強風險管理的目的。還可以按照巴塞爾委員會的相關要求，成立內審委員會，實行內審委員會對法人負責的制度。另外，為了避免將信息安全管理由科技部門單一負責的情況，應考慮將信息安全管理置于整個組織機構的管理范圍中，形成業務部門、管理部門與信息安全部門的明確責任分工，發揮橫向調節、縱向制約的組織功能。

（三）重視復合型信息安全人才的培養

重視科技與管理人才的引進，選拔素質高、技能強并具有相關管理經驗的復合型人才從事信息安全管理工作。首先，應從人才的引進與培養的漸進性和連續性上優化人員結構，形成梯隊；合理配置和使用人力資源，明晰高層、中層以及低層員工在信息安全方面的各自職能，實現人盡其才的和諧局面，促進一個縱向延伸，橫向制約的信息安全管理系統的建立。另外，圍繞信息安全管理進行鼓勵以及獎罰制度的制定，建立業績評價體系，通過多種獎勵性的刺激手段，樹立模范典型，促進具有較強的凝聚力的信息安全管理人員隊伍的建立，為在運營過程中有效的預防與處理風險提供人員支持。

（四）建立信息安全內部控制

內部控制涉及領域領域較廣，可以說涵蓋了銀行內部所有從業人員，包括董事會、管理層和其他工作人員。從目前來看，商業銀行的內控文化尚未真正建立，特別體現在高層領導不重視，部分工作人員也未能充分認識到內控機制的重要意義。因此，要想在銀行內部樹立內控文化體系，應首先針對高層進行培訓，使他們意識到信息安全管理與內控機制的重要關系，并在日常銀行運營中，將內控文化時時刻刻體現在銀行內部的環境中，使工作人員在有形與無形中受到內控文化感染，進而外化為自己的行為實踐，嚴格按照規章制度辦事。另外，要定期開展思想道德教育和法制教育，將職業道德考察和業務緊密結合，在利欲面前樹立牢固的思想防線，促使員工樹立企業責任感與主人翁意識，以自覺、主動地參與到銀行的發展中。

四、結語

綜上所述，我國商業銀行是我國金融體系中的重要組成部分，它運營的安全性是保證我國國民經濟健康穩定發展的重要因素。伴隨著我國銀行業信息系統建設的持續發展，商業銀行迎來了前所未有的發展機遇，成為國民經濟中信息技術應用水平最高的行業之一。但是近些年來銀行信息安全不斷暴露出大量問題，從而影響了銀行的健康有序的運轉。因此，針對這些問題，銀行逐漸重視了行業內部個人信息安全管理制度的建設，從不同的環節入手加強管理，以把由于信息安全方面產生的損失減小到最低限度。

【參考文獻】

[1]馬俊宇.商業銀行信息系統風險與安全研究[J].內蒙古科技與經濟，2019（04）：68-70+73.

[2]唐金海，熊占寅.新形勢下商業銀行信息安全現狀及問題分析[J].中國新通信，2018，20（23）：165.

[3]蔡婷婷.基層人民銀行信息安全管理的工作現狀分析[J].時代金融，2018（24）：84+88.