金融標準化下基層金融機構信息安全監管研究

王耀

摘要：信息化技術開始影響著各行各業，而中國的金融業信息安全受到了前所未有的關注。金融標準化工作對于基層金融機構信息安全起到重要作用。中國人民銀行作為金融業信息安全監管的主管部門之一，近年來，著力于優化金融標準化信息安全管理體制機制，加強金融標準的實施與監督。本文介紹了基層金融業信息安全的現狀、內外部環境，就基層金融業信息安全風險原因分析進行了詳細的分析，并提出了一些對策和建議。

關鍵詞：金融標準化 金融機構 信息安全

一、金融標準化下基層金融業信息安全推進現狀

央行等5部委于2017年聯合發布的《金融業標準化體系建設發展規劃（2016-2020年）》，明確了金融標準化工作的指導思想和主要任務。完成金融標準委員會換屆，制定發布證券及相關金融工具分類、云計算技術金融應用規范等18項金融國家標準、行業標準，在互聯網金融領域發布5項團體標準。各金融業按照國家的相關規定，制定了金融行業等級保護標準。這些標準對于金融行業由于數據集中、信息保密性高、資金交易、網絡拓撲復雜等特點導致的信息安全風險有了很好的防護效果。目前，我國建立的新型標準體系，對新技術體系下金融IC卡、非銀行支付、移動支付體系下等領域的標準在支持實體經濟發展方面發展起到積極作用。當前，中國在國際金融標準化活動中影響力逐步提升，開始主導制定銀行產品服務說明書描述規范、非銀行支付系統安全等多項金融國際標準。

二、國內金融標準化體系建設現狀的內外部環境

基層金融業信息安全的內部環境。在技術方面，隨著國產化進程的加快，逐步替換的軟硬件設備，國產化操作系統和殺毒軟件占有了極大的市場份額。但對于一些其它產品，比如CPU等一些設備讓那個無法實現國產化。過度依賴國外市場導致發生風險。從管理、制度方面，基層金融業在制定安全規劃、貫徹和宣傳金融行業標準等方面存在很多問題。網絡技術的高度發展與制度的相對滯后，形成了灰色的空白地帶。

基層金融業信息安全的外部環境。國內和國外的網絡犯罪活動都呈現出不斷上升的趨勢，金融業作為特殊的行業成為黑客攻擊的重點。中心化的金融體系結構，對于數據中心和災備中心的維護極其重要，信息安全形勢不容樂觀。據統計，保險業和互聯網金融占金融行業中漏洞數排在前二位。互聯網金融平臺不斷被爆出存在漏洞，互聯網借貸黑幕，P2P平臺跑路，后門程序，系統漏洞，信息炸彈，信息猜解（如遍歷查詢和操作他人賬戶、訂單等）成為普遍問題。在金融標準化體系下，基層金融業信息安全風險成為必須要關注的重點。

三、基層金融業信息安全風險原因分析

（一）基層金融業信息安全管理難度増加

基層金融業機構在基礎設施建設存在多方面不足。一是現在的機房建設實際不符合現有的標準。在對朔州市轄內各金融機構的機房建設進行實地走訪后，發現各機構在生產中心和災備中心的地理選擇和具體功能劃分方面都存在若干問題，其中對于機房交通、水電和環境方面問題更加明顯。例如，朔州市部分金融機構機房內存在雨水滲透的風險，用電管理不規劃等，這些都不符合C類機房的建設標準。二是部門金融機構沒有專門環境監測系統，無法對整個中心機房的供電、消防、溫濕度、安防進行全方位監控。生產區域與輔助區域劃分不明確，機房堆有雜物。三是第三方服務商能否長期穩定地為基層金融業機構提供高質量服務。IT外包風險是服務商能否長期穩定地為銀行提供高質量的服務，對于信息系統故障能否及時響應并修復，以保障銀行業務的連續性。再者，外包服務商在和銀行密切往來過程中會獲取一些銀行的內部機密信息，給銀行帶來商業秘密泄露的風險。

（二）基層金融業信息安全類標準不一

目前，正在使用的信息安全類標準有國際標準ISO27000系列、國家標準GB17859-1999系列、金融行業標準JR/T0071-2012。由于標準的不一致，信息安全的日常管理和監督帶來很多工作上的困難。JR/T0071-2012是GB17859-1999系列的延伸。這三個標準各有不同，ISO27000系列不具有強制性，JR/T0071-2012明確了實施要求和測評方法，可操作性很強。金融業行業標準在國家標準的基礎上添加了相應特性的指標，更適用于金融業管理實際。

（三）檢查指標要求與具體執行存在偏差

一是金融標準化制定與金融業務的發展相比較存在一定的滯后性，標準的制定需要一定的時間和過程，與之相對的是急速發展的金融業務，如互聯網金融。二是信息安全等級分別對二到四級有具體的要求，通過對朔州市各金融業機構進行實地走訪，發現符合二級等級的系統幾乎沒有，有的機構未減少投入成本，選擇等級保護低定。三是在實際的考核過程中，定量指標和定性指標分別適用于技術層面和管理層面。

四、對策與建議

（一）細化基層金融業標準化建設

基層金融業機構在系統剛建時要明確等級級別，據此選擇相應的安全措施，從預防的角度確保系統安全。各基層金融業機構應建立信息安全管理基線，基線管理就是細化信息安全管理指標及其具體要求。通過基線管理，各金融機構可更了解本機構信息安全的薄弱點，可配合風險管理進行分析，對每一個風險點進行評估。并實施動態管理，隨著內外部環境的變化，因時因勢進行改變，尤其是新出現的風險點要及時的進行更改和調整策略。

（二）充分發揮基層人民銀行的督促與業務指導作用

人民銀行的職能是維護轄內金融穩定，對當地金融機構的信息依照“依托標準、重在指導、加強協調”的原則進行安全管理。確定金融機構的信息安全管理的目標。在確定目標的過程總要充分考慮一致性原則、全面性、關鍵性和應變原則。目標應該符合金融標準化的要求和轄內實際情況。基層人民銀行要提高金融機構日常信息安全風險防范意識，完善系信息管理各項措施，加強指導與服務，全力保障業務連續性。

（三）建立科學的指標評價體系

對于金融業信息安全管理體系是一個動態持續的管理過程。可以用層次分析法確定指標權重，可以用專家討論、兩兩對比、層次分析法來構造判斷矩陣，確定指標項的具體權重。在判斷矩陣的構建中，根據兩指標之間的重要性程度來確定指標間的分數，可以劃分為極不重要（得分1/10）、不重要（得分1/2）、一樣重要（得分1）、略重要（得分5）、很重要（得分10）這五個等級。此評價體系在初步建立之后，對指標體系進行調查，經過多次反饋之后得出合理可行的指標體系，如下表所示4-1所示。M1對自身的重要性程度為1，對M2，M3，M4，M5的重要程度分別為1/10，1/2，5，10。

（四）加強金融標準化人才隊伍建設

人才在實施金融標準化中的過程中發揮著關鍵作用，只有不斷地為隊伍注入新鮮血液，才能更好的完成金融機構的標準化工作。一方面要注重用人導向，大力選用具有金融標準化實際工作經驗的人，針對金融標準化下信息安全工作中存在的問題，重點施策。另一方面，加大人才交流力度，學習金融信息安全標準化建設先進地區、先進單位的工作經驗，提升本地區人才的技能水平。

參考文獻：

[1]魏革軍.標準化是加強和改進金融統計的有效手段——訪中國人民銀行副行長杜金富[J].中國金融，2010（15）.

[2]伍艷梅，王曉昕.服務金融穩定大局加快推進金融統計標準化系統建設研究[J].吉林金融研究，2017（10）.

[3]程鋮.金融標準化體系下基層金融業信息安全監管研究[D].合肥：安徽大學，2016.

作者單位：中國人民銀行朔州市中心支行