淺析政府視角下中小型銀行信息安全管理問題探究

李曉娜

【摘 ?要】目前全國中小型銀行快速發展，其服務的業務范圍和領域逐漸擴大。銀行內部的信息化建設需要建設和發展，但信息化帶來便利的同時也存在一定的風險——網絡信息安全，數據的大量集中會導致不法分子通過網絡漏洞竊取信息。本文著重從國內中小型銀行出發分析它在信息建設、安全管理、甚至是各個政府監管部門過程中存在的不足，結合當前國家信息安全系統監管標準的要求，不斷的摸索出一套屬于中小型銀行信息安全管理體系。

【關鍵詞】中小型銀行;信息安全;管理

一、我國中小型銀行信息安全管理的現狀及特點

近幾年來，金融行業的信息化使用程度越來越高，但給中小型銀行帶來發展機遇的同時，信息安全風險也逐漸成為中小型銀行風險之一。對于國內部分中小型銀行來說，投入信息化建設，能夠擁有強大的數據集中存儲與管理，為客戶服務提供有力支持。但我們必須保持理性，需要重視信息安全建設。

二、我國中小型銀行信息安全存在問題分析

（一）政府方面的原因

1.監管部門之間缺乏協調機制

在我國，對于銀行信息安全的監管部門有中國人民銀行、中國銀行監督管理委員會、公安部門及部分地區的金融辦等。監管部門雖多，但是這些部門缺乏統一的協調機制。在執行各自的職能時，會缺泛一定的溝通和協調。一旦銀行信息系統出現問題，會出現不知道找哪個部門溝通和處理，部門間可能會出現脫節、相互推脫的現象。因此，監管部門之間的協調機制十分重要。

2.監管手段單一化

隨著銀行業務的拓展，信息化建設加快，但是監管部門的監管效率較慢，而且檢測技術落后，信息系統一旦出現問題都要到現場處理，客觀上也造成了社會資源的消耗。

3.監管人員綜合素質參差不齊

據了解，目前銀行監管部門的監管人員年齡相對較高，在監管方面力不從心;而年輕的監管人員缺乏工作經驗，對信息安全建設不夠了解，自身的綜合素質缺乏提升，這導致監管人員綜合素質參差不齊。

（二）銀行方面的原因分析

1.缺乏信息安全管理理念

我國的中小型銀行雖已建立了信息系統，但對信息安全缺乏概念。加上信息安全系統管理人才的缺失，普遍的管理人員知識有限，對信息安全管理的認識存在偏差，對于內部審計、管理流程設計、操作規范、應急響應機制等缺少足夠的認識和投入，造成了重視安全技術方面的投入，而忽視管理方面的投入。

2.信息安全管理制度建設滯后

目前中小型銀行尚未建立起自下而上的責任制，崗位分工和職責不清。未實行業績考核，沒有將各部門的信息安全管理考核與其收入和晉升等掛鉤，導致內部管理人員沒有重視自己的職責。未建立完整的規章制度體系，崗位保密責任和定期輪換崗制度執行的不到位。

3.科技安全管理體系不完善

目前中小銀行的信息安全管理尚處于初期，隨著銀行業務對信息科技依賴度的加強，信息科技帶來的風險已顯現，存在于外包服務、網絡運營商服務當中。一些沒有國家資質的小企業開發的業務應用系統直接接入核心業務系統，給核心業務系統帶來了潛在的風險。銀行應該謹慎選擇第三方外包服務商，選擇經過國家有關部門認證的機構，并且嚴格履行考察等手續。

三、我國中小型銀行信息安全管理對策建議

信息安全管理是一個龐雜的系統性工程，需要政府的協調、指導、規范，應該根據中小型銀行的發展變化制定相應的指導性規范或參照標準。同時也需要中小型銀行自身的重視、建設、完善，在資金投入有限，管理水平較低，專業人員匱乏的情況下，加強管理，合理規劃顯得尤為重要。

（一）政府方面

健全的法律體系、基礎設施建設、完善的配套設施等都為銀行信息化建設和信息安全體系建設提供了強有力的保障。政府有關部門應該加強宏觀管理，加強對中小型銀行的監管力度，對于存在的信息安全問題及時發出預警，加強行業指導，制定和完善信息安全管理法規和標準體系，最重要的是培養信息安全管理專業人才。

1.健全銀行信息安全監管組織

在銀行信息安全監管過程中，建議成立獨立的銀行業信息安全監管組織，只對銀行信息系統安全負責。對于在監管銀行信息安全時發現的涉及風險處理的移交銀監會處理，涉及信息安全犯罪的移交公安部門處理。這樣才能徹底避免信息安全建設重復管理的問題，切實提高銀行信息安全監管效率。

2.合理引導銀行業信息化建設和信息安全體系建設

國家應該制定銀行業信息安全管理體系建設總體剛要，合理引導銀行按照綱要以及自身實力開展信息安全管理體系的構建。對技術標準、法規制度、總體架構、產品創新、建設流程、實施步驟、人員管理等進行部署和規劃。制定周全的信息安全防護體系范本，提高國產安全產品的研發推廣，提供可靠的軟硬件設備和服務，逐步完善銀行信化技術體系框柴。

3.有計劃的培養金融信息安全專業人才隊伍

目前，我國的金融信息安全人才缺乏，他們大多數停留在教學和理論層面，缺乏實踐經驗。因此，在信息安全專業人才培養方面，各家銀行應該與高校加強合作，開展人才定向培養，讓熟悉實際情況的科技人員進入高校深化理論學習，也讓高校師生到銀行實習，有針對性的培養理論功底扎實、實戰經驗豐富、富有創新能力的高素質命融信息安全專業人才。

4.建立完善的銀行信息安全管理法規體系

中國政府金融管理部門在金融信息化迅猛發展的今天，也深刻認識到了銀行業制度建設的重要性。因此，中國政府金融管理部門應該建立一套完善的銀行信息安全管理法規體系，對一切觸碰法律底線的不法分子，給予嚴重的處罰。

（二）銀行方面

中小型銀行應該切實提高風險意識，根據自身的經濟實力、營業狀況、發展規劃、業務特點等多方面多角度積極構建合理、高效、實用的安全管理體系，同時，也要加強銀行工作人員的信息安全意識，發現信息漏洞及時進行處理。

1.制定信息安全管理體系建設總體目標

中小型銀行應該將銀行信息安全管理體系建設納入銀行發展總體規劃中，統籌安排，從人、財、物等方面通盤考慮，適時引入外部先進的管理方式，建立統一全面的信息安全政策、標準與規范體系。中小型銀行必須重視信息安全系統架構的搭建，明確階段性建設目標，力爭在前期以最少的資金投入獲得高標準的信息服務和安全保障。

2.制定安全專業人才開發戰略

根據實際情況分層次、分步驟培養信息科技人才，培養懂管理、懂技術、懂業務的復合型管理人才，要通過引進專業人才等手段更新知識和人員結構，充分調動科技人員的積極性，對于有突出貢獻的人員和團隊給予適當的獎勵，不斷激發科技人員的歸屬感，強化科技隊伍的培訓，實現科技人員知識結構的不斷更新，開展信息安全保密教育，提高科技人員的安全防范意識，實行重要崗位AB角制度，避免因科技人員的流失造成科技工作中斷，確?？萍脊ぷ鞯倪B續性。

3.完善內部信息安全管理機制

設立相對獨立的信息安全監督部門，賦予其對信息安全決策、管理和執行進行監督的職能，定期對信息系統的風險檢測調查研究、評估、分析，排查信息風險的漏洞，并形成專門的報告，為銀行管理層的決策提供參考和科學依據。完善內部考核機制，實行安全事件"一票否決"，管理人員、操作人員、系統管理員及其他相關人員實行"誰使用誰負責"、"誰主管誰負責"的原則，明確劃分責任。

四、總結

在目前，我國許多中小型銀行的信息安全系統還未真正完善，在安全防護技術上也存在弱項，但我堅信只要國家、政府、銀行內部管理人員重視起來，加強對銀行內部信息安全系統的監督。我相信經過我們的共同努力，我國中小型銀行信息安全建設定能帶來質的突破。

參考文獻：

[1]彭金輝.準公共品視角下銀行業監管模式的探討[J].國家行政學院學報，2011，（03）

[2]江松.國內銀行IT外包的優勢、風險與對策[J].中國證券期貨，2012，（12）

[3]李振汕.對網絡信息安全法律若干問題的研究[J].網絡安全技術與應用，2010（1）