中小金融机构信息安全管理风险及对策
摘 要随着我国金融行业信息化建设持续发展,金融信息安全形势愈加紧迫。相对于大型金融机构,中小金融机构普遍缺乏信息安全总体规划和全面的信息安全管理,信息安全风险尤为突出,迫切需要构建一个管理手段与技术手段相结合的多层次、全方位的信息安全防范。基于此,本文对中小金融机构信息安全管理问题进行了探讨。
【关键词】中小金融机构 信息安全 对策 伴随金融机构信息化进程的不断加快,金融业务信息化依赖程度也日渐加深,信息安全风险对于金融机构,特别是中小金融机构的影响日益显著。中小金融机构作为金融行业的新生力量,迫切需要构建一个多层次、全方位的信息安全防范体系。 1 中小金融机构信息安全管理现状 1.1 信息安全管理不成体系
目前,大型国有商业银行和起步较早的股份制商业银行,通过自身的研发力量或引进国外核心业务系统,已逐步探索出了具有各自特色的IT架构及管理模式,信息安全防护体系比较完善。与大型金融机构相
比,中小金融机构的信息化进程起步较晚,信息安全意识存在一定偏差,大部分机构仅重视安全防护设备、安全工具的投资而忽视信息安全管理投资,以技术和产品形成的低层安全防护屏障替代全面信息安全管理,没有形成一个合理的信息安全方针来指导组织的信息安全管理工作。
1.2 IT服务外包现象普遍存在
中小金融机构快速发展的同时,科技人员数量与结构矛盾突出,由于不具备专业软件开发团队和系统运维队伍,很多业务需要借助外包力量来完成。中小金融机构往往采取与专业化软件公司合作的模式开发新业务所需系统,把一些关键的业务系统管理建设工作也都交给专业的公司,如有些银行将综合业务系统、网上银行系统等核心系统外包给城商行联盟,由其提供系统运营服务和系统安全建设服务。 1.3 信息安全多部门监管格局形成
2008年,人民银行“三定方案”明确人民银行负责“拟订金融业信息化发展规划,承担金融标准化的组织管理协调工作;指导、协调金融业信息安全和信息化工作。”银监会在2012年成立了信息科技监管部,负责制定银行业信息科技监管政策,指导银行业信息科技发展规划,开展信息科技非现场监管和现场检查。
公安部门则负责公共信息网络的安全监察工作,指导计算机信息系统安全保护工作,查处危害计算机信息系统安全的违法犯罪案件。近年来,各级地方政府也成立了金融办,负责落实当地金融政策,协调政府与金融机构的关系,防范化解当地金融风险。多部门对金融机构信息安全工作监督管理的格局基本形成。 2 中小金融机构面临的信息安全风险 2.1 信息安全战略规划缺失
中小金融机构由于缺乏信息安全总体规划,信息建设过程中欠缺统筹考虑,对于系统安全部分的硬件设施、软件设计模块缺乏,造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。经常出现系统刚上线就面临着升级改造甚至淘汰的局面,缺乏一个合理的信息安全方针来指导信息安全管理工作。 2.2 IT外包风险管理不到位
(1)软件开发外包会使重要信息例如源代码以及关键参数配置等技术数据不受自己掌控,另外,专业的软硬件公司的工作人员一般都不固定,金融机构对这些公司如果缺乏有力的制约,就会给外包系统的运作到带来很大的安全隐患,阻碍系统的有效运作; (2)业务系统运维管理外包,特别是包含银行核