趙輝

摘 要：隨著信息技術(shù)在央行的廣泛使用，科技安全管理的重要性越來越突出。通過對山西省16個(gè)地市及所轄縣支行歷時(shí)六年的實(shí)地調(diào)查和現(xiàn)場審計(jì)，從內(nèi)部審計(jì)的角度對基層央行科技安全管理現(xiàn)狀、潛在風(fēng)險(xiǎn)等進(jìn)行分析，并提出相關(guān)建議。

關(guān)鍵詞：科技；安全管理；內(nèi)部審計(jì)；風(fēng)險(xiǎn)隱患；對策

中圖分類號：F830 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-291X（2016）06-0147-02

隨著科學(xué)技術(shù)的發(fā)展和信息水平的提高，信息技術(shù)為央行的相關(guān)工作帶來了很多便利，相關(guān)部門也在科技安全管理方面做了大量的工作，但是從審計(jì)部門近幾年開展的科技安全管理審計(jì)情況看，各行在管理、操作等方面仍存在漏洞，需要進(jìn)一步提高和改進(jìn)。

一、山西省人民銀行科技安全管理現(xiàn)狀

從2009年開始，歷時(shí)六年的時(shí)間，我們在全省人民銀行范圍內(nèi)開展了科技安全管理審計(jì)。通過現(xiàn)場審計(jì)、發(fā)放調(diào)查問卷以及和一線職工的溝通交流，了解到基層行在科技安全管理工作中普遍存在和反映較多的問題。

（一）從現(xiàn)場審計(jì)掌握的情況

通過對山西省16個(gè)地市及縣支行的審計(jì)了解，2009—2014年共發(fā)現(xiàn)287個(gè)問題，主要表現(xiàn)在內(nèi)控制度、機(jī)房安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全、應(yīng)用系統(tǒng)維護(hù)、采購?fù)獍?、?yīng)急備份等方面。在上述發(fā)現(xiàn)的問題中，機(jī)房安全管理、應(yīng)用系統(tǒng)運(yùn)行維護(hù)和網(wǎng)絡(luò)安全管理方面存在的問題最多，風(fēng)險(xiǎn)最大。

1.機(jī)房安全管理問題中，主要表現(xiàn)在機(jī)房進(jìn)出控制、監(jiān)控盲區(qū)及安全運(yùn)行監(jiān)測信息資料保存期限、日常巡檢及機(jī)房選址存在漏水、被盜隱患方面。

2.應(yīng)用系統(tǒng)運(yùn)行維護(hù)問題中，主要表現(xiàn)在未開啟安全日志審計(jì)，口令密碼設(shè)置簡單；系統(tǒng)維護(hù)記錄不準(zhǔn)確等方面。

3.網(wǎng)絡(luò)安全管理問題中，主要表現(xiàn)在客戶端未安裝主機(jī)監(jiān)控系統(tǒng)、未禁用系統(tǒng)默認(rèn)來賓賬戶、使用未注冊的移動存儲介質(zhì)，防病毒軟件病毒特征庫升級不及時(shí)等。

（二）通過調(diào)查問卷及訪談了解的情況

1.內(nèi)控制度落實(shí)難。雖然近幾年從上到下均制定了大量的規(guī)章制度，但部分制度的制定與執(zhí)行存在脫節(jié)的情況，尤其是上級行制定的一些制度，大部分是針對上級行自身的實(shí)際，沒有充分考慮到基層的具體實(shí)際情況，制度下發(fā)后在基層行很難執(zhí)行。

2.人員結(jié)構(gòu)調(diào)整速度慢。調(diào)查問卷顯示，75%的管理層認(rèn)為科技人員結(jié)構(gòu)不能滿足管理要求，具體表現(xiàn)為：總量不足、年齡大、任務(wù)重，知識結(jié)構(gòu)老化。經(jīng)了解，科技部門現(xiàn)有人員有2/3已超40歲，對新知識接受較慢，尤其在央行數(shù)據(jù)集中的背景下，信息人員網(wǎng)絡(luò)安全知識更新速度跟不上，在工作中容易出現(xiàn)失誤。

3.科技人員少且兼崗多。在實(shí)際工作中，大部分安全管理人員既要負(fù)責(zé)網(wǎng)絡(luò)防病毒系統(tǒng)、內(nèi)部網(wǎng)絡(luò)管理維護(hù)以及內(nèi)外網(wǎng)安全管理等工作，還要承擔(dān)應(yīng)用系統(tǒng)的維護(hù)、軟件管理、硬件維護(hù)和網(wǎng)絡(luò)通信管理，時(shí)常出現(xiàn)顧此失彼的現(xiàn)象，難以保證科技管理及維護(hù)工作的質(zhì)量。

4.專業(yè)技術(shù)培訓(xùn)不足，員工素質(zhì)相對滯后。調(diào)查問卷顯示，90%的科技人員認(rèn)為需要加強(qiáng)技術(shù)及信息安全培訓(xùn)和經(jīng)驗(yàn)交流。經(jīng)了解，在實(shí)際工作中對于業(yè)務(wù)系統(tǒng)上線及使用，上級行只注重對業(yè)務(wù)人員的培訓(xùn)，忽視對科技人員的相關(guān)培訓(xùn)，造成科技人員不熟悉，甚至不了解業(yè)務(wù)系統(tǒng)，導(dǎo)致問題處理不及時(shí)。

二、潛在的風(fēng)險(xiǎn)隱患

針對以上審計(jì)中發(fā)現(xiàn)的問題可以看出，基層央行科技安全管理方面的風(fēng)險(xiǎn)來源主要為管理風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)。

（一）管理風(fēng)險(xiǎn)

隨著對信息安全認(rèn)識的加深，我們逐漸意識到“人”的風(fēng)險(xiǎn)其實(shí)是最大的風(fēng)險(xiǎn)。人，特別是銀行內(nèi)部員工，既可以是對信息系統(tǒng)的最大威脅，也可以是最可靠的安全防線。但是從實(shí)地調(diào)研情況看，基層行實(shí)現(xiàn)從“最大威脅”到“最可靠防線”的轉(zhuǎn)變中還存在一些不容忽視的問題，表現(xiàn)為：一方面，部分職員沒有樹立正確的職業(yè)道德觀念，加之缺乏激勵(lì)約束機(jī)制，覺得干好干壞沒差別，干多干少一個(gè)樣，缺乏工作熱情，出現(xiàn)不思進(jìn)取的現(xiàn)象；另一方面，基層行科技人員職業(yè)技能落后，隨著信息化的高速發(fā)展，使一部分職員出現(xiàn)技能上的脫節(jié)，遇到威脅信息安全的事件不能及時(shí)采取措施，消除威脅，給信息安全帶來潛在風(fēng)險(xiǎn)。

（二）操作風(fēng)險(xiǎn)

隨著央行各項(xiàng)業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高，信息系統(tǒng)風(fēng)險(xiǎn)的影響也越來越大。而誘發(fā)操作風(fēng)險(xiǎn)的原因也是多種多樣，無論是有意越權(quán)訪問或是無意誤操作，還是技術(shù)缺失，都會把風(fēng)險(xiǎn)變成實(shí)實(shí)在在的損失。從審計(jì)情況來看，發(fā)現(xiàn)的問題大部分屬于操作風(fēng)險(xiǎn)，如在網(wǎng)絡(luò)設(shè)備安全審計(jì)日志的設(shè)置及使用方面，基層行科技人員由于對安全審計(jì)日志操作不了解，專業(yè)技能達(dá)不到，不敢貿(mào)然操作，導(dǎo)致目前此項(xiàng)工作處于空白狀態(tài)，使科技管理人員不能完全掌握網(wǎng)絡(luò)信息系統(tǒng)的實(shí)際使用狀況，幫助管理者發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)，達(dá)到控制人為因素造成重要業(yè)務(wù)系統(tǒng)停頓的損失的目的。

三、對策建議

（一）強(qiáng)化工作人員的科技安全意識

強(qiáng)化科技安全意識就是要讓工作人員認(rèn)識到科技信息安全是信息正常而高效運(yùn)轉(zhuǎn)的基礎(chǔ)，是保障央行信息安全重要前提，從而牢固樹立信息安全第一的思想。管理層要利用多種途徑對員工進(jìn)行信息安全方面的教育，普及信息安全知識，同時(shí)確保防范手段和技術(shù)措施的先進(jìn)性和主動性。

（二）提高職業(yè)道德水平

職業(yè)道德既體現(xiàn)在思想上對工作認(rèn)真負(fù)責(zé)，又體現(xiàn)在技能水平上有充足的專業(yè)勝任能力。一方面要通過制定完備的安全管理政策、健全的安全文化建設(shè)等手段，達(dá)到有效降低人的安全風(fēng)險(xiǎn)；另一方面要引導(dǎo)員工端正職業(yè)態(tài)度，強(qiáng)化思想教育，定期組織員工進(jìn)行思想交流，及時(shí)糾正員工在思想上的不良傾向。

（三）完善內(nèi)部控制制度，降低操作風(fēng)險(xiǎn)

要降低操作風(fēng)險(xiǎn)，關(guān)鍵在于完善內(nèi)控，包括對員工、業(yè)務(wù)流程等的管理措施?；鶎有幸鶕?jù)自身的實(shí)際情況，建立相應(yīng)的操作風(fēng)險(xiǎn)管理機(jī)制，對潛在的風(fēng)險(xiǎn)進(jìn)行有效的識別和評估，并采取有效的監(jiān)控手段，從而發(fā)現(xiàn)并解決操作風(fēng)險(xiǎn)中存在的問題。

（四）強(qiáng)化監(jiān)督管理

基層行科技部門人手少，兼崗多，自我監(jiān)督力量和能力較弱，上級行加強(qiáng)監(jiān)督檢查顯得尤為重要。在監(jiān)管過程中要改變單一的“上查下”方式，結(jié)合檢查發(fā)現(xiàn)的問題，有針對性地開展實(shí)地指導(dǎo)，做到既查問題又幫助改進(jìn)工作，切實(shí)達(dá)到促進(jìn)基層行落實(shí)制度、防范風(fēng)險(xiǎn)、改進(jìn)工作的目的。

（五）開展專業(yè)維護(hù)技能培訓(xùn)，建立激勵(lì)機(jī)制

以針對性和實(shí)用性為原則，對現(xiàn)有科技人員進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、安全防護(hù)等方面的培訓(xùn)，提高其業(yè)務(wù)技能和水平。同時(shí)建立有效的科技工作激勵(lì)約束機(jī)制，通過強(qiáng)化優(yōu)勝劣汰的競爭氛圍，提高員工的競爭意識，積極主動提高自己的職業(yè)能力，確保基層行科技工作有序開展。

[責(zé)任編輯 王玉妹]