邢陳思

摘 要：隨著銀行快速推進(jìn)信息化建設(shè)，各種業(yè)務(wù)系統(tǒng)持續(xù)上線運(yùn)行，邁向全面信息化集中處理階段，信息安全成為重難點(diǎn)問(wèn)題。本文根據(jù)銀行信息安全風(fēng)險(xiǎn)管理的不足，探究加強(qiáng)信息安全風(fēng)險(xiǎn)管理的措施，希望有助于銀行解決信息安全問(wèn)題，提高信息安全水平。

關(guān)鍵詞：銀行 信息安全 風(fēng)險(xiǎn)管理

中圖分類號(hào)：F832.2文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1003-9082（2019）11-00-01

銀行在現(xiàn)階段面臨嚴(yán)峻的信息安全風(fēng)險(xiǎn)形勢(shì)，尤其是銀行信息系統(tǒng)具有開(kāi)放性，電子商務(wù)等業(yè)務(wù)量不斷增長(zhǎng)，對(duì)信息系統(tǒng)的依賴性越來(lái)越強(qiáng)，但信息系統(tǒng)極易受到管理風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)等的威脅，引發(fā)信息犯罪，加強(qiáng)信息安全風(fēng)險(xiǎn)管理勢(shì)在必行。

一、銀行信息安全風(fēng)險(xiǎn)管理的不足

1.風(fēng)險(xiǎn)管理中難以把握適度安全

風(fēng)險(xiǎn)管理并非不計(jì)成本地追求絕對(duì)安全、零風(fēng)險(xiǎn)，或試圖徹底消滅風(fēng)險(xiǎn)，這屬于嚴(yán)重浪費(fèi)。銀行風(fēng)險(xiǎn)管理也是一樣，要求在安全成本與風(fēng)險(xiǎn)損失之間找到最佳平衡點(diǎn)，提倡適度安全。這樣的平衡對(duì)銀行評(píng)估風(fēng)險(xiǎn)來(lái)說(shuō)往往難以把握。

2.內(nèi)部信息安全控制制度不完善

盡管很多銀行已經(jīng)構(gòu)建信息安全風(fēng)險(xiǎn)管理體系，但日常業(yè)務(wù)操作環(huán)節(jié)依舊面臨一些信息安全威脅。主要原因就在于銀行內(nèi)部控制制度存在漏洞，內(nèi)部控制管理流程尚不規(guī)范，無(wú)法有效預(yù)防內(nèi)部風(fēng)險(xiǎn)，影響整個(gè)信息系統(tǒng)的安全性[1]。

3.信息安全風(fēng)險(xiǎn)備份能力不夠強(qiáng)

目前銀行整體災(zāi)難備份技術(shù)水平依舊停留在總行級(jí)別，很少有分行能達(dá)到相同水平，并且即便是總行數(shù)據(jù)信息中心也沒(méi)有備份所有數(shù)據(jù)和信息系統(tǒng)，只備份涉及重要信息的核心系統(tǒng)。銀行的備災(zāi)機(jī)制也不完善，缺少異地備份，發(fā)生風(fēng)險(xiǎn)或故障時(shí)引發(fā)巨大損失。

二、加強(qiáng)銀行信息安全風(fēng)險(xiǎn)管理的措施

1.編制信息安全風(fēng)險(xiǎn)管理實(shí)施細(xì)則

所有信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)都只給出指導(dǎo)性文件，未給出實(shí)施過(guò)程、識(shí)別風(fēng)險(xiǎn)要素的方法和分析、計(jì)算、定級(jí)等方法，導(dǎo)致銀行信息安全風(fēng)險(xiǎn)評(píng)估人員只能按照行業(yè)特征、評(píng)估目標(biāo)和個(gè)人的理解選擇評(píng)估方法，增加風(fēng)險(xiǎn)評(píng)估的不確定性。建議銀行以《信息安全風(fēng)險(xiǎn)評(píng)估指南》為指導(dǎo)，編制適應(yīng)業(yè)務(wù)特色的風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則。并按照所選風(fēng)險(xiǎn)計(jì)算方法編寫(xiě)評(píng)估案例，制作各種各樣的模板，實(shí)現(xiàn)評(píng)估方法與評(píng)估過(guò)程的統(tǒng)一[2]。如統(tǒng)一銀行的各種調(diào)查表、查檢表、分析方法、計(jì)算方法、評(píng)估工具、定級(jí)標(biāo)準(zhǔn)和賦值標(biāo)準(zhǔn)等，根據(jù)相同的標(biāo)準(zhǔn)與方法開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，體現(xiàn)評(píng)估結(jié)論的可比性，從而適當(dāng)控制風(fēng)險(xiǎn)，降低安全成本。

2.建立健全安全風(fēng)險(xiǎn)內(nèi)部控制制度

根據(jù)風(fēng)險(xiǎn)管理經(jīng)驗(yàn)，一套有效的、可行的內(nèi)部控制制度是確保銀行有序開(kāi)展業(yè)務(wù)的前提，為完成既定目標(biāo)、防范信息安全風(fēng)險(xiǎn)，銀行必須以按制度辦事、用標(biāo)準(zhǔn)說(shuō)話為原則建立健全信息安全風(fēng)險(xiǎn)內(nèi)部管控制度，促使信息安全風(fēng)險(xiǎn)管理工作不斷趨于制度化和規(guī)范化，進(jìn)一步完善人員、設(shè)備、技術(shù)方面的制度建設(shè)，高效管控風(fēng)險(xiǎn)。

第一，完善人防制度，明確銀行崗位責(zé)任，根據(jù)崗位職責(zé)要求建立責(zé)任制度，預(yù)防非科技部門人員在信息安全上有所懈怠，真正將信息安全工作落實(shí)到各個(gè)部門;建立健全業(yè)務(wù)管理制度，根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)、系統(tǒng)、電子聯(lián)行、反洗錢等信息系統(tǒng)的特點(diǎn)制定運(yùn)行管理與維護(hù)制度，規(guī)范人員業(yè)務(wù)操作流程，減少人員隨意性，將信息安全風(fēng)險(xiǎn)扼殺在萌芽階段。第二，完善物防制度，尤其是在設(shè)備運(yùn)行中要明確規(guī)定使用權(quán)限和媒體安全，弄清楚每一個(gè)細(xì)節(jié)，如機(jī)房溫度、濕度、頻率、電壓等，還有資料備份制度、保密制度等，預(yù)防因人浮于事而損害各類設(shè)備，規(guī)范信息儲(chǔ)藏設(shè)備安全運(yùn)行。第三，完善技防制度，及時(shí)更新機(jī)器設(shè)備、升級(jí)銀行信息系統(tǒng)、完善訪問(wèn)控制，對(duì)于信息系統(tǒng)中的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖等關(guān)鍵信息必須嚴(yán)格保密;提供高效率的、全方位的信息安全風(fēng)險(xiǎn)管理技術(shù)支持體系，預(yù)防因技術(shù)制度不完善造成信息安全風(fēng)險(xiǎn)管理出錯(cuò)。

在此基礎(chǔ)上，銀行應(yīng)建立健全聯(lián)防制度，促使各個(gè)部門在信息系統(tǒng)中協(xié)調(diào)配合操作。如業(yè)務(wù)系統(tǒng)的主管、操作員和程序維護(hù)員應(yīng)相互制約;建立安全管理部門和公安部門、設(shè)備管理部門和軟硬件供應(yīng)商的橫向協(xié)調(diào)制度、分工負(fù)責(zé)制度，將制度落到實(shí)處。為此，銀行要完善內(nèi)部控制獎(jiǎng)懲制度，獎(jiǎng)勵(lì)執(zhí)行力強(qiáng)、信息安全風(fēng)險(xiǎn)管理效果好的個(gè)人、部門，加大宣傳力度，同時(shí)懲罰執(zhí)行不力者，嚴(yán)厲追究責(zé)任，增強(qiáng)全體人員開(kāi)展信息安全風(fēng)險(xiǎn)管理工作的主動(dòng)性、積極性;建立各部門協(xié)作制度，促進(jìn)銀行的科技、稽核、監(jiān)察、紀(jì)檢、保衛(wèi)等部門的配合與協(xié)調(diào)，切實(shí)執(zhí)行內(nèi)部控制制度，監(jiān)督執(zhí)行情況，發(fā)揮制度的作用。

3.科學(xué)使用異地?cái)?shù)據(jù)信息備份技術(shù)

數(shù)據(jù)備份和恢復(fù)技術(shù)指的是銀行信息系統(tǒng)遭受安全風(fēng)險(xiǎn)事故時(shí)利用數(shù)據(jù)恢復(fù)備份，保持銀行業(yè)務(wù)連續(xù)[3]。鑒于當(dāng)下銀行數(shù)據(jù)信息備份大多為同城備份，無(wú)法滿足業(yè)務(wù)連續(xù)性要求，應(yīng)科學(xué)使用異地?cái)?shù)據(jù)信息備份恢復(fù)技術(shù)。第一，以主機(jī)為基礎(chǔ)的容災(zāi)備份技術(shù)，把異地銀行通常是支行或分行系統(tǒng)的數(shù)據(jù)信息復(fù)制在總行服務(wù)器上，一旦信息系統(tǒng)出現(xiàn)風(fēng)險(xiǎn)事故，就能轉(zhuǎn)到主機(jī)系統(tǒng)運(yùn)行，預(yù)防銀行業(yè)務(wù)中斷。第二，以數(shù)據(jù)庫(kù)為基礎(chǔ)的容災(zāi)備份技術(shù)，把銀行數(shù)據(jù)信息遠(yuǎn)程復(fù)制在備用數(shù)據(jù)庫(kù)之中，保持和備用系統(tǒng)聯(lián)網(wǎng)，同時(shí)配置遠(yuǎn)程復(fù)制管理軟件，保持良好的數(shù)據(jù)信息一致性，適應(yīng)銀行信息系統(tǒng)數(shù)據(jù)快速更新。第三，以智能存儲(chǔ)為基礎(chǔ)的容災(zāi)備份技術(shù)，通過(guò)銀行智能存儲(chǔ)系統(tǒng)自動(dòng)進(jìn)行數(shù)據(jù)備份，該項(xiàng)技術(shù)對(duì)存儲(chǔ)設(shè)備有較高的性能要求、規(guī)格要求，在銀行應(yīng)用系統(tǒng)中適用，第四，脫機(jī)備份技術(shù)，無(wú)需網(wǎng)絡(luò)通訊要求，通常把數(shù)據(jù)信息存儲(chǔ)到硬盤、磁盤及光盤之中，屬于異地冷備份技術(shù)，雖然成本較低，但是數(shù)據(jù)信息容易丟失，銀行應(yīng)盡可能預(yù)防使用該技術(shù)手段進(jìn)行數(shù)據(jù)備份，保護(hù)信息安全。

三、結(jié)語(yǔ)

銀行信息安全需求使信息系統(tǒng)面臨越來(lái)越嚴(yán)格的要求，在銀行的現(xiàn)代化風(fēng)險(xiǎn)管理中，信息安全風(fēng)險(xiǎn)管理是至關(guān)重要的一個(gè)環(huán)節(jié)，必須正確認(rèn)識(shí)不足，編制實(shí)施細(xì)則，保持成本與風(fēng)險(xiǎn)的平衡，同時(shí)完善內(nèi)部控制制度，加強(qiáng)內(nèi)部風(fēng)險(xiǎn)管理，在先進(jìn)異地備份技術(shù)的支持下保證數(shù)據(jù)信息安全，確保銀行信息系統(tǒng)的安全性，為市場(chǎng)經(jīng)濟(jì)發(fā)展提供良好環(huán)境。

參考文獻(xiàn)

[1]宋喜新.銀行信息安全風(fēng)險(xiǎn)管理策略探析[J].電腦迷，2018（02）：227.

[2]陳軍.銀行信息安全存在的問(wèn)題與相關(guān)對(duì)策[J].電子技術(shù)與軟件工程，2018（20）：204.

[3]康陽(yáng).人民銀行征信信息安全管理中的風(fēng)險(xiǎn)分析與防范[J].金融經(jīng)濟(jì)，2017（22）：147-148.

n>我國(guó)公共租賃住房若干法律問(wèn)題研究[D].天津大學(xué)，2011.