构建财务公司全方位信息系统安全体系.pdfVIP

专家新论 本栏目由网御神州科技有限公司协办 E x p e r t s Õ F o r u m 构建财务公司全方位 信息系统安全体系 中国电力财务有限公司 赵现军 财务公司是经中国银行业监督管理委员会批准的非银行 部部署安全漏洞扫描设备，通过对信息系统安全漏洞的自评 金融机构，经中国银行业监督管理委员会核准，财务公司经 估建立了基础的安全预警体系。并对网络中重要主机实施了 营业务包括：对成员单位办理财务和融资顾问、信用鉴证及 安全技术性评估和加固工作，进一步增强了网络的健壮性。 相关的咨询、代理业务；协助成员单位实现交易款项的收付； 经批准的保险代理业务；对成员单位提供担保；办理成员单 二、财务公司信息安全存在的问题 位之间的委托贷款及委托投资；对成员单位办理票据承兑与 虽然已经制定了一定的信息安全制度、规范，在关键位 贴现；办理成员单位之间的内部转账结算及相应的结算、清 置部署了安全设备，但信息系统安全工作仍不容乐观，依然 算方案设计；吸收成员单位的存款；对成员单位办理贷款及 存在不少亟待解决的问题。 融资租赁；从事同业拆借；经批准发行财务公司债券；承销 —缺乏统一的安全体系规划和安全防范机制。虽然在 成员单位的企业债券；对金融机构的股权投资；有价证券投 网络内部署了一定的安全设备，并且制定了统一的安全策略， 资；成员单位产品的消费信贷、买方信贷及融资租赁。 但存在 “头痛医头，脚痛医脚”的盲目性，缺乏统一有效的 随着财务公司信息化水平的不断提高，信息技术已经成 安全体系规划方案。 为财务公司赖以生存的重要基础，成为财务公司业务创新、经 —无章可循、有章不循问题突出。管理制度不完善，安 营理念创新的重要推动力。对信息技术的高度依赖，也使得信 全工作缺乏统一、规范的依据和准则，部分现行制度间存在 息技术风险对财务公司的影响变得更加突出，特别是当前财务 内容交叉、条块分割、流程割裂、边界定义不明确的问题，同 公司信息化全面进入以核心业务系统整合、数据大集中为特征 一行为有多个实施主体，责任划分模糊不清，安全问责制无 的发展阶段，信息技术风险可能对财务公司业务产生不可估量 从落实。无章可循现象普遍存在，有章不循问题同样严重，部 的影响，信息安全保障工作将面临新的更加严峻的挑战。 门责任和岗位责任制得不到真正落实，已有的规章制度在执 行层面还缺乏权威性、强制性，执行监督机制薄弱，忽视信 一、 财务公司信息安全建设现状 息技术的审计、监督作用，信息安全管理尚未完全纳入到操 作为非银行金融机构，信息安全问题一直是财务公司信 作风险管理的重要环节中去。 息化建设首先解决的问题。多年来，财务公司不断加大信息 —缺乏与数据大集中相适应的管理体系。集中式核心 安全保障的工作力度，强化安全风险防范，基本建立起 “以 业务系统正在开发、完善和推广，总部数据中心很大程度上 人为本、以管理为核心、以技术为依托”的信息安全综合防 仍然沿用原来分散的管理模式，经验和技术储备不足，缺乏 御体系。按照 “谁主管、谁负责，谁运行、谁负责”的原则 与集中式数据中心相适应的流程化、规范化管理模式，职责 和 “安全第一、预防为主”的方针，从组织上、技术上、管 不清，协作水平低，问题漏报、跟踪不完整，应急反应迟缓。 理上采取各种措施保障数据安全，具备了一定的安全防护能 存在重开发、轻运维的问题，系统运维工作缺乏高素质人才， 力，较好地保障了信息系统的稳定、安全运行。 存在掌握关键信息和技能人员使用上的单点故障，高端系统 财务公司在信息安全建设方面也采用 “统一规划、统一 操作过分依赖外包服务技术人员。 部署、突出重点”的思