探析银行信息安全管理体系建设.docVIP

探析银行信息安全管理体系建设 【摘要】在我国社会经济高速发展的同时，银行业得到了稳健而快速的发展，而各种高新科技在银行系统中得到了广泛的应用，极大提高了银行的工作效率与服务质量。虽然信息技术为银行工作与人民群众带来了便利，但是也存在着重要信息泄露等方面的风险，直接影响到银行业的信息安全。本文分析了银行信息安全管理中存在的问题以及加强银行安全管理的重要性，并探讨了构建银行信息安全管理体系的方法。 【关键词】银行;信息安全;管理体系 从上世纪八十年代至今，信息技术因其独特的优势在银行业的地位发生了巨大的变化。在银行业应用信息技术之初，只是被作为提高银行工作效率的手段，随着信息技术的不断发展与进步，当前其已经成为银行系统中不可或缺的工具。可以说信息技术的发展促进了银行管理模式的变化，并且直接影响到银行的业务流程[1]。由于银行对信息技术的依赖程度越来越高，银行信息系统的运行安全与银行业的安全以及国家金融稳定密切相关，因此做好银行信息安全管理是保障国家金融稳定运行的重要措施。目前我国银行的信息技术水平与规模得到了不断提高，但在信息安全管理方面存在一些不足，这就需要构建银行信息安全管理体系，对银行的各项信息进行全面的管理，有效避免风险的发生。 1.银行信息安全管理中出现的问题 各种信息技术设备在银行业的广泛应用，虽然有效提升了银行的工作效率与服务质量，但是也逐渐暴露出各种信息安全管理问题，主要表现在以下几个方面。 1.1 信息安全管理体系不健全 我国很多银行在安全管理方面存在各种问题，其中最为普遍的就是信息安全管理体系不健全。这些银行的起步较晚，信息技术的应用范围相对狭窄，在风险评估与等级保护等方面有待完善，并且信息安全的实施策略、标准以及质量控制等还没有达到国际标准。同时部分银行制定的信息安全策略不够完善，尤其表现在信息资产的管理以及业务管理等方面，极大增加了信息系统的安全隐患，而一些银行的信息安全管理工作流于形式，根本没有建立全面而长效的信息安全管理机制。 1.2 运维监控与预警系统存在问题 我国的一些银行还没有建立有效的运维监控与预警系统，或者在银行的硬件设施与业务系统方面存在一些缺陷，无法对银行的重要设备以及周围的环境进行实时监测。部分银行在风险预警监控方面的自动化程度有待提高，而在对突发事件、意外事件等进行预警与监测时人工检测占据了大部分比例，这样就很难保障银行风险预警监控的可靠性与及时性。 1.3 银行工作人员导致的风险 当前很多银行的管理人员并没有加强对员工安全意识的定期强制性培训，员工普遍缺乏安全意识，在工作过程中不能很好地保障银行的信息安全，在出现问题后也无法及时发现，这就导致银行潜在的风险增加。一些银行员工由于缺乏安全意识，可能会将私人的优盘等设备接入银行的信息系统中，导致病毒入侵，直接威胁到银行的信息安全。同时目前银行还普遍缺乏风险管理专业人才，无法做到对风险的专业化管理[2]。 1.4 信息技术的监控与审计不完善 当前部分银行在信息技术的监控与设计方面有待加强。首先审计问题的整改落实不到位，银行在通过审计发现问题后没有及时查处，或者查处的力度不够，缺乏长效的监督;大多采用经济处罚，遇到侵犯领导利益的事件就大事化了或隐瞒事实。其次，银行审计的广度、深度还不够，并且审核的周期与间隔较长，部分基层银行甚至完全不开展信息技术审计工作。一些银行虽然开展了审计工作，但审计缺乏深度，很难识别深层次的安全隐患[3]。 2.加强银行信息安全管理的重要性 银行加强信息安全的主要目的就是为了保障信息化的持续稳定发展，信息安全不仅属于技术问题，也属于管理问题。从信息技术层面来看，当前我们使用的很多操作系统存在一定的安全漏洞，开发商会针对发现的漏洞设计相应的补丁程序，这就需要定期更新系统。例如，运用主机热备份以及灾难备份的方式，可以有效保障信息的安全运行。同时一些软件开放人员在编程设计过程中留有“后门”，如果这些“后门”被不法分子知道，就会将该部分作为攻击目标，进而影响到信息系统的安全。当前大部分的黑客攻击等都是由于系统“漏洞”引起的，因此银行在应用软件过程中应该尽量避免留有“漏洞”。 此外，随着我国信息化技术的不断发展，信息系统的安全管理也被纳入国家的重点项目中。与世界上的部分发达国家相比，我国的信息安全管理工作起步较晚，但是发展较快，并且对系统风险认识的不断深化促进了信息安全管理的发展。对于银行而言，信息安全是至关重要的问题，这是因为任何一个环节出现问题，都会对整个系统的发展带来影响，甚至导致全局性的失误。例如，银行传统的信贷、柜台等业务已经有多年的信息安全管理经验，而信用卡作为一种新型的业务，它连接了多个方面的利益关系，其中涉及到发卡行、特约商户以及持卡人之间的关系，因此信息安全就成为重中之重。在银行开展各项业务过程中，信息和数据是