中小银行信息安全管理现状分析.PDF

风险管理 ·实务 栏 目编辑 ：梁丽雯 E—mail：liven一01@163com 中小银行信息安全管理现状分析 ■ 中国人民银行德州市中心支行 李志峰 崔玉萍 近年来，我国中小银行逐渐增多，发展迅速，其业 程中，对设备的要求不高，灾备中心的网络、设备、机 务发展越来越依赖于科技支持。中小银行与国内大型 房、数据管理不到位。 商业银行相比，由于规模小、起步晚、资金投人不足等 (四)科技制度建设落后。对于中小银行，由于其 原因，在信息安全管理方面存在—定的问题。根据人民 规模小、人员少，做事比较随意，缺少制度的约束 ，各 银行的要求 ，各级人民银行应加强对中小银行的信息 种运维操作随意性大，科技工作不够规范，造成很多 安全管理，引导其提高信息安全管理水平和科技风险 业务系统已经上线运行，却没有形成与该系统相关的 防范水平。 运行维护制度。 (五)外包管理存在风险。中小银行由于科技力量 一 较为薄弱，不具备专业化软件开发团队和软件开发中 ， 中小银行信息安全管理中存在的问题 (一)信息安全管理体系建设落后。受到规模小、 心，为了开发新系统开展新业务，中小银行往往采用与 地域性强、资金不足等影响，很多中小银行对信息安全 专业化软件公司合作的模式开发信息系统，将核 业务 管理认识程度不够，在全行的管理中存在 “重业务、轻 系统、网络及防火墙的安全策略配置委托给外包硬件 技术”的情况，而在科技管理中往往又 “重技术、轻管 和软件公司。在软件开发过程中，中小银行不能严格控 理”，致使信息安全机制和管理机制不全面，风险评估 制外包商自带设备或软件工具执行开发任务，有的只是 和等级保护工作缺位，科技人员安全意识薄弱，在信息 针对开发测试环境的使用做出了规定。在开发、测试环 安全标准、策略和实施计划和内容上与大型银行存在 境的设备比较紧张的情况下，软件工具特别是开发工具 很大的差距，对信息安全管理—直停留在较低的层面， 不全，给系统开发的安全留下隐患。 安全策略涉及的更多领域存在空档，对信息资产管理、 (六)对信息系统审计力度不够。IT审计是近年 业务连续性管理等信息安全问题考虑甚少。 来商业银行在进行风险控制时引入的一种新型管理机 (二)科技人员不稳定，科技力量补充不及时。中 制。对商业银行进行IT审计是通过对商业银行所有IT 小银行大多实行聘任制，造成科技人员的流动性比较 规划、建设、应用、服务、安全等方面全方位的审 充 大。很多科技人员在 自身发展比较成熟后，往往跳槽或 分识别与评估IT风险，完善风险控制措施，提高IT系统 者被 挖“墙脚”，造成中小银行科技人员的流失。科技 的可用性、安全性、完整性、有效性，最终达到强化商 人员不足，就会造成岗位交叉、职责不明确，进而使得 业银行风险控制的目的。实施IT审计有利于商业银行信 维护人员权限过大，造成运维管控风险。科技人员的 息系统项 目的风险控制，有利于商业银行业务运营风 流失，特别是关键岗位人员流失，容易造成科技工作不 险的防范，有利于商业银行业务流程再造，大型银行审 能连续开展、系统数据泄露等问题。 计基本具有IT审计管理体系，能够对信