构建商业银行信息安全体系的建议.docVIP

构建商业银行信息安全体系的建议 　　一、银行业信息安全概述 　　就银行业而言，几乎所有的业务都运行在IT基础设施之上，尤其是新出现的金融产品和服务更加趋于开放和互联，进一步加强了对信息系统的依赖程度。 　　信息系统和信息安全已经成为操作风险管理的重要内容。信息的保密性、完整性、有效性以及信息系统可用性对银行业务的成败起着至关重要的作用。 　　美国的金融服务现代化法案（GLBA，Gramm-Leach-Bliley Act），要求银行对某些关键信息的保密性、完整性等进行保护。巴塞尔银行监管委员会设立的电子银行小组（EBG）发表了《电子银行风险管理原则》，确定了进行电子银行业务风险管理的14条基本原则，这些大都已经在银行信息安全管理中得到了不同程度的应用。《新巴塞尔协议》强调在进行风险管理的时候，不仅仅要重视传统的信用风险，而且要将操作风险放在一个重要的地位。 　　在中国，金融监管部门对于信息安全也作出了相应的界定。中国银行业监督委员会《商业银行信息科技风险管理指引》（银监发〔2009〕19号）如此定义：信息安全风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中，由于技术和管理缺陷产生的操作、法律和声誉等风险，具有技术性高、涉及范围广、隐蔽性强等特征。 　　信息安全管理在中小城市商业银行面临挑战。首先是技术问题，表现为计算机硬件、软件、网络以及相应业务信息系统所引发的异常情况，包括程序错误、系统宕机、软件缺陷、操作失误、硬件故障、容量不足、网络漏洞、故障恢复灾难备份以及应急处理等诸多内容。 　　其次是管理问题，不仅包括信息系统的管理，而且包括中小城市商业银行各种业务数据的管理。本文就信息系统及其产生的数据，结合中小银行的特点，在运维、日常使用、应急处置过程中由于管理缺陷产生的风险隐患等方面的内容展开讨论。 　　二、中小城市商业银行信息安全现状 　　（一）信息安全意识不强，综合管理能力受限 　　我国中小城市商业银行规模小、网点少、信息化建设起步晚，因此信息安全意识和管理综合能力远落后于信息系统的发展需求。主要体现在以下几方面。 　　首先，中小城市商业银行的自身性质使高级管理层更加关心财务报表，而忽视服务这些财务报表的信息系统，甚至不能明确信息安全是什么。对于信息安全的投入大部分限于基础设备和系统，却不知其信息系统的可用性、信息资产的保密性、可控性对其业务的重要作用。 　　其次，中小城市商业银行员工普遍认为，信息安全管理工作的效果取决于信息技术，却不知道用户对信息系统的每个操作都具有威胁的可能，操作不当将转变为风险。如信息系统终端密码长度的最小设定和定期性更改就是最为简单的安全设施，但对于规范的设置，部分员工认为其降低了工作效率。IDE统计的数据表明，企业中信息系统相关服务中断，78％以上是人为造成。 　　最后，中小城市商业银行信息系统的运维人员则把信息安全管理工作看成是技术问题，过分强调信息系统的可用性，认为信息安全管理工作就是网络安全和核心主机安全。其实信息安全更多应该是个管理问题，信息系统的可控性和保密性是信息安全不可或缺的部分，合理的管理制度与严格的落实才是保障信息安全的基础。 　　（二）信息建设投入不足，系统软硬件环境落后 　　受各方因素掣肘，中小城市商业银行普遍存在信息化基础设施投入不足，无法满足业务发展需要的问题。 　　在对全国31个省、自治区和直辖市的四百多家中小城市商业银行进行调查时发现，受访的中小城市商业银行72.56%认为信息安全相关的技术人员不能满足工作需要，约18%认为机房场地不足，9.32%认为资金投入不足。31.25%的受访者认为系统灾备能力不足，29.50%认为信息系统的冗余容错能力不足。 　　国际标准通常如此建议，如果银行的核心业务系统主机容量使用率超过60%，就须扩大系统容量，但国内很多银行IT基础设施都不能满足该指标，如工行等国有银行该项指标的平均使用率为67%，个别中小银行甚至高达90%。 　　（三）缺乏风险管理标准，应急处置能力有限 　　信息化给中小城市商业银行带来好处的同时，也带来了新的风险，诸如信息系统本身的设计规划不当、人为操作错误和攻击破坏，以及安全管理制度的不完善或执行不到位等，都会引起系统故障以及业务中断。但首先这些银行并未建立信息系统风险识别、度量、监测、报告和控制管理标准，对于信息系统的威胁和风险事件不能通过科学的方法提前发现，只能在问题出现后被动应对。其次，信息系统的灾备系统和容错能力难以满足业务安全性的要求，应急事件处置流程缺少业务部门的主动参与。就业务流程来说，其每个环节几乎都能触发信息安全事件，因缺乏对风险的识别和处理能力，信息系统一线业务人员通常在其出现问题时才会求助技术部门，应急事件处置被动，甚至影响系统的安全性。 　　 　　三、构建信息安全体系的建议