LN银行信息安全管理的研究.docVIP

LN银行信息安全管理的研究 　　摘 要：本文基于国内外信息安全管理理论，结合LN银行信息安全管理工作现状，提出目前信息安全管理工作存在的突出问题，并对问题产生的原因加以分析。本文结合国内相关的信息安全管理标准和监管要求，对L N银行信息安全管理上的问题提出了防范对策和改进建议，构建一套适合自身管理需求的信息安全管理体系，力求使风险能够得到有效规避或缓释。 　　关键词：信息化 信息安全管理 安全保障 　　中图分类号：F06 文献标识码：A 文章编号：1674-098X（2017）08（c）-0153-02 　　LN银行为某省级农村合作金融机构，在持续不断提高信息科技投入的基础上，综合业务管理系统、信贷管理系统、OA系统、卡系统等应用系统陆续上线，中间业务功能日趋完善，其信息科技管理范围已涵盖主机、应用系统及数据库、网络、供配电、制度、培训、人员管理等多个方面，信息安全管理难度日益加大，不可控因素及潜在风险隐患日趋增多，亟待加强风险规避及防范能力。 　　1 LN银行信息安全管理主要问题 　　（1）银行信息安全岗位设置不完整，管理组织机构设置不完善。LN银行虽设立了专门的信息安全管理团队和岗位，但信息安全组织机构设置并不完善，信息安全岗位设置不完整，信息安全管理岗位没有设置专岗专人，管理部门存在人员缺位现象，造成执行管理和监督方面的匮乏，仅由相关系统运行人员代行信息安全管理职责，相关职责界限不清晰。业务应用系统各环节建设分工不明确，常出现需求质量不高、各业务子系统间衔接不畅、技术标准不一致以及系统上线运维压力大等情况。信息安全部门更多的是侧重生产事件的管理，并未对银行信息安全进行全面管理，影响了信息安全管理的实际效果。项目生命周期过程中缺乏有效的管理体系，最终致使信息安全管理工作很难有效开展。 　　（2）信息安全人员专业技能不足，信息安全管理人才相对匮乏。银行信息安全管理岗位较其他岗位而言，对人才的要求相对较高。信息安全管理人才不仅要对银行金融业务熟悉了解，还需具备一定的风险管理经验和信息安全技术能力。就目前来看，由于青年员工的数量较多，无相关工作经验，对信息安全专业知识的掌握还存在欠缺，信息安全技术人才的成长周期又比较长，导致既懂金融和管理又懂技术的人才相对匮乏。相关信息安全管理人员缺少CIA、CISA、CISSP等国内外认可的信息安全资质证书，信息安全管理工作的专业能力不够。同时，银行对科技型人才的配置也不够合理，具体表现为信息技术人员往往被分配在信息技术部口，在信息安全管理和风险管理岗位上分配的数量非常有限，这种状况也在一定程度上限制了其对于信息安全管理人才的培养。 　　（3）信息安全制度不完整。银行目前并没有对信息安全规划和计划相关工作流程进行明确的定义和规范，缺少诸如对于信息安全规划、规划执行、组织架构、预算管理等相关的信息安全管理制度和规范；从工作组织、原则、流程、要求四个角度去考量该份管理办法，其具体内容过于简单，无法落实对从项目可研、立项、实施监控、验收、评价等的控制要求，不能确保项目实施能够与计划保持一致和工作有序有效的进行。 　　（4）信息安全工作流程不清晰，未建立信息安全事件管理流程。银行目前项目管理流程非常简单，皆由项目负责人自行管理负责；银行目前服务请求和事件方面流程过于简单，目前银行未建立真正意义上的事件管理流程，事件的管控均由具体的项目管理者或者具体部门负责人负责管理，文档记录也不完整；没有清晰的事件处理流程，这使得银行相关部门无法及时对危机制定相应的恢复计划，降低了部门风险防范能力。 　　2 信息安全管理问题产生的原因 　　（1）相关管理岗位及职责长期未更新。职责及分工虽初步明确，但是各职能部门之间没有衔接，互不相关，若是不在职责范围内的或是在边界值的特殊工作事项，就会造成互相推诿、缺乏责任心，更没有从全局架构角度出发，牵头开展工作的岗位和人员。 　　（2）信息安全人员非专业出身且未经过专业培训。信息安全管理人员一部分为系统运维人员调动到安全管理岗从事信息安全管理工作，另一部分为应届毕业大学生，无相关专业经验。加上信息安全管理也是最近几年才提出的新兴概念，这也是造成信息安全管理岗位人员的专业技能不足的必然原因。 　　（3）信息安全制度建设照搬照抄。在制定本行信息安全相关规章制度时，并未从自身实际情况去考虑，造成管理制度不全，部分内容没有相应的管理规定去制约，制度的内容也无法落到实处，操作性不强。 　　（4）只注重工具的投入，而忽视管理的投入[1]。网络安全的投入不仅是安全产品和工具的投入，还应包括操作管理流程和应急处理机制等方面的投入。使用安全的产品和工具应该有相应的过程管理机制与之匹配。建立合理的流程管理机制需要投入，这些投入与安全体系的完整性有着紧密的联系。目前银行在