基层金融机构网络安全管理工作中存在的问题及建议.pdfVIP

编者按:近期，按照公安部门的统一部署，×××××组织辖区内金融机构 开展 2018 年网络安全执法检查工作。在检查中发现，金融机构网络安全 管理工作中存在政策传导机制不完善、安全管理体系松散、金融基础设施 设施不足、信息安全等级保护推进缓慢、专业技术人员缺乏等问题，造成 一定的管理问题和安全隐患，值得关注。 基层金融机构网络安全管理工作中存在的问题及建议 一、存在的主要问题 （一）机房等金融重要基础设施风险隐患较为突出 金融机构机房是为确保计算机机房的关键设备和装置能安全、稳 定和可靠运行的基础设施，也是机房中的系统设备运营管理、金融业 务连续运行和数据信息安全保障环境。在检查中发现，机房建设与管 理标准执行不到位，存在一些管理问题和风险隐患，主要体现在：一 是机房场地选择不合规。如机房位于比楼道低的房间，容易进水；机 房与业务房间共用同一进出通道；核心网络设备长期与其他设备、杂 货共同放置在一起，门窗未采取防护性措施等。二是机房专用设施配 置不足或不符合要求。如应急照明、烟火探测器、门禁系统、监控系 统等设施设备配置不到位，防雷保护系统未进行维护和检测，强弱电 综合布线未分开等。三是运行维护管理不到位。如未对出入机房的人 员及各类计算机设备执行审批、备份和记录制度，未详细记录网络设 备巡检、UPS 充放电等维护事项具体内容。 （二）信息安全等级保护工作推进缓慢 信息安全等级保护是对信息和信息载体按照重要性等级分级别 进行保护的一种工作。2007 年，公安部等四部委印发了 《信息安全等 级保护管理办法》，旨在规范信息安全等级保护管理，提高信息安全 保障能力和水平。检查中，发现金融机构在信息安全等级保护工作存 在较多困惑，影响了信息安全等级保护工作全面展开。主要表现在： 一是信息安全等级保护范畴界定不清。如金融关键信息基础设施，目 前没有一个统一的规范，如何界定金融关键信息基础设施对象、范围， 采取什么措施加强金融关键信息基础设施保护，需要制定相关指导性 文件和标准。二是信息安全等级保护工作职能界定不清。金融机构的 网络与信息系统是由上级机构统一规划、开发与建设的，对于基层金 融机构，哪些信息系统需要定级，信息安全等级保护工作职能如何界 定，也需要进行明确。三是信息安全等级保护工作内容不明确。信息 安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级 测评、信息安全检查五个阶段。但在实际工作，基层金融机构科技部 门主要从事的运行维护和保养工作，充当的是 “消防员”角色，缺乏 全面、深入、统一、规范的信息安全等级保护工作内容和措施。 （三）金融信息领域标准化落实乏力 金融业标准化工作就是针对产品、基础设施、统计和监管风控四 大重点构建标准，为金融业健康发展的技术支撑，也是金融业治理体 系和治理能力现代化的基础性制度。检查发现，基层金融机构网络安 全管理中存在的管理问题和风险隐患，反映了金融标准化落实不到 位。主要原因有：一是金融标准化需要进一步优化。标准化工作面临 技术类标准多、业务及管理类标准少，政府和行业主导标准多、金融 机构 自主制定标准偏少，如金融机构没有结合自身业务发展，制定统 一机房建设与管理标准，基层金融机构机房建设各显神通，技术落实 有高有低，参差不齐，安全防范措施落实不全面。二是金融标准化保 障措施相对缺乏。标准化工作贯彻落实措施不多，金融机构的协调、 指导、管理、监督停滞在制度管理层面，对金融标准化、信息保护、 信息安全及等金融信息的管理和使用方面的标准、规范缺乏约束力和 执行力，相关配套政策措施有待建立。三是金融标准化传导机制尚不 完善。近几后来，人民银行先后出台了很多金融标准，但是金融机构 获取、熟知的比较少，落实的更少，如何有效传导金融标准化政策也 是摆在面前的难题，需要建立统一、规范、科学的金融信息化传导机 制，保障金融标准化的有效落实。 （四）网络安全管理工作深度不够 一是风险管理部、审计部门对于信息科技风险防范的参与力度仍 需加强，将信息科技风险管理考核纳入全行全面风险管理考核，由多 个部门协同进行检查，同时在重要信息系统立项、上线等重要环节， 加强风险管理部、审计部门的参与力度。二是业务连续性管理体系尚 需完善。业务连续性管理体系尚需完善，未制定覆盖各项重要业务的 业务连续性计划，未对业务连续性管理情况开展评估，业务连续性演 练频度不够。通过从业务系统层面明确管理职责、完善各系统管理办 法、应急预案，组织全行范围内的业务连续性演练等方式，加