金融标准化下基层金融机构信息安全监管研究.docxVIP

?

?

金融标准化下基层金融机构信息安全监管研究

?

?

王耀

摘要：信息化技术开始影响着各行各业，而中国的金融业信息安全受到了前所未有的关注。金融标准化工作对于基层金融機构信息安全起到重要作用。中国人民银行作为金融业信息安全监管的主管部门之一，近年来，着力于优化金融标准化信息安全管理体制机制，加强金融标准的实施与监督。本文介绍了基层金融业信息安全的现状、内外部环境，就基层金融业信息安全风险原因分析进行了详细的分析，并提出了一些对策和建议。

关键词：金融标准化金融机构信息安全

一、金融标准化下基层金融业信息安全推进现状

央行等5部委于2017年联合发布的《金融业标准化体系建设发展规划（2016-2020年）》，明确了金融标准化工作的指导思想和主要任务。完成金融标准委员会换届，制定发布证券及相关金融工具分类、云计算技术金融应用规范等18项金融国家标准、行业标准，在互联网金融领域发布5项团体标准。各金融业按照国家的相关规定，制定了金融行业等级保护标准。这些标准对于金融行业由于数据集中、信息保密性高、资金交易、网络拓扑复杂等特点导致的信息安全风险有了很好的防护效果。目前，我国建立的新型标准体系，对新技术体系下金融IC卡、非银行支付、移动支付体系下等领域的标准在支持实体经济发展方面发展起到积极作用。当前，中国在国际金融标准化活动中影响力逐步提升，开始主导制定银行产品服务说明书描述规范、非银行支付系统安全等多项金融国际标准。

二、国内金融标准化体系建设现状的内外部环境

基层金融业信息安全的内部环境。在技术方面，随着国产化进程的加快，逐步替换的软硬件设备，国产化操作系统和杀毒软件占有了极大的市场份额。但对于一些其它产品，比如CPU等一些设备让那个无法实现国产化。过度依赖国外市场导致发生风险。从管理、制度方面，基层金融业在制定安全规划、贯彻和宣传金融行业标准等方面存在很多问题。网络技术的高度发展与制度的相对滞后，形成了灰色的空白地带。

基层金融业信息安全的外部环境。国内和国外的网络犯罪活动都呈现出不断上升的趋势，金融业作为特殊的行业成为黑客攻击的重点。中心化的金融体系结构，对于数据中心和灾备中心的维护极其重要，信息安全形势不容乐观。据统计，保险业和互联网金融占金融行业中漏洞数排在前二位。互联网金融平台不断被爆出存在漏洞，互联网借贷黑幕，P2P平台跑路，后门程序，系统漏洞，信息炸弹，信息猜解（如遍历查询和操作他人账户、订单等）成为普遍问题。在金融标准化体系下，基层金融业信息安全风险成为必须要关注的重点。

三、基层金融业信息安全风险原因分析

（一）基层金融业信息安全管理难度増加

基层金融业机构在基础设施建设存在多方面不足。一是现在的机房建设实际不符合现有的标准。在对朔州市辖内各金融机构的机房建设进行实地走访后，发现各机构在生产中心和灾备中心的地理选择和具体功能划分方面都存在若干问题，其中对于机房交通、水电和环境方面问题更加明显。例如，朔州市部分金融机构机房内存在雨水渗透的风险，用电管理不规划等，这些都不符合C类机房的建设标准。二是部门金融机构没有专门环境监测系统，无法对整个中心机房的供电、消防、温湿度、安防进行全方位监控。生产区域与辅助区域划分不明确，机房堆有杂物。三是第三方服务商能否长期稳定地为基层金融业机构提供高质量服务。IT外包风险是服务商能否长期稳定地为银行提供高质量的服务，对于信息系统故障能否及时响应并修复，以保障银行业务的连续性。再者，外包服务商在和银行密切往来过程中会获取一些银行的内部机密信息，给银行带来商业秘密泄露的风险。

（二）基层金融业信息安全类标准不一

目前，正在使用的信息安全类标准有国际标准ISO27000系列、国家标准GB17859-1999系列、金融行业标准JR/T0071-2012。由于标准的不一致，信息安全的日常管理和监督带来很多工作上的困难。JR/T0071-2012是GB17859-1999系列的延伸。这三个标准各有不同，ISO27000系列不具有强制性，JR/T0071-2012明确了实施要求和测评方法，可操作性很强。金融业行业标准在国家标准的基础上添加了相应特性的指标，更适用于金融业管理实际。

（三）检查指标要求与具体执行存在偏差

一是金融标准化制定与金融业务的发展相比较存在一定的滞后性，标准的制定需要一定的时间和过程，与之相对的是急速发展的金融业务，如互联网金融。二是信息安全等级分别对二到四级有具体的要求，通过对朔州市各金融业机构进行实地走访，发现符合二级等级的系统几乎没有，有的机构未减少投入成本，选择等级保护低定。三是在实际的考核过程中，定量指标和定性指标分别适用于技术层面和管理层面。

四、对策与建议

（一）细化基层金融业标准化建设

基层金融业机构在系统刚建时要明确等级级别，据此选择相应的