中小银行信息安全管理问题与改进措施

中小银 行信 息安全 管理 问题 与改进 措施　翟琳 洁　（ 晋 中市商业银 行 南城 支行【 摘 要】 我国经济飞速发展的今天， 银行 业信息系统也处于稳健的发　展 阶段 ， 而其 中有 些 中小型 的银行 在 信 息安 全 管理 方 面却 没 有发 展 到　 位， 处于一 种滞后 的状 态 中 ， 这就使 得银 行 业信息 系统 的各种 新 的风险　 与弊 端都一 一浮 出水 面 ， 影 响 了行 业 的安 全 问题 。这 一 点 ， 本 文对 中 小 　银 行信 息安 全 管理 问题 与 改进措 施作 阐述 。 　０ ３ ０ ６ ０ ０ ） 　的出现外包应用方面 的问题 ， 对外包管理没有做到有效的落实 。 　２ 改进措施　２ ． １ 增 强安全制度的建设 力度 、 建立起 信息安全管理体 系 　将信息安全工作 的策 略 以及 总体 的方 针确定 ， 整理 出最终 信　息安全工作 的范 围、 框架 、 目标 与原则 ； 建立 网络 、 应 用系 统运维 、 　 日志管理 、 便携式计算机 、 应急 管理 、 业 务连续 性管 、 机房 、 操作 系　 统、 涉密安全、 办公用机 、 移动存储 介质 、 变更管理等 的各项 安全管　【 关键词】 中小银行 ； 信息安全管理问题； 改进措施　在我国银 行信息系统建设 的不断发 展下 ， 各种具 有高科 技含　量 的设备和啄 统得到 了非常广泛 的应用 ， 虽然提升 了银行的服务　 品种 和服务效 率 ， 但是各种各样 的信息安全 问题也逐渐显 现出来 。 　 我们 都知道区域金融的稳定在一定程度上会受到科技风险防范情　 况 的影 响 ， 所以， 目前对于中小型的银 行来说增强 自身信息安全管　 理是其最 为首要的任务。 　１ 信息安全管理问题　 １ ． １ 信 息安全 管理体 系的 内容不够全面　理制度 ， 并对应 以上来制定 出审定 、 检查 、 审计 和修订维 护 的安 全　 制度 ， 再设置专 门的 岗位与工作人员指定其负责 ； 建立一套 集操作　规程 、 安全策略及管理制度一身的信息安全关系体系 。 　２ ２建 立起 安 全 策略 的 同 时 明确 安 全保 障 的 目标　建立并 完善 系统需求 分析 和需 求提 出安全策 略 、 系统测 试 和　验 收的安全 策略、 系统备份和应急 的安全策略 、 设计 和开发 的安全　 策 略、 系统运行和维护 的安全策略 。 　２ ３将风 险评估制度 建立起并 完善好 ， 增强信息安全等级保护　许 多中小型银行都存在这 样或那样 的 问题 ， 而其 中普 遍存在　的问题就是信 息安全 管理系统 的不 全面 ， 这些银行 都有 相 同的特　对银行 指定 出适 合 自身全 行的风 险管理体 系 ， 建立 有效 的风　险评估构架 ， 银行风险方面的工作人员需要将风险管理的操作规　定 和制 度吃透 ， 并把握好 尺度 ； 设 定并分 析洪水 、 暴雨 等恶劣 天气　以及这种 自然灾害 的影 响 ， 还有 就是黑客 的攻击等发生 的时 间以　 及 恢复的时间与造成的经济损失 ； 对数据做 出各个级别 的设 定 ， 再　 定期 的对其 进行评估 ； 定制应对各种风 险的防范措施与技术 。 　点： 信息技术不仅范 围狭 窄 ， 而 且起步也 相对 较晚 ， 等级保 护工作　 与风险评估 工作没有做到 位 ， 信 息的安全 标准 、 具体 的实施计 划 、 　实施 的策略在 质量 以及 内容方面都 达不到 国际通行 的标 准 ， 在 安　 全 策略方面不 够健全 ， 特别是在业 务连续 性管理 以及 信息资产 管　 理方 面存在 比较大大 的安全隐患 ， 只是停 留在表面 的安全管理 工　 作上， 并没 有有效地 建立起长效 的安全管 理机制与全 面的信息安　全机制 。 　 。 　参 考风险评估的结果 ， 建立起完善 的等级管理保护制度 ， 定期　 地对安全措 施做出检查 ， 将技术标 准的要求 落实 到明处 ， 建立信 息 　 安全事件的等级报告 、 响应及处置 的制度 ， 增强信息系统用户 的安　全等级保护教育与培训等 。 　２ Ａ增强外 包管理　１ ２亟待 建设 运维监控 系统 ， 预警监测体 系存在许 多问题　没有有效 的落 实好一套 完整的从硬件设施至业务系统 的 自动　化预警监测体 系 ， 也 没有对 主要 的设备及 环境做到 实时的预警 监　 测， 没有过高 的风险预警检测 的 自 动化体 系 ， 且在整个系统 中所 占 　的比重 明显低 于人工检测 ， 在及 时性 以及 可靠性方 面都达不 到相　应 的标准。 　许 多 中小型银行过于依赖外包服务 ， 因此 ， 需要规范外包服务　 的范围 ， 将其制止 与特定 的范 围内 ， 同有业务来往 的第三方机构 签　 订相应的保密协议 ； 明确 外包商 的要求 及合 同的义务 ； 明确有关 外　 包项 目可能 出现 的问题 ， 做 出可行 的风险管理程 序 ； 并需要定制 出　 应对 突发外包服务 的计划 ， 将突然停 止外包服务造 成 的影 响降至　最低 。 　ｌ ３薄弱的外包管理和难控 的潜在风险　 首先 ， 在 中小型银行 中被 普遍采 用的是 专业化 软件 企业合 作　 的模 式 ， 并 以这种模式来进行信息技术应用 的开发 ， 委托给 软件或　 者外包硬件公 司网络与防火墙的安全策略配置及最核心 的业务 系　 统的开发 工作。从 系统安全方 面来看 的话 ， 这样做 会使 过多 主要　 的配置信息与系统最核心 的代码 泄露 给外部人 员。另外 ， 因为引　２ ５增强业务连续性的管理 ， 将 灾备机 制健 全　对 于恢复管理 以及建 立备份 制定 出相 应的管理 制度 ， 将备 份　 频度 、 保存期 限、 备份方式及存储介质 明确规定好 ； 而对 网络备份 ， 　可 以租用多个 网络供应商线路或者 主网及备 网双路并行方 式来降　 低风险 ， 把 出现突发状况是 出现 的影 响降 到最低程 度 。对于那 些　进的软件 都是那种集成封装的模块 ， 不存在 源代 码 ， 商业银行 的 主 　 动权 将会被移交到别处 ， 自 身无法把握 主动权 ， 更无法按照 自身 的 　 情况来做出调整 ， 致使难 以发 现软件后 门程序及漏洞 ， 无法 及时地　做 出进行相应的调整 ， 处 于被动 的维护状态 。此外 ， 没有全 面的外　 包管理制度 ， 对 其约束力 过弱 ， 没有对外包项 目以及外包领 域做 出　 明确的管理规定 ， 导致对 外包项 目的审核以及把关过于宽松 ， 频繁　．．— —需要采用高端数据 的交易 书籍 ， 选取软件及硬件双机的备份方式 。 　【 参考文献】 　［ １ ］ 边 凯厦 门商行： 通过 信 息 系统 升级提 高 网络 运 营 ［ Ｊ ］ 金 卡 工程 ＇ ２ ０ ｏ ５ 　） 　［ ２ ］ 刘春 宇． 关 注 中小银行 Ⅱ 容 灾系统建设 ［ Ｊ ］ ． 金 融 电子化 ： ２ ０ ｏ ９ ０ ０ ３ ） 　７ ０． － — —