中小金融机构信息安全管理风险及对策

中小金融机构信息安全管理风险及对策 摘 要随着我国金融行业信息化建设持续发展，金融信息安全形势愈加紧迫。相对于大型金融机构，中小金融机构普遍缺乏信息安全总体规划和全面的信息安全管理，信息安全风险尤为突出，迫切需要构建一个管理手段与技术手段相结合的多层次、全方位的信息安全防范。基于此，本文对中小金融机构信息安全管理问题进行了探讨。 【关键词】中小金融机构 信息安全 对策 伴随金融机构信息化进程的不断加快，金融业务信息化依赖程度也日渐加深，信息安全风险对于金融机构，特别是中小金融机构的影响日益显著。中小金融机构作为金融行业的新生力量，迫切需要构建一个多层次、全方位的信息安全防范体系。 1 中小金融机构信息安全管理现状 1.1 信息安全管理不成体系 目前，大型国有商业银行和起步较早的股份制商业银行，通过自身的研发力量或引进国外核心业务系统，已逐步探索出了具有各自特色的IT架构及管理模式，信息安全防护体系比较完善。与大型金融机构相比，中小金融机构的信息化进程起步较晚，信息安全意识存在一定偏差，大部分机构仅重视安全防护设备、安全工具的投资而忽视信息安全管理投资，以技术和产品形成的低层安全防护屏障替代全面信息安全管理，没有形成一个合理的信息安全方针来指导组织的信息安全管理工作。 1.2 IT服务外包现象普遍存在 中小金融机构快速发展的同时，科技人员数量与结构矛盾突出，由于不具备专业软件开发团队和系统运维队伍，很多业务需要借助外包力量来完成。中小金融机构往往采取与专业化软件公司合作的模式开发新业务所需系统，把一些关键的业务系统管理建设工作也都交给专业的公司，如有些银行将综合业务系统、网上银行系统等核心系统外包给城商行联盟，由其提供系统运营服务和系统安全建设服务。 1.3 信息安全多部门监管格局形成 2008年，人民银行“三定方案”明确人民银行负责“拟订金融业信息化发展规划，承担金融标准化的组织管理协调工作；指导、协调金融业信息安全和信息化工作。”银监会在2012年成立了信息科技监管部，负责制定银行业信息科技监管政策，指导银行业信息科技发展规划，开展信息科技非现场监管和现场检查。公安部门则负责公共信息网络的安全监察工作，指导计算机信息系统安全保护工作，查处危害计算机信息系统安全的违法犯罪案件。近年来，各级地方政府也成立了金融办，负责落实当地金融政策，协调政府与金融机构的关系，防范化解当地金融风险。多部门对金融机构信息安全工作监督管理的格局基本形成。 2 中小金融机构面临的信息安全风险 2.1 信息安全战略规划缺失 中小金融机构由于缺乏信息安全总体规划，信息建设过程中欠缺统筹考虑，对于系统安全部分的硬件设施、软件设计模块缺乏，造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。经常出现系统刚上线就面临着升级改造甚至淘汰的局面，缺乏一个合理的信息安全方针来指导信息安全管理工作。 2.2 IT外包风险管理不到位 （1）软件开发外包会使重要信息例如源代码以及关键参数配置等技术数据不受自己掌控，另外，专业的软硬件公司的工作人员一般都不固定，金融机构对这些公司如果缺乏有力的制约，就会给外包系统的运作到带来很大的安全隐患，阻碍系统的有效运作； （2）业务系统运维管理外包，特别是包含银行核心服务内容的综合业务系统外包，信息技术风险与数据泄密风险较高。 2.3 应急处置能力有限 （1）应急预案要素不全。中小金融机构虽然都制定了信息系统的应急预案，但预案内容覆盖面不全，预案要素欠缺，缺乏针对性和可操作性，在系统发生紧急事故时，无法对问题实施预案应急措施； （2）应急演练和应急培训不到位，致使工作人员应急处理能力较低，对重大信息科技风险的应急执行缺乏有效性，导致风险损失增加； （3）大部分中小金融机构都没有自身的异地备份中心，所有的数据存在于一个点上，如果发生极端情况，后果将是灾难性的。 3 相关建议 3.1 构建信息安全管理体系框架，理清信息安全管理思路 中小金融机构构建系统、科学的管理体系对信息安全实施全面保障是非常必要的，有助于理清信息安全工作思路。体系框架主要是由安全组织体系、安全管理体系和安全技术体系三部分共同构成，安全组织体系从人员、意识、职责等方面保证信息安全运作的顺利进行，安全管理体系为信息安全管理工作提供规范、措施、方法和约束，安全技术体系从网络层、系统层和应用层三个层面采用相应技术和手段保证系统安全的实现。 3.2 完善IT外包风险管理体系，降低对外包服务商的依赖度 （1）强化对IT外包服务管理与监督。完善外包服务管理制度规定，对外包服务过程进行持续监控，跟踪任务的执行情况，及时发现和纠正服务过程中存在的各类异常情况； （2）加强与外包服务商的沟通协调，了解外包服务商风险防控管理过程，加强与外包服务商的配合，提高外包服务商的差异化服务水平； （3）建立了对外包服务的风险应急机制，明确重要系统开发厂商因公司破产或倒闭等原因导致技术骨干人员流失，从而影响系统的正常运行的应急流程和措施；四是有针对性地获取或提升管理及技术能力，降低对外包服务提供商的依赖。 3.3 强化业务连续性管理，增强突发事件的处理能力 （1）要在突发事件预案的体制下建立各种风险的解决方案，包括突发事件预案的实施条件、响应规划、解决步骤、系统恢复正常工作的步骤、事后安全知识的宣传等； （2）高度关注对信息风险的预防以及相关的预警报告体制的建设和改进，使风险的处理措施能够尽量科学合理； （3）要经常性的开展突发事件预案的教育，不断地对预案实施再次审查与评价，对不足之处要及时的改进。总之，中小金融机构要积极参考吸取国内外一些大规模金融机构的信息安全管理经验，改进并且不断完善信息安