对进一步推进基层央行信息安全风险评估的若干思考
基层央行信息安全审计难点及对策探讨
基层央行信息安全审计难点及对策探讨
近年来,随着互联网技术的发展和金融业的日益繁荣,信息安全问题已经成为银行业面临的严重挑战之一。
银行的核心业务之一是资金结算和清算,这些业务包含了大量敏感信息,因此银行加强信息安全工作至关重要。
央行作为银行业的监管机构,也需要从信息安全的角度保障银行的安全稳定运行。
在央行信息安全审计中,基层银行面临的难点主要有以下几个方面:
1. 安全意识普及不足:许多基层银行员工缺乏对信息安全的意识,容易泄露敏感信息或者在工作中存在不规范的操作,导致信息泄露。
2. 审计方案缺失或不完善:由于工作量大、任务重,基层银行缺乏对信息安全审计的重视,审计方案和检查流程常常不完整,因此无法有效地检测银行网络系统的漏洞。
3. 技术条件相对落后:基层银行技术设施相对较落后,安全防护措施不够完备,网络系统容易受到攻击。
针对以上问题,央行应采取如下措施:
1. 加强安全意识教育:对基层银行员工加强信息安全方面的教育和培训,提高他们的安全意识,在工作中始终保持警觉,防范信息泄露风险。
2. 完善审计方案和测试流程:央行应对基层银行的信息安全审计提供完善的方案和流程,各级银行应根据自身情况,定制相应的安全审计方案和流程,以确保银行网络系统的安全。
3. 提升技术条件:央行应对基层银行的技术设施进行改造升级,提供先进的安全防护设施,同时对基层银行的网络用户行为进行监控,及时发现和处理异常行为和风险。
总之,基层银行是央行信息安全审计工作的重要组成部分,有效的措施可以提高银行的安全性和稳定性,央行应及时发现并解决基层银行信息安全方面的问题,保障银行业的健康发展。
基层央行信息安全工作的实践和思路
原则化 ,没有 一个针对金 融业可操作 的实施 细则和指
引 ,使 等级 保 护无 法准 确 与行 业 实 际相 结合 ,出现 了落
建 工作 ,要达到人民银行提 出的标 准和要求 ,就需要 一定 地难 的 问题 。因此 ,分支行 在 自 系统 的定级备案 时 出于
的软硬件投入和基础环境改造。但仅有这些是远远不够 避 免公 安 部 门 的监 督 检查 和 升 级 改造 等 大 量后 续 工作 的 的,更重要的是要把这些基础设施和监控手段有效地整 考虑而将重要 自建系统也定为二级以下 ,存在 “ 宁低勿 合 ,从而达到提高整个信息系统持续服 务能力的 目的 。 高”的思想 ,这在一定程度上背离了等级保护的初衷。
效地开展 ,二 者在 目标上是不矛盾的。在实际工作 中,
三方测评机构完成 的等级 测评工作是对等级保护定级工
2 1 / 国 融 脑 41 0 中 金 电 12
l I I 圈
作 的检 验 ,是 等级 保 护工 作 取得 预 期 效果 的 重要 保 障 。
同时 ,风险评估方法中的外评估也是对 自评估 的有效补
存 在 “ 投 入 ,轻 管 理 ” 的 思 想 , 即认 为 安 装 部 署 了 重
自评估确实也发 现 了一些 长期 忽视或 隐藏较深 的安全
防火墙 、入侵检 测 、防病 毒和加密 、准入 、监控 等这 隐 患 。这 两 项 工 作 的 开 展 大 大 提 升 了 基 层 行 的信 息 安 些软硬件之后 ,信 息安全水 平 自然就会提 高 。二是认 全保障能 力 ,但是在实 际操作过程 中我们也遇到一些
充 ,它能 够站 在 更加 客 观 的立 场 上对 整 个 I资 产 所面 临 T
四 、信 息 安 全工 作 的建 议
基层央行计算机信息安全问题与改进建议
基层央行计算机信息安全问题与改进建议近年来,随着人民银行各项业务系统推广和升级,业务数据逐步向总行和省会中支两级管理中心集中,计算机信息系统建设逐步得到加强和完善,基层央行作为基础业务的操作者,能否提供真实、安全的数据直接影响了全国央行的业务。
目前,由于基层央行人员短缺、管理滞后等原因,基层央行计算机信息安全管理存在诸多安全隐患,亟待解决。
标签:基层央行;信息安全近年来,人民银行陆续在全国推广了国库核算系统、大额支付系统、反洗钱监测、货币发行等重要业务系统,人民银行计算机信息系统建设逐步得到加强和完善,囊括了中央银行的各项职能,其重要性日益显现。
基层中央银行由于管理不到位,技术力量不强等原因,计算机信息安全工作存在许多薄弱环节,已严重威胁到计算机信息系统的安全稳定运行,亟待我们去研究、解决。
一、目前存在的问题(一)计算机安全领导小组没有发挥作用县支行普遍存在“重科技服务,轻安全管理”的现象。
由于县支行个别领导对计算机业务不熟悉,认识不深,安全意识不强、重视程度不够,为应付上级行检查,虽然成立了计算机安全领导小组,但并没有正确履行职责,人员变更后,调整也不及时,计算机安全领导小组形同虚设,根本没有真正发挥计算机安全领导小组的作用。
(二)科技人员队伍建设存在问题县级支行一般只配备一名科技人员,挂靠在其他部门管理,多数年龄较大且科技工作经验不足,科技人员队伍建设存在以下问题:一是县支行科技人员技术力量薄弱。
由于县支行多年不进人,没有及时补充新的科技力量,人员老化严重,缺乏专业知识,特别是缺乏既懂金融业务,又会计算机的年轻人,现有科技人员大多从事一般性的技术维护工作,没有机会参与大型软件开发、项目建设任务,缺乏实践锻炼的机会,随着日常维护任务的加重,深造学习的机会越来越少,科技知识更新缓慢,缺乏解决复杂技术难题的能力;二是县支行科技人员干劲不足。
县支行不单独设立科技部门,每县只配备一名科技人员,且工作兼职较多,工作干的多,责任大,提职机会少,导致县支行科技人员越干越没劲,干一段时间就要求换岗位的较多;三是关键技术个人化现象严重。
基层央行计算机信息安全风险及防范措施
、
( 一) 网络风险。 主要指业务 网络化所涉及 的操作等环节可能引起系统部分或全部瘫痪 的可能 。随着信息技术的发展 , 网络技术在基 层人民银行业务中广泛运用 , 网络安全风险也 将 在一 定 程度 上存 在 。 目前 正在 使 用 的上 级行 和 自身开发 的业务应用系统 已经扩展到支付 清算 、 会计 财务 、 国库核算 、 货币发行等 部门。 而计算机信息系统本身就存在很多潜在 的风 险, 来自 局 域网的内部攻击风 险、 网络连接设
及安全漏洞 , 防病毒软件 、 补 丁分发 系统 的滞 后性带来 的安全风 险及业务 系统本身存在 的
安全缺陷。 ( 四) 业务 操 作风 险。由于 大部 分业 务 系 统 需要 多人 、 多 部 门协 同 工作 , 业 务人 员 的误 操
因素等方面所造成的风险。 这些 因素都易引发
网络 风 险 。
码的升级 , 设置定期 自动扫描计算机病 毒 , 充
分利用管理 软件对客户端 的安全情况进行实 时监控 , 对与业务工作无关 的游戏 、 盗版软件 做到及时发现 、 及时控制等。五是加大可靠 的
是对信息安全管理人员的信息安全教育不够 ,
带来了内部风险的相对集 中。 二、 基层 央 行 计 算 机信 息安 全 风 险 的 防范
会计凭证上签字 , 在坐班 日 志上登记 的方式进
行控制 。与现代科技手段不匹配 的管理方式 , 极易造成管理风险。
( 三) 安全 技 术风 险 。 安 全技 术 方 面风 险 主 要 表 现 为 硬 件 环 境 和 软 件 环 境 的安 全 风 险 。
硬 件环境风 险包括 网络硬件 的安全 风险 、 通
措 施
计算机安全 产品投入力度 , 加强身份管理 、 访
基层央行信息系统风险评估工作存在的问题及建议
二 、对 基 层央 行 开展 风 险 评估 的建 议
针对基层央行在开展信 息系统风险评估工作中存在
提 升基层央 行开展风 险评估 工作 的水平 和质 量 ,是基 负责。风险评估工作涉及内容较多 ,不仅仅局限于 安全
层 央行 科 技 工 作 面 临 的 一 个 重要 问题 。
一
岗 ,已经覆盖了整个科技部 门的工作 。因此 ,只有安全 岗人员进行此项工作显然只是管 中窥豹 ,略见一斑 ,影
评 估 工作 。
再次 ,开展信息系统风险评估 是对系统安全建设和 管理的科学方法。风险评估是对传统经验方法的总结和
4 增强信息系统的开发、使用和维护者的交流沟通 .
提高科技运维人员对应用系统 日常操作流程和应用
提升 ,是对 风险理 论和技术 的具体 应用 。信 息安全要 系统各项技术指标 的了解 ,不仅可以提高科技人员的运 讲加强领导 ,要讲责任制 ,但如果没有科学的方法和手 维技能 ,而且也可 以减少系统开发人员提供技术支持的 段 ,也仍然可能发现不 了问题 ,也会 出现新的问题 。
件 、软件 、信 息安全 、日常管理和审计知识等 。然而 ,
基层央行 目前最缺乏这种复合型 的科技人 员,风险评估 的问题 ,笔者给出以下几方面的建议 。
人员的技术基础薄弱 ,有很多技术标准难以把握 ,造成 了风险评估 的准确度降低。
1充分认识开展风险评估工作的重要性 .
信息安全工作本质上是对信息系统风险的管理。基 层央行要把开展信息系统风险评估工作放到实现辖区金
强化基层央行操作风险防范的思考
罚, 以保证监 督工作 的严谨 、 高效。 ( ) 大 对 员 工 教 育 培 训 的 深 度 和 四 加 力 度 。一 方 面 要 采 取 “ 示 教 育 ” “ 身 说 警 、现 法 ” 联 系 实 际 的 方 武 深 化 对 员 工 的 思 想 等
教 育 ,增 强 全 体 员工 的 风 险 防 范 意 识 ; 另
留在 表 面 .对 员工 的 业 务 培 训 缺 乏 相 应 的 激 励 机 制 及 奖 惩 措 施 相 配合 . 所 以大 会 小 会 开 了不 少 , 效 果 不 佳 . 工 的 法 制 、 但 员 风
方 面 要 以 开 展 “ 务 知 识_ 业 竞赛 ” “ 奖 、有
竞 猜 ” 灵 活 多 样 的 方 式 加 大 员 工 对 新 业 等
FN N IA CE& E ON C OM Y 金 融 经 济
强化 基层 央行操 作 风险 防范 的思 考
口 董
摘 要 : 作 风 险 是 导 致 基 层 央 行 金 融 操
文
立 制度 检 测 考 评 机 制 . 期 对 各 部 门制定 的 定 制 度进 行 检 测 考 评 , 聩 制 度 缺 陷 , 促 各 反 督 部 门及 时 修 订 完善 各 项 制 度 。 并根 据 考 评 结
『1张 秋 华 .10 万 美 元 中 国 银 行 A M 3 50 T 扩 容 【.中 国 计 算 机 用 户 , 0 1 2 J 】 20( ) O ( 者 单 位 : 国 人 民银 行永 州 市 中心 支 行 J 作 中
制 的薄 弱 环 节 , 采取 措 施 加 以补 救 。第 四 , 建
参 考文献 :
f1握 奇 数 据 助 力 中 国 银 行 『.每 周 电 脑 1 J ]
基层央行计算机信息安全问题与改进建议-2019年精选文档
基层央行计算机信息安全问题与改进建议近年来,人民银行陆续在全国推广了国库核算系统、大额支付系统、反洗钱监测、货币发行等重要业务系统,人民银行计算机信息系统建设逐步得到加强和完善,囊括了中央银行的各项职能,其重要性日益显现。
基层中央银行由于管理不到位,技术力量不强等原因,计算机信息安全工作存在许多薄弱环节,已严重威胁到计算机信息系统的安全稳定运行,亟待我们去研究、解决。
一、目前存在的问题(一)计算机安全领导小组没有发挥作用县支行普遍存在“重科技服务,轻安全管理”的现象。
由于县支行个别领导对计算机业务不熟悉,认识不深,安全意识不强、重视程度不够,为应付上级行检查,虽然成立了计算机安全领导小组,但并没有正确履行职责,人员变更后,调整也不及时,计算机安全领导小组形同虚设,根本没有真正发挥计算机安全领导小组的作用。
(二)科技人员队伍建设存在问题县级支行一般只配备一名科技人员,挂靠在其他部门管理,多数年龄较大且科技工作经验不足,科技人员队伍建设存在以下问题:一是县支行科技人员技术力量薄弱。
由于县支行多年不进人,没有及时补充新的科技力量,人员老化严重,缺乏专业知识,特别是缺乏既懂金融业务,又会计算机的年轻人,现有科技人员大多从事一般性的技术维护工作,没有机会参与大型软件开发、项目建设任务,缺乏实践锻炼的机会,随着日常维护任务的加重,深造学习的机会越来越少,科技知识更新缓慢,缺乏解决复杂技术难题的能力;二是县支行科技人员干劲不足。
县支行不单独设立科技部门,每县只配备一名科技人员,且工作兼职较多,工作干的多,责任大,提职机会少,导致县支行科技人员越干越没劲,干一段时间就要求换岗位的较多;三是关键技术个人化现象严重。
由于人员的不足,日常技术维护和上级技术培训都由一人参与,所有技术只有一人掌握,一个人承担全行的各种操作系统、应用系统和数据库维护等工作,并负责计算机日常管理和安全管理,工作任务过重,很容易顾此失彼,且县支行技术人员调换频繁,科技工作衔接不好,容易出现问题,以至于影响正常工作的开展。
对央行计算机安全风险评估工作的思考
( ) 二 风险评估体系不具备通用性和可操作性 现有 的纷繁复杂的风 险评 估体系要迅速 向它的所 有分支机构普及 , 面临很 大的工作难度 : 第一 , 那么复 杂的体系工程是基 层技术人员能够掌握 的吗? 面对 如 此大规模 的检测对 象 , 传统的工具加人工操作 的检测 方式 已不能 满足现实 中高效 检测 的需要。 另外, 这种
信息安全 ・ 实务
栏 目 辑 编 梁 丽雯 E ma : e 一 1 6 o - i i n 0 @1 3c r lv l n
对央行计算机安全风险评估工作的思考
■ 中 国人 民银 行 榆林 市 中心支行 耿 显 龙
近年来 , 人民银行正 逐步开展计 算机安全风 险评
二. 计算机安全风 险评估工作存在的问题
依赖操作人 员技术水平和问卷 问询对象反馈结果的评 估结 论又能 多大程度 真实反 映 系统的实 际安全状 况 呢? 第二 , 大量 的县支行, 现状是 只有几个人 , 其 只有
一
统 的脆弱性 、 信息 系统面 临的威 胁 以及脆弱性被 威胁 源 利用后所产生 的实 际负面影 响, 并根据 安全事件发 生 的可能 性和 负面 影响 的程度 来识 别信息 系统 的安
全相 同的信息 系统可能仅仅 因为环境和层面的细小差
异, 而导致风 险评估体 系的模 型和标准无 法在两者上
都适 用 。
( 风险评估的步骤 三)
描述 系 统特 征 , 别威 胁 ( 胁评 估 ) 识 别脆 识 威 , 弱性 ( 脆弱 性评 估 ) 分析安 全控制 , , 确定可能性 , 分
全风险。
2 风险评估 的目的。 . 认清信息安全环境 和状 况; 达成共识 , 明确责任 ; 建立或完善安全保障措 施; 保持 信 息系统的建设与信息安全策 略的一致性和持续性。
基层央行信息安全面临的风险与对策建议
基层央行信息安全面临的风险与对策建议随着大额支付系统(ABS、TBS)、货币金银管理信息系统、人民币结算账户管理系统及办公自动化等重要业务系统的陆续上线运行,计算机和计算机网络正发挥着越来越重要的作用。
当信息系统带来更高效能、便捷服务的同时,也使计算机信息系统面临着较大的安全风险,一定程度上制约着中央银行的电子化建设。
一、基层央行计算机信息安全工作现状及存在的问题。
1、网络安全存在的主要问题:一是硬件问题:内联网二期工程实施后,中心支行和县支行已完成路由器和交换机布设和更新工作。
但是从实际情况看,硬件设备备份严重不足。
一是县支行根本没有配备网络备份设备。
二是备份线路问题:内联网二期工程完成后,完成了县支行到中心支行,中心支行到省会的2M 光纤接入工作。
但是,县支行到中心支行的备份线路使用的128KDDN专线方式。
在实际应用中,我们注意备份线路的连通测试,目的是当主线路出现故障时恢复网络及时联通。
三是网络漏洞与病毒防治:网络漏洞扫描系统和入侵检测系统以及反病毒系统和防火墙的安全运行,为网络系统的安全打下了良好的基础。
但是,网络的安全运行依然存在着一些问题,主要表现在:不能按照总、分行的要求,强化对网络设备的安全使用和管理,比如对口令的设置和定期修改、软件版本升级等问题。
安全检测系统采用的都是“已知漏洞”和“已知攻击”,并且检测策略由总行安全中心下发到各地市中心支行需一段时间,所以造成了检查系统的滞后性,使病毒在网络中迅速传播,网络安全隐患随时存在。
2、计算机安全存在的问题:一是操作系统问题:随着业务系统的不断推出,使得基层行操作系统存在着各种操作系统并存的局面。
目前常见的操作系统有WIN98、WIN ME、WIN2000、WINXP、WIN2003、SCO等,没有一个统一的操作平台,出现问题只有科技人员到现场才能解决,对计算机的普及造成无形的障碍。
二是系统补丁问题:如上所述,由于操作系统的多样性,增加了系统补丁及时安装的难度。
基层央行客户端信息安全管理工作存在的问题与建议
行多年不进人 ,无法及时补充新 的科技力量 ,人员老化 提 高全 员 的信 息 安全 意 识 。要 最大 限度 利 用好 现 有 的人
严重 ,缺 乏 专业 知识 ,科 技 人 员工 作兼 职较 多 ,仅 能 保 力资源,选派政治思想过硬 、具有较高计算机水平的人 障 日常科 技服 务 工作 。同时 ,科 技 人 员政治 待 遇差 ,科 员从 事 信息 安 全管 理 工作 ,加 大基 层人 员 的信 息安 全技 技 人 员开 展计 算机 客 户端 检查 心 存顾 虑 ,计 算机 日常监
备 案 。部 门计 算 机 安 全 员负 责 本 部 门 计算 机病 毒防 治 工
科技 部 门重 科技 服 务 ,轻 安全 管 理 ,同级 监督 使 基
作 ,监督 检 查 本 部 门客 户 端 安全 管 理 情 况 ,但 该 规 定 在 层 行 计 算 机 安 全 管 理 流 于 形 式 。 目前 ,宁 德 中心 支 行8
广泛应用 ,人 民银行大小额支付 系统 、国库会系统 、人民币结算账户管
理 系统 等 核 心 业 务 系统 的 推广 应 用 ,重要 信 息 系 统 正逐 渐 向 总行 和 省 会 中心 支 行 两级 集 中 。基层 央 行 作 为信 息 网络 的 “ 梢 神 经 ” ,与全 国数 据 库 直接 相 连 ,如何 有 末 效 加 强基 层 央 行 计算 机 客 户端 信 息 安 全管 理 ,直 接关 系
基层央行信息安全审计难点及对策
随着信息化的迅速发展,基层央行已全面实现了办公自动化、业务信息化、数据处理集中化,加强信息安全管理,开展信息安全专项审计成为央行内部审计的一项重要内容,但基于目前基层央行内部审计现状,信息安全审计还存在诸多难点,在一定程度上影响了基层央行内审工作成效。
一、开展基层央行信息安全审计的难点1.信息系统运行环境复杂。
一是随着央行电子化业务快速发展,基层央行科技工作量越来越大,目前绝大多数行人均已超过了一台电脑,所使用的各种业务信息系统达三、四十个以上,且软件系统频繁升级,各种“补丁”不断。
二是目前基层央行使用的各业务系统有总行统一开发,也有自主开发的,由于各业务系统开发环境不一致,涉及操作系统、数据库多,增加了运行维护难度,并且部分设备老化严重,存在一定风险隐患。
基层行科技人员除要办理自身业务工作外,还负责各部门系统安装和升级、日常管理及维护、网络安全、病毒防范、安全培训等,使得信息安全检查、系统风险评估工作较难有效开展,客观上就给基层央行信息安全内部审计带来了一定的难点。
2.部门业务系统难以适应信息安全审计需要。
基层央行所使用的业务系统几乎都没有预置审计接口和审计用户,连简单的数据查询都需要通过被审计对象提取,同时由于信息量大,再加上内审部门缺乏相应的技术审计手段与审计力量,用有限的人工方法查找海量的电子化信息,不仅效率低,而且要想筛选出有价值的线索如同“大海捞针”。
3.信息安全审计技术落后。
央行内部审计在信息安全审计方面除合规性审计外,还对信息系统、网络安全、机房环境开展风险导向性的事前审计,但由于基层央行现有审计技术的局限性,大多数内审人员对信息安全管理知识了解较少,开展审计时边学边审,导致审计证据较难获取,难以充分发挥信息系统审计的真正作用,大大影响了审计效果。
另外,由于内审部门和人员不能及时介入系统的研发、推广、培训,导致对系统了解较少,再加上大部分系统都由总行开发,基层央行难以独立开展高质量的信息系统审计项目,从而制约了信息安全审计开展的深度和广度。
对进一步推进基层央行信息安全风险评估的若干思考
对进一步推进基层央行信息安全风险评估的若干思考随着互联网和信息技术的飞速发展,金融行业也逐渐从传统的纸质化、人工操作的业务模式转向数字化、网络化的运营模式。
然而,在数字化进程中,信息安全风险也随之而来。
尤其是在基层央行,信息安全风险更加突出。
因此,进一步推进基层央行信息安全风险评估显得尤为重要。
一、基层央行信息安全面临的风险基层央行是金融行业的重要组成部分,其信息安全问题直接关系到金融体系的稳定运行。
基层央行信息安全面临的风险主要包括以下几个方面:1.数据泄露风险基层央行存储着大量的金融数据,包括个人信息、企业信息、资金流向等敏感信息。
若这些信息被泄露,将对金融体系带来严重的影响。
2.网络攻击风险基层央行在网络化运营中,面临着各种类型的网络攻击,如病毒攻击、黑客攻击、恶意软件攻击等,如果安全防护不到位,可能会导致系统瘫痪、数据丢失等后果。
3.人为操作风险基层央行的业务操作涉及到很多人员,如果操作失误或存在人为疏忽,就会导致信息安全问题。
二、基层央行信息安全风险评估的必要性基层央行信息安全风险评估是一项必要的工作,它可以帮助基层央行更好地了解其信息安全风险水平,及时发现和解决问题,从而保障金融体系的安全稳定运行。
1.全面了解信息安全风险信息安全风险评估可以对基层央行的信息系统、网络设备、数据存储等方面进行全面的评估,从而了解其信息安全风险的全貌。
2.发现潜在的安全隐患通过信息安全风险评估,可以及时发现潜在的安全隐患,避免安全问题的发生,从而保障金融体系的安全稳定运行。
3.提高信息安全水平信息安全风险评估可以帮助基层央行识别自身信息安全的薄弱环节和不足之处,从而加强信息安全管理,提高信息安全水平。
三、基层央行信息安全风险评估的实施方法基层央行信息安全风险评估的实施方法应该全面、科学、系统。
下面,就基层央行信息安全风险评估的实施方法进行阐述。
1.风险评估准备在进行信息安全风险评估前,需要做好充分的准备工作。
建立基层央行风险评估体系的思考
风险评估是识别和分析相关风险并确定应对策略的过程,是选择恰当的控制活动的关键,它能够指明内部控制措施实施的⽅向。
近年来,中国⼈民银⾏各分⽀机构不断提⾼风险防范意识,建⽴健全了各项内控制度,特别是《中国⼈民银⾏分⽀机构内部控制指引》下发以来,基层⼈民银⾏更加重视内部控制机制建设。
然⽽,由于缺乏科学、有效的风险评估体系,不能正确评估本单位的相关风险,采取的防范措施不能消除或降低风险,制约了内控机制建设的发展。
因此,亟待建⽴符合基层⼈民银⾏实际的先进的风险评估体系。
⼀、建⽴⼈民银⾏风险评估体系的必要性 (⼀)是⼈民银⾏内控机制建设的要求。
《中国⼈民银⾏分⽀机构内部控制指引》明确规定:“分⽀⾏应通过科学、有效、可⾏的风险识别、分析和应对,对相关风险进⾏持续监控和有效管理,将相关风险控制在合理的范围内”。
同时要求“分⽀⾏应结合本单位的实际情况和特点,对所有相关风险进⾏有效识别和科学界定,建⽴风险评估框架,正确评估本单位的相关风险”。
⽽⽬前此项⼯作尚处于起步阶段,没有成型的模式,没有相关标准,更没有形成科学、规范的体系,⼤家对风险的识别还停留在经验判断、主观分析上,很难全⾯、准确评估本单位的相关风险。
(⼆)是⼈民银⾏有效履职的需要。
随着⼈民银⾏职能的调整,宏观调控职能的加强,征信管理、反洗钱等新业务的出现,现代化⽀付系统等信息技术的建设发展,确⽴了⼈民银⾏在整个⾦融体系中的核⼼地位。
但宏观调控政策中的传导风险、⾏政管理中的法律风险、业务现代化发展中的信息技术风险、履⾏职责中的效率风险等各种风险也随之⽽来,并与⽇俱增,⽽⽬前有的基层⾏还停留在对会计国库、货币发⾏、财务收⽀等传统风险的防范上,对这些新型风险认识不⾜,更没有采取有针对性的措施加以防范,以⾄出现了因⾏政执法不当被提起⾏政诉讼,因管理不善,重要业务信息系统被病毒破坏,因未严格按照有关规定运⽤货币政策⼯具,影响货币政策贯彻实施等问题。
因此,⼈民银⾏要实现货币政策⽬标,维护⾦融稳定,提供优质⾦融服务,必须建⽴风险评估体系,防范各种风险。
基层央行信息安全风险管理的思考与实践
基层央行信息安全风险管理的思考与实践
贾亚红
【期刊名称】《现代工业经济和信息化》
【年(卷),期】2017(007)023
【摘要】随着基层央行信息化的快速发展,特别是大数据、云计算等新技术的广泛应用,信息安全风险管控压力越来越大,信息安全保障成为难题,针对基层央行信息安全风险管理中存在的问题和困难,提出了改进完善的建议和措施.
【总页数】2页(P45-46)
【作者】贾亚红
【作者单位】中国人民银行太原中心支行, 山西太原 030001
【正文语种】中文
【中图分类】F832
【相关文献】
1.基层央行信息安全管理的实践与思考 [J], 蒋汉阳
2.基层央行计算机信息安全的探讨与实践——龙岩辖区县市支行计算机信息安全情况调查 [J], 饶小进
3.基层央行计算机信息安全的探讨与实践——龙岩辖区县市支行计算机信息安全情况调查 [J], 饶小进
4.构建与全面风险管理体系融合的信息安全风险防控机制——太保集团信息安全风险管理实践与思考 [J], 王剑
5.基层央行风险管理的实践与思考\r——以人行茂名中支为例 [J], 陈华
因版权原因,仅展示原文概要,查看原文内容请购买。
对基层央行业务系统审计信息化的思考
对基层央行业务系统审计信息化的思考第一篇:对基层央行业务系统审计信息化的思考对基层央行业务系统审计信息化的思考随着央行业务信息化的发展,数据信息系统成为内审部门新的必须开展的审计内容,我国中央银行利用信息技术对业务系统进行审计起步较晚,与业务系统电子化发展相比,审计信息技术的发展很不匹配,存在明显滞后,从实际运用来看,内审部门的信息技术手段仍很落后,特别是基层央行,对业务的审计仍以手工为主,检查的重点还停留在制度执行层面,风险洞察水平不高,严重影响了审计质量。
一、央行业务系统审计面临的现状与困境1、业务系统可审性差。
随着央行内审功能定位的清晰,内审工作的审计领域逐步拓宽,审计内容也日渐丰富,但对业务系统领域的审计还没有完全展开。
目前,所有业务系统几乎都没有预置审计接口与审计用户,连简单的数据查询都需要通过被审计对象才能进行,同时由于信息量大,再加上内审部门缺乏相应的技术审计手段与审计力量,用有限人工的方法查找海量电子化信息,效率太低,要想筛选出有价值的线索无异于“大海捞针”;因没有设置监控点,最大限度保留、记录审计线索,各项违规操作、异常操作无从查找。
2、计算机辅助审计运用不广。
由于应用系统开发各自为阵,各个系统由不同的开发单位开发,所采用的开发、应用平台不同、开发语言不同,数据库不同,没有一个统一的标准的数据化接口,加上内审部门没有专用的通用审计软件,使业务系统数据采集、转换、分析困难,另外,数据采集还涉及到数据导出后的保密问题,也成了数据采集困难的因素之一。
加之内审部门计算机配备不足,能熟练掌握计算机专业知识及业务知识的人员偏少,计算机辅助审计仅停留在文字处理和电子表格处理层面,更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多。
3、审计服务平台搭建不力。
目前,央行内审业务尚未搭建起支持信息化审计的高效的服务平台,严重滞后于信息化审计工作的发展,成为难以突破的“瓶颈”。
主要表现为:一是审计依据的更新不及时,给依据的查找、问题的定性带来极大的不便,许多审计人员反映,在依据查找、问题定性方面投入的工作量占整个工作量的近三分之一。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
织 和实施 。 但信息安全风 险评估是 一项涉及 全部业务
信息 系统 , 以及各方面人 力、 物力 、 财力等 的综合 性工 作, 仅靠科技部 门一手组织协调 , 势必给信息安全风 险 评估 的全面性、 可靠性 等带来缺漏。 ( ) 息安 全风 险评估 工具缺 乏是影响信息安 三 信
全风 险评估工作 的瓶颈
风 险评估工作, 为进一步落 实信息安全保 护制度 及其
责”, 出于对 自身信息 系统 的安全 责任考虑 , 信息系统
管理者应定期 对系统进行风险评 估, 具体实施 时可 以
管理 提供了有力的支持。 笔者根据 近年来从事信息安
全风险评估工作的切身体会, 有针对性地分析 了基层人
依托 自 身的评估 队伍 进行, 也可委托有资质的第三方提 供评估服务技术支持, 但无论是哪一种形式 , 责任都是 由信息系统管理者 自 己承担 。 因此 , 评估 中的 “ 是 自 白” 自己负责 的意思 , 括 自己负责系统的安全、自己发起 包
实务 ・ 信息安全
栏 目编辑 梁丽雯 E malv n 0 @1 3c r — ii _1 6 o :e l n
对进一步■进基层史行 信息安全风险评估的着千息膏
一 中国人民银行西安分行营业管理部 徐 涤
随着我 国经济的迅 速发展 , 越来越多 的金融基础
信息安全风 险评估和怎么做信息安全风险评估等 问题 的认识 和把握 滞后于信息安全工作 , 致使 基层人 民银 行还未能完整地把信 息安全风险 评估纳入信息安全系
利和义务。 三是信息安全 风险评 估制度要纳入信息安
全制度体系中去, 使信息安全风险评估与信息安全工作 同安排 、 同部署、 同检查 。
( ) 三 要将信息安全 风险评 估与信息安全 等级保
护联系起来
信息安全风险评估效果 的好坏与风险评 估工具 的 质量和使用密切相关 。 国内具有—定专业z-- 而 l 的信息 <  ̄ 安全风险评估公司受到公司品牌 、 规模等的影响, 所开 发 的风险评估工具大多局限于漏洞扫描 、 破拆等方 口 面, 在安全管理评 估、 系统脆弱性分析等方面还不够深 入 , 之价格昂贵等原 因, 加 信息安全风 险评 估工具的缺 乏已经成 为影响信 息安全风险评估工作 的瓶颈。
一
是从基层人 民银行开展信息安全风险评估工作
些 安全事件在处 理过程 中处于被动地位 , 信息安 全 早在2 0 年 , 0 3 国家 就明确提 出了建设 信息安全保
的实际情况来看, 评估方式基本上是 自评估方式 , 而由
风险呈现 “ 由硬件 向软件转移” 的趋势等。 障体系的总体规划, 中将信 息 其 安全风险评估工作作为 这个体系的要素之・。 人民银行也相应把风险评估工作
一
二是具体负责信息安全风险评估工作的人员还未
能掌握风险评估 的方法 、 流程 、 规范和标准, 采取信息
安全风险评估 的实际做法与标准 的信 息安全风险评估
工作还有一定差距 。
三是受各方面条件 的限制 , 还不能像重视信息安 全工作那样 重视信息安全风险评估工作 这个 信息 系统 安全的前期工作。 ( ) 二 信息安全风险评估缺少专业人才队伍
应该认识 到, 信息 安全风险评 估标准应 紧扣信息
民银行 开展 信息安 全风险评 估 中的一些 问题 , 出了 提
进一步做 好信息安全风 险评估工作的若干建议。
一
基层 人民银行信息安全风险评估存在的问题
( 对信息安全风险评估 的认识尚浅 一)
一
对信息系统 的风险评 估以及 自己为保 障系统安全所做
的风险评估的安全等。 “ 自己给 自己评估 ” 得评 估 的客观度 和可信度 使
二是 信息安全 风险评估是一项技术含量非常高的 专业 工作 , 信息系统管理员由于专业 所限 , 以担当信 难 息安全风险评估专业人 员角色 。 三是信息安全风险评 估一般 是由科技部门负责组
持 的号令, 必须 建立健全 信息安全 风险评 估制度 , 并 且将信息安 全风险评估制度纳入信息安全 制度体系中 去。 一是信息安全 风险评估制度应 贯穿网络与信息系 统建设运行 的全过程 。 二是 信息安全风 险评估制度要 明确评估者、 建设 者、 使用 者和管理者之 间的关 系、 权
下降。
是对信息安全风 险评 估工作的认识和理解 尚处
于初级 阶段, 对什么是 信息安全风险评估, 为什么要做
7 l2 1 年 ・ 期 投稿 邮箱 h f@2 c . e 4 0 1 第8 n c l nn t
信 息安全 ・ 务 实
栏 目编辑 梁丽雯 E malv n 0 @1 3c r — ii 一 1 6 o :e l n
统的整体框架 中。
设施 在支持宏观调 控、 维护金融稳定和提供金融 服务
中承担着越来越 重要 的作用, 日 如 益完善的支付清算体
系成为金融系统 的主动脉 ; 国库系统实现了财税库银横 向联网, 缴税及税款入库 已全程电子化; 金融统计系统 将常规监 测与热点调查相结合, 时向国家反映宏 观 及 经济 的变化情况 , 有力地支持 国家 宏观调控政策 的制 定; 征信 系统填补了我国信用记录缺失的空 白, 促进了 信贷市场的发展等等。 但是 , 信息化在为人民银行履职 带来使用便捷、 效率提高 、 成本降低 、 业务创新等优势 的同时, 也带来 了与之 相应 的风险与安全 隐患, 其中数 据集中带来了风险的集中, 网络的联 通又加快了风险的 传导, 系统的软硬件产品高度依 赖国外厂商, 棋 使得
作为加强信 息安全内控工作的重要一环, 开展了检查和
于对 自评估 方式理 解上 的偏差以及害怕第三方评估引 起泄密 等原 因, 从事信 息安 全风险评 估工作 的人员基
本是各个系统的管理员, 造成 “ 自己给自己评估 ” 。 自 评估 中的 “ 不仅仅是指 自己做评估 的 “ , 自” 自” 也不仅仅是指 自愿做评 估的 “ 。由于 “ 主管谁负 自” 谁