中小金融机构信息安全管理风险及对策
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
了探 讨 。
调金 融业信息安全和信息化工作 。”银监会在 助于理清信息安全工作思路。体系框架主要是 2012年成 立 了信 息科 技监 管部 ,负责制 定银 由安全组织体系 、安全管理体系和安全技术体 行业 信息科技监管政策,指导银行业信息科技 系三部分共 同构成 ,安全组织体系从人员、意 发展规 划,开展信息科技非现场监管和现场检 识 、职 责等方面保证信息安全运作的顺利进行 , 查 。公 安部 门则负责公共 信息网络的安全监察 安全管理体系为信息安全管理工作提供 规范、 工作 ,指导计算机信 息系统安全保护工作,查 措施 、方法和 约束 ,安全技术体系从 网络层 、 处危害计算机信 息系统安全的违法犯罪案件。 系统层和应用层三个层面采用相应 技术和 手段 近年来 ,各级地方政 府也成立了金融办,负责 保证系统安全的实现。 落实 当地金融政策 ,协调政府与金融机构的关
信 息安全 管理不成体系
代码 以及关键参数配置等技术数据不受 自己掌 理 能 力
目前,大 型 国有 商业 银行 和起 步较 早 的 .帝0商业银行,通过 自身的研发力量或 引进 、核 心业务系统, 己逐步探索 出了具有各 自 I的 IT架构及 管理模 式,信 息安全 防护体 较完善 。与大型金融机构相 比,中小金融 l的信 息化进 程起 步较晚,信息安全意识存 · 定偏差 ,大部分机构仅重视安全防护设备 、 :工具 的投 资而忽视信息安全管理投资 ,以
(3)建立了对外包服务 的风险应急机制, 明确重要系统开发厂商因公司破产或倒闭等原 因导 致 技 术 骨 干 人 员 流 失 , 从 而 影 响 系 统 的正 常运行 的应急流程和措施;四是有针对 性地获 取或提升管理及技术能力,降低对 外包服 务提 供商的依赖。
(1)软件开发 外包会 使重要信 息例如源 3.3 强化业务连续性管理 ,增强突发 事件 的处
3.2 完善 IT外 包风险管理体系,降低对 外包服 系 ,防范化解 当地金 融风 险。多部门对金融机 务商的依赖度 构信息安全工作监督管理的格局基本形成 。
键 词】 中小金融机构 信息安全 对策
伴 随金融 机构 信 息化进 程 的不 断加 快, l业务信息化依赖程度也 日渐加深 ,信 息安 险对于金融机构 ,特别是 中小金融机构 的 1日益显著。中小金融机构作为金融行业 的 :力 量,迫切需要构建一个多层次 、全方位 息安全防范体系。
· 外包风险管理不到位
(1)强化对 IT外包服 务管理 与监督 。完 善外包服务 管理制度规定 ,对外包服务过程进 行持续监控 ,跟踪任务 的执行情况 ,及时发现 和纠正服务过程 中存在的各类异常情况;
(2)加 强与外包 服务商的沟通协 调 ,了 解外包服务商 风险 防控管理过程 ,加强与外包 服务商 的配合 ,提高外包服务商的差异化服务 水 平 :
小金融机构信 息安全管理现状
2中小金融机构面临的信息安全风险
2.1信 息安全战略规划缺 失
中小 金融 机构 由于 缺 乏信息 安全 总体规 划,信息建设过程 中欠缺统筹考虑 ,对 于系统 安全部分的硬件设施 、软件 设计模 块缺 乏,造 成诸如审计 、保密 、数据传输 中的完整 性、数 据正确性、对外来攻击 的预 防等 安全措施 弱化 或缺失 。经常 出现系统刚上线就面 临着 升级改 造甚至淘汰的局面 ,缺乏一个合理 的信 息安全 方针 来指导信息安全管理工作。
Information Security· 信息安全
中小金融机构信 息安全 管理风 险及对策
文/宋 瑾
随着我 国金 融行 业信 息化建 设持 续发展 ,金 融信 息 安全 形 势 愈加 紧迫。相对 于大型金 融机构 , 中小金 融机 构普 遍缺 乏信 息安全 总体规 划和全 面的信 息安全管理 , 信 息安 全风 险 尤 为突 出,迫 切 需 要 构建 一个 管理 手段 与技 术 手段 相 结合 的 多层 次、全 方位 的信 息 安 全 防范。基 于此 ,本文 对 中 小 金 融机构 信 息安 全 管理 问题 进行
信 息安全多部 门监管格局形成
(1)应急预案 要素不全 。中小金 融机构 虽然都制定 了信 息系统的应急预案 ,但预案 内 容覆盖面不全 ,预案要素欠缺,缺乏针对性和 可操作性 ,在 系统 发生紧急事故时 ,无法对问 题实施预案应 急措施 ;
(3)要经 常性的开展 突发事件预案 的教
:和产 品形成 的低 层安全防护屏障替代全面 安全管理 ,没有 形成一个合理的信息安全 ‘ 来指导组织 的信息安全管理工作 。
IT服务外 包现 象普遍存在
中小金融机构快速发展 的同时 ,科技人员 :与结构矛盾 突出,由于不具备专业软件开 l队和系统运维队伍 ,很 多业务需要借 助外 r量来完成 中小金融机构往往 采取与专业 :件公 司合作 的模 式开发新业务所需系统, - 些关键 的业 务系 统管理建设工作也都交给 :的公 司,如有 些银行将综合业务系统 、网 I行系统等核 心系统外包 给城商行联盟 ,由 供系统运营服务和系统安全建设服务 。
控 ,另外,专业的软硬件公司的工作人 员一般 都不 固定,金融机 构对这些公司如果缺乏有力 的制 约,就 会给外包系统的运作到带来很大 的 安全 隐患,阻碍系 统的有 效运作 ;
(2)业务系 统运维管 理外包 ,特 别是包 含银 行核心服务内容的综合业务系统外包 ,信 息技术风险与数据泄密风 险较高 。
2.3应 急处置 能力有 限
(1)要在 突发 事件预案 的体 制 下建 立各 种风 险的解决方案 ,包括突发事件预案的实施 条件 、响应规划 、解决步骤 、系统恢复正常工 作的步骤 、事后安全知识的宣传等 ;
(2)高度 关注对信 息风险的预防 以及相 关 的预警报告体制 的建设和改进,使风险的处 理 措 施 能 够 尽 量 科 学 合 理 ;
调金 融业信息安全和信息化工作 。”银监会在 助于理清信息安全工作思路。体系框架主要是 2012年成 立 了信 息科 技监 管部 ,负责制 定银 由安全组织体系 、安全管理体系和安全技术体 行业 信息科技监管政策,指导银行业信息科技 系三部分共 同构成 ,安全组织体系从人员、意 发展规 划,开展信息科技非现场监管和现场检 识 、职 责等方面保证信息安全运作的顺利进行 , 查 。公 安部 门则负责公共 信息网络的安全监察 安全管理体系为信息安全管理工作提供 规范、 工作 ,指导计算机信 息系统安全保护工作,查 措施 、方法和 约束 ,安全技术体系从 网络层 、 处危害计算机信 息系统安全的违法犯罪案件。 系统层和应用层三个层面采用相应 技术和 手段 近年来 ,各级地方政 府也成立了金融办,负责 保证系统安全的实现。 落实 当地金融政策 ,协调政府与金融机构的关
信 息安全 管理不成体系
代码 以及关键参数配置等技术数据不受 自己掌 理 能 力
目前,大 型 国有 商业 银行 和起 步较 早 的 .帝0商业银行,通过 自身的研发力量或 引进 、核 心业务系统, 己逐步探索 出了具有各 自 I的 IT架构及 管理模 式,信 息安全 防护体 较完善 。与大型金融机构相 比,中小金融 l的信 息化进 程起 步较晚,信息安全意识存 · 定偏差 ,大部分机构仅重视安全防护设备 、 :工具 的投 资而忽视信息安全管理投资 ,以
(3)建立了对外包服务 的风险应急机制, 明确重要系统开发厂商因公司破产或倒闭等原 因导 致 技 术 骨 干 人 员 流 失 , 从 而 影 响 系 统 的正 常运行 的应急流程和措施;四是有针对 性地获 取或提升管理及技术能力,降低对 外包服 务提 供商的依赖。
(1)软件开发 外包会 使重要信 息例如源 3.3 强化业务连续性管理 ,增强突发 事件 的处
3.2 完善 IT外 包风险管理体系,降低对 外包服 系 ,防范化解 当地金 融风 险。多部门对金融机 务商的依赖度 构信息安全工作监督管理的格局基本形成 。
键 词】 中小金融机构 信息安全 对策
伴 随金融 机构 信 息化进 程 的不 断加 快, l业务信息化依赖程度也 日渐加深 ,信 息安 险对于金融机构 ,特别是 中小金融机构 的 1日益显著。中小金融机构作为金融行业 的 :力 量,迫切需要构建一个多层次 、全方位 息安全防范体系。
· 外包风险管理不到位
(1)强化对 IT外包服 务管理 与监督 。完 善外包服务 管理制度规定 ,对外包服务过程进 行持续监控 ,跟踪任务 的执行情况 ,及时发现 和纠正服务过程 中存在的各类异常情况;
(2)加 强与外包 服务商的沟通协 调 ,了 解外包服务商 风险 防控管理过程 ,加强与外包 服务商 的配合 ,提高外包服务商的差异化服务 水 平 :
小金融机构信 息安全管理现状
2中小金融机构面临的信息安全风险
2.1信 息安全战略规划缺 失
中小 金融 机构 由于 缺 乏信息 安全 总体规 划,信息建设过程 中欠缺统筹考虑 ,对 于系统 安全部分的硬件设施 、软件 设计模 块缺 乏,造 成诸如审计 、保密 、数据传输 中的完整 性、数 据正确性、对外来攻击 的预 防等 安全措施 弱化 或缺失 。经常 出现系统刚上线就面 临着 升级改 造甚至淘汰的局面 ,缺乏一个合理 的信 息安全 方针 来指导信息安全管理工作。
Information Security· 信息安全
中小金融机构信 息安全 管理风 险及对策
文/宋 瑾
随着我 国金 融行 业信 息化建 设持 续发展 ,金 融信 息 安全 形 势 愈加 紧迫。相对 于大型金 融机构 , 中小金 融机 构普 遍缺 乏信 息安全 总体规 划和全 面的信 息安全管理 , 信 息安 全风 险 尤 为突 出,迫 切 需 要 构建 一个 管理 手段 与技 术 手段 相 结合 的 多层 次、全 方位 的信 息 安 全 防范。基 于此 ,本文 对 中 小 金 融机构 信 息安 全 管理 问题 进行
信 息安全多部 门监管格局形成
(1)应急预案 要素不全 。中小金 融机构 虽然都制定 了信 息系统的应急预案 ,但预案 内 容覆盖面不全 ,预案要素欠缺,缺乏针对性和 可操作性 ,在 系统 发生紧急事故时 ,无法对问 题实施预案应 急措施 ;
(3)要经 常性的开展 突发事件预案 的教
:和产 品形成 的低 层安全防护屏障替代全面 安全管理 ,没有 形成一个合理的信息安全 ‘ 来指导组织 的信息安全管理工作 。
IT服务外 包现 象普遍存在
中小金融机构快速发展 的同时 ,科技人员 :与结构矛盾 突出,由于不具备专业软件开 l队和系统运维队伍 ,很 多业务需要借 助外 r量来完成 中小金融机构往往 采取与专业 :件公 司合作 的模 式开发新业务所需系统, - 些关键 的业 务系 统管理建设工作也都交给 :的公 司,如有 些银行将综合业务系统 、网 I行系统等核 心系统外包 给城商行联盟 ,由 供系统运营服务和系统安全建设服务 。
控 ,另外,专业的软硬件公司的工作人 员一般 都不 固定,金融机 构对这些公司如果缺乏有力 的制 约,就 会给外包系统的运作到带来很大 的 安全 隐患,阻碍系 统的有 效运作 ;
(2)业务系 统运维管 理外包 ,特 别是包 含银 行核心服务内容的综合业务系统外包 ,信 息技术风险与数据泄密风 险较高 。
2.3应 急处置 能力有 限
(1)要在 突发 事件预案 的体 制 下建 立各 种风 险的解决方案 ,包括突发事件预案的实施 条件 、响应规划 、解决步骤 、系统恢复正常工 作的步骤 、事后安全知识的宣传等 ;
(2)高度 关注对信 息风险的预防 以及相 关 的预警报告体制 的建设和改进,使风险的处 理 措 施 能 够 尽 量 科 学 合 理 ;