基层支行科技综合管理的风险与建议

基层支行科技综合管理的风险与建议
作者：杨文红江凌瑜
来源：《现代经济信息》 2018年第20期
杨文红中国人民银行上饶市中心支行
江凌瑜中国人民银行玉山县支行
摘要：遵循审计关注风险、风险引导审计理念，审计组组织开展了对辖内部分县支行的科
技综合管理审计，发现一些普遍性问题，存在不同程度的风险隐患，需引起高度重视。

关键词：基层支行；科技综合管理；风险；建议
中图分类号：F830???文献识别码：A???文章编号： 1001-828X(2018)030-0271-01
一、存在问题及可能造成的风险
( 一 ) 机房环境不佳，硬件配置不全
大部分支行将机房划分为两个区域，一是放置路由器等重要电子设备的生产区，二是放置UPS 等机房环境设备的辅助区。

但机房普遍存在堆放闲置物甚至纸盒等易燃物的现象，既不利
于充分利用场地，也存在可能引起火灾等隐患，有的支行未安装防盗窗，存在设备被盗的风险。

安全防护硬件设备是保障机房的安全稳定运行的重中之重，但部分支行缺乏防范意识，在
硬件配置上疏于管理，未按要求安装烟感探测器、自动报警系统、温湿度记录设备、自动感温
器等，若发生火灾、进水等突发情况，救援人员较难及时获取预警信息，耽误救援时间可能造
成设备损坏，导致业务中断等安全事故。

( 二 ) 各类台账登记不全，台账管理存在漏洞
虽然之前中支下发过用于登记各类台账的工作手册，但部分支行仍未严格在工作手册中按
要求登记，也未在另外自行建立台账，及时登记。

如《值班登记表》主管领导未签字，设备进
入场地未登记，《机房外来人员登记簿》登记不全，《供配电巡查登记表》登记过于简单，
电子设备台账未建立，《内联网接入审批登记表》未填写，CA 证书申领未登记，《信息安全员登记表》未登记。

不利于巡查巡检制度的执行及设备、设施、证书的管理，且可能存在外来
人员进行非法操作造成无法有效追责的风险。

( 三 ) 内联网计算机命名不正确，安保措施不足
部分支行在计算机命名中过于随意，如用 PC-201812050904 来命名，科技管理人员也未在日常管理中核对内联网客户端计算机命名规范，对日常计算机维护造成不便。

大部分支行在内联网计算机的安保措施方面存在严重问题。

如未安装一体化防护系统，安
装盗版软件，未设置屏幕口令，未创建两个管理员账号。

( 四 ) 应急预案缺乏必备要素，未开展风险评估
县支行应急演练大多依靠上级行的指示，但在制定应急预案时未能根据支行实际，如欠缺
应急人员名单、联系方式，未对信息安全突发事件进行风险评估，没有提供突发事件风险评估
报告，影响应急演练的有效性。

二、原因分析
通过审计，一是发现了大部分县支行科技管理存在较大的漏洞；二是县支行科技力量薄弱，科技人员配备不足。

如：大部分支行科技人员为兼职，不能完全投身于科技工作当中，且精通
科技管理的人员较少，不能很好地适应业务流程的新变化。

通过梳理，对存在问题的原因进行
了全面分析，产生风险事件的主要原因如下：
( 一 ) 工作严谨性不足，制度执行不够到位
从审计情况来看，尽管人民银行相关规章制度确立了成文规定，明确了风险防控要求与措施，但由于部分支行疏于管理，相关工作人员工作不够重视、不够细致，制度执行不够到位的
情况普遍存在。

如：《江西省人民银行系统县 ( 市 ) 支行信息安全标准化工作手册 ( 管理
制度篇 )》中对建立电子设备台账进行了明确规定，但在执行过程中，支行仍存在台账登记不
规范，要素不齐全的问题。

( 二 ) 责任心欠缺，风险防控意识不强
科技管理人员缺乏风险意识，如在标识机柜网线时仅图方便将所有网线用“TXX”命名，并不能区分具体连接的办公室，导致日常维修不便，从接入网线之日至审计日为止，管理人员并
未发现此风险隐患，一旦线路发生故障将导致系统正常运行事故。

( 三 ) 人力资源匮乏，素质不能满足科技管理需求
一是县支行无科技专业技能人员，没有系统地学习过计算机相关专业知识和技能，缺少必
要的安全知识，自身只懂得网络常规日常维护，基本依靠上级行科技部门进行管理和指导，科
技专业工作能力较弱，不能有效履行计算机安全员职责。

二是科技管理人员非专员，虽然设了A、B 岗，但由于他们都为兼职人员，工作任务繁重，工作疲于应付，直接影响了科技管理的效果，同时也隐含了较大的风险。

( 四 ) 机房建设投入不够，硬件配置不到位
机房硬件设施方面投入较少，部分县支行未配置烟感探测器和自动报警系统、自动感温器、温湿度记录设备，难以满足业务安全性需求。

三、建议
( 一 ) 严抓制度执行，严格落实责任追究机制
一是狠抓制度落实。

在网络布线、设备连接、网线标识等方面严格按照制度和方案进行，
以消除安全隐患，提高设备利用率；在日常管理工作中坚持按制度要求进行各项检测，并加大
监督检查工作力度，确保机房绝对安全；严格按照制度要求进行各类台账的登记，加强日常管理。

二是强化责任追究，层层签订责任状将具体责任落实到个人，将整改情况与年度考核挂钩，促进业务管理水平的提升。

( 二 ) 加强学习培训，提高素质，增强责任意识和风险意识
科技管理人员要做到以下几点：一是积极参加上级行组织的各种培训；二是自觉开展对制度、方案、技术的学习，增强知识储备和技术储备，提高运维能力；三是加大对业务操作人员
信息安全相关知识的宣传，培养相关人员的风险防范意识；四是树立以制度规范操作、以规范
操作防范各类风险的观念，提升科技工作的事业心和责任感。

( 三 ) 加强岗位管理，合理配置科技人员
在条件允许时，至少配置 1 名专职科技专管员，让科技管理人员适当“专业化” ，合理
分配工作，让科技管理人员能够集中精力做好科技管理工作。

与此同时，在新行员招录时，可
以考虑招录计算机专业毕业生，以解决科技人员不足问题，为确保业务稳定运行提供有效的人
力资源保障。

( 四 ) 加大机房建设投入，强化硬件配置
强化机房环境防控设施建设，合理配置烟感探测器和自动报警系统、自动感温器、温湿度
记录设备安全防护设备，提升风险防控能力。