金融信息安全工作的探索实践和建议

金融信息安全工作的探索实践和建议
孙琴芳;许一帆
【摘要】随着计算机信息化建设的不断发展，我国金融业进入了以业务系统整合、数据集中为主要特征的金融信息化新阶段，基层金融机构信息科技工作由原来的全面管理、维护和系统研发，转变成以贯彻落实总行及管理机构标准规范为主导，以保障本地区网络安全稳定运行为重点。

基层人民银行“指导金融业信息安全工作”的职责要求人民银行在承担本单位和金融机构应用系统和网络服务的同时，必须切实加强对辖内金融业信息安全工作的指导和管理。

【期刊名称】《金融科技时代》
【年(卷),期】2011(019)011
【总页数】3页(P64-66)
【关键词】信息安全工作;金融业;管理机构;业务系统;金融机构;网络服务;人民银行;信息化建设
【作者】孙琴芳;许一帆
【作者单位】中国人民银行无锡市中心支行;中国人民银行无锡市中心支行
【正文语种】中文
【中图分类】TP309
随着计算机信息化建设的不断发展，我国金融业进入了以业务系统整合、数据集中为主要特征的金融信息化新阶段，基层金融机构信息科技工作由原来的全面管理、
维护和系统研发，转变成以贯彻落实总行及管理机构标准规范为主导，以保障本地区网络安全稳定运行为重点。

基层人民银行“指导金融业信息安全工作”的职责要求人民银行在承担本单位和金融机构应用系统和网络服务的同时，必须切实加强对辖内金融业信息安全工作的指导和管理。

基层金融机构科技工作的重心转移可能导致信息安全工作的弱化，而金融信息安全工作管理职能的加强对人民银行提出了更高的要求，现结合人民银行无锡市中心支行（以下简称无锡中支）金融信息安全工作的探索和实践提出几点建议。

一、指导金融业信息安全工作的探索实践
信息安全直接影响金融行业运行、客户利益乃至国家经济金融安全，与金融业信息化的高速发展相比，金融业信息安全的指导和管理还相对薄弱。

《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》（国办发〔2008〕83号）赋予人民银行金融业信息化管理工作职责，具体内容为：组织制定金融业
信息化发展规划，负责金融标准化的组织管理协调工作，指导金融业信息安全工作。

“指导金融业信息安全工作”这一职责对基层人民银行信息安全工作的要求更高，但目前指导工作缺乏有效途径，没有统一的标准和法制环境，缺乏有效管理手段，对存在问题整改的强制措施不力，尤其对证券、保险业的指导缺乏基础，从而导致人民银行及其分支行对金融业信息安全工作的指导和管理还处于初级阶段，管理措施不到位，范围不全面，效果不明显。

从新“三定”方案明确人民银行金融业信息化管理职能以来，无锡中支在探索、借鉴的基础上，实施多项措施进一步强化了此项职能，促使全市金融业信息安全工作得到重视和加强。

（一）引导与培训相结合，明确工作规范
制定印发《无锡市金融业信息安全工作指引》，行文明确金融业年度信息安全工作要点，使金融机构明确全年工作的任务和要求，《无锡市金融业信息安全工作指引》
也成为银行业金融机构执行人民银行政策情况的评价基础。

进一步加强信息安全联席工作机制，制定印发《无锡市金融机构信息安全工作联席会议制度》，多次组织召开金融机构信息安全工作会议，组织对全市银行业金融机构科技负责人进行城市金融网管理、计算机信息安全管理培训，进一步提高信息安全管理的意识，强化网络和系统维护管理规范。

（二）全面与单项相结合，加强检查督促
组织对全市所有银行业金融机构信息安全管理情况进行了全面检查，并对检查情况进行了通报和后续整改督促，促进银行业金融机构积极、全面贯彻执行人民银行有关政策，进一步加强金融信息安全保障工作。

组织对辖区农村商业银行重要信息系统开展现场检查，督促农村商业银行完善各项防范措施。

上海世博会及广州亚运会等重要时期，督促辖区支行和各金融机构健全工作机制，加强应急技术保障和应急值守制度，加强金融城市网线路运行监控，并组织对部分金融机构的应急值守情况进行了抽查，确保全辖各金融机构应用系统、网络运行均正常。

组织开展银行卡联网通用检查，督促卡面设计、物理要求存在问题的银行进行整改。

通过技术培训、现场检查、督促整改等措施，加强电子商票系统参与者的现场环境检查，确保辖区参与者顺利上线，特别是指导督促网络环境基础较差的财务公司进一步提高风险防范意识，财务公司机房环境和网络设备得到有效改善。

（三）准入与跟踪相结合，确保管理效果
严格按照南京分行城市金融网管理办法，对十几家新设银行业金融机构和2家财务公司接入城市金融网现场环境进行了严格验收，并对这些机构接入城市金融网后的人员配备、制度落实情况进行了跟踪检查，督促他们进一步加强科技人员的配备和管理，落实安全管理制度，完善网络隔离、防病毒、防攻击等安全措施，加强应急机制建设，确保信息安全工作常态化、制度化、牢固化。

加强对金融网各联网用户的日常监控，对未及时发现并修复通信线路故障的单位采取提醒、通报等形式，
督促加强技术措施和人员监控，确保金融网的安全运行。

二、基层银行业金融机构信息安全情况及问题
从近年对辖区金融机构特别是银行业金融机构的信息安全管理发现，各单位基本能结合上级行和人民银行等单位信息安全工作要求，实行统一领导、分级管理，落实单位、部门与个人信息安全责任制，建立信息安全风险防范体系；建立信息安全管理内部控制制度，加强信息系统运行维护和网络安全措施，提高网银和银行卡服务环境和抗风险能力；较合理地配置信息安全管理、系统运维和网络管理人员，加强信息安全技能培训。

但各单位的信息安全管理工作还是存在一定差距，存在一些共性和个性的问题，主要表现在以下4个方面。

（一）组织机制和人员配备有待加强
少数单位未及时调整信息安全工作领导小组，主管和分管领导对信息安全风险防范的指导、监督和检查还需加强。

少数单位科技人员配备不足，科技人员身兼科技岗位以外多项工作。

（二）机房基础设施建设和应急能力较薄弱
少数单位机房空调、UPS未能实现冗余，备用电源应急不足。

少数单位机房无独
立的气体消防系统，配备的手提灭火装置为干粉灭火器，机房或辅助区域有纸盒等易燃物。

（三）风险防范和安全措施不到位
少数单位ATM 自助服务终端脸部监控图像不全或模糊，监控系统时间与ATM终端系统时间不同步。

个别ATM终端PIN输入键盘无防偷窥装置，自助服务区紧急电话不能正常使用。

个别单位未建立全面的日常维护、机房管理等台账、日志等。

（四）网络管理和安全培训重视程度不够
少数单位对网络管理的安全措施不到位，缺乏技术监控手段，应急响应机制不到位，
网络变更缺乏审批手续。

少数单位对计算机信息安全培训不够重视。

三、建议
无锡中支信息安全工作的探索实践对辖区金融信息安全工作起到了较好的促进作用，金融机构风险防范意识、合规化管理进一步加强，存在的问题和风险隐患均已整改或已列入整改计划中，极大地降低了发生信息安全事件的可能性。

但金融信息安全是一项长期而艰巨的工作，为此提出以下几点建议。

（一）健全组织，加强领导，切实强化信息安全保障沟通协调
金融信息安全工作不仅仅是金融科技部门的事情，还需要领导重视和机制保障，需要跨部门、跨行业共同协调解决，需要依托法律法规，融合技术与管理，形成合力来解决。

信息安全工作又是一项长期的日常性工作，需要制度性保证，需要全员的自觉行动，需要专门的机构来协调规划。

因此，各金融机构要加强组织领导，按照“谁主管谁负责”的原则，建立和完善单位领导负责、相关各部门负责人组成的信息安全领导协调机构，增进部门间协同配合，优化资源配置，提高信息安全管理决策的效率和科学性。

要将金融信息安全风险纳入机构风险管理范畴，避免片面地将信息安全风险防范作为单一的科技工作。

在开展工作时，要统筹兼顾，加强沟通与协调，密切配合，互相支持，共建良性互动的工作氛围。

一是统筹安排信息化建设资金，重点保障网络、机房以及重要业务系统的资金需求。

二是加强沟通，科技部门一方面要及时与上级科技主管部门沟通，协调指导下级科技部门工作；另一方面对内要与业务部门配合，引导和规范业务部门工作，加强部门之间的协调。

三是要加强金融机构之间的协作机制，进一步完善联席会议制度，共同研究和解决工作中出现的新问题、新情况，形成人民银行、各金融机构和有关信息安全管理单位之间的联动机制，实现防范优势互补和信息共享。

（二）落实责任，加强应急，将金融信息安全各项措施落到实处
建立全面、有效的管理制度是信息安全保障的基本条件，关键是要落实，各级金融机构必须牢固树立“安全无小事”的观点，把信息安全工作列入重要议事日程，深化管理，落实责任，使信息安全工作有更好的效果。

一是要积极落实信息安全保障工作责任制，明确各级各岗位信息安全工作职责，确保全员明确和落实信息安全职责和任务。

二是要加强科技人员配备和培训，严格执行A，B角工作责任制，将应用系统、设备、网络维护逐项分解到每个岗位，使得每一个人对自己所管理的内容、故障时应采取的措施、实施应急预案时的详细步骤具体化。

要对重要应用系统和网络服务设施执行严格的定期检查和定期报告制度，建立运行维护记录档案，做到行为有标准，操作有记录，事后有检查。

三是要加强金融信息系统的风险管理，定期进行风险评估，坚决防止系统瘫痪、网络中断、关键信息泄漏等信息安全事件。

四是要全力做好突发事件的应急工作，坚决贯彻“优先恢复系统对外服务”的原则，严格执行信息安全事件上报制度，协调妥善解决，最大限度减少重大信息安全事件的负面影响。

（三）明确规范，加强管理，有效促进金融信息安全工作的有序进行
建议人民银行总行进一步明确基层人民银行金融业信息化指导工作职责，包括人民银行自身组织建设和工作范畴、标准；金融机构信息安全工作的组织领导、制度建设、安全生产和向人民银行定期报备等工作规范;金融机构违反有关规定，存在信
息安全风险隐患或存在较大问题、发生较大信息安全事件的处理措施等金融业信息安全工作的多个方面。

一方面，指导金融机构进一步严格执行信息安全管理规定，健全信息安全风险防范体系，加强信息系统安全运行、网络管理等风险防范措施，严格执行网上银行和银行卡规范，加强信息安全工作应急机制建设和信息安全事件上报等工作。

另一方面，基层人民银行参照指引规范，认真履行工作职责，加强对辖区金融机构的指导与服务，强化管理，加大监督检查力度、完善协调机制建设等措施，促进金融机构强管
理、抓落实、防风险，共同提高信息安全保障水平。

另外，基层人民银行要力求工作突破，将银行业以外其他金融业信息安全纳入管理范畴，组织完善金融业信息系统与网络重大事件应急预案和应急协调机制，加强应对突发事件的处理能力。

要加大金融业信息安全通报力度，提高信息安全事件的研判和处置能力，加强金融信息安全的交流与研究，形成行业整体合力。

对于金融信息安全工作，必须面对越来越复杂的形势变化，迎接越来越严峻的挑战，安全之弦始终不能放松，且一定要树立安全风险意识，进一步增强紧迫感、责任感，改进工作方法，提升防范能力，全面构筑金融信息安全保障体系。