前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全做法及建議,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
摘要:村鎮(zhèn)銀行作為金融業(yè)的新興力量,逐步成為推動區(qū)域經(jīng)濟發(fā)展、強化金融服務(wù)的重要力量。指導(dǎo)村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全是一項長期、艱巨的工作,應(yīng)密切關(guān)注村鎮(zhèn)銀行的網(wǎng)絡(luò)安全狀況以及安全技術(shù),確保村鎮(zhèn)銀行的信息安全。本文介紹了人民銀行九江市中心支行指導(dǎo)轄內(nèi)村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全的基本做法,如加強組織領(lǐng)導(dǎo)、落實業(yè)務(wù)指導(dǎo)、增強溝通協(xié)調(diào),并對加強村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全提出提升網(wǎng)絡(luò)安全風(fēng)險意識、加強人員技術(shù)水平、提高制度執(zhí)行力等建議。
關(guān)鍵詞:信息安全;村鎮(zhèn)銀行;做法和建議
一、引言
2018年9月,人民銀行九江市中心支行(以下簡稱“人行九江中支”)認真貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國中國人民銀行法》《中華人民共和國商業(yè)銀行法》《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》等精神,制定了《中國人民銀行九江市中心支行轄內(nèi)村鎮(zhèn)銀行信息安全操作指引》,在轄內(nèi)各村鎮(zhèn)銀行印發(fā)并執(zhí)行。該指引實施以來,人行九江中支從組織領(lǐng)導(dǎo)、業(yè)務(wù)指導(dǎo)、溝通協(xié)調(diào)3個方面推進轄內(nèi)村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全建設(shè),并取得良好成效。
二、主要做法
(一)加強組織領(lǐng)導(dǎo)
一方面,人行九江中支成立了由分管科技工作的領(lǐng)導(dǎo)為組長、科技人員組成的村鎮(zhèn)銀行信息安全指導(dǎo)小組,與村鎮(zhèn)銀行建立了信息安全管理關(guān)聯(lián)人有效信息交流溝通機制,形成左右聯(lián)動、上下協(xié)同的集成合力,加強對村鎮(zhèn)銀行的網(wǎng)絡(luò)信息安全指導(dǎo)。另一方面,結(jié)合村鎮(zhèn)銀行科技力量薄弱的實際情況,建議村鎮(zhèn)銀行各部門均應(yīng)指定至少一名部門計算機安全員,具體負責(zé)本部門的信息安全管理工作,協(xié)同科技部門開展信息安全管理工作。人行九江中支根據(jù)“兩管理、兩綜合”的管理體系,從防控組織機制、數(shù)據(jù)中心安全、網(wǎng)絡(luò)安全和計算機管理4個方面細化了對村鎮(zhèn)銀行的指導(dǎo)內(nèi)容,引導(dǎo)村鎮(zhèn)銀行形成科學(xué)的信息安全防范機制。
(二)落實業(yè)務(wù)指導(dǎo)
人行九江中支充分發(fā)揮自身在網(wǎng)絡(luò)信息安全管理方面的優(yōu)勢,每半年對村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全進行現(xiàn)場指導(dǎo)。一方面,根據(jù)操作指導(dǎo)的內(nèi)容進行逐一指導(dǎo),對村鎮(zhèn)銀行開展的網(wǎng)絡(luò)信息安全工作提出意見。規(guī)定系統(tǒng)升級時提前10天公告,并通過微信公眾號、短信推送信息,在營業(yè)網(wǎng)點張貼公告告知客戶。目前,村鎮(zhèn)銀行辦公互聯(lián)網(wǎng)采用與數(shù)據(jù)中心網(wǎng)絡(luò)物理隔離的方式,只在網(wǎng)銀區(qū)開放互聯(lián)網(wǎng)接入,采用雙層防火墻與入侵防御等安全防護策略。另一方面,指導(dǎo)村鎮(zhèn)銀行依托在九江和武漢建立的災(zāi)備中心,每年開展一次異地災(zāi)備切換演練,驗證應(yīng)急演練預(yù)案的可行性,對預(yù)演方案存在的不足、預(yù)演過程中被忽略的細節(jié)以及預(yù)演后總結(jié)不到位的方面進行提示。
(三)增強溝通協(xié)調(diào)
人行九江中支每季度指導(dǎo)村鎮(zhèn)銀行開展網(wǎng)絡(luò)信息安全專項座談會和學(xué)習(xí)會,形成科學(xué)合理的信息溝通交流機制。會議上加強對《村鎮(zhèn)銀行信息安全意識期刊》的學(xué)習(xí),從管理制度的設(shè)計及員工日常工作等方面,討論如何防范網(wǎng)絡(luò)信息安全風(fēng)險,如何識別并鞏固網(wǎng)絡(luò)信息安全防范的薄弱環(huán)節(jié),如何有效迅速地應(yīng)對突發(fā)的網(wǎng)絡(luò)安全問題等。通過集思廣益,相互分享本單位現(xiàn)行的先進網(wǎng)絡(luò)信息安全管理辦法和經(jīng)驗,與人民銀行、同業(yè)金融機構(gòu)之間溝通交流,增強村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全防范意識和能力。同時,人行九江中支還通過金融信息交換平臺,將政府、公安等單位的網(wǎng)絡(luò)信息安全風(fēng)險提示加以指導(dǎo)性意見及時轉(zhuǎn)發(fā)至村鎮(zhèn)銀行,幫助村鎮(zhèn)銀行更快、更準確地理解、貫徹相關(guān)風(fēng)險提示,強化人行九江中支與村鎮(zhèn)銀行間信息的分享交流。
三、取得成效
(一)組織領(lǐng)導(dǎo)卓有成效
一是人行九江中支在村鎮(zhèn)銀行信息安全管理中起的指導(dǎo)作用,有力地監(jiān)督了村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全管理體系的建設(shè)和有效運行,提高了其工作效率和質(zhì)量,使其形成了嚴密的防控組織機制,在發(fā)現(xiàn)風(fēng)險時能第一時間作出反應(yīng),做到有組織、有領(lǐng)導(dǎo)地去應(yīng)對風(fēng)險。二是網(wǎng)絡(luò)信息安全工作組織架構(gòu)的完善幫助村鎮(zhèn)銀行管理層和網(wǎng)絡(luò)技術(shù)人員通過定期巡檢發(fā)現(xiàn)漏洞和風(fēng)險,及時提出完善體系建設(shè)、改進安全防護舉措的意見,為村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全提供了制度保障。三是形成了安全保障責(zé)任制,保證村鎮(zhèn)銀行做到合規(guī)操作,從源頭上預(yù)防了風(fēng)險的發(fā)生。同時,村鎮(zhèn)銀行堅持落實“誰主管,誰負責(zé)”的原則,將各項責(zé)任落實到個人,確保了信息安全保障工作有人抓、事情有人管、責(zé)任能落實。
(二)業(yè)務(wù)指導(dǎo)立竿見影
一是通過對管理體系、網(wǎng)絡(luò)信息安全操作的指導(dǎo),村鎮(zhèn)銀行全行上下鞏固深化了網(wǎng)絡(luò)信息安全意識,形成了行領(lǐng)導(dǎo)重視信息安全、各部門明確安全職責(zé)、全體員工加強安全維護的管理格局,為村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全提供了系統(tǒng)、全面的維護。二是人行九江中支對村鎮(zhèn)銀行的指導(dǎo)給其管理層帶來了積極影響,讓管理層能更好地了解信息安全操作包含的具體內(nèi)容以及在實操過程中可能產(chǎn)生的問題,及時掌握安全保障制度的執(zhí)行情況和風(fēng)險程度,為有效防范和化解網(wǎng)絡(luò)信息安全風(fēng)險、提高內(nèi)部管理水平提供指引。三是定期開展應(yīng)急演練,提升了村鎮(zhèn)銀行抵御風(fēng)險的能力,從根本上改變了“事后”補救的方式,有效地預(yù)防了信息安全風(fēng)險事件的發(fā)生。同時,村鎮(zhèn)銀行依托九江、武漢災(zāi)備中心,在系統(tǒng)遇到安全風(fēng)險時能做到及時切換系統(tǒng),既保障了業(yè)務(wù)的正常運轉(zhuǎn),又保證了客戶的良好體驗。
(三)溝通協(xié)調(diào)明效大驗
通過定期指導(dǎo)村鎮(zhèn)銀行及其他金融機構(gòu)開展網(wǎng)絡(luò)信息安全專項座談會和學(xué)習(xí)會,一方面,使得村鎮(zhèn)銀行在日常工作中未發(fā)現(xiàn)或未引起重視的部分風(fēng)險隱患,更加全面、準確、及時地發(fā)現(xiàn)潛在風(fēng)險,及時做好事前預(yù)防工作,有效地堵截信息安全風(fēng)險事件的發(fā)生。另一方面,通過與同業(yè)金融機構(gòu)面對面地進行溝通交流,村鎮(zhèn)銀行獲得了第一手的制度建設(shè)、系統(tǒng)建設(shè)及人員技能建設(shè)等方面的先進經(jīng)驗,通過與自身實際情況的結(jié)合,逐步建立起行之有效并與村鎮(zhèn)銀行發(fā)展相適應(yīng)的網(wǎng)絡(luò)信息安全防范機制,從而幫助村鎮(zhèn)銀行有效開展網(wǎng)絡(luò)信息安全防范工作。
四、主要困難
(一)缺乏網(wǎng)絡(luò)信息安全意識
當(dāng)前市場競爭激烈,部分村鎮(zhèn)銀行只重視業(yè)務(wù)發(fā)展,而忽略了對員工的網(wǎng)絡(luò)信息安全教育,導(dǎo)致在日常工作中,部分員工對網(wǎng)絡(luò)信息安全的了解僅停留在制度層面,對于支行網(wǎng)絡(luò)信息方面的實際情況與相關(guān)操作均比較生疏,難以識別信息安全風(fēng)險事件,當(dāng)發(fā)生網(wǎng)絡(luò)信息安全風(fēng)險事件時,也無法及時采取有效的應(yīng)對措施。且存在部分員工滿足于固定的操作管理模式,缺乏開發(fā)探索有效加強網(wǎng)絡(luò)信息安全方法的動力。
(二)缺乏專業(yè)化技術(shù)隊伍
通過現(xiàn)場評估指導(dǎo)發(fā)現(xiàn),村鎮(zhèn)銀行基層網(wǎng)點普遍存在專業(yè)科技人員技術(shù)水平較低,實際操作水平較差,在較為專業(yè)的問題上完全依賴于上級行的情況。且村鎮(zhèn)銀行上級行對基層網(wǎng)點只是遠程指導(dǎo),基層網(wǎng)點大部分專業(yè)科技人員是由其他崗位人員兼職,并不是專業(yè)的計算機技術(shù)人員,對于網(wǎng)絡(luò)信息安全保障的實踐認識存在很多不足,認識問題、考慮問題存在教條主義,不能將理論與實踐有效結(jié)合。部分村鎮(zhèn)銀行對專業(yè)技術(shù)人員重使用、輕培養(yǎng),培訓(xùn)方式單一,創(chuàng)新性、有特色的培訓(xùn)較少,難以引起參與培訓(xùn)人員的興趣,無法實現(xiàn)真正的技術(shù)提高。基層村鎮(zhèn)銀行技術(shù)力量的薄弱影響著網(wǎng)絡(luò)信息安全建設(shè)的進一步完善。
(三)缺乏制度執(zhí)行力
村鎮(zhèn)銀行出臺了一系列的科技制度匯編,《村鎮(zhèn)銀行機房管理辦法》《村鎮(zhèn)銀行網(wǎng)絡(luò)安全管理辦法》《村鎮(zhèn)銀行網(wǎng)絡(luò)安全日常監(jiān)控管理辦法》《村鎮(zhèn)銀行信息安全應(yīng)急管理辦法》等,涵蓋了村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全工作的各個方面,范圍廣、內(nèi)容多。但在實際操作過程中,基層員工沒有真正理解管理辦法的內(nèi)涵,且由于基層支行缺乏專業(yè)技術(shù)人員加上,科技人員專業(yè)技術(shù)水平較低,無法將制度里的每項規(guī)定真正落實到位,在日常工作中仍會出現(xiàn)一些問題,如未建立機房外來人員出入登記表、機房機柜布線零亂未接地線、機房未安裝防火報警裝置等。網(wǎng)絡(luò)信息安全工作涵蓋了四大方面,要想在短期內(nèi)真正將每個方面的工作都落實到位,確實存在一定的困難。
五、相關(guān)建議
(一)提升網(wǎng)絡(luò)安全風(fēng)險意識
風(fēng)險意識的提高離不開對風(fēng)險的正確認識。一方面,村鎮(zhèn)銀行可鼓勵員工依托網(wǎng)絡(luò)學(xué)習(xí)平臺,自主進行網(wǎng)絡(luò)信息安全相關(guān)知識的學(xué)習(xí),讓員工首先了解網(wǎng)絡(luò)信息安全的內(nèi)容。同時,要求理論與實踐相結(jié)合,把網(wǎng)絡(luò)信息安全知識的學(xué)習(xí)與操作結(jié)合起來,思考怎樣做才能更好地防范風(fēng)險。并且通過自查,查找網(wǎng)絡(luò)信息安全的漏洞,及時采取有效措施堵截漏洞,防范網(wǎng)絡(luò)信息安全風(fēng)險的產(chǎn)生。在理論與實踐的有機結(jié)合中,提高風(fēng)險意識。另一方面,積極開展典型案件警示教育。村鎮(zhèn)銀行應(yīng)經(jīng)常性地組織員工開展網(wǎng)絡(luò)信息安全典型案件教育活動,通過典型案例分析,撰寫心得體會,促進員工樹立“網(wǎng)絡(luò)信息安全無小事”的觀念,吸取各類案件的教訓(xùn),增強風(fēng)險防范意識。
(二)加強人員技術(shù)水平
針對網(wǎng)絡(luò)技術(shù)人員,村鎮(zhèn)銀行可以組織向國有銀行等具備豐富經(jīng)驗的同業(yè)金融機構(gòu)交流學(xué)習(xí)。作為機構(gòu)設(shè)置在縣、鄉(xiāng)鎮(zhèn)的村鎮(zhèn)銀行,日常工作中所涉及的網(wǎng)絡(luò)信息安全內(nèi)容相對較少,憑借自身經(jīng)驗的積累難以很好地應(yīng)對瞬息萬變的網(wǎng)絡(luò)環(huán)境。通過向同業(yè)金融機構(gòu)學(xué)習(xí),可以了解到較為豐富的網(wǎng)絡(luò)信息安全知識,借鑒同業(yè)金融機構(gòu)的風(fēng)險防范機制,在操作系統(tǒng)建設(shè)層面為村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全保駕護航。針對業(yè)務(wù)人員,除要求其學(xué)習(xí)掌握行內(nèi)下發(fā)的相關(guān)管理制度和操作流程外,還可指定相應(yīng)的獎懲機制,鼓勵業(yè)務(wù)人員在日常工作中積極地總結(jié)防范網(wǎng)絡(luò)信息安全問題的經(jīng)驗,不斷提高自身的風(fēng)險識別能力,在日常業(yè)務(wù)層面為筑牢網(wǎng)絡(luò)信息安全防線添磚加瓦。
(三)提升制度執(zhí)行力
首先,要加強學(xué)習(xí)。著重解讀制度實施的目標任務(wù)、主要內(nèi)容、執(zhí)行標準以及注意事項等,特別要強調(diào)容易被誤讀、被忽視的部分。對于一些難理解的制度規(guī)定,通過舉實例、講故事對其進行形象化、通俗化解讀,以確保員工能夠充分理解。其次,要加強對制度執(zhí)行的監(jiān)督。村鎮(zhèn)銀行可抽取有網(wǎng)絡(luò)信息安全工作經(jīng)驗的人員成立內(nèi)部制度執(zhí)行監(jiān)督小組,建立制度執(zhí)行重大事項快速報告機制,實時跟進制度的落實情況,發(fā)現(xiàn)存在“踩線”行為時要及時提出并要求整改,避免風(fēng)險事件的發(fā)生。最后,要明確工作職責(zé)。指定信息安全管理職能部門,明確該部門在信息安全管理中承擔(dān)的管理職能,并分別對信息安全員、系統(tǒng)操作員、普通計算機使用員等不同崗位的職責(zé)進行明確。
六、結(jié)語
指導(dǎo)村鎮(zhèn)銀行網(wǎng)絡(luò)信息安全是一項長期、艱巨的工作,須從技術(shù)、人員、管理和制度上全面考慮,應(yīng)密切關(guān)注村鎮(zhèn)銀行的網(wǎng)絡(luò)安全狀況以及安全技術(shù),確保村鎮(zhèn)銀行的信息安全。
參考文獻:
[1]王永剛.對推進基層央行網(wǎng)絡(luò)信息安全管理的思考[J].金融科技時代,2015(9):76.
[2]張友民.基層人行應(yīng)加大對村鎮(zhèn)銀行信息科技安全工作的關(guān)注力度[J].基層之聲,2014(11):99-100.
[3]周奉強.對銀行網(wǎng)絡(luò)信息安全保護及優(yōu)化途徑的研究[J].中國新通信,2016(9):142.
作者:胡文林 奚琪 單位:中國人民銀行彭澤縣支行