本站小編為你精心準備了銀行業信息安全工作的建議參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《金融科技時代雜志》2014年第十期

一、信息安全監管中存在的問題

（一）行業法規標準模糊，操作難度大美國、日本和印度早在1995年就出臺國家信息安全法，通過出臺基本法對計算機的硬件與軟件、網上信息、用戶數據進行保護、對利用網絡傳播有害信息的處罰作出相應規定，規范人們的網絡行為，保證信息網絡的安全運行和網絡信息的合理利用。目前，銀行業信息安全管理法規主要有國務院《國家信息化領導小組關于加強信息安全保障工作的意見》、中國人民銀行和中國銀監會下發的《關于進一步加強銀行業金融機構信息安全保障工作的指導意見》和《銀行業金融機構信息系統風險管理指引》，但這些法規制度中對信息安全的邊界界定不明確，行業標準不清晰，不具有實際的可操作性，給銀行信息安全管理帶來一定的風險隱患。

（二）管理者更注重信息系統建設維護，輕視信息安全管理一是對信息安全重視程度不夠，部分銀行業機構僅忙于系統建設與日常維護，對信息安全管理無暇顧及。二是管理制度落實不到位，難以對計算機安全的實施進行全面管理。部分機構信息安全部門對信息安全制度落實不到位，只有在遇到總行的信息安全檢查時，才會對網絡冗余線的有效性進行檢驗，對交換機、路由器中的ACL策略進行完善，對信息系統中的審計日志進行檢查，并沒有形成信息安全管理長效機制。業務部門在信息安全方面有章不循，造成計算機的漏洞事件發生。據統計，大約63.1%安全事件是源于沒有嚴格執行規章制度，規章制度不落實、檢查監督不嚴格造成的系統漏洞。三是信息管理疏忽，從已發生的計算機違規事例來看，主要問題是疏于檢查、放松管理。具體表現在，有不少人員在未經系統管理員許可情況下擅自使用盜版軟件，導致計算機感染病毒，重要數據丟失，嚴重者造成業務系統癱瘓，影響日常工作的順利進行。計算機操作口令、密鑰、機密數據資料沒有按保密規定存放，大量的違章操作、越權濫用沒有進行嚴格處罰，計算機設備的保管使用無專人負責，應用系統的操作未有交接的系統日志，系統的維護不能詳實的記錄。雖然有制度明確規定操作規程，但執行不嚴格使本來可以避免的問題頻頻發生。

（三）管理手段落后，影響管理效能銀行業的各項業務與系統管理越來越依賴網絡和計算機應用軟件，因此對網絡安全、系統安全和數據安全監管至關重要。目前，管理單位仍然通過現場檢查、聽取匯報、材料上報等方式來獲取銀行的相關情況，缺乏直接、有效的管理手段，管理方式效率低，無法快速、真實反應銀行業的信息安全狀況，導致銀行業務自身存在的信息安全問題不能被及時發現，易造成銀行業信息安全事件的發生。

二、問題解決的建議

（一）完善制度標準，做到有法可依規范信息安全管理，首先要完善信息安全的制度建設。一是加快行業信息安全標準統一的進程。管理部門應制定符合當地信息安全標準，組織建立銀行業信息技術發展規劃，保證銀行業信息安全工作的健康發展。部分地區便曾出臺信息安全法規，例如《北京市信息化促進條例》、《遼寧省計算機信息系統安全管理條例》、《北京市公共服務網絡與信息系統安全管理規定》、《上海市公共信息系統安全測評管理辦法》，這種做法值得借鑒。二是設立硬件設備的準入標準。將銀行業信息安全問題作為新硬件產品銷售及市場準入的重要參考，對進入銀行的PC臺式機、網絡設備、系統服務器都必須經過國家保密部門的安全檢查，只有經過篩選的特定型號的引硬件設備才能進入銀行系統和網絡，從根源上杜絕信息安全漏洞設備的進入。

（二）明確責任制，加大信息安全管理力度一是健全信息安全檢查機制。定期對銀行業開展信息安全檢查工作，對基本的安全設備的防護形成統一模板下發給銀行，例如關閉不必要的服務端口號、核心服務器建立堡壘主機、核心網絡地址必須配置一對一的雙向映射等。二是依據現有法規、技術標準，開展信息安全檢查，確保安全檢查深度與廣度。在開展檢查的同時，可讓有資質的第三方安全評測公司，對整體信息系統進行全面的攻防測試，對測試結果出具權威的報告，明確安全問題，針對性地進行弱點的加強，保證信息安全工作的實用性和可靠性。三是建立責任通報制度。對檢查中發現的違規事件，按規定處罰相關責任人，對檢查中發現的安全問題和風險隱患，明確責任部門和責任人并限期糾改，對檢查中發現的問題可進行問題歸納梳理匯編成冊，下發給銀行提供參考。

（三）建立全方位監管手段，防范安全隱患在信息安全中，系統安全風險評估、等級保護、應急管理、數據災備都有著重要的地位。一是加強風險評估、等級保護和應急管理的建設。通過豐富管理手段，保證信息系統、基礎網絡和數據系統的高效、穩定運行，有效防范、控制和化解信息技術風險，增強信息系統安全預警、應急處置能力。二是制定應急預案，定期開展演練。通過模擬安全事故應急處理，提升銀行業信息安全的系統預警、應急處置和災后恢復的能力，保障銀行業系統的穩定運行。三是完善銀行業災備中心建設。實現關鍵業務系統的應用災難恢復能力，完善銀行業信息安全應急恢復體系，保證信息系統的可靠運行。

作者：陳雯單位：中國人民銀行蘭州中心支行