加强银行信息安全风险管理探究
来源:用户上传
作者:
摘 要:随着银行快速推进信息化建设,各种业务系统持续上线运行,迈向全面信息化集中处理阶段,信息安全成为重难点问题。本文根据银行信息安全风险管理的不足,探究加强信息安全风险管理的措施,希望有助于银行解决信息安全问题,提高信息安全水平。
关键词:银行 信息安全 风险管理
中图分类号:F832.2 文献标识码:A 文章编号:1003-9082(2019)11-00-01
银行在现阶段面临严峻的信息安全风险形势,尤其是银行信息系统具有开放性,电子商务等业务量不断增长,对信息系统的依赖性越来越强,但信息系统极易受到管理风险、技术风险等的威胁,引发信息犯罪,加强信息安全风险管理势在必行。
一、银行信息安全风险管理的不足
1.风险管理中难以把握适度安全
风险管理并非不计成本地追求绝对安全、零风险,或试图彻底消灭风险,这属于严重浪费。银行风险管理也是一样,要求在安全成本与风险损失之间找到最佳平衡点,提倡适度安全。这样的平衡对银行评估风险来说往往难以把握。
2.内部信息安全控制制度不完善
尽管很多银行已经构建信息安全风险管理体系,但日常业务操作环节依旧面临一些信息安全威胁。主要原因就在于银行内部控制制度存在漏洞,内部控制管理流程尚不规范,无法有效预防内部风险,影响整个信息系统的安全性[1]。
3.信息安全风险备份能力不够强
目前银行整体灾难备份技术水平依旧停留在总行级别,很少有分行能达到相同水平,并且即便是总行数据信息中心也没有备份所有数据和信息系统,只备份涉及重要信息的核心系统。银行的备灾机制也不完善,缺少异地备份,发生风险或故障时引发巨大损失。
二、加强银行信息安全风险管理的措施
1.编制信息安全风险管理实施细则
所有信息安全风险评估标准都只给出指导性文件,未给出实施过程、识别风险要素的方法和分析、计算、定级等方法,导致银行信息安全风险评估人员只能按照行业特征、评估目标和个人的理解选择评估方法,增加风险评估的不确定性。建议银行以《信息安全风险评估指南》为指导,编制适应业务特色的风险评估实施细则。并按照所选风险计算方法编写评估案例,制作各种各样的模板,实现评估方法与评估过程的统一[2]。如统一银行的各种调查表、查检表、分析方法、计算方法、评估工具、定级标准和赋值标准等,根据相同的标准与方法开展信息安全风险评估工作,体现评估结论的可比性,从而适当控制风险,降低安全成本。
2.建立健全安全风险内部控制制度
根据风险管理经验,一套有效的、可行的内部控制制度是确保银行有序开展业务的前提,为完成既定目标、防范信息安全风险,银行必须以按制度办事、用标准说话为原则建立健全信息安全风险内部管控制度,促使信息安全风险管理工作不断趋于制度化和规范化,进一步完善人员、设备、技术方面的制度建设,高效管控风险。
第一,完善人防制度,明确银行岗位责任,根据岗位职责要求建立责任制度,预防非科技部门人员在信息安全上有所懈怠,真正将信息安全工作落实到各个部门;建立健全业务管理制度,根据计算机网络、系统、电子联行、反洗钱等信息系统的特点制定运行管理与维护制度,规范人员业务操作流程,减少人员随意性,将信息安全风险扼杀在萌芽阶段。第二,完善物防制度,尤其是在设备运行中要明确规定使用权限和媒体安全,弄清楚每一个细节,如机房温度、湿度、频率、电压等,还有资料备份制度、保密制度等,预防因人浮于事而损害各类设备,规范信息储藏设备安全运行。第三,完善技防制度,及时更新机器设备、升级银行信息系统、完善访问控制,对于信息系统中的网络拓扑结构图等关键信息必须严格保密;提供高效率的、全方位的信息安全风险管理技术支持体系,预防因技术制度不完善造成信息安全风险管理出错。
在此基础上,银行应建立健全联防制度,促使各个部门在信息系统中协调配合操作。如业务系统的主管、操作员和程序维护员应相互制约;建立安全管理部门和公安部门、设备管理部门和软硬件供应商的横向协调制度、分工负责制度,将制度落到实处。为此,银行要完善内部控制奖惩制度,奖励执行力强、信息安全风险管理效果好的个人、部门,加大宣传力度,同时惩罚执行不力者,严厉追究责任,增强全体人员开展信息安全风险管理工作的主动性、积极性;建立各部门协作制度,促进银行的科技、稽核、监察、纪检、保卫等部门的配合与协调,切实执行内部控制制度,监督执行情况,发挥制度的作用。
3.科学使用异地数据信息备份技术
数据备份和恢复技术指的是银行信息系统遭受安全风险事故时利用数据恢复备份,保持银行业务连续[3]。鉴于当下银行数据信息备份大多为同城备份,无法满足业务连续性要求,应科学使用异地数据信息备份恢复技术。第一,以主机为基础的容灾备份技术,把异地银行通常是支行或分行系统的数据信息复制在总行服务器上,一旦信息系统出现风险事故,就能转到主机系统运行,预防银行业务中断。第二,以数据库为基础的容灾备份技术,把银行数据信息远程复制在备用数据库之中,保持和备用系统联网,同时配置远程复制管理软件,保持良好的数据信息一致性,适应银行信息系统数据快速更新。第三,以智能存储为基础的容灾备份技术,通过银行智能存储系统自动进行数据备份,该项技术对存储设备有较高的性能要求、规格要求,在银行应用系统中适用,第四,脱机备份技术,无需网络通讯要求,通常把数据信息存储到硬盘、磁盘及光盘之中,属于异地冷备份技术,虽然成本较低,但是数据信息容易丢失,银行应尽可能预防使用该技术手段进行数据备份,保护信息安全。
三、结语
银行信息安全需求使信息系统面临越来越严格的要求,在银行的现代化风险管理中,信息安全风险管理是至关重要的一个环节,必须正确认识不足,编制实施细则,保持成本与风险的平衡,同时完善内部控制制度,加强内部风险管理,在先进异地备份技术的支持下保证数据信息安全,确保银行信息系统的安全性,为市场经济发展提供良好环境。
参考文献
[1]宋喜新.銀行信息安全风险管理策略探析[J].电脑迷,2018(02):227.
[2]陈军.银行信息安全存在的问题与相关对策[J].电子技术与软件工程,2018(20):204.
[3]康阳.人民银行征信信息安全管理中的风险分析与防范[J].金融经济,2017(22):147-148.
n>我国公共租赁住房若干法律问题研究[D].天津大学,2011.
转载注明来源:https://www.xzbu.com/4/view-15068750.htm