金融标准化下基层金融机构信息安全监管研究
2020-11-02王耀
王耀
摘要:信息化技术开始影响着各行各业,而中国的金融业信息安全受到了前所未有的关注。金融标准化工作对于基层金融機构信息安全起到重要作用。中国人民银行作为金融业信息安全监管的主管部门之一,近年来,着力于优化金融标准化信息安全管理体制机制,加强金融标准的实施与监督。本文介绍了基层金融业信息安全的现状、内外部环境,就基层金融业信息安全风险原因分析进行了详细的分析,并提出了一些对策和建议。
关键词:金融标准化 金融机构 信息安全
一、金融标准化下基层金融业信息安全推进现状
央行等5部委于2017年联合发布的《金融业标准化体系建设发展规划(2016-2020年)》,明确了金融标准化工作的指导思想和主要任务。完成金融标准委员会换届,制定发布证券及相关金融工具分类、云计算技术金融应用规范等18项金融国家标准、行业标准,在互联网金融领域发布5项团体标准。各金融业按照国家的相关规定,制定了金融行业等级保护标准。这些标准对于金融行业由于数据集中、信息保密性高、资金交易、网络拓扑复杂等特点导致的信息安全风险有了很好的防护效果。目前,我国建立的新型标准体系,对新技术体系下金融IC卡、非银行支付、移动支付体系下等领域的标准在支持实体经济发展方面发展起到积极作用。当前,中国在国际金融标准化活动中影响力逐步提升,开始主导制定银行产品服务说明书描述规范、非银行支付系统安全等多项金融国际标准。
二、国内金融标准化体系建设现状的内外部环境
基层金融业信息安全的内部环境。在技术方面,随着国产化进程的加快,逐步替换的软硬件设备,国产化操作系统和杀毒软件占有了极大的市场份额。但对于一些其它产品,比如CPU等一些设备让那个无法实现国产化。过度依赖国外市场导致发生风险。从管理、制度方面,基层金融业在制定安全规划、贯彻和宣传金融行业标准等方面存在很多问题。网络技术的高度发展与制度的相对滞后,形成了灰色的空白地带。
基层金融业信息安全的外部环境。国内和国外的网络犯罪活动都呈现出不断上升的趋势,金融业作为特殊的行业成为黑客攻击的重点。中心化的金融体系结构,对于数据中心和灾备中心的维护极其重要,信息安全形势不容乐观。据统计,保险业和互联网金融占金融行业中漏洞数排在前二位。互联网金融平台不断被爆出存在漏洞,互联网借贷黑幕,P2P平台跑路,后门程序,系统漏洞,信息炸弹,信息猜解(如遍历查询和操作他人账户、订单等)成为普遍问题。在金融标准化体系下,基层金融业信息安全风险成为必须要关注的重点。
三、基层金融业信息安全风险原因分析
(一)基层金融业信息安全管理难度増加
基层金融业机构在基础设施建设存在多方面不足。一是现在的机房建设实际不符合现有的标准。在对朔州市辖内各金融机构的机房建设进行实地走访后,发现各机构在生产中心和灾备中心的地理选择和具体功能划分方面都存在若干问题,其中对于机房交通、水电和环境方面问题更加明显。例如,朔州市部分金融机构机房内存在雨水渗透的风险,用电管理不规划等,这些都不符合C类机房的建设标准。二是部门金融机构没有专门环境监测系统,无法对整个中心机房的供电、消防、温湿度、安防进行全方位监控。生产区域与辅助区域划分不明确,机房堆有杂物。三是第三方服务商能否长期稳定地为基层金融业机构提供高质量服务。IT外包风险是服务商能否长期稳定地为银行提供高质量的服务,对于信息系统故障能否及时响应并修复,以保障银行业务的连续性。再者,外包服务商在和银行密切往来过程中会获取一些银行的内部机密信息,给银行带来商业秘密泄露的风险。
(二)基层金融业信息安全类标准不一
目前,正在使用的信息安全类标准有国际标准ISO27000系列、国家标准GB17859-1999系列、金融行业标准JR/T0071-2012。由于标准的不一致,信息安全的日常管理和监督带来很多工作上的困难。JR/T0071-2012是GB17859-1999系列的延伸。这三个标准各有不同,ISO27000系列不具有强制性,JR/T0071-2012明确了实施要求和测评方法,可操作性很强。金融业行业标准在国家标准的基础上添加了相应特性的指标,更适用于金融业管理实际。
(三)检查指标要求与具体执行存在偏差
一是金融标准化制定与金融业务的发展相比较存在一定的滞后性,标准的制定需要一定的时间和过程,与之相对的是急速发展的金融业务,如互联网金融。二是信息安全等级分别对二到四级有具体的要求,通过对朔州市各金融业机构进行实地走访,发现符合二级等级的系统几乎没有,有的机构未减少投入成本,选择等级保护低定。三是在实际的考核过程中,定量指标和定性指标分别适用于技术层面和管理层面。
四、对策与建议
(一)细化基层金融业标准化建设
基层金融业机构在系统刚建时要明确等级级别,据此选择相应的安全措施,从预防的角度确保系统安全。各基层金融业机构应建立信息安全管理基线,基线管理就是细化信息安全管理指标及其具体要求。通过基线管理,各金融机构可更了解本机构信息安全的薄弱点,可配合风险管理进行分析,对每一个风险点进行评估。并实施动态管理,随着内外部环境的变化,因时因势进行改变,尤其是新出现的风险点要及时的进行更改和调整策略。
(二)充分发挥基层人民银行的督促与业务指导作用
人民银行的职能是维护辖内金融稳定,对当地金融机构的信息依照“依托标准、重在指导、加强协调”的原则进行安全管理。确定金融机构的信息安全管理的目标。在确定目标的过程总要充分考虑一致性原则、全面性、关键性和应变原则。目标应该符合金融标准化的要求和辖内实际情况。基层人民银行要提高金融机构日常信息安全风险防范意识,完善系信息管理各项措施,加强指导与服务,全力保障业务连续性。
(三)建立科学的指标评价体系
对于金融业信息安全管理体系是一个动态持续的管理过程。可以用层次分析法确定指标权重,可以用专家讨论、两两对比、层次分析法来构造判断矩阵,确定指标项的具体权重。在判断矩阵的构建中,根据两指标之间的重要性程度来确定指标间的分数,可以划分为极不重要(得分1/10)、不重要(得分1/2)、一样重要(得分1)、略重要(得分5)、很重要(得分10)这五个等级。此评价体系在初步建立之后,对指标体系进行调查,经过多次反馈之后得出合理可行的指标体系,如下表所示4-1所示。M1对自身的重要性程度为1,对M2,M3,M4,M5的重要程度分别为1/10,1/2,5,10。
(四)加强金融标准化人才队伍建设
人才在实施金融标准化中的过程中发挥着关键作用,只有不断地为队伍注入新鲜血液,才能更好的完成金融机构的标准化工作。一方面要注重用人导向,大力选用具有金融标准化实际工作经验的人,针对金融标准化下信息安全工作中存在的问题,重点施策。另一方面,加大人才交流力度,学习金融信息安全标准化建设先进地区、先进单位的工作经验,提升本地区人才的技能水平。
参考文献:
[1]魏革军.标准化是加强和改进金融统计的有效手段——访中国人民银行副行长杜金富[J].中国金融,2010(15).
[2]伍艳梅,王晓昕.服务金融稳定大局加快推进金融统计标准化系统建设研究[J].吉林金融研究,2017(10).
[3]程铖.金融标准化体系下基层金融业信息安全监管研究[D].合肥:安徽大学,2016.
作者单位:中国人民银行朔州市中心支行