县域金融机构信息安全管理建议
2022-06-22周国涛
周国涛
[关键词] 县域金融;金融科技;金融信息安全
[作者单位] 中国人民银行武汉分行营业管理部科技处
近年来,随着金融科技的迅速发展,各金融机构的信息化程度普遍提升,工作效率和服务水平得到了大幅提高,但同时信息安全的重要性也进一步凸显。加强信息安全管理、防范信息安全风险是各金融机构不容忽视的工作,这对县域金融机构来说无疑是一个考验。县域金融机构的信息安全管理是否到位,科技保障能力能否满足新形势的要求,信息安全风险能否及时化解等均将直接影响到信贷、支付、财税、征信等重要业务的顺利开展,也将影响县域经济的高效发展。本文在对中西部多个县域金融机构进行调查的基础上,分析了县域金融机构信息安全管理存在的问题及风险,并提出了相关建议及对策。
——信息安全风险意识有待增强。在信息安全管理方面,县域金融机构存在安全意识较为淡薄、重视度不够等现象。一是对信息安全风险的认识不到位,不能主动分析本单位信息安全现状和存在的安全隐患,更未制定完善的信息安全防范措施。二是在信息安全管理工作上依赖上级科技部门或外包服务单位,安全管理岗位设置不合理,普遍存在科技管理岗位由业务人员兼任的现象。三是安全隐患长期得不到有效解决,例如:计算机及业务系统口令设置简单甚至长期使用缺省口令或空口令,手机、相机等具有存储功能的设备连接到业务计算机上充电,计算机使用者临时离开办公室时不关机或锁屏,工作内容直接存放在互联网计算机上等。
——信息安全管理制度有待完善。一是县域金融机构对信息安全制度认识不够全面,存在对主管部门、上级单位制度要求不清楚、不理解,甚至存在不学习制度的情况。二是未制定适用于本单位的信息安全制度,部分县域金融机构制定了信息安全制度,但其内容存在照抄上级单位制度、不切实际、操作性差、未及时更新、执行不到位等问题。三是信息安全制度宣传不到位,业务人员经常不清楚信息安全管理制度要求,在使用计算机及网络的过程中随意性较大或过度依赖科技人员,缺乏主动防范意识。
——信息安全管理理念有待更新。县域金融机构信息安全管理目标不够明确,科技人员对其职责的重要性认识不到位,对具体工作任务理解不深不透,导致信息安全管理理念滞后,不能主动将信息安全风险消除在萌芽状态。一是监督检查存在宽松软现象,县域金融机构科技人员日常监督检查工作经常流于形式,对检查出来的问题未督促当事人及时解决或由自己帮助解决,未能起到警示作用,导致相同问题重复出现。二是科技人员配备不足,县域金融机构科技人员普遍较少,部分机构只有一名专业科技人员,在专业科技人员休假或出差时,经常出现科技工作无人接管的现象。
——科技人员知识能力有待提高。一是县域金融机构科技人员年龄普遍较大,水平有限,难以跟上科技发展节奏,且部分科技人员为兼职,平时以业务工作为主,很少学习新的科技知识。二是近年来,县域金融机构陆续由新进大学生承担信息安全管理工作,新进大学生虽然具有基本的科技知识,但少有计算机专业出身,而且对县域金融机构的信息安全管理制度、工作内容及要求不熟悉。三是主管部门或上级单位对县域金融机构科技人员培训较少,而且针对性不足,对其知识能力、信息安全管理水平的提升有限。
——信息安全资金投入有待加大。县域金融机构信息基础设施建设薄弱,主要体现在机房环境欠佳,强弱电路老化且施工不规范,无环境监控平台,视频监控存在死角,不间断电源未及时更换,维护保养不到位,支付、财税、征信等重要业务未建立应急环境等问题。近年来,部分县域金融机构已经开始实施基础设施改造,但多数县域金融机构仍未完成。县域金融机构经费较紧张,在保障业务正常运转基础上,难以在信息基础设施建设上投入足够的资金。
——高度重视信息安全管理。县域金融机构要增强信息安全管理及风险防范意识,充分认识到信息安全风险可能带来的严重后果,同时上级单位要营造信息安全管理高压态势,切实引导县域金融机构将信息安全管理工作由被动转变为主动。县域金融机构要与各部门签订信息安全责任状,明确各部门信息安全责任。科技人员要定期向县域金融机构领导汇报所面临的信息安全风险,得到领导的足够重视,并在主管部门及上级单位科技部门的指导下切实落实好信息安全管理工作各项规定,消除信息安全隐患,杜绝信息安全事件发生。
——加强制度建设并严格执行。一是强化信息安全管理指导,由上级单位科技部门组织县域金融机构科技人员学习并充分理解有关信息安全管理制度,在广泛调研的基础上制定适用于县域金融机构实际情况的管理制度,用制度规范工作行为,提升工作实效。二是加强制度学习与宣传,通过信息安全制度学习与宣传,使整个单位清楚信息安全要求,培养良好的安全意识及工作习惯。三是加大信息安全检查力度,主管单位或上级单位可将信息安全管理纳入考核范围,并定期开展安全检查,对发现的问题限时整改,拒不整改的要追究责任。
——强化科技队伍建设。一是县域金融机构在招录员工时,可考虑适当引进部分计算机专业人才充实科技力量。二是上级单位科技部门对县域金融机构科技人员加大培训力度,具体可采取跟班学习、有针对性的培训、建立多渠道的沟通机制、在实践中指导等方式。三是建立A、B角制度,配备名副其实的B角,将B角纳入跟班学习、培训、考核的对象范围。四是加强激励与考核,重视科技人员的工作,激发科技人员的工作热情,促使不断学习提高,成为新型复合人才,同时科技人员的考核要以科技工作为主,兼职业务工作为辅。
——加大基础设施投入。一是按照相关规范对县域金融机构信息基础设施进行改造,主要对强弱电路、不间断电源、空调、消防、视频监控、通信设施等进行标准化建设。二是建立统一的环境监控平台,按省或地市集中进行环境监控统一管理,县域金融机构可监控本单位的情况,上级单位可监控全辖的情况,异常情况发生时通过短信、邮件、声音等多种方式及时通知科技人员。三是加大信息基础设施维护保养力度,选择可靠的第三方专业公司并签署维保合同及保密协议,严格按照相关制度要求进行巡检和保养,发现隐患及时排除。
——探索新技术运用。尝试运用虚拟技术,建设以省或市为中心的桌面云系统,实现对虚拟计算机的统一集中管控,可实施强制使用高强度密码、统一安装安全软件、规范移动存储设备等管理措施,县域金融机构通过终端设备与网络使用虚拟计算机。一方面可以有效提高计算机客户端的安全性,另一方面可以缓解县域金融机构科技人员在计算机客户端部署、维护、升级等方面的压力。
县域金融机构无论从地理位置还是服务区域来说都与农村、农业、小微企业等有着紧密的联系,是城乡金融服务的前沿阵地,更是实施乡村振兴战略的主力军,不间断地开展金融服务是推动县域经济可持续发展的必然要求。在信息化时代里,信息基础设施可靠,网络及业务系统平稳等是县域金融机构持续提供金融服务的基本保障。因此,需要高度重視县域金融机构信息安全工作,严防信息安全风险,为各项业务平稳开展、金融服务不间断保驾护航。