基层金融机构网络安全管理工作中存在的问题及建议
编者按:近期,按照公安部门的统一部署,×××××组织辖区内金融机构开展2018年网络安全执法检查工作。在检查中发现,金融机构网络安全管理工作中存在政策传导机制不完善、安全管理体系松散、金融基础设施设施不足、信息安全等级保护推进缓慢、专业技术人员缺乏等问题,造成一定的管理问题和安全隐患,值得关注。
基层金融机构网络安全管理工作中存在的问题及建议
一、存在的主要问题
(一)机房等金融重要基础设施风险隐患较为突出
金融机构机房是为确保计算机机房的关键设备和装置能安全、稳定和可靠运行的基础设施也是机房中的系统设备运营管理、金融业务连续运行和数据信息安全保障环境。在检查中发现,机房建设与管理标准执行不到位,存在一些管理问题和风险隐患,主要体现在:一是机房场地选择不合规。如机房位于比楼道低的房间,容易进水;机房与业务房间共用同一进出通道核心网络设备长期与其他设备、杂货共同放置在一起,门窗未采取防护性措施等。二是机房专用设施配置不足或不符合要求。如应急照明、烟火探测器、门禁系统、监控系统等设施设备配置
不到位,防雷保护系统未进行维护和检测,强弱电综合布线未分开等。三是运行维护管理不到位。如未对出入机房的人员及各类计算机设备执行审批、备份和记录制度,未详细记录网络设备巡检、UPS 充放电等维护事项具体内容。
(二)信息安全等级保护工作推进缓慢
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。2007年,公安部等四部委印发了信息安全等级保护管理办法》,旨在规范信息安全等级保护管理,提高信息安全保障能力和水平。检查中,发现金融机构在信息安全等级保护工作存在较多困惑,影响了信息安全等级保护工作全面展开。主要表现在:一是信息安全等级保护范畴界定不清。如金融关键信息基础设施,目前没有一个统一的规范,如何界定金融关键信息基础设施对象、范围,采取什么措施加强金融关键信息基础设施保护,需要制定相关指导性文件和标准。二是信息安全等级保护工作职能界定不清。金融机构的网络与信息系统是由上级机构统一规划、开发与建设的,对于基层金融机构,哪些信息系统需要定级,信息安全等级保护工作职能如何界定,也需要进行明确。三是信息安全等级保护工作内容不明确。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个
阶段。但在实际工作,基层金融机构科技部门主要从事的运行维护和保养工作,充当的是“消防员”角,缺乏全面、深入、统一、规范的信息安全等级保护工作内容和措施。
(三)金融信息领域标准化落实乏力
金融业标准化工作就是针对产品、基础设施、统计和监管风控四大重点构建标准,为金融业健康发展的技术支撑,是金融业治理体系和治理能力现代化的基础性制度。检查发现,基层金融机构网络安全管理中存在的管理问题和风险隐患,反映了金融标准化落实不到位。主要原因有:一是金融标准化需要进一步优化标准化工作面临技术类标准多、业务及管理类标准少,政府和行业主导标准多、金融机构自主制定标准偏少,如金融机构没有结合自身业务发展,制定统一机房建设与管理标准,基层金融机构机房建设各显神通,技术落实有高有低,参差不齐,安全防范措施落实不全面二是金融标准化保障措施相对缺乏。标准化工作贯彻落实措施不多,金融机构的协调、指导、管理、监督停滞在制度管理层面,对金融标准化、信息保护、信息安全及等金融信息的管理和使用方面的标准、规范缺乏约束力和执行力,相关配套政策措施有待建立。三是金融标准化传导机制尚不完善。近几后来,人民银行先后出台了很多金融标准,但是金融机构获取、熟知的比较少,落实的更少,如何有效传导
金融业包括哪些金融标准化政策也是摆在面前的难题,需要建立统一、规范、科学的金融信息化传导机制,保障金融标准化的有效落实
(四)网络安全管理工作深度不够
一是风险管理部、审计部门对于信息科技风险防范的参与力度仍需加强,将信息科技风险管理考核纳入全行全面风险管理考核,由多个部门协同进行检查,同时在重要信息系统立项、上线等重要环节,加强风险管理部、审计部门的参与力度。二是业务连续性管理体系尚需完善。业务连续性管理体系尚需完善,未制定覆盖各项重要业务的业务连续性计划,未对业务连续性管理情况开展评估,业务连续性演练频度不够。通过从业务系统层面明确管理职责、完善各系统管理办法、应急预案,组织全行范围内的业务连续性演练等方式,加强业务连续性管理。制度执行不严实未能适应数据集中、云技术的普及应用新形势,建立精细化、规范化科技风险防控体系日常性的变更没有执行书面申请、审批、实施、反馈等规范操作流程,造成科技管理风险增大日常科技管理检查走形式、走过场,对检查出的问题和风险隐患,监督落实不够,制度执行效力大打折扣。
)人才队伍建设重视不够
根据监管要求,金融机构信息科技人员占比原则上应不低于3%。但是,金融机构科技人员远低于监管要求的3%。科技人员缺乏个人成长通道,普遍待遇较低,对满足科技发展要求的具备高科技水平和业务技能的人才缺乏吸引力。科技基建工作、科技风险防控、IT服务、科技资产管理等科技管理工作需要大量的科技人员保障,目前,金融机构存在人员不足导致身兼多个项目的现象,这对信息可持续运作、科技系统安全运行、科技风险防范等带来不利的影响
二、几点建议
(一)建立规划实施的动态评估和督促引导机制。进一步加强金融标准化、信息安全制度、法律宣传和解读,积极引导、督促金融机构加强管理制度与防范技术落实。进一步加强对金融机构督查力度,积极组织数据中心、网络设施、应用系统、数据大集中、灾备中心等重大工程项目实施,认真落实金融标准化、信息安全制度、法律,确保网络与信息系统安全运行。
(二)加大资金投入,推进信息化基础设施建设。继续加大信息化建设投入,优先保障信息化建设资金需要,既要加大对金融创新项目投入,满足金融改革与业务创新的要求,推动区
域经济发展,又要加大对信息化基础设施投入,深入贯彻落实技术标准和规范,推动信息化项目标准化发展,还要加大安全平台资金投入,运用信息技术手段加强信息化运行监控,推动信息安全管理手段创新。同时,要加大信息化资金向基层行投放,推进基层行信息化基础设施、服务平台、管理平台建设,全面增强科技支撑能力和服务水平。
(三)加强信息化人才队伍建设。加强金融信息化人才发展统筹规划,制定金融信息化人才政策措施和培养机制,拓展信息科技人才职业发展渠道,拓宽专业技术人员的职业发展空间,注重引进信息安全人才,建设专业的信息化技术服务团队。
(四)加强网络安全制度体系建设,促进网络安全步入制度、法制化轨道。针对金融标准化、网络安全管理制度相对较少的实际情况,应加强相关制度建设,提高金融标准、网络安全相关标准、规范的执行力,加强金融标准化的政策指导,完善金融标准化政策法规体系,进一步完善相关技术标准,保障金融标准化有效落实。研究和制定与客户有关的金融信息的管理和使用的法规,保证客户的身份信息、资产状况和交易数据的安全和合法使用。建立金融业信息化建设评价指标体系,保障信息化工作有序开展。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。