四、农商行信息安全不足以及目标
首先,缺乏信息安全的专门主管队伍和相应的组织队伍。区域银行整个信息管理部门人数并不多,在这一块不一定各家银行都很重视,所以相关专业的主管部门并不一定存在,这个并不符合监管部门的要求,监管部门专门提到,一定要有专门的管理队伍,这一块对我们来说也是一个困难和挑战。
其次,这造成整个安全工作分散在若干部门,安全这一块每个部门都管,造成一个现象,其实大家都管,其实大家都不管。就是大家都有责任,最后都没有责任。信息安全依赖于各个部门的自觉性,没有总体的规划性。这是我们为什么做信息安全规划的原因,我相信这个问题在其他的银行应该也是存在的。
第三,安全规划的整体性相对比较弱。因为大家多没有相关的经验,刚开始做,经验还是比较薄弱,但是有一点我觉得,至少我们做得越晚,我们应该站在巨人的肩膀上,因此我们会做得更加完善,更加完备,做得更加好,有可能我们的安全治理会做得比别人发展得更快,我相信这一点应该能做得到。特别现在银行业差异化发展的过程中,
信息化发展应该也是差异化,有可能部分方面我们会做得更好。这是我觉得区域性银行后发有可能先进的可能性是存在的,所以我在想整个信息安全的规划做好的情况下,在今后的发展过程中,区域银行完全可以说我们的信息安全这一块做得不亚于其他银行,有可能我们的服务产品、服务内容、服务的东西会比他们少,但是我们安全可靠性这一块会走在前面。
最后,整个信息安全技术建设需要以全面的安全治理和信息核心的建设目标为目的,不能偏离核心和目标。
基于上面的安全现状和下一步的发展,分三个阶段来工作的计划。一个管理目标,还有技术的内容和制度流程,从三个层面谈三个阶段的重点。
第一,在管理目标上主要以防入侵为重点,实现终端四大安全防控目标,加强对互联网访问管理。这还是资金推动的问题,一个是各个行对安全管理的意识不足,第二还是资金推动的问题。目的是提升整个系统和数据的恢复能力,在技术内容方面要采用一些终端防护,还有一些数据恢复等等。在制度流程这一块,制定完善一些终端方面的防护策略和规范,互联网接入及安全的防护规范,以及系统运行维护操作规范。因为在这一块,为什么说是第一阶段工作的重点?互联网的应用近十年如火如荼,现在已经到了移动时代,现在到了IPAD,一路发展下来已经到手机上,手机银行发展下来,对于区域银行还落后很多。这一块怎样加强对移动终端的安全管控,对我们相关业务的技术支持?在这一点是第一阶段我们基础的工作,这一块要做好。
第二、从管理目标上主要以防不良访问、外侵为重点,全面实现互联网安全访问工作,严防数据的外泄。同时在这个过程中加强对内部用户的身份管理和资产标准化管理,最终优化系统数据的管理。我们有统一身份管理系统,系统和数据的加固等等。
第三、管理目标,深化数据安全建设,实现合规管理、全面监控为重点的安全治理工作,完善IT服务流程的管理。主要有几个办法:敏感数据加密、合规管理技术支持平台建设以及资产生命周期标准化管理支持平台建设。相关制度的完善,主要有关技术类安全的规范,管理类的合规检查等等,这里面可以基于人民银行发相关的制度规范,还有银监会发的规范制度。
首先,从管理、技术、维护服务三方来来看方面。一个基础架构,管理上要制定配套的制度流程不断优化和完善,这也是一个长期的过程,
在技术方面在IT架构第一年实施了,所以着重于终端的安全、网络准入、服务器安全、资产标准化、统一身份管理和架构数据等等,从这几个方面来看,着重还是一种技术的投入,所以这一块基础是很重要的,但是基础的投入更重要,有了这个投入以后才能在后面更强。
在维护服务这一块,因为前面说了,对于区域性银行来说技术不够,那么面临核心业务,人员安全的问题,肯定是不可避免,怎样面对呢?因此对我们安全架构来说,从这点来说,基础上是怎么样开始实施的,在这里面有所涉及。
第二,信息安全架构,信息安全规划实施要点,从管理上、技术上、维护与服务上。管理上主要是制度的制定和完善。技术上第二阶段做主要涉及数据、邮件安全、网页,主要互联网这一块,应该是第二阶段的重点,以及一些数据版权、数据加密等等,在技术方面需要加大投入。第三方面维护服务这一块,跟第一阶段不一样,主要提升在服务的内容有所区别,服务的方式有点改进。
第三、安全治理规划实施要点。管理制度和规范相对较少,第三阶段主要是制度和管理,制度规范越来越多,这说明管理到了一定的阶段,需要更多更细化的管理制度和规范。在技术上主要体现在平台化的建设,集中化的管理和平台化建设,包括安全事件的监控,审计的平台,合规管理的平台,以及资产生命周期管理平台等等,主要是集中化和控制。在维护这一块主要基于整个平台性的。所以通过三个阶段不同时间的治理,使我们逐渐从对信息安全的基本上薄弱不足逐渐强化。(本文根据2010中国金融科技大会陈扬宁发言整理)
(责任编辑:)
