返回
中小金融机构信息安全管理风险及对策.doc

中小金融机构信息安全管理风险及对策.doc

ID:53684045

大小:15.50 KB

页数:6页

时间:2020-04-05

中小金融机构信息安全管理风险及对策.doc_第1页
中小金融机构信息安全管理风险及对策.doc_第2页
中小金融机构信息安全管理风险及对策.doc_第3页
中小金融机构信息安全管理风险及对策.doc_第4页
中小金融机构信息安全管理风险及对策.doc_第5页
资源描述:

《中小金融机构信息安全管理风险及对策.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、中小金融机构信息安全管理风险及对策  摘要随着我国金融行业信息化建设持续发展,金融信息安全形势愈加紧迫。相对于大型金融机构,中小金融机构普遍缺乏信息安全总体规划和全面的信息安全管理,信息安全风险尤为突出,迫切需要构建一个管理手段与技术手段相结合的多层次、全方位的信息安全防范。基于此,本文对中小金融机构信息安全管理问题进行了探讨。  【关键词】中小金融机构信息安全对策  伴随金融机构信息化进程的不断加快,金融业务信息化依赖程度也日渐加深,信息安全风险对于金融机构,特别是中小金融机构的影响日益显著。中小金融

2、机构作为金融行业的新生力量,迫切需要构建一个多层次、全方位的信息安全防范体系。  1中小金融机构信息安全管理现状  1.1信息安全管理不成体系  目前,大型国有商业银行和起步较早的股份制商业银行,通过自身的研发力量或引进国外核心业务系统,已逐步探索出了具有各自特色的IT架构及管理模式,信息安全防护体系比较完善。与大型金融机构相比,中小金融机构的信息化进程起步较晚,信息安全意识存在一定偏差,大部分机构仅重视安全防护设备、安全工具的投资而忽视信息安全管理投资,以技术和产品形成的低层安全防护屏障替代全面信息安

3、全管理,没有形成一个合理的信息安全方针来指导组织的信息安全管理工作。  1.2IT服务外包现象普遍存在  中小金融机构快速发展的同时,科技人员数量与结构矛盾突出,由于不具备专业软件开发团队和系统运维队伍,很多业务需要借助外包力量来完成。中小金融机构往往采取与专业化软件公司合作的模式开发新业务所需系统,把一些关键的业务系统管理建设工作也都交给专业的公司,如有些银行将综合业务系统、网上银行系统等核心系统外包给城商行联盟,由其提供系统运营服务和系统安全建设服务。  1.3信息安全多部门监管格局形成  2008

4、年,人民银行“三定方案”明确人民银行负责“拟订金融业信息化发展规划,承担金融标准化的组织管理协调工作;指导、协调金融业信息安全和信息化工作。”银监会在2012年成立了信息科技监管部,负责制定银行业信息科技监管政策,指导银行业信息科技发展规划,开展信息科技非现场监管和现场检查。公安部门则负责公共信息网络的安全监察工作,指导计算机信息系统安全保护工作,查处危害计算机信息系统安全的违法犯罪案件。近年来,各级地方政府也成立了金融办,负责落实当地金融政策,协调政府与金融机构的关系,防范化解当地金融风险。多部门对金

5、融机构信息安全工作监督管理的格局基本形成。  2中小金融机构面临的信息安全风险  2.1信息安全战略规划缺失  中小金融机构由于缺乏信息安全总体规划,信息建设过程中欠缺统筹考虑,对于系统安全部分的硬件设施、软件设计模块缺乏,造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。经常出现系统刚上线就面临着升级改造甚至淘汰的局面,缺乏一个合理的信息安全方针来指导信息安全管理工作。  2.2IT外包风险管理不到位  (1)软件开发外包会使重要信息例如源代码以及关键参数配置等

6、技术数据不受自己掌控,另外,专业的软硬件公司的工作人员一般都不固定,金融机构对这些公司如果缺乏有力的制约,就会给外包系统的运作到带来很大的安全隐患,阻碍系统的有效运作;  (2)业务系统运维管理外包,特别是包含银行核心服务内容的综合业务系统外包,信息技术风险与数据泄密风险较高。  2.3应急处置能力有限  (1)应急预案要素不全。中小金融机构虽然都制定了信息系统的应急预案,但预案内容覆盖面不全,预案要素欠缺,缺乏针对性和可操作性,在系统发生紧急事故时,无法对问题实施预案应急措施;  (2)应急演练和应急

7、培训不到位,致使工作人员应急处理能力较低,对重大信息科技风险的应急执行缺乏有效性,导致风险损失增加;  (3)大部分中小金融机构都没有自身的异地备份中心,所有的数据存在于一个点上,如果发生极端情况,后果将是灾难性的。  3相关建议  3.1构建信息安全管理体系框架,理清信息安全管理思路  中小金融机构构建系统、科学的管理体系对信息安全实施全面保障是非常必要的,有助于理清信息安全工作思路。体系框架主要是由安全组织体系、安全管理体系和安全技术体系三部分共同构成,安全组织体系从人员、意识、职责等方面保证信息安

8、全运作的顺利进行,安全管理体系为信息安全管理工作提供规范、措施、方法和约束,安全技术体系从网络层、系统层和应用层三个层面采用相应技术和手段保证系统安全的实现。  3.2完善IT外包风险管理体系,降低对外包服务商的依赖度  (1)强化对IT外包服务管理与监督。完善外包服务管理制度规定,对外包服务过程进行持续监控,跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况;  (2)加强与外包服务商的沟通协调,了解外包服务商风险防控管理过程

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。