胡滟

【摘要】本文以我省金融業(yè)信息安全管理為研究對(duì)象，運(yùn)用經(jīng)典管理模型，從管理制度、操作手段、協(xié)調(diào)組織三個(gè)維度梳理、歸納現(xiàn)行的各項(xiàng)金融業(yè)信息安全管理措施，通過從管理制度、管理意識(shí)、管理技術(shù)三大領(lǐng)域分析金融業(yè)信息安全管理難點(diǎn)，提出完善金融業(yè)信息安全管理工作的相關(guān)建議，以應(yīng)對(duì)新形勢下人民銀行分支機(jī)構(gòu)有效履行金融業(yè)信息安全管理工作職責(zé)的新要求。

【關(guān)鍵詞】金融業(yè) 信息安全 管理模式

《國務(wù)院辦公廳關(guān)于印發(fā)中國人民銀行主要職責(zé)內(nèi)設(shè)構(gòu)和人員編制規(guī)定的通知》發(fā)出之后，國務(wù)院賦予了人民銀行“組織制定金融業(yè)信息化發(fā)展規(guī)劃，負(fù)責(zé)金融標(biāo)準(zhǔn)化組織管理協(xié)調(diào)工作，指導(dǎo)金融業(yè)信息安全工作”等職責(zé)。新“三定”賦予了人民銀行指導(dǎo)和協(xié)調(diào)金融業(yè)信息安全管理職能，使得基層人民銀行科技部門成為金融行業(yè)信息安全管理的實(shí)施者。為了應(yīng)對(duì)新形勢下人民銀行分支機(jī)構(gòu)有效履行金融業(yè)信息安全管理職責(zé)的新要求。

一、現(xiàn)行金融業(yè)信息安全管理模式探索

傳統(tǒng)的經(jīng)典管理模式是從特定的管理理念出發(fā)，在管理過程中固化下來的一套操作系統(tǒng)，簡稱為IOS模型，可以用公式表述為：管理模式=管理制度+操作方法+協(xié)調(diào)組織，可簡單表述為：

MS=F（i）+F（o）+F（s）（IOS模型）

其中MS：Management System、I：Idea/Ideology、O：Operation/Organization、S：Stratagem/Strategy。

通過運(yùn)用IOS管理模型，可以從管理制度、操作方法、協(xié)調(diào)組織三個(gè)維度梳理、歸納現(xiàn)行的云南省金融業(yè)信息安全管理措施。管理制度包括：基礎(chǔ)安全規(guī)范、安全管理制度、安全技術(shù)規(guī)范；操作手段包括：報(bào)告機(jī)制、檢查機(jī)制、評(píng)價(jià)機(jī)制、提示機(jī)制；協(xié)調(diào)組織包括：協(xié)調(diào)機(jī)制。

二、金融業(yè)信息安全管理工作中的難點(diǎn)及問題特征

（一）金融業(yè)信息安全管理工作中的難點(diǎn)

按照新“三定”的要求，在總行政策指引下，結(jié)合云南實(shí)際，緊緊圍繞管理制度、管理意識(shí)、管理技術(shù)三大領(lǐng)域，梳理、分析金融業(yè)信息安全管理工作的難點(diǎn)。

1.管理難。一是法律規(guī)范缺乏。由于缺乏明晰的金融信息安全戰(zhàn)略定位，金融信息管理處于分業(yè)監(jiān)管的體系；缺乏系統(tǒng)的金融信息安全法律規(guī)范，金融信息安全管理主體的法律地位、管理職責(zé)等均不明確，導(dǎo)致各級(jí)管理部門開展工作時(shí)職能不明確、管理角度和尺度不一、法律依據(jù)不足，以及對(duì)外資金融機(jī)構(gòu)和產(chǎn)品監(jiān)管不力。二是規(guī)定制度缺位。一方面，面對(duì)復(fù)雜多變的金融科技形勢和層出不窮的金融業(yè)信息安全管理新要求，新的規(guī)范和方案在出臺(tái)前未能及時(shí)清理完善，加之制度調(diào)整本身就缺乏一定的前瞻性和系統(tǒng)性，導(dǎo)致缺位現(xiàn)象，或者前后不銜接，不能為分支機(jī)構(gòu)開展金融業(yè)信息安全管理提供標(biāo)準(zhǔn)明確、操作可行的規(guī)定。另一方面，隨著數(shù)據(jù)集中化的發(fā)展，信息安全管理需要及時(shí)調(diào)整，以適應(yīng)數(shù)據(jù)集中化的發(fā)展趨勢的需求，而現(xiàn)行的規(guī)定制度存在缺位情況，給信息安全管理帶來一定困難。三是聯(lián)動(dòng)協(xié)調(diào)缺少。相關(guān)單位與金融業(yè)相互之間缺少有效的聯(lián)動(dòng)響應(yīng)，應(yīng)對(duì)來自國內(nèi)外各種圍繞信息網(wǎng)絡(luò)空間的犯罪行為的應(yīng)急和處置時(shí)，存在高難度和低效率的問題。

2.執(zhí)行難。一是思想觀念存在誤區(qū)。重組織建設(shè)，輕責(zé)任落實(shí)；重業(yè)務(wù)風(fēng)險(xiǎn)，輕科技安全。二是發(fā)展預(yù)見性不足。由于對(duì)金融信息化發(fā)展規(guī)劃理解不夠透徹，對(duì)信息化長期發(fā)展預(yù)見性不足，導(dǎo)致安全防護(hù)在經(jīng)歷了幾代技術(shù)后才真正得以控制。三是輿情工作有待加強(qiáng)。金融業(yè)信息安全工作還停留在全力進(jìn)行事件處理的原有思路，對(duì)網(wǎng)絡(luò)時(shí)候的信息傳播速度和影響力估計(jì)不足，缺少預(yù)見、缺乏應(yīng)對(duì)。

3.防范難。一是業(yè)務(wù)連續(xù)性能力需提高。災(zāi)備布局規(guī)劃、災(zāi)備基礎(chǔ)設(shè)施、應(yīng)急組織協(xié)調(diào)、應(yīng)急預(yù)案內(nèi)容、實(shí)戰(zhàn)應(yīng)急演練等方面尚需完善；人員思想認(rèn)識(shí)有待加強(qiáng)，存在對(duì)突發(fā)事件抱有僥幸心理，需進(jìn)一步提高責(zé)任意識(shí)。二是自主可控程度不高。云南省金融機(jī)構(gòu)大部分信息系統(tǒng)所用的軟硬件為國外產(chǎn)品，大大降低了技術(shù)、產(chǎn)品和服務(wù)的自主可控度。三是外包風(fēng)險(xiǎn)管控不足。重要系統(tǒng)外包集中化存在安全隱患；中小金融機(jī)構(gòu)過度依賴外包，信息化自主能力不足；缺乏對(duì)外包全程有效監(jiān)督和約束。四是保障措施需健全。通過多項(xiàng)檢查、測評(píng)顯示，金融機(jī)構(gòu)信息安全技術(shù)保障措施還存在脆弱性。

（二）金融業(yè)信息安全管理的問題特征

總體看來，金融機(jī)構(gòu)重視信息安全工作，但大多停留在對(duì)“信息科技風(fēng)險(xiǎn)”的角度，從“操作風(fēng)險(xiǎn)”的角度看待信息安全，理性的按照風(fēng)險(xiǎn)管理理論選擇風(fēng)險(xiǎn)分散、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)補(bǔ)償?shù)炔呗?。但是信息安全不能等同于信息科技風(fēng)險(xiǎn)，不能以量化的資金損失來看問題，而是要從國家安全、經(jīng)濟(jì)和社會(huì)穩(wěn)定的目標(biāo)出發(fā)，高度重視金融信息安全工作。

三、完善信息安全管理模式的相關(guān)建議

近幾年來，云南省人民銀行分支機(jī)構(gòu)依據(jù)政策、結(jié)合實(shí)際，探索運(yùn)用管理模式，實(shí)施、推進(jìn)各項(xiàng)信息安全管理，“適應(yīng)轉(zhuǎn)型要求，促進(jìn)轉(zhuǎn)型發(fā)展”更好地履行央行職責(zé)，同時(shí)，金融信息化管理和協(xié)調(diào)職能作用的發(fā)揮促進(jìn)人民銀行各職能部門更好地發(fā)揮央行的社會(huì)作用。但是伴隨著“數(shù)據(jù)集中、資源整合”進(jìn)程，風(fēng)險(xiǎn)同時(shí)也高度聚集，容易引起區(qū)域性、系統(tǒng)性風(fēng)險(xiǎn)，從而威脅金融業(yè)信息安全。面對(duì)信息安全出現(xiàn)的新情況和新問題，人民銀行總行、分支機(jī)構(gòu)高度重視金融業(yè)信息安全保障工作，不斷探索構(gòu)建金融信息安全保障體系，建立相關(guān)標(biāo)準(zhǔn)規(guī)范，利用檢查測評(píng)及技術(shù)研究，加強(qiáng)金融信息安全管理。

（一）加強(qiáng)金融業(yè)信息安全管理的建議

1.落實(shí)標(biāo)準(zhǔn)規(guī)范，夯實(shí)安全保障基礎(chǔ)。一是加強(qiáng)標(biāo)準(zhǔn)規(guī)范建設(shè)和實(shí)施，促進(jìn)提升風(fēng)險(xiǎn)管理能力。二是科學(xué)劃分信息安全級(jí)別，確保重點(diǎn)工作得到重點(diǎn)關(guān)注。三是試建立云南省業(yè)務(wù)管理規(guī)范。

2.加強(qiáng)檢查測評(píng)，督促落實(shí)安全保障要求。一是加強(qiáng)等級(jí)保護(hù)工作，提升金融業(yè)信息系統(tǒng)安全防護(hù)能力。二是積極開展信息安全事件處理。總結(jié)多年來處置各種信息安全事件的經(jīng)驗(yàn)，拋棄簡單的“出錯(cuò)出發(fā)”做法，明確信息安全事件的處置原則，從信息安全事件不可避免的角度，研究提高業(yè)務(wù)連續(xù)性的措施和手段。endprint

3.構(gòu)建協(xié)同機(jī)制，形成信息安全綜合防御體系。一是健全跨部門、跨省信息安全協(xié)調(diào)機(jī)制?！皺M向協(xié)調(diào)相關(guān)部門，縱向互動(dòng)跨省，密切聯(lián)系支撐單位”，成立建立金融業(yè)信息安全保障體系的堅(jiān)強(qiáng)保證。二是建立信息共享機(jī)制。完善云南省金融業(yè)信息交互平臺(tái)，建立信息交換中心，開展“政策宣傳、形勢分析，案例解讀”等多種宣傳和培訓(xùn)活動(dòng)，提高省內(nèi)的信息安全意識(shí)和技術(shù)防護(hù)水平。

4.嘗試創(chuàng)新研究，提高技術(shù)風(fēng)險(xiǎn)控制水平。一是推動(dòng)創(chuàng)新機(jī)制。二是開展技術(shù)研究。長期跟蹤、研究技術(shù)發(fā)展趨勢以及伴隨產(chǎn)生的信息安全風(fēng)險(xiǎn)，提高技術(shù)風(fēng)險(xiǎn)控制水平。三是組織成立“專家咨詢委員會(huì)”。充分發(fā)揮保障、管理、研究、教學(xué)和交流等方面的專家作用，更好地開展全省金融業(yè)信息安全的工作。

（二）完善金融業(yè)信息安全管理模式-IOSX

根據(jù)科技和金融深化結(jié)合后信息安全出現(xiàn)的新情況和新問題，在原有的信息安全管理模式下，完善信息安全管理內(nèi)容，并增加一項(xiàng)場變創(chuàng)新X，以滿足新形勢下控制和減少信息風(fēng)險(xiǎn)等相關(guān)信息安全工作的要求。完善的金融業(yè)信息安全管理模型簡稱IOS模型，用公式表述為：管理模式=管理制度+操作手段+協(xié)調(diào)組織+創(chuàng)新，可簡單表述為：

MS=F（i）+F（o）+F（s）+F（x）（IOSX模型）

其中MS：Management System、I：Idea/Ideology、O：Operation/Organization、S：Stratagem/Strategy、X：field-change。

IOSX管理管理模式，各自組成部分既有各自不同的內(nèi)涵、不同的定位，又是緊密結(jié)合、不可分割的統(tǒng)一整體，能在實(shí)際操作中根據(jù)實(shí)際需要加以適當(dāng)?shù)恼{(diào)整和使用。

通過運(yùn)用IOSX管理模型，從管理制度、操作方法、協(xié)調(diào)組織、場變創(chuàng)新四個(gè)維度整合完善云南省金融業(yè)信息安全管理措施。管理制度包括：基礎(chǔ)安全規(guī)范、安全管理制度、安全技術(shù)規(guī)范，操作手段包括：報(bào)告機(jī)制、檢查機(jī)制、評(píng)價(jià)機(jī)制、提示機(jī)制，協(xié)調(diào)組織包括：協(xié)調(diào)機(jī)制、信息共享機(jī)制，場變創(chuàng)新包括：推動(dòng)創(chuàng)新機(jī)制、技術(shù)研究、專家咨詢委員會(huì)。

在金融機(jī)構(gòu)持續(xù)健康發(fā)展的浪潮中，人民銀行總行、分支機(jī)構(gòu)更加關(guān)注金融業(yè)信息安全管理，而信息安全管理的有效性又往往取決于順勢改變的管理模式，以此規(guī)范金融機(jī)構(gòu)的行為，才能不斷取得成就。IOSX信息安全管理模型正好順應(yīng)了金融業(yè)信息安全管理的發(fā)展趨勢，它倡導(dǎo)以管理制度為龍頭，以操作手段和組織協(xié)調(diào)為基礎(chǔ)，劃分全責(zé)，規(guī)范運(yùn)作，進(jìn)行全方位技術(shù)創(chuàng)新研究，實(shí)現(xiàn)金融機(jī)構(gòu)快速穩(wěn)健發(fā)展。

參考文獻(xiàn)

[1]王永紅.切實(shí)加強(qiáng)金融信息安全管理——提升金融信息安全保障水平[J].中國信息安全，2013（4）.

[2]陳柳欽.構(gòu)建金融信息安全保障體系的基本思路[J].價(jià)格與市場，2009（3）.

[3]孫琴芳，許一帆.金融信息安全工作的探索實(shí)踐和建議[J].實(shí)務(wù)，2011（11）.

[4]趙忠鑫.基于安全基線的金融信息安全管理辦法研究[J].軟件，2013（6）.endprint