劉洋

【摘 要】近些年來，隨著銀行經(jīng)營與管理對信息技術(shù)依賴的日益廣泛和深入、網(wǎng)上銀行等新渠道業(yè)務(wù)形式的迅速發(fā)展，以及信息系統(tǒng)復(fù)雜程度的日益增加，我國銀行面臨著日益嚴峻的信息安全風(fēng)險帶來的挑戰(zhàn)。隨著商業(yè)銀行信息安全問題的日益復(fù)雜化，其嚴峻性要求商業(yè)銀行采取一定措施避免出現(xiàn)商業(yè)銀行信息風(fēng)險帶來的金融危害。因此，加強對銀行信息安全風(fēng)險的研究，把銀行信息安全放在高度的戰(zhàn)略位置上，加強對信息安全風(fēng)險的提前監(jiān)管與控制，成為當(dāng)代防控銀行信息風(fēng)險的關(guān)鍵步驟。

【關(guān)鍵詞】商業(yè)銀行；信息安全；管理；策略

為了進一步確保銀行的信息安全，推進銀行信息安全管理，商業(yè)銀行不僅增加投入比重，加強對系統(tǒng)運行的嚴格管理。然而，盡管采取了一系列措施措施，銀行信息安全事件還是不斷發(fā)生，近些年來，一些黑客高手處于商業(yè)利益的考慮也不斷干預(yù)銀行信息安全體系的正常運營。此外，金融市場上存在的不當(dāng)競爭，使得一些銀行采取不當(dāng)或違法方式入侵其它銀行系統(tǒng)，從而為商業(yè)銀行個人信息安全造成了嚴重的威脅。這就說明我國商業(yè)銀行信息安全仍然存在著問題。

一、商業(yè)銀行信息安全的現(xiàn)狀

（一）信息安全管理制度不斷改進

近年來，我國政府加強了對各級商業(yè)銀行信息安全風(fēng)險的高度重視，特別是商業(yè)銀行數(shù)據(jù)中心的監(jiān)管工作更是不敢懈怠。商業(yè)銀行不僅在意識上提高了對信息安全風(fēng)險重要性的認識，而且在其信息安全風(fēng)險的管理方面加大了投入，日高了成本，逐漸完善各項信息安全管理制度，并開始建立適合商業(yè)銀行信息安全風(fēng)險管理體系。

（二）信息安全監(jiān)督明顯加強

銀行信息系統(tǒng)的安全、可靠和有效有利于包括商業(yè)銀行在內(nèi)的整個銀行系統(tǒng)的安全與穩(wěn)定，銀行信息安全理應(yīng)成為整個金融體系中的關(guān)鍵環(huán)節(jié)，從戰(zhàn)略高度將信息安全的監(jiān)管看做防范與化解風(fēng)險的重要保障，將信息科技風(fēng)險管控工作納入總體風(fēng)險管理框架之中，構(gòu)建監(jiān)管的長效機制，不斷完善和正確實施，才能真正保障信息系統(tǒng)的安全、可靠與穩(wěn)定運行。

（三）信息安全管理投入日益加大

加大了在信息安全運行系統(tǒng)中運行監(jiān)控、流程優(yōu)化、病毒防范等方面的投入力度，推動了信息安全管理工作的進一步發(fā)展，也使得商業(yè)銀行的整體防范風(fēng)險水平上了一個嶄新臺階。但是也要看到的是，以上這些成就主要集中在國有大型商業(yè)銀行中，對于中小商業(yè)銀行來說，由于各種原因的局限性，災(zāi)備中心的建設(shè)還沒有出現(xiàn)良好勢頭的“中國模式”，亟待重視與完善。

二、商業(yè)銀行信息安全存在的問題

（一）信息安全意識不強

要知道商業(yè)銀行要想實現(xiàn)長遠的穩(wěn)健的發(fā)展，必須建立健全約束機制與清晰的市場定位，而信息安全管理與風(fēng)險防范工作則是前提中的前提，基礎(chǔ)中的基礎(chǔ)。內(nèi)控機制的缺位或短缺，直接導(dǎo)致各項業(yè)務(wù)制度保障的失衡，因此銀行內(nèi)部不能夠?qū)ΜF(xiàn)行制度進行細化與整合，使業(yè)務(wù)發(fā)展出現(xiàn)不適應(yīng)性與滯后性。內(nèi)控制度也是一個銀行信息安全的重要保證，內(nèi)控制度在很大程度上避免了銀行內(nèi)部人員進入信息控制中心，從而導(dǎo)致了信息的丟失。

（二）信息安全缺乏統(tǒng)一管理

對于國內(nèi)商業(yè)銀行而言，面對業(yè)務(wù)重組、IT外包、充分授權(quán)、扁平化組織和分布式處理等復(fù)雜多變的商業(yè)環(huán)境，如何精確保證信息安全戰(zhàn)略、信息化戰(zhàn)略與企業(yè)發(fā)展戰(zhàn)略的步調(diào)一致，普遍缺少科學(xué)方法的指導(dǎo)。由此造成信息安全管理缺乏統(tǒng)籌規(guī)劃，管理目標(biāo)不明確，標(biāo)準(zhǔn)規(guī)范不統(tǒng)一，信息安全管理處于混亂無序的狀態(tài)，并導(dǎo)致資源的分配不均，最終影響銀行整體的信息安全風(fēng)險管理的效率和效果。

（三）信息安全管理的人才匱乏

銀行方面仍把主要注意力放在業(yè)務(wù)拓展與壯大上，對信息安全管理的團隊建設(shè)與技術(shù)人才的引進與培養(yǎng)缺乏力度。信息技術(shù)人員一般分配在信息技術(shù)部門，但是在管理與業(yè)務(wù)部門的信息技術(shù)人員則相對有限，直接阻礙了復(fù)合型人才的后期培養(yǎng)。而從美國銀行業(yè)的情況看，約有44%的信息技術(shù)人員配置在數(shù)據(jù)處理中心，約31%配置在客戶服務(wù)系統(tǒng)部門，其余則配置在服務(wù)系統(tǒng)的終端部分。這種較為合理的人才資源架構(gòu)可以充分發(fā)揮銀行各類從業(yè)人員的專業(yè)潛能，并成為銀行發(fā)展的有效助推力，形成復(fù)合人才的內(nèi)生機制。

三、商業(yè)銀行信息安全問題的解決對策

（一）強化信息安全觀念

信息安全管理的終極目標(biāo)是在風(fēng)險發(fā)生之前降低風(fēng)險系數(shù)，在風(fēng)險發(fā)生過程中控制和降低已發(fā)生的風(fēng)險帶來的負面影響與損失，并有效完成信息安全重建工作，修復(fù)信息安全管理體系。可見，樹立積極防御的思想，對信息進行基本的測量、評估，是信息安全管理的一個基本前提與方略。為了將信息風(fēng)險消滅于襁褓之中，防患于未然，減少不必要的損失，商業(yè)銀行應(yīng)樹立積極防御的思想，先期評估可能存在的風(fēng)險與業(yè)務(wù)、信貸評析。這種先期思想能夠?qū)в袃A向性的問題進行早期預(yù)測，針對一些可能會出現(xiàn)風(fēng)險問題的營業(yè)網(wǎng)點與相關(guān)部門制定有效的防范措施，從而將安全風(fēng)險的可能性降到最低，減少日后補救所帶來的經(jīng)濟與人力成本。

（二）構(gòu)建信息安全管理體系

信息安全風(fēng)險管理的組織機構(gòu)是商業(yè)銀行開展信息安全風(fēng)險管理工作的組織保證。因此，成立相關(guān)專業(yè)性和綜合性的機構(gòu)組織（委員會或領(lǐng)導(dǎo)小組）是很有必要的，如資產(chǎn)管理委員會、貸款審查委員會、“三防一?！鳖I(lǐng)導(dǎo)小組等等，達到進一步加強風(fēng)險管理的目的。還可以按照巴塞爾委員會的相關(guān)要求，成立內(nèi)審委員會，實行內(nèi)審委員會對法人負責(zé)的制度。另外，為了避免將信息安全管理由科技部門單一負責(zé)的情況，應(yīng)考慮將信息安全管理置于整個組織機構(gòu)的管理范圍中，形成業(yè)務(wù)部門、管理部門與信息安全部門的明確責(zé)任分工，發(fā)揮橫向調(diào)節(jié)、縱向制約的組織功能。

（三）重視復(fù)合型信息安全人才的培養(yǎng)

重視科技與管理人才的引進，選拔素質(zhì)高、技能強并具有相關(guān)管理經(jīng)驗的復(fù)合型人才從事信息安全管理工作。首先，應(yīng)從人才的引進與培養(yǎng)的漸進性和連續(xù)性上優(yōu)化人員結(jié)構(gòu)，形成梯隊；合理配置和使用人力資源，明晰高層、中層以及低層員工在信息安全方面的各自職能，實現(xiàn)人盡其才的和諧局面，促進一個縱向延伸，橫向制約的信息安全管理系統(tǒng)的建立。另外，圍繞信息安全管理進行鼓勵以及獎罰制度的制定，建立業(yè)績評價體系，通過多種獎勵性的刺激手段，樹立模范典型，促進具有較強的凝聚力的信息安全管理人員隊伍的建立，為在運營過程中有效的預(yù)防與處理風(fēng)險提供人員支持。

（四）建立信息安全內(nèi)部控制

內(nèi)部控制涉及領(lǐng)域領(lǐng)域較廣，可以說涵蓋了銀行內(nèi)部所有從業(yè)人員，包括董事會、管理層和其他工作人員。從目前來看，商業(yè)銀行的內(nèi)控文化尚未真正建立，特別體現(xiàn)在高層領(lǐng)導(dǎo)不重視，部分工作人員也未能充分認識到內(nèi)控機制的重要意義。因此，要想在銀行內(nèi)部樹立內(nèi)控文化體系，應(yīng)首先針對高層進行培訓(xùn)，使他們意識到信息安全管理與內(nèi)控機制的重要關(guān)系，并在日常銀行運營中，將內(nèi)控文化時時刻刻體現(xiàn)在銀行內(nèi)部的環(huán)境中，使工作人員在有形與無形中受到內(nèi)控文化感染，進而外化為自己的行為實踐，嚴格按照規(guī)章制度辦事。另外，要定期開展思想道德教育和法制教育，將職業(yè)道德考察和業(yè)務(wù)緊密結(jié)合，在利欲面前樹立牢固的思想防線，促使員工樹立企業(yè)責(zé)任感與主人翁意識，以自覺、主動地參與到銀行的發(fā)展中。

四、結(jié)語

綜上所述，我國商業(yè)銀行是我國金融體系中的重要組成部分，它運營的安全性是保證我國國民經(jīng)濟健康穩(wěn)定發(fā)展的重要因素。伴隨著我國銀行業(yè)信息系統(tǒng)建設(shè)的持續(xù)發(fā)展，商業(yè)銀行迎來了前所未有的發(fā)展機遇，成為國民經(jīng)濟中信息技術(shù)應(yīng)用水平最高的行業(yè)之一。但是近些年來銀行信息安全不斷暴露出大量問題，從而影響了銀行的健康有序的運轉(zhuǎn)。因此，針對這些問題，銀行逐漸重視了行業(yè)內(nèi)部個人信息安全管理制度的建設(shè)，從不同的環(huán)節(jié)入手加強管理，以把由于信息安全方面產(chǎn)生的損失減小到最低限度。

【參考文獻】

[1]馬俊宇.商業(yè)銀行信息系統(tǒng)風(fēng)險與安全研究[J].內(nèi)蒙古科技與經(jīng)濟，2019（04）：68-70+73.

[2]唐金海，熊占寅.新形勢下商業(yè)銀行信息安全現(xiàn)狀及問題分析[J].中國新通信，2018，20（23）：165.

[3]蔡婷婷.基層人民銀行信息安全管理的工作現(xiàn)狀分析[J].時代金融，2018（24）：84+88.