在互联网金融盛行的今天,银行信息安全工作变得越来越重要,但是处于组织架构末端的基层分支行信息安全管理却有些弱化。
信息安全防范意识下降。没有核心业务数据的存在使得从基层行的领导到一般员工想当然地认为信息安全管理变成了上级行的事情,或者只是技术部门的事情,于是事不关己,高高挂起;对于信息安全可能会造成的影响和危害程度认识不足,或者认为以前没有出事,出现安全问题的可能性不大,存在侥幸心理,因而大意。
安全防范重外轻内。目前银行信息安全建设仅重视通过设置防火墙、填堵漏洞等防止外部的,往往忽视内部人员的控制,给安全防范留下了隐患。
网络安全防范缺少整体联动。信息安全防范目前有不少仍然以各行为条块各自为政,各有各的一套做法,散兵游勇孤军奋战未形成合力,从上往下尚没有形成统一的网络安全防范体系,缺少整体的联动运作。
信息安全防范缺少专业评估。在安全防范上虽然做了不少工作,但是信息安全的程度究竟怎么样,达到了什么级别,还存在哪些隐患,还有哪些漏洞,基本上没有进行过认真专业的评估,未形成正常的安全评估体系。
针对以上不足,笔者认为,基层分支行要做好信息安全管理工作,必须从以下几方面加强:
加强宣传引导,切实提高安全防范意识。技术管理部门要因势利导,加强宣传引导,使基层行的干部员工牢固树立大局观念,增强全行“一盘棋”意识,深刻领会安全管理的重要性。
严格内部管理,内外兼防和内外并重。一方面要加强宣传教育,提高技术人员思想素质,做到防微杜渐;另一方面要加强内部管理,建立健全各项内部安全管理规章制度,强化内部约束机制,做到系统管理、开发和运行的岗位职责严格分离,生产、开发以及外联严格隔离,规范程序上线投产运行的流程,严格控制程序的源代码以及数据结构和交易接口。同时加强技术防范,在分支行积极部署系统,推行事后审计等。
实行统一领导,上下一致协同作战。信息安全管理要统一领导、统一部署、统一规范,实行全行一盘棋,层层签定安全责任状,各级行科技部门联合起来,不留死角,共同构筑牢固的网络安全防范体系。此外,将信息安全工作融入全行大安全工作中去,明确部门分工,构筑安全管理的几道防线,技术部门负责技术安全,业务部门负责应用安全,部门负责场地设施安全等。
明确岗位职责,提高技术防范水平。分支行技术部门的重要职责之一是信息安全管理,因此首先要充实计算机安全人员,将思想素质高、技术业务精的人员充实到安全岗位上来;另外明确各级安全员的岗位职责,并通过专业培训、技术等多种形式,提高各级管理员的技术防范水平和应急处理能力,积极引进计算机安全专业技术人员。
增加安全产品的投入,提高技术防范能力。计算机网络系统牵一发而动,网络的安全性应是当前计算机安全管理工作的重中之重。电子化建设的资金应向计算机安全产品特别是网络安全产品的倾斜,添置一些关于网络系统漏洞扫描、入侵检测等等方面的系统工具,并对现有的网络系统的安全性进行正确的评估;同时对通讯连接线的安全程度需要进一步认证。