基层央行科技安全管理现状及存在风险.docVIP

基层央行科技安全管理现状及存在风险 　　摘 要：随着信息技术在央行的广泛使用，科技安全管理的重要性越来越突出。通过对山西省16个地市及所辖县支行历时六年的实地调查和现场审计，从内部审计的角度对基层央行科技安全管理现状、潜在风险等进行分析，并提出相关建议。 　　关键词：科技；安全管理；内部审计；风险隐患；对策 　　中图分类号：F830 文献标志码：A 文章编号：1673-291X（2016）06-0147-02 　　随着科学技术的发展和信息水平的提高，信息技术为央行的相关工作带来了很多便利，相关部门也在科技安全管理方面做了大量的工作，但是从审计部门近几年开展的科技安全管理审计情况看，各行在管理、操作等方面仍存在漏洞，需要进一步提高和改进。 　　一、山西省人民银行科技安全管理现状 　　从2009年开始，历时六年的时间，我们在全省人民银行范围内开展了科技安全管理审计。通过现场审计、发放调查问卷以及和一线职工的沟通交流，了解到基层行在科技安全管理工作中普遍存在和反映较多的问题。 　　（一）从现场审计掌握的情况 　　通过对山西省16个地市及县支行的审计了解，2009―2014年共发现287个问题，主要表现在内控制度、机房安全管理、网络安全管理、系统安全、应用系统维护、采购外包、应急备份等方面。在上述发现的问题中，机房安全管理、应用系统运行维护和网络安全管理方面存在的问题最多，风险最大。 　　1.机房安全管理问题中，主要表现在机房进出控制、监控盲区及安全运行监测信息资料保存期限、日常巡检及机房选址存在漏水、被盗隐患方面。 　　2.应用系统运行维护问题中，主要表现在未开启安全日志审计，口令密码设置简单；系统维护记录不准确等方面。 　　3.网络安全管理问题中，主要表现在客户端未安装主机监控系统、未禁用系统默认来宾账户、使用未注册的移动存储介质，防病毒软件病毒特征库升级不及时等。 　　（二）通过调查问卷及访谈了解的情况 　　1.内控制度落实难。虽然近几年从上到下均制定了大量的规章制度，但部分制度的制定与执行存在脱节的情况，尤其是上级行制定的一些制度，大部分是针对上级行自身的实际，没有充分考虑到基层的具体实际情况，制度下发后在基层行很难执行。 　　2.人员结构调整速度慢。调查问卷显示，75%的管理层认为科技人员结构不能满足管理要求，具体表现为：总量不足、年龄大、任务重，知识结构老化。经了解，科技部门现有人员有2/3已超40岁，对新知识接受较慢，尤其在央行数据集中的背景下，信息人员网络安全知识更新速度跟不上，在工作中容易出现失误。 　　3.科技人员少且兼岗多。在实际工作中，大部分安全管理人员既要负责网络防病毒系统、内部网络管理维护以及内外网安全管理等工作，还要承担应用系统的维护、软件管理、硬件维护和网络通信管理，时常出现顾此失彼的现象，难以保证科技管理及维护工作的质量。 　　4.专业技术培训不足，员工素质相对滞后。调查问卷显示，90%的科技人员认为需要加强技术及信息安全培训和经验交流。经了解，在实际工作中对于业务系统上线及使用，上级行只注重对业务人员的培训，忽视对科技人员的相关培训，造成科技人员不熟悉，甚至不了解业务系统，导致问题处理不及时。 　　二、潜在的风险隐患 　　针对以上审计中发现的问题可以看出，基层央行科技安全管理方面的风险来源主要为管理风险和操作风险。 　　（一）管理风险 　　随着对信息安全认识的加深，我们逐渐意识到“人”的风险其实是最大的风险。人，特别是银行内部员工，既可以是对信息系统的最大威胁，也可以是最可靠的安全防线。但是从实地调研情况看，基层行实现从“最大威胁”到“最可靠防线”的转变中还存在一些不容忽视的问题，表现为：一方面，部分职员没有树立正确的职业道德观念，加之缺乏激励约束机制，觉得干好干坏没差别，干多干少一个样，缺乏工作热情，出现不思进取的现象；另一方面，基层行科技人员职业技能落后，随着信息化的高速发展，使一部分职员出现技能上的脱节，遇到威胁信息安全的事件不能及时采取措施，消除威胁，给信息安全带来潜在风险。 　　（二）操作风险 　　随着央行各项业务对信息系统的依赖程度越来越高，信息系统风险的影响也越来越大。而诱发操作风险的原因也是多种多样，无论是有意越权访问或是无意误操作，还是技术缺失，都会把风险变成实实在在的损失。从审计情况来看，发现的问题大部分属于操作风险，如在网络设备安全审计日志的设置及使用方面，基层行科技人员由于对安全审计日志操作不了解，专业技能达不到，不敢贸然操作，导致目前此项工作处于空白状态，使科技管理人员不能完全掌握网络信息系统的实际使用状况，帮助管理者发现潜在的风险，达到控制人为因素造成重要业务系统停顿的损失的目的。 　　三、对策建议 　　（一）强化工作人员