刘洋

【摘 要】近些年来，随着银行经营与管理对信息技术依赖的日益广泛和深入、网上银行等新渠道业务形式的迅速发展，以及信息系统复杂程度的日益增加，我国银行面临着日益严峻的信息安全风险带来的挑战。随着商业银行信息安全问题的日益复杂化，其严峻性要求商业银行采取一定措施避免出现商业银行信息风险带来的金融危害。因此，加强对银行信息安全风险的研究，把银行信息安全放在高度的战略位置上，加强对信息安全风险的提前监管与控制，成为当代防控银行信息风险的关键步骤。

【关键词】商业银行；信息安全；管理；策略

为了进一步确保银行的信息安全，推进银行信息安全管理，商业银行不仅增加投入比重，加强对系统运行的严格管理。然而，尽管采取了一系列措施措施，银行信息安全事件还是不断发生，近些年来，一些黑客高手处于商业利益的考虑也不断干预银行信息安全体系的正常运营。此外，金融市场上存在的不当竞争，使得一些银行采取不当或违法方式入侵其它银行系统，从而为商业银行个人信息安全造成了严重的威胁。这就说明我国商业银行信息安全仍然存在着问题。

一、商业银行信息安全的现状

（一）信息安全管理制度不断改进

近年来，我国政府加强了对各级商业银行信息安全风险的高度重视，特别是商业银行数据中心的监管工作更是不敢懈怠。商业银行不仅在意识上提高了对信息安全风险重要性的认识，而且在其信息安全风险的管理方面加大了投入，日高了成本，逐渐完善各项信息安全管理制度，并开始建立适合商业银行信息安全风险管理体系。

（二）信息安全监督明显加强

银行信息系统的安全、可靠和有效有利于包括商业银行在内的整个银行系统的安全与稳定，银行信息安全理应成为整个金融体系中的关键环节，从战略高度将信息安全的监管看做防范与化解风险的重要保障，将信息科技风险管控工作纳入总体风险管理框架之中，构建监管的长效机制，不断完善和正确实施，才能真正保障信息系统的安全、可靠与稳定运行。

（三）信息安全管理投入日益加大

加大了在信息安全运行系统中运行监控、流程优化、病毒防范等方面的投入力度，推动了信息安全管理工作的进一步发展，也使得商业银行的整体防范风险水平上了一个崭新台阶。但是也要看到的是，以上这些成就主要集中在国有大型商业银行中，对于中小商业银行来说，由于各种原因的局限性，灾备中心的建设还没有出现良好势头的“中国模式”，亟待重视与完善。

二、商业银行信息安全存在的问题

（一）信息安全意识不强

要知道商业银行要想实现长远的稳健的发展，必须建立健全约束机制与清晰的市场定位，而信息安全管理与风险防范工作则是前提中的前提，基础中的基础。内控机制的缺位或短缺，直接导致各项业务制度保障的失衡，因此银行内部不能够对现行制度进行细化与整合，使业务发展出现不适应性与滞后性。内控制度也是一个银行信息安全的重要保证，内控制度在很大程度上避免了银行内部人员进入信息控制中心，从而导致了信息的丢失。

（二）信息安全缺乏统一管理

对于国内商业银行而言，面对业务重组、IT外包、充分授权、扁平化组织和分布式处理等复杂多变的商业环境，如何精确保证信息安全战略、信息化战略与企业发展战略的步调一致，普遍缺少科学方法的指导。由此造成信息安全管理缺乏统筹规划，管理目标不明确，标准规范不统一，信息安全管理处于混乱无序的状态，并导致资源的分配不均，最终影响银行整体的信息安全风险管理的效率和效果。

（三）信息安全管理的人才匮乏

银行方面仍把主要注意力放在业务拓展与壮大上，对信息安全管理的团队建设与技术人才的引进与培养缺乏力度。信息技术人员一般分配在信息技术部门，但是在管理与业务部门的信息技术人员则相对有限，直接阻碍了复合型人才的后期培养。而从美国银行业的情况看，约有44%的信息技术人员配置在数据处理中心，约31%配置在客户服务系统部门，其余则配置在服务系统的终端部分。这种较为合理的人才资源架构可以充分发挥银行各类从业人员的专业潜能，并成为银行发展的有效助推力，形成复合人才的内生机制。

三、商业银行信息安全问题的解决对策

（一）强化信息安全观念

信息安全管理的终极目标是在风险发生之前降低风险系数，在风险发生过程中控制和降低已发生的风险带来的负面影响与损失，并有效完成信息安全重建工作，修复信息安全管理体系。可见，树立积极防御的思想，对信息进行基本的测量、评估，是信息安全管理的一个基本前提与方略。为了将信息风险消灭于襁褓之中，防患于未然，减少不必要的损失，商业银行应树立积极防御的思想，先期评估可能存在的风险与业务、信贷评析。这种先期思想能够对带有倾向性的问题进行早期预测，针对一些可能会出现风险问题的营业网点与相关部门制定有效的防范措施，从而将安全风险的可能性降到最低，减少日后补救所带来的经济与人力成本。

（二）构建信息安全管理体系

信息安全风险管理的组织机构是商业银行开展信息安全风险管理工作的组织保证。因此，成立相关专业性和综合性的机构组织（委员会或领导小组）是很有必要的，如资产管理委员会、贷款审查委员会、“三防一保”领导小组等等，达到进一步加强风险管理的目的。还可以按照巴塞尔委员会的相关要求，成立内审委员会，实行内审委员会对法人负责的制度。另外，为了避免将信息安全管理由科技部门单一负责的情况，应考虑将信息安全管理置于整个组织机构的管理范围中，形成业务部门、管理部门与信息安全部门的明确责任分工，发挥横向调节、纵向制约的组织功能。

（三）重视复合型信息安全人才的培养

重视科技与管理人才的引进，选拔素质高、技能强并具有相关管理经验的复合型人才从事信息安全管理工作。首先，应从人才的引进与培养的渐进性和连续性上优化人员结构，形成梯队；合理配置和使用人力资源，明晰高层、中层以及低层员工在信息安全方面的各自职能，实现人尽其才的和谐局面，促进一个纵向延伸，横向制约的信息安全管理系统的建立。另外，围绕信息安全管理进行鼓励以及奖罚制度的制定，建立业绩评价体系，通过多种奖励性的刺激手段，树立模范典型，促进具有较强的凝聚力的信息安全管理人员队伍的建立，为在运营过程中有效的预防与处理风险提供人员支持。

（四）建立信息安全内部控制

内部控制涉及领域领域较广，可以说涵盖了银行内部所有从业人员，包括董事会、管理层和其他工作人员。从目前来看，商业银行的内控文化尚未真正建立，特别体现在高层领导不重视，部分工作人员也未能充分认识到内控机制的重要意义。因此，要想在银行内部树立内控文化体系，应首先针对高层进行培训，使他们意识到信息安全管理与内控机制的重要关系，并在日常银行运营中，将内控文化时时刻刻体现在银行内部的环境中，使工作人员在有形与无形中受到内控文化感染，进而外化为自己的行为实践，严格按照规章制度办事。另外，要定期开展思想道德教育和法制教育，将职业道德考察和业务紧密结合，在利欲面前树立牢固的思想防线，促使员工树立企业责任感与主人翁意识，以自觉、主动地参与到银行的发展中。

四、结语

综上所述，我国商业银行是我国金融体系中的重要组成部分，它运营的安全性是保证我国国民经济健康稳定发展的重要因素。伴随着我国银行业信息系统建设的持续发展，商业银行迎来了前所未有的发展机遇，成为国民经济中信息技术应用水平最高的行业之一。但是近些年来银行信息安全不断暴露出大量问题，从而影响了银行的健康有序的运转。因此，针對这些问题，银行逐渐重视了行业内部个人信息安全管理制度的建设，从不同的环节入手加强管理，以把由于信息安全方面产生的损失减小到最低限度。

【参考文献】

[1]马俊宇.商业银行信息系统风险与安全研究[J].内蒙古科技与经济，2019（04）：68-70+73.

[2]唐金海，熊占寅.新形势下商业银行信息安全现状及问题分析[J].中国新通信，2018，20（23）：165.

[3]蔡婷婷.基层人民银行信息安全管理的工作现状分析[J].时代金融，2018（24）：84+88.