李晓娜

【摘  要】目前全国中小型银行快速发展，其服务的业务范围和领域逐渐扩大。银行内部的信息化建设需要建设和发展，但信息化带来便利的同时也存在一定的风险——网络信息安全，数据的大量集中会导致不法分子通过网络漏洞窃取信息。本文着重从国内中小型银行出发分析它在信息建设、安全管理、甚至是各个政府监管部门过程中存在的不足，结合当前国家信息安全系统监管标准的要求，不断的摸索出一套属于中小型银行信息安全管理体系。

【关键词】中小型银行;信息安全;管理

一、我国中小型银行信息安全管理的现状及特点

近几年来，金融行业的信息化使用程度越来越高，但给中小型银行带来发展机遇的同时，信息安全风险也逐渐成为中小型银行风险之一。对于国内部分中小型银行来说，投入信息化建设，能够拥有强大的数据集中存储与管理，为客户服务提供有力支持。但我们必须保持理性，需要重视信息安全建设。

二、我国中小型银行信息安全存在问题分析

（一）政府方面的原因

1.监管部门之间缺乏协调机制

在我国，对于银行信息安全的监管部门有中国人民银行、中国银行监督管理委员会、公安部门及部分地区的金融办等。监管部门虽多，但是这些部门缺乏统一的协调机制。在执行各自的职能时，会缺泛一定的沟通和协调。一旦银行信息系统出现问题，会出现不知道找哪个部门沟通和处理，部门间可能会出现脱节、相互推脱的现象。因此，监管部门之间的协调机制十分重要。

2.监管手段单一化

随着银行业务的拓展，信息化建设加快，但是监管部门的监管效率较慢，而且检测技术落后，信息系统一旦出现问题都要到现场处理，客观上也造成了社会资源的消耗。

3.监管人员综合素质参差不齐

据了解，目前银行监管部门的监管人员年龄相对较高，在监管方面力不从心;而年轻的监管人员缺乏工作经验，对信息安全建设不够了解，自身的综合素质缺乏提升，这导致监管人员综合素质参差不齐。

（二）银行方面的原因分析

1.缺乏信息安全管理理念

我国的中小型银行虽已建立了信息系统，但对信息安全缺乏概念。加上信息安全系统管理人才的缺失，普遍的管理人员知识有限，对信息安全管理的认识存在偏差，对于内部审计、管理流程设计、操作规范、应急响应机制等缺少足够的认识和投入，造成了重视安全技术方面的投入，而忽视管理方面的投入。

2.信息安全管理制度建设滞后

目前中小型银行尚未建立起自下而上的责任制，岗位分工和职责不清。未实行业绩考核，没有将各部门的信息安全管理考核与其收入和晋升等挂钩，导致内部管理人员没有重视自己的职责。未建立完整的规章制度体系，岗位保密责任和定期轮换岗制度执行的不到位。

3.科技安全管理体系不完善

目前中小银行的信息安全管理尚处于初期，随着银行业务对信息科技依赖度的加强，信息科技带来的风险已显现，存在于外包服务、网络运营商服务当中。一些没有国家资质的小企业开发的业务应用系统直接接入核心业务系统，给核心业务系统带来了潜在的风险。银行应该谨慎选择第三方外包服务商，选择经过国家有关部门认证的机构，并且严格履行考察等手续。

三、我国中小型银行信息安全管理对策建议

信息安全管理是一个庞杂的系统性工程，需要政府的协调、指导、规范，应该根据中小型银行的发展变化制定相应的指导性规范或参照标准。同时也需要中小型银行自身的重视、建设、完善，在资金投入有限，管理水平较低，专业人员匮乏的情况下，加强管理，合理规划显得尤为重要。

（一）政府方面

健全的法律體系、基础设施建设、完善的配套设施等都为银行信息化建设和信息安全体系建设提供了强有力的保障。政府有关部门应该加强宏观管理，加强对中小型银行的监管力度，对于存在的信息安全问题及时发出预警，加强行业指导，制定和完善信息安全管理法规和标准体系，最重要的是培养信息安全管理专业人才。

1.健全银行信息安全监管组织

在银行信息安全监管过程中，建议成立独立的银行业信息安全监管组织，只对银行信息系统安全负责。对于在监管银行信息安全时发现的涉及风险处理的移交银监会处理，涉及信息安全犯罪的移交公安部门处理。这样才能彻底避免信息安全建设重复管理的问题，切实提高银行信息安全监管效率。

2.合理引导银行业信息化建设和信息安全体系建设

国家应该制定银行业信息安全管理体系建设总体刚要，合理引导银行按照纲要以及自身实力开展信息安全管理体系的构建。对技术标准、法规制度、总体架构、产品创新、建设流程、实施步骤、人员管理等进行部署和规划。制定周全的信息安全防护体系范本，提高国产安全产品的研发推广，提供可靠的软硬件设备和服务，逐步完善银行信化技术体系框柴。

3.有计划的培养金融信息安全专业人才队伍

目前，我国的金融信息安全人才缺乏，他们大多数停留在教学和理论层面，缺乏实践经验。因此，在信息安全专业人才培养方面，各家银行应该与高校加强合作，开展人才定向培养，让熟悉实际情况的科技人员进入高校深化理论学习，也让高校师生到银行实习，有针对性的培养理论功底扎实、实战经验丰富、富有创新能力的高素质命融信息安全专业人才。

4.建立完善的银行信息安全管理法规体系

中国政府金融管理部门在金融信息化迅猛发展的今天，也深刻认识到了银行业制度建设的重要性。因此，中国政府金融管理部门应该建立一套完善的银行信息安全管理法规体系，对一切触碰法律底线的不法分子，给予严重的处罚。

（二）银行方面

中小型银行应该切实提高风险意识，根据自身的经济实力、营业状况、发展规划、业务特点等多方面多角度积极构建合理、高效、实用的安全管理体系，同时，也要加强银行工作人员的信息安全意识，发现信息漏洞及时进行处理。

1.制定信息安全管理体系建设总体目标

中小型银行应该将银行信息安全管理体系建设纳入银行发展总体规划中，统筹安排，从人、财、物等方面通盘考虑，适时引入外部先进的管理方式，建立统一全面的信息安全政策、标准与规范体系。中小型银行必须重视信息安全系统架构的搭建，明确阶段性建设目标，力争在前期以最少的资金投入获得高标准的信息服务和安全保障。

2.制定安全专业人才开发战略

根据实际情况分层次、分步骤培养信息科技人才，培养懂管理、懂技术、懂业务的复合型管理人才，要通过引进专业人才等手段更新知识和人员结构，充分调动科技人员的积极性，对于有突出贡献的人员和团队给予适当的奖励，不断激发科技人员的归属感，强化科技队伍的培训，实现科技人员知识结构的不断更新，开展信息安全保密教育，提高科技人员的安全防范意识，实行重要岗位AB角制度，避免因科技人员的流失造成科技工作中断，确保科技工作的连续性。

3.完善内部信息安全管理机制

设立相对独立的信息安全监督部门，赋予其对信息安全决策、管理和执行进行监督的职能，定期对信息系统的风险检测调查研究、评估、分析，排查信息风险的漏洞，并形成专门的报告，为银行管理层的决策提供参考和科学依据。完善内部考核机制，实行安全事件"一票否决"，管理人员、操作人员、系统管理员及其他相关人员实行"谁使用谁负责"、"谁主管谁负责"的原则，明确划分责任。

四、总结

在目前，我国许多中小型银行的信息安全系统还未真正完善，在安全防护技术上也存在弱项，但我坚信只要国家、政府、银行内部管理人员重视起来，加强对银行内部信息安全系统的监督。我相信经过我们的共同努力，我国中小型银行信息安全建设定能带来质的突破。

参考文献：

[1]彭金辉.准公共品视角下银行业监管模式的探讨[J].国家行政学院学报，2011，（03）

[2]江松.国内银行IT外包的优势、风险与对策[J].中国证券期货，2012，（12）

[3]李振汕.对网络信息安全法律若干问题的研究[J].网络安全技术与应用，2010（1）