1.樹立金融信息安全風險全局意識
黨中央、國務院高度重視信息安全問題����,2012年6月28日下發(fā)的《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)〔2012〕23號),首次并列提及信息化發(fā)展和信息安全問題����,強調(diào)在安全中求發(fā)展�、發(fā)展中不忘安全的理念����。近幾年來�,隨著金融業(yè)競爭的日益嚴峻,“重發(fā)展、輕管理�,重開發(fā)���、輕維護”的現(xiàn)象在金融業(yè)屢見不鮮��,相關(guān)從業(yè)者對金融信息安全風險的認識仍停留在解決具體技術(shù)故障的層面,缺乏全局性的統(tǒng)籌考慮���。一旦某家金融機構(gòu)系統(tǒng)出現(xiàn)故障,影響客戶的業(yè)務辦理����,再加上媒體的炒作����,局面將非常復雜��,后果不堪設(shè)想��。因此,金融從業(yè)者要從安全、穩(wěn)定和可持續(xù)發(fā)展的大局出發(fā),將金融信息安全管理作為一項綜合性和長期性的工作來抓����,深刻認識到技術(shù)支撐業(yè)務���,業(yè)務與技術(shù)融合的發(fā)展趨勢�,把防范和化解金融信息安全風險納入金融業(yè)全面風險管理體系當中���。
2.構(gòu)建集中化的安全生產(chǎn)運維體系
有效的信息安全管理���,除了風險事件形成和爆發(fā)后的干預和補救外����,關(guān)鍵還在于事先預防�����。如果預防工作到位�,可以最大限度地減少突發(fā)事件所造成的危機和損失�����。目前��,我國銀行業(yè)機構(gòu)幾乎在總行集中所有業(yè)務應用系統(tǒng),系統(tǒng)架構(gòu)和相互關(guān)聯(lián)程度日趨復雜����,僅靠傳統(tǒng)的分散的運維工具和幾名技術(shù)骨干已經(jīng)不能解決全部問題����,所以迫切需要建立一套有管理���、可控制的集中化的生產(chǎn)運維體系����。建立集中化的生產(chǎn)運維體系�����,可通過成立集中運維中心,對關(guān)鍵服務器�����、網(wǎng)絡設(shè)備和安全設(shè)備進行集中管控��,完成全系統(tǒng)所有的日常運維管理工作。同時�,建立安全可控的生產(chǎn)運維技術(shù)指標體系��,將影響系統(tǒng)安全穩(wěn)定運行的潛在風險因素進行指標量化。加強日常監(jiān)控分析����,對運維監(jiān)控中發(fā)現(xiàn)的各種異?����,F(xiàn)象,及時分析并加以處理���。動態(tài)調(diào)整量化監(jiān)控指標,提升IT基礎(chǔ)設(shè)施運維效能和效率��。此外�,分支機構(gòu)的運維部門只負責本地網(wǎng)絡和用戶終端等的運維工作,不負責大集中系統(tǒng)的運維管理���。集中生產(chǎn)運維模式的特點在于運維資源得到集中和共享,能夠減少事件處理環(huán)節(jié)進而縮短事件響應時間����;通過統(tǒng)一集中管理����,加強運行管理的可控性��,能夠降低安全風險��,提高管理效率和管理質(zhì)量;有利于上級單位對基層部門的系統(tǒng)應用情況進行統(tǒng)一監(jiān)控���、集中管理�����,實現(xiàn)經(jīng)營的精細化及精確化�。
3.完善以保障業(yè)務連續(xù)性為目標的風險管理體系
業(yè)務連續(xù)性管理是指當自然災害�、人為破壞和技術(shù)故障等原因影響業(yè)務運營或造成業(yè)務中斷事件發(fā)生時,確保關(guān)鍵業(yè)務在一定時間內(nèi)持續(xù)運營或及時恢復的一整套管理體系,以降低災難事件或突發(fā)事件對銀行資金及聲譽造成的損失��,提高風險防范和抵御能力���。國際權(quán)威調(diào)研機構(gòu)Gartner公司的研究報告顯示��,大約有85%的全球性企業(yè)實施了災難恢復計劃�,但是僅有15%的企業(yè)具備完善的業(yè)務連續(xù)性計劃����,即僅有少數(shù)企業(yè)的災難恢復計劃以保障業(yè)務連續(xù)性為目標。業(yè)務連續(xù)性管理是一項綜合管理流程,相對于災難恢復����,其更像是一個“IT+業(yè)務+管理”的混合體��。它使銀行認識到潛在的業(yè)務危機和相關(guān)影響,并制定業(yè)務連續(xù)性的恢復計劃。完善的業(yè)務連續(xù)性管理體系包括:一是建立完善的政策制度和組織體系��,明確管理職責�、管理策略、管理工具和管理流程;二是擁有專用的備用設(shè)施和恢復場地,實現(xiàn)從單一的IT災備管理到全面業(yè)務連續(xù)性管理的過程,保障各項業(yè)務的迅速恢復�;三是建立完善的應急響應和恢復預案體系���,從預案覆蓋范圍�、種類�、制定、審核��、維護等方面進行明確規(guī)定,并進行不間斷的演練和持續(xù)性的改進,確保預案的有效性���;四是積極推廣業(yè)務連續(xù)性管理文化�,加深員工對業(yè)務連續(xù)性的理解和認知,提高員工業(yè)務連續(xù)性管理意識。我國銀行業(yè)信息安全風險管理體系應在完善災難備份體系建設(shè)、提升應急處置能力的基礎(chǔ)上�����,逐步向業(yè)務連續(xù)性管理的方向邁進����。
作者:鄭冬蔚 單位:中國人民銀行沈陽分行