1.樹立金融信息安全風(fēng)險(xiǎn)全局意識(shí)
黨中央��、國務(wù)院高度重視信息安全問題,2012年6月28日下發(fā)的《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國發(fā)〔2012〕23號(hào))�,首次并列提及信息化發(fā)展和信息安全問題����,強(qiáng)調(diào)在安全中求發(fā)展��、發(fā)展中不忘安全的理念�。近幾年來��,隨著金融業(yè)競(jìng)爭(zhēng)的日益嚴(yán)峻����,“重發(fā)展�、輕管理�,重開發(fā)、輕維護(hù)”的現(xiàn)象在金融業(yè)屢見不鮮�,相關(guān)從業(yè)者對(duì)金融信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)仍停留在解決具體技術(shù)故障的層面�,缺乏全局性的統(tǒng)籌考慮��。一旦某家金融機(jī)構(gòu)系統(tǒng)出現(xiàn)故障����,影響客戶的業(yè)務(wù)辦理����,再加上媒體的炒作,局面將非常復(fù)雜,后果不堪設(shè)想�。因此����,金融從業(yè)者要從安全�、穩(wěn)定和可持續(xù)發(fā)展的大局出發(fā),將金融信息安全管理作為一項(xiàng)綜合性和長期性的工作來抓,深刻認(rèn)識(shí)到技術(shù)支撐業(yè)務(wù)����,業(yè)務(wù)與技術(shù)融合的發(fā)展趨勢(shì)����,把防范和化解金融信息安全風(fēng)險(xiǎn)納入金融業(yè)全面風(fēng)險(xiǎn)管理體系當(dāng)中�。
2.構(gòu)建集中化的安全生產(chǎn)運(yùn)維體系
有效的信息安全管理,除了風(fēng)險(xiǎn)事件形成和爆發(fā)后的干預(yù)和補(bǔ)救外,關(guān)鍵還在于事先預(yù)防�。如果預(yù)防工作到位��,可以最大限度地減少突發(fā)事件所造成的危機(jī)和損失。目前�,我國銀行業(yè)機(jī)構(gòu)幾乎在總行集中所有業(yè)務(wù)應(yīng)用系統(tǒng)����,系統(tǒng)架構(gòu)和相互關(guān)聯(lián)程度日趨復(fù)雜,僅靠傳統(tǒng)的分散的運(yùn)維工具和幾名技術(shù)骨干已經(jīng)不能解決全部問題�,所以迫切需要建立一套有管理����、可控制的集中化的生產(chǎn)運(yùn)維體系����。建立集中化的生產(chǎn)運(yùn)維體系�,可通過成立集中運(yùn)維中心,對(duì)關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行集中管控�,完成全系統(tǒng)所有的日常運(yùn)維管理工作��。同時(shí),建立安全可控的生產(chǎn)運(yùn)維技術(shù)指標(biāo)體系,將影響系統(tǒng)安全穩(wěn)定運(yùn)行的潛在風(fēng)險(xiǎn)因素進(jìn)行指標(biāo)量化。加強(qiáng)日常監(jiān)控分析,對(duì)運(yùn)維監(jiān)控中發(fā)現(xiàn)的各種異?,F(xiàn)象��,及時(shí)分析并加以處理。動(dòng)態(tài)調(diào)整量化監(jiān)控指標(biāo),提升IT基礎(chǔ)設(shè)施運(yùn)維效能和效率��。此外�,分支機(jī)構(gòu)的運(yùn)維部門只負(fù)責(zé)本地網(wǎng)絡(luò)和用戶終端等的運(yùn)維工作,不負(fù)責(zé)大集中系統(tǒng)的運(yùn)維管理。集中生產(chǎn)運(yùn)維模式的特點(diǎn)在于運(yùn)維資源得到集中和共享,能夠減少事件處理環(huán)節(jié)進(jìn)而縮短事件響應(yīng)時(shí)間�;通過統(tǒng)一集中管理�,加強(qiáng)運(yùn)行管理的可控性�,能夠降低安全風(fēng)險(xiǎn),提高管理效率和管理質(zhì)量;有利于上級(jí)單位對(duì)基層部門的系統(tǒng)應(yīng)用情況進(jìn)行統(tǒng)一監(jiān)控��、集中管理����,實(shí)現(xiàn)經(jīng)營的精細(xì)化及精確化。
3.完善以保障業(yè)務(wù)連續(xù)性為目標(biāo)的風(fēng)險(xiǎn)管理體系
業(yè)務(wù)連續(xù)性管理是指當(dāng)自然災(zāi)害�、人為破壞和技術(shù)故障等原因影響業(yè)務(wù)運(yùn)營或造成業(yè)務(wù)中斷事件發(fā)生時(shí)��,確保關(guān)鍵業(yè)務(wù)在一定時(shí)間內(nèi)持續(xù)運(yùn)營或及時(shí)恢復(fù)的一整套管理體系,以降低災(zāi)難事件或突發(fā)事件對(duì)銀行資金及聲譽(yù)造成的損失,提高風(fēng)險(xiǎn)防范和抵御能力��。國際權(quán)威調(diào)研機(jī)構(gòu)Gartner公司的研究報(bào)告顯示�,大約有85%的全球性企業(yè)實(shí)施了災(zāi)難恢復(fù)計(jì)劃,但是僅有15%的企業(yè)具備完善的業(yè)務(wù)連續(xù)性計(jì)劃,即僅有少數(shù)企業(yè)的災(zāi)難恢復(fù)計(jì)劃以保障業(yè)務(wù)連續(xù)性為目標(biāo)。業(yè)務(wù)連續(xù)性管理是一項(xiàng)綜合管理流程��,相對(duì)于災(zāi)難恢復(fù)��,其更像是一個(gè)“IT+業(yè)務(wù)+管理”的混合體�。它使銀行認(rèn)識(shí)到潛在的業(yè)務(wù)危機(jī)和相關(guān)影響�,并制定業(yè)務(wù)連續(xù)性的恢復(fù)計(jì)劃。完善的業(yè)務(wù)連續(xù)性管理體系包括:一是建立完善的政策制度和組織體系,明確管理職責(zé)、管理策略、管理工具和管理流程;二是擁有專用的備用設(shè)施和恢復(fù)場(chǎng)地,實(shí)現(xiàn)從單一的IT災(zāi)備管理到全面業(yè)務(wù)連續(xù)性管理的過程,保障各項(xiàng)業(yè)務(wù)的迅速恢復(fù)��;三是建立完善的應(yīng)急響應(yīng)和恢復(fù)預(yù)案體系����,從預(yù)案覆蓋范圍��、種類�、制定�、審核、維護(hù)等方面進(jìn)行明確規(guī)定�,并進(jìn)行不間斷的演練和持續(xù)性的改進(jìn)��,確保預(yù)案的有效性;四是積極推廣業(yè)務(wù)連續(xù)性管理文化��,加深員工對(duì)業(yè)務(wù)連續(xù)性的理解和認(rèn)知�,提高員工業(yè)務(wù)連續(xù)性管理意識(shí)。我國銀行業(yè)信息安全風(fēng)險(xiǎn)管理體系應(yīng)在完善災(zāi)難備份體系建設(shè)�、提升應(yīng)急處置能力的基礎(chǔ)上�,逐步向業(yè)務(wù)連續(xù)性管理的方向邁進(jìn)�。
作者:鄭冬蔚 單位:中國人民銀行沈陽分行