论文部分内容阅读
前言
近年来,信息技术在金融业广泛应用并日渐深入,正在改变着支付与结算、资金融通与转移、风险管理、信息查询等金融基本功能的实现方式,金融业对信息技术的依赖程度日益提高,金融信息系统的开放性进一步增强,信息安全保障难度加大,给我国金融业信息安全管理带来新的挑战,同时也给人民银行在“十二五”时期履行好金融业信息安全管理职能带来新的考验。本文以维护金融稳定特别是维护金融业信息安全为视角,以西双版纳州辖内银行业金融机构为例,对全州金融业信息安全状况进行调查分析,力求为基层人民银行更好地履行金融业信息安全管理职能提供决策参考。
一、西双版纳州金融业信息化发展现状
近年来,随着国家继续实施西部大开发战略,实施把云南建设成为中国面向西南开放的“桥头堡”战略,随着中国-东盟自由贸易区建成和澜沧江-湄公河次区域合作不断深入,西双版纳以生物多样性为特点的自然资源优势和以毗邻东南亚为特征的区位条件优势逐渐显现。“十一五”期间,西双版纳州经济与金融良性互动,货币资本与实体经济比翼双飞,全州金融业实现历史性的新跨越,全州金融组织体系不断健全,全面消除了金融服务机构空白乡镇;金融机构存贷款余额实现翻番,金融机构以强劲地信贷资金投入支撑了全州经济快速发展。截止2010年末,全州有10家银行业,共有金融机构营业网点137个、从业人员1407人;全州金融机构各项人民币存款余额256.88亿元,比上年末增长27.22%,全年累计增加存款54.97亿元,年度存款增量创历史新高;全州金融机构各项贷款余额145.29亿元,比上年末增长20.92%,全年累计增加贷款25.14亿元,年度贷款增量创历史新高。金融业快速发展的同时,也给人民银行履行金融稳定职能特别是履行金融信息安全管理职能带来了新的挑战。
据调查显示,随着金融业的快速发展,辖内各金融机构信息化建设水平得到了持续改进和提高,初步建成了规范、方便、高效的信息化服务体系,从调查情况看,目前西双版纳州金融业信息安全状况总体良好,主要表现为:
——信息安全组织机构健全。近年来,全州各金融机构逐年加强对金融信息安全的重视,现场调查显示,目前除小额贷款公司主要依靠传统手工方式开展业务外,其他金融机构均设置有科技部门或科技岗位,机构及岗位职责明确,相关人员对金融信息安全形势及自身的信息安全管理情况把握比较准确,能够较好的履行信息安全管理职责,基本建立起一套较为完备的信息安全工作组织体系,为全州金融信息安全管理工作的开展提供了组织保障。
——信息安全管理水平稳步提高。一是各金融机构都建立相应信息安全管理制度,部分金融机构还高度重视对干部职工的信息安全教育,制定有相应的信息安全奖惩措施,提高了信息安全思想防线;二是信息化的快速发展助推信息安全工作的持续进步,特别是以综合业务系统整合、数据集中为主要特征的银行信息化发展到了一个新的阶段,总体看,各金融机构基本都建成了较为成熟的信息化支撑保障平台,金融业务数据全部实现省级以上的集中,地市分支机构基本无数据和相应的服务器设备,金融业务数据和办公数据全部实现网络物理隔离,金融业务数据安全传输可控水平进一步增强。
二、西双版纳州金融业信息化发展及信息安全管理存在的主要问题
调查显示,尽管西双版纳州金融业信息安全管理水平在近年得到了较大提高,建立起初步的信息安全管理体系,但也仍然存在一些亟待解决的问题,各金融机构信息化发展中对信息安全的整体解决方案考虑不够,存在不同程度的管理缺陷,制约了管理效率的提高。部分大银行和新兴中小金融机构,由于信息化建设起步较晚,信息化服务和信息安全保障水平仍较低,整个金融业呈现出“信息化建设及安全保障能力差异性大”的特点,金融业的信息安全保障还面临诸多问题。
(一)金融业信息化发展及安全管理水平差异明显,行业监管难度较大
调查发现,金融机构地市分支机构没有信息化建设的自主规划及建设权限,各金融机构的信息化建设主要依靠其总部或省级机构进行统一规划和组织实施,各金融机构的信息化战略自成体系、差异较大,主要体现在数据集中层次和系统整合程度差异明显,网络架构及网络保障水平、ATM设备及客户端安全监控管理水平参差不齐,其中以中国银行、建设银行等为代表的部分国有大型商业银行目前的信息化建设已取得较好成效,无论是在系统整合、数据集中乃至网络建设等方面都已达到了较高的水平,处于相对稳定的状态。而另一方面,人民银行及部分大型国有商业银行的信息化仍处于大规模建设之中,人民银行目前的数据集中及系统整合工作仍处于初级阶段,中国农业银行也正处于大规模的信息化建设进程之中,邮政储蓄银行目前还与中国邮政共用网络设备及线路,云南省农村信用联社目前还未建立灾难备份中心,其他中小金融机构由于其信息化建设起步晚,在人员教育培训、安全意识等方面相对薄弱,无论是在信息化建设还是在安全管理方面都还处于起步阶段,信息化支持金融业务发展的能力相对较弱。
(二)缺乏行业级信息化及安全管理标准,信息安全监管面临操作难题
与金融业信息化的高速发展相比,金融业信息安全的指導、监管工作还需进一步加强。人民银行在金融信息化规划、信息标准、信息安全等诸多方面承担着重要职责,特别是在面对高科技企业及综合服务机构巨大冲击的情况下,金融业必然要依靠信息化以实现从传统金融机构向现代金融服务业的转变,金融信息化和信息安全管理将是一个动态发展变化的过程,而从当前情况看,人民银行对金融机构信息安全工作的指导和监管,还处于初级探索阶段,特别是人民银行各分支机构对各金融机构信息安全的指导和监管目标还缺乏完整全面的认识,缺乏监督管理的依据标准及相应的监管操作实施细则,加之相应的人才队伍储备不足,从而导致监管措施不到位,监管手段缺失,致使基层人民银行对金融业信息安全监管缺乏主动性,金融机构对人民银行履行金融信息安全管理职能的认同感不高,监管效果不明显。
(三)信息安全人员队伍素质与信息安全形势发展需要存在差距
从科技人员配备来看,目前辖内除农行由于机构网点较多而配备有一定数量科技人员以外,其他金融机构基本仅有一名兼职科技人员,整体看各金融机构的基层科技人员定位正处于不断弱化的趋势,绝大部分金融机构的信息安全管理职能已逐步上收,风险点逐步上移,对于信息化建设水平较高的金融机构而言,基层金融机构科技工作及信息安全工作的淡化是信息化建设进步的必然趋势,而对于那些还处于信息化建设快速发展的金融机构乃至中小金融机构而言,科技人员配备不足必然会造成一定的信息安全风险隐患。
从人民银行的信息安全队伍建设来看,当前人民银行自身的信息化建设还处于蓬勃发展中,系统整合、数据集中仍处于不断探索过程,信息化基础设施仍较为薄弱,随着人民银行自身信息安全管理要求的逐步提高,人民银行自身的信息安全管理也面临巨大挑战,而从履行金融业信息安全的角度来看,由于金融业信息化发展差异较大、涉及面广,对人民银行的信息安全管理队伍建设提出了更高的要求,而当前地市人民银行仅有一名兼职的信息安全管理人员,无论从数量还是素质上都难以适应当前金融业的信息安全管理要求。
三、推动金融业信息安全管理的意见和建议
在新形势下如何指导和协调金融业信息化建设和信息安全管理,是人民银行需要认真思考的问题。金融业信息安全管理是防范和化解金融风险、维护金融稳定工作的重要组成部分,要依靠法律、管理机制、技术保障等多方面相互配合,形成一个完整的安全保障体系,从根本上降低安全运行风险,形成金融业安全稳定的良好局面。
(一)加强调查研究,明确金融信息安全工作的目标和思路
人民银行科技部门要认清形势、顺应发展、深入思考各层级人民银行分支机构在金融信息化建设和信息安全管理中的作用地位,面对金融业信息化发展及信息安全管理的巨大差异,人民银行应进一步加强调查研究,一方面要加强对人民银行基层行的调查研究,切实处理好基层人民银行信息化建设与人民银行职责履行的关系,不断优化人民银行网络及系统架构,进一步加快基层行业务、办公、安全运维类系统的整合和集中,更加关注信息安全的整体解决方案,找准基层央行内部信息安全工作的重点。其次是要加强对地方法人金融机构及中小金融机构信息化和信息安全的研究,切实掌握金融业信息化发展及信息安全管理现状,充分借鉴国内外成功经验,不断探索传统金融行业向现代金融服务业转型的有效途径,深入分析研究金融业信息安全风险隐患,进一步明确金融信息化及信息安全管理工作的目标和思路,明确金融业信息化技术架构和管理框架,从而为有针对性地制定对金融业的信息化及信息安全发展规划指引及制度保障体系打下基础。
(二)加快构筑金融信息安全工作的制度保障体系
一是要在充分调查研究的基础上,加快金融业信息化及安全管理的制度体系建设,明确金融信息安全管理工作中人民银行及各金融机构的职责权利,特别是要明确人民银行各级分支机构的职责要求,其中总分行应侧重于制定标准和对全国性金融机构的监督管理,人民银行基层分支机构应加强对地方法人金融机构及中小金融机构的服务指导,逐步构建科学合理的组织分工体系,确实发挥央行在履行金融信息安全管理指导、标准化战略制定等方面的重要作用,借鉴国内外成功经验,尽快出台金融业信息化发展及信息安全建设规划指引,加强信息化规划指导和管理,稳步推进系统整合、数据集中、灾备中心建设、银行卡联网通用、网上银行及第三方支付平台安全控制规范、外包服务管理、客户端安全控制规范、系统等级保护等一系列基础工作的深入开展,明确金融业信息化的技术架构体系和软硬件选型要求,稳步减少对国外技术和产品的依赖,逐步构筑高效、安全的金融信息化服务保障体系。二是要结合金融业的不同实际,区别对待,尽快出台金融业信息安全检查管理办法、金融信息安全事件报告制度、金融信息安全事件通报制度、接入人民银行信息系统管理办法,明确标准要求和操作程序,确实增强信息安全管理工作的可操作性,进一步推动信息安全工作的长足发展。
(三)努力打造金融业信息安全管理工作平台
一是要努力营造金融业信息安全管理工作履职氛围。加大宣传培训,切实把金融信息安全工作放到維护金融稳定的高度来抓,加大对金融信息安全事件的查处和通报力度,不断增强金融机构对信息安全工作的重视程度,使其进一步认清人民银行在金融信息安全管理监督工作中的重要作用,营造良好的金融信息安全履职环境。二是要搭建金融信息安全工作沟通协调机制,通过建立定期联席会议制度、建设信息安全监督管理系统、畅通安全信息交互沟通渠道、明确信息安全事件应急管理处置流程等多种手段,不断增强金融信息安全管理效率,促进信息安全管理监督工作的顺利开展。
(四)重视信息安全人才队伍培养,增强信息安全保障能力
面对金融业信息化发展及安全管理现状的巨大差异,人民银行务必高度重视信息安全工作队伍的培养工作,确实打造一支业务素质高、工作能力强的信息安全工作队伍,为人民银行确实履行好金融业信息安全管理职责做好人才智力保障;各金融机构也应按照金融机构信息化发展及信息安全建设规划要求,配备一定数量的信息安全管理人员,减少在人员上对外部或对上级的过度依赖,增强自主运行维护管理能力、提高对大集中之后分散风险的处置能力,切实保障信息安全工作的连续性和稳定性。
组长:马咏洪
成员:孙翌 徐文柱 应云波 玉罕迈(执笔)
近年来,信息技术在金融业广泛应用并日渐深入,正在改变着支付与结算、资金融通与转移、风险管理、信息查询等金融基本功能的实现方式,金融业对信息技术的依赖程度日益提高,金融信息系统的开放性进一步增强,信息安全保障难度加大,给我国金融业信息安全管理带来新的挑战,同时也给人民银行在“十二五”时期履行好金融业信息安全管理职能带来新的考验。本文以维护金融稳定特别是维护金融业信息安全为视角,以西双版纳州辖内银行业金融机构为例,对全州金融业信息安全状况进行调查分析,力求为基层人民银行更好地履行金融业信息安全管理职能提供决策参考。
一、西双版纳州金融业信息化发展现状
近年来,随着国家继续实施西部大开发战略,实施把云南建设成为中国面向西南开放的“桥头堡”战略,随着中国-东盟自由贸易区建成和澜沧江-湄公河次区域合作不断深入,西双版纳以生物多样性为特点的自然资源优势和以毗邻东南亚为特征的区位条件优势逐渐显现。“十一五”期间,西双版纳州经济与金融良性互动,货币资本与实体经济比翼双飞,全州金融业实现历史性的新跨越,全州金融组织体系不断健全,全面消除了金融服务机构空白乡镇;金融机构存贷款余额实现翻番,金融机构以强劲地信贷资金投入支撑了全州经济快速发展。截止2010年末,全州有10家银行业,共有金融机构营业网点137个、从业人员1407人;全州金融机构各项人民币存款余额256.88亿元,比上年末增长27.22%,全年累计增加存款54.97亿元,年度存款增量创历史新高;全州金融机构各项贷款余额145.29亿元,比上年末增长20.92%,全年累计增加贷款25.14亿元,年度贷款增量创历史新高。金融业快速发展的同时,也给人民银行履行金融稳定职能特别是履行金融信息安全管理职能带来了新的挑战。
据调查显示,随着金融业的快速发展,辖内各金融机构信息化建设水平得到了持续改进和提高,初步建成了规范、方便、高效的信息化服务体系,从调查情况看,目前西双版纳州金融业信息安全状况总体良好,主要表现为:
——信息安全组织机构健全。近年来,全州各金融机构逐年加强对金融信息安全的重视,现场调查显示,目前除小额贷款公司主要依靠传统手工方式开展业务外,其他金融机构均设置有科技部门或科技岗位,机构及岗位职责明确,相关人员对金融信息安全形势及自身的信息安全管理情况把握比较准确,能够较好的履行信息安全管理职责,基本建立起一套较为完备的信息安全工作组织体系,为全州金融信息安全管理工作的开展提供了组织保障。
——信息安全管理水平稳步提高。一是各金融机构都建立相应信息安全管理制度,部分金融机构还高度重视对干部职工的信息安全教育,制定有相应的信息安全奖惩措施,提高了信息安全思想防线;二是信息化的快速发展助推信息安全工作的持续进步,特别是以综合业务系统整合、数据集中为主要特征的银行信息化发展到了一个新的阶段,总体看,各金融机构基本都建成了较为成熟的信息化支撑保障平台,金融业务数据全部实现省级以上的集中,地市分支机构基本无数据和相应的服务器设备,金融业务数据和办公数据全部实现网络物理隔离,金融业务数据安全传输可控水平进一步增强。
二、西双版纳州金融业信息化发展及信息安全管理存在的主要问题
调查显示,尽管西双版纳州金融业信息安全管理水平在近年得到了较大提高,建立起初步的信息安全管理体系,但也仍然存在一些亟待解决的问题,各金融机构信息化发展中对信息安全的整体解决方案考虑不够,存在不同程度的管理缺陷,制约了管理效率的提高。部分大银行和新兴中小金融机构,由于信息化建设起步较晚,信息化服务和信息安全保障水平仍较低,整个金融业呈现出“信息化建设及安全保障能力差异性大”的特点,金融业的信息安全保障还面临诸多问题。
(一)金融业信息化发展及安全管理水平差异明显,行业监管难度较大
调查发现,金融机构地市分支机构没有信息化建设的自主规划及建设权限,各金融机构的信息化建设主要依靠其总部或省级机构进行统一规划和组织实施,各金融机构的信息化战略自成体系、差异较大,主要体现在数据集中层次和系统整合程度差异明显,网络架构及网络保障水平、ATM设备及客户端安全监控管理水平参差不齐,其中以中国银行、建设银行等为代表的部分国有大型商业银行目前的信息化建设已取得较好成效,无论是在系统整合、数据集中乃至网络建设等方面都已达到了较高的水平,处于相对稳定的状态。而另一方面,人民银行及部分大型国有商业银行的信息化仍处于大规模建设之中,人民银行目前的数据集中及系统整合工作仍处于初级阶段,中国农业银行也正处于大规模的信息化建设进程之中,邮政储蓄银行目前还与中国邮政共用网络设备及线路,云南省农村信用联社目前还未建立灾难备份中心,其他中小金融机构由于其信息化建设起步晚,在人员教育培训、安全意识等方面相对薄弱,无论是在信息化建设还是在安全管理方面都还处于起步阶段,信息化支持金融业务发展的能力相对较弱。
(二)缺乏行业级信息化及安全管理标准,信息安全监管面临操作难题
与金融业信息化的高速发展相比,金融业信息安全的指導、监管工作还需进一步加强。人民银行在金融信息化规划、信息标准、信息安全等诸多方面承担着重要职责,特别是在面对高科技企业及综合服务机构巨大冲击的情况下,金融业必然要依靠信息化以实现从传统金融机构向现代金融服务业的转变,金融信息化和信息安全管理将是一个动态发展变化的过程,而从当前情况看,人民银行对金融机构信息安全工作的指导和监管,还处于初级探索阶段,特别是人民银行各分支机构对各金融机构信息安全的指导和监管目标还缺乏完整全面的认识,缺乏监督管理的依据标准及相应的监管操作实施细则,加之相应的人才队伍储备不足,从而导致监管措施不到位,监管手段缺失,致使基层人民银行对金融业信息安全监管缺乏主动性,金融机构对人民银行履行金融信息安全管理职能的认同感不高,监管效果不明显。
(三)信息安全人员队伍素质与信息安全形势发展需要存在差距
从科技人员配备来看,目前辖内除农行由于机构网点较多而配备有一定数量科技人员以外,其他金融机构基本仅有一名兼职科技人员,整体看各金融机构的基层科技人员定位正处于不断弱化的趋势,绝大部分金融机构的信息安全管理职能已逐步上收,风险点逐步上移,对于信息化建设水平较高的金融机构而言,基层金融机构科技工作及信息安全工作的淡化是信息化建设进步的必然趋势,而对于那些还处于信息化建设快速发展的金融机构乃至中小金融机构而言,科技人员配备不足必然会造成一定的信息安全风险隐患。
从人民银行的信息安全队伍建设来看,当前人民银行自身的信息化建设还处于蓬勃发展中,系统整合、数据集中仍处于不断探索过程,信息化基础设施仍较为薄弱,随着人民银行自身信息安全管理要求的逐步提高,人民银行自身的信息安全管理也面临巨大挑战,而从履行金融业信息安全的角度来看,由于金融业信息化发展差异较大、涉及面广,对人民银行的信息安全管理队伍建设提出了更高的要求,而当前地市人民银行仅有一名兼职的信息安全管理人员,无论从数量还是素质上都难以适应当前金融业的信息安全管理要求。
三、推动金融业信息安全管理的意见和建议
在新形势下如何指导和协调金融业信息化建设和信息安全管理,是人民银行需要认真思考的问题。金融业信息安全管理是防范和化解金融风险、维护金融稳定工作的重要组成部分,要依靠法律、管理机制、技术保障等多方面相互配合,形成一个完整的安全保障体系,从根本上降低安全运行风险,形成金融业安全稳定的良好局面。
(一)加强调查研究,明确金融信息安全工作的目标和思路
人民银行科技部门要认清形势、顺应发展、深入思考各层级人民银行分支机构在金融信息化建设和信息安全管理中的作用地位,面对金融业信息化发展及信息安全管理的巨大差异,人民银行应进一步加强调查研究,一方面要加强对人民银行基层行的调查研究,切实处理好基层人民银行信息化建设与人民银行职责履行的关系,不断优化人民银行网络及系统架构,进一步加快基层行业务、办公、安全运维类系统的整合和集中,更加关注信息安全的整体解决方案,找准基层央行内部信息安全工作的重点。其次是要加强对地方法人金融机构及中小金融机构信息化和信息安全的研究,切实掌握金融业信息化发展及信息安全管理现状,充分借鉴国内外成功经验,不断探索传统金融行业向现代金融服务业转型的有效途径,深入分析研究金融业信息安全风险隐患,进一步明确金融信息化及信息安全管理工作的目标和思路,明确金融业信息化技术架构和管理框架,从而为有针对性地制定对金融业的信息化及信息安全发展规划指引及制度保障体系打下基础。
(二)加快构筑金融信息安全工作的制度保障体系
一是要在充分调查研究的基础上,加快金融业信息化及安全管理的制度体系建设,明确金融信息安全管理工作中人民银行及各金融机构的职责权利,特别是要明确人民银行各级分支机构的职责要求,其中总分行应侧重于制定标准和对全国性金融机构的监督管理,人民银行基层分支机构应加强对地方法人金融机构及中小金融机构的服务指导,逐步构建科学合理的组织分工体系,确实发挥央行在履行金融信息安全管理指导、标准化战略制定等方面的重要作用,借鉴国内外成功经验,尽快出台金融业信息化发展及信息安全建设规划指引,加强信息化规划指导和管理,稳步推进系统整合、数据集中、灾备中心建设、银行卡联网通用、网上银行及第三方支付平台安全控制规范、外包服务管理、客户端安全控制规范、系统等级保护等一系列基础工作的深入开展,明确金融业信息化的技术架构体系和软硬件选型要求,稳步减少对国外技术和产品的依赖,逐步构筑高效、安全的金融信息化服务保障体系。二是要结合金融业的不同实际,区别对待,尽快出台金融业信息安全检查管理办法、金融信息安全事件报告制度、金融信息安全事件通报制度、接入人民银行信息系统管理办法,明确标准要求和操作程序,确实增强信息安全管理工作的可操作性,进一步推动信息安全工作的长足发展。
(三)努力打造金融业信息安全管理工作平台
一是要努力营造金融业信息安全管理工作履职氛围。加大宣传培训,切实把金融信息安全工作放到維护金融稳定的高度来抓,加大对金融信息安全事件的查处和通报力度,不断增强金融机构对信息安全工作的重视程度,使其进一步认清人民银行在金融信息安全管理监督工作中的重要作用,营造良好的金融信息安全履职环境。二是要搭建金融信息安全工作沟通协调机制,通过建立定期联席会议制度、建设信息安全监督管理系统、畅通安全信息交互沟通渠道、明确信息安全事件应急管理处置流程等多种手段,不断增强金融信息安全管理效率,促进信息安全管理监督工作的顺利开展。
(四)重视信息安全人才队伍培养,增强信息安全保障能力
面对金融业信息化发展及安全管理现状的巨大差异,人民银行务必高度重视信息安全工作队伍的培养工作,确实打造一支业务素质高、工作能力强的信息安全工作队伍,为人民银行确实履行好金融业信息安全管理职责做好人才智力保障;各金融机构也应按照金融机构信息化发展及信息安全建设规划要求,配备一定数量的信息安全管理人员,减少在人员上对外部或对上级的过度依赖,增强自主运行维护管理能力、提高对大集中之后分散风险的处置能力,切实保障信息安全工作的连续性和稳定性。
组长:马咏洪
成员:孙翌 徐文柱 应云波 玉罕迈(执笔)