村镇银行信息安全管理现状探析

ｐｌ猫乏２０１４年・第４期栏目编辑：罗锦莉Ｅ－ｍａｉｌ：ｌｕｏｌ０２５００＠１６３ｃｏｒｎ●中国人民银行酒泉市中心支行于征武中国人民银行敦煌市支行薛梅王海宁村镇银行作为一个新兴的农村金融机构，在农村金融需求得不到满足和金融供给不足的条件下，对其投资所得的回报是十分可观的。特别是在国家政策的规范和市场商业利益的驱动下，其发展势头如雨后春笋。同时，随着农村金融体系的不断完善和农业经济的稳步发展，我国村镇银行在农村经济中扮演着越来越重要的角色。目前，我国村镇银行机构逐步发展成为服务“三农”和小微企业的新生力量。但通过对甘肃省１２家村镇银行了解和现场调查发现，支持其业务运转和发展的信息化建设严重滞后。随着现代银行对信息科技的依赖日益加剧，村镇银行如何破解信息化建设支持业务发展的难题已迫在眉睫。本文以甘肃省敦煌市辖内的金盛村镇银行的信息安全情况调查发现为例，对村镇银行的信息安全进行探讨。一．背景敦煌金盛村镇银行由敦煌农村合作银行发起，注册资金为１２００万元，于２００８年６月３０Ｅｌ正式挂牌营业。目前机构从业人数１４人，营业网点２√ｉ－ｏ截至２０１３年９月末，金盛村镇银行资产总额为１３２８４．５４万元，负债总额１１３６１．１３万元。各项存款１０９１２．３３万元，较年初增Ｊ］ｌｌ３３３．７７／元，增幅１３．９２％；各项贷款余额７０１０．９８７ｆ元，较年初增］１１１３９４．５４万元，增幅２４．８３％，存贷占比６４．２５％；完成营业收入６１７．６３万元，同比增加１１７．３７万元，增幅２３．４６％；本年累计实现账面利润２２８．５９万元，同比增加１５４．５５万元，增幅２０８．７３％；注册资金已增至１５００万元。＝．安全管觋状村镇银行当前的信息化建设在一定程度上支撑了９０Ｉ售ｐ胡拉哥代投稿邮箱：ｈｎｆｃ＠２ｌｃｎ．ｎｅｔ万方数据目前的业务发展，但从长远看却依然是制约业务深入全面发展的短板。通过对敦煌金盛村镇银行的调查发现，主要存在以下问题。（一）信息安全组织架构不完善据调查，金盛村镇银行的核心系统建设模式是依托发起行敦煌农村合作银行的模式，即村镇银行直接联网至省联社，由省联社提供的核心业务系统进行业务处理，其中银行的杨心数据备份、运行管理等等同于省联社对敦煌合作银行的管理操作，而村镇银行其自身关注的重点则在网络设备、线路及柜面设备的正常运行。目前村镇银行并未设立专职部门和人员管理本行的信息安全，而是完全依靠敦煌农村合作银行进行管理。（二）机房建设硬件设施不达标金盛村镇银行的信息科技投入不足，基础设施薄弱，如计算机房设计简单，机房供电、空调、主机、存储和网络等关键基础设施设备未实现冗余配备，且部分设备性能较差，安装达不到国家规定的安全运行环境标准，从而造成信息安全存在风险隐患。（三）系统连续性管理与应急能力不够一是系统风险隐患较大。金盛村镇银行核心系统较为简易，目前使用的系统是２０１１年８月由省联社开发并投入使用，需要经常进行补丁更新和升级，系统运行的稳定性和安全性较差。此外，村镇银行的杨Ｄ数据完全依托发起行，而本地发起行又由省联社统一进行管理和维护，且村镇银行本系统信息管理人员为单人，自身存在对系统了解不清、问题掌握不全面的现象，同时也存在数据泄密隐患，业务中断风险较大。二是应急管理能力较弱。由于目前金盛村镇银行采取的是外包给发起行的运维模式，相应的突发事件应急预案也只是延续了敦煌农村合作银行的相关方案，无法结合自身２０１４年・第４期栌目编辑罗锦莉Ｅ—ｍａｉｌ：ｌｕｏｌ０２５００＠１６３ｃｏｍ实际进行应急演练，一旦出现突发事故，将导致全行性的业务中断与客户流失，引起业务系统瘫痪，甚至造成社会不稳定。女１１２０１３年５月，酒泉电信局突然断网，直接造成金盛村镇银行全行性的业务系统停运达一个多小时。由于自身科技力量的限制和相关应急预案的缺失，村镇银行没有能力自行解决，单位负责人只能先向发起行反映，再通过省联社科技部门与酒泉电信局进行沟通、协调后才最终解决问题。（四）业务外包依赖程度高，管控能力弱一是金盛村镇银行由于机构规模小，没有能力自主开发系统建设，相应的系统信息安全技术完全由甘肃省联社科技部完成，而省联社科技部发展思路主要是针对全省的农村信用社业务发展而研发的，目前尚未开发针对村镇银行业务发展的相应系统；随着村镇银行业务发展的壮大，目前的运作系统很大程度上已无法满足农民１９益迫切的新兴电子化金融服务或产品的需求。二是目前的村镇银行科技力量薄弱，人员构成简单，尚无专职系统管理员和运维人员，出现系统问题只能向发起行“求救”，过度的依赖使得村镇银行自身无法对系统进行有效监管，势必导致系统运维管理的不规范。（五）信息发展管理意识淡薄一是村镇银行对信息化建设模式缺乏有效的分析和投人，没有研发出符合自身需求的信息模式；二是对信息发展意识不到位，目前的村镇银行关注最多的是存款、利润、收息、不良贷款等传统指标，对信息化建设的效益潜能分析不足；三是只重视信息发展的表面现象。据调查，金盛村镇银行虽然已根据《村镇银行信息科技建设与管理指引（征求意见稿）》、《商业银行信稿）》等，研究制订新的系统性发展规划，为加快村镇银行信息化技术规范和标准体系建设的步伐提供纲领性指导。（二）村镇银行应尽快依据自身情况选择合理的运维模式与大部分的商业银行相比，村镇银行数量较少、经济基础薄弱，结合金盛村镇银行实际情况及资金、人员等条件来看，要采取既节约成本，又能有效支持未来业务发展的运维模式。（三）建立完善的信息安全管理规章制度一是加强内控制度建设，做到“制度防内”。一方面，村镇银行应尽快完善信息安全组织架构，建立适当的信息安全管理委员会对信息安全政策进行审批，对安全权责进行分配，并协调单位内部安全政策的实施。二是建立信息安全防范体系，做到“技术防外”。一方面，村镇银行的发起行要加强灾难备份中心建设，完善信息安全应急恢复体系，加强安全监控；另一方面，村镇银行自身要进一步完善信息安全应急处置机制和信息通报机制，制定应急预案并进行演练，提高金融信息系统预警、应急处置和恢复能力，保障金融业务的连续、安全和稳定运行。（四）加强对村镇银行科技业务的指导发起行应发挥自身在信息科技工作方面的经验与优势，对村镇银行的科技工作进行指导和帮助。一是协助村镇银行制订信息科技战略规划，为村镇银行信息科技重大事项和决策提供专业建议，协助村镇银行开展信息科技建设及风险管理；二是加强村镇银行员工的信息安全教育，强化信息安全意识，避免因人为因素造成的信息安全事件发生；三是加强对信息科技管理专业人才的培养，建立＿支具备专业知识的监管队伍，既要掌握银行监管法律法规，还要对金融新产品、电子技术有相当的熟悉程度，探索出一套符合本行实际的信息科技监管体系。（五）将信息安全风险管理纳人村镇银行整体风险管理框架息科技风险管理指引》等，初步制定了《敦煌市金盛村镇银行计算机管理制度》、《敦煌市金盛村镇银行信息统计管理规定》等信息科技管理制度及操作流程，但对涉及信息安全管理的部分内容，却并未建立实际意义的信息安全管理制度。三．相关建议（一）出台村镇银行信息科技建设规范性文件加强村镇银行技术标准化建设是农村金融机构信一是村镇银行应努力在信息化建设过程中密切关注信息安全风险，将信息安全风险管理纳人银行整体风险管理框架中；二是建议相关部门对村镇银行实施监管时，充分考虑与其他银行的差异，采取有针对性的监管措施，督促村镇银行信息安全工作的息化建设的重要任氖银监会等相关部门对现有的村镇银行信息技术法规和标准进行全面检查、清理和规范，并根据《村镇银行信息科技建设与管理指引（征求意见有效开展。●投稿邮箱：ｈｎｆｃ＠２１ｃｎ．ｎｅｔ害ｐ褂置昔代Ｊ９１万方数据村镇银行信息安全管理现状探析

作者：

作者单位：刊名：英文刊名：年，卷(期)：

于征武， 薛梅， 王海宁

于征武(中国人民银行酒泉市中心支行)， 薛梅,王海宁(中国人民银行敦煌市支行)金融科技时代

Financial Technology Time2014(4)

本文链接：http://d.g.wanfangdata.com.cn/Periodical_hnjrdn201404038.aspx