本站原创【摘 要】协调和指导金融业信息安全成为央行的重要职能,由于经济发展的不平衡以及地域差异,新疆地方性中小金融机构的信息安全管理较为滞后,突发风险处理能力不足.本文基于金融机构IT应急管理的必要性,对现阶段新疆金融业应急管理存在的问题进行分析,提出了加强IT应急管理的合理化建议.
【关 键 词】信息安全;金融机构;突发风险;应急管理
随着金融信息化的发展,金融机构对信息系统的依赖性日益增强.而近年来,一系列信息安全事件和突发事件的发生,给我国金融业IT应急管理工作带来了严峻的挑战.新疆位于我国的最西部,经济发展相对滞后.虽然大型国有商业银行数据灾备系统比较完善,但辖区内的地方性中小金融机构由于资金投入不足、技术水平不高、安全意识薄弱等原因,对突发事件的处理能力相对薄弱,其IT应急管理工作有待重点关注.
一、IT应急管理的必要性
(一)响应国家政策,履行央行职能
随着我国央行职能的最新调整,协调和指导金融业信息安全成为人民银行的一项重要工作,而IT应急管理是信息安全的重要内容.因而,提高信息安全水平,提升风险处理能力成为我国金融业发展的重要步骤,而如何高效的进行IT应急管理是金融业亟待解决的问题.
(二)应对突发风险,加强安全管理
随着我国经济的快速发展,金融机构也加快了建设步伐.但由于经济发展存在地域差异,金融机构的分布也不均衡,在经济相对发达的城市设立有数据中心以及灾备中心等,这造成了金融机构分布的相对集中,同时给安全管理带来较大风险,一旦发生重大信息安全突发事件,将会造成重大影响,甚至是不可挽救的灾难.
(三)维护国家安全,促进经济发展
金融业是现代经济发展的重要枢纽及衡量标准,与各行各业有着千丝万缕的联系,同时金融信息化的发展也使其成为高技术集中的行业,信息安全风险较大,如果处理不当,就有可能影响经济社会发展的全局,对人民群众的财产安全造成威胁.因而,加强IT应急管理,建立健全突发事件应急机制,有效预防和处理突发事件,是社会稳定以及经济发展的必然要求.
二、IT应急管理中存在的问题
IT应急管理意识淡薄,没有长效的应急管理机制新疆地方性中小金融机构由于其规模较小而注重系统建设,以盈利的多少作为年终考核的主要指标,在信息系统建设方面,注重投入,而忽略了维护,对IT应急管理的紧迫性及重要性缺乏长远性认识,造成了信息安全管理的相对滞后,IT应急管理的意识不强,缺乏长效的IT应急管理机制等问题,忽视了对金融系统风险处理能力的提升.
过于依赖外包怎么写作,科技人员培训力度较低新疆地方性中小金融机构的开发项目普遍采用外包的方式,核心设备也大多依赖进口.这不仅会带来对外包怎么写作商过度依赖的风险,也会造成内部技术人员技术相对薄弱的隐患.一旦发生设备故障等安全风险,科技人员束手无措,外部人员不能及时到位,势必影响系统恢复以及业务开展.
(三)IT灾备管理能力薄弱,灾难恢复水平相对较低
灾备管理通常是指信息系统的数据备份和灾难恢复管理,在信息系统的瘫痪或者发生严重故障的时候,可以将系统切换到灾备中心进行运行.由于受地域及自身重视程度的限制,新疆地方性中小金融机构灾难恢复能力滞后,灾备建设有待进一步加强,主要表现为数据备份管理意识较低,灾难恢复建设与国有大型银行及股份制银行之间存在着较大的差距.
(四)缺乏应急管理经验,应急演练工作过于形式化
虽然地方性中小金融机构都有自己的IT应急管理预案,但是存在着过于形式化、可操作性不强、更新不及时等问题,并且由于过于依赖外包怎么写作,技术部门人员对应急演练工作不够重视,更缺乏与业务部门共同开展应急演练工作的经验,以至于在处理信息安全事故时不能协同工作,延长了系统恢复时间,阻碍了业务的正常开展.
三、加强应急管理的对策建议
(一)提高IT应急管理意识,建立长效的IT应急管理机制
地方性中小金融机构应该树立信息安全防范意识,建立高效灵活的IT应急管理机制,做到“系统建设”与“应急管理”两手抓两手都要硬,完善系统应急管理预案,针对不同性质的信息安全突发事件,制定对应的IT应急预案.
(二)加强人才培养力度,建立高效的IT应急处理队伍
高科技人才是IT应急管理的核心要素,因此地方性中小金融机构应该加大人才培养投入力度,培养高素质的专业人才,增强自主研发、自主运维能力,加强对关键岗位技术人员的培训力度,针对不同层次,不同岗位的人员,在灾难恢复机制、系统运维、应急演练等方面进行培训,提高与外部怎么写作商以及各业务部门协作的效率.
(三)提高IT灾备管理能力,缩短灾难恢复时间
数据备份是信息安全的最后一道防线,是灾难恢复的最基本前提,因此灾难恢复工作的灾备管理应该引起地方性中小金融机构的高度重视.由于各商业银行数据量较大,数据种类较多,对不同数据应采取不同的备份策略,并不断完善和改进.
(四)夯实IT应急管理基础,加强IT应急管理预演
应急预演是验证应急预案效果的直接手段,地方性中小金融机构应该针对每个事故点开展切实可行的应急预演,提高科技人员的风险处置能力.通过不同形式、不同范围、不同程度的应急演练来发现及纠正问题,及时修订IT应急预案,尤其要协同业务部门开展应急预演工作,加强各部门人员的协同工作,共同处置灾难的能力.
作者简介:田园(1987—),女,山东菏泽人,硕士,现供职于中国人民银行乌鲁木齐中心支行.