村镇银行信息安全论文

时间:2022-05-23 03:22:32

村镇银行信息安全论文

一、村镇银行发展情况及网络信息安全管理现状

廊坊市自2009年设立第1家村镇银行以来,目前已发展到5家,且均已开设了分支机构。另外还有5家新设村镇银行已进入筹备阶段。从科技方面看,不但没有专职科技部门,而且所谓的专职科技人员仅10人,占比不到4%。目前村镇银行的业务系统基本都是依托发起行和行来运行,各项规章制度都是照抄照搬发起行,缺乏具有自己行针对性的内控制度,有些村镇银行新设立的分支机构由于在农村条件有限,不具备双运营商线路备份的条件。

二、网络及信息安全管理存在的问题

(一)制度建设薄弱,安全意识有待提高。村镇银行由于成立时间短,急于开展存贷款业务,因而还没有建立起一套系统的、行之有效的网络及信息安全管理制度。如部分村镇银行没有结合自身实际制订制度,仅将发起行的信息安全规章制度改头换面,难以对信息安全管理进行有效约束,个别村镇银行连最基本的机房出入登记、应急演练记录都没有。即使制度制订较为完善的村镇银行也未能严格按照《商业银行信息科技风险管理指引》、《村镇银行信息科技建设与管理指引》的要求进行规范,反映出村镇银行普遍存在注重追求业务拓展而忽视制度建设与执行,信息安全意识不强的问题。

(二)未设立专职科技部门,兼职科技人员自身水平不高。村镇银行都没有设置专职的科技部门,从最初机房建设到后来发展分支机构,科技工作均是由发起行派科技人员实施和管理。从人员素质看,10名科技专管员中,计算机专业人员仅占5%,大部分专管员难以胜任科技工作。此外,各家村镇银行所谓的专职科技专管员实际上都是身兼数职,而且流动性大,更换频繁,不利于信息安全工作的开展。

(三)网络线路繁多,资源浪费严重。目前每个村镇银行需要硬性接入的网络线路为7到10条不等,比如人民银行省会中心支行城市金融网、地市中心支行城市金融网、发起行网络、行网络等,此外还要与银监局、下属支行互通,按照网络双线路备份的要求,一个村镇银行总行机房的网络线路达到近20条,不但给本来就不大的机房增添了不少负担,而且繁多的网络线路不便于日常管理,存在安全隐患。同时,一个村镇银行每年在网络线路上的花费均在30万元以上,高额的支出也给本来规模就不大的村镇银行增加了财务负担。

(四)过度依赖业务外包,不利于内部风险控制。廊坊辖内村镇银行业务系统升级改造由发起行来实施,发起行能否长期提供免费系统升级支持且升级是否及时,值得引起重视。日常设备维护、巡检基本由第三方IT外包服务公司来做。由于廊坊本地没有外包服务公司,出现问题不但不能第一时间进行维护,更为重要的是信息系统和数据的安全性无法保障,存在泄漏重要信息的可能。

(五)机房环境普遍不达标,存在安全隐患。按照《村镇银行信息科技建设与管理指引》,村镇银行要达到B级机房标准,而廊坊市的村镇银行机房环境设施过于简单,与指引相差甚远。主要表现:一是面积过小不能实现机房分区操作;二是装修没有达到国际有关要求;三是空调设备和供电未达到冗余要求。这不但对今后机房设备的拓展存在影响,而且存在一定的安全隐患。

三、相关建议

(一)加强科技制度建设和落实。人民银行应严格按照《商业银行信息科技风险管理指引》、《村镇银行信息科技建设与管理指引》,要求村镇银行针对自身实际,制定切实可行的科技管理制度。科技部门要加强对村镇银行的执法检查,评估科技管理制度的实用性和有效性,强化村镇银行科技制度建设和制度落实,切实提高信息安全意识。

(二)加强科技人员管理。每个村镇银行及其分支机构都必须设立至少一名科技专管员专司网络及信息安全管理工作,科技专管员要具有计算机专业学历,严禁非专业人员为应付监管部门检查而从事科技管理工作,现没有专业人员的要通过公开招聘尽快解决。要减少科技专管员兼职,有条件的机构应设立科技部门。

(三)建议全省村镇银行参照农村信用社的方式统一管理。由于村镇银行科技力量薄弱,没有能力自行开展信息化建设,而搭建独立的核心业务系统,需要投入较多的人力和财力,短期来说困难重重。农村信用社也为独立法人,与村镇银行类似,由省联社统一开发业务系统后各独立法人机构接入。建议村镇银行也采取此方式,在省一级成立公司,全省村镇银行业务系统以及人民银行相关系统的接入,系统升级和改造也由公司完成。采用此方式可以规范村镇银行的接入标准,减少对发起行或行的技术依赖,最重要的是通过整合可以节省人民银行网络资源,减少村镇银行的网络线路,节约经费。

(四)以人民银行地市中支为节点一点接入。目前,村镇银行接入需直接由所在地连到省里,建议以人民银行地市中支为节点,村镇银行通过地市中心支行接入。随着担保公司、小额贷款公司通过接入征信系统逐渐提上日程,越来越多的金融机构需要接入,省网络资源会越来越紧张,以地市中支为节点接入可以有效分担省里压力。与此同时,以从廊坊到石家庄单条线路月租费5000元计算,仅网络租用费每年就可以为村镇银行节约10多万元。

(五)规范外包服务公司资质。由于村镇银行涉及资金往来,对外部人员的管理需要更加严格,而IT行业是人员流动很快的行业,建议确定外包服务公司资质标准,对现实用外包服务公司进行评定,指定统一符合条件的外包服务公司进行服务,此举可以有效避免泄密及失窃风险。

(六)建设标准化机房。对现有机房要限期整改,彻底消除风险隐患。对正在筹备的5家村镇银行要加强现场与非现场检查与指导,确保在建机房达到规定标准,为村镇银行长期安全稳定运行奠定基础。

作者:李建华张鹏单位:中国人民银行廊坊市中心支行