1．樹立金融信息安全風險全局意識

黨中央、國務院高度重視信息安全問題，2012年6月28日下發的《關于大力推進信息化發展和切實保障信息安全的若干意見》（國發〔2012〕23號），首次并列提及信息化發展和信息安全問題，強調在安全中求發展、發展中不忘安全的理念。近幾年來，隨著金融業競爭的日益嚴峻，“重發展、輕管理，重開發、輕維護”的現象在金融業屢見不鮮，相關從業者對金融信息安全風險的認識仍停留在解決具體技術故障的層面，缺乏全局性的統籌考慮。一旦某家金融機構系統出現故障，影響客戶的業務辦理，再加上媒體的炒作，局面將非常復雜，后果不堪設想。因此，金融從業者要從安全、穩定和可持續發展的大局出發，將金融信息安全管理作為一項綜合性和長期性的工作來抓，深刻認識到技術支撐業務，業務與技術融合的發展趨勢，把防范和化解金融信息安全風險納入金融業全面風險管理體系當中。

2．構建集中化的安全生產運維體系

有效的信息安全管理，除了風險事件形成和爆發后的干預和補救外，關鍵還在于事先預防。如果預防工作到位，可以最大限度地減少突發事件所造成的危機和損失。目前，我國銀行業機構幾乎在總行集中所有業務應用系統，系統架構和相互關聯程度日趨復雜，僅靠傳統的分散的運維工具和幾名技術骨干已經不能解決全部問題，所以迫切需要建立一套有管理、可控制的集中化的生產運維體系。建立集中化的生產運維體系，可通過成立集中運維中心，對關鍵服務器、網絡設備和安全設備進行集中管控，完成全系統所有的日常運維管理工作。同時，建立安全可控的生產運維技術指標體系，將影響系統安全穩定運行的潛在風險因素進行指標量化。加強日常監控分析，對運維監控中發現的各種異常現象，及時分析并加以處理。動態調整量化監控指標，提升IT基礎設施運維效能和效率。此外，分支機構的運維部門只負責本地網絡和用戶終端等的運維工作，不負責大集中系統的運維管理。集中生產運維模式的特點在于運維資源得到集中和共享，能夠減少事件處理環節進而縮短事件響應時間；通過統一集中管理，加強運行管理的可控性，能夠降低安全風險，提高管理效率和管理質量；有利于上級單位對基層部門的系統應用情況進行統一監控、集中管理，實現經營的精細化及精確化。

3．完善以保障業務連續性為目標的風險管理體系

業務連續性管理是指當自然災害、人為破壞和技術故障等原因影響業務運營或造成業務中斷事件發生時，確保關鍵業務在一定時間內持續運營或及時恢復的一整套管理體系，以降低災難事件或突發事件對銀行資金及聲譽造成的損失，提高風險防范和抵御能力。國際權威調研機構Gartner公司的研究報告顯示，大約有85%的全球性企業實施了災難恢復計劃，但是僅有15%的企業具備完善的業務連續性計劃，即僅有少數企業的災難恢復計劃以保障業務連續性為目標。業務連續性管理是一項綜合管理流程，相對于災難恢復，其更像是一個“IT+業務+管理”的混合體。它使銀行認識到潛在的業務危機和相關影響，并制定業務連續性的恢復計劃。完善的業務連續性管理體系包括：一是建立完善的政策制度和組織體系，明確管理職責、管理策略、管理工具和管理流程；二是擁有專用的備用設施和恢復場地，實現從單一的IT災備管理到全面業務連續性管理的過程，保障各項業務的迅速恢復；三是建立完善的應急響應和恢復預案體系，從預案覆蓋范圍、種類、制定、審核、維護等方面進行明確規定，并進行不間斷的演練和持續性的改進，確保預案的有效性；四是積極推廣業務連續性管理文化，加深員工對業務連續性的理解和認知，提高員工業務連續性管理意識。我國銀行業信息安全風險管理體系應在完善災難備份體系建設、提升應急處置能力的基礎上，逐步向業務連續性管理的方向邁進。

作者：鄭冬蔚 單位：中國人民銀行沈陽分行