- 快捷搜索
- 全站搜索
根据当前现状,在控制“人员”信息安全风险方面,商业银行在流程建设和技术控制方面对比理想情况还有一定距离,各商业银行应该在当前经济环境较好的情况下,抓住时机,加大投入加强“人员”信息安全管理以降低风险水平,以下几个方面可考虑优先开展:
1.标准化员工操作行为记录
目前应用系统记录内部员工用户操作行为比较笼统,只是要求记录及留存时间,各个系统在开发上线时基本保留厂商原有设计,没有统一标准,导致后期审计成本比较高,或无法审计。所以,目前急需建立详细的员工应用系统操作行为信息记录标准,为以后的审计做好数据准备。
2.有效管理员工业务操作权限
应建设集中的、跨业务系统的员工业务权限管理平台,建立员工权限集和权限互斥规则,使在权限分配之处就控制住由于员工权限过大造成滥用风险。同时也可以在安全风险萌芽状态下,高效屏蔽有“潜在安全问题“员工的业务权限。
3.分析员工操作行为
将标准化的员工操作行为数据导入数据仓库,通过标准模型持续分析员工业务操作行为发展趋势,识别不正常操作行为,提前预警。
4.落实各部门日常审计职责
落实各部门在“人员”信息安全管理方面的责任,目前商业银行各部门作为信息安全第一道防线在审计员工操作行为方面落实不够彻底,缺乏具体行动或常态化地审计计划。应加强各部门落实审计各自员工操作行为工作,如首先建立下面的审计方案,持续执行并改进,如表1所示。
站在较高层次就会发现,安全问题实际上都与人的因素密不可分。商业银行内部完备的安全管理政策、安全教育计划与健全的企业安全文化建设才是降低“人员”安全风险的有效手段。“不谋全局者不足以谋一域,不谋万世者不足以谋一时”,当今我国商业银行最大的风险是高增长,高增长使众多信息安全问题被掩盖或推迟发生。我们应该未雨绸缪,在全面发展业务促进业绩增长的同时,加大并优化安全投资,降低“人员”信息安全风险!
(文章来源:新金融世界)
企业出现数据丢失问题已经成为常态,43%的企业丢失了客户资料或知识产权类的机密信息。企业该如何做好数据泄漏防护工作?
《办法》系统地规范了证券期货业信息安全管理等监管制度,确立了行业信息安全监管的体制,明确了市场主体的信息安全保障责任,提
信息安全风险管理是实施ISMS过程中重要的一部分,整个体系的设计和实施都把风险评估的结果作为依据之一。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信