隨著金融資訊化的不斷髮展,基層央行對網路和資訊系統的依賴性越來越強,而網路和資訊系統面臨的安全風險隱患也越來越複雜,防範網路和資訊系統風險成為基層央行科技工作的一項重要工作。人行宜黃縣支行主動作為,積極開展“金融資訊保安工程”創新工作,組織人員編制《資訊保安產品操作簡本》,依託《資訊保安產品操作簡本》,探索基層央行資訊保安管理新路子,使支行資訊保安工作逐步步入精細化、規範化和科學化的軌道,充分發揮了資訊保安產品的功能,切實保障了支行資訊系統安全穩定執行,為各項業務穩定執行提供一個綠色的金融資訊保安平臺。
一、引言
當前,基層央行內聯網計算機都安裝了資訊保安產品(Symantec Endpoint Protection防防毒軟體、LANDesk Management補丁自動分發系統、H3C iNode身份認證智慧客戶端、TSMS-Agent桌面桌面安全助手),對增強基層央行網路和資訊系統安全的技防水平、防範資訊保安風險發揮了重要作用。但由於資訊保安產品功能齊全、防禦能力強大、介面眾多、操作複雜,幹部職工對資訊保安產品知識瞭解不深、操作能力不強、熟練程度不高,而基層央行科技人員少,大多數是兼職,科技力量薄弱,管理力度不夠,檢查頻度不到位,對資訊保安風險點防控難於全覆蓋。為了改變這種現狀,人行宜黃縣支行秉承資訊保安“三分技術、七分管理”的理念,堅持針對性、實用性的原則,以圖文並茂、簡明扼要的形式,圍繞基層央行四大資訊保安產品編制了《資訊保安產品操作簡本》。該《簡本》對資訊保安產品客戶端的功能、安裝和解除安裝、執行維護、操作管理以及常見問題的解決措施等方面進行了提煉和重點解讀,規範了資訊保安產品操作使用流程,給幹部職工提供了明確的工作目標、清晰的工作思路、簡捷的操作手段。
二、主要做法
(一)高度重視,周密部署
多年來,支行始終重視資訊保安管理工作,狠抓資訊風險防範不放鬆。今年按照上級行資訊保安工作部署,支行建立了領導責任制,落實了責任人,形成了上下互動、整體聯動的組織體制和層層抓落實的工作格局,以健全制度為抓手,以創新簡本為手段,以規範操作為支撐,認真抓好資訊保安工作。支行多次召開《金融資訊保安工程》工作專題會,研究部署《資訊保安產品操作簡本》編制工作,分解落實各項任務,按照任務分工和時間要求,有序推進資訊保安工作。
(二)多方互動,循序漸進
支行科技人員貼近業務,貼近實際,深入調查;積極組織各業務股室人員召開會議,認真討論分析,研究資訊保安產品操作簡本編制方案;積極與中支科技科通過電話、郵件溝通交流,在科技科指導下開展創新;經過多次修改、完善,力求使資訊保安產品操作簡本內容詳盡、使用方便、實用高效;最後形成電子文件,並列印成冊。
(三)依託簡本,規範操作
支行強化“授人以魚、不如授人以漁”的教育理念,以資訊保安產品操作簡本為藍本,將簡本通過郵件下發給各股室,並在支行資訊港上提供下載,方便幹部職工學習使用;同時支行科技人員依託“每月一講”教育機制,經常性、多形式地對全行幹部職工進行了資訊保安產品知識培訓和計算要安全知識培訓,組織了資訊保安產品知識測試,並深入到各股室進行專門上機輔導,營造“學知識、促規範、保安全”的氛圍。通過對資訊保安知識輔導培訓和測試,使資訊保安產品操作使用知識入眼、入耳、入心,提高了全行幹部職工遵章守紀的意識和熟練操作的技能;各股室人員在實際操作中,充分發揮簡本的作用,熟練、快速、規範地操作安全產品,為支行防範資訊保安風險架起一道新防線。
(四)開展競賽,強化考核
支行以資訊保安產品操作簡本為基礎,積極開展資訊保安競賽活動,將資訊保安工作列入各股室年終績效考核的'重點內容,確定了涵蓋電腦保安產品使用、計算機病毒風險監控、計算機系統漏洞修復等方面的安全目標,同時加大了巡查和考核力度,把過去的電腦保安“軟任務”轉化為現在便於落實的“硬指標”,達到“以競賽促管理,以管理促規範,以規範促發展”的目標,不斷推動支行資訊保安工作健康有序發展。
(五)探索機制,形成長效
在使用資訊保安產品操作簡本的同時,支行總結多年資訊保安風險防範工作經驗,立足風險點,建立了“三色”預警機制(藍色突出警示引導功能,橙色突出監督糾錯功能,紅色突出懲處警戒功能),通過“導”、“督”、“懲”,深入推進支行金融資訊風險預警與控制機制建設,充分發揮引導一人、督促一片、教育全行的警示作用。
三、取得成效
(一)增強了資訊保安管理的責任心
《資訊保安產品操作簡本》針對性、實用性很強,幹部職工一冊在手,對資訊保安產品的操作不再束手無策,而是胸有成竹,變資訊保安“觀念淡”為“意識濃”,變被動接受科技人員安全服務為自身主動實施安全管理,變資訊保安管理“單打一”為“大家抓”,強化了安全管理的責任心、積極性。
(二)增強了資訊保安管理的執行力
《資訊保安產品操作簡本》內容豐富,簡潔明瞭,查詢方便,對全行幹部職工提供了強有力的技術支撐和保障,使複雜的工作實現了可見、可觸的具體管理,安全產品操作上更簡捷、快速、高效,資訊保安管理制度的執行效果更明顯,自覺加強開機密碼和屏保保護,定期檢查防病毒系統和補丁分發系統,計算機補丁升級、病毒庫更新、禁用U盤和解除安裝非法軟體等全部執行到位,嚴防磁介質、U盤等載體病毒,從源頭上控制了內聯網計算機感染病毒現象的發生,很好地堵塞了計算機作業系統漏洞、杜絕了業務資訊系統犯罪、隔離了內外網非法互聯風險。
(三)增強了網路平臺的安全度
《資訊保安產品操作簡本》幫助支行幹部職工對安全產品操作的側重點更加清楚,資訊保安管理和風險控制意識更強,網路操作行為更加規範化,有效地提升了業務人員安全管理水平,由過去主要依託科技專管員“單獨抓”轉變為現在全行員工“共同抓”,從而構建了一張全方位、多層次、立體型綜合網路,為建造綠色安全的網路平臺奠定了基礎,為各項資訊系統安全穩定執行提供了保障。
(四)增強了內控監督的實效性
《資訊保安產品操作簡本》幫助支行業務部門操作人員實現資訊保安“自控”、相互制約崗位資訊保安之間“互控”、不同部門之間資訊保安的“聯控”、科技人員的資訊保安“專控”以及支行電腦保安領導小組的“監控”,完善了支行資訊保安內控監督機制,強化了資訊保安內控約束力度,堵塞各類電腦保安案件和事故隱患發生。