村镇银行信息安全存在的问题与对策

曾伟

【摘 要】进入21世纪,村镇银行作为新型小微金融机构在全国各地出现,近几年发展速度尤其快.然而,村镇银行重视业务拓展,而疏于内部信息风险管理,同时外部监管与指导相对缺失,导致村镇银行或多或少都存在一定的信息安全风险,对基层央行开展信息安全管理提出了新挑战和新要求.本文基于江西省九江市辖内村镇银行的调研情况,分析了其在管理上存在的主要问题,并提出针对性的建议. 【期刊名称】《金融科技时代》 【年(卷),期】2016(000)007 【总页数】4页(P57-60)

【关键词】村镇银行;信息安全;现状;对策 【作 者】曾伟

【作者单位】中国人民银行九江市中心支行 【正文语种】中 文

进入21世纪，村镇银行作为新型金融机构在全国各地出现。江西省九江市下辖3个区12个县市，2012年全市只有3家村镇银行。当时，九江市人民银行科技部门在加强村镇银行信息安全指导的同时，出台了配套的信息安全指引。从2015年底开始，辖内县市又先后成立了4家村镇银行。近两年村镇银行发展速度较快，业务和监管也发生变化，这对基层央行开展信息安全管理提出了新的挑战和要求。为此，人民银行九江市中心支行（以下简称“人行九江中支”）对辖内数个村镇银

行信息安全工作进行实地走访调研及问卷调查，发现村镇银行在信息安全管理方面存在缺乏外部监管、管理体制不畅、管理力度不强等诸多问题。

通过实地调研，发现村镇银行在机房、人员配备、项目应用、设备装备等方面投入了一定的人力和财力，以下是对本市县域村镇银行调查问卷的一部分内容（见表1所列，具体单位名称用英文字母代替）。

基本情况：各行内设部门人员数量有多有少，多的10个，少的3个，员工从14人到59人不等，但都设定了一位计算机运维人员，负责本行的电子化应用推广维护和设备、机房、信息安全管理等工作；人员素质较高，基本具有大专以上计算机或相关专业学历，实行了定岗定责；建立了一定的规章制度；主要业务基本通过电子系统来完成，有的行管理电子化程度较高。随着管理水平的提高和业务的发展，不少银行还会不断增加电子应用项目。

设备及机房建设情况：由于各行成立时间不长，计算机及辅助设备较新，都拥有数十台计算机，保证了日常业务的正常开展。各行建立了相对独立的机房， 并配备了UPS、机柜、路由器、光端机等设备，一般机房安装了壁挂空调、机房视频监控、配备了消防器材，大部分机房安装了防盗门。

网络建设情况：各行与电信、移动、联通等电信运营商签订了网络服务协议，部分村镇银行实现了网络运营的双线路备份。各行由于经营管理模式不同，网络接入模式以及与人民银行联网方式也各有不同。

信息安全建设情况：目前，各行基本制定了计算机及网络使用管理暂行办法，对职责分工、操作人员规定、计算机保密、数据备份等基本事项制定了要求。日常工作中能做好业务系统数据的备份，对可以使用移动存储介质的计算机范围进行了限定，重要业务系统有密码设置要求，但对密码长度和复杂性没有具体的强制性要求。 服务外包情况：由于村镇银行机构规模小、资金实力弱、专业队伍力量不强、技术力量相对薄弱，许多电子项目开发应用及日常维修维护还要依赖于外部力量。

（一）村镇银行信息安全管理缺乏外部监管

必要的外部监管对推动小微金融机构完善信息安全管理工作，防范信息安全风险隐患具有重要意义。但据了解，基层央行和银监部门都缺乏对村镇银行信息安全管理的日常外部监管工作。人民银行只有在村镇银行开业审批中提出入网申请或提出发行银行卡时，才会对申请行进行实地计算机及信息安全检查。一旦申请行进入正常运作后，相关监督管理部门就很少开展信息安全现场检查及指导工作。如某村镇银行成立至调查日2年时间内，无论是人民银行还是银监部门，都没有对该行信息安全工作开展专项监督管理工作，更谈不上提出进一步加强信息安全管理的意见或建议。

（二）村镇银行与关联机构在信息安全管理上职责不明确

受到自身条件限制，村镇银行必须依赖关联机构才能正常办理业务，包括获得重要业务系统、接入人行清算服务渠道等，但关联单位与村镇银行在信息安全管理方面的职责和权力却没有划分清楚。

以某行为例，该行信息安全管理的关联机构分别有：主发起人为A农商行，业务系统提供者和网络最终接入者为B省联社，网络直接接入者为C当地农商行，网络间接接入和使用者为D市农商行（见表2所列）。

值得关注的是，这些关联单位应当发挥的作用和自身职能之间存在潜在矛盾，这些矛盾有可能影响该行信息安全管理工作的实施。由于该村镇银行接入的是B省联社业务网络，使用的是省联社提供的业务系统，因此主发起人A农商行在信息安全管理最核心的部分无法开展有效管理。当地农商行提供网络直接接入和服务器托管服务，但却与村镇银行存在直接的竞争关系，服务的质量难以得到有效保证。省联社虽然是业务系统提供者和网络最终接入者，但该村镇银行并不是农村信用社县级联社，而是某联社作为主发起人发起成立的独立法人机构。 （三）缺乏符合村镇银行特点的信息安全管理标准和制度

作为只有数十人的小机构，村镇银行在信息安全管理方面采取的标准应与其他机构有所区别。当前，缺乏对这类小微金融机构信息安全标准。以上述提到的村镇银行为例，其工作中主要是套用全省农村信用社信息安全管理工作的规章制度。但由于村镇银行与其他农村信用社联社（农合行、农商行）相比有许多不同的特点，照搬全省农村信用社信息安全管理规章制度不一定符合实际。 （四）村镇银行信息安全管理工作存在诸多不足

一是高管人员对信息安全意识淡薄。由于考核指标的引导，村镇银行管理人员将主要精力放在业务拓展上，容易忽视信息安全工作。二是专业人才不足。具备相关专业背景的人数少，且有一部分行的技术人员还只是兼职，单靠该行自身无法开展有效和完整的信息安全管理工作。三是机房整体比较简陋，远达不到信息安全的标准，部分行的网络线路也没有做到双备份。四是内控制度缺乏。仅有的一个制度但内容简单，无法有效覆盖信息安全管理的主要方面。五是应急管理不到位。往往没有一套科学、完整、规范的IT应急体系和机制，没有制定信息安全管理应急预案，更没有开展过相关演练。

（一）基层央行要在对包括村镇银行在内的小微金融机构信息开展安全监督管理工作

首先，这是国务院赋予人行的重要职能。国务院对人行“三定”方案中，明确提出人行承担“指导金融业信息安全工作”职责。其次，这是当前开展的对金融机构等级保护工作的需要，等级保护工作是信息安全管理工作的重要内容和有效手段，人行要加强对金融机构等级保护工作的指导和监督，就需要主动对其信息安全管理工作进行监管。第三，这是维护区域金融稳定的需要。维护区域金融稳定是基层央行三大职责之一，小微金融机构信息安全关系到机构的正常运转，进而对区域金融稳定也产生直接影响。第四，这关系到人行自身信息安全管理工作。村镇银行等小微金融机构要正常开展业务，必须通过各种方式接入人行业务系统网络，与人行网络

进行数据交换，为了人行业务网络信息安全，也必须加强对小微金融机构的信息安全管理。

（二）积极推动和明确村镇银行信息安全管理有关单位职责

要理顺村镇银行信息安全工作体制，就必须厘清相关机构的职责，并通过双方签订协议或上级机构制定统一制度来予以明确。

一是建议明确主发起人在村镇银行信息安全管理中的最终兜底作用，既主发起人应当承担与村镇银行信息安全工作有关的一切最终职能。所有村镇银行无法通过自身努力解决的问题，都应由主发起人予以解决，包括与地方监管机构的协调、提供必要的技术支持、协助和指导内控制度的完善等。

二是建议明确其他关联机构的相关职责。以上述某村镇银行为例，省、市、县三级农村信用社机构都与该村镇银行在信息安全管理上存在关联关系。省联社作为全省农村信用社体系的主管部门，以及该村镇银行业务系统的提供者和网络最终接入者，有必要对村镇银行及各级关联机构进行管理，以维护业务系统的稳定运行。因此，建议明确省联社对农信社发起成立村镇银行信息安全工作的指导和管理职能。地市联社应当承担起为协调本地农村信用社分支机构提供必要的技术支持和服务的职能。为保证服务质量，建议村镇银行与当地农商行签订信息安全管理协议，村镇银行交纳一定的托管服务费，当地农商行则按照协议或规定的要求，提供必要的技术支持和网络托管服务。如果其他村镇银行也有类似的关联机构，也应通过签订正式服务协议来规范有关方面的职责。

（三）及时制定针对村镇银行等小微金融机构的信息安全管理工作指引

针对村镇银行机构小、人员少、实力弱的特点，制定符合村镇银行实际现状的信息安全管理工作指引，对村镇银行加强信息安全管理工作提出基本安全要求和合理化建议，积极构建完善的村镇银行信息安全管理体制，引导这类小微金融机构在符合自身实际条件和能力的情况下，不断加强信息安全管理工作，从而从根源上减少信

息安全隐患。

（四）对村镇银行展开信息安全监管工作

适时对已经开业的村镇银行信息安全工作进行评估，及时发现存在的问题；加强村镇银行工作人员的信息安全意识教育，树立良好的信息安全管理意识；督促其制定和完善信息安全管理制度，提供坚实的制度保障；针对可能存在的风险隐患，构建应急预案，并开展应急演练工作，切实从源头上防范和杜绝村镇银行信息安全案件的发生，保障村镇银行等小微金融机构健康稳定地发展。

【相关文献】

[1]白运会. 小微金融机构信息科技风险管理的问题探讨[J]. 信息安全与技术,2014（8）:8-9. [2]于征武，薛梅，王海宁. 村镇银行信息安全管理现状[J]. 金融科技时代,2014（4）:90-91.