保險業信息安全管理現狀調查

前言：尋找寫作靈感？中文期刊網用心挑選的保險業信息安全管理現狀調查，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：

隨著銀行、證券、保險等金融交易業務的全面信息化，金融機構特別是小微金融機構正在不斷大力拓展信息化業務，但受技術的限制和對盈利的追求，其在信息安全方面往往考慮得不夠全面，留下諸多安全隱患。人民銀行作為管理機構，在預防信息犯罪和保障信息安全方面，有責任加大指導和監督的力度。因此，積極開展基層證券、保險業信息安全管理調研工作，了解基層證券、保險業的信息安全管理現狀和管理模式，發掘其管理中的薄弱環節，探索對其履行金融服務與指引的方式，具有一定的理論和實踐意義。

關鍵詞：

基層證券；保險；信息安全；調查

一、做好基層證券保險業信息安全調研工作是形勢的需要

蕪湖市近幾年金融發展環境逐步優化，截至2015年第4季度末，全市各類金融企業共317家，其中銀行24家、非銀機構3家、證券營業部15家、期貨營業部5家、保險公司32家、交易所5家、股權投資企業125家、融資擔保公司21家、小額貸款公司66家、典當行21家，已初步形成了銀行、證券、保險的多樣化金融體系和全方位的金融發展格局。目前，人民銀行以“兩管理、兩綜合”為抓手對銀行業進行開業和營業管理，并通過綜合執法檢查和綜合評價等方式對銀行業開展監管，但是人民銀行對于基層證?和保險的了解較少，隨著證券保險業的日益發展和壯大，開展對證券保險業的信息安全管理工作調研，有利于人民銀行對金融業科技管理的總體把握。

二、基層證券、保險業信息安全管理現狀

為全面了解證券保險業的信息安全管理現狀，人行蕪湖市中心支行采用現場走訪和發放調查問卷相結合的的方式對15家證券和25家保險公司進行調研，主要從其信息安全人員結構、信息安全物理防護、信息安全軟件防護情況等方面展開。

（一）信息安全人員結構情況

信息安全人數占公司總人數比例：在走訪的證券公司中，信息安全崗位人數占公司總人數的平均比例為7.44%，保險公司信息安全人數占公司總人數平均比例為2.38%，證券公司總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。但是在保險行業中，IT人員占行業從業總人數遠遠低于行業標準。信息安全人員學歷情況：證券公司的信息安全人員中本科學歷占75%，研究生學歷占25%；保險公司的信息安全人員中，本科學歷占78%，大專學歷占22%。相比于證券業，保險業科技人員后續教育和行業人才培養有待加強。信息安全人員專職和兼職情況：IT人員均為業務兼職人員，日常工作中疲于應付各項業務，無暇顧及較深層次的科技專業應用學習，只能適應基層系統的推廣和維護。計算機業務素質跟不上金融電子化的發展要求，技術人員的專業能力和信息安全意識有待提高。

（二）信息安全物理防護情況

門禁、消防系統、防雷措施：在走訪的證券、保險業中，沒有安裝門禁系統的分別占44%和82%；60%的保險業沒有消防系統，證券業有80%沒有防雷報警，保險業中60%沒有部署任何溫度、濕度、防雷報警措施。目前，許多證券保險公司營業部機房的環境較差。供電情況：在應急電源能夠維持的時間調查中，保險業平均為4.5個小時，證券業平均為7.5個小時，大部分沒有安裝外部電源雙回路供電，少數單位配備應急發電機。網絡硬件加密情況：網絡硬件和通信鏈路普遍存在安全缺陷，如電磁輻射、電磁泄露、搭線、串音等安全隱患。此外，某些數據及資料在傳輸過程中都沒有加密，這些都會引發網絡安全風險。

（三）信息安全軟件防護情況

操作系統：調查顯示基層證券保險業使用的操作系統平臺大多采用WindowsNT，WindowsXP，WindowsServer等，證券公司還使用Unix，Linux，Novell等系統，Novell服務器是基于開放的DOS平臺，增加了數據風險。信息安全軟件使用情況：調查顯示，大部分客戶端安裝的防病毒軟件產品都是一些常用軟件，如趨勢科技殺毒、賽門鐵克個人防火墻、Cisco等，部分采用的是總公司統一部署的軟件，少數沒有安裝任何防病毒軟件，信息安全防護軟件的部署沒有引起足夠的重視，增加了金融風險隱患。數據庫備份：證券業中20%采用的是本地備份和異地備份相結合的方式，60%采用異地備份，20%采用本地備份，數據庫軟件基本上采用msSOL和Oracle等數據庫軟件；保險業數據庫均在上級公司，基本上沒有數據庫備份。網絡安全協議：證券行業主要采用以太網的標準協議IPX，TCP/IP，同時開放有網上委托、電話/電腦撥號委托等業務，內部還有大戶室等，這種開放性使得非授權訪問、網絡攻擊發生的可能性增加。近幾年，國際上也曾多次發生安全問題，如：2012年10月5日，由于系統故障導致印度大盤NIFTY指數在8秒內暴跌16%，導致該交易所被迫暫停15分鐘的交易。

三、存在的問題和建議

目前，證券、保險業也進一步加大信息安全管理體制建設，于2012年11月、2013年2月先后公布并實施了《證券期貨業信息安全保障管理辦法》《證券期貨業信息系統運維管理規范》等，但是，通過對基層證券保險業的調研發現，基層證券保險業的信息安全管理工作仍然存在較為薄弱的環節。

（一）基層央行對基層證券保險信息安全管理工作的建議

對于金融機構來說，信息安全管理不能只依靠物理防范，還要具備人員素質等軟因素，對信息安全技術方面過于依賴，不僅增加企業運營成本，還會導致安全管理工作難見成效。除了不斷更新先進的技術防護措施，還要形成一套系統、有效的管理方法。從調研的情況來看，建議基層證券保險業一是要從思想上高度重視信息安全管理工作，加強對員工的信息安全知識的宣傳，進一步提高員工的信息安全意識；二是做好信息安全管理工作的日常性事務工作，如做好信息安全事件調查處理和分析，建立健全信息安全事件臺賬；在行業內部定期編發信息安全通報，定期對安全隱患進行風險提示等；三是加強科技隊伍培養，定期對信息安全崗位人員開展行業信息技術培訓，提高人員的專業素質，加大科技人才儲備；四是加強對信息安全審計工作的投入，針對信息系統管理部門在組織控制、安全定級、物理環境安全控制、系統生命周期等方面的固有風險，可以從信息系統審計的方式來審查證券保險業的信息系統的安全可靠性。

（二）基層央行對證券保險業信息安全指導工作建議

“三定”方案出臺后，人民銀行增加了管理信貸和反洗錢兩項職能，人民銀行系統的金融城域網增加了保險、證券、小額貸款公司等非銀行金融機構，央行與證券保險業之間的聯系日益緊密，對金融科技服務的要求也越來越高。目前，證監會和保監會在地市一級城市沒有設立分支機構，而地市級人民銀行對證券保險業還沒有出臺具體的制度進行直接監管，多種因素導致后者的信息安全管理水平普遍較低，風險隱患日益突出。建議人民銀行一是通過《金融行業信息系統信息安全等級保護實施指引》，對金融業包括證券保險業的各信息系統進行檢查督導，進一步提高其信息安全管理水平；二是建立起基層人民銀行與證?保險業聯系協調機制，加強與其溝通和聯系；三是積極探索基層金融業信息安全監管工作的新方法，建立健全金融業信息安全監督規范和制度，加強金融業科技工作指引，更好地發揮基層央行的金融科技服務職能。

作者：李芳芳 單位：中國人民銀行蕪湖市中心支行

參考文獻：

[1]光蘭明.基層央行履行金融業信息安全指導職能的思考[J].金融電子化，2011（10）：44-45.

[2]陳濤.銀行與證券保險及其他機構網絡關聯的調查分析和思考[J].時代金融，2014（4X）:33-34.