编制简本 规范操作 构筑信息安全新防线
随着金融信息化的不断发展,基层央行对网络和信息系统的依赖性越来越强,而网络和信息系统面临的安全风险隐患也越来越复杂,防范网络和信息系统风险成为基层央行科技工作的一项重要工作。人行宜黄县支行主动作为,积极开展“金融信息安全工程”创新工作,组织人员编制《信息安全产品操作简本》,依托《信息安全产品操作简本》,探索基层央行信息安全管理新路子,使支行信息安全工作逐步步入精细化、规范化和科学化的轨道,充分发挥了信息安全产品的功能,切实保障了支行信息系统安全稳定运行,为各项业务稳定运行提供一个绿色的金融信息安全平台。
一、引言
当前,基层央行内联网计算机都安装了信息安全产品(Symantec Endpoint Protection防杀毒软件、LANDesk Management补丁自动分发系统、H3C iNode身份认证智能客户端、TSMS-Agent桌面桌面安全助手),对增强基层央行网络和信息系统安全的技防水平、防范信息安全风险发挥了重要作用。但由于信息安全产品功能齐全、防御能力强大、界面众多、操作复杂,干部职工对信息安全产品知识了解不深、操作能力不强、熟练程度不高,而基层央行科技人员少,大多数是兼职,科技力量薄弱,管理力度不够,检查频度不到位,对信息安全风险点防控难于全覆盖。为了改变这种现状,人行宜黄县支行秉承信息安全“三分技术、七分管理”的理念,坚持针对性、实用性的原则,以图文并茂、简明扼要的形式,围绕基层央行四大信息安全产品编制了《信息安全产品操作简本》。该《简本》对信息安全产品客户端的功能、安装和卸载、运行维护、操作管理以及常见问题的解决措施等方面进行了提炼和重点解读,规范了信息安全产品操作使用流程,给干部职工提供了明确的工作目标、清晰的工作思路、简捷的操作手段。
二、主要做法
(一)高度重视,周密部署
多年来,支行始终重视信息安全管理工作,狠抓信息风险防范不放松。今年按照上级行信息安全工作部署,支行建立了领导责任制,落实了责任人,形成了上下互动、整体联动的组织体制和层层抓落实的工作格局,以健全制度为抓手,以创新简本为手段,以规范操作为支撑,认真抓好信息安全工作。支行多次召开《金融信息安全工程》工作专题会,研究部署《信息安全产品操作简本》编制工作,分解落实各项任务,按照任务分工和时间要求,有序推进信息安全工作。
(二)多方互动,循序渐进
支行科技人员贴近业务,贴近实际,深入调查;积极组织各业务股室人员召开会议,认真讨论分析,研究信息安全产品操作简本编制方案;积极与中支科技科通过电话、邮件沟通交流,在科技科指导下开展创新;经过多次修改、完善,力求使信息安全产品操作简本内容详尽、使用方便、实用高效;最后形成电子文档,并打印成册。
(三)依托简本,规范操作
支行强化“授人以鱼、不如授人以渔”的教育理念,以信息安全产品操作简本为蓝本,将简本通过邮件下发给各股室,并在支行信息港上提供下载,方便干部职工学习使用;同时支行科技人员依托“每月一讲”教育机制,经常性、多形式地对全行干部职工进行了信息安全产品知识培训和计算要安全知识培训,组织了信息安全产品知识测试,并深入到各股室进行专门上机辅导,营造“学知识、促规范、保安全”的氛围。通过对信息安全知识辅导培训和测试,使信息安全产品操作使用知识入眼、入耳、入心,提高了全行干部职工遵章守纪的意识和熟练操作的技能;各股室人员在实际操作中,充分发挥简本的作用,熟练、快速、规范地操作安全产品,为支行防范信息安全风险架起一道新防线。
(四)开展竞赛,强化考核
支行以信息安全产品操作简本为基础,积极开展信息安全竞赛活动,将信息安全工作列入各股室年终绩效考核的重点内容,确定了涵盖计算机安全产品使用、计算机病毒风险监控、计算机系统漏洞修复等方面的安全目标,同时加大了巡查和考核力度,把过去的计算机安全“软任务”转化为现在便于落实的“硬指标”,达到“以竞赛促管理,以管理促规范,以规范促发展”的目标,不断推动支行信息安全工作健康有序发展。
(五)探索机制,形成长效
在使用信息安全产品操作简本的同时,支行总结多年信息安全风险防范工作经验,立足风险点,建立了“三色”预警机制(蓝色突出警示引导功能,橙色突出监督纠错功能,红色突出惩处警戒功能),通过“导”、“督”、“惩”,深入推进支行金融信息风险预警与控制机制建设,充分发挥引导一人、督促一片、教育全行的警示作用。
三、取得成效
(一)增强了信息安全管理的责任心
《信息安全产品操作简本》针对性、实用性很强,干部职工一册在手,对信息安全产品的操作不再束手无策,而是胸有成竹,变信息安全“观念淡”为“意识浓”,变被动接受科技人员安全服务为自身主动实施安全管理,变信息安全管理“单打一”为“大家抓”,强化了安全管理的责任心、积极性。
(二)增强了信息安全管理的执行力
《信息安全产品操作简本》内容丰富,简洁明了,查找方便,对全行干部职工提供了强有力的技术支撑和保障,使复杂的工作实现了可见、可触的具体管理,安全产品操作上更简捷、快速、高效,信息安全管理制度的执行效果更明显,自觉加强开机密码和屏保保护,定期检查防病毒系统和补丁分发系统,计算机补丁升级、病毒库更新、禁用U盘和卸载非法软件等全部执行到位,严防磁介质、U盘等载体病毒,从源头上控制了内联网计算机感染病毒现象的发生,很好地堵塞了计算机操作系统漏洞、杜绝了业务信息系统犯罪、隔离了内外网非法互联风险。
(三)增强了网络平台的安全度
《信息安全产品操作简本》帮助支行干部职工对安全产品操作的侧重点更加清楚,信息安全管理和风险控制意识更强,网络操作行为更加规范化,有效地提升了业务人员安全管理水平,由过去主要依托科技专管员“单独抓”转变为现在全行员工“共同抓”,从而构建了一张全方位、多层次、立体型综合网络,为建造绿色安全的网络平台奠定了基础,为各项信息系统安全稳定运行提供了保障。
(四)增强了内控监督的实效性
《信息安全产品操作简本》帮助支行业务部门操作人员实现信息安全“自控”、相互制约岗位信息安全之间“互控”、不同部门之间信息安全的“联控”、科技人员的信息安全“专控”以及支行计算机安全领导小组的“监控”,完善了支行信息安全内控监督机制,强化了信息安全内控约束力度,堵塞各类计算机安全案件和事故隐患发生。