4008-717-868

           中小银行信息安全存在的问题

     一是缺乏建立等级保护理念。从调查的情况看，等级保护理念尚未得到机构领导层的重视，由于地方性中小银行科技人才普遍匮乏，科技力量薄弱，人员数量少，导致领导层对科技部门的工作职责仍定位于系统的日常维护，信息安全风险防范能力不足。目前，大多数地方性中小银行仍未开展信息安全等级保护工作。

     二是风险评估是制约等级保护的短板。一方面由于金融业的信息系统自身所依赖的技术复杂，涉及层面广泛，因此评估起来非常困难；另一方面风险评估的机构也不易选择。按照国家政策的相关规定，我国重要的信息系统进行风险评估，主要是自己评估或委托第三方进行评估。但对于地方性中小银行来说，如果进行自评估，绝大多数机构并不具备这个实力。如果委托第三方评估，判定第三方的资质又成为一个新问题。

     三是信息安全定级标准难以把握。在落实等级保护工作时，系统的定级要地方性中小银行自行上报，再由公安部门审查、审批。但地方性中小银行表示，系统安全级别的上报很难把握，如果安全级别报高了，安全措施相应也会提高，从制度上看，四级以上的系统，每年要评估两次，人力、物力的投入将相应增加，大大增加了银行的安全成本，由于安全就是要追求总体的平衡，高的定级反而影响了地方性中小银行的安全效益；如果系统的安全级别报低了，一旦出现安全问题，按照“谁主管谁负责，谁运营谁负责，谁使用谁负责”的原则，领导层将负主要责任。

     四是缺乏强有力的监管机构和监督机制。由于不同行业对等级保护制度的理解角度不同，尽管在一个框架下执行《等级保护》，但与行业的具体问题相结合，却存在鸿沟。如公安部门讲安全责任、银监会讲安全秩序、商业银行讲安全效益。对地方性中小银行来说，由公安机关作为监管机构，只是就安全抓安全与业务相脱离的做法，使得地方性中小银行因无法评估安全效益而缺乏贯彻落实等级保护工作的动力。从监管机制上看，缺乏一套切实可行的地方性中小银行信息安全等级保护监管机制，导致信息安全等级保护制度无法在地方性中小银行中落实。