随着我国银行业信息系统建设持续发展，核心业务系统、网上银行、自助终端、银行卡等具有高科技含量的系统和设备被广泛应用，在提升金融服务效率和增加服务品种的同时，信息系统潜在的风险也逐渐显现。调查显示，大多数地方性中小银行存在信息安全隐患，对其实施信息系统等级保护具有重要意义，但在实施过程中存在“落地难”的问题，亟待解决。

　　中小银行在信息安全中存在的问题

　　一是缺乏建立等级保护理念。从调查的情况看，等级保护理念尚未得到机构领导层的重视，由于地方性中小银行科技人才普遍匮乏，科技力量薄弱，人员数量少，导致领导层对科技部门的工作职责仍定位于系统的日常维护，信息安全风险防范能力不足。目前，大多数地方性中小银行仍未开展信息安全等级保护工作。

　　二是风险评估是制约等级保护的短板。一方面由于金融业的信息系统自身所依赖的技术复杂，涉及层面广泛，因此评估起来非常困难;另一方面风险评估的机构也不易选择。按照国家政策的相关规定，我国重要的信息系统进行风险评估，主要是自己评估或委托第三方进行评估。但对于地方性中小银行来说，如果进行自评估，绝大多数机构并不具备这个实力。如果委托第三方评估，判定第三方的资质又成为一个新问题。

　　三是信息安全定级标准难以把握。在落实等级保护工作时，系统的定级要地方性中小银行自行上报，再由公安部门审查、审批。但地方性中小银行表示，系统安全级别的上报很难把握，如果安全级别报高了，安全措施相应也会提高，从制度上看，四级以上的系统，每年要评估两次，人力、物力的投入将相应增加，大大增加了银行的安全成本，由于安全就是要追求总体的平衡，高的定级反而影响了地方性中小银行的安全效益;如果系统的安全级别报低了，一旦出现安全问题，按照“谁主管谁负责，谁运营谁负责，谁使用谁负责”的原则，领导层将负主要责任。

　　四是缺乏强有力的监管机构和监督机制。由于不同行业对等级保护制度的理解角度不同，尽管在一个框架下执行《等级保护》，但与行业的具体问题相结合，却存在鸿沟。如公安部门讲安全责任、银监会讲安全秩序、商业银行讲安全效益。对地方性中小银行来说，由公安机关作为监管机构，只是就安全抓安全与业务相脱离的做法，使得地方性中小银行因无法评估安全效益而缺乏贯彻落实等级保护工作的动力。从监管机制上看，缺乏一套切实可行的地方性中小银行信息安全等级保护监管机制，导致信息安全等级保护制度无法在地方性中小银行中落实。

　　对中小银行加强信息安全的相关建议

　　一是等级保护需要“一把手”工程。对于地方性中小银行来说，领导重视是开展等级保护工作并使之顺利前行的主要动力。地方性中小银行具有总行属地方的特点，如果一把手积极重视本行的信息安全等级保护工作，把信息安全等级保护工作提升到行业发展的高度上来，信息安全等级保护工作就能够在地方性中小银行中顺利开展。

　　二是明确符合评估资格的公司列表。国家应明确一些针对于银行业信息系统可用的风险评估公司，地方性中小银行可以在列表中选择评估公司，评估公司以第三方角色对信息系统风险进行有效评估，评估后出具评估报告;监管机构应出台对评估机构的管理办法，同时对评估公司进行事后再监督，每年更新一次评估公司列表，对违规评估机构进行相应处罚和公开信息披露。

　　三是建立地方性中小银行信息安全等级保护约束机制。由于地方性中小银行的信息安全包括系统风险和操作风险，而实施信息安全等级保护是能够有效控制这两类风险的重要手段，人民银行和银行业监督管理委员会应根据地方性中小银行的特点，密切配合，建立切实可行的地方性中小银行信息安全等级保护约束性机制，对地方性中小银行的系统风险和操作风险进行分类，对其信息系统安全定级过程与结果进行审核监督。如支付风险、货币风险由人民银行审核，操作风险由银监会审核。同时，由人民银行和银行业监督管理委员会制定银行业的等级保护标准和监管措施，使审核监督有据可依。

(责任编辑：)