从证券业安全大检查的一点经验谈起
2008-12-13 13:39:39 来源:WEB开发网核心提示: 五、安全管理三分技术七分管理,技术是实现的手段,从证券业安全大检查的一点经验谈起(5),真正要想做到安全,管理上一定要下很大的功夫,但是,很多人还没有意识到资产分类控制的重要性,5.1安全策略相关的管理制度各个券商都有不少,而且也在不断完善修订
五、安全管理
三分技术七分管理,技术是实现的手段,真正要想做到安全,管理上一定要下很大的功夫。
5.1安全策略
相关的管理制度各个券商都有不少,而且也在不断完善修订。但从整个制度规范颁布后执行情况来看,其效果并不是很好,主要问题表现在:可操作性差,甚至很多条款没有奖惩措施,这样可能导致员工很难理解或记住这些管理性要求,最终执行不起来;针对性差,一份安全管理制度汇编针对了全公司的信息技术人员,不能有效的区分管理角色和对象,从而最终导致制度面太广而无法实施;某些安全要求深度不够,导致在某些方面的安全管理执行力度不够;由于很多安全制度并没有被太多的人认可和执行,因此就无法对公布的制度进行回顾审计,检查和修改其中不合适的地方。
还存在着另一个普遍问题,缺乏一套高层的安全策略体系来指导安全管理,最终导致安全工作难以条理化,一方面会造成部分工作的遗漏,另一方面会出现重叠,甚至会出现哪出问题哪出制度的被动局面。安全策略应该建立比较明确、全面的安全规范要求,并确定各策略的制定、维护、变更等管理方面的策略。安全管理制度是建立在公司统一安全策略的基础之上,为公司推行统一的安全要求的一种形式。没有安全策略指导的安全管理制度只能是片面性,可操作性差、难以推广和执行。
5.2安全组织
在安全组织上,各券商都比较重视,都实现了“统一领导,分布管理”的安全管理体系,建立了安全管理岗位,建立了信息技术人员的岗位职责。在这次检查结束之后,证监会也发布了行业的IT治理指引,明确了安全组织的要求。
5.3资产分类与控制
随着业务资产的不断增加,很多安全管理问题均归到了资产管理问题上。但是,很多人还没有意识到资产分类控制的重要性,没有对公司内部对公司资产进行整理。存在如下问题:
更多精彩
赞助商链接