从证券业安全大检查的一点经验谈起

核心提示： 1．没有对所有业务应用系统及资产设备进行安全属性定义，没有明确需要较高安全保护等级的系统和设备，从证券业安全大检查的一点经验谈起(6)，因此很难提高管理人员的安全重视程度；2．缺乏一套对资产管理清单的维护审计机制，没有专人负责对新增设备、变更设备等管理信息进行及时更新，特别是普通员工办公机

1．没有对所有业务应用系统及资产设备进行安全属性定义，没有明确需要较高安全保护等级的系统和设备，因此很难提高管理人员的安全重视程度；

2．缺乏一套对资产管理清单的维护审计机制，没有专人负责对新增设备、变更设备等管理信息进行及时更新，导致很多安全事件由此产生；

3．缺乏一套对资产变更、系统变更的审计机制，管理人员对较大的变更情况不做记录，在后期可能会造成很多不必要的麻烦；

4．缺乏对设备的保管、使用登记和报废方面的管理，对重要的设备只有出了事故以后才进行保养和维护，而且没有建立维护记录。

5．对各种技术资产及业务资料没有实现密级管理，很多机密资料的借阅、复制、打印、销毁等方面的管理制度很不完善，执行更不严格。部分员工安全意识较差，所有的技术资料放到办公桌上，很容易被第三方合法进入公司的人进行翻阅查看。

5.4人员安全

券商在安全岗位建设方面普遍非常重视，建立了技术岗位职责，对各技术岗位有相应的岗位说明。在系统管理方面根据不同的业务应用系统设置了不同数量的系统管理员，他们在保证应用系统的正常运行的同时，也身兼对这些主机的安全管理。由于各种安全事件发生后可能的影响面巨大，也都明确了安全事件发生后的快速报告流程。

尽管如此，在人员安全上，存在着较多的问题：

1．内部系统管理岗位人员不足，很多系统管理员负责多个重要的应用系统，过多的工作量很可能造成操作失误情况，更容易造成安全管理的疏忽；

2．内部安全管理岗位人力不足，由于券商组织结构和信息网络的庞大性特点，安全管理员不能全权、有效地形成对整个公司自上到下、自本部门至全公司的安全管理；

3．没有将公司资产的安全管理责任定义到个人，特别是普通员工办公机的安全性，很多安全事件的发生不能明确责任，入职说明岗位也没有定义管理员的责任和义务，因此不利于促进和推动安全管理工作的执行；