中小银行安全体系建设如何做好规划？

在这情况下，需要进行银行的安全体系进行加强，建议主要从以下几方面入手：

一、影响高层管理层领导，重视银行的安全规划和建设。

二、作出一个科学合理的长远、中期、近期的安全规划、安全成果展示里程碑，而且能说服银行重要干系人。

三、收集银行需要加强安全方面的需求清单，并能切实可行的将业务和安全的结合点和风险需要承担后果和描述等让管理层清楚。

四、加强安全人员团队的招募组建。

五、加强人员对安全领域的培训工作。

其实不仅是安全相关的部门有这类焦虑，任何一个部门都会有觉得他们的部门投入不足的问题，主要还得靠安全相关主管人员或职能领导对高层管理者的影响力。

以上，仅供参考。

1.管理层的支持；

2.虚拟团队：银行，服务外包商，厂商等组成；

3. 安全需要中长期规划，分步实施；

我的经验和想法有这么几点：1）还是要立足根本，追求小而美，放弃大而全。在方法论层面，只吸收大行最精华和最具有实践意义的部分，抛弃纯粹面子上的一些华而不实的东西，比如，大行说我要有一支能够开发、能够建设、还能够运营的大型安全团队才能干活，这个在中小明显不实际，所以坚决要抛弃。但是大行说，我做一个融合安全和业务的新产品，这个可以学习；

2）在做规划的时候，往往会听到四大讲一套非常美丽的方法论，这个一定要谨慎，不是说要防四大和强盗，而是说这种方法论一般都太全面和不讲场合，在中小根本无法实际展开；

3）土办法有时候很有用，你比如说，有的单位就把自己的安全体系总结成三个一：一把手+一个平台+一个考核。一把手就是说一定要行长亲自挂帅；一个平台是安全管理平台，专门出报表的；一个考核是把病毒之类的作为行政管理考核的一部分。

还有其它想法可以交流。

中小银行安全体系建设个人认为应该放在与业务发展建设同等重要的位置上，虽然从资金投入和人才配比方面中小银行与大型国有及股份制银行无法相提并论，但近几年的金融业发生的几次严重故障的经验教训还是很惨痛的。银行的安全体系建设不可能一蹴而就，也不可能一成不变，是一个循序渐进，与时俱进的过程，不断提升IT环境被动安全防护的同时，提升人员安全意识，防患与未然才是解决安全问题的症结所在。

总结两点，银行安全体系建设可以从两个方面入手：业务层面，不断体恒IT环境的主动和被动防御能力；管理层面，提高从领导到下属的安全认知水平，不断提升安全防范意识。