中小银行与五大行相比,特殊性很强,主要表现在:
1)安全人才少,真正从事安全和管理的人屈指可数;
2)安全对业务的依赖性更强,很好理解,因为生存和饭碗比安全更重要;
3)安全投入明显不足,极大地约束了安全体系建设。
在这种情况下,怎么做规划安全体系建设?
在这情况下,需要进行银行的安全体系进行加强,建议主要从以下几方面入手:
一、影响高层管理层领导,重视银行的安全规划和建设。
二、作出一个科学合理的长远、中期、近期的安全规划、安全成果展示里程碑,而且能说服银行重要干系人。
三、收集银行需要加强安全方面的需求清单,并能切实可行的将业务和安全的结合点和风险需要承担后果和描述等让管理层清楚。
四、加强安全人员团队的招募组建。
五、加强人员对安全领域的培训工作。
其实不仅是安全相关的部门有这类焦虑,任何一个部门都会有觉得他们的部门投入不足的问题,主要还得靠安全相关主管人员或职能领导对高层管理者的影响力。
以上,仅供参考。
收起我的经验和想法有这么几点:1)还是要立足根本,追求小而美,放弃大而全。在方法论层面,只吸收大行最精华和最具有实践意义的部分,抛弃纯粹面子上的一些华而不实的东西,比如,大行说我要有一支能够开发、能够建设、还能够运营的大型安全团队才能干活,这个在中小明显不实际,所以坚决要抛弃。但是大行说,我做一个融合安全和业务的新产品,这个可以学习;
2)在做规划的时候,往往会听到四大讲一套非常美丽的方法论,这个一定要谨慎,不是说要防四大和强盗,而是说这种方法论一般都太全面和不讲场合,在中小根本无法实际展开;
3)土办法有时候很有用,你比如说,有的单位就把自己的安全体系总结成三个一:一把手+一个平台+一个考核。一把手就是说一定要行长亲自挂帅;一个平台是安全管理平台,专门出报表的;一个考核是把病毒之类的作为行政管理考核的一部分。
还有其它想法可以交流。