面对安全问题，银行企业需要的是一套可行的信息安全保障体系。

在近日举行的2006亚洲首席信息官管理层峰会上，美洲银行亚洲首席信息官梁建文认为，对于一家银行企业来说，构建一套可行的信息安全保障体系，加强对各种不利于信息安全因素的有效防范是至关重要的。

银行IT部门不仅要确保财务数据是准确完整的，还要对银行内部控制需要采取及时的措施，以保护和监督其有效性。这需要很强的信息安全体系和作业控制系统。

“我们在考虑信息安全因素的时候，应该假设每个人都有可能是个‘坏小子’，安全隐患总是存在的，要时刻作好最薄弱环节时刻有可能被打破的准备。”

梁建文表示，信息处理中心已经成为银行赖以生存和发展的基础，而数据安全是银行合法、合规经营的重要组成部分。对银行业务的监管应和对信息安全的监管紧密联系在一起。

因此，任何可能危害银行信息系统安全的行为都要尽可能从制度层面加以避免，例如USB、软盘、光驱等移动存储功能应严格规定禁止使用，在可能的情况下，也应同时禁止文件下载、拷屏与复制功能。同时，银行系统还应该制订一套详细的纵深防御策略，使每一层的员工都能各司其职。比如说，即使已在防火墙之后，各相关组成部分仍应是各自独立和自我保护的。

更重要的是银行内部信息安全层次结构的分配，梁建文建议：“IT治理应该切实落实到公司治理的每一部分。银行董事会下应设立IT委员会，不仅为整个银行评审重要IT相关问题和解决方案，推荐主要IT投资，同时也要为银行监督与合规性指引信息安全导向。为了确保银行的信息安全，企业必须要有自己的信息管理入侵检测中心，并且定时地将IT安全管理与合规报告交予风险管理负责人，以保证银行内部信息的机密性、可审核性与可追究性。”

梁建文表示，对银行信息系统安全建设必须应该有严格的要求，并且每年都要进行例行检查。检查一般是从组织安全、人员安全、网络通信安全、运行操作安全、环境安全、访问控制、系统开发、维护安全以及业务连续性管理等方面深入进行。如果问题比较严重，则会根据相应的法规进行处罚，直至停业整顿。在这样的监管环境下，银行必然会非常重视信息安全建设，具体措施包括：对内，根据规范进行安全管理，确保信息中心的运行安全，并防止内部人员作案；对外，加大防火墙、入侵检测系统等安全设备的投入，防范黑客攻击。此外，通过事前评估、事中监控、事后复核，最大限度地降低系统的安全风险。

“对于外部电邮安全，应该由中央统一侦测潜在欺诈，预先登记交易对手，并且一定要将电邮作为加密附件发送，以及使用预设密钥进行解密和阅读，然后以注册和加密的形式回复”。

梁建文认为，在信息安全的职责区分方面，还必须要有严密的双重控制手续，即经办与复核，达到相互监督制衡的目的。首先，个体业务单元与IT经理们所要做的是界定与实施第一线防御，其次，ITCO（企业风险官）与OPSCO（审计与法律官）应负责定期的安全评审与建议，而CIO与COO以及CRO（首席风险官）们该承担的则是实施和规划信息安全的TRM架构，最后的审查与批准信息安全策略就由董事会担负权责，这就是符合当代银行企业信息安全治理层次结构的理想模式。