前言:中文期刊网精心挑选了信息安全风险管理制度范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全风险管理制度范文1
关键词:集中运营;服务外包;风险管理
随着金融服务贸易自由化的深化和服务外包业务的迅猛发展,在竞争日益激烈的市场环境下,金融服务外包以其降低经营成本、规避经营风险和强化核心竞争力的优势受到越来越多国内商业银行的青睐和采用。但是,服务外包也是一把“双刃剑”,在成为竞争利器的同时,给商业银行的经营带来市场失效、连续性断裂、信息泄露、外包失败等潜在风险,对商业银行自身的风险管理也构成一系列的挑战。因此,商业银行如何对经营活动中的服务外包活动进行有效的风险管控,成为金融服务外包领域的研究热点。
一、文献综述
近年来,国内外学者针对金融服务外包过程中不同的风险问题,从风险分类、识别、度量、控制、规避、治理和监管等方面,进行了相关的研究。在风险分类研究方面,以巴塞尔银行监管委员会为主导的“联合论坛”出台的《金融服务外包》(2005)文件中分析了金融业务外包存在的10项风险,这为以后的研究提供了参考标准。吴更仁(2007)将金融服务外包风险分为6个类别,在此基础上提出风险防范和控制措施。唐柳等(2009)进一步把《金融服务外包》中的10项风险归纳,将战略决策、财务、人力和管理风险归为内部风险,而系统、市场、技术和外包商风险归为外部风险,并进一步得出金融服务外包风险是一种项目风险的结论。在风险识别研究方面,王瀛和赵鹏等(2008)认为金融服务外包风险来源于机构本身、外包服务商和市场环境等方面。吴更仁(2007)提出识别风险因素的手段,并分析了风险因素的作用机制。吴国新(2010)认为交易的双方在获得收益的同事也面临着各种风险,分别从服务提供商、客户和交易风险的视觉提出风险识别与规避的方法和相应的对策。在风险度量研究方面,唐柳等(2009)在分析金融服务外包风险治理特性和治理机制的基础上,构建了风险管理框架。唐柳等(2010)在基于风险矩阵法的风险重要性度量基础上,进一步设计了银行业服务外包的风险模糊综合评价指标体系。吴国新等(2010)采用因子分析法对金融服务外包影响因素进行了因子综合评价,系统分析了28个变量,得出影响金融服务外包风险的主要8个因素的结论。在风险控制、规避、治理和监管研究方面,唐柳等(2009)认为治理的主要目标是保证金融机构的安全和稳健经营,治理机制设计应兼顾外部和内部,更多地协调和关注利益相关者。曹淑艳(2009)以金融服务外包理论与国内外实践为切入点,对金融服务外包中的常见业务和风险进行分析,并对风险控制及监管进行了探讨。国内相关文献对金融服务外包风险的类型、成因、管控等方面都进行了详细的研究,但没有针对某一具体类型的金融外包服务提出风险管理对策,本文将针对运营集中后的风险特点,提出在运营集中过程中实施金融服务外包常见的风险管理问题和对策,对国内商业银行开展业务具有一定的借鉴意义。
二、金融服务外包概述
服务外包是指企业将价值链中原本由其自身提供的具有基础性的、共性的、非核心的业务或环节剥离出来,委托给企业外部的专业服务提供商来完成的经济活动。2005年2月,巴塞尔银行监管委员会公布了《金融服务外包》,将金融服务外包定义为“受监管实体持续地利用外包服务商来完成以前由自身承担的业务活动”。从第三方来看,金融服务外包供应商不仅包括外部供应商,还包括集团内部其他子公司;从外包的方式来看,金融服务外包不仅包括进行初始转移,还包括服务的再次转移,即所谓“分包”,由承接金融机构服务的直接供应商,将服务事务再外包给其他供应商;从外包内容来看,金融服务外包可分为金融信息技术外包、金融业务流程外包、金融知识处理共三大类.商业银行集中运营外包服务属于金融业务流程外包的其中一部分内容,是将非核心业务流程和经过评估的部分核心业务流程委托给外部专业服务提供商来完成,包括数据录入、业务审核、信息核查、呼叫查复等。
三、商业银行集中运营风险特点
(一)集中运营概述
商业银行运营业务主要包括柜面交易处理、财务会计核算、资金交易与清算、中间业务受理等,在银行业务开展的过程中,起到重要的服务支撑和保障作用。近十年来,“以客户为中心”和“流程银行”的创新思路不断冲击着国内商业银行现有的经营模式,在借鉴国际先进理论研究成果和同业的实践经验的基础上,国内商业银行逐步从传统的分散运营模式向为集中运营模式发展。所谓商业银行集中运营,是将银行柜台或其他渠道受理的客户提交的指令或凭证,运用电子影像和网络传输等技术,把数据传送到后台进行流水线、集约化处理,并由系统自动完成数据校验、账务核算、资金清算等步骤,最后将结果信息反馈给客户的运营模式。
(二)集中运营风险特点
随着集中运营模式的建立和业务处理方式的调整,原有运营体系中的风险特点也随之转变,出现不同的变化和产生新的风险。一是总体风险趋于集中,业务集中处理后,原业务的风险点也随着处理层级上移而集中,同时,处理笔数大、交易金额大、涉及范围广等,也形成了多种风险的聚集区域;二是系统运行风险提升,电子化的处理流程对系统的安全和稳定具有极强的依赖性。系统功能、运行稳定、网络连通、系统间交换等多方面因素都会影响到系统安全和稳定的运行,如果出现通讯异常、系统故障等无法及时修复的情况,对全行的业务正常运行产生巨大的影响,严重时甚至引起业务中断、引发资金风险;三是信息安全风险,后台集中处理的交易含有大量客户账号、印章、支票号码等信息和票据影像,如果未能对这些电子数据进行必要的保管、访问控制和销毁,极易造成客户重要信息泄露;四是业务连续性,业务集中处理后,一旦出现系统运行故障、外包公司单方毁约等因素导致业务中断,对全行员业务正常运行造成极大的影响,甚至造成客户资金损失、赔付等。
(三)集中运营主要的外包风险
结合运营模式转变后的风险特点,根据巴塞尔的《金融服务外包》的外包风险分类,可将集中运营各阶段的服务外包风险细化为六大类,具体风险分类、原因和发生阶段.决策阶段,是服务外包的第一步,极易产生外包责任风险和运营质量风险,对后续服务外包的实施造成影响,甚至由此引发签约、执行阶段的一系列风险。因此,在决策阶段,银行需要对自身业务进行合理评估,根据风险承担能力和相关法律、法规要求,明确可实行外包的业务范围。确定外包业务范围后,对市场的服务外包商经营能力、资信状况、服务水平等进行充分的调研,据此制定相应的外包计划和方案。签约阶段,是银行和选定外商进行商务谈判和合同签订的环节,易产生法律风险。因此,在签约阶段,银行应在合同中明确信息安全、质量控制、连续性管理、人事管理等责任条款、服务标准和赔付要求,同时,考虑到经营环境的不确定性,银行应具有一定的前瞻性,预计未来可能发生的变化,将相关契约也一并列入合同内,避免因合同条款不明确而对银行、外包商、客户造成损失,或增加沟通、诉讼成本。执行阶段,是服务外包的具体实施过程,外包商按照合同条款向银行提供服务,并进行项目管理。此阶段易产生数据安全、运营质量、准时交付、经验技能等风险。因此,在执行阶段,银行应对外包商制定考核方案,根据考核方案做好外包商的服务质量和交付时限控制,监控外包公司信息安全、业务连续性、质量控制等管理制度是否执行到位,同时,银行应做好外包成本的控制,避免对某一外包商进行专项投资,使银行、外包商在服务外包过程中达到“双赢”。结束阶段,是银行和外包商合作完成,外包商退出项目的阶段,易产生经营成本风险。如果银行对外包商过渡依赖,会造成银行无法摆脱与外包商的服务关系,外包商无法安全退出项目,迫使银行在接受不利的条款的情况下继续与其合作,甚至在后续服务外包过程中处于非常被动的地位,使银行成为被控制的一方。因此,银行在服务外包实施过程中,还需要密切留意市场其他外包商的情况,避免或减少对单一外包商的专项投资,做好外包商突然中断服务的应急预案,减少对单一外包商的依赖程度。
四、商业银行集中运营外包风险管理存在的主要问题
目前,中行、建行、工行、农行、招行等大型全国性商业银行已基本实施后台集中运营,并在集中运营过程中引入外包商。运营服务外包业务的蓬勃发展,使商业银行可以借鉴国外同行的成功经验,选择合适的外包商,将非核心业务剥离,提高自身经营效率,降低运营成本,因此,运营服务外包是商业银行来经营转型的一个强有力的“推进器”,有利于银行将更多的财力、物力和人力等资源投入到客户渠道拓展、新产品研发等核心业务中,但是,在成为“推进器”的同时,运营服务外包也可能给商业银行的运营带来连续性断裂、信息泄露、外包失败等潜在风险,对运营业务的风险管理也构成一系列的挑战。
(一)风险管理制度不完善
部分商业银行在实施集中运营外包前,缺乏风险管理意识,没有制定相应的准入条件、质量管理、过程监控、安全检查、资料保管等风险控制制度,或有相关的风险管理制度但不完善,例如,服务标准不明确或不清晰、监控内容未涵盖外包商的服务内容等,而且,在实施集中运营外包时,也没有根据实际情况对相应风险管理制度进行调整,使银行无法全面掌控外包商的执行情况,出现客户信息泄露、高峰期无法满足业务需求、作业质量无法达到服务标准等情况,给银行带来风险。
(二)风险评价体系不健全
部分商业银行在实施集中运营外包时,没有建立外包风险评价体系,或建立的评价体系但评价标准不合理,或评价内容未能覆盖风险管理范围,例如,只对外包商的经营状况、财务能力进行评价,没有对其资信、服务状况进行评价;只对外包商进行评价,没有对业务外包合理性进行评价等,出现将不能外包的业务外包,或把业务外包给无承接能力的外包商处理等情况,从源头上给银行带来风险。
(三)风险防范措施执行不到位
部分商业银行制定了相应的风险管理制度和防范措施,但是,没有落实制定要求或执行不到位,例如,实施运营集中外包前,需要对外包商和业务进行风险评价,但银行只对外包商进行评价,没有对业务外包的可行性进行评价;在实施过程中,没有按照制度要求进行质量管理、过程监控,或执行不到位等,出现本可以通过落实制度要求和执行防范措施进行控制的风险仍然出现,风险管理制度成为“一纸空文”或流于形式。
五、商业银行集中运营外包风险管理的对策
外包风险管理的目标是在充分利用外包降低经营成本、规避经营风险和强化核心竞争力的优势下,将外包对商业银行可能带来的不良影响降务求降到最低,即以最小的经济成本获得最大的安全保障效益。因此,实施集中运营外包后,商业银行需从根本上转变风险管理观念,对原有和新增的风险进行重新识别、分析和评估,制定相应的管理机制并严格执行。
(一)提高外包风险识别能力
风险管理的前提是对风险进行识别,同时,由于风险具有可变性,风险识别是一项持续性和系统性的工作,提高风险识别能力,有利于商业银行正确、有效的开展后续风险管理工作。商业银行集中运营和原有分散式运营模式的风险特征不同,而且,在实施集中运营的过程中引入外包商,使得风险动因更为复杂多变,例如,一般情况下,人员稳定性对操作熟练程度有影响,而操作熟练程度对作业质量有影响。在原分散模式下,银行正式员工流失率较低,人员流动性对业务质量的影响微乎其微,人员稳定性基本不构成风险。实施集中运营外包后,外包人员流失率远远高于行员,使得人员流动性的风险成为重要风险管理内容之一。因此,作为发外包的商业银行应该树立正确的外包风险管理意识,根据集中运营的风险特性调险识别方式,通过对各种客观的资料和风险事故的记录来分析、归纳和整理,必要时进行专家访谈等,再利用头脑风暴法、德尔菲法、面谈、访谈、流程图等科学方法,区分外包项目的不同阶段,找出明显或潜在的风险规律,做出定性或者定量评估,提高外包风险的识别能力。
(二)完善外包风险度量和评价体系
在对集中运营的外包风险进行有效识别后,商业银行应结合业务外包的可行性、外包商的资质、服务后评价等方面内容,建立风险评价体系,并根据监管机构政策调整、市场环境变化、商业银行制度或修订等内外部风险动因,适时调整评价系统指标内容和标准。风险评价体系可分为决策准入和监控预警两部分,决策准入主要是评估外包商财务状况、经营情况、管理能力、企业规模等条件是否满足业务承接要求,合同内容和责任条款是否清晰明确,以及商业银行的业务是否可以外包等;监控预警主要是评估集中运营外包运行情况,监测可能发生的风险动向和侯征,例如外包商的履约情况、作业质量、生熟手比例等指标,对指标的定量计算和监控变动情况,启动不同的风险管理措施,将风险管理由被动变为主动。对于风险评价体系内的各项内容,利用风险矩阵法、波尔达序值法、多因素层次分析法等方法构建指标体系,并进行准确度量,以区分不同的风险等级,使商业银行根据不同风险等级做出相应决策或有针对性的执行各种外包风险管理措施。
(三)落实外包风险管理制度
商业银行建立集中运营外包风险识别、度量、评价、预警、监控等管理体系后,让这些措施落实到位才是关键,制度执行不到位,风险管理工作将大打折扣或偏离原有效果。如何提高执行力,加强风险控制,商业银行可从主观和客观两方面入手。从主观方面,商业银行运营条线须从意识入手,潜移默化,且持之以恒,通过培训、宣讲、场景演示等手段,提高全员的风险防范意识,同时,明确奖惩,建立良好的约束与激励机制,使员工“不敢为不作为”;从客观方面,通过一定的外部力量来监督执行情况,避免风险管理制度成为“纸上规章”,例如,定期与不定期的检查执行情况,现场检查与飞行检查相结合等。只有落实到位,才能检验风险管理制度的有效性,才能据此对计量标准、风险评级、预警机制等进行调整,使机制运营外包风险管理更全面、更可行、更完善。
六、结束语
综上所述,国内大型商业银行基本已实现外集中运营外包,中、小型银行也在快速发展,但外包风险管理仍处于探索阶段,随着我国金融体制改革的不断深入,商业银行为了跟上改革步伐,将会进一步提高核心竞争力、降低经营成本,金融服务外包势必成为重要的“推进器”,服务外包范围也会不断扩大,特别是占用经营成本较大的运营业务。因此,通过分析集中运营的风险特征,探讨银行实施集中运营外包过程中主要存在的外包风险管理问题,提出加强风险识别、完善评价体系和预警机制、严格落实管理制度等措施,对商业银行集中运营外包的风险管理有一定的借鉴意义。
作者:蔚蓝 单位:广州广发银行股份有限公司
参考文献:
[1]闫海峰.金融服务外包风险管理[M].经济管理出版社,2013
[2]吴国新,郭峥嵘.金融服务外包提供商选择及风险管理[M].清华大学出版社,2013
[3]王玉辉.商业银行营运业务集中处理模式的特点及风险分析[J].金融经济,2014
[4]张娜,江畅,田剑.商业银行服务外包风险管理的问题与对策研究[J].金融在线,2012
[5]唐柳,李志铭,王军.银行业服务外包风险重要性度量的指标体系研究[J].经济理论与经济管理,2010
信息安全风险管理制度范文2
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。
企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。
所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
信息安全风险管理制度范文3
【 关键词 】 高校;科研机构;信息安全;对策
Discussion on Scientific Research Institution of Universities in
Information Security Management and Measures
Zhang Jian-hua
(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)
【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.
【 Keywords 】 universities; scientific research institution; information security; measures
1 引言
随着信息技术的发展和信息化应用的日趋深入,信息安全建设及其应用正在成为教育科研单位日常教育管理和科研生产不可或缺的一环。高校等科研单位对信息安全管理的认识程度越来越高,研究院等单位的信息系统规模和水平也在不断攀升,然而随着高校各系统建设程度的不断完善,以高校为代表的科研机构的信息安全管理问题也愈加突出。
2 高校科研机构存在的信息安全管理问题
近年来,高校等科研机构逐步认识到信息安全对于自身的重要性,于是不少单位成立了“信息管理部门”来推行统一的管理规范和进行信息安全知识普及,其主要目的是为了从安全技术和管理两个方面来解决高校中科研机构的信息安全问题,充分提高机构人员的信息安全管理意识和保密工作的能力。当下,虽然有一些高校的科研单位在信息安全和管理建设方面已经取得了长足的进步,但其科研单位内部仍然存在着很多问题。
(1)首先,在以往长期封闭的科研环境影响下,相关科研人员目前依然不具备良好的安全意识,对于信息安全的认识水平不高。同时高校等相关管理部门较容易忽视信息安全在其科研系统中的发展战略和计划,这些都间接导致了信息安全管理制度推行力度不够,实施安全教育的硬性条件有限。其次,由于学科建设和专业水平所限,也使得国内技术过硬的信息安全专业人才供应不足,间接影响了相关单位的人才储备水平。
(2)当下许多高校等科研单位在信息系统不断增加的情况下,对以往基础设施配备水平存在着一定的依赖性,不能够很好的适应新环境。在信息系统运作业务的安全风险和意识提升上,又缺乏有效性验证与评估办法。现实中的任何信息系统都是一连串复杂的环节,信息安全措施必须渗透到信息系统的每一个部位,其中一些问题的解决方案,需要信息系统的设计人员、测试人员和使用人员都熟知并能够成为规范来遵守。
(3)不安全因素对于信息系统而言总是存在的,没有任何一个信息管理方法能提供绝对的保障。因此,高校等科研单位在认识和进行信息系统安全管理教育的时候,应该着重加强基层人员的信息安全管理实践教育,应让相关人员充分意识到,虽然信息安全建设并非意在建设一个创收的平台,但它是一个保障科研成果和提升工作效率的平台。管理者有必要做出适合科研单位进行教育实施的信息安全教育发展战略和计划,充分加强信息安全教育在管理实践上的投入,严格有效地执行相应的安全策略、安全措施和安全管理制度,以最大限度避免使用和管理信息系统时的固有风险。
(4)近年来,我国大型科研单位相继出现过不同程度的泄密事件,这些事件的直接后果是不仅导致了科研成果的流失,还造成了较大程度的经济损失和不良的社会影响。虽然各大信息系统工程和信息化程度要求非常高的相关行业,也都出台了对信息安全技术产品的应用标准和规范,但只有建立一个严格的信息安全管理策略,才能全面的保障其安全性。
3 解决高校科研机构存在的信息安全的对策
3.1 技术层面
在技术层面上:高校科研管理系统是以计算机和数据库通信网络为基础的应用管理系统,是一个开放式的互联网络系统,与网络系统连接的任何终端用户都可以进人和访问网络中的资源。作为信息通讯数据平台,其所受到的安全威胁主要存在于信息通信传输、存储和加工的各个阶段。因此在制定技术对策方面就需要制定统一全面的安全策略,同时也注重建设统一认证和授权管理系统,通过硬件接入设备和定制化管理软件的配合部署,加强网络层面和应用层面的安全资源整合,形成覆盖全网的科研信息化安全保障能力,并充分利用自主创新的科研信息化安全技术,不断增强基础运行平台的网络安全能力,为科研信息化基础环境和应用系统提供有力的安全保障。
在保障网络基础设施和重要应用系统的安全方面,一方面需要构建身份认证管理系统、网络安全管理平台、恶意代码防护系统、安全审计平台等面向全网用户的网络安全基础设施,实现实时预警、事件分析、决策支持、资源调度等功能;另一方面需要建立起包括安全咨询、安全规划、安全检测、安全培训等环节在内的安全服务体系,引入除技术体系和管理体系以外的第三方服务支持,实现安全事件的及时发现。
3.2 管理和教育层面
在管理和教育层面上:以企业为参考标度,对高校科研机构工作人员进行信息安全意识以及管理实践知识的普及,将信息安全管理理念提到战略高度来看待。充分遵循信息安全流程制定相应管理制度,除技术保障外,将人员、网络、环境有关的技术和管理规程的有机集合充分纳入其中。充分认识到信息安全管理实践是保障信息实现有效管理与控制的重要途径。所在部门应客观评估实现信息安全管理的需求水平,落实安全的组织和管理人员,明确每个人的角色与职责;制定并开发安全规划和策略,定期开展培训和工作会议;实施风险管理制度,制定业务持续性计划和灾难环境下恢复计划;选择实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查、处理安全事件。针对专业人员的培训和绩效需要有效结合目标管理和信息安全管理两方面来展开。
3.3 管理政策层面
在整个管理策略的制定上:建议采用分级策略,如果高校对于自身科研信息安全风险水平认定为较高,而自身建设能力有限,则可以考虑与相关专业咨询机构合作,引入专家机制来完成相关工作,提升建设效率。
4 结束语
在国家大力推行科教兴国与自主创新发展战略的今天,信息安全建设对于保障科技创新自有成果,确保自主知识产权的创造价值,都有着极其重要的作用。而如何确保其信息安全能够实现自主可控的目标,也是以高校为代表的科研机构行使和保障自身合法权益的重要途径。因此我们必须综合多方因素,系统考量,尽可能提供全面的、多方位的信息安全建设策略和信息安全管理与教育规范,以切实满足高校等科研单位对信息安全保障体系的需求,降低科研成果的安全风险,发挥高效的科研效率,保障科研生产的安全顺利进行。
参考文献
[1] 张广钦.信息管理教程[M].北京:北京大学出版社,2005.
[2] 徐茂智.信息安全概论[M].北京:人民邮电出版社,2007.
[3] 彭盛宏.浅析校园网存在的安全隐患及其对策[J].信息安全与技术,2012,(1).
信息安全风险管理制度范文4
一、信息化建设基本情况
(一)系统应用和研发模式
目前,XX市信合建成了以核心业务、信贷管理、财务总账管理三大业务处理系统为基础,以ATM、POS、电话银行、网上银行等自助银行服务为触角的集中式业务处理平台,同时提供人民银行大小额支付、农信银支付结算等柜面服务。投入运行的业务系统11大类50余种,核心业务平台是信合和中联公司(香港)联合开发,版权共同所有。布放特约商户POS设备210台,布放助农取款POS设备155台,自助设备45台。
(二)安全管理和制度建设
2009年XX省联社为加强综合业务网络系统生产运行安全管理,明确省联社科技信息部、各地市信息科、各联社运行管理部在安全管理中的职责范围,规范安全运行管理工作流程,建立了科学有效的安全运行问题响应解决机制,保证了XX省农信社综合业务网络系统安全、高效、稳定地运行,更好地为各级联社的业务发展和经营管理服务。省联社根据人民银行《银行类金融机构网络与信息安全防范工作指引》和中国银监会《银行业金融机构信息系统风险管理指引》的相关要求,结合省联社自身实际情况,制订了《XX省农村合作金融机构综合业务网络系统安全运行管理办法》。XX市信合在辖内对该办法进行了转发,并将其作为日常管理的依据。
(三)组织管理和人员配备
XX市信合营业网点20家,其中,10家信用社,1家直管分设,9家分社。信息科技从业人员9人,其中,中心机房工作人员3人,办事处1人,网点5人,计算机专业毕业4人。主要负责全市信息科技系统日常运行维护、故障处理及安全管理。
二、存在风险分析
(一)技术依赖于外部,底层技术难以掌握,存在安全隐患
目前,我国金融业信息系统和网络中,大量使用国外厂商生产的设备,这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利,我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查,一些重要网络系统中使用的信息技术产品,都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留,也可能是无意疏忽造成的。特殊情况下,特定安全漏洞可能被利用实施入侵,修改或破坏设备程序,或从设备中窃取机密数据和信息。曾经有段时间国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”,已经为我们敲响了警钟。
银行IT外包能够帮助银行全面提高信息产品的科技含量,缩短新产品的开发周期,全面提升IT服务水平,使银行能够专注于核心业务。但是,IT外包并非十全十美,而是一柄双刃剑,它在帮助银行提升服务水平的同时,也可能会带来一系列的不确定因素,从而使银行面临着长期的潜在风险。IT外包风险首先在于服务商能否长期稳定地为银行提供高质量服务,对于信息系统故障能否及时响应并修复,以保障银行业务的连续性。其次,外包服务商在和银行密切往来过程中会获取一些银行的内部机密信息,给银行带来商业秘密泄露的风险。再次,银行对于外包服务商的过度依赖性也是一种风险,将导致银行在合同谈判中处于不利地位,同时也会造成银行自身员工IT服务水平和创新能力受到限制。此外,外包公司人员长期和银行来往甚至常驻银行,但对银行规章制度的理解与执行上和银行员工相比存在一定差距,也可能会带来风险隐患等。
(二)制度局限于省联社制订的制度,与实际业务发展有不适应之处,执行力不够
目前,XX市信合在信息管理方面使用的《XX省农村合作金融机构综合业务网络系统安全运行管理办法》涵盖了系统运行管理、机房设备管理、通信网络及相关设备管理、信息系统变更管理、应急管理、信息系统问题管理等,对全省各社来说具有普遍性和指导性,但具体到各社,还需要结合自身的实际情况制订针对性、操作性较强的办法、规定。如:该制度应急管理部分,指导性的明确应急管理中部门职责,并没有明确应急领导小组成员和组织应急演练的内容、流程,这需要各社自己制定应急演练内容、流程、频度,并通过应急演练和生产实际环境的变化不断地进行补充和完善。
(三)科技人才不足,与实际业务需要不匹配,存在安全隐患
科技人才是信息化核心力量,是信息系统、网络系统安全运行的保障。XX市某区县信用联社科技人员1人,既是部门负责人,又是具体工作人员,天长日久从心理上会厌烦此项工作,不利于人才的稳定,不利于调动工作的积极性,不利于各项工作的开展,大大地降低了制度的执行力和落实力,从而造成一定的安全隐患。
三、对策建议
(一)提高政府部门对银行业信息化建设统筹指导的力度
一是目前国内没有哪个科技企业能“通吃”一个银行的所有业务系统,建议国家扶持几个具有一定基础且综合实力相对雄厚的民族企业,解决业务系统由不同IT企业建设带来的系统之间不能很好的整合和数据难以深度利用的问题;二是四大国有商业银行具有庞大的开发团队,国家应鼓励四大国有商业银行在信息化建设方面帮扶中小商业银行,在政策上给予优惠;三是人民银行、银监会要从国家的宏观方面出发,提升对银行业的信息化建设统筹指导能力;四是政府鼓励信息科技风险防范技术创新性研究。加强金融技术创新性研究,用新技术装备信息系统,以提高信息系统的自我风险抵御能力,是中小商业银行提高信息科技风险防御能力的一个重要方法。只有不断通过创新性技术完善信息系统,抵御新的风险,才能有效提高信息系统的安全性。由于电子支付系统直接面向客户,其脆弱点更容易为外界所熟悉并利用,因此,各中小商业银行应重点关注电子银行系统的风险防范创新性技术。一方面是通过智力投入并辅以激励机制提高内部员工的创新能力;另一方面,中小商业银行可以借鉴大行做法,借助科研机构力量,提供业务需求,而由科研机构完成具体的研发工作。比如,中国工商银行率先在网上银行中引入预留信息方法,可以有效防范钓鱼网站的欺骗。中小商业银行可以利用模式识别、图像处理技术开发自助设备的实时监控系统,利用生物特征开发虹膜认证和指纹认证等产品,从而有效提高电子银行系统的安全性能。
(二)提高IT外包管理服务精度
IT外包的本质是银行与外包服务商的一种商业合作,与银行内部的其他信息科技风险相比,它所产生的风险虽不直接影响到银行业务,却关系到商业银行能否保持信息服务的竞争力,进而影响到商业银行的市场地位,具有一定的特殊性。IT外包风险存在于外包服务过程中的每一个环节,需要对外包服务进行全程的精细化管理。一是通过对外包服务商所提供的服务作全面准确的评估,选择一个值得信赖、具有相当资质、能够长期合作的IT服务商,这是对技术外包服务进行精细化管理的前提条件。二是签署详细、具体的外包合同,包括外包服务的内容和服务范围、双方在合同中的权利和义务、产权转移方式、后续维护方案、安全性和保密性的要求等。三是在IT外包合同执行期间,银行要对服务商进行持续、有效的监督,IT专家、风险管理专家、审计专家要定期和不定期地对服务商进行检查,及时掌握合同的履行情况,并督促服务商按期保质地完成合同规定的各项任务。四是在外包服务中,商业银行要积极主动地学习,积累经验,尽可能地掌握技术要点,以降低依赖性风险,并争取开发和生产具有完全自主知识产权的信息系统。
(三)建立完善的信息科技风险管理制度
制度是安全生产的生命线,要有效防控信息科技风险,首要是建立完善的信息科技安全管理制度,以制度约束人的行为,以制度明确人的责任,以制度指导人的思想。中小商业银行务必高度重视信息科技安全管理制度的建立与完善,以安全生产为主线,深入分析信息系统风险点,有的放矢,从快、从严建立内部管理制度。同时还应积极跟踪信息系统运行状况,及时发现新问题、新风险点,并及时完善制度,从源头上尽可能地排除隐患。信息科技工作者必须不折不扣地执行制度,或者提出合理化建议来修订制度,使制度成为一切工作的基本准则,人人“重制度,守制度”,真正给安全生产拉起一道难以跨越的防御线。中小商业银行的董事会、监事会和高级管理层要切实监督信息科技安全管理制度的执行情况,对整个信息科技风险的防控工作全盘把握,其责任覆盖商业银行自上而下的信息科技风险管理体系。
(四)培养和选拔优秀的科技人才
信息安全风险管理制度范文5
0引言
随着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。伴随社会的信息化推进,通信技术也得到了快速发展。通信得到了社会的广泛认可。近年来,伴随着互联网技术在全球迅猛发展,信息化给人们提供了极大的便利,然而,同时我们也正受到日益严重的来自网络的安全威胁,比如黑客攻击、重要信息被盗等,网络安全事件频发,给人们的财产和精神带来很大损失。但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。
在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。
一、通信运用中加强信息安全和防护的必要性
1.1搞好信息安全防护是确保国家安全的重要前提
众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。
1.2我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
二、通信中存在的信息安全问题
2.1信息网络安全意识有待加强
我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。
2.2信息网络安全核心技术贫乏
目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。
2.3信息网络安全防护体系不完善
防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。
2.4信息网络安全管理人才缺乏
高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。
三、通信组织运用中的网络安全防护
网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。
3.1数据备份
对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。
3.2防治病毒
保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。
3.3提高物理安全
物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。
3.4安装补丁软件
为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。
3.5构筑防火墙
构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。
四、加强通信运用中的信息安全与防护的几点建议
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
4.1要加强宣传教育,切实增强全民的国防信息安全意识
在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
4.2要建立完备的信息安全法律法规
信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
4.3要加强信息管理
要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。
4.4要加强信息安全技术开发,提高信息安全防护技术水平
没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。
4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节
首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。
4.6建立和完善计算机系统风险防范的管理制度
建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。
其次,应当设立信息安全管理的专门机构,并配备专业技术人才,选拔防范风险的技术骨干,开展对信息安全技术的研究,对系统弱点进行风险评估,及时采取补救措施。完善信息安全措施,并落实到信息安全管理中去。
五、结论
通信在生活中有着广泛的应用,涉及到人们生活的方方面面。它构建安全的通信系统是进行通信组织运用中信息安全防护的前提。通信系统网络安全防护体系应以一个良好的安全策略为起点,建立在安全的网络中,保障通信系统的安全,维护信息安全。
信息安全风险管理制度范文6
关键词:银行卡业务 风险 控制
一、银行卡业务发展现状
据央行的《2008年第四季度支付体系运行总体情况》显示,截至2008年底,全国累计发行银行卡180038.92万张。其中,借记卡发卡量为165806.02万张;信用卡发卡量为14232.9万张。银行卡渗透率(银行卡渗透率是指剔除房地产、大宗批发等交易类型,银行卡消费金额占社会消费品零售总额的比例)从2001年的2.1%上升到24.2%。与此同时,各类银行卡犯罪也向高科技、集团化、专业化、规模化发展,手法不断翻新,实施过程更为隐蔽,信用卡套现、伪卡欺诈、ATM资金诈骗、短信和电话转账等风险案件日益增加。2008年4月,在整治银行卡违法犯罪专项行动期间,全国公安机关关于银行卡犯罪立案3672起,涉案金额1.76亿元;破案2388起,抓获犯罪嫌疑人1420人,挽回经济损失6161万余元。
二、银行卡风险现状
中国人民银行副行长苏宁透露,截至2005年底,中国银行卡发卡机构175家,发卡量9.6亿张,特约商户39万家,POS机具61万台,ATM终端8万台。2005年银行卡交易金额47万亿元,其中消费交易额9600亿元,分别是2000年银行卡总交易金额的10.4倍和8.5倍。剔除批发性的大宗交易和房地产交易,消费交易额占全国社会消费品零售总额的比重从五年前的2.1%上升至10%。当前银行卡风险问题比较突出,风险管理水平有待提高,有关部门要高度重视开展银行卡风险管理工作,加强风险防控体系的建设,建立防范与处置银行卡风险的长期机制,确保银行卡信息安全和使用安全。
目前银行卡主要存在四大风险:欺诈风险、中介风险、操作风险和信用风险。
1.外部欺诈风险
在各类银行卡风险中,外部欺诈风险是目前最严重、危害最大的一类风险。欺诈目的的实现渠道主要有三种:ATM机取现、POS机套现(消费)或网络(电话)转账。从欺诈的手段看,主要是伪卡欺诈、直接骗取客户资金和利用ATM机骗卡三类。
2.中介机构交易风险
中介机构交易风险主要是指特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的风险。中介机构的交易风险主要体现为两类:一类是部分不法商户提供信用卡套现交易,为犯罪目的的实现提供了渠道,引发交易风险;另一类是中介机构或者个人不规范(甚至是非法)的信用卡营销行为引发的风险。
3.内部操作风险
内部操作风险是指银行工作人员违规操作或操作失误造成银行资金损失,或者工作人员利用职务之便,与不法分子勾结、串通作案,引起发卡行或客户资金损失的风险。与外部欺诈风险和中介机构交易风险相比,此类案件不具有普遍性,但是由于是内部专业人员作案,手段更加隐蔽,对银行声誉的影响也更严重。
4.持卡人信用风险
当前各行在信用卡业务的发展上,重规模、轻质量,不能有效区分潜在客户,对客户授信未予以严格把关,发卡对象有向高风险群体扩展的现象,过度消费、透支炒股等高风险事件时有发生。另外,不少银行向收入不稳定人群发放信用卡,也埋下了较大的风险隐患。这些均反映出部分商业银行盲目追求发卡量而对申请人状况审查不严或者降低门槛的问题。
三、银行卡业务风险管理工作存在的主要问题
1.对风险管理的认识不全面。一是部分发卡机构对风险管理重要性认识不足,存在“重市场、轻风险”倾向。把精力主要用在扩张市场上,在面临市场、发卡等指标考核压力时,风险往往被淡化、回避甚至搁置。二是部分机构对风险管理认识片面,将风险管理等同于应急处置,没能真正从事前、事中、事后三个环节防范和控制风险。三是部分机构仅仅讲求防范自身风险,尚未站在业界和社会责任高度看待风险管理问题。
2.金融生态环境与银行卡产业发展要求存在一定差距,不平衡的矛盾日益凸现。一是现行法律政策在对非法中介、商户套现、网上支付欺诈等新型不法行为的规范不够完善,惩戒制度不到位。已有的银行卡法律政策在实际适用中的具体标准有待明确。二是社会诚信体系建设尚处于初级阶段,一些持卡人、商户及相关机构诚信意识谈薄,为谋取利益不择手段。三是银行卡产业内部各经营主体的规范经营水平参差不齐,破坏了公平竞争的市场规则,破坏了风险管理的基础环境和制度。
3.未建立健全银行卡风险管理制度与风险联合防范机制。在风险管理工作中,各发卡机构各自为政,缺乏联动效应,沟通不及时,以至于面对风险案件的连锁效应,不能及时有效予以处置。随着受理市场的扩大,以及社会上不法分子、欺诈团体谋取非法利益手段的不断成熟,联合防范和处置风险问题就显得尤为重要。
四、银行卡业务风险管理措施
对于银行卡业务诸多的风险乃至发生的案件,银行内部往往存在机构延伸管理有缺失与疏忽、临柜人员合规操作意识淡薄、授信风险控制机制不完善、操作人员培训工作不到位、网点人员配备不足等管理上的漏洞。银行理应通过以下几个方面加强银行卡业务的风险管理。
1.加强持卡人安全用卡知识的宣传。银行要通过柜面指导、发送宣传手册、用卡指南小卡片,加强对持卡人安全用卡知识的宣传,并发挥大堂经理、保安和引导员的作用。
2.提高人员素质,强化内控管理,规范操作流程。加大受理、审查、授信、催收等业务的培训力度,提高业务素质,将风险防范重心从事中监督和事后监督转移到事前防范。在风险可控、合法合规的情况下,不断创新和完善产品功能,满足客户需要。
3.加大对银行卡不良透支的催收力度。打击违规套现行为,建立系统模型,通过数据挖掘技术,分析数据特征,锁定违规套现商户,取消其特约商户资格,并追究法律责任。同时,通过系统性、针对性催收不良透支方法,提高催收工作的效率,降低催收成本。
4.完善银行卡风险管理平台和机制。加大科技投入,提高系统识别风险和控制风险的能力。建立和完善银行的数据分析能力,通过对客户群体、还款能力、消费信息、消费习惯的分析、动态分析客户风险状况,提高信用额度调整的针对性和有效性。建立对客户群体、高风险客户的系统跟踪功能,提高银行卡风险预警能力。
参考文献:
[1]中国银行业监督管理委员会.当前银行卡业务风险及其防范.
