前言:中文期刊网精心挑选了金融行业网络安全应急预案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
金融行业网络安全应急预案范文1
【 关键词 】 金融机构;信息科技;风险管理
1 引言
随着信息科技水平的不断提高,信息科技在给小微金融机构中带来作用的同时也不断增加了信息科技风险,给小微金融机构的经营发展带来了挑战。当前,小微金融机构对信息科技风险管理的水平还比较低,如何有效控制与管理信息科技风险,是当前小微金融机构在信息化建设过程中必须面对的重要课题。
2 小微金融机构信息科技所面临的风险
小微金融机构信息科技风险指的小微金融机构在运用信息科技的过程中,因技术漏洞、管理缺陷等人为的或自然的原因而造成的问题或危机。在当前信息技术与银行业务深度融合的情况下,信息科技风险事件涉及的范围广、程度深,给银行等其他金融机构带来较大的经济损失,尤其在小微金融机构中,信息科技风险带来的损失更为严重。
3 小微金融机构信息科技风险管理中存在的问题
3.1 信息科技风险管理的技术水平较低
从现状来看,我国小微金融机构信息科技风险管理的技术水平较低主要体现在如下方面,首先,以银行为代表的大部分小微金融机构缺乏专业化的信息资产风险管理机构,缺乏系统的信息系统管理政策、技术标准及监督、绩效评估工作,领导者与风险管理部门无法实现对风险管理的有效监督。另一方面,小微金融机构对信息科技安风险管理的工作仍停留在定性的层面,缺乏对信息技术风险管理专业的定量分析。与此同时,金融机构信息科技风险管理的IT风险管理手段仅停留在制度检查层面,缺乏技术支持,对风险管理的预防措施有限,对风险管理的技术控制难度大,其信息系统的自我控制的能力较差。
3.2 基础设施安全建设存在隐患
从我国小微金融机构基础设施安全建设情况来看,存在较大的隐患。
一方面,机房管理滞后,在我国小微金融机构的机房中,存在着防水火及供电不达标的问题,且缺乏相应的防雷系统、门禁系统等,机房安全管理严重滞后;另一方面,网络运行安全性不高,由于金融机构的分支机构及营业网点及业务都处于数据集中的状态中,这样就给金融机构网络的稳定性及通畅性提出了更高要求,而在小微金融机构中,存在未按监管要求配置主备通讯线路的现象,容易导致营业网点出现业务办理受阻的现象,致使信息科技风险隐患增加。
4 应急处置能力低
信息系统的集中及数据爆炸式的增长使金融机构的应急处置面临巨大的挑战,尤其对于小微金融机构来说,其应急保障机制更为落后。在我国小微金融机构中,一般都设有信息系统的应急预案,但对于预案却缺乏相应的应急演练,在系统发生紧急事故时,无法对问题实施预案应急措施。其次,部分小微金融机构的系统应急预案覆盖面笼统,缺乏针对性和操作性,缺乏有效的技术支持。另外,风险管理的人员的应急处理能力较低,对重大信息科技风险的应急执行缺乏有效性,导致风险损失增加。
5 加强小微金融机构信息科技风险管理对策
5.1 提升信息科技风险管控能力
小微金融机构要提高信息科技风险管理的水平,首先应该提高其信息科技风险管控的能力,因此,小微金融机构有必要建立三个机制。
第一,信息科技风险管理保障机制。金融机构领导者应该提高风险管理意识,将信息科技风险管理工作纳入议事日程,并建立健全的信息科技风险管理机构的和岗位责任制度,充分发挥出安全检查、风险监控、审计监督的作用;加强对信息科技风险管控人员的培训与管理,并加大违规行为的处罚力度,提高其风险管理的能力。
第二,信息科技风险评估和预警机制。小微金融机构应该在充分分析信息科技风险对金融机构影响的基础上,有针对性的落实风险评估制度和建立信息科技风险监测制度,将风险分类并制定相应的风险报告机制,使信息科技部门与业务部门紧密联合起来,加强沟通协调,提高对信息科技风险的评估与预防能力。
第三、信息科技风险应急处理机制。小微金融机构要加强对信息备份、灾难恢复及业务连续的管理,对应急预案要加以培训和演练,将应急和灾备工作从技术管理层面提升到全行工作层面,以提高应对信息系统安全事件的团队应急能力。
5.2 加强基础设施安全建设
加强金融机构基础设施安全建设,有利于提高基础设施安全水平,进而有利于降低信息科技风险。小微金融机构应加强基础设施安全建设投入,重点加强机房消防系统、防雷系统、UPS等的技术投入,完善机房基础设施并完善机房管理制度,保证系统设备的正常运行,加强对系统设备故障的预测与报警。并设立专门的技术设施检查维修小组,负责基础设施的安全维护工作,确保基础设施安全管理的有效性。
5.3 强化金融交易监管
随着金融环境与金融交易方式的变化,信息化的金融交易也带来了一定的信息科技风险,小微金融机构应该采取措施强化金融交易监管。
一方面,要加快网络金融安全立法进程,制定金融安全政策和标准,成立对应的网络金融安全管理部门,指导网络金融的发展,并严厉打击网络金融犯罪;另一方面,要建立跨部门的现代化信息安全管理网络,实现对金融机构业务信息安全风险的及时、动态、全面、连续的监管。还应该借鉴国外的网络安全管理模式,建立适合于我国小微金融机构信息化建设的网络框架,以实时的监管小微金融机构业务,保证交易的安全性。
5.4 加强对从业人员的素质建设和岗位管理
相对于大型及核心金融机构,小微金融机构从业人员的专业素质及岗位配置明显落后,小微金融机构应该加大对农村金融机构人员的投入,积极引进高素质的信息科技人员,并对原有的从业人员进行定期的培训工作,提高其信息科技风险防范意识与风险管理能力。同时,金融机构还应增加对信息系统管理、运行、维护等岗位人员的配置,以完善职责分配,落实岗位制衡。最后,完善相应的信息科技风险管理制度,加强信息科技风险审计,完善激励约束机制,激发从业人员的主观能动性,从整体上提升小微金融机构信息科技风险管理的水平。
6 结束语
在信息科技风险管理的工作中,小微金融机构要从安全制度建设及技术手段上加强对风险的防范与管理,在全面、可行的安全防护措施中,将信息科技风险降低到最低的程度,进而才能保证小微金融机构得到稳定的发展。
参考文献
[1] 陈文雄.发展银行业信息科技 风险管理意识须先行[J].中国金融,2009(07).
[2] 唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑,2009(02).
金融行业网络安全应急预案范文2
关键词:金融信息化 信息安全 银行业信息化现状 发展趋势
1 我国金融信息化的产生和发展
正随着计算机信息化建设的不断发展,我国金融业进入了以业务系统整合、数据集中为主要特征的金融信息化新阶段,基层金融机构信息科技工作由原来的全面管理、维护和系统研发,转变成以贯彻落实总行及管理机构标准规范为主导,以保障本地区网络安全稳定运行为重点。金融领域是信息技术应用最为广泛和深入的一个领域。我国的金融信息化建设始于上个世纪80年代中期,经过20多年的发展,目前已经基本形成了比较完善的基于IT的金融服务体系,然而严重缺乏既掌握信息技术又精通金融业务知识的复合型人才的现实使得我国的金融信息化进程的前进步伐受到了巨大阻碍,因此加强我国现代化金融体系的信息化建设,其重要基础是培养金融信息化相关人才。金融信息化是一门交叉学科,致力于培养现代金融体系所需的高层次、实用型、复合型金融信息化精英人才。
改革开放以来,随着国际先进的理念和先进技术的不断应用,我国金融信息化利用后发优势,实现了跨越式的发展。科技人员的能力有了较大的提升,科技管理水平稳步提高。
目前,金融信息管理已将思维创新的内容提上日程,不再仅仅停留于硬件上的创新,现代计算机技术的发展可谓是日新月异。随着国内金融信息管理业务种类的增多,每样新生事物都不同程度的应用了先进的现代计算技术,管理的层面也逐步延伸社会生活的各个方面,金融信息管理更灵活、更方便、更高效的方式服务金融业,先进的现代计算技术,不断改进、完善的发展模式,更加适合这个时代的发展。
2 金融信息系统的安全
安全是金融信息系统的生命。作为整个经济和社会的血液,金融的安全和稳定,直接影响到我国经济与社会的整体发展。如果失去了金融安全,极有可能引起社会动荡。另一方面,金融安全又必须建立在社会稳定的基础上,因为社会不稳定的某些突发性因素往往是引发金融危机的导火索。所以,应把金融信息化系统的安全视同资金的安全一样。下面我们就此分析一些解决办法。
2.1 建立健全信息安全管理制度 由于金融业组织结构和业务运营方式使网络必定要建成同Internet和外部线路有较密切关系结构,各种网络访问上安全问题也随之产生。金融网络系统面临攻击有来自内部也有来自外部攻击,后果将造成信息失密、信息遭篡改、身份遭假冒和伪造等。在网络上运行关键业务时网络安全问题更是要优先解决的问题。因此应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式促进银行做好系统加固工作,充分利用各种安全产品强化网络安全防范,移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部安全威胁。
2.2 信息安全技术
①密码技术和访问控制技术。密码技术是信息安全技术的核心。要保证信息系统中信息的保密性,使用密码对其加密是最有效的办法。防火墙技术就是一种用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的资源不被破坏,避免内部网络的敏感数据被窃取的系统,它能增强机构内部网络的安全性。防火墙实际上是一种访问控制规则,它无法完全保护系统免受来自外部网络的攻击,另外,它对来自系统内部的攻击无能为力。②身份识别。身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入User ID和Password。③存取权限控制。其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。④数字签名。即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出“该信息是来自某一数据源且只可能来自该数据源”的判断。⑤保护数据完整性。即通过一定的机制如加入消息摘要等,以发现信息是否被非法修改,避免用户或主机被伪信息欺骗。⑥审计追踪。即通过记录日志、对一些有关信息统计等手段,使系统在出现安全问题时能够追查原因。⑦密钥管理。信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络,因此,要对密钥的产生、存储、传递和定期更换进行有效地控制,并引入密钥管理机制,对增加网络的安全性和抗攻击性。从安全技术来讲,在所有的安全技术中,密码技术是解决信息安全的核心技术。⑧病毒防范与监控。基于网络的计算机防毒手段日益为银行系统所重视,以及计算机网络的普遍使用,加剧了病毒的传染性,由于病毒的潜伏期和传染性的特征,使得单机手工查杀病毒难以做到斩草除根,尤其需要防病毒系统化,反病毒实时化。
3 采取措施防范数据处理集中后技术风险
目前国内银行灾难备份和业务连续性管理主要集中在系统故障、人员操作、机房维护和短电力中断等情况,在防范自然灾害、重大疫情和恐怖袭击等应对管理还需要加强,一是要强调“突发”与“应急”,由于灾害事件不确定性,应急管理与保障工作必须建立在高强度实战性基础上,使灾难应急管理真正适应“应急”要求;二是要扩大应急预案本身覆盖范围,我国金融业灾难备份及业务连续性管理主要集中在IT部门,远远适应业务连续性需要,应当强调业务部门与IT部门共同构建适应现代金融业发展需要应急保障体系,确保运营安全。
金融行业网络安全应急预案范文3
关键词:网络金融;安全;监管
网络金融是对在虚拟话的空间即网络中实现金融活动的总称。网络金融是因特网技术与金融理论、金融管理和金融实务相结合的产物,是一种全新的的金融运行模式。网络金融包含的内容比较全面,网络证券、网络支付、网络保险、网络银行、网络金融理论、网络金融管理和网络金融监管等等。
网络金融的本质决定了其存在以下几大特性:经济性,体现在网络金融本身强调投入产出效益即投入少而产出高;科技性,是金融活动利用先进的现代信息技术开展业务,近年来金融电子化、网络化是金融活动和信息技术结合;信息性,是指网络金融本身是各类金融信息的超强载体,金融信息通过网络进行归集、加工整理、传递等等;以人为本,是指网络金融活动的整个运行离不开人为因素,创造网络技术应用网络金融并使其实现预期效果都需要掌握技术的人员来完成的;创新性,是有网络金融本身的性质所决定,网络是一个新技术,并且为了满足网络经济条件下客户新的需求在不断的创新发展,金融业务也在网络载体上不断的创新业务类型,伴随网络金融的发展,网络机构管理也必然实行管理创新。
网络金融在我国得到了广泛的应用,推动了我国经济的发展,同时开启了金融服务的新时代,但是网络金融发展的现状也暴露出了一些问题,这些问题严重制约了我国网络金融的进一步发展。
一、网络金融存在的问题
(一)网络金融安全性较低
网络金融安全问题是广大客户最为关心的问题,也是制约网络金融更好更快发展的主要因素之一。目前引起安全问题的原因有自然灾害和意外事故;计算机犯罪;人为行为,认为使用不当,安全意识差等;黑客行为,由于黑客的入侵或侵扰造成的等等。我国网站安全隐患严重,据调查超过80%的网站有安全问题,影响了网络金融业务的健康快速发展。安全隐患具体表现在:网络金融硬件落后,国产化的硬件技术低,较为依赖外国技术;网络系统漏洞,网络固有的技术体制存在缺陷,较为容易被病毒、黑客入侵;安全意识薄弱,这个体现在多个方便,包括网络金融管理和业务运行人员、监管机构及客户。
(二)网络金融立法相对滞后
随着网络金融的快速发展,出现了许多新的问题和纠纷,引起了社会各界的关注。但是法律法规并没有针对新问题的出台新的规定,致使出现的问题和纠纷无法得到很好的解决,这就给网络金融带来了较大的法律法规风险。
(三)网络金融监管体制不健全
网络金融是网络和金融的混合业务,这对我国进行分业监管的体制是一个挑战。在网络金融出现后,监管出现了真空地带,随着网络金融的快速发展,新的问题层出不穷,监管力度小,使得网络金融监管缺失。
(四)观念落后
网络金融还是个新生事物。政府、消费者和金融业从业人员等各方面对网络金融认识不足。对于政府部门来说,网络金融监管难,新业务多,配套的法律法规较少,且这种新业务是否能带动经济快速发展需要进一步研究。消费者因网络金融更习惯于传统的交易方式,网络交易不直观,对于网络提供的各种产品存在质疑,且对产品的售后保障不放心等等制约了消费者对网络金融的需求。金融从业者准备不足,缺乏推动网络金融发展的积极性。
(五)网络金融机构间缺乏协同机制
各网络金融机构各自为政,行业信息、网络结构构建等缺乏有效沟通,行业间数据作为绝密材料被保存,缺少较好的资源共享渠道,资源资金浪费严重,影响整个金融业的发展。
(六)应急预案缺失
针对出现的各种问题,应对措施相对被动,也缺乏较好的应急预案,这也是制约我国网络金融发展的关键问题之一。
二、推动我国网络金融发展的对策建议
(一)强化金融网络系统的安全性
采取积极措施,加快发展金融网络系统所需的硬件和软件系统,不断更新换代,加强技术的自主化研究,拥有自己的核心技术,降低对国外信息技术的依赖性;同时对于网络系统固有的缺陷,要建立一定的安全制度进行防范,并且随着网络技术的提升,弱化缺陷;强化业务人员的安全意识,强调安全的重要性,对金融从业人员制定制度和法规进行限制,提高其执行业务的安全性,提醒、教育客户运用多种技术进行防范。
(二)加快配套的网络金融法律法规建设
建立行之有效的法律体系,我国网络金融法律法规立法滞后,空白地带多,需尽快建立完善的金融法制体系。第一,网络金融安全法律缺失严重,由于网络金融安全影响国家经济安全,国家参照国际上网络安全法律《电子通信法案》、《数字签名法》等法律制定要求,研究制定政策、标准和指导规范等。慎重设置市场准入条件,在保障安全的基础上保证公平公正,同时对特殊交易应作出另行规定。第二,健全网络金融监管法律法规体系,网络金融监管体制不健全也是由于缺乏法律支持。第三,制定相关法律促进各大网络金融机构之间的合作,强化资源整合,使得金融资源能够在网络化运行中最大程度地共享。第四,通过立法,确定金融机构制定应急预案为长效机制。
(三)完善网络金融监管体制
我国的金融业处在不断发展的阶段,尚不成熟,针对网络金融的混合业务,监管部门须突破现有观念,更新网络意识,使得监管思路符合网络金融发展趋势;权责分明,确定好监管部门职责权限,清晰划分各部门负责的领域并确定权责范围,同时要不断调整、交流与协作;加强网络金融监管部门的内部控制体系建设和运行实施,确保监管系统运行的有效性;加快加强网络金融监管人才培养,提升网络金融服务水平;加强各监管机构之间的交流协调,共同提高监管效率。
(四)加强网络金融的宣传
针对各方面对网络金融内容、作用等的了解不足,可以通过媒体对网络金融进行宣传,对其提供的产品的真实性进行强调,改善客户对网络金融的认识。
(五)培养网络金融专业人才
网络金融有其人为特性,人才在网络金融运行中扮演着重要的角色。网络金融安全运行需要信息技术专业人才和法律法规专业人才的介入,网络金融监管活动的实施需要监管专业人才,我国现有从业人员的专业素质需要进一步提高。建立一支复合型、专业型的人才队伍,需要增强现有从业者的业务兴趣并且提供其进行国外培训学习的机会,同时注意大学中此类专业学生的素质培养,使得企业、政府和高校合作,让学生在校期间即可获得更多的出国和培训机会。(作者单位:山东经贸职业学院)
参考文献:
[1]左进业,贺根庆,中国网络金融的现状与发展趋势分析,征信,2014(6),7-11
[2]祁让坤,我国网络金融风险监管现状及完善措施,时代金融,2014(4),39-40
[3]张文婷,我国网络金融发展初探,黑龙江金融,2011(7),68-70
金融行业网络安全应急预案范文4
【关键词】支付系统;运行风险;管理
支付系统作为我国金融服务最核心的基础设施,为银行业金融机构和金融市场参与者构建了稳定、便捷、安全的资金高速公路,极大地提升了资金运行与金融服务的效率。随着我国经济金融的发展、市场交易量的不断扩大、突发事件的增多以及各类支付系统参与者的不断增加,支付系统作为全社会资金运行大动脉的作用愈发突显,对系统运行的稳定性、持续性的要求与日俱增。因此,充公认识支付系统运行中存在的风险并采取相应措施加以防范、控制、化解,对促进支付系统的失言和发展有着十分重要的意义。
一、支付系统运行风险的表现形式
1.网络风险
支付系统设立了两级处理中心,即国家处理中心(NPC)和城市处理中心(CCPC),商业银行通过商业银行前置机系统(MBFE)与城市处理中心相连接,各金融机构之间通过网络供应商提供的通信链路连接起来,并以此实现各项业务数据的传输。因此,如何在数据传输过程中避免风险、确保网络通讯安全、保障业务数据安全传输,是支付系统建设中最为关键的问题,如果不采取相应的保护措施,遭遇数据传输过程中常见的风险如窃听、盗用、数据篡改等,业务数据的保密性、完整性、可靠性就有可能受到破坏,造成严重损失。更有甚者,若通讯线路中断,就会导致支付系统业务停止,出现系统性、区域性甚至全局性的瘫痪。
2.操作风险
系统对操作人员的重复登录和签退没有严格的限制,同一操作人员可以在多个操作终端上进行重复登录;支付系统虽然能定期提示更改操作员密码,但系统并不强制要求更改为不同的密码,如果操作员长期使用同一密码,无疑会形成一定的风险隐患。
3.设备风险
随着支付系统建设的不断完善,其配套设备也逐渐增多,作为支付系统的基础,设备的健康程度将直接影响支付清算业务的运行状态。然而,由于支付系统设备多,且技术工作通常在系统建设初期由供应商、集成商和开发商完成,CCPC的技术人员对系统的了解不够深入,技术力量相对薄弱。当系统出现CCPC技术人员无法解决的问题时,往往需要求助于上级部门和开发商,若故障不能及时排除,将会对数据的传输、存储以及安全构成威胁,影响系统的正常运行。
4.查询风险
同以前的电子联行系统相比,系统存在对业务状态查询不明确的问题,新系统没有设置一个单独的界面对业务处理状态进行查询,操作员在处理完业务后进入业务处理状态查询,才能看到该笔业务的处理结果,致使查询工作相对滞后,这样不但浪费时间,而且还致使操作员长时间保持登录状态,存在一定的风险。
5.参与者风险
MBFE是商业银行行内系统与支付系统连接的枢纽,用于接收、发送和处理本行支付业务,是支付系统的重要组成部门。MBFE通常由商业银行自己的科技部门进行维护,没有CCPC相关技术人员的协调与指导,容易产生以下问题:一是由于没有统一的直接参与者系统参数设置标准,CCPC无法直接Ping通某些MBFE,影响CCPC技术人员对网络连通性的判断。二是部分MBFE未使用双机热备技术,一旦其系统崩溃,将导致本行支付业务中断,对支付系统的正常运行产生不良影响。
6.核算业务风险
一是系统对相关账务实行借贷双方同时等额记账,容易出现账务错误而未被发现的风险。采用“一记双讫”记账方式后,借贷双方始终平衡,一些隐蔽性差错不易发现。二是支付系统上线后,网点会计人员在办理开户单位资金汇划业务时,只需保证自己录入的会计信息准确无误,而上级联行柜不直接办理营业网点的原始电汇凭证,只能根据营业网点录入的信息进行处理,难以根据电汇原始凭证核对往账业务的真实性和完整性,缺乏相应的监控手段。三是网点柜按照原始凭证录入往账信息,该往帐进行柜的待处理账面里时,如果收款人开户行名称过长、联行柜往往看不到隐藏在后面的完整开户行名,在操作中有可能造成接收行 与原始凭证上所填开户行发生偏差,从而影响资金汇划速度,造成汇划风险。
二、目前支付系统的风险防范措施
1.制定了一系列规章制度
自支付系统建设以来,中国人民银行陆续颁布了关于支付系统运行管理办法、运行维护办法、危机处置预案等一系列规章制度,分别从岗位管理、业务操作管理、系统维护管理、信息安全管理、机房管理、故障处理等方面对支付系统的运行维护工作做出了详细的规定,确保支付系统安全、稳定、高效运行。
2.完善了一整套技术手段
为保障业务数据传输安全,支付系统对业务数据的传输进行了通讯加密和业务加押,并且部署了防火墙、入侵检测系统以及安全扫描等软硬件设施,增强了支付系统的访问控制,扩展了维护人员的安全管理能力,有效防范了网络风险。
3.采取了一系列防范措施
针对设备和技术存在的固有风险,中国人民银行清算总中心采取了一系列的防范措施。如建立空难备份中心,当国家处理中心发生故障时,可以迅速切换到备份处理中心,保证业务的连续性;建立网络通讯备份线路,当正在运行的风险通讯线路发生故障时,系统将自动地使用备份通讯线路进行数据传输;部署CA监控系统,对支付系统的主机、数据库、中间件、应用程序的运行状况进行实时监控,帮助维护人员及时发现和处理故障。
三、完善支付系统运行风险的防范建议
1.建立支付系统运行风险评估体系
综合分析支付系统的技术体系、组织体系和管理体系,确定影响支付系统物理安全、网络安全的因素,以及应急预案的有效性。采用定性方法对可能发生的突发事件进行综合性评估,更有针对性地制订防范、降低、转移和规避风险的措施,保障支付系统的稳定运行。
2.提升应急工作能力
支付系统的应急演练工作通常是在明确演练项目后,按照制定的演练方案进行,对提升技术维护队伍应对突发性系统故障能力和应急技术水平的作用十分有限。建议采取适当的突击演练形式,检验现有应急预案的可操作性和技术维护队伍的应急反应能力,及时发现薄弱环节,完善应急预案,提升支付系统的抗风险能力。
3.完善系统运行功能,有效保障各项资金安全
一是要完善操作人员管理功能,口令更改也不允许新旧口令可以输入相同,并在一定程度上提高增加口令的复杂程度。如口令设置必须同时有数字与英文字母或字符组成才能通过。二是建议新系统开设一个单独的业务状态查询界面,由系统操作员实时地查询业务处理结果。
4.加强内控制度管理,规避业务操作中的风险
一是延伸查询查复功能。将大额支付系统的查询查复功能延伸,这样中心支行联行柜组在接收到查询信息后,根据业务的处理情况,审核后及时转发至相关业务网点,该网点拟写查复内容,及时上传中支联行柜批复、审核,并予以发送。这样既发挥了网络传递信息的优势,又避免以往查询查复形式不统一、查询时间过长的矛盾。二是为防止收款人开户行名称过长联行柜不能看到完整开户行名称这种情况,网点柜在录入该笔往账时,允许使用规范化简称,以弥补系统中的缺陷。
金融行业网络安全应急预案范文5
[关键词]养老机构;风险管理;内部控制
[DOI]1013939/jcnkizgsc201714113
目前,我国已经进入老龄化社会,国家和社会养老压力日益严峻。养老机构作为我国养老服务体系建设的一部分,发挥着重要的补充作用。但是,目前在我国养老机构建设和管理中,尚没有成型的专业风险管理的内控体系,源自各国五花八门的管理制度和粗放的本地管理制度混杂在一起,使得养老机构运营和管理面临较大的风险。近年来,频频曝出养老院重大安全伤亡事故,2015年5月25日河南省平顶山市鲁山县康乐园老年公寓发生特别重大火灾事故,造成38人死亡;2017年1月4日,吉林省通化市辉南县朝阳镇一安养老院发生火灾,造成7人死亡。目前,我国养老行业力推PPP模式,养老机构建设如火如荼。但由于缺乏统一有效的风险管理体系,有养老行业人士预测:在未来的2~4年内,中国老龄产业的风险事件还将集中爆发。因此,在养老机构中应提高机构内部控制能力和风险管理能力,提高老年人入住养老机构的安全性和满意度。
1内部控制
根据1992年COSO委员会发表的内部控制报告的定义,内部控制是指:由公司董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率、财务报告的可靠性和遵守适用的法律法规。[1]内部控制是为了实现企业的高效管理,保证资产和信息安全,避免经营风险,实现企业可持续发展的一种重要管理手段。在打破多年来以政府为主导的养老机构建设管理格局,大规模实行民营化的背景下,养老机构运营过程中,面临的风险系数也将增加,机构内部控制体系建设越来越重要。
2养老机构目前存在的主要风险
21战略风险
养老机构治理如同公司治理,同样需要有战略眼光。养老机构的长期发展,会受到养老机构选址、产品和服务定位、集团扩张、多元化经营策略、企业文化及价值观建设、对市场风险及竞争对手的判断、机构内部组织结构、政企关系等因素的影响。
22市场风险
养老机构建成后的运营时间一般比较长,运营过程中会受到经济发展水平、通货膨胀变化、银行利率浮动、市场竞争对手情况、养老产品发展、消费群体喜好变化的影响。
23运营风险
养老机构的收益基本来自运营阶段,而运营风险也是养老机构面临的最大的风险。在运营过程中,机构消防安全、食品安全、服务质量、员工尤其是护理员的稳定性、机构内部管理合理性、机构产品定位准确性、政府税收补贴政策等都对养老机构的良好运营带来不确定的风险。
24法律风险
目前,我国在养老行业的法律建设比较落后,养老机构容易陷入事务纠纷。老人入住合同不范不统一、事故责任划分机制不明确、机构事务纠纷诉讼及处理程序不规范、国家法规政策调整、养老行业专业律师缺乏、养老事务法律咨询机构稀缺等各种因素都将对养老机构带来风险。
25财务风险
养老事业属于福利性事业,养老行业属于微利性行业,在养老机构运营过程中,大部分机构都面临财务风险。在养老机构建设和运营过程中,机构贷款、融资比较难、经营盈利少甚至亏损导致资金链条断裂、财务管理不规范、财务系统不完善、集团资金缺乏监管导致被随意挪用。
3养老机构风险管理内部控制体系建设的必要性养老机构目前存在众多风险,为了增强风险意识,提高风险应对的精准性,促进养老行业健康发展,建立养老机构内部控制体系是非常有必要的。
31合法必要性
目前,在国家大力发展养老行业PPP模式的背景下,养老政策密集出台,养老法规逐步完善。新的养老机构服务标准、合同标准、环保标准、消防防疫等安全标准、老年人设施设备标准、募捐及志愿活动等都将陆续建立和完善,政府和行业组织将加大对养老行业的监管力度。内部控制体系的建立和完善,将规范养老机构行为,提高养老机构运行合法性。
32运营必要性
基于养老行业PPP模式市场化和产业化的大背景,养老行业将面临大发展,社区养老和居家养老模式受到大力提倡,养老机构尤其是民办养老机构将迅速增加,机构运营竞争更加激烈。同时,随着消费群体需求的增长,养老服务更加多样化、高质化,服务群体的服务标准和维权意识也日益增强,有资质的专业护理员严重缺乏,机构不断面临法律诉讼和护理纠纷困境,而能够有效转移运营风险的保险产品严重滞后,机构运营管理日益复杂。建立和完善内部控制体系,将提高养老机构运作规范性和高效性,提前规避运营风险。
33投融资必要性
在大数据和养老行业PPP模式化背景下,产生了多元化的网络+金融+养老和众筹模式。出于资本的逐利性,养老行业投融资门槛将迅速提高,投资者对养老机构的盈利能力和风险控制能力将提出更高的要求。如果打算众筹一家养老机构,或者向网络银行贷款,必须要有能够让投资者感到安全的风险管理系统。同时,养老机构开始高度专业化,外包服务和供应链不断拉长,时刻考验着供应链的安全稳定。要实现养老机构投融资,建立内部控制体系将极大地减少投资风险,促进投融资顺利进行。
34人力资源建设必要性
养老行业从业人员数量庞大但素质不高、有资质的专业人员短缺。目前,我国仅拥有养老护理员约100万人,持证上岗的养老护理员仅为5万人,养老护理员的缺口达近900万人。[2]另外,从业员工对自身的职业健康保护意识增强,对机构的人文建设、工作环境、薪酬结构等都提出了更高的要求。为了提高养老行业整体服务水平,建立内部控制体系,将有效地规范行业管理,提高养老服务质量。
4养老机构风险管理内部控制体系建设
41养老机构内部控制体系建设的原则
(1)前瞻性。内部控制体系要超前制定,事先考虑和预测风险,制定并完善风险应急预案机制,防微杜渐,居安思危;在促进企业发展方面,要强化行业品牌意识,提高企业的竞争力,实现专业化、多元化、连锁化战略经营。
(2)标准性。内部控制体系要实现标准化、模块化,增强与各项管理模块的兼容性。在实施过程中,实施标准不因实施对象、实施主体等的差异而随意变更,要强调职责明确,避免政出多门,权力不明,职责不清,同时要善于授权和加强监管。
(3)协调性。要强调内控体系的统一性、连续性和业务完整性,各项指标和体系要相互协调,互相促进,避免出现体系相互排斥冲突的情况;在实施过程中,要方便调整和更新,且调整更新成本低,在操作过程中要便于核对检查。
(4)可行性。内部控制体系的建立,要适应养老行业的外部宏观大环境,如经济、政治、法律、文化、公共环境的情况,也要结合养老机构自身的特点,考虑机构自身所处的地区周边环境、机构实际运营情况、入住老人需求、人力资源状况、机构财务情况等。
(5)具体性。内控规则要分模块细化具体,要对控制流程做出详细描述。对控制目标、要求、内容、措施、主体、对象、时间、地点、程序、记录等做出详细规定,以实现操作规范性和统一性,既能宏观把握,又能注重微观细节。
42养老机构内部控制体系模块建设
根据养老行业特点,养老机构内部控制体系建设模块主要有:信息系统、财务管理、法律法规、公共事务、公司治理、人力资源、后勤服务、环境安全、应急预案、市场营销。
(1)信息系统。养老机构信息系统内部控制建设要制定总体的信息系统建设规范,对信息系统的开发、运行、维护、管理、使用进行管理和控制。主要对以下方面进行建设和控制:信息系统安装管理、信息系统和网络安全管理、信息录入管理、信息传递和使用管理、信息系统变更管理、信息系统用户操作管理、信息备份和拷贝管理、信息公开管理等。
(2)财务管理。财务管理内控模块要求对养老机构业务流程进行控制,包括:经济业务的授权、审批、审核、结算、复核、盘点、记账、核对和审签等业务。对养老机构的固定资产、物资采购、应收应付等项目进行规范管理,以提高养老机构经营管理活动的效率,提高养老服务水平和质量,保障机构及企业的财产安全、财务报告的真实可靠,促进企业持续健康发展。
(3)法律法规。法律法规内控模块是养老机构各内控模块的基础和原则,也是机构发展的战略方向。养老机构法律法规内控模块主要归纳和学习新、老国家养老政策法律法规、条文条例、规章制度,提高养老机构事务合法性。法律法规模块重点是把握养老事业国家政策方针,培养专业养老事业法务人员,提高养老机构服务和管理、发展的规范性和合法性。
(4)公共事务。公共事务内控模块主要是针对机构对外事务的规范和管理,主要包括:政企关系、社会关系、媒体公关、志愿者服务活动、慈善募捐、国际养老文化及经验交流。公共事务内控模块的建立,有利于规范对外公共事务,实现养老机构战略发展、营造良好外部发展环境、提高社会影响力。
(5)公司治理。进行公司治理内控模块建设要对养老机构的企业文化、组织结构、机构设置及权责分配等进行管理。在公司治理过程中,要建立机构内部的民主机制,建立科学合理的激励机制,使得养老机构组织文化深厚、组织结构优化、结构设置合理、权责分配得当,公司上下齐心,能进能退,为提供优质高效的养老服务奠定优良的组织和文化基础。
(6)人力资源。人力资源内控模块主要是对养老机构人力资源进行管理。针对对象主要有:养老机构管理人员、护理人员、财务人员、医务人员、培训人员、行政人员、后勤人员、安保人员。在具体的内控设计过程中,要重点针对各类人员的工作规范、员工招聘、薪酬设计和激励、技能培训、身心健康、人事关系等活动进行规范。人力资源内控模块尤其是对护理人员的内控设计最为重要。在对护理人员管理中,要对护理人员业务操作流程、注意事项、纠纷解决、技术培训、薪酬激励等进行标准化规范,提高护理人员的专业性。
(7)后勤服务。后勤服务内控模块是保障养老机构后勤服务质量的根本。主要包括:营养膳食、食品卫生安全、生活护理、社区助餐等内容。后勤服务内控要重点规范后勤操作流程、严格把关食品卫生安全、开发适合老年群体的营养膳食,保障机构老年人的身体健康,为机构老年人提供优质的后勤服务。
(8)环境安全。环境安全内控模块是保障养老机构运营安全、机构工作人员、服务对象的人身安全的重要防线。在进行环境安全内控模块建设中,要加强消防安全、医疗急救、老年设施设备安全建设和管理,要定期进行消防安全演练和教育宣传,进行医疗急救流程规范和知识培训,建立机构老年设施、设备安全标准。
(9)应急预案。应急预案内控模块是减少养老机构突发危机,缓解危机灾害,减少危机后果的重要保障。养老机构应急预案主要包括:突发自然灾害应急程序、突发人为灾害应急程序、机构事务纠纷应急程序、社会公关危机应急程序等。
(10)市场营销。市场营销内控模块具体包括机构业务介绍、服务推广、品牌定位、展会展览、客户评估等内容。在养老机构市场营销内控模块中,要规范养老机构业务推广,形成规范的业务推介和营销模式,精准市场定位,找准机构客源,在提高市场份额的同时,也要加强对目标客户群体的资质、条件审核,对于不符合机构服务条件的群体,采取限制准入的方式,将运营风险提前规避。
养老机构内控体系是一个系统的体系,是机构运行的基础和业务操作的流程和规范,是机构风险管理的重点内容。内控系统的建立,不仅有助于机构内部的系统管理,提高机构运行效率,也是有效应对外部风险、发现和抓住行业发展机遇的基础。在进行养老机构内控体系建设过程中,要植根于养老行业特点,充分结合自身及其他养老机构管理经验,抓住时代特点和政策机遇,不断完善和发展内控系统内容和规范,为养老机构运作和风险管理提供技术、程序支撑。
参考文献:
[1]方红星内部控制――整合框架[M].大连:东北财经大学出版社,2008:93-95
[2]许江萍,东志中国养老产业投资潜力与政策研究[M].北京:经济日报出版社,2015
[3]陈家军公司内控体系的构建和完善[J].财经界:学术版,2016(10)
[4]李敏我国机构养老服务的现状及问题研究综述[J].办公室业务,2016(2)
[5]张美珊企业加强风险管控的要点[J].中外企业家,2014(12)
金融行业网络安全应急预案范文6
关键词:电子智能机房;设计;维护
中图分类号:TP308 文献标识码:A 文章编号:1007—9599 (2012) 14—0000—02
一、电子智能机房的设计思路与实践经验
(一)坚持绿色节能环保与实用原则,设计规范化机房系统
1.详尽分析需求的基础上在总体设计时切实注重实用性可靠性与安全性,充分考虑前瞻性
根据国家规范,机房室内装饰应选用气密性好、不起尘、易清洁,在温湿度变化作用下变形小、燃烧等级为A级的材料。吊顶上做防尘处理。采用抗静电活动地板,承载能力满足《抗静电活动地板规范》要求,集中负荷3000N时地板变形≤0.2mm,极限负荷>6000N,分布负荷为12500N/m2。机房专用空调区域地板下采用橡塑保温板做保温处理,厚度为13mm,地板下所有墙、柱面均刷防尘漆。空调电源室和主机房区域的原外窗窗体采用玻璃胶密封可以确保永久不漏雨水。各区域采用标准防火玻璃密闭门;防火玻璃门(宽1500mm,高2100mm),以便于大型设备的进出。
2.按实际需要整个电子机房设计下列必备体系
排风及排气系统、新(送)风系统、空调气流组织形式、坡道及踏步、接地系统、防雷系统、门禁系统、防静电设计,抗干扰设计,防尘设计,防水设计,防腐设计,保温、隔热、隔音设计采取消声与减振措施。考虑色彩设计、文化墙(Lg墙)。气体消防及消防联动系统设计。照明设计须充分考虑机柜设备维修时采光角度及位置
3.机房工程对土建工程的要求与衔
电源室区域楼板承载必须在45平米内全部达到1000公斤/平米要求。机房整体区域地面进行水泥砂浆找平处理。
机房用电量额度测算分析与施工。按未来五至八年的设备扩展情况测算最大额度的用电量,既不能太少会导致未来设备增加而电量不能满足,也不能有太多冗余,因多余的用电额度供电部门会收取较高的费用导致浪费。机房整体区域配电由土建总包负责提供两路供电电缆送至UPS室的指定AT柜位置并预留长度。土建将小于1欧的接地体按指定位置安装。
土建总包在机房区域的走廊吊顶高度应充分考虑各种管线的走向及留有足够的空间等因素。考虑其它需要衔接的事项及入场条件。
4.计算机系统供配电量测算分析
机房总用电量=UPS用电+精密空调用电+照明和维修用电+现有设备用电量+设备扩容10%冗余。
5.机房综合布线系统设计
机柜内信息点设计依据:按照设备最大安装数量+每设备双口+每设备KVM口+临时组网调机因素+冗余。选择质优的六类非屏蔽布线产品。考虑所有楼层弱电间接入层交换机总台数信息点。
6.机房内布线设计须注意几点
按所有机柜及设备总数计算出光纤信息点数,考虑语音信息点;机房内使用的宽带和专线由供应商直接送入机房上配线架入柜或从本层语音端子排跳接;机房合适位置布置一个电话点便于设备维修;预留的机柜将网线盘在地板下作防尘处理,后续扩展使用时自行取出安装至配线架并捆扎线缆即可。
(二)智能化原则,建立运维管理智能平台
设计环境动力集中监控(KVM)系统和主机集中监控维护平台。KVM系统实现对机房环境与动力设备实时运行参数的采集与处理,主要包括:精密空调监测、配电监测、UPS监测、空调漏水监测、温湿度监测、有害气体监测、新风机组监测、排风机组监测。主要监控对象有:配电系统、UPS、专用空调、定位式漏水检测系统、机房内温湿度、有害气体、新风及排风系统监测。而主机集中监控维护平台主要是针对机房内所有网络安全设备及各种主机应用系统内的深层次状态的监管与预警。
(三)标准化与实用性原则
按国家标准结合实际应用将机房区域划分为专用空调间、主机区域、通信机房、备品备件间、UPS电源室,有必要的话可以考虑设置监控室。各分区用防火玻璃做不完全隔断,既美观省空间又便于查看设备状态。机柜数量及其布局设计要经过精准的测算并留有冗余。所有设备及线路标签统一规范。
其中通讯机房独立设计是考虑专设用于大楼的语音布线及宽带和对外联网专线,采用防火玻璃部分隔断,即与主机间线路地下相连又有独立的门进出供通讯部门日常维修之便。机房内使用的宽带和专线由通信供应商直接送入机房上配线架入柜或从本层语音端子排跳接。
二、电子机房搬迁切重要点总结
(一)有前瞻性的规划各机柜设备布局
按网络、应用分开的大原则,在此基础上再分别按内、外网络分开的小原则规划设备区域和定位,同时各区域均留有冗余。考虑各设备间线路连接的便捷性、易操作性、美观度等因素,以财税局机房设备部署为例设计的机柜与设备定位对应图表如下,据此按步骤操作则完全保障设备上架与线路连接的准确和便捷。机柜规划与定位部署图示
(二)制定机房搬迁实施计划表
按时间(精确到几日几时)、须完成事项、责任人、配合部门等列项制订出详细的计划表,并提前招集相关人员进行多次演练。
(三)召开各通信部门联席会议确定光纤电话等线路的迁移事宜
提前一个月组织电信、移动、联通、网通等通信单位负责人讨论确定光纤等线路迁移细节,将计划表给各单位,取得他们的大力支持和协助,以确保外线在规定时间内完成迁移,保证网络畅通。
(四)组织搬迁团队分工协作
事先请后勤做好路线演习,充分考虑堵车等路况问题。成立两个团队分工协作:第一团队分3个组在旧机房,1组提前半天做所有主机网络设备的数据备份最好两份,2组按网络安全主机机柜顺序开始拆缷设备并贴好标签,同时3组打包装车并做好防雨装备。第二团队分成四个组在新机房,1组负责把运到的设备抬到机房门外,在机房外拆包避免造成新机房内灰尘污染,2组按照“机柜规划与定位部署图”及设备标签负责上架安装,3组负责按标准对所有设备与连线打制标签,4组负责对已装好的设备进行开机调试、网络测通、主机应用软件测试等工作并反馈问题到其它组员,共同排查故障与问题直到所有网络畅通,所有应用正常工作。
机房搬迁是个有计划有组织非常严密且时间集中的项目,对所有外联单位都须事先做好沟通,在单位门户网站、电视、报纸等媒体上进行停机公告,事先告知所有的办事单位将影响降到最低。
三、电子智能机房运维管理经验探讨
(一)建立一套切实好用的智能化IT设备管理平台
有两个机房管理系统可以为机房及设备的日常维护与管理提供较好的预警与帮助。一个是KVM即机房环境集中监控系统如上所述。另一个是IT设备集中监控运维管理平台,构建机房各种设备深层次的集中监控、管理、流程、服务、展示系统,及时准确全面反映与掌握设备及信息系统的运行状态。能够将各类主机、网络安全设备、数据库、中间件、存储设备等实现统一管理,主动及时发现问题,并智能调度资源解决问题,形成IT运维管理主动服务的新局面。可实现如下目标:强化主动监控实现集中管理、定位故障快速恢复系统运行、掌握设备运行质量与效率并合理利用硬件网络资源、规范运行管理有序开展维护、共享设备运维经验完善运管知识库、具有设备网络管理统计分析和决策支持。
(二)培养一个高素质的专业化管理团队,制定可行的管理制度并不断完善
合理设置岗位如硬件设备及网络安全、系统维护与管理、数据库管理、前台运管等。建立专业人员系统年度培训与学习机制、工作问责与监管机制、年度考核制。
(三)制定应急预案定期演练并不断完善
制定应急计划与流程图,此外核心设备如核心交换机关键主机等需要备件,这也是应急机制要考虑的方面。
(四)选择高水平专家团队提供疑难支持为必要手段
选择业内在机房环控及主机网络安全设备方面有经验的高水平专业公司作为技术支撑是保障机房设备及网络安全的必要手段,同时可通过每年培训学习等方式提升本单位团队的实力。