前言:中文期刊网精心挑选了征信信息安全管理实践范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
征信信息安全管理实践范文1
关键词:用户参与;信息安全;信息安全意识;业务流程结合;
作者简介:谢宗晓(1979-),男,山东日照人,南开大学商学院博士研究生,研究方向:信息安全管理、网络组织与治理等。
1引言
无论信息安全的关注点从单点转向系统,还是其手段从单纯的技术/管理转向体系,安全体系的核心始终都是用户。因为在所有安全机制中,一方面,用户是机器系统的使用者,也是安全策略的执行者,作为主体方存在;另一方面,用户是安全策略约束的对象,作为客体方存在。
用户在信息安全实践中的作用往往被认为是消极的,有些研究认为,在任何系统的安全机制中,人是最薄弱的环节[1-2]。但是,目前不存在完全不需要用户参与就能够智能识别并适应环境变化的安全防护系统,就这点而言,用户参与在现阶段是不可避免的。此外,ISO/IEC27001:2005指出,信息安全的主要目的是确保业务连续性、业务风险最小化、投资回报和商业机遇最大化,也就是说信息安全是基于业务要求的适当安全,过度的安全往往意味着浪费。Spears等[3]的研究表明,用户参与风险评估和控制措施设计过程可以提供足够的业务信息,避免不切实际的安全控制,使实现适当的安全成为可能。因此,用户参与在信息安全实践中是必须和必要的,本研究的目的是探讨用户参与在信息安全管理(informationsecuritymanagement,ISM)有效性中的作用。
2相关研究评述
2.1用户参与
用户参与的研究开始于20世纪60年代[4-5],目前多集中在信息系统开发领域中,在相当长的一段时间内,用户参与和用户涉入的概念被认为同义。Barki等[4,6]第一次将用户涉入与用户参与的概念分离,认为用户参与是系统开发过程中用户执行的一系列行为或活动,用户涉入是用户对一个系统的重要性以及与个体关联程度认识的主观心理状态。
用户参与理论假设用户参与与以系统质量、用户满意度、用户接受度、系统应用等定义的系统成功之间存在关联[5],其中隐含的含义为,在信息系统开发过程中的用户参与并不是必须的,而在信息安全实践中的用户参与则明显不同,只有部分参与与全员参与的区别,并不存在是否参与的区别。Doll等[7]认为,在强制环境下,用户涉入与用户参与没有区别。由于用户参与在信息安全情境中已经隐含了强制环境的含义,因此本研究也认为用户涉入与用户参与同义。为了研究方便以及与信息系统开发过程形成更好的对应,本研究中的用户参与是指用户在安全策略制定过程中的一系列行为或活动。
在信息安全研究领域,绝大多数研究都在关注安全功能的实现,Dhillon等[8]在对文献进行分类梳理后认为,信息安全研究主流必然从关注功能的范式转向基于社会-组织视角的研究;Ashenden[9]反思人在信息安全管理中的作用,认为其中来自人的挑战被忽视了,并建议从管理学和组织行为学的角度研究信息安全管理所面临的困境。之后涌现出的基于社会-组织视角的信息安全相关研究中,人的因素明显成为热点,Johnston等[10]认为恐惧诉求会影响员工遵守安全策略;Bulgurcu等[11]认为员工遵守安全策略受规范信念和自我效能等因素的影响。
但是,这些关注员工遵守安全策略的研究与以往的功能范式研究假设前提一样,即用户参与(在信息安全中一般称作人的参与)是作为消极因素出现,这在信息安全风险评估和管理中尤为明显。一般认为人工评估是目前信息系统复杂到无法进行全定量化和全自动化评估时不得不采取的一个补充手段[12-14],如何去掉信息安全风险评估和管理过程中人的参与也成为其中的重要研究目标之一[15]。
在信息安全情境中,专门研究用户参与的文献较少,仅有Spears等[3,16]探讨用户参与在信息安全风险管理中的作用,并得出用户参与对信息安全风险管理有正向作用的结论,但对用户参与在信息安全中的定义未进行深入探讨,直接用信息系统开发中的系统开发替代风险管理。问题在于,在定义信息安全术语的ISO/IEC27000:2009以及类似文献中并没有明确的用户参与的词汇,只有管理者、用户以及全员参与等相关或相似词汇。更重要的是,信息安全的概念比信息系统安全的概念大得多,后者主要围绕信息系统展开,前者则包括与信息有关的所有方面,如信息系统安全、环境安全、通信安全和人员安全等各个方面。
2.2信息安全管理有效性
什么是成功有效的信息安全管理,目前并没有统一的标准。无论是DeLone等[17]研究中涉及的6个维度的信息系统成功模型,还是He等[18]得到的2组8个因变量,都是关注信息系统的成功应用,其本质是效率或便利性的提高。但是几乎所有的安全控制都增加了系统的操作复杂度,从而降低了效率,或者说,安全性与便利性存在某种程度上的矛盾。信息系统成功和信息安全管理成功指向不同的目标,因此,在信息安全管理情境下不能直接引用已有的信息系统成功模型。
已有的信息安全研究中对于有效性的表述各不相同。Chang等[19]在探讨组织文化对安全管理有效性影响时,将有效性表述为安全管理有效性,并用保密性、完整性、可用性和可核查性作为变量来表征;D'Arcy等[20]在研究员工安全意识对信息系统误用的影响时,将有效性表述为有效的安全对策;Brady[21]在研究影响信息安全法律法规符合性的影响因素时,将有效性表述为安全有效性,并延用了Chang等[19]的研究构念。
无论表述为哪个概念,绝大部分的研究在讨论有效性时都是依据安全属性和安全目的进行判断。ISO/IEC27002:2005对信息安全的定义是保持信息的保密性、完整性、可用性,也可包括真实性、可核查性、不可否认性和可靠性等。这个定义本身就包含了信息安全管理的主要目标,也包括了7个最常见的安全属性描述。实际上学术界普遍认可的信息安全的3个核心属性是保密性、完整性和可用性,也称为信息安全金三角或CIA(confidentiality,integrity,availability)框架[22],而对真实性、可核查性、不可否认性和可靠性的认识则各有不同。为了研究方便,本研究选取3个核心属性表征信息安全管理的有效性。当然,有效的信息安全管理还要考虑更多的因素,如应该遵循成本效益分析的原则[23-24]等。
2.3信息安全管理体系
信息安全管理体系(informationsecuritymanagementsystem,ISMS)概念最初源于BS7799,它是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等内容。信息安全管理体系的支撑标准是ISO/IEC27000标准族,共有60个标准,编号为ISO/IEC27000~ISO/IEC27059,其中最重要的标准ISO/IEC27001:2005和ISO/IEC27002:2005已经被等同为国家标准,即GB/T22080-2008和GB/T22081-2008。
本研究以信息安全管理体系为背景研究用户参与在信息安全管理中的作用,选择信息安全管理体系作为研究用户参与的背景主要原因如下。
(1)一般认为信息安全管理体系是信息安全管理的一个可接受模型或最佳实践[19,23-25],而且目前信息安全管理体系应用非常广泛。截至2011年6月,世界范围内已经通过信息安全管理体系注册的组织共有7279家,中国有497家(http:∥iso27001certificates.com/)。
(2)信息安全管理体系包括可能涉及的所有信息安全管理活动,ISO/IEC27000标准族不但给出建立、实施、运行、监视、评审、保持和改进信息安全的基于业务风险的方法,而且还给出信息安全管理体系的要求、实用规则、审核指南以及相关安全域的具体指南等,仅ISO/IEC27002:2005信息安全管理实用规则就包括11个控制域、39个控制目标、133项控制措施。
(3)信息安全管理体系相关标准是鼓励用户参与的,部署过程按照Plan-Do-Check-Act的戴明环,阶段划分明显,而且大部分的部署组织会申请第三方认证,并在中国认证认可协会注册,因此研究者可以非常清晰地判断组织是否部署了信息安全相关措施、是否在信息安全实践中有用户参与行为等。
3研究假设和模型构建
3.1用户参与对信息安全管理有效性的直接影响
Ives等[26]对1959年至1981年的用户参与与信息管理系统成功之间关系的实证研究进行梳理发现,22项研究中有8项表明用户涉入与系统成功正相关;Cavaye[27]对1982年至1992年的研究分析得出的结果基本类似,19项研究中有7项表明用户涉入与系统成功正相关,部分研究是无定论或负相关;He等[18]从464项研究中选择82项实证性研究进行元分析,认为用户参与和信息系统开发的态度和行为与生产率存在不同程度的正相关。
虽然信息系统成功和信息安全管理成功指向不同的目标,但两者的开发过程存在极大的相似性。信息安全管理体系的部署过程实际上是一整套安全策略体系的开发过程,可认为是系统开发的一种,信息系统开发的过程包括需求分析、概要设计、详细设计、编码、测试、上线、维护升级等阶段,信息安全管理体系的部署过程包括风险评估、体系设计、文件设计与编写、试运行、持续改进等过程。信息系统开发与信息安全管理体系部署的对应关系见图1。
基于此,本研究提出假设。
H1用户参与对信息安全管理有效性有显著的正向作用。
3.2信息安全意识及其中介作用
信息安全良好实践(thestandardofgoodpracticeforinformationsecurity,SoGP)将信息安全意识定义为组织内所有的员工理解信息安全的重要性,清楚组织所适用的安全级别,知悉并履行个人的安全职责。
用户参与到建立信息安全管理体系的过程中,并承担各种安全责任,可以加深用户对信息安全的理解。Spears等[3]通过研究认为,用户参与到信息安全风险管理的过程中可以提高组织对信息安全风险和控制措施的重视程度,从而提高用户的信息安全意识。基于此,本研究提出假设。
H2用户参与对信息安全意识有显著的正向作用。
Kruger等[28]认为,安全控制的应用效果依赖于积极的安全环境,其中每个人都具有较高的信息安全意识,都理解并执行组织内的程序和规程;反之,在消极的安全环境中,安全控制不但得不到有效的应用,甚至会被规避和滥用。按动机分,主要有以下两种情况。
(1)故意的。如银行业务系统用户的非法外联,由于不理解信息安全的重要性,不了解后果的严重性,这类用户往往并不知悉组织的信息安全惩戒措施或相关的法律法规,可以归结为信息安全意识薄弱。
(2)无意的。如服装设计人员不知悉哪些信息需要保密、哪些信息可以公开,将作废的设计图纸随手扔进垃圾箱,这可能导致信息泄漏,影响信息的保密性。再如,有些用户对主机的安全操作规程不了解,随便重启服务器,这可能导致宕机,并由此影响信息的可用性。
这些导致信息安全管理失效的行为或多或少与信息安全意识相关联。
基于此,本研究提出假设。
H3信息安全意识对信息安全管理有效性有显著的正向作用。
H4信息安全意识在用户参与与信息安全管理有效性的关系中起中介作用。
3.3业务流程结合及其中介作用
系统质量理论认为,用户参与可以使开发者真正了解系统需求,从而提高系统质量[29-31]。在信息安全管理情境中,没有涉及质量这一概念,ISO9000:2005对质量的定义是,一组固有特性满足要求的程度,按照这个定义,信息安全管理的要求是满足组织业务对安全的需要。用户(尤其是业务流程负责人)参与到信息安全管理的建设过程中可以使安全策略开发者了解业务过程,同时也使他们自己更加理解安全策略目的,从而促进安全策略与业务流程进行结合,提高安全策略的质量。Spears等[3]的研究证实用户参与可以使信息安全风险管理更加符合业务情境。基于此,本研究提出假设。
H5用户参与对业务流程结合有显著的正向作用。
对用户参与信息系统开发与系统使用之间关系的研究表明,只有在可选择应用的环境中进行研究才有意义[17]。但Barki等[4]认为,即使在强制应用环境中,用户还是可以根据自己的判断(如态度和意愿)控制使用的程度,而信息系统的使用程度正是信息系统成功的参数之一。
信息安全管理是强制环境,但是在实际应用中安全策略的设计者出于尽职免责的心态,很容易陷入过度安全的状态,而业务流程负责人出于对自身利益的考虑则希望尽量减少安全控制对正常业务的影响,这种矛盾的存在往往会导致安全策略使用程度(被遵循程度)降低,即安全策略未得到有效实施。
由安全主管和业务流程人员共同参与设计安全策略是解决这个矛盾的途径之一,这个过程往往是一个博弈的过程,最后一般会使组织的安全策略符合基线标准。只有这种充分考虑了业务要求的安全策略才能得到高“使用程度”,进而提高信息安全管理的有效性。因此,本研究提出假设。
H6业务流程结合对信息安全管理有效性有显著的正向作用。
H7业务流程结合在用户参与与信息安全管理有效性的关系中起中介作用。
综上所述,提出本研究模型,如图2所示。
4研究设计
4.1样本选择
研究者从2011年6月前通过信息安全管理体系认证的497家中国公司随机抽取30家,给每家公司发放10份问卷,以邮寄的方式将问卷发放给被选公司的信息安全负责人,随后以第三方认证机构电话确认的方式,请公司信息安全负责人组织公司相关成员填写问卷,并以邮寄的方式回收问卷。收回256份问卷,剔除问题填写不完整的22份问卷,最终纳入数据分析的问卷共234份,问卷的有效率为78%。填写问卷人员的描述性统计如表1所示,其中男性占60.684%,女性占39.316%,与目前信息安全从业人员性别比例基本相符。
4.2变量和测量
4.2.1自变量:用户参与
用户参与沿用Barki等[6]和Spears等[3]的测量框架,按项目阶段确定关键活动。信息安全管理体系采用PDCA框架模型,阶段划分明确,本研究也采用分阶段罗列关键活动的方法对用户参与程度进行测量,每阶段选取7项关键活动,用户参与其中一项得1分,否则为0,以此类推,每个阶段的用户参与结果最小值为0,最大值为7。
用户参与问卷以ISO/IEC27001:2005和谢宗晓等[22,32]描述的信息安全管理体系部署过程中一系列关键活动为基础,选择36项关键活动,其中计划阶段12项、执行阶段12项、检查阶段8项、改进阶段4项,并把检查和改进阶段合并为12项。在信息安全管理体系从业人员中选取22人,采用多选项-多选择量表的方法,限定从业人员分别从36项关键活动中选择7个认为最重要的选项,从业人员分布见表2,选择结果统计见表3。
4.2.2中介变量:信息安全意识和业务流程结合
无论在萨班斯奥克斯利法案还是在信息安全管理体系的情境下,信息安全意识和业务流程结合的含义基本一致,都是为了提高信息安全管理的有效性。信息安全意识量表和业务流程结合量表修改自Spears等[3]的问卷,该问卷为Likert7点量表,1为非常反对,7为非常支持。
4.2.3因变量:信息安全管理有效性
采用Chang等[19]设计、Brady[21]沿用并修改的Likert7点量表测量信息安全管理有效性,1为非常反对,7为非常支持。
由于信息安全意识、业务流程结合和信息安全管理有效性的测量量表引用自英文文献,为了保证问卷的有效性,研究者将英文翻译成中文,请两名中文专业硕士研究生对问卷的行文进行修改以符合中文习惯,然后请两位信息安全领域的专家比对问卷的中英文内容并审核确认,所有变量及问卷项见表4。
4.3构建有效性
用户参与、信息安全意识、业务流程结合和信息安全管理有效性4个潜变量的信度(Cronbach'sα)、均值、标准差、极值和相关系数如表5所示。用户参与、信息安全意识、业务流程结合、信息安全管理有效性的Cronbach'sα系数分别为0.723、0.802、0.640、0.948,信度较高,在可接受范围内。Mithas等[33]认为,来源于实践、经过长期的实践检验且有权威来源的量表(如国际标准和国家标准)能够保证测量的效度。本研究中问卷的测量符合以上要求,因此能够保证效度。
4个潜变量之间的相关系数全部达到显著相关,数据适合多重中介模型检验。
5实证结果和分析
5.1同源方差分析
由于本研究中变量数据均来源于自称式问卷调查,容易导致变量之间的关系不能反映潜在构念之间的真实关系,即共同方法偏差的存在容易导致构念效度的降低,甚至影响研究假设的接受或拒绝,增加犯Ⅰ类错误或Ⅱ类错误的概率[34]。沿用Podsakoff等[35]和周浩等[36]的方法,本研究采取验证性因子分析方法分两步对问卷共同方法偏差进行分析,检验结果如表6所示。
采用Harman单因子检验方法对用户参与、信息安全意识、业务流程结合和信息安全管理有效性进行检验,如果方法变异明显存在,验证性因子分析的结果容易析出一个单独因子或者一个公因子解释大部分变异[37]。由表6可知,单因子模型的拟合指标没有达到可以接受的标准,NNFI=0.848,CFI=0.863,RMSEA=0.186。然而Harman单因子检验方法的假设前提存在明显的缺陷,除非存在非常严重的同源偏差问题,否则一个公因子解释大部分变量变异的情况一般不会出现。为进一步探查同源偏差的可能性,本研究采用不可测量潜在方法进行因子检验,比较有共同方法偏差的模型与没有共同方法偏差的模型,如果后者的拟合指数优于前者的拟合指数,表明变量数据不存在共同方法偏差。由表6可知,四因子模型的拟合指数比较好,RMSEA<0.080,CFI>0.900,NNFI>0.900,对四因子模型与其他3个竞争模型的χ2和AIC指标(值越小越好)[38]进行比较,无共同方法偏差的四因子模型明显优于其他3个有共同方法偏差的模型,说明各变量间不存在明显的同源方差,用户参与、信息安全意识、业务流程结合和信息安全管理有效性具有良好的区分效度。
5.2结果分析
多重中介模型的验证方法有多种,MacKinnon等[39]提到14种验证路径的方法,在所有验证方法中,Preacher等[40]和Sobel[41]都推荐Bootstrapping方法,认为该方法模型参数估计更为稳健,结论也更可靠,更能避免Ⅰ类错误,尤其是进行多重中介研究时。本研究采用Bootstrapping方法,使用Preacher等[40]提供的SPSS宏,使用SPSS18.0验证多重中介模型。按照提出的研究假设,将用户参与设定为自变量,将信息安全意识和业务流程结合设定为中介变量,将信息安全管理有效性设定为因变量,样本数量设置为5000,置信区间设置为95%,对如下方程回归系数的显著性进行检验,结果见表7和表8。
其中,c、a1、a2、c'、b1和b2为回归系数,ε1~ε4为残差。
由表7可知,c=0.674(p<0.001),达到显著水平,表明用户参与程度的不同显著影响信息安全管理有效性的高低,支持H1,同时也为中介效应的检验提供了基础。a1=0.555(p<0.001),a2=0.421(p<0.001),表明用户参与对信息安全意识和业务流程结合有显著正向作用,支持H2和H5。b1=0.279(p<0.050),b2=0.183(p<0.050),表明信息安全意识和业务流程结合对信息安全管理有效性有显著正向作用,支持H3和H6。
整体模型指标中,F=26.508,p=0.000,说明自变量用户参与通过中介变量信息安全意识和业务流程结合对因变量信息安全管理有效性的影响达到显著水平。此外,模型的解释率R2为0.247,表明还有其他变量能够纳入模型,这也是下一步研究的方向。
由表8可知,用户参与对信息安全管理有效性总的间接效应为0.155(a1b1)+0.077(a2b2)=0.232,对应的Z检验结果为3.581(p=0.000),偏差矫正与增进95%bootstrap置信区间为{0.120,0.352},置信区间不包括零。因此,拒绝总的间接效应为零的虚无假设,表明总的间接效应显著。
在多重中介方法中,不但要关注总的间接效应,也要关注单独的中介效应,由表8可知,中介效应值如下。通过信息安全意识:a1b1=0.155(Z=2.569,p<0.050),偏差矫正与增进95%Bootstrap置信区间为{0.048,0.270},置信区间不包括零;通过业务流程结合:a2b2=0.077(Z=1.967,p<0.050),偏差矫正与增进95%Bootstrap置信区间为{0.018,0.162},置信区间不包括零。由此可见,信息安全意识和业务流程结合的中介效应显著,支持H4和H7。此外,两个中介效应的置信区间有重合的部分,且两者比较检验结果不显著(Z=0.992,p>0.050),可以认为两个中介变量起到的中介作用没有显著差异,同等重要。
本研究概念模型的验证如图3所示。
6讨论
(1)本研究验证了用户参与在信息安全管理中的正向作用,这对安全机制不能完全脱离人而运转的情况具有非常积极的意义。
(2)本研究解释了用户参与如何正向影响信息安全管理有效性。Spears等[3]验证了在萨班斯奥克斯利法案情境下用户参与对控制措施绩效的正向作用,但是并未揭示用户参与如何影响控制措施绩效。本研究通过构造多重中介模型,揭示了用户参与可以有效地提高员工的信息安全意识,促进业务流程结合,使组织的信息安全管理体系更加符合组织的实际安全需求,最终促进信息安全管理有效性。
(3)本研究采用多重中介的验证模型,应用Preacher等[40]提供的SPSS宏,多重中介模型可以更清晰地揭示用户参与影响信息安全管理有效性的路径。
本研究结论对管理实践具有一定的指导意义,主要体现在标准制定和安全实践两个方面。
(1)本研究证实了用户参与的重要性和积极作用,为信息安全相关标准的制定、完善和提高提供了新的视角和依据。
(2)大部分组织的安全负责人都会尽量减少人在安全机制中的比重,以减少执行的不确定性,这导致2010年至2011年68%的组织在安全技术方面的投入超过整体安全预算的10%,仅17%的组织在终端用户安全意识教育方面的投入超过整体安全预算的10%,有35%的组织还不足1%;同时,有41.100%的受访组织经历了信息安全事件,攻击源来自内部用户滥用网络或邮件的占24.800%[42]。显然,组织的安全负责人应该将安全预算的分配更多地倾斜到终端用户身上。对信息安全管理体系的咨询和认证人员而言,在咨询和认证的过程中,不应仅关注安全技术的部署和安全制度的设计,也应关注如何鼓励用户参与到所有可能的活动中,并承担更多的责任。
7结论
征信信息安全管理实践范文2
1.1信用风险日益加大
在我国,各种模式的众筹融资及P2P网贷平台均存在很大信用风险。就众筹融资来说,其信用风险主要存在于两大方面。第一,项目发起人的信用风险。由于众筹融资准入门槛较低,任何个人或企业均能在众筹平台上项目,这就存在发起人用虚假身份发起项目的风险,在项目募集成功后,平台会一次性将所筹资金打入项目发起人的账户中,此后将不负责对后续事宜的监督,容易造成发起人挪用资金用于约定计划以外的高风险项目,提高了投资人利益受损的风险。第二,众筹平台自身的信用风险。众筹平台的信用风险主要在于资金的托管上。在项目募集期间,投资者将资金划拨到众筹平台的账户,募集结束后再将资金划转到募集成功的项目上,在这个过程中众筹平台充当了支付中介的角色,然而按照我国《非金融机构支付服务管理办法》的规定,众筹平台并不符合充当支付中介角色的资格。并且,众筹平台没有设立第三方托管账户,一旦出现恶意吸收资金,将会使投资者蒙受巨大的损失。就P2P平台来说,其信用风险主要存在于两个方面:第一,根据我国《合同法》《贷款通则》及相关法律解释,P2P网贷平台充当的是“居间人”的作用,即:平台只能充当信息中介,不能介入交易、吸收资金,从事融资性担保或债权转让等活动。然而在实践中,部分P2P平台已经介入了交易,跨越信息平台的定位,成为了信用平台。资金的产生和运转都由P2P平台控制,容易产生非法集资和卷款“跑路”的风险。第二,P2P网贷平台上的许多借款人是无法向银行取得贷款的次级客户,本身就具有较低的信用等级,其偿付能力较差,容易产生无法按期归还贷款本金及利息的风险。
1.2流动性风险不容忽视
互联网理财门户以余额宝为例,目前余额宝的七日年化利率在4%-5%之间徘徊,一旦利率下降或银行提高自有理财产品的收益率及购买起点金额,那么原投资于互联网理财平台的资金将大量流回银行,由此引发的集中赎回可能会引起流动性风险。另外,遇节假日大量采购商品将产生扎堆赎回资金的现象发生,当平台的备付金账户或自有资金不够垫付时,也会产生流动性风险。就P2P网贷平台来说,一些平台为了争夺客户资源,许诺超过正常收益水平的利率,降低平台的收益,只能依靠业务量的增长维持平台的运转,一旦由业务量增长带来的收益不能弥补其经营成本,就会产生资金链断裂。另外,有的P2P为了宣传平台,造成“繁荣”的假象,常会造超高回报率、超短期限产品———秒标。大量使用会使贷款标的产生异常,或造成到期无法偿还贷款本金及利息的后果,这些都会加剧流动性风险。虽然一些平台自身从事融资性担保或与担保公司合作为出借人提供贷款担保,但是高担保杠杆率在业界已成为常态,不少平台远超10倍法定杠杆率,最高的担保杠杆率甚至到达50倍以上,只要一笔借款发生风险,就有可能导致担保公司血本无回。
2我国互联网金融风险凸显的内在原因
2.1互联网征信不到位
P2P网贷及众筹业务在运行过程中都需要对被投资人或企业进行征信调查,在不能直接接入中国人民银行征信系统的情况下,我国互联网征信正处在一个尚不明晰的状态下。相较传统征信,互联网征信在数据获取渠道及征信使用领域上与之有很多不同之处,互联网征信获取的是被调查人在线上的交易记录、社交信息及其他网络服务信息,更能反映被调查人的心理、性格等本质特征,因此在使用领域上也更加宽泛。但目前我国互联网征信还处于起步阶段,虽然有初具规模的互联网征信平台,如上海资信有限公司开发的NFCS系统,但规模大的P2P网贷平台担心自身数据流失而不愿接入,规模小的P2P网贷平台又被设置了接入限额,需要“排队”,并不容易接入。一些P2P平台开始寻求自身成立征信公司,然而没有适当的信息标准,制约了P2P平台间的接换,降低了行业整体的征信效率。另外,随着互联网征信的发展,其合法合规性风险开始凸现,一些电商平台或社交网络在用户不知情的情况下采集其交易信息或社交信息,或一些网站采集信息主体敏感信息以及法律、行政法规规定禁止采集的其他个人信息,又如信息提供者将有不良记录的用户提供给互联网金融平台而没有告知用户。这些常见的现象都违反了《征信业管理条例》中的征信业务规则。
2.2网络安全问题亟待解决
由网络安全风险引起互联网征信、P2P平台及第三方支付造成客户损失的现象屡屡发生。目前我国互联网金融网络安全主要存在三个方面的问题:第一,信息安全风险突出。利用互联网进行采集、传输、并提供服务的互联网征信及网贷等平台聚集大量被征信人、借款人、贷款人等详尽个人信息,一旦受到黑客非法访问、篡改和泄露,就会侵犯被征信人及借贷双方的隐私和权益,并可能使互联网征信平台及P2P网贷等平台遭受破坏性损失。第二,支付技术风险凸显。以第三方支付为例,其要求客户开通快捷支付,只需输入简短的交易密码就可以完成支付,指令单一,无磁卡、无密令,绕开了银行支付网络。这种弱认证的方式导致客户资金被盗的案件屡次发生。第三,不法分子洗钱、套现风险。第三方支付、P2P网贷平台、众筹平台有较低的客户准入门槛,目前虽然一些平台开通实名认证方式,但也只是核对身份证号码的真假,其背后的信息很难验证,一些不法份子利用互联网金融平台账户之间的来回交易进行洗钱、套现,并提高了监管难度。
3我国互联网金融监管建议
3.1建立互联网征信行业标准及共享机制
当前个人和企业网络信息采集标准、信用报告格式规范、征信服务标准等缺乏,制约了互联网征信机构利用信息技术提高信息采集、加工和应用的效率。同时,缺少相应的接换标准来打通传统金融和互联网金融、线上和线下之间的信息壁垒。管理部门可以参考有代表性的互联网征信企业的运营现状,根据我国互联网征信的实际情况,制定科学、有效、适用性强的互联网征信信息标准,并明确互联网征信信息的采集范围、采集方式及使用方向。风险信息共享是P2P行业一直致力倡导的,其必要性在于搭建统一的信用平台,让业内能够做到黑名单共享等,完善与P2P相关的征信体系,让P2P企业在提供借款时有更多可以参考的风险指标,提高借款效率与风控水平。目前,由于信用基础数据库是在一个专网运行,在技术上需要考虑通过一些第三方或者自律组织来进行转接,以实现P2P机构接入,探索将以阿里巴巴为代表的电商平台数据系统、以宜信、陆金所为代表的P2P网贷平台客户信用系统、以网络金融信息共享系统(NFCS)、小额信贷行业信用信息共享服务平台(MSP)为代表的同业信息数据库等互联网金融企业征信数据接入人民银行征信系统,实现国家金融基础数据库信息在更大范围内的共享利用。
3.2完善信息披露制度
我国监管部门应当着力推进互联网金融行业的信息披露制度。互联网金融的本质就是透明、真实、快速的技术体系,必须毫无保留的披露信息,不能因为过分强调对隐私权的保护等理由拒绝披露。尤其对于P2P网贷平台和众筹融资来说,不仅要披露平台的信息,还要披露投资人所投资金的去向及借款人的情况。所需披露的平台信息主要包括:平台的股东、注册资本、运营模式、风控系统、定期财务数据等经营信息;所需披露的借款信息主要包括:借款金额、用途、资金所投项目运行情况、借款利率、借款期限、坏账率等信息。所需披露的借款人信息主要包括:借款人的信用情况、工作及收入等信息。完善互联网金融业的信息披露,可以使投资人更加清楚、明确的了解所投资金的情况,运行良好的项目可以吸引更多的投资人与资金;风险较大的项目通过信息的披露可以使投资人作出合理决策,避免进一步的损失。
3.3加强市场准入及退出监管
设置准入门槛,使得具有一定资质的互联网金融机构才能从事互联网金融业务。如:对注册资本的最低限额作出规定;要求平台股东或管理者具有一定的金融专业知识及从业经验、无不良记录;要求平台具备固定的经营场所、风险控制系统、信息技术基础设施等。同时还要设定交易限额以降低系统性风险;要求平台具有一定的资本充足率以减少流动性风险。监管机构在设置准入门槛时一定要把握好度,过高的准入门槛会限制参与主体的准入,扼杀互联网金融市场参与主体的积极性,不利于互联网金融行业的发展。完善市场推出机制,市场退出中要保护放贷人利益。首先,清算组织应当提前发出公告,提醒借贷双方平台存在风险,并给予借款人一定的偿还贷款的时间,对于一定日期后,贷款人还未收回的贷款,网站应先行垫付;其次,由于P2P网络贷款平台存在沉淀资金,而沉淀资金的利息归属又不明确,可以建立贷款人风险基金,在网站退出市场时,利用此风险基金,保护贷款人的利益,补偿其损失。
3.4引入监管人才及投资者保护制度
重视引入监管人才,尤其是掌握信息技术和金融专业知识的复合型人才,才能逐渐扩充优质监管队伍,同时还要对已有监管人员进行网络通信、计算机技术及金融监管方面的技能培训,提高其专业能力。互联网金融的长尾现象使得对互联网金融参与者的保护成为监管的核心内容,互联网金融投资者普遍缺乏金融专业知识及风险意识,监管部门应加强投资主体权益的保护,引入综合性投资者保护制度,及时受理投诉。监管部门还应要求从事互联网金融业务的平台对投资者进行充分的风险提示及风险测评,向客户推荐符合其测评等级的金融产品或投资策略。同时,重视对投资者的风险教育,培养其契约精神及风险意识,纠正长期以来部分民众形成的“刚性兑付”的观念,使其具有风险自负的投资理念,防止盲目投资。
3.5建立互联网金融监管自律组织
采用以上监管建议,能够解决制度准则问题,要保障互联网正常运行,须参考国外各类互联网金融的行业自律监管组织管理,2011年,英国三大P2P平台就建立了全球第一家小额贷款行业协会,2012年,12家英国众筹公司也成立了众筹协会,并推出相关行为准则,通过设定融资平台最低资本额、IT信息安全管理、信用评级、反洗钱和反欺诈措施等,保护出资人权利,促进市场良性发展。我国也应积极发展各类互联网金融的行业自律监管组织,管理部门尽快推动国内成立第三方支付协会、P2P网贷协会等行业监管自律组织,通过自律协同监管,构建多层次的互联网金融监管体系。
4结论
征信信息安全管理实践范文3
关键词:互联网金融;风险防控;分析
ITFIN,是金融行业一种全新的发展模式,所具有的特征与传统金融相对比,比较特殊。所具有的功能范围比较广泛,具体表现为成本低、效率高、覆盖面广,同时具有显著的发展趋势。但是,因为ITFIN在一定程度上传承了互联网的特征,所以在实际发展的过程中也存在着一定的弊端。因为在管理领域所呈现的功能强度相对较弱,导致在实际应用和发展的过程中存在着一定的风险隐患。因此,金融行业在发展ITFIN的过程中,需要针对其中所具有的风险类型进行明确,并利用先进的战略手段对具体的风险进行有效控制,从而促进该新型的金融模式在全新的市场环境中实现稳定的发展。
一、互联网金融发展概述
ITFIN,是一种全新的金融模式,在当前的互联网时代下具有极强的适应性,是时代创新的重要金融产物。具体指在互联网的支撑下的,实现融通、支付、投资等各类与金融有关的各项业务开展与实施。在拓展金融业务范围和服务规模等方面发挥着重要的支撑作用。就目前来讲,ITFIN体系所包含的金融模型具体可以分为以下几种类型。(1)众筹。这是依托于互联网信息分享渠道广的特性,将各种导渠道的资金进行集中整合。(2)P2P网贷。即在互联网的支撑下,以第三方平台为载体,实现资金的借贷。(3)第三方支付。是一种应用范围比较广的ITFIN模式,在服务范围和功能体现方面具有较强的综合性。(4)大数据金融。具体指电商企业在互联网的支撑下对海量数据进行资源整合,并在基础上开展相应的金融服务。除了以上几种比较典型的ITFIN模式之外,还包括金融门户、数字货币等其他模型。可见,ITFIN系统中所蕴含的模型分类有多广泛。在实践应用的过程中,ITFIN该系统在海量数据生成、信息智能检索以及高速处理等方面,所具有的功能优势十分突出。但是,与之相对应地,ITFIN在实践应用的过程中也会出现一定的风险隐患,对此,金融行业整体需要加强思想重视。
二、互联网金融存在的风险分析
(一)互联网风险。众所周知,互联网虽然在信息存储、传递方面具有显著的技术优势,但是因为其系统环境的开放性,并且在信息资源方面具有较强的共享特征,导致其内部环境存在着一定的风险隐患,具体表现为信息的泄露、丢失等。而这些因素在一定程度上受互联网平台的内部结构稳定性、防护系统安全性等方面影响显著。在网络平台进行资金交易的过程中,需要以协议交易信息和细则为前提。也就是说,在正式交易之前,双方需要就交易内容、资金数额以及具体的交易方式进行对接,从而保证交易活动顺利进行,维护双方的资金利益。而上述信息都是十分重要的金融信息,如果在对接的过程中出现信息泄露等不良风险,就会严重威胁双方的资金安全。尤其是在当前的互联网时代背景下,以支付宝、微信为载体的支付方法受到广泛的应用。在这样的金融环境下,衍生出了很多种犯罪的方式和技术手段。一些犯罪分子利用特殊的手段对交易信息进行盗取,利用病毒技术黑入用户资金账号,盗取资金。除此之外,ITFIN在互联网方面所具有的风险隐患还有很多。比如说,负面的评价,以及网络的不合理传播等,都可能给ITFIN环境造成的一定的威胁。因此,金融行业需要针对上述风险加强思想认知,并采取有效措施进行合理规避。(二)金融风险。在ITFIN运行和发展的过程中,金融风险也是比较常见的风险类型,也是导致ITFIN受到发展制约的重要因素。通常情况下,金融风险的具体类型主要包括以下几个方面。首先,资金流动风险。因为对此风险类型缺乏正确的思想认知,在进行资金交易以及ITFIN系统正式运行之前,未能就资金流动过程中可能存在的风险因素进行全面分析。同时,也未能针对相关的风险完善相关的预防机制,是导致风险波及范围增加的主要原因。如果不采取有效的手段进行干预,则可能导致金融平台内部资金流动受到制约,甚至增加资金链断裂等其他风险隐患发生。其次,信用风险也比较常见。ITFIN是建立在良好征信指标的前提下开展的金融交易与借贷,双方需要严格履行合同细则,具有一定的契约性。但是,如果进行金融交易的过程中,双方中的任意一方如果在诚信方面出现问题,未能严格遵守契约精神履行相关的职责,就会导致金融风险发生。尤其是对一些金融模式来讲,以P2P为例,在进行网络借贷金融服务的过程中,相关企业无法对借贷人群的真实经济情况以及诚信情况进行全面、准确的的评估,那么在开展金融服务与合作的过程中很可能会增加烂账、坏账等不良风险。(三)其他风险。ITFIN在实际落实的过程中还会受其他因素影响而出现一定的风险。比如,系统内部的技术结构和功能是否完善,以及工作人员的操作是否规范等,都可能给金融环境造成一定影响。因此,针对当前ITFIN在实践运行和发展中存在的各类风险,相关单位和行业整体必须要加强思想重视,并通过制定相关的体制,提出相关的解决措施进行有效干预。
三、互联网金融的风险防控措施分析
(一)完善互联网金融管理体系。针对ITFIN系统稳定运行实际需求,顺利贯彻风险防控目标,相关企业需要就管理体系进行完善,从而构建优质、稳定的运行环境,最大限度地控制风险的发生。首先,加强风险管控的思想重视,意识到风险对ITFIN发展造成的不利威胁,并在思想上端正认知态度。作为管理者需要在思想上进行明确,并将正确的防控思想有效地传递给基层工作人员队伍,从而保证上下防控思想准确、一致,推动各项防控工作稳定开展。其次,在明确思想导向之后,企业需要针对ITFIN运行环境,构建完善性的管理体系。对工作人员的具体职能范围进行明确,并针对常见的风险,就具体的系统操作流程进行规范,比如ITFIN系统运行过程中的具体操作步骤,信息的登陆、备份以及交易环境的安全性检测等,从而保证工作人员严格按照规范性的工作流程,开展相应的作业工序。同时,企业需要就工作机制进行完善处理,落实责任体制。将风险防控职能落实到个人,覆盖到ITFIN系统运行的每个环节当中,从而保证ITFIN在实际运行的过程中,能够拥有一定的人才储备进行管理干预,从而保证金融环境安全、稳定。(二)加强信息技术和基础技术研发。在积极发展ITFIN的过程中,相关企业需要做好基层建筑的建设工作,对相关的技术工艺进行优化和创新,从而保证金融系统内部结构的稳定性,同时也能够在一定程度上拓展功能覆盖范围,不断对功能要素进行丰富和创新,从而全面提高ITFIN在金融行业领域的市场影响力。首先,加大资金投入,引入先进的科技技术。对ITFIN市场进行综合分析,从国外国家引入功能先进的技术体系。并结合企业内部实际发展需求,对原有的金融体系进行结构重构,并引入先进的软硬件设施,对系统功能进行优化处理,从而全面提高金融系统在市场环境中的适应性。其次,加强先进技术的研发与创新。制定一定的技术研发项目,合理配置资金,并引进高素质的技术人员,为积极开展ITFIN系统创新与技术研发提供良好的支撑平台。在研发的过程中要结合市场整体发展趋势,以及企业自身的发展定位,并且要根据具体的模型类型对技术研发方向以及具体的技术目标进行明确,从而保证各项创新工作高效、有序地进行。同时,加强安全防护等基础技术体系建设。针对ITFIN中存在的风险类型进行合理划分,并利用专业的技术手段对具体的风险进行防控。例如,针对ITFIN中存在的网络风险制定完善性的系统维护体系,做好网络环境的自动化监控,从而保证ITFIN系统能够正常运转。此外,在技术研发的过程中,企业需要做好充分的测试工作,从安全、效能等多个层面进行系统测试,避免技术体系存在漏洞而造成金融环境存在威胁。(三)加快构建互联网征信体系。征信是影响ITFIN环境安全的重要指标,同时也在很大程度上影响着ITFIN的发展进程。因此,相关单位需要从征信层面出发构建完善性的考核体系,从而保证在进行网络金融交易的过程中,对交易双方的征信记录进行全面考核,以此为依据决定交易操作是否进行,并对具体的交易数额进行有效控制。首先,利用大数据技术中的海量数据存储功能,对现代用户的征信信息进行收集,并构建征信资源中心进行统一管理。之后,在征信资源的基础上构建完善性的考核系统,对征信信息检索、评估等功能模块进行优化处理。如此一来,在具体实施ITFIN交易的过程中,能够先进行有效的征信评估。以P2P为例,在实施网贷服务的过程中,需要针对借贷人在日常生活中所呈现的征信数据情况进行综合统计与分析,并在此基础上对借贷申请进行考核,并控制好借贷数额。(四)加强互联网金融人才队伍建设。在ITFIN风险防控工作深入开展的过程中,相关企业需要从人才队伍建设层面进行全面优化,并加强建设工作执行力度,加强素质型人才储备,进一步规范系统操作的具体流程,构建安全、稳定的运行环境。在人才招聘的过程中,需要针对ITFIN系统运行在安全保障方面所提出的基本要求,就具体的工作职能进行明确,包括对系统平台进行规范操作,做好交易环境安全监测,加强金融信息备份与安全管理等,并围绕若干方面对应聘人员进行综合考察,以保证所引进的人员队伍与岗位实际需求之间更加契合。同时,相关企业需要针对ITFIN的具体运行需求,高度重视人员的素质培训工作深入开展。结合当前工作人员在实践操作中存在的问题,或者可能遇到的风险隐患进行全面分析,并以此为依据制定完善性的优化措施,进一步规范工作人员的操作表现。此外,企业需要针对工作人员的信息技术专业知识储备和信息素养进行重点考核,定期向其渗透信息安全等方面的知识、技能,培养工作人员形成良好的风险预估意识,并督促工作人员在信息化系统操作的过程中,规范自身的操作行为。(五)完善立法监督金融市场环境。在ITFIN实际发展的过程中,国家以及相关部门需要加强政策干预,从立法层面进行战略引导,针对风险防控具体需求就相关的法律法规进行完善,从而为ITFIN系统的规范运行提供良好的战略导向。首先,国家需要根据金融宏观调控战略要求,制定完善性的立法。如提出《互联网金融风险专项整治工作实施方案的通知》等。同时,基层政府需要针对当地在ITFIN落实中存在的具体风险现象,就具体的法规体制进行细化和完善,从而为当地的金融企业提供有力的参考依据。
依前所述,在以互联网为支撑的全新金融市场环境中,加强ITFIN风险的分析与防控十分关键。金融行业需要明确具体的风险类型,并分别从管理体系、技术层面、征信体系、人才队伍建设以及市场环境监督等多个层面,开展相应的战略干预措施,对ITFIN市场环境进行全面的监督,实施系统性的管理,从而保证所构建的金融市场环境更加安全、稳定。
参考文献:
[1]李琳.互联网金融及其风险防控研究[J].黑龙江科学,2018,9(19):148-149.
[2]潘牧云.互联网金融及其风险防控分析[J].现代经济信息,2018(18):305.
[3]侯向东.互联网金融风险防控分析[J].现代经济信息,2018(15):293.
[4]赵增强.互联网金融及其风险防控[J].税务与经济,2018(01):46-51.
征信信息安全管理实践范文4
在这样的背景下,基层人民银行(本文特指地市、县级分支机构)科技工作的内涵、外延都发生了很大变化,作为省会中心支行主管部门,需要结合新形势、新要求,重新分析原有管理模式中存在的问题,探索平稳实现基层人民银行科技工作转型的思路和措施。
一、基层人民银行科技工作职能转变主要内容
近几年来,全省人民银行科技工作基本按照统一规划、统一要求、统一实施的思路进行管理,各州市、县之间科技工作要求和内容差异极小,故本文以楚雄州中心支行数据信息为代表。
(一)目前基层人民银行科技工作主要内容
1.州县一级应用系统部署情况。以楚雄州中心支行为例,目前应用系统服务器或者主机还部署在州市、县的应用系统如表一所示。
目前州市、县一级在使用,但数据已集中到总行、省会中支的应用系统如表二所示。
2.州县一级网络建设运维主要工作。近年来昆明中支统一组织实施建设的重点网络项目为:办公网项目、小型微型金融机构专网项目、保卫安防专网项目。州市中支承担了相应建设任务。
除项目建设工作外,州市、县一级科技部门在网络日常运行维护方面完成的主要工作如表三所示。
3.其他内部科技服务工作。除应用系统、网络系统运行维护工作之外,州市、县一级科技人员承担的其他内部科技服务管理工作内容如表四所示。
(二)基层人民银行科技工作职能转变核心
通过对上述信息的分析,基层人民银行科技工作职能转变主要归结为“一个”弱化、两个“增强”。
1.单纯的应用系统建设及技术运维职能弱化。(1)应用系统日常技术运维表一中,部署在州一级应用系统还有22个,但重要程度高、安全级别高、运维难度大的资金类应用系统只有中央银行会计集中核算系统(ABS),并且按照总行统一部署,该系统将于2014年实现总行级数据集中;其次相对重要,也存在一定运维量的应用系统为办公自动化系统、视频会议系统;除此之外,其余应用系统均非实时系统,维护简单,业务部门对系统出故障中断运行的容忍度较高。表二中虽然州市一级目前使用的应用系统有81个,但服务器、核心系统和数据都已集中到两级数据中心,只要保障网络畅通,对客户端进行一些基本维护就可以保证正常运行,系统运维工作量不大。
从县一级看,虽然目前使用的应用系统还有26个,但本地有数据的系统只有3个,且为单机运行,不需要网络支撑,维护工作量很小。其余23个应用系统均在客户端上运行,运维工作更简单。(2)应用系统项目建设。由于两级数据中心建设构架的实施,原则上州市、县一级不再部署业务系统,所以总行、全省统一推广应用的系统均统一开发、建设,从全省看,除极少数地州自行开发了个别自用应用系统外,基层基本无自主开发的应用系统建设项目,并且即使自主立项,也主要是依赖外部专业化公司进行开发、集成、运维。
综上所述,基层人民银行科技部门针对应用系统的(网络系统除外)、单纯的技术工作职能已明显弱化。
2.对外金融行业信息化监管职能增强。随着人民银行科技工作职能的调整,近3年内基层人民银行新增主要工作内容如表五所示。
从上表可以明显看出,基层人民银行科技工作内容已从纯技术向技术、管理并重方向转变,管理范围已从对内向内外兼顾方向转变,尤其是对外的监管职能明显增强。
3.科技部门服务及创新能力要求增强。随着计算机及网络技术的高速发展,人民银行也和整个金融行业一道跨越了业务信息化的阶段,而进入到通过科技创新带动金融创新,提升服务社会经济水平的时期。全行几乎每一个工作岗位都离不开计算机和网络系统,人民银行的科技工作已不仅仅停留在保障系统、网络正常运行的层面上,而需要在保障安全运行的基础上,提供更快、更优、更新的技术服务和手段创新。从表四、表五中可以看出虽然应用系统技术维护职能弱化了,但随着桌面终端的普及、视频会议系统使用频率增大、电子化固定资产管理流程的规范完善、计算机及移动介质管理等新的工作要求,以及新增的行业管理职能,要求科技部门的服务意识、服务水平及监管能力、创新能力得到增强。
二、现有管理模式中存在问题及解决建议
随着整个人民银行科技工作重心和职能的转变,昆明中支在近3年中也在不断调整省会一级的工作思路和工作方式,努力适应转型需要,但目前在对基层的信息化管理模式中还存在一些亟待解决的问题。
(一)机房建设和管理
目前全省15个州市中支、110个县支行均参照相关国家标准及《中国人民银行计算机机房规范工作指引》建设有专门的计算机机房,标准中针对不同应用级别对面积、布局、配电、防雷、空调、安全防护等都有相应技术要求,也需要相应的资金投入。如本文第一部分所述,在两级数据中心的背景下,州市一级机房摆放的重要应用系统核心服务器已大量减少,县一级基本上只有网络设备,不同程度存在机房场地功能过剩、面积过大、管理内容复杂、基础设施配备标准过高以至于造成建设运维成本过高,管理、审计要求不切合实际等问题。
南昌中支通过对江西省辖内约80个县级支行计算机机房、网络中心等计算机场地现状的调查,向总行报送了《中国人民银行县级支行网络室建设研究》报告,提出了对人民银行县支行计算机机房重新定位,降低建设标准,变更为网络室的建议,同时对其规模、结构、配电、防雷、空气调节、安全防护等提出了具体的建设指标,对我省有很大的借鉴意义。这一思路同样可以应用到州市一级,应在充分调查研究的基础上,提出符合我省实际的州市、县计算机机房降级建设方案,并配套修改相应的机房管理、审计要求,在确保安全底线的基础上节约人力、物力和管理成本。
(二)信息系统应急管理
昆明中支自2011年起,组织全省州市中支、部分县支行开展了网络及重要应用系统切换实战应急演练,通过3年的实践,全省各级分支机构应急意识得到加强,综合应急处置能力全面提升,应急措施更加有效,应急管理实现了标准化、流程化、常态化,对确保数据集中前重要资金系统、办公系统和网络系统安全运行起到了很大作用,锻炼了队伍。但随着服务器及数据的上收,只要网络畅通,州市、县应用系统在客户端上就可以保证运行,原来以单一机构为主、以更换备用设备为主、以应用系统为主、以科技部门为主的应急模式需要进行调整。
应当基于目前情况,建立一套新的应急管理模式,核心一是建立可以接管任何一个州市、任何一个县支行网络系统的运行中心,配备必要的应急物资,可以在省级部署,或者在州市部署;二是探索开展基于发生灾害机构网络、计算机全部瘫痪不可用,但业务凭证、数据可用场景下,以业务部门为主导,利用临近州市、县正常运行的应用系统客户端进行重要资金类系统交易的跨区域协同应急演练;三是在实践基础上重新梳理制定数据集中背景下的应急预案及管理要求。
(三)队伍结构及人才培养
一方面从技术角度看,虽然基层人民银行应用系统开发、建设、运维职能减弱,但专业性要求更高的网络系统技术运维、信息安全管理工作职能却增强了,基层科技队伍的专业结构需要进行调整;另一方面从工作职能看,随着科技职能和工作重心的调整,为使人民银行科技服务金融职能,科技管理金融行为,科技支撑金融改革的作用得到充分发挥,对外的金融行业技术监管内容不断增加,基层科技队伍的创新能力、学习能力、管理能力需要得到很大加强。
要解决上述问题,一是从人事管理的层面逐步进行科技人员专业结构的调整,增加具备专业网络、信息安全知识技能的人员,同时加强相应的高层次的技术培训;二是构建多层次、多形式的用人机制,对于诸如视频会议系统日常操作、客户端基础软硬件维修、设备管理等工作量大但技术要求不高,主要依靠经验积累就可完成的工作任务,以服务外包或者合同制用工的形式解决;三是在全省范围内实现科技人员的统筹使用,建立常态化的科技人员向上交流制度,既可以让基层科技人员接触、学习到更新、更高的知识,为基层培养人员,又可以缓解省会中支人员紧张矛盾,改变基层“吃不饱”,省会“吃不消”的情况;四是加大科技部门和业务部门之间人员的交流力度,培养更加适应工作需要的综合性人才。
征信信息安全管理实践范文5
关键词:互联网金融;发展;问题
在互联网普及的同时,互联网与金融行业也逐渐有着互融的趋势,可以说互联网金融的出现已成定局。互联网金融成本低、效率高、覆盖广,互联网金融的发展将对金融模式产生重大影响,促使金融行业不断革新。然而在互联网金融带来便利的同时,也同时面临着许多问题,这些问题的发生会给互联网金融的发展造成不可避免的阻碍力量,从而使得互联网金融市场不断萎缩。而要想更好地发展互联网金融,就必须立足市场,加大创新。
一、互联网金融的概述
互联网金融是金融业务的一大创新,它是信息技术飞速发展的必然结果,是一种依托互联网技术的金融业务模式。在网络时代里,互联网金融的出现有着其必然性,互联网金融的发展也将逐渐推动金融改革。与传统金融相比,互联网金融成本低、覆盖广、效率高,极大地满足金融机构、消费者的需要。同时,互联网金融突破了时间和地域的限制,客户、消费者只需要在有网络的地方就可以享受金融服务,寻找自己需要的金融资源。虽然互联网金融带来了巨大的便利,但是在发展过程中也暴露出了许多问题,如风险问题,对互联网金融的发展极为不利。为此,互联网金融的发展还有待于深入的研究,需要加大创新,要积极做好风险管理工作。
二、互联网金融是金融发展的重要趋势
在现代社会里,人们生活水平不断提高,人们手中的闲钱也越来越多,对金融业务的需求也越来越大。对于金融机构而言,如果在开展金融业务的过程中如果继续采用传统业务模式,势必就会挫伤人们购买金融产品的积极性。而互联网金融是在魍辰鹑谝滴竦幕础上发展而来的一种新的金融业务模式,它是金融业务的一种创新。在互联网金融模式下,人们可以在家里就可以通过互联网选择自己所需要的金融业务,从而避免了亲自去金融机构咨询,金融服务更直接、便捷,大大的节省了人们的时间。随着网络的普及,人们对网络的依赖性也越来越高,在互联网日益普及的环境下,互联网金融将成为金融发展的重要趋势,发展互联网金融可以推动金融行业的更好发展,为人们提供更好的金融服务。
三、互联网金融发展现状
在互联网技术飞速发展的当下,互联网金融也取得了飞速发展。互联网金融的出现开始冲击原有的金融秩序,带动了金融业务多样化的发展。目前,第三方支付、P2P网络借贷等金融业务的出现为人们提供更好的金融服务,推动了我国金融市场的更好发展。近年来,我国互联网金融教育规模不断亏扩大,尤其是网络银行、第三方支付和P2P网络借贷等互联网金融。据相关数据统计显示,2013年我国商业银行网上银行交易规模突破了900万亿元的大关,其增长速度一直保持平稳的状态,第三方支付交易额规模超过了17万亿元,同比增长38.7%;而2013年P2片全年行业总成交量突破了1000亿元。通过这组数据可以看出,我国互联网金融发展势头非常迅猛。虽说我国互联网金融发展势头十分迅猛,但是不可忽略的是在互联网金融取得飞速发展的同时,互联网金融问题也不容忽视,互联网金融的安全风险也日益加剧,而要想推动我国互联网金融的健康、稳定发展,就必须全面认清当前互联网金融发展形势,合理、科学的促进互联网金融的发展。
四、互联网金融发展面临的问题
(一)与互联网金融相关的法律法规还不够完善
互联网金融作为一种新鲜事物,的发展需要依靠法律法规来提供支持,然而就我国目前来看,与互联网金融相关的法律法规还没有建立,互联网金融相关法律法规还处于摸索阶段,还没有形成统一的规范体系,从而制约了互联网金融的发展。
(二)互联网金融人才匮乏
随着互联网金融的发展,对互联网金融人才需求也逐渐增加,但是就我国现阶段来看,互联网金融人才还比较匮乏。互联网金融突破了时间和区域的限制,互联网的这种特点也决定了互联网金融必须全面熟悉相关法律法规、经济管理、会计、甚至是国际法律法规等知识,然而现阶段,我国互联网金融专业性的人才还比较贫乏,而要想推动互联网金融的发展,专业性人才问题亟待解决。
(三)互联网金融安全问题
互联网金融结合了互联网,而在互联网环境下,互联网金融将面临着较大的安全问题。无论是金融机构还是客户,在使用互联网的过程中,很容易受到网络黑客的攻击,从而造成重要信息的泄露,从而给金融机构及客户的利益造成损害。而对于客户而言,一旦他们的利益受到损害,就会挫伤他们使用金融产品的积极性,不利于互联网金融的发展。
(四)互联网金融风险问题
风险是金融行业发展过程中不可避免的一个问题,而随着互联网金融的发展,金融风险也随之扩大。互联网金融是以互联网技术为载体,而网络的虚拟性使得互联网金融机构在开展互联网金融业务过程中将承受较大的风险,如,一企业在向金融机构申请网贷时,如果该企业在网络注册的信息是假的话,一旦金融机构同意该企业的贷款申请后,极有可能会面临着资金流失的风险。
五、互联网金融发展策略
(一)完善互联网金融相关法律法规
互联网金融的发展离不开法律法规的约束和支持,只有健全的法律法规,才能带动互联网金融的健康、稳定发展。因此,相关部门必须结合我国现阶段的实际情况,完善相关互联网金融法律法规,将金融、司法、行政等众多监管机构有效的统一起来,对非法扰乱互联网金融市场的行为给予严厉打击和惩处,同时,要加大法律法规的执行力度,以法律为依据,约束互联网金融行为,为互联网金融的发展提供保障。
(二)加强互联网金融监管
互联网的出现改变了金融交易范围,金融交易金额、交易量也不断增加,在这种情况下,金融系统风险也不断增加、增大。而要想推动互联金融的健康、稳定发展,就必须对其进行有效的监管。首先,要对互联网金融市场进行监管,对互联网金融机构进行严密的监管,严格把守互联网金融机构上市门槛,划定合法业务范围,取缔市场上一些非法互联网金融机构;其次,要加强现阶段的互联网金融机构的监管,严格约束金融机构,要明确相关部门的职责。同时,要完善互联网金融消费者权益保护法规,保护消费者的合法权益。
(三)加大互联网金融专业性人才的培养
互联网金融有着覆盖范围广、发展速度快的特点,也正是因为互联网金融的这些特点使得互联网金融的发展需要依靠专业性的人才来提供保障。只有专业性的互联网金融人才,才能为互联网金融的发展提供科学的发展策略,推动互联网金融的更好发展。为此,金融机构在发展互联网金融的过程中应当要加强互联网金融人才的培养尤其是CFP、AFP人才方面的培养,要不断提高互联网金融的服务意识、经营管理能力,要强化能力训练,从而为互联网金融的发展培养出一支业务能力强、服务意识高、综合素质高的人才队伍。
(四)做好网络信息安全管理
互联网金融是以互联网技术为依托的一种金融业务模式,而在互联网带来便利的同时,也使得金融业务往来过程中的信息面临着较大的安全威胁。为了确保互联网金融业务信息的安全,就必须积极地做好安全管理。首先,要加大宣传,提高消费者、客户对网络安全的认识,将互联网上一些常见的安全问题向他们进行普及,从而提高他们的安全意识;其次,要进一步加大技术研究,以技术为依托,提高互联网金融产品的安全性,从而让消费者、客户享受到更好的金融服务,避免财产损失。
(五)进一步落实实名制
实名制是针对网络匿名的一种应对措施。随着互联网金融的发展,互联网金融面临的风险也随之增加。网络匿名的存在给互联网金融的发展造成了巨大的困扰。而实施实名制可以将责任追究到人的身上。落实实名制,在办理金融业务的过程中受理人必须出示有效的身份证明,并填写真实姓名,可以有效地降低互联网金融风险的发生。为此,相关部门应当进一步落实实名制,将实名制工作全面落实下去,从而更好地推动互联网金融的发展。
(六)做好互联网金融风险管理
对于互联网金融而言,风险管理是核心工作,它关系到互联网金融自身的稳定发展,因此,必须高度重视风险管理工作。对于互联网金融机构而言,要将风险管理工作提上日常,建立风险管理制度,全面抓好风险管理工作;其次,要积极做好风险评估工作,建立完整的风险评估体系,在开展金融业务时,要全面分析市场,对客户资源进行全面的了解,从而降低金融风险;再者,要全面落实责任制,将相关责任落实下去,追究到底,从而更好地规范互联网金融行为。
(七)转变业务经营模式
互联网金融的出现加剧了金融市场竞争形势,带动了金融机构的创新。在互联网金融环境下,金融机构要想更好地发展下去,就必须结合互联网金融环境来转变经营模式。首先,要转变经营理念,要树立互联网金融战略,强化互联网金融管理,要彻底摆脱传统的经营模式;其次,转变金融业务方式,要积极的构建互联网金融平台,积极的开展互联网金融业务;在这,要加大创新,不断开发新业务,要加强资产负债符合,要控制融资成本,积极做好互联网金融风险管理工作。另外,在互联网金融模式下,金融机构可以将第三方平台账户与证券、基金等庄户捆绑,通过客户的证券、基金账户进行交易,以此来缓解银行转账的限制。
六、结语
综上所述,互联网金融的出现推动了社会经济的发展,促进了金融业务模式的转变,在现代社会里发挥着越来越重要的作用,发展互联网金融也必然成为我国现代社会的主流和趋势。然而凡事都有相面性,在互联网金融带来有利一面的同时,也会带来不利的一面,而要想更好地发挥互联网金融的作用,就必须加大互联网金融的研究,深化金融改革。在互联网金融发展过程中,要全面分析互联网金融发展形势,要完善互联网金融相关法律法规,要加强互联网金融监管,要加强专业性互联网金融人才的培养,从而带动我国互联网金融的更好发展。
参考文献:
[1]华森森.互联网金融现状、问题与发展趋势探析[J].中国市场,2015(08).
[2]屈魁,张明,王雪.互联网金融发展面临的征信业监管问题探析[J].征信,2015(03).
[3]赵烁,赵杨.第三方支付平台以及互联网金融发展问题研究[J].商业经济研究,2015(11).
[4]于健宁.我国互联网金融发展中的问题与对策[J].人民论坛,2014(08).
[5]王海全,农飞龙.我国互联网金融发展相关问题研究[J].华北金融,2013(11).
[6]符瑞武,邢诒俊,颜蕾.我国互联网金融发展面临的问题和政策建议[J].时代金融,2013(29).
[7]朱晓磊.互联网金融现状、问题与发展趋势探析[J].经贸实践,2016(09).
[8]桂玉娟.互联网金融平台发展的机遇与问题――基于武汉市31家P2P网贷平台的调研报告[J].财会月刊,2016(12).
征信信息安全管理实践范文6
关键词:互联网金融;风险监管
2014 年 “互联网金融”首次被写入政府工作报告,报告中提出,要促进互联网金融健康发展。业界广泛认为,2013年是我国互联网金融发展元年。但对于互联网金融,目前尚没有公认的定义和清晰的边界。按照中国支付清算协会的定义,互联网金融是互联网与金融的结合,是借助互联网技术和移动通信技术实现资金融通、支付和信息中介功能的新型金融模式。互联网金融从本质上来说还是金融业,只是借助了网络技术的发展而出现的一种新型金融发展模式。目前主要的网络金融模式有:网络支付、网络理财、网络贷款、网络证券、网络金融创新。
互联网金融既有传统金融所固有的风险,也衍生出来自身区别于传统金融的风险类型。这里简要的列述一下互联网金融的风险:
一、面临与传统金融相同的风险
互联网金融也是金融,包含着传统金融业务的操作风险、市场风险、信用风险、系统风险、流动性风险等风险问题。
信用风险和操作风险。信用风险与操作风险是金融行业的传统风险。特别是信用风险,在交易对手出现不能完全偿还或者不想偿还时,就出现了信用风险。互联网金融虽然借助互联网的优势,但依然是起金融中介的作用,作为金融中介,在资金运作过程中就会因交易对手违约而产生信用风险。操作风险则主要源于对借款人进行信用评估过程中的模糊界定、计量方法的不精准以及人工操作失误或因信息系统故障导致信息的缺失等因素。管理团队、业务人员以及市场竞争任何一个环节出现变数都可能导致操作风险的出现。
流动性风险。金融机构一个重要功能便是资金的期限转换,即将吸收的短期资金转换为长期资金贷放出去,这其中就存在一个期限错配的问题,即在期限转换的同时,也使金融机构承担风险――过多的长期资金影响金融机构对短期资金的偿还,此时便出现流动性风险,严重的会造成挤兑风波。互联网金融亦是如此。
二、互联网金融特有的风险
除上述传统风险外,中国互联网金融还面临一系列独特风险,具体如下:
一是缺乏政策和法律规范导致的风险。其一互联网金融真正被大众所知是近两年的事情,整个行业的发展处于起步阶段,而互联网金融的监管在世界范围内都是一个难题,在我国更是缺乏对这一创新行业的监管,整个行业的发展处于摸着石头过河的状态中。但是缺乏监管又使得部分公司在业务开展中违规经营,发行一些风险极大的理财产品,累积了大量的风险。其二,随着行业的发展,国家的监管政策肯定会逐步建立起来,激烈的市场竞争也会使行业中不良企业遭遇淘汰命运。行业的整顿、竞争,法律的监管都会使整个行业及金融消费者遭遇极大的损失,由此形成的系统风险也不可小觑。
二是增加金融监管机构监管难度导致的政策施行的风险。一方面,互联网金融创新使得央行的传统货币政策中间目标面临一系列挑战。例如,传统的对货币的计量是按照货币的流动性大小进行分类的,而互联网金融导致新型的类货币性质资金的出现,对于这些类货币,或者说在一定范围内执行部分货币职能的资金是否应该计入传统的货币分类中去?而不同的划分又会导致央行在实施货币政策调整经济时出现偏差。另一方面,互联网金融的发展也削弱了央行信贷政策的效果。例如,如果房地产开发商传统融资渠道被控制,那么其除了海外融资渠道外很可能会考虑通过互联网金融来融资。事实上,最近一年来我国互联网理财产品的迅猛发展,其原因一部分就来自于各银行收紧了对房地产企业的授信额度,导致房地产开发商等市场主体不得不寻找新的融资来源有关。
三是个人及企业信息被泄露与信息不对称导致的风险。一是个人及企业信息被泄露。互联网金融企业通过数据挖掘与数据分析,获得大量的个人与企业的详细信息,并将之作为信用评级及是否授信的主要依据,而这么大量的信息如若管理不当,将造成信息泄密;若被不法之徒利用,将给被泄密的个人及企业带来经济损失;二是信息不对称与信息透明度问题。信息不对称主要存在于互联网金融企业与其投资者之间。大量的个人投资者对于互联网金融企业的了解不如对传统金融机构的了解,因此,一旦投资出现问题,难以进行维权。
四是计算机技术风险。与传统商业银行有着独立性很强的封闭的通信网络不同,互联网金融企业处于开放式的网络通信系统中,TCP/IP协议的安全性面临较大非议,而当前的密钥管理与加密技术也不完善,这就导致互联网金融体系很容易遭受计算机病毒以及网络黑客的攻击。目前多数金融消费者考虑到互联网金融账户被盗及信息被泄露的风险较大,阻碍了他们参与互联网金融投资的积极性。
而除了这些风险的存在,互联网金融因其发展的初期,行业本身也存在着诸多问题。支付清算协会的报告指出,为争夺市场资金和客户资源,部分互联网金融企业存在着片面宣传、夸大收益等现象,例如只披露收益率有多高,却不揭示风险有多大。即使揭示了风险,也没有在显著的位置上显示出来,使得投资者误以为这种理财产品没有亏损的可能性。还有部分互联网金融产品采取补贴、担保等方式来放大收益等。由于互联网金融违约成本较低,部分P2P网贷平台甚至采取了带有“资金池色彩”的运作模式,实施非法吸收公众存款、非法集资和网络诈骗的行为。另外,由于我国对传统金融机构的监管非常严格,互联网金融存在制度的套利。此外,利率没有市场化、大众没有树立对金融风险的理性认识等也促使网络金融的迅速发展。而在没有监管状态下的迅速发展,一旦出现问题,将严重影响到整个国家金融系统安全。
互联网金融的迅速发展及其存在的这些风险和问题对金融系统、金融消费者来说危害极大,这种情况对我国现有按主体分业监管的监管体制提出了挑战。而对互联网金融如何进行监管,监管的原则、方法以及力度如何都会对这一行业产生巨大影响。因此,需要采取一些恰当的监管措施,既能发挥互联网金融的优势,补充传统金融不足以及无法做到的业务,同时又能规避互联网金融对整个金融系统及消费者带来的危害。这里提出一些监管建议,其中有部分借鉴其他已有互联网金融发展国家的监管经验。
其一,监管体系的改革。从现有的按机构分业监管转向按业务进行分业监管,避免出现“监管真空地带”。互联网环境下的金融业务普遍具有跨行业、跨部门、业务交叉性强等特征。而目前中国金融业实行分业监管模式,对于涉及银行、券商、基金、保险等多方面的互联网金融产品,“三会”(银监会、保监会和证监会)谁来监管、如何监管以及工信部、公安部等其他相关部门如何协调配合,已成为现有监管体系面临的巨大挑战。如处理不当,既有可能影响金融创新,也有可能带来监管套利,影响金融秩序稳定。因此,需要对现有的监管体系进行一定的改革调整,譬如针对目前新兴的网络金融的不同模式,进行责任划分,落实到部门。同时,也可以设立一个专门的委员会,由其统筹不同部门间的配合协调,共同治理某些边缘业务。
其二,监管要灵活调整。第一、监管要“抓众放小”。 抓众即对面向普通公众的带有存取款性质的互联网金融机构,因为其一旦出现问题可能诱发系统性风险,应审慎监管,要求严格的信息披露,减少信息不对称的风险;放小即对其他类型的互联网金融企业,特别是不涉及存取款业务的,因其业务涉及的消费群体范围小,可以进行一定程度的放松,可以采取备案制度,鼓励其创新及对中小企业的支持。第二、前期实行柔性管理。互联网金融属于新行业,其管理目前尚属于世界性难题,前期更需要政府的柔性监管,例如设立负面清单。这样才能在前期尽可能的促进行业的发展,促进金融创新。这里可以借鉴美国的做法:美国对互联网金融采取了谨慎宽松的政策,发展初期不过分干预,只是通过补充新法律法规,与传统的监管规则结合,对互联网金融业进行必要的法律约束,以保证其安全稳健发展。
其三,加强行业协会自律管理。当前可以实行第三方监管体系,包括行业自律、行业协会。可以采取自律形式的监管和司法形式监管。因为银监会、证监会、保监会、央行的监管成本很高,监管机构的立法、监管需要考虑成本效益问题。推进“中国互联网金融协会”的成立及发展,充分发挥协会的自律管理作用,推动形成统一的行业服务标准和规则,引导互联网金融企业履行社会责任。例如英国对互联网金融采取“行业自律先行、 监管随后跟进” 的方针。一是成立行业协会加强自律。2011年成立了全球首个人人贷行业自律协会,2012年成立了众筹协会,设定融资平台最低资本额、 IT 信息安全管理、 信用评级、 反洗钱和反欺诈措施等,有效促进了整个行业的规范运营、 良性竞争和消费者权益保护。 二是监管政策比较宽泛,许多监管措施刚起步。 初期阶段暂未设立专门政府监管机构或出台适用法律,而是以行业自律规则为基础进行管理。
其四,加强信用体系的建设。信用体系的建设,不仅对传统金融行业产生促进作用,同时对于互联网金融业的发展也起到促进作用。首先加快社会信用体系和央行征信系统建设,降低互联网金融开放性虚拟性带来的风险。其次要大力发展信用中介机构,借助信用中介机构来完善企业和个人信用记录和基本资料的收集、整理和规范工作。再次建立起按市场化运作的信用数据平台,有偿开展信用报告的网络查询等服务,支持互联网金融健康快速发展。例如就P2P网贷来说,目前各家机构都在做评级,但是评级似乎并没有产生标准,这样的评级也未必具有公信力。业界呼唤监管,其实也是期待监管的政策一旦落实下来,其他相关的审计评级机构也能进入这个行业,以帮助这个行业做起公信力。
其五,切实维护消费者的合法权益。任何机构不得以直接或间接的方式承诺收益,误导消费者。开办任何业务,均应对消费者权益保护作出详细的制度安排。监管的一个目标就是对消费者大众进行保护,保护其财产不致因欺骗遭受损失,这也是防范系统风险的一个前提。
监管需要不断的进行改进,前面所提到的监管措施只是
其中的某些方面的建议,要建立一个完善的同时又与时俱进的监管体系,能够在维护金融系统的稳定、保护消费者利益、鼓励创新之间找到最佳平衡点的监管体系还任重道远,需要我们不断的探索和实践。
参考文献:
[1]廉薇,全淑琴.互联网金融:鼓励创新与完善监管的平衡.21 世纪经济报道,2014 年3 月17 日
[2]李文韬.加强互联网金融监管初探.时代金融,2014年2月(543).
[3]王宇.央行:互联网金融监管办法还需征民意,新华每日电讯,2014 年3 月25 日.
