银行信息安全整改报告(精选8篇)
内审合规部于1-2月份对我部门的信息科技相关情况进行了内部审计,审计中发现了一些问题,我部高度重视,认真整改,现将整改情况汇报如下:
一、加强信息技术内控制度的建设
加强与外包行兴业银行的互动,建立本行与兴业银行的良性运行机制,积极参与到兴业银行的相关内部控制流程来,做到托管行和外包行之间的相互牵制和协调。
加强本行内部控制制度的建设,贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求,履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行。
建立健全良好的控制环境,控制环境是村镇银行信息科技的风险基调;做好各项信息系统的风险评估;进一步做好信息科技的不相容职责相分离、相关业务流程的授权审批制度、信息安全管理等控制活动;加强信息系统建设,信息系统不仅处理内部资料,而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。我行应加强与外包银行、监管机构、高级管理层、股东以及治理层之间的信息沟通;做到对信息科技内部控制的持续监控。
二、提高系统维护运行效率
进一步加强与承包方的沟通管理,沟通管理是企业组织的生命线。管理的过程,也就是沟通的过程。企业是个有生命的有机体,而沟通则是机体内的血管,通过流动来给组织系统提供养分,实现机体的良性循环。沟通管理是企业管理的核心内容和实质。
我行应采用书面与口头沟通相结合的沟通制度,例如,提交运维申请单书面文件后,相关人员应及时电话通知兴业相关运行维护人员。采用正式沟通和非正式沟通向结合的沟通方法,正式沟通是通过明文规定的渠道进行信息传递的交流方式,非正式沟通不仅可以获得信息,也是建立信任和关系的沟通。
强化运维体系建设,提升系统服务水平。要进一步完善运维管理流程,健全运维管理制度和标准,确保配置足够的人力、物力、财力来维持安全、稳定的信息科技环境,提升信息科技运维保障能力。在高度上做好管理流程整合,在深度上做好业务流程分解,强化事件分级制度,建立起一个有效的事件分级及响应机制,加强对业务连续性的管理,保障金融服务持续稳定。
三、加强员工的信息科技安全知识培训
进一步提高信息科技人员履职能力。采取有效方式和途径,通过求助发起行或聘请其他外部专业技术人员对现有科技人员进行培训,提高信息科技人员的综合素质和履职能力。
针对银行一线员工,集中开展关于银行业务所需的相关设备的操作和维护的培训,使一线工作人员掌握基本的相关设备耗材更换,灰尘清理等一些简单维护技能,这样一来既能缩短业务等待时间,提高工作的效率,又能节省科技人员的工作精力,使信息科技人员得以专注信息科技日常管理工作。
铁岭新星村镇银行信息科技部
财政信息系统既是各级财政系统重要的信息共享平台, 也是满足人民群众利用网络行使知情权、监督权要求的信息查询平台。广西财政信息系统中运行着大量需要保护的数据和信息, 这就对系统的运行安全保障提出了严格的要求。在广西信息系统建设过程中, 一方面由于系统多、规模大, 数据安全属性要求存在差异, 导致各系统具有不同的脆弱性;另一方面, 在系统规划设计初期, 受信息化阶段的限制, 未能完全参照安全等级保护建设的要求进行统一的安全防护规划, 导致部分区域达不到等级保护防护的要求。
为了落实和贯彻公安部、国家保密局等国家相关部门有关信息安全等级保护工作的要求, 全面完善广西财政金财一期信息化建设各系统的信息安全防护保障, 落实“分区分域、等级防护、多层防御”的安全防护策略, 提高广西财政信息化建设的整体信息安全防护水平, 广西区财政厅信息管理办公室于2012年底组织了具有等级保护测评资质公司对厅、市、县三级财政部门的金财一期工程信息系统及其配套的网络、设备实施等级测评, 以期明确信息系统的安全保护水平与国家信息安全等级保护相关要求之间的差距以及存在的安全隐患, 为后续的安全建设和整改工作提供建议和决策依据。
2 信息化建设存在问题
根据国家信息安全等级保护工作的相关要求, 广西财政厅金财一期工程信息系统安全等级划分为三级, 经过为期1个月访谈、检查和测试等全面的等保测评后, 明确当前广西金财一期工程信息系统的安全等保建设总体上已基本符合相关要求, 但在部分安全检查子项上, 尚存在不符合项, 有待整改完善, 以确保整个安全防护体系的完整。依据广西金财一期工程信息系统安全等级测评综合分析报告, 结合广西财政厅本级信息网络及数据中心的现状, 机房和网络存在的若干问题需要进行整改。除了安全等级保护评测提出的问题外, 机房和网络在实际管理过程中, 也存在不少亟待解决的问题。主要有以下问题:
(1) 机房机房环境监控能力不足。机房目前配备的环境监控系统监控范围有限, 仅可以监控温湿度、断电、水浸等主要参数和事件, 摄像头只能监控各区域进出口位置, 缺乏防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、电力供应等方面的实时告警内容, 报警方式也只有短信一种方式。整个监控系统不是一个整体, 而是由几个独立的子监控系统组成, 因此在使用上和管理上就不够人性化、智能化和统一便捷。
(2) 结构安全有待加强。财政数据中心网络结构的可靠性存在部分合格项, 原因是部分业务系统的关键网络设备、安全设备和核心业务服务器都是单机运行, 没有双机热备或冷备。
(3) 网络安全待完善。财政数据中心网络安全的不合格内容主要为以下三个方面:一是边界完整性问题, 广西财政厅本级对外有多条互联网接入线路, 主要用于各预算单位通过互联网VPN方式接入和财政门户网站应用, 但是边界出口缺乏相关技术手段对网络进出口行为进行检查;二是网络入侵防范, 没有配置日志服务器对服务器、网络和安全设备审计记录进行保护;三是恶意代码防范, 部分财政业务系统的网络边界处没有部署针对恶意代码检测和清除等技术手段。
(4) 数据安全。数据安全的不符合主要表现在主机数据库系统没有开启数据库自身的安全审计和归档保护, 导致没有数据库系统的审计日志可供事后分析、审计。
(5) 网络安全设备老化严重。有不少网络和安全设备已经运行超过8年甚至10年, 性能落后且硬件老化, 厂商已经停厂相应配件, 存在影响网络正常运转的安全隐患。
3 安全整改策略
针对广西财政厅信息安全建设存在的问题, 从整体架构规划、网络安全防护、核心数据安全和机房环境等几方面进行统一规划, 提出厅本级的网络安全整改建议, 为厅本级信息网络提供立体、纵深的安全保障, 并提升广西数据中心的整体安全防护能力, 确保厅财政信息网络的安全防护工作能够满足国家安全等级保护的相关要求。
3.1 构建安全域控制体系
中心机房信息安全等级保护解决方案, 在总体架构上将按照分域保护思路进行, 参考IATF-信息安全技术框架, 将中心机房信息系统从结构上划分为不同的安全区域, 各个安全区域内部的网络设备、服务器、应用系统形成单独的计算环境区域、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施;因此将从保护计算环境区域、保护边界、保护网络基础设施三个层面进行设计, 并通过统一的基础支撑平台来实现对基础安全设施的集中管理, 构建分域的控制体系。
3.2 构建纵深的防御体系
针对广西财政厅信息系统的通信网络、区域边界、计算环境, 综合采用访问控制、入侵检测、恶意代码法防范、安全审计、防病毒、数据库安全等多种技术和措施, 实现广西财政厅业务应用的可用性、完整性和保密性保护, 并在此基础上实现综合集中的安全管理, 并充分考虑各种技术的组合和功能的互补性, 合理利用措施, 从外到内形成一个纵深的安全防御体系, 保障信息系统整体的安全保护能力。
3.3 保证一致的安全强度
中心机房信息系统应采用分级的办法, 采取强度一致的安全措施和统一的防护策略, 在作用和功能上相互补充, 形成动态的防护体系。
因此在建设手段上, 采取“大平台”的方式进行建设, 在平台上实现各个级别信息系统的基本保护, 比如统一的防病毒系统、统一的审计系统, 然后在基本保护的基础上, 再根据各个信息系统的重要程度, 采取高强度的保护措施。
3.4 实现集中的安全管理
信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性, 从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理策略, 实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管, 通过关联分析技术, 使系统管理人员能够迅速发现问题, 定位问题, 有效应对安全事件的发生。
4 安全整改内容
4.1 细化网络区域, 加强访问控
安全域的划分是网络防护的基础, 事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命, 具有不同的功能, 分域保护的框架为明确各个域的安全等级奠定了基础, 保证了信息流在交换过程中的安全性。
在中心机房分区设计中, 建议按照安全等级保护级别进行分区, 即按照业务系统的安全等级定义进行划分, 如“二、三级系统独立成域, 一级系统统一成域”。结合财政信息业务系统的重要性和网络使用的逻辑特性划分安全域, 分区设计如图1所示。
4.2 建设智慧机房, 扩大监控范围
为解决防盗窃和监控范围不足的问题, 提升机房整体监控能力, 让机房能实现智能感知、独立运行、数图融合、远程运维。为传统机房动力环境监控系统引入了智能行为视频分析、全景图像处理、嵌入式内核、TTS智能语音处理、彩信管理、PDA移动办公等核心技术, 系统立足于建设一个具有独立运行、智能感知、实时监测、智能报警、数据图像融合、自供电运行、远程运维等特点, 监控目标涵盖动力、环境、视频、人员、安防、消防、设备、能耗管理于一体的整体系统, 实现实时监测、事前预警、事中报警、事后取证的安全管理模式, 打造一个先进可靠的“智慧机房”。
4.3 优化网络结构, 解决单机隐患
数据备份专区和应用服务器专区各有一台H3C S5500交换机作为小型机和服务器的接入, 如果发生故障, 将直接导致整个服务器专区或数据专区的通信中断, 所有核心业务无法访问, 影响面巨大, 因此建议进行冗余保障, 并将原来接在核心交换上的小型机改到接入到数据专区接入交换上, 以便根据不同安全区域进行管理。
4.4 提升边界完整性, 加强行为检查
解决等保评测提出的边界完整性问题, 通过增加监管设备和技术手段, 对各个网络进出口行为进行检查, 确保每条网络出口都能实现网络行为检查功能。
4.5 部署网络入侵防范, 提高安全系数
在内、外网增加一台日志审计系统设备, 对所有网络中的终端、服务器、网络设备、安全设备进行日志收集分析, 并且保持超过60天的日志。在内、外网办公区域边界各增加部署一套入侵防御系统 (IPS) , 针对内、外网办公区域访问内网业务服务器的数据进行入侵防御, 检测并实时阻断攻击行为。对2~7层的数据特别是应用层的数据进行过滤, 通过入侵防护系统可以及时发现隐藏在应用层中的网络蠕虫、网络木马、后门等恶意的网络攻击。
4.6 防范恶意代码, 加强清除手段
在外网DMZ应用服务区域部署一套网页防篡改系统进行集中的管理, 对所有针对WEB的行为进行入侵防御, 对入侵后的篡改行为进行防护, 对恶意代码攻击防范。发生网页篡改紧急事件时, 防篡改系统会将用户请求重定向到指定默认页面或指定页面, 视篡改的程度或网站特殊需要, 启动专业的应急机制, 网络流量进行控制, 及时阻挡篡改攻击目的得逞, 保证网站形象。另一方面提供多种告警机制, 通知网站管理者进行事件分析和犯罪追溯, 做好WEB服务器的配置和数据恢复, 杜绝页面连续篡改。在联通互联网出口部署一台Web防火墙。
4.7 替换老化设备, 提高硬件可靠性
对老化网络安全设备 (使用年限8年以上) 进行更换, 确保网络安全硬件可靠性。由于部分厂家已经停止生产设备相关配件, 不提供升级服务, 新增策略不能满足现有业务需求的安全设置, 存在安全隐患。
5 结束语
综合上述, 针对广西财政厅信息安全建设存在的问题, 从整体架构规划、网络安全防护、核心数据安全和机房环境等几方面进行统一规划, 提出厅本级的网络安全整改建议, 为厅本级信息网络提供立体、纵深的安全保障, 并提升广西数据中心的整体安全防护能力, 确保厅财政信息网络的安全防护工作能够满足国家安全等级保护的相关要求。
摘要:为了落实和贯彻公安部、国家保密局等国家相关部门有关信息安全等级保护工作的要求, 全面完善广西财政金财一期信息化建设各系统的信息安全防护保障, 落实“分区分域、等级防护、多层防御”的安全防护策略, 提高广西财政信息化建设的整体信息安全防护水平。
关键词:财政,安全整改,等级保护
参考文献
[1]中华人民共和国公安部.信息安全等级保护安全建设整改工作指南[Z].2009.
[2]雷万云.信息安全保卫战:企业信息安全建设策略与实践[M].清华大学出版社, 2013.
电脑与互联网应用在我国普及虽然很快,但这只限于会用,真正懂的还只有少数专业人士。近期的“棱镜”事件,让网络与信息安全成为了世界焦点,同时也推波助澜地唤起了人们对银行信息安全的担心。2012年,美国一份保安报告显示,全球60家银行连遭网络攻击,至少损失8000万美元。在最近发生的一系列典型网络犯罪事件中,90%以上集中在银行和保险领域,这不能不引起人们的恐慌,以致于在全球范围内,逐渐蔓延出一种“网络银行不安全”的悲观情绪。
我国银行信息有些不安全
“目前我国网络安全状况继续保持平稳状态,未发生造成大范围影响的重大网络安全事件,包括银行等金融机构。” 国家计算机网络应急技术处理协调中心的研究员告诉记者。同时,他也提醒企业与网民们,黑客活动日趋频繁,网站后门、网络钓鱼、移动网络恶意程序、拒绝服务攻击事件呈大幅增长态势,阻碍行业健康发展;针对特定目标的有组织高级可持续攻击(APT攻击)日渐增多,国家、企业的网络信息系统安全面临严峻挑战,特别是金融机构,容易成为谋求发财黑客们的目标。
近期,据国家计算机网络应急技术处理协调中心发布的2012年网络安全报告显示, 2012年,我国境内(我国海关关境以内)被篡改网站数量为16388个,发现针对我国境内网站的钓鱼页面22308个,涉及IP地址2576 个。从钓鱼站点使用域名的顶级域分布来看,以.COM最多,占36.5%,其次是.TK 和.CC,分别占20.6%和9.5%;接收到网络钓鱼类事件举报9463起,较2011年大幅增长73.3%,约占总接收事件数量的一半(49.5%)。这些钓鱼网站中,仿冒中国工商银行等网上银行的约占54.8%。国家计算机网络应急技术处理协调中心的研究人员告诉记者,“从报告显示来看,现在与以往通过明显篡改网页内容以表达诉求或炫耀技术不同的是,黑客更倾向于通过隐蔽的、危害更大的后门程序,获得经济利益和窃取网站内存储的信息。目前,网站被植入后门等隐蔽性攻击事件呈增长态势,网站用户信息成为黑客窃取的重点。”他还告诉记者,“钓鱼网站的主要目的是骗取用户的银行账号、密码等网上交易所需信息。2012年,仅CNCERT/CC监测发现被黑客骗取的用户银行卡信息就达1.8万条,这些信息失窃很可能会给用户带来巨额财产安全。”
而在2012年年底,明朝万达根据事件的影响性评选出的“2012年十大信息泄密事件”中,电商银行也是最多的。
对于记者质疑银行网络信息安全的问题,民生银行一位金融总监王先生(化名)直截了当地说:“我一直都认为银行网络不安全,将来会出大问题的,”但同时他还强调,“目前,银行是安全的,中国黑客整体技术水平不高,暂时还未能对银行造成威胁。可是,他们会对不懂网络的普通民众下手,请市民与企业在使用网银转账汇款时小心,因为这些例子已经很多了。”
使用网银需小心
随着网络应用的发展,很多人都喜欢在网上办事。网上银行因其不受时间、空间限制,能够在任何时间、任何地点以多种方式给客户提供金融服务,受到越来越多人的青睐。但网银是一把“双刃剑”,在给用户带来巨大方便的同时,也不可避免地潜藏着一定的风险。
据媒体报道,今年2月,在北京工作的锒先生因为蹭“免费WiFi”登录网银,导致银行卡被分17次转账或取现,共损失3.4万元。锒先生的钱是怎么被取走的呢?记者采访了工商银行的网络技术人员,他告诉记者,“蹭网有风险的,有时候免费WiFi是个陷阱,也就是大家所说的钓鱼陷阱。其实钓鱼WiFi信号都含有病毒软件,可以记录下用户的操作记录并破解。当你连接上这个WiFi之后,病毒软件就开始监控你的操作。举个例子,你用浏览器登录邮箱,你的邮箱名和密码就都被软件记录,并传给黑客。”
锒先生真是因小失大呀。在采访过程中,工商银行的客服人员提醒用户,用网银时,一定要看清网站来源及付款信息,还特别强调,一定要直接登录银行的官网,不要在百度或360等搜索引擎里搜。建设银行的工作人员提醒用手机银行的用户,平时最好闭关WiFi自动连接。如长期保持打开状态,手机在进入有WiFi的区域后会自动扫描,并连接没有密码的网络,大大增加误连钓鱼WiFi的几率。
5月28日,360互联网安全中心发布重大安全警报称,“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标,近期全国连续出现多起各大银行客户被骗案例。这也是因为用户安全意识薄弱引起的。
据悉,陈女士在网购衣服时,被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,银行账户中10万元就被洗劫一空。工商银行的网络技术人员讲,“超级网银”是标准化跨银行网上金融服务产品,能够方便用户实时跨行管理不同的银行账户。通俗地说,就是可以用一个网银账户,实现多张银行卡的跨行查询和转账,国内绝大多数银行均默认支持该项功能。然而不法分子恶意利用“超级网银”,通过欺诈手段获取他人银行账户的授权,就可以将对方账户余额全部偷走。
这种事情很多,据卡巴斯基中国区技术总监陈羽兴介绍:“今年上半年的时候卡巴斯基就协助公安调查了一起资金被盗案件,对方自称是检察院,要求受害者上网验证信息而被引导到钓鱼网站上,最后机器被远程控制导致账户里的资金全部被转走。”
对于对网络都不甚了解的网民来说,黑客真是防不胜防呀!陈羽兴建议个人用户,首先要做到的是,不要在网吧、共用的机器上登录银行帐号;在自己的机器里装专业的防恶意程序软件;把经常使用的银行网址记在浏览器里,避免由于记错网址或者打错网址或者用搜索引擎搜索的时候不小心点到钓鱼网站而导致泄露或者损失。另外在任何人或者机构给你打电话自称是银行、公安、检察院等要求你登录网上银行或者政府部门的网站查看或者转帐的都不要理会而且要及时报案。
nlc202309020538
提高标准很重要
金融机构的专业人员相对于普通网民来说要专业得多,在防黑客方面做得怎样?工商银行客服经理介绍说,因网上银行、支付宝等金融类网站和手机客户端信息经过了层层加密,破解的难度大,只要使用银行发布的官方网站或者银行官方手机客户端,不管是WiFi、2G还是3G网络,都不可能被人盗走账户信息。
陈羽兴说,银行经过多年的网络建设,已经形成一套防护体系。但是,有两个方面容易成为整个防护体系的短木板。第一是新兴系统的加入,比如虚拟化系统/云计算系统,这些系统的防护解决方案整体还比较薄弱。另一方面是不同网络间的数据交换,比如生产网络和办公网络是物理隔离的;银行需要定期跟其他银行比如人民银行之间交换数据;有部分合作伙伴或者业务单位需要上传一些文档等,这些在线和离线数据如何交换、如何实时检测以防止病毒交叉感染、数据丢失和防篡改等都面临一些问题。
“如果国家信息安全委员会不提高验收标准,银行不加大技术投入力度,将来的事情不敢预想,会很可怕的。”民生银行的王先生说,“目前银行验收标准太低,应该提高标准。但提高标准是要投很多钱的,如果国家不要求,银行在感觉自己信息安全方面还可以的情况下,是不愿意多花很多钱去做技术升级改造。因为目前银行在中国的信息安全技术算高的,黑客技术水平相对较低,攻不破银行系统的密码,所以中国在银行偷钱的事还没有。建议相关政府部门未雨绸缪不要亡羊补牢。”
中国人民银行消费者保护局局长焦瑾璞表示,网络金融作为新兴的金融模式,现有的金融监管体系尚无法完全覆盖,存在一定的监管缺位,因此必须尽快明确相应的监管部门和监管职责,既能充分包容创新又能确保监管到位。
中国科学院信息安全国家重点实验室教授、北京知识安全工程中心主任吕述望建议金融行业不要接入因特网,要建立中国金融行业的专业网。还有一部分网络安全专家呼吁有关方面,进一步加大自主研发的网址卫士等国产服务器证书产品的扶持和推广力度,加强中国网络安全保障的自主权,构筑中国网络金融业务防火墙。
采访手记:
时下,斯诺登不仅是国家层面的新闻事件,也是时下最热门的谈资,因此,在不记名采访中,大家谈得淋漓尽致。
通过采访总结出专家们的观点,他们认为加强银行的网络安全:一是从银行防范。建立严密的安全体系,保证网络银行的安全运行。为防止交易服务器受攻击,银行应采取隔离相关网络、高安全级的Web应用服务及实施全天候的安全监控等技术措施;二是从客户防范。客户的安全意识是影响网络银行安全性的重要因素。客户要防止自己网络银行账号及密码流失,上网时应设置好电脑安全措施,不随便点击恶意网站;三是建立全国统一的认证中心,充分发挥第三方认证机构中立、权威的作用;四是加快电子化应用环境风险防范,如加大对计算机物理安全设施的投入和严格中心机房的管理制度等。
也有一位非业界专家提出的观点,记者认为很具特别性。他认为,对于银行信息安全,不能采用头痛医头脚痛医脚的诊断办法,应该从根拔起。他建议,应推行电子货币,逐步取代纸币。他说:“电子货币是一种可以追踪的货币,犯罪分子盗窃银行或者银行用户,最终都是以纸币的形式消化掉,如果取消纸币,他们没办法把盗来的钱花出去,那还偷盗银行与银行用户的消息做什么。”对于如何取消或限制纸币发行,他也有建议,“建议政府层非自然地推行电子货币,应该从国家财政部或者中央银行控制-减少纸币发行,这样做有别于西方国家由银行和用户自然减少纸币使用的现象,我国应直接跳过这个过程,由中央银行及政府部门直接主导施行。”如何实施?“相关部门出台纸币税,存纸币有存纸币税,取时有取纸币税,如果是大额纸币存取银行可问纸币来源,也可直接报警,”他略带兴奋地回答。
这种观点记者也不知是否可行,但博采众长,有些观点记者有必要记录下来与读者分享。
(一)健全完善制度
我分行根据上级要求制定了系统党风廉政建设责任制量化管理实施办法,与考核细则,同时建立了党风廉政建设领导小组。目前,该实施办法已落实到位,为我分行党风廉政建设工作以及分行事业发展起到了一定的监督及推动作用。
(二)健全责任机制方面
结合分行实际,我系统积极制订了党风廉政建设责任制量化管理办法,保证了党风廉政建设及反腐败各项工作的全面落实。一是将各项责任进行了分解,实现了将目标任务细化到岗,一级抓一级,层层抓落实,从而确保了“责任分解,责任考核,责任追究”落实到位,全面推动了分行的党风廉政建设工作的深入开展。
(三)工作部署总结方面
今年上半年我分行将党风廉政建设工作纳入了年度工作中。做到了工作有总结、有计划。
二、抓好领导班子党风廉政建设工作
(1)认真传达贯彻总、分行的反腐防案工作部署和活动安排,共6分:我分行及时开会传达贯彻各项工作部署和活动安排,无扣分。
(2)制定和落实反腐防案的岗位职责,积极支持和配合纪检监察部门开展工作,共4分。我分行积极制定岗位职责,大力支持配合纪检监察工作,无扣分。
(3)主要领导按要求与分行签订党风廉政建设责任书和案件防控责任书并认真履行责职,共2分,我分行关职能部门及时签订责任书,并做到认真履职,无扣分。
(4)员工按要求与本单位签订反腐防案承诺书,共1分,我分行全体员工按时签订承诺书,无扣分。
(5)每季定期召开一次案件防范和量化管理工作分析会,共4分,我分行按时每季度召开相关会议,认真进行总结分析,无扣分。
(6)民主决策,员工职级晋升、奖金分配等重大事项经集体讨论,共3分,我分行已经于x月按要求向员工公布业务管理费、奖励费,无扣分。
(7)单位业务管理费、奖励费发放公开透明,每半年一次向员工公布一次,共3分,我分行已按要求向员工公布业务管理费、奖励费,无扣分。
(8)领导干部按规定报告个人重大事项,共2分,我分行全体领导干部按要求报告个人重大事项,无扣分。
(9)领导班子团结进取、廉洁干事,共3分,我分行全体领导干部团结协作、廉洁干事,半年来无投诉、无举报,无扣分。
(10)关心员工工作和生活,领导干部按要求落实员工谈话制度,共3分,我行领导干部按要求落实谈话制度,不但有谈话而且还设有员工谈话专用记录簿,无扣分。
(11)主要领导每年按要求进行述职述廉,共2分,我行全体领导干部都认真进行了述职述廉,无扣分。
(12)严格遵章守纪,考核期内无发生违反党纪政纪案件,共3分,我分行未发生一次党纪政纪案件,无扣分。
三、抓好案件防范和自查工作
(1)案件防范工作分工明确,内控措施落实到位,岗位之间形成相互制约,共2分,我分行分工明确,内部监督到位,无扣分。
(2)各项业务操作规范,考核期内无发生各类经济案件,共10分,半年来,我分行全体职员认真、负责,无违规操作,没有造成资金损失、重大风险,没有任何案件发生,无扣分。
(3)内控检查到位,发现问题整改及时,共5分,我分行各相关责任人按要求进行了内控检查,发现问题后及时进行了认真、彻底的整改,并按规定管理密、押、印及重空凭证,无扣分。
(4)按要求落实重要岗位轮岗或强制休假制度,共3分,我分行全体职员按要求对重要岗位进行轮岗并且无一人强制休假,无扣分。
四、不断加强行风建设
(1)制定和落实本单位员工考勤考核奖励机制,共2分,我分行已制定并开始实施内部员工考核奖励机制,无扣分。
(2)严守工作纪律和请销假制度,共4分,我分行经检查发现无一人迟到,无一人违反工作(会议)纪律或请销假制度,无扣分。
(3)员工内部团结和谐,敬业爱岗,共2分,我行全体员工团结协作,坚决服从岗位调整和分工,在岗位上兢兢业业,完成了各项工作任务,无扣分。
(4)热情待客,诚信经营,严格职业操守,共2分,上半年来我分行组织的规范化服务考评已达标,无扣分。
(5)考核期内无发生“黄、赌、毒”或其他有损银行和企业利益行为,共4分,我分行全体员工洁身自好,无一人参与“黄、赌、毒”,无一人违反职业操守,无扣分。
五、加强廉政教育和队伍建设
(1)按总、分行要求开展各项反腐防案、法律规章以及广发理念职业道德教育活动,共10分,我分行按要求组织员工开展教育学习,参加学习的员工人数达到90%,活动结束后我行按时上报各类材料,无扣分。
(2)加强员工素质培训,积极组织员工参加各类政治学习和业务培训,共4分,分行全体员工没有一人无故不参加分行组织的各类学习和培训,无扣分。
(3)联系本单位实际定期组织员工岗位练兵,共2分,我分行按要求定期组织员工岗位练兵,无扣分。
关于对**银行银代服务工作的整改报告
中国**银行新疆分行:
**银行保险自2004年进驻新疆,便与**银行新疆分行展开了银代业务合作。在前期的合作中,双方本着互利互惠,携手共赢的态度共同致力于银代业务的提升和发展。业绩不断增长、保费平台不断提升,从合作伊始的800万元平台跨越到1.3亿平台,创造了银代业务的合作高峰。2008年,在我公司销售产品结构进行调整的情况下,依然突破了8000万元大关。可以说,双方共同缔造了一次次辉煌,取得了不匪的成绩。
进入2011年,我公司在**渠道银代业务持续下滑并呈现颓势,09年全年业绩仅为5800万元,较历年下滑明显。对此,**新疆分公司从总经理室至银保上下高度重视并产生了严峻的紧迫感。**作为我公司一直以来最大和最重要的合作伙伴,业绩的大幅下滑和诸多情况的发生为我公司银代业务发展敲响了警钟。对此,我公司进行了认真的分析、总结不足。
**新疆分公司银行保险系列在2011年中,因银保第一责任人调任总公司,在高层级沟通方面有所欠缺,同时各机构人事调整较大,影响了业务的发展。此外,在对**的服务
工作过程中存在人力不足、人员素质较低、团队管理存在缺陷等问题也直接造成**业绩下滑明显。对以往的种种问题,我公司已深刻反思,对于前期工作不到位,给**银行造成的不便深表歉意。为有效弥补前期工作不到位造成的影响,保证双方业务的顺利、稳步进行,促进业务的长远发展,重塑**银行与我公司的合作观念,针对前期出现的种种问题,我公司已全面,有效的开展了整改工作:
一、实施水龙头理论
重新调整团队,吐故纳新。将团队中与公司经营理念背道而驰、工作态度和作风存在问题、业务素质和管理水平低下的团队负责人和客户经理进行淘汰,同时吸纳优秀人,进行团队的重新梳理。目前,银保团队梳理工作已顺利完成。
二、人力大幅扩充
为弥补人力短板,我公司以于2011年10月起,在全疆范围展开了人员招募工作。目前,**银保全疆销售人力已达450人。此外,在此次人员招募过程中,我公司严把招募流程并进行严格筛选,确保招募人员的综合能力、人员素质、服务意识、业务能力等各方面水平能够充分满足服务需要。
三、强化培训、提升员工业务能力
为保证我公司人员业务能力和服务质量,我公司已就新进人员进行了多轮的全方位培训工作。从金融、保险知识到产品,从销售业务技能到售前、售后服务等进行了全面的岗
前培训。同时,分公司银保部已拟定了2010年培训计划,将会对客户经理进行高密度的反复培训,确保各项能力不断提升。
四、**营业部架构的建立
今年,总分公司在销售人员架构上进行了较大幅度的调整。各机构特别建立了**营业部,专项服务于**渠道。乌鲁木齐地区在现有**渠道下,细化为三个营业部,分区、分网点对**进行全方位的服务。
在营业部人员配备方面,我公司在全疆范围内特别甄选精英人员调入**营业部,将银保部的最强业务阵容全部配备至**渠道和营业部,保证服务工作高质量完成。目前**渠道及营业部人员均已到位。
五、明确制度,建立客户服务体系
为保证服务高质量,确保客户和渠道充分满意,银行保险部特别制定了客户经理服务制度,对客户经理网点跟进、销售流程、售后回访及客户问题处理等均进行了明确规范,使全疆银保有法可依,同时严格执行、赏罚分明。为配合**2010年业务,特别是期缴业务的增长,我公司要求所有**渠道客户经理必须实现驻点经营,确保在任何情况下,均能第一时间解决问题。
同时,专门将客户服务部门划归统一管理并进行人员调整,保证售后服务周到,令客户满意!银保客服能力大大增
强。
六、加大投入
对**渠道加大政策的投入。在政策方面向**渠道给予大力倾斜,在人力资源等方面以**渠道为优先渠道。特别针对**渠道制定独立的业务合作方案,全面提升全疆各**渠道客户经理以及**各层级销售人员的业务积极性,促升业务.七、强化公司内部督导
针对**业务,进行强力督导。派专人对**业务精细到以日为单位进行独立的追踪工作,同时在周例会、月会中将**渠道各项业务指标进行单独考核,以保证全疆银保上下对**渠道的绝对重视。对于业务竞赛方案等活动,进行专项追踪,并定期向**进行数据的报送。
八、建立沟通常态化
2010年,**新疆分公司各层级将定期、频繁的与**的业务沟通、汇报等工作,加强层级交流,以满足**不同时期业务服务工作的需要。
新疆分公司上下将严格执行总、分公司和**的各项要求,全力弥补不足,在今后的工作中,秉承公司专业化、规范化的销售流程,本着客户为上,渠道为本的经营理念提供及时、高效、优质的各项服务,不断强化**与**之间的良好关系、携手共赢的合作方针,在2010年实现双方银代业务
复兴,同时也希望**银行能一如既往的对我公司给与帮助和指导。
**保险股份有限公司
新疆分公司
今年以来,**市**区联社坚持“标本兼治、重在治本”的原则,紧紧抓住“制度、执行、监督”三个环节,以制度执行年活动为载体,从全面构建合规风险管理体系入手,狠抓“五个到位”,深入扎实做好合规经营、合规操作监督检查和整改工作,进一步规范经营行为,防范事故案件,有力地促进了全辖农村信用社又好又快发展。我们的主要做法是:
一、高度重视,组织领导到位
自年初一开始,联社领导班子把合规管理工作纳入重要议事日程和目标考核,作为评先选优的重要内容,坚持常抓不懈。一是成立了以党委书记、理事长为组长,纪委书记、监事长为副组长,经营班子和部室负责人为成员的“制度执行年”、“合规经营、合规操作管理年”活动领导小组,负责整个活动的组织开展和检查督促,落实稽核监察保卫部具体负责此项工作。二是分别制定了“制度执行年”活动和“合规经营、合规操作”自查自纠工作实施方案,明确了工作步骤、方法和要求,做到了有的放矢。三是实行“一把手”负责制,联社监事长与各信用社主任、信用社主任与职工层层签订“合规经营、合规操作”自查自纠工作责任书***份。联社领导、部门负责人按照分工各司其责,认真履职尽责,率先垂范,以身作则,正人先正己,争做合规带头人,为深化改革和促进发展奠定基础。
二、抓合规意识教育,培训学习到位
为提高全体员工特别是新青员工的合规意识,联社一是把自省联社成立以来出台的制度办法和金融职业道德规范、法律法规以及各种案例作为学习培训内容,重点提高员工对基本制度的熟悉程度,强化“学法、懂规、遵纪、守制”意识。二是按照统一规划、分级实施的原则,年内联社共组织培训学习班*期,参训人员达***人,其中一线员工的学习面达**%以上,使大家真正认识到“内控优先,制度先行”的重要性,理解和熟悉自身岗位内控要点,主动预防和发现风险。三是是采取了自学、集中学、分散学、岗位交流学、互动式讨论学等多种形式,认真学习《业务流程合规操作手册》、《安全保卫工作理论与实务》等业务书籍。同时,结合案件防控实际,把典型案件警示教育融入活动中,剖析案例,总结教训,标本兼治。联社监察部门随时收集相关的典型案例,认真分析成因,定期以文件形式予以通报,增强了学习的针对性,人人撰写了学习笔记和心得体会,进一步加深对制度的理解和再认识。四是运用激励机制,检验学习效果。*月中旬,采取自下而上层层选拔的方式,各信用社和联社机关推荐**名员工进行了合规知识竞赛;*月下旬,组织全辖***名员工分岗位参加省联社的制度学习考试,考试成绩与员工目标责任考核和来年的岗位聘用挂钩,考试及格率达**%。
三、强化基础管理,岗位责任制落实到位
加强基础管理,规范临柜操作,是提高工作效率、减少差错、防范事故案件的永恒主题。年初,针对我区部分营业网点一线岗位人员严重不足、规章制度难以贯彻执行的严峻现实。联社一是本着精简、效能的原则,根据用工制度改革方案,综合全辖机构网点的经营规模、服务对象、业务量等因素,合理确定岗位编制***个,撤并低效网点**个,二是面向社会,招贤聚才。公开聘用大、中专毕业生**名为短期合同工,委托省联社招收计算机、法律、财务审计等专业技术人才**人,经过岗前培训,全部充实到一线岗位,一定程度上缓解了人员紧缺和内控落实难的矛盾。三是联社将《商业银行合规风险管理指引》的要求,设置合规风险管理部门或合规风险管理岗,制定合规风险部门职责和岗位职责。四是打造“流程银行”。由稽核监察保卫部牵头,财务、信贷、人事、办公室等部门通力配合,重新制定了会计、出纳、信贷等岗位职责,按照“一项业务一本手册、一个流程一项制度、一个岗位一套规定”的要求,细化了每一笔业务的操作流程,防范违规操作,切实做到了有章可循。
四、狠抓制度执行,监督检查到位
二是抓专项检查。先后开展了上会计决算真实性、重空凭证管理、内控制度执行情况、贷款本息核对、财务收支,以及合规经营、合规操作等专项检查,重点查找操作流程、管理环节漏洞和弊端,针对发现的问题,发出整改通知书***份,落实专人限期进行整改。
三是抓好稽核检查。联社稽核大队组建后,制定了《稽核大队管理办法》,实行分组划片包社,开展“突袭式”的检查,按照省联社提出稽核工作实行“序时稽核,业务全覆盖”的管理要求,已完成对**个网点的序时稽核,并对检查发现存在的问题发出了整改通知。同时,加强后续稽核,强化责任监督。对专项检查、现场稽核和序时稽核后的整改落实情况进行了复查,确保了稽核工作的严肃性。
四是抓账务会审,规范操作行为。各信用社按季将辖内分社(储蓄所)的会计账务、重空使用、信贷资料进行交叉检查和集中会审,奖优罚劣,现场督促整改。今年1-*月,全辖信用社共组织会审**
(社)次。
五是加强责任监督、搞好离职、任期经济责任审计。今年,我们通过现场检查、民主测评、社会调查等方式,先后对全区**个信用社的高管人员离任进行了审计;对高管人员的经营管理水平、履职情况、经济责任作出客观、公正、实事求是的评价。并对岗位轮换的**名员工的离职进行了审计,审计中落实个人及共同违规责任贷款***笔,金额****万元(其中个人违规责任贷款***笔,金额***万元),被审计人员均书写承诺,订立了限期收贷计划。
六是抓排查。针对“***案件”和贷款本息对账反映出的问题,5-*月,联社在全区范围内开展了以是否有参与“九种人”和员工经商办企业的排查,排查出经常出入高档消费场所且日常消费与收入不匹配、无故不正常上班(旷工)或经常性出现违规操作和有不良记录等行为的重点人员**人,仍有**名员工在同一岗位工作超过3年以上未轮岗,联社采取积极措施加强对重点人员的监控,对超过3年以上未轮岗适时进行了岗位调整;*名有经商行为的员工家属已承诺在规定的期限内自行予以纠正,有效地整治和规范了全区信用社对员工的行为,较好的防范了道德风险。七是抓安全检查。采取实地检查与电话询查、突击检查与重点抽查、日间查与夜间查相结合的方式,共开展各种安全检查***社次。同时本着安全坚固、经济实用的原则,对顶山、恩阳等***个机构的安全防护设施进行了更新;新安装更换报警器*台、维修警器具**社次。通过开展各类检查,加强了基层社的财务、信贷、重空、内控重点管理,有效地规范了信用社的经营管理行为,防范案件的发生。
五、建立问责机制,责任追究到位
我们从建立有效的违规问责约束机制入手,限制、批评、纠正和惩处违规违纪的单位和员工,在内部弘扬正气,杜绝违规恶习,对违规失德的人和事,不姑息迁就,不搞下不为例。
一是层层落实了事故案件“一把手”负责制和岗位责任制,人人签订了事故案件防范责任书,明确了各自的职责和义务。
二是建立了严格的事故案件责任认定程序和报告制度,做到发案必查、有案必报、查必问则、有责必究。不论检查发现的还是来信反映的问题,在初步核实的基础上,符合立案标准和条件的,及时予以立案,并迅速上报,不搞瞒案不报。
由于中小商业银行没有大型股份制商业银行的规模, 技术科技力量也与大型股份制商业银行有一定的差距, 其信息化安全形势更为严峻。
一、中小商业银行信息安全现状
(一) 伴数据大集中而生的风险大集中
目前以广东省各农村信用社、农村商业银行来看, 大部分都已经加入了广东省农村信用社联合社 (以下简称“省联社”) 的数据大集中系统, 数据大集中大大地提高了系统效率。但同时也使各独立法人的农村信用社、农村商业银行的信息安全风险同时集中到省联社这个关键节点, 一旦出现问题, 比如系统故障、信息泄露, 都有可能是全省全局性的风险, 有可能使全省业务受到重创, 影响面十分广泛。
(二) 灾备体系建设欠缺
灾备中心的建立与运营是构建业务连续管理体系非常重要的一环。一个运行良好、作用有效的灾难备份与恢复体系建设不仅涉及IT、业务、财务、后勤保障等部门, 还须获得消防、电力和电信行业等相关部门、单位的支持, 以确保相应的配套资源。例如目前省联社在数据大集中以后已经建立了同城备份中心, 但是异地备份中心依然还在筹备之中, 需要积极配套建设。
(三) 科技外包产生的问题
在当前科技外包迅速发展的同时, 也面临诸多风险, 具体表现在以下几方面。
一是市场风险。我国的IT服务市场仍不够成熟, 一旦IT外包后, 商业银行需要借助外包服务商的力量规避市场需求变化的风险, 且银行也不可能轻易涉入外包服务商的经营管理工作中, 无法清晰了解外包服务提供商的具体情况, 不确定性较大。二是技术风险。外包商研发能力与银行现有的技术不匹配有可能导致银行方无法及时交接, 阻碍了银行方发展, 一旦服务商撤场, 将会导致更为严重的问题;同时外包商采用的新技术不够成熟, 也将危及整个计算机应用系统的稳定性和安全性。三是交易风险。由于外包市场的不成熟, 服务标准的不完善, 交易双方市场信息的不对称, 商业银行在价格、质量、时间等方面承担一定的风险。四是信息泄露风险, 易造成核心信息外泄。
(四) 中小商业银行信息安全体系尚待完善
一般情况下, 中小商业银行只顾建设支撑业务发展的信息系统, 而忽略了建设配套的信息安全体系, 整体架构需要审慎设计建设。银监以及人民银行等监管机构则把各大金融机构的信息安全建设提到极为重要的位置, 而且公安机关对各行各业的重要信息系统也有相对当严格的监管措施, 包括等级评定、备案以及第三方评测等。因此, 信息系统安全体系建设应当受到相当的重视。
二、对中小商业银行信息安全的建议
(一) 做好应对数据大集中风险的对策
对于数据大集中的情况, 以省联社为例。一是应当针对数据中心做更高的安全防护级别。不但要积极做好各信息系统的日常监控和维护, 还要建立起高级别的网络安全防控体系, 面对日益复杂的信息系统和日益发展的网络技术, 要紧跟信息技术发展的步伐, 不断提高安全技术水平, 既在内部保证大集中系统的稳定安全运行, 又要做好外来入侵的防范与抵御。二是对于各地独立法人地区的信用社以及农商行, 必须要针对本市的实际情况, 做好地区的地市前置、柜面系统以及自助设备等重要生产系统的运维与安全防护工作, 做好机房安全管理工作, 避免各自节点出现异常情况, 影响信息系统安全稳定运行。
(二) 做好差异化的灾备体系建设
目前, 大部分的中小商业银行都没有建立真正的异地同城备份体系, 尤其是在数据大集中时代, 数据上收以后, 不建立同等规模的灾备中心不代表放弃了灾备工作, 而是应做好互有差异的备份方式和内容。以佛山农村商业银行为例, 在积极协助促进省联社做好“两地三中心”灾备体系建设的同时, 努力探讨自身机房系统的灾备工作。目前佛山农村商业银行正在针对核心存储设备进行冗余备份建设, 保证重要核心存储设备的灾备恢复等, 以便在经济效益与安全保障两者之间取得更好的平衡点。
(三) 科技外包风险防范对于信息安全至关重要
科技外包对于中小商业银行而言是一个切实可行的建设信息系统的重要方法, 但是仍须做好风险防范。
首先, 应当完善科技外包的管理制度, 全面贯彻执行;其次, 选择行业领先以及技术更为成熟的外包技术以及服务供应商, 避免出现外包技术不成熟导致的各种难题;最后, 积极派员参与外包服务实践, 以便在外包商撤离以后能够顺利维护乃至进行简单的二次开发, 避免受制于人的情况发生。
(四) 做好信息安全长远规划
中小商业银行必须重视全面、系统的信息系统架构, 将安全融入整个信息系统的生命周期中, 通过借鉴其他股份制商业银行的成功经验, 明确阶段性建设目标, 力争在前期以最少的资金投入获得高标准的信息服务和安全保障。中小商业银行信息安全远期规划的首要任务是组织行内外力量, 结合本行信息化建设的中长期发展规划和经营管理战略, 在充分把握金融信息技术发展趋势的基础上, 全面分析银行外部经营环境及内部经营环境, 立足现实的资源能力, 对银行信息安全建设的总体目标、实施步骤、关键技术、相关规范、阶段划分及费用评估进行统筹安排。
(五) 加强科技风险管理, 全面构筑信息安全保障体系
一是加强组织管理体系建设, 全面落实风险管理和安全运行责任制。要建立完善的信息安全组织架构, 行领导/主管科技的主要领导亲自参与到信息安全领导小组, 全面落实信息安全组织体系, 设立专门的安全人员, 保证信息安全落实到位。二是加强信息安全保障体系建设, 完善应急反应体系和商业银行业务连续性计划, 加快建立灾备恢复体系, 做好相应的应急恢复设备与应急计划, 定期演练, 确保可执行性。三是加强安全管理制度建设, 制订相对完善的信息系统应急预案、信息系统保密制度、信息系统运行制度等有关制度体系, 通过常规安全审计等方法对科技风险进行排序, 做好计算机运行的安全检查工作。四是完善与商业银行数据集中相适应的安全和管理体系, 最大限度地降低系统运行风险, 保障银行业务处理系统的平稳运行。五是建立健全包括内部员工、外部供应商、安全责任人在内的人员信息安全风险控制体系, 最大限度降低人为信息安全事故的发生。
【关键词】银行;金融;信息安全;管理;短板现象
一、银行金融信息安全具体情况
目前,银行金融系统的信息数据比较集中,随着第三方的外包服务逐渐增多,县域区域金融机构承担的科技维护任务量逐渐减少,银行金融科技维护的岗位被逐渐忽视,导致银行金融信息安全管理出现了“短板现象”。结合华坪县的邮储银行、建设银行、工商银行、农业银行、农村信用社基础设施的建设情况,这五家银行金融机构机房建设的选址相对比较合适,并且主机房都已经具备了防火、防水、防雷、防盗等保护措施,机房的管理制度比较完善,建设情况基本符合《金融机构计算机信息系统安全保护工作暂行规定》的相关要求;银行金融网络建设方面,大部分金融机构具备完善的网络结构,具有冗余线路。其中2家银行金融机构进行负载均衡的网络运行方式,2家银行金融机构进行冷备方式,只有1家银行金融机构没有冗余线路以及设备。结合信息系统的建设情况角度分析,银行办理业务主要通过 C/S或者B/ S的方式,将服务器对应到省级的金融机构;对于银行卡、ATM机、POS机方面的管理,以华坪县的农村信用社为例,已经安装了ATM 机器12台,建立了完善的巡检登记簿,银行卡的发行符合《银行卡卡片规范》,并且采取了安全措施。
二、信息安全管理存在的“短板现象”
1.信息安全的协调机制不够完善
如今金融行业是社会经济发展的核心,需要给与高度的重视,金融机构的信息安全是重点。作为金融信息安全是银行各类业务顺利开展的保障,信息安全管理还涉及其他的商业金融机构。因此,需要建立完善的金融信息安全协调机制,强化银行金融机构之间能够进行安全的沟通与协调,使银行金融业的信息安全管理得到完善以及协调相应的应急工作。结合华坪县的银行金融业而言,还需要不断的完善信息安全协调机制,并且积极的开展信息安全管理的检查。
2.资源配置相对缺失
目前,华坪县5 家银行金融机构对于人员配置方面,有1家金融机构因为网点众多,而设置了科技部门,并且配备了专职的科技人员,有1家仅仅配备了科技兼职人员,其余的3家并没有配置专职或兼职科的技人员。从总体情况来说,县域的信息系统比较集中,随着外包服务的不断增多,县域的科技岗位逐渐趋于弱化。
3.信息安全管理的重视程度不够
通过对县域金融机构的调查,存在三方面的问题:一是部分金融机构对于上交给当地人民银行的信息安全领导小组名单,仅仅局限于形式,而没有按照要求进行运作;二是华坪县域的金融机构都没有设置专职的信息安全管理人员,大部分金融机构的系统管理和信息安全管理者都由一个人担任;三是机房的建设不够规范,基础设施不够健全。综上三方面能够看出基层的金融机构对于信息安全的重视程度应该有所提高。
4.网络管理水平参差不齐
县域的农业银行对于信息网络拓扑结构的设计,考虑到了线路冗余以及设备冗余,并且运用了网络流量负载均衡技术,使得网络结构相对比较合理;而农村信用社的网络拓扑结构设计存在明显的漏洞,仅仅考虑了广域网线路冗余的情况,对于网络设备安全隐患有所忽视。目前,仍然采取网络设备出现故障后,利用新设备替换的方式,而不是事先进行网络设备配置参数的备份,严重阻碍了金融业的发展,
三、银行业金融信息安全管理的策略
1.建立完善的信息安全协调机制
为了能够增强金融机构对于信息安全管理的重视程度,当地的人民银行应该积极的与金融机构进行良好的金融信息安全沟通与协调,使得金融信息能够实现资源共享。不断的提高银行金融信息安全管理的应急能力,建立协调机制的同时,确保协调机制能够持续的正常运作。
2.完善信息安全管理的制度建设
为了能够提高银行金融机构信息安全的标准化,应该结合信息安全检查相关法律法规,制定完善的银行金融信息安全管理制度,明确各部门的法律责任以及义务。一是制定完善的信息安全检查制度,确保检查内容以及流程的一致性。二是进行责任制度细化,对于违反规定的相关事项,根据法规进行处罚,确保制度的约束力。
3.强化金融信息安全指导工作
针对银行金融业务的犯罪活动增长,信息安全面临的形势越来越严峻,金融信息安全管理逐渐成为了维护金融业稳定发展的重要组成。为了能够提高辖区内金融机构的稳定性,确保金融信息安全得到维护,应该积极的做好提高金融业信息安全保障以及应急能力,不断重视各县域金融机构对于信息安全的检查工作以及指导工作。
四、结束语
银行金融业信息的稳定成为了社会各个领域关注的焦点,针对信息安全认识、科技资源配置、网络基础建设、网络资源备份等方面存在的问题,应该建立完善的信息安全协调机制,强化信息安全管理的制度建设,并且做好金融信息安全指导工作。
参考文献:
[1]顾品永.县域银行业金融信息安全管理存在“短板现象”[J].时代金融,2013,05:176.
[2]郭文杰我国中小商业银行信息安全管理研究[D].内蒙古大学,2013.
【银行信息安全整改报告】推荐阅读:
银行支行客户个人金融信息保护工作自查报告10-11
银行信息证明06-13
银行信息论文06-20
银行信息科技调研05-25
银行业管理信息系统06-26
安徽银行招聘信息网12-02
商业银行金融信息化09-13
银行业信息化现状12-01
银行整改报告06-24
银行服务检查整改报告09-08
