数据安全管理细则范文
时间:2024-03-12 18:10:19
导语:如何才能写好一篇数据安全管理细则,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:档案数据 安全意识 安全保障 安全措施
档案承载着“记录历史,服务企业”的重要作用,档案工作是企业基础管理工作的重要组成部分,档案数据的安全更是档案管理工作的重中之重。近年来,随着燃气集团突飞猛进跨越式的发展,档案的门类和数量急剧增加,如何对这些档案数据进行管理,已成为档案管理部门不断思考的课题。大量的实践证明,加强档案数据安全管理工作,确保企业档案数据的安全稳定,是促进企业档案数据化建设和档案事业健康、快速和可持续发展的有力保障。本文以本单位构建档案工作防灾减灾安全体系为例,就如何加强档案数据安全的基础工作进行探讨和阐述。
一、树立全员档案数据安全保障意识,提高维护档案安全的自觉性
企业的档案工作不仅仅是档案管理部门的职责,也是由各部门专、兼职档案管理人员及全体员工共同参与完成的工作。因此,全体员工的档案安全意识特别是领导的档案安全意识决定了一个单位档案数据安全工作水平和工作的氛围。
企业档案信息是企业的无形资产,确保档案数据安全是企业档案管理部门的重要使命。档案部门要不断学习、贯彻国家关于档案数据安全管理的法律法规,大力宣传档案数据安全,强化档案数据安全管理意识,普及档案数据安全管理知识。
通过多种途径保障档案数据的安全,使每一名员工都切实重视起档案数据的安全性,不断增强使命感、责任感,自觉地从思想上、行动上把确保档案数据安全放在各项工作的首位,真正树立档案数据“安全第一”的意识,提高全体员工的安全意识,自觉维护档案数据的安全,切实落实安全责任。
同时,我们加强档案数据安全的宣传力度,利用“档案日”进行多种与档案安全有关的活动进行宣传教育,提高全体员工的安全意识,真正做到档案人员从自身工作做起,自觉维护档案数据的安全。
二、加强档案管理队伍建设,提高档案人员业务水平
档案管理人员的素质直接影响着档案管理水平,为此要切实加强档案安全管理的队伍建设,坚持依法治档,有计划、有重点、分层次、分类型地开展档案安全管理队伍的建设,同时要提高档案人员的思想政治觉悟,从思想源头上重视档案的安全,增强其档案安全防控能力。通过举办专题培训、继续教育、经验交流等途径,使档案管理人员充分了解和掌握有关档案安全防控的措施,不断提高档案人员的专业素质和能力,同时要向档案管理人员大力宣传、贯彻档案安全法规,培养和强化档案数据安全意识,为档案数据安全管理工作提供坚实有力的人才保障。
三、制定档案数据安全保护措施,建立防灾减灾应急预案体系
(一)建立健全科学完善的档案保管与数据存储制度,为档案数据安全提供保障
科学完善的档案保管与数据存储制度,是做好档案数据安全管理的基础。只有建立科学、完善的保管存储制度,才能切实维护档案数据的安全。燃气集团于2009年结合国家相关法律法规和工作实际,建立了《燃气集团档案管理制度及规范》。《制度及规范》包括档案工作制度、各类档案的管理规定及档案流程几个部分。其中根据《中华人民共和国档案法》和《中华人民共和国保护国家秘密法》的相关规定,制定了燃气集团的《档案保管制度》、《档案安全保密制度》、《档案保护修复制度》、《档案利用管理制度》、《档案鉴定销毁制度》、《档案库房管理制度》、《档案阅览室管理制度》、《档案保护技术规范》、《档案管理岗位人员变动交接工作细则》等,从鉴定、销毁、借阅、保密等方面对档案数据的安全管理进行了详尽的规定,降低了档案泄密、丢失的风险,最大限度地确保档案数据的完整安全。
2012年,燃气集团结合国家有关档案数据安全管理的规范要求,如《电子文件归档与管理规范》(GB/T18894-2002)、《数据安全技术数据系统通用安全技术要求》(GB/T 20271-2006)、《数据安全技术数据系统灾难恢复规范》(GB/T 20988-2007)、《数据与文献文件管理第1部分通用原则》(ISO 15489-1:2001)等制定了《燃气集团档案数据安全体系管理指南》(以下简称指南)。在《指南》中制定了档案数据安全管理的建设原则,其中包括:数据存储管理、密级管理、合规服务原则、访问控制、入侵检测等九项。同时提出安全管理的措施要坚持“管理高于技术,预防先于补救,遇到问题即刻处理”的指导思想,全面实施档案馆的“预防监控同步安全应急处理”的档案数据安全管理措施。这一系列措施涵盖了档案数据安全的控制、网络安全管理、个人计算机及外设管理几个方面。《指南》的推行切实提供了科学、有效的档案安全防控措施,将有力地保障了档案数据安全工作的顺利进行。
(二)制定档案防灾减灾应急预案,建立档案数据应急管理对策
档案防灾减灾体系是档案部门为防止和减少突发性灾难事件对档案的破坏而建立的一整套的档案管理规范。《指南》特别对这些突发事件进行了识别,包括常规风险(自然灾害、日常灾害)、环境风险、人为风险、管理风险、技术风险等几个无法预料的、可能给档案造成毁灭性灾难的事件。这类事件的特点是发生突然,毫无征兆,所以档案安全管理不应仅仅停留在库房的“八防”管理上,还要注重应急预案的制定。预案的制订要本着“预防为主、防治结合”的原则,要在抓防范的同时做好治理的准备,将损失降到最低程度,以保证在灾害发生时能够最大限度地确保档案的安全。预案制定后档案人员要经常学习和组织演习,以此增强档案人员的安全应急意识。构建档案工作防灾减灾安全体系是保证档案安全的重要措施,档案管理部门也要在大力推行的同时,提高监管执行力度,充分利用现代化技术手段,确保档案的安全。
(三)设立档案工作监督管理机构,健全档案管理工作机制
中华人民共和国档案行业标准——《企业档案工作规范》(DA/T42-2009)中明确规定了“企业档案工作应以企业资产关系为纽带,实行统一领导、统一管理、统一制度、统一标准”、“企业应根据规范和管理模式设置专门的档案机构,或指定负责档案工作的机构,大型企业应设立档案馆”。
按照《企业档案工作规范》的要求,燃气集团设立了专门的档案管理机构,负责统筹、协调、组织管理燃气集团档案管理工作,对燃气集团各部门、所属各单位的档案工作进行业务指导和监督检查,并定期向燃气集团办公室提交档案工作执行评估报告。这种工作模式已将燃气集团形成的各门类和各种载体档案纳入到档案工作的管理范畴,从而使燃气集团十二大门类的档案管理并重。这种工作模式对档案数据安全管理作用在于:第一,档案集中保存便于安全管理工作的开展;第二,档案在收集、管理、利用等环节统一管理,实行了统一的标准,便于档案工作的监督检查;第三,档案由专业管理部门和人员负责保管,提高了档案管理水平,降低了安全风险。
(四)实行科学有效的档案安全保管措施,提升档案数据安全系数
我国档案工作的基本原则是:“统一领导、分级管理,维护档案的完整与安全,便于社会各方面的利用”。按照基本原则的指导,档案管理部门要采取相应的措施加强对档案实体和档案数据的管理。首先要建设符合规定要求的档案库房,并配备安全保管的设备设施,这是保管档案的最基本的物质条件,它直接影响着档案的保护效果。其次要构建严格的档案库房保管制度,严格控制档案库房进出人员手续和档案库房的钥匙和门禁管理,以确保档案的安全。再次,建立各级档案数据安全责任制,把档案数据安全作为对档案管理部门、档案工作人员考核的首要指标,杜绝一切安全隐患。同时要根据实际情况,对现有制度进行认真清理,完善档案保管、编目、利用、编研、保护、保密等方面的制度,并对制度的执行情况加强监督和检查,定期进行考核,确保各项制度能够有效、正确执行。
篇2
【关键词】等级保护;虚拟专网;VPN
1.引言
随着因特网技术应用的普及,以及政府、企业和各部门及其分支结构网络建设和安全互联互通需求的不断增长,VPN技术为企业提供了一种低成本的组网方式。同时,我国现行的“计算机安全等级保护”也为企业在建设信息系统时提供了安全整体设计思路和标准。如何充分利用VPN技术和相关产品,为企业提供符合安全等级保护要求、性价比高的网络安全总体解决方案,是当前企业信息系统设计中面临的挑战。
2.信息安全管理体系发展轨迹
对于信息安全管理问题,在上世纪90年代初引起世界主要发达国家的注意,并投入大量的资金和人力进行分析和研究。英国分别于1995年和1998年出版BS7799标准的第一部分《信息安全管理实施细则》和第二部分《信息安全管理体系规范》,规定信息安全管理体系与控制要求和实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,是一个全面信息安全管理体系评估的基础和正式认证方案的根据。国际标准化组织(ISO)联合国际电工委员会(IEC)分别于2000年和2005年将BS7799标准转换为ISO/IEC 17799《信息安全管理体系 实施细则》和ISO/IEC 27001《信息安全管理体系 要求》,并向全世界推广。中国国家标准化管理委员会(SAC)于1999年了GB/T 17859《计算机信息系统安全保护等级划分准则》标准,把信息安全管理划分为五个等级,分别针对不同组织性质和对社会、国家危害程度大小进行了不同等级的划分,并提出了监管方法。2008年制订并下发了与ISO/IEC 17799和ISO/IEC 27001相对应的GBT 22081-2008《信息安全管理体系 实用规则》和GBT 22080-2008《信息安全管理体系 要求》。
3.信息系统安全的等级
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,国家公安部、保密局、密码管理局和国务院信息化工作办公室等,于2007年联合了《信息安全等级保护管理办法》,就全国机构/企业的信息安全保护问题,进行了行政法规方面的规范,并组织和开展对全国重要信息系统安全等级保护定级工作。同时,制订了《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》和《信息系统安全等级保护定级指南》等相应技术规范(国家标准审批稿),来指导国内机构/企业进行信息安全保护。
在《信息系统安全等级保护基本要求》中,要求从网络安全、主机安全、应用安全、数据安全及备份恢复、系统运维管理、安全管理机构等几方面,按照身份鉴别、访问控制、介质管理、密码管理、通信和数据的完整、保密性以及数据备份与恢复等具体要求,对信息流进行不同等级的划分,从而达到有效保护的目的。信息系统的安全保护等级分为五级:第一级为自主保护级,第二级指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
针对政府、企业常用的三级安全保护设计中,主要是以三级安全的密码技术、系统安全技术及通信网络安全技术为基础的具有三级安全的信息安全机制和服务支持下,实现三级安全计算环境、三级安全通信网络、三级安全区域边界防护和三级安全管理中心的设计。
图1 三级系统安全保护示意图
图2 VPN产品部署示意图
4.VPN技术及其发展趋势
VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。VPN通道的加密方式成为主要的技术要求,目前VPN技术主要包括IPSec VPN,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等。
IPSec VPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障,协议包括AH、ESP、ISAKMP等协议。其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。通过采用加密封装技术,对所有网络层上的数据进行加密透明保护。IPSec协议最适合于LAN到LAN之间的虚拟专用网构建。
SSL VPN是基于SSL协议的VPN产品。在企业中心部署SSL VPN设备,无需安装客户端软件,授权用户能够从任何标准的WEB浏览器和互联网安全地连接到企业网络资源。SSL VPN产品最适合于远程单机用户与中心之间的虚拟网构建。
整个VPN通信过程可以简化为以下4个步骤:
(1)客户机向VPN服务器发出连接请求。
(2)VPN服务器响应请求并向客户机发出身份认证的请求,客户机与VPN服务器通过信息的交换确认对方的身份,这种身份确认是双向的。
(3)VPN服务器与客户机在确认身份的前提下开始协商安全隧道以及相应的安全参数,形成安全隧道。
(4)最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。
目前国外公开的相关VPN产品多数采用软件加密的方式,加解密算法也多使用通用的3DES、RSA加解密算法,不符合国家密码产品管理和应用的要求。《商用密码管理条例》(中华人民共和国国务院第273号令,1999年10月7日)第四章第十四条规定:任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。国家密码管理局在2009年针对VPN产品下发了《IPSec VPN技术规范》和《SSL VPN技术规范》,明确要求了VPN产品的技术体系和算法要求。
5.VPN技术在等级保护中的应用
在三级防护四大方面的设计要求中,VPN技术可以说是在四大方面的设计要求中都有广泛的应用:
在安全计算环境的设计要求中:首先在实现身份鉴别方面,在用户访问的中心,系统管理员都统一建立的有用户的用户组和用户名,用户会通过VPN的设备登录访问中心的应用系统,当身份得到鉴别通过时才可访问应用系统;其次在数据的完整性保护和保密性保护上都能够防止用户的数据在传输过程中被恶意篡改和盗取。
在安全区域边界的设计要求中:网络边界子系统的边界控制与VPN功能一体化实现,在保证传输安全性的同时提高网络数据包处理效率。
在安全通信网络的设计要求中:网络安全通信的子系统主要是为跨区域边界的通信双方建立安全的通道,通过IPSEC协议建立安全的VPN隧道传输数据。完成整个应用系统中边界或部门服务器边界的安全防护,为内部网络与外部网络的间的信息的安全传输提供加密、身份鉴别及访问控制等安全机制。在客户端和应用服务器进出的总路由前添加网络VPN网关,通过IPSEC协议或者SSL协议建立VPN隧道为进出的数据提供加密传输,实现应用数据的加密通信。
在安全管理中心的设计要求中:系统管理中,VPN技术在主机资源和用户管理能够实现很好的保护,对用户登录、外设接口、网络通信、文件操作及进程服务等方面进行监视机制,确保重要信息安全可控,满足对主机的安全监管需要。
在信息系统安全等级保护设计中VPN产品的部署示意图如图2所示。
篇3
【原刊地名】京
【原刊期号】200305
【原刊页号】44~46
【分 类 号】g7
【分 类 名】档案学
【复印期号】200401
【 标 题】数字档案安全应用研究
【 作 者】薛四新/王玉/孙宇华
【作者简介】薛四新,清华大学档案馆,邮编:100084
【内容提要】数字档案在其形成、存贮和共享利用等各个环节都会存在各种类型和各种层次的安全问题,本文重点讨论网络环境下数字档案信息化应用过程中存在的安全隐患问题,并介绍了针对这些问题所采取的解决方案和技术手段。
【摘 要 题】数字信息化
【关 键 词】数字档案/信息安全/互联网
【 正 文】
1.数字档案网络化应用的安全问题
数字档案的产生、移交、归档、管理和利用都是基于互联网、专用网和局域网环境下进行。系统的应用模式主要采用两种方式(即基于浏览器的browser/server结构和基于客户服务器模式的client/server结构),这两种方式都可以实现网上对档案信息的转换、存贮和访问。在数字档案的归档、管理和服务利用等过程中,档案数据的安全问题往往表现在多个层面。
1.1 网络级安全。是指支撑系统运行的物理设备的安全问题,包括网络基础建设如网络布线、网络联接、局域网和广域网环境的构建、设备的选型及其各个环节安全策略的考虑。往往会根据需要采用适当的防火墙设备及网络管理软件来确保局域网的内外用户的访问权限和网络上数据包的检测与过滤;选用可靠的硬件安全设备保证整个系统的稳定运行,如双机热备份、磁盘阵列等设备的采用来保证一台服务器出现故障而不会导致整个系统的瘫痪问题,等等。网络级安全策略是整个系统得以安全运行的基本保障,这是需要在系统规划阶段严格把关的重要内容之一。
1.2 数据级安全。主要是指涉及到系统存贮的档案数据的安全问题,包括操作系统、数据库管理系统、档案数据存贮、数据备份、数据格式的转换以及各类电子文件的保管和异地存贮策略等,以防止数据版本的更新、数据格式的转换、硬件设备的意外损坏、存贮介质的老化、失效、自然灾害等造成的数据丢失、数据损坏甚至是计算机系统的破坏和瘫痪。操作系统和数据库管理系统的安全问题虽说主要是取决于软件供应商所开发的商品化软件的稳定性和安全的保障问题,但对于建立网络化档案管理信息系统,首要考虑的是选择什么样的操作系统来确保应用系统的安装和运行,目前主流的操作系统有unix、windows和linix,他们各自有其优越性,安全问题也各有特点,关键是如何选择满足用户实际需求的操作系统和数据库管理系统。当然考虑档案元数据的存放规则和保管策略也是本阶段非常重要的问题之一,如数据库的分布式或集中式存放模式、数据的异地备份、电子数据格式的定期升级和保存介质的更换等,需要一定的保管制度来约束。这些都是在系统设计和具体实现的过程中需要综合考虑的关键因素,也是档案应用系统能够安全运行的根本保障。
1.3 应用级安全。是指档案管理信息系统在实际应用操作的过程中应考虑的基本问题,主要取决于档案部门所采用的应用系统的用户模型的定义模型和使用规则。一般情况下,档案管理信息系统的用户模型分多个层次、多个角色、多种功能或多种形式混合使用,来分别定义用户权限。系统常常按功能权限划分为系统管理、数据操作和数据浏览等3大类用户:每类用户角色的定义可以按照各业务职能的实际需求,对其操作权限和操作功能进行定义,如单位领导、部门领导、普通业务员等。但不论采用哪种用户模型,要求应用级的安全至少包括两项功能,一是对系统中各个功能模块的操作权限的定义,另一个是对系统数据的分层管理和操作权限的定义。比如,两个不同的用户可以操作同一个功能模块,但所能看到的数据只能是本用户所在单位的数据,而不应看到另一个用户所在单位的数据,这是网络版档案管理信息系统的基本操作需求;再如上级领导能够看到下级人员所操作的数据,而下级人员则无权看到上级领导权限范围内的数据。
2.网络基础环境的安全技术方案
网络基础环境的安全建设是防止系统外部非法用户和不安全数据包侵犯的主要措施,常常采取的主要方法是物理隔离、应用防火墙以及身份认证等安全技术。防火墙技术是实现内外网的隔离与访问控制的最基本、最流行、最经济的、也是很有效的措施之一,这里以防火墙为例来讨论数字档案的网络基础环境的安全解决方案。
2.1 防火墙安全解决方案。
防火墙是多个网络之间的安全隔离网,其基本原理是设置安全策略,控制(允许、拒绝、检测)出入网络的数据包,它本身具有较强的抗攻击能力,可以实现以下几种安全功能:一是限制未被授权的用户进入内部网络,过滤掉不安全的数据包;二是防止入侵者接近本系统的防御设施;三是限定内部网络用户访问特殊站点;四是为监视internet安全提供方便。清华大学档案馆防火墙安全运行结构采用了三台对外提供服务利用的服务器,都部署在非军事管辖区(dmz区),服务器通过特定的端口对外提供服务,如web服务的8085端口,数据服务的1528等,避免了外界用户对服务器其他端口访问的可能性。如果少数的档案室需要数据服务器特别指定用户,可以采用防火墙用户认证及用户规则来限制,这样除了经过已认证的用户外,所有本局域网以外的用户在访问内部网络时都需要通过防火墙进行过滤和筛选,具体使用时可以通过对客户端ip地址或者网卡的mac地址进行判断和识别,以及通过对可疑数据包的检测进行过滤,以保证整个网络系统的安全运行。
这种链接方式是采用了防火墙的路由模式来实现的。档案馆内部的办公pc统一使用内部定义的网址如192.168.x.x,为私有ip,通过防火墙的nat功能访问互联网,保证了安全性。外界不能直接访问到档案馆内部的pc,减少被攻击的可能性;提高了可管理性,所有pc都可以实现mac地址绑定,可以针对需要控制内部用户的上网时段和访问内容。
2.2 网络安全管理的人文策略。
硬件设备和网络管理软件是保证网络安全运行的基本手段,同样加强网络的安全管理,采取科学有序的管理策略也是非常重要的人为因素,往往诸多的不安全因素恰恰反映在组织管理和防范不当等方面,因此必须引起足够的重视。
系统管理员采用双人负责制和任期有限的基本原则,防止人员流动或缺岗造成损失,避免职位垄断或由于时间过长滥用职权。
安全级别确定应根据工作的重要程度来确定,根据确定的安全等级,确定安全管理的范围。
制定的机房管理制度:对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记如门禁系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。
制定严格的操作规程:操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
制定完备的系统维护制度,如数据保护,数据备份等工作计划。重要数据维护时要首先经主管部门批准,并有安全管理人员在场,随时将出现故障的原因、维护内容和维护前后的情况要详细记录。
制定应急措施,保证紧急情况下,如何尽快恢复的应急措施,使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
3.档案管理信息系统的安全方案
数字档案信息的录入和维护主要依靠管理信息系统所提供的各项功能来完成,由于用户角色的不同,权限的差异,要求应用系统能够提供一套完整的用户安全管理策略,以保证档案信息的完整性和安全性。档案管理信息系统的安全管理主要体现在3个方面。一是要采用成熟先进的计算机应用系统运行结构:二是对系统用户按照工作需要进行角色和等级的区分;三是对档案数据的安全管理级别如保密、开放等状态按照档案法规定和实施细则进行多级安全管理,以区别不同类型用户的访问。
3.1 应用系统的体系结构。
三层browser/server体系结构有着多层数据安全机制、日常维护工作量小、对客户端的运行环境要求也比较低(只要有浏览器即可)、客户端物理位置可以灵活设置等诸多优点,因此采用三层b/s的系统结构无疑是一个先进且明智的选择。安全防护措施有三级,即防火墙安全措施、应用系统的身份认证安全措施以及数据库管理系统的安全模型,
3.2 应用系统用户权限管理:
系统用户权限的管理和角色分配与档案管理的业务功能、操作流程、档案数据的管理层次密切相关。一般情况下用户分3大类,即管理级用户、业务级用户和浏览级用户。管理级用户负责系统整体数据备份,日常维护,系统模块设置、公共字典维护、用户定义及用户权限设置等;业务级用户负责各个业务岗位上数据的录入、修改、删除、统计、检索等功能,该类用户对系统中的数据具有完全的存取访问权限,每个用户的操作功能和访问数据内容的权限将根据其业务职能的不同而有所区别;浏览级用户主要是通过internet网查询已经开放的档案信息,绝不允许对系统中的数字进行修改和删除。无论是哪一类用户,他在访问系统的过程中主要是通过严格的身份认证技术来保证系统的安全性。因此系统用户的安全管理也是非常重要的。各业务人员在操作过程中切不可将密码帖在机器上,或者设置非常简单的密码,这些都是不利于安全管理的常见错误做法。
篇4
关键词 管理;信息;安全;违章
中图分类号:X934 文献标识码:A 文章编号:1671-7597(2013)20-0163-02
随着科学技术的发展,信息化的进程越来越快,并在电力市场经济环境的促使下,供电企业开始加大自身的信息化建设,信息安全管理逐步得到完善。作为新时代的一员,每个人都自然而然的成为了信息化的一部分,所以信息化同时也影响着社会上的每个人,信息安全管理的问题也成为了人们最关切的问题。
1 信息安全管理的目标描述
1.1 信息安全管理的理念
信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身(数据)的安全和信息系统的安全。其中,数据安全就是防止数据丢失、防止数据被窃取,防止数据被篡改;信息安全就是要保证系统安全稳定运行,确保有权使用系统的人能顺利地使用,无权使用该系统的人无法访问它。
1.2 信息安全管理的范围和目标
1)信息安全管理的范围。海安县供电公司信息安全的范围包括:信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。
2)信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求,巩固公司信息安全防护基础,强化安全风险预控手段,提高应急反应和处置能力,确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标(见附表)。
2 信息安全分类考核的主要做法
2.1 建立信息安全分类考核机制的目的
为贯彻国网以及省市公司关于信息安全工作的管理要求,确保信息系统安全稳定运行,加强公司员工信息安全责任意识,界定信息安全违章行为,进一步明确考核细则,海安县供电公司借鉴生产安全的管理制度,出台了《海安县供电公司信息安全违章考核办法(试行)》。
2.2 信息安全分类考核的依据和原则
依据国家电网公司、省市公司信息安全考核管理工作要求,以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人谁负责”为原则。
2.3 信息安全违章行为界定
违反国家信息安全有关法律和法规;违反国家电网公司和省市公司信息安全管理规章制度。
2.4 信息安全违章行为的分类
2.4.1 一般性违章(III类违章)
1)部门及人员未按公司要求及时签订《信息安全保密承诺书》。
2)计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。
3)未按要求使用安全移动存储介质进行内外网信息交换;擅自删除或破坏已注册安全移动存储介质内的管理软件。
4)擅自卸载(含格式化)本单位规定安装的操作系统和业务应用系统客户端。
5)计算机未按要求进行注册或注册信息与责任人信息不一致。
6)在公司所有工作场所的计算机终端上做任何与工作无关的事情(如游戏、看电影或电视剧、聊天、炒股等)。
7)违反上级公司信息安全管理规定被认定为一般违章的其他行为。
2.4.2 较严重违章(II类违章)
1)计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。
2)计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。
3)在计算机上安装双网卡或双操作系统,进行内外网切换;私自拆卸与混用内外网计算机硬盘。
4)私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。
5)擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。
6)计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令;设置了登录口令,但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成;使用系统内的通用密码;擅自新增用户,未按安全密码要求设置密码。
7)未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。
8)未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。
9)在非计算机中存储和处理及通过互联网传输国家、公司的信息。
10)内网计算机私自带出公司。
11)擅自组建无线网络并接入信息内网。
12)干扰他人正常工作行为,包括:不真实信息、垃圾信息;散布病毒及木马;未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。
13)擅自在内网计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。
14)内外网计算机同处一室,经查实仍未按要求进行整改。
15)违反上级公司信息安全管理规定被认定为较严重违章的其他行为。
2.4.3 严重违章(Ⅰ类违章)
1)未经公司安全运检部安全检测和许可,擅自将计算机(含公用、私用笔记本、长期未使用的计算机、仓库报废的计算机、外来人员的计算机)等接入信息内、外网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
2)在内、外网计算机上利用无线上网卡、WIFI或具备上网功能的手机和PDA等设备访问互联网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
3)手机与内、外网计算机相连,用于充电、同步或收发短信(彩信)、邮件等,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
4)违反上级公司信息安全管理规定被认定为严重违章的其他行为。
2.5 信息安全违章的督查
1)各类人员必须严格执行信息安全规章制度,遵章守纪。各部门、供电所(含工程队)必须认真开展自查自纠,对于发现的违章行为,严格按照“四不放过”的原则认真分析和严肃处理。实施四级信息安全日常管理制度,即个人每日一查、班组每周一查、部门每月一查、公司每季度抽查,并对管理不到位的相关责任人及管理人员进行考核。
2)对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。公司将对违章行为及相应责任者进行曝光,以使责任者和广大员工受到教育。
2.6 信息安全违章的处罚
1)处罚标准。
①I类违章:10000元以上或待岗处理。
②II类违章:500-2000元。
③III类违章:200-500元。
2)违章处罚的对象为公司全体员工(含农电人员),包括社会化用工、承(分)包单位人员、外协人员等。
3)连带责任考核。
连带责任考核标准:因管理不到位,视管理到位情况对相关部门、供电所(含工程队)的负责人、管理人员、班组长等进行考核。
4)对于信息安全反违章处罚的认定、处理有异议的,可逐级向上申请复议,最终以公司安委会的认定为最终结果。
5)一年内发生一起及以上严重违章,取消该部门、供电所(含工程队)当年度的先进集体评选资格。
3 评估与改进
3.1 信息安全违章分类考核的评价
参照生产安全中的管理方法,建立信息安全违章分类考核机制,有利于公司全体员工信息安全意识的灌输、宣传、培训,培养了良好的信息安全使用习惯,提高了全员信息安全技能水平,使信息安全意识深入人心。
建立信息安全违章分类考核机制至今,海安县供电公司信息安全工作获得省市公司的普遍认可与高度评价,没有发生一起违规内网外联事件。
3.2 信息安全管理的提升
1)加强信息安全防范工作。
近几年来,公司对信息化的依赖程度越来越大,对信息安全工作也越来越重视,信息化水平也取得了高速的发展,但同时也出现病毒泛滥、网络端口扫描、恶意软件、信息外泄等威胁,企业信息和企业信息系统未经授权被访问、使用、泄露、中断、修改和破坏。为适应不断变化的信息化工作,通过管理手段和技术手段强化信息安全管理工作非常必要。
2)持续提高运维人员业务水平。
随着信息技术的发展,公司信息化水平的提高,对信息系统运维人员的技能水平提出了更高的要求。因此,为适应信息系统运行与维护工作的需要,公司信息系统运维人员的技能水平和综合业务水平应该持续加强。
3)进一步加强员工信息安全意识。
加强对信息化人员的培训和全员信息安全意识宣传,通过多种渠道普及网络与信息安全相关知识。安全意识和相关技能的教育是公司安全管理中重要的内容,应当对公司各级管理人员,用户,技术人员进行安全培训,减少人为差错、失误造成的安全风险。
4 结束语
生产安全是供电企业生产管理的根本,而信息系统安全是供电企业安全生产的基础。许多生产安全管理中的制度、措施和办法,值得我们在信息安全管理中借鉴。
参考文献
[1]林世溪.电力企业网络信息安全防护体系的建立[J].华东电力,2010.
[2]杜新光.电力安全生产管理中存在的问题及其解决措施[J].中国电力教育,2009.
篇5
我们北京市公共卫生信息中心(原北京市卫生局信息中心),是北京市卫生和计划生育委员会直属的事业单位,负责全市医疗卫生行业网络与信息安全指导工作。北京市的信息安全等级保护工作是从2007年开始开展的。总结来说,主要有以下几点做法:
1.强化组织,落实责任。每年年初组织召开北京市医疗卫生信息化工作会,市卫生计生委领导、市公安局领导均出席会议,对全年信息安全工作提出部署,明确全行业信息安全保障重点任务,为落实全年信息安全工作的组织开展奠定了坚实的基础。
2.联合检查,摸清底数。自2008年起,我们每年都与市公安局联合开展医疗卫生行业信息安全检查工作。在市公安局的指导下,我们针对卫生行业机构众多的特点,设立了由市区两级卫生行政部门与市区两级公安部门联合检查的工作机制。全市三级医疗机构及市卫生局直属单位由市卫生计生委、市公安局负责,区县医疗卫生机构由区县卫生局与区县公安分局联合进行。目前,我市所有三级以上医疗机构和重要公共卫生部门均已完成了信息安全等级保护定级和备案工作。
3.政策落实,推动整改。近几年,市财政、市经信委大力支持卫生行业信息安全等级保护工作,在2012年度至2014年度的市卫生信息化项目申报指南中,明确规定了信息安全等级保护建设属于政府支持项目。到目前为止已有10家市属三级医院(世纪坛医院、朝阳医院、地坛医院、儿童医院、安定医院、北京胸科医院、友谊医院、佑安医院、中医医院、首都儿童研究所)完成信息整改项目的申报工作,已由市经济信息委审核通过项目资金共计3670.902万元,现在建设资金正在陆续拨付到位。通过安全整改、等级测评,完成信息安全等级保护工作,切实提高了本市医疗卫生机构信息安全保障能力。
4.制定预案,强化值守。
5.及时总结,持续改进。
二、信息安全等级保护工作的体会
从2007年开始参与信息安全等级保护工作,我个人经历了北京市等级保护工作推动的全过程,在这里谈几点个人对于信息安全等级保护相关工作的思考。
1.信息安全等级保护制度为我们医疗卫生行业带来了很大的变化。第一是看待信息安全工作视角的变化。以前,我们可能更关注技术本身,有了等级保护要求之后,使得我们从一个整体的角度来看待信息安全这件事情。因为信息安全是符合木桶原理的,最薄弱的地方往往是最容易出现问题的地方,也代表着整个安全防护的水平。第二个变化是让我们更清晰地梳理了医疗卫生行业的信息系统,以往可能主要从系统功能来区分,现在会考虑从业务连续性的高低、数据安全防护需求的高低来区分。
2.通过对信息系统的梳理、划分也清楚了信息安全等级保护要求里哪些要求对我们医疗卫生行业更适用。信息安全等级保护相关标准是各行业通用的,因此在行业内推动时,一定要结合行业特点,按照信息安全等级保护工作要求制定适合本行业的标准和规范。我们之前推出的《细则》其实就是基于这个思路,但由于行业的复杂性,真正形成一套适合医疗卫生行业的完整的标准规范,难度还是非常大的。
3.医院的院长、信息中心主任在增加新的信息系统时,都应从信息安全的角度对信息系统进行分析,在项目规划申报阶段就将信息安全需求整合考虑。现在大部分医院都上线了移动医疗、移动护理,面向公众开通了微信、手机App,增加这样一些新的业务之后,医院原有信息安全防护体系发生了较大改变,具体应如何解决?另外数字医疗设备信息安全的问题也应得到广泛的关注,根据我们的调研,随着影像检查、生化检验等设备的数字化,这些设备都接入到医院的信息网络当中,但对这些设备的安全管理基本属于空白,存在较多安全隐患。其实这些问题都可以在信息安全等级保护要求的指导下通过技术手段和管理制度的完善而解决。
4.既然面临这么多问题,那么我们信息安全等级保护工作到底应该怎么做?从卫生行政部门、从专家的角度,如何推进等级保护工作?答案是将信息安全等级保护制度跟国外的信息安全最佳实践,如信息安全管理体系ISMS、ISO/IEC27001等结合起来落实。不管是增加什么样的新系统、新业务,都不要就这个应用本身去考虑太多,而应该按照一个整体思路方式来进行梳理,进行考虑。因此我市医疗机构在信息安全等级保护整改建设工作中,都重点考虑了将等级保护的管理要求和信息安全管理体系结合。
篇6
摘 要 伴随着我国现代化银行支付清算系统环境的不断深入与发展,对于银行的会计风险防范工作需要日益深化、完善。本文针对于在支付清算系统环境下的中央银行会计工作的现状与支付清算系统环境下央行存在的相关会计风险进行探索,力求让规范、系统化的指导方式来指引与降低会计的风险率。通过不断的分析在支付清算系统环境下央行存在的会计风险,适时的提出防范风险的建议,以此来不断的丰富、完善、改进其央行支付清算体系管理的相关会计风险性问题。
关键词 支付清算 系统环境 中央银行 会计风险 防范
随着社会的发展,经济与科技的不断进步,对于在支付清算系统环境下的会计运行还存在一定的风险与弊端。这就使得央行对于相关的会计核算、风险防范等越来越重视。那么就会对每一个能够影响其整体支付清算的会计风险进行严格的审核,控制风险的出险率,把握住支付清算的风险防范关口,避免一切的影响因素。通过逐步的提升银行自身内部的控制制度、操作规程、人员素质等,更好的建立一个完善的无会计风险的中央银行支付清算系统。并且,通过逐步完善我国央行的固有职能,进一步的扩展央行的会计风险防范效能。
一、支付清算系统环境下的央行会计工作现状
1.对于总行与分行间的的责任制度的建立
中央银行的总行,主要是负责银行系统的会计管理工作,在规定与完善相应的会计制度及各项业务往来、核算时具有监督、说明、检查等具体工作内容。通过制定相应的基本会计法律、法规,让我国的央行能够在实行其责任与建立相应制度时,更能够有效、高效的参考具体实施细则而建立负责制度。分行,一定要结合自身所在区域的特点,按部就班的、结合实际情况的实施总行下达的相应责任制度。
2.中心支行成为一级会计核算的主体
对于央行来说,中心支行是具备积极的贯彻、落实总行下达的各项会计制度规定与任务。作为核心银行,中心支行必须具有会计支付清算的主体性能,让负责制度能够贯彻、落实。中心支行不仅能够负责处理账务,关联业务,更加能够起到对于点、面、线的专门支付清算的管理。在一定程度上说,中心支行是能够连接、处理支付清算系统主核算的一级会计核算主体,其具有能够保障央行会计实施与处理的稳健、合理等相关职能。
3.下级银行的营业网点设立监控支付清算
通过央行设立市、县等下一级的银行作为分支机构,其具有的核心管理内容也同样的具有贯彻、执行上级行、总行的各项规定、制度等。在行使与受理、录入、复核相关的支付清算会计往来业务时,可以适当的根据情况、风险等进行不同的处理方式选择。如果在其规范的范围之内扩展了一定的县市支行客户群体,就需要在管理与核算上向上级行进行信息报送、比对,对于日常的往来账户进行监控、检查,严格的杜绝、防范会在未来支付清算过程中与环境下所出现的一系列会计风险问题。
二、当前支付清算环境下出现的会计风险问题
1.制度存在的风险性
我国中央银行的核算方式为集中核算制度。其央行会通过运用会计集中核算的系统,进一步的明确了其岗位的设立与整体的操作流程。但是,在相应的操作与运行中,其相关联、制约的制度与准则还存在明显的滞后性,对于支付清算系统的研究与发展,始终缺乏统一、系统、高度管理性。再有就是,在新出台的会计准则、规定上与原有旧时的制度缺乏有效的衔接性。这样十分不利于相关的会计人员进行管理、监督、规范,更加不利于中央银行实行内部控制与调整,让整体的银行内部的会计管理出现了风险性的系统漏洞。
2.系统存在的功能风险
在央行中所实行的会计支付清算与监控及风险防范系统,还存在一定的不足性。由于没有完整的考虑到相关网点的支付清算系统查询功能,所以,对于目前的央行会计工作就带来了一定的安全隐患与弊端。其主要表现在于在会计档案处理中,其监督功能的不健全性。对于系统的操作员登录与签退中没有完善、严格的管理与限制制度。在会计核算系统运行中,如果操作员可以在多个终端上重复登录,而且该系统也进行了默认没有签退,这样,就会在系统管理上存在一定的安全隐患。如果,在联行柜查询对支付清算的账户其透支的约束管理机制不健全、完善。就会让一些不法的金融机构进行无限的清算账户透支,这样就会造成央行进行被动的管理模式。一旦发生透支行为,只能进行被动的等待、催促还款,其他再无任何有力的举措。这样一来的支付清算风险就使得央行的会计核算风险逐步加剧,让支付清算系统难以发挥其最大绩效。
3.网络安全的风险问题
对于央行的大额支付系统的管理与设立,是需要一个较强大的网络供应进行支持的。在银行的下设的相关营业网点中,会间接、直接的与中心管理服务器相链接,当中心管理服务器与整个城市、其他城市等链接时,就可以运用网络进行会计核算、支付清算的处理。但是,这样的支付清算是需要具有网络进行配合的,对于网络的依赖性、安全性具有高敏感性质。其会出现的相应风险问题,主要体现在如果一旦在处理账务时,网络中断、设备故障等,都会引起系统数据的丢失,会计支付清算的风险。当银行的使用网络故障无法及时排除与解决时,就会致使大面积、大区域引发大额度的支付系统运行瘫痪,这样会让银行造成无法估计的损失。
4.联行资金的划拨风险
在通过央行的集中会计支付清算处理后,整体的资金支付清算业务处理会先经由网点柜扫描原始凭证信息,之后通过邮件、传真的方式将相关的信息内容上传至联行柜,在进行完核实原始数据所录入的信息后,再将由联行柜补充联行要素后生成支付业务。其中,对于联行柜来说其自身的系统是不具备数据审核功能的。因此,原始录入数据的信息是否是真实、准确的都无从保障,这样就会让联行的资金管理与划拨出现一定的风险性,如果有人恶意的进行录入,则当时的监管与风险控制并不能阻止该事件的发生。这样,就很容易出现联行的资金安全风险问题。
三、对于完善、改进央行支付清算环境下的会计风险防范建议
1.健全支付清算完善内部管理
随着银行内部的整体支付清算体系的变革,对于旧式的内控制约机制来说不适应新发展体系需求的,就需要逐步的删减,对于能够辅助未来银行管理与完善的相应积极的制约是需要采取保留的。因此,对于央行会计风险来说,完善的内部控制、监督机制,能够更好的防范与控制风险的发生率、影响范围。首先,从央行的防范支付清算风险的角度上出发,让新界定的会计支付清算和岗位管理职责相呼应、相制约、相监督,有序的完善央行会计权责分明的内控体系。
2.加强会计风险的防范意识
对于央行现代的管理手段与管理模式来说,在提高支付清算效率的同时,必须进一步的加强会计风险的防控措施。只有不断的建立、完善其相应的支付清算管理体系的安全性,央行作为支付清算体系中的主体和实践者,都必须加强相关会计风险的防范意识,确实的制定出风险防范的有效措施、健全风险防范与管理的机制。
3.出台统一的支付清算管理机制
在理顺与完善央行的支付清算管理的工作中,其有效的途径是需要通过央行总行统一规定、管理的。让其严格、规范的操作性能够全方位的制约、管理支付清算的会计风险防范措施。通过不断的加强基层央行的整体会计清算管理工作,让央行的会计风险能够全面有效的降低,确保央行能在完善的支付清算系统环境下有效的防范会计风险,积极、顺利的、有效的开展绩效管理工作。
4.加强支付清算人员队伍的建设
通过建立与不断提高的央行会计人员、管理人员,让其能够通过强化的综合素质、知识文化素养等,帮助央行进行会计风险的防范。通过有效的结合我国当前的金融改革发展情况,切实的加强对于央行会计风险防范工作的研究,正确的引导和促进管理、财务等相应的央行工作人员的知识结构完整、理论素养完善、政策水平和业务水平强化等工作,以此来,不断的适应、履行其职位的具体职责义务。通过加强央行人员的职业道德教育,不断的提高爱岗敬业、无私奉献的精神。去保障央行支付清算的会计风险的管理与防范,激励、约束人员工作中的思想变动、消极性,以此保障央行始终能够不断的蓬勃发展。
5.完善会计规章制度与操作流程
通过中央银行总行所制定的具体业务操作流程,其内容性具有完全的配合与辅助会计风险管理所制定的相应管理、防控风险的细则。其中所包括的业务具有较完善的处理流程模式、审核的细则要求、会计支付清算的要点等。这样,就可以完全的让中央银行的各级分支构、各个部门等都能够有章可循、有据可依。与此同时,总行、分行与中心支行一定要更加能够从基层银行的会计内部控制的安全性考虑,提出对于相应适合的细则、约束性的指导意见、建议。再经由每个地方的下层基础行结合所在辖内的实际情况,对应性的自行制定会计防范风险的内部管理细则。让整个中央银行的支付清算系统能够从源泉上帮助会计起到防控风险的积极作用。
6.重视“内控优先”强化会计风险的意识
从会计风险防范的意识上抓取,通过针对于基层央行的会计风险意识上进行管理与强化,让中央银行的整体内控管理机制都能够围绕会计风险防范进行设置。通过不断的加强会计监督、检查的力度,强化会计支付清算风险的有效安全性控制意识,让相应的会计支付清算与会计管理人员能够从基础上、自身条件上,增强会计的风险意识。在央行内部管理与外部事宜处理上始终保障其规章制度的完整性、深入性,对于发生变化的细则与规定,要及时的修改、普及,让规范性的会计风险防范措施能够强有力的指引支付清算系统的有效运行。
7.及时完善会计风险监督措施与手段
针对于会计风险中的管理与监督,要让剔除原有的建议性制度,强化制度的效力性。通过实施会计风险监督,来确保央行会计支付清算的真实、完整性,保障银行支付清算系统的稳定运行。在针对于会计凭证的风险传送问题中,我们需要建立完善的上行传输数据安全检验、保障,对于意外丢失、损毁的会计数据进行补救、应急等。通过不断的开发与完善、稳定会计支付清算系统中的风险问题,就要逐步的完善、建立央行内部系统的稳定监督性能,让其会计支付清算系统、参数设置等都能够具有较强的风险预警能力。
8.强化央行使用网络的安全性管理
在建立与确立中央银行网络运行安全的管理条例与制度时,要明确其安全管理的责任。在中央银行的会计风险管理中不仅要分清会计核算、清算、支付等之间的区别,更要明确其中的相关联系,要通过对于相关责任人落实风险管理、监控、预警等岗位职责,让央行的网络安全问题能够排除于会计风险管理与防范措施中。因为,安全的网络运行是会计有效、安全的基础设施保障,所以其安全性必须完善与强化。
四、结论
综上所述,我们只有通过分析与浅谈我国中央银行支付清算中的会计风险的问题,解析在支付清算系统环境下的央行现今会计工作的现状,再对此出现的问题与弊端提出相应的完善意见与建议。以求能够通过建立完善的支付清算系统环境下的会计风险防范机制来保障我国央行的高效发展及运转。
参考文献:
篇7
一、总则
第六次全国人口普查数据处理工作按照“统一组织、光电录入、分级处理”的原则,在国务院人口普查办公室统一领导下组织实施。以普查表为直接处理对象,采取国家、省、地市分级数据处理模式进行。各级普查机构要严格执行国务院人口普查办公室统一规定的数据处理工作流程和操作规范,负责完成本级数据处理工作任务,按规定的时间、数据格式和要求上报(接收)普查数据。
二、数据处理工作任务及工作步骤
第六次全国人口普查数据处理工作任务是:完成《第六次全国人口普查表短表》(以下简称“普查表短表”)及封面、《第六次全国人口普查表长表》(以下简称“普查表长表”)及封面和《第六次全国人口普查死亡人口调查表》(以下简称“死亡表”)及封面的所有信息录入、编辑、审核、上报,并在此基础上完成数据汇总、资料开发以及数据库建设等工作。
整个数据处理工作分四个阶段进行:
第一阶段为准备阶段,在2010年11月15日前完成。主要任务是:做好普查数据处理的各项准备工作,包括:制定人口普查数据处理工作方案和实施细则;制定有关数据处理的各类标准;研制数据处理软件;数据处理工作试点;数据处理人员的技术培训;数据处理设备采购及工作环境准备等。
第二阶段为数据处理和上报阶段,在2011年4月30日前完成。主要任务是:组织完成地市级人口普查表的光电录入、图像存储工作;组织完成光电录入数据的加载、审核、校正和上报等工作。
第三阶段为数据加工汇总阶段,在2011年12月30日前完成。主要任务是:完成人口普查汇编资料的分类汇总和排版制表工作,完成第六次全国人口普查数据处理工作总结。
第四阶段为人口普查数据库建设阶段,在2012年6月30日前完成。主要任务是:根据需求进行人口普查数据库建设工作。
三、数据处理工作模式
数据处理工作按照“统一组织、光电录入、分级处理”的原则组织实施,在地市级集中组织光电录入,国家、省、地市三级处理。有条件的地区,可以在地市的统一组织下,将数据处理的光电录入工作延伸到县区级进行,但县区必须保证充足的数据处理人员和必备的数据处理环境。
人口普查数据处理工作要求:统一技术环境标准,统一数据处理标准,统一数据处理软件,统一组织数据上报。主要工作流程如下:
(一)对普查表短表和封面、普查表长表和封面、死亡表和封面的所有信息全部采用光电录入方式进行数据采集,并生成以县为单位的普查表图像文件和数据文件。
(二)对光电录入的数据进行编辑、审核、错误修正后,生成净化后的数据文件。
(三)将光电数据、净化数据、普查表图像文件,按要求分批逐级上报。
(四)国家、省、地市按要求对数据进行汇总。县区级由地市级汇总后反馈数据。有条件的县区,也可自行完成普查数据汇总工作。
(五)国家、省级要建立人口普查数据库,有条件的地市也可以考虑人口普查数据库的建设。
四、数据处理工作的组织实施
国务院人口普查办公室下设数据处理组,负责组织指导数据处理工作。各省、地市人口普查办公室结合本地区的实际情况,设立本级的人口普查数据处理组,下级数据处理组在上级数据处理组的指导下,在本级人口普查办公室的统一领导下,负责组织实施本级数据处理工作。各级数据处理组要建立岗位责任制,确保数据处理工作各项任务责任到人。
各级普查机构数据处理组的主要工作:
(一)国务院人口普查办公室数据处理组
1、制定第六次全国人口普查数据处理工作方案和实施细则;制定数据处理标准和计算机软硬件环境技术标准。
2、组织光电录入软件和数据处理软件的研制,编写操作手册。
3、组织国家级数据处理试点。
4、组织数据处理设备的采购、验收和检查。
5、组织光电录入、数据处理软件以及相关技术的培训。
6、负责对省级人口普查数据处理的指导和技术支持。
7、负责对上报普查数据进行检查验收。
8、完成国家级数据汇总。
9、建立人口普查数据库。
10、组织完成数据处理工作的总结、评比。
(二)省级人口普查办公室数据处理组
1、认真贯彻执行第六次全国人口普查数据处理工作方案和实施细则,根据本地的实际情况,补充制定本地区的数据处理工作方案和实施细则。
2、组织本级和下级普查机构数据处理培训、数据处理环境准备。
3、组织本地区的数据处理试点工作。
4、负责下级人口普查数据处理的指导和技术支持,及时反映和解决数据处理中的问题。
5、负责对上报的数据进行检查验收。
6、将本级审核通过的数据,按照国家规定的格式和内容要求,在规定的时间报送国务院人口普查办公室。
7、完成本级数据汇总。
8、负责建立本级的人口普查数据库。
(三)地市级人口普查办公室数据处理组
1、认真贯彻执行第六次全国人口普查数据处理工作方案、实施细则和上级人口普查数据处理相关要求,落实普查数据处理所需要的人员和数据处理环境。
2、组织完成人口普查表的光电录入、图像存储、数据加载和审核编辑等工作。
3、将普查表的数据文件、图像文件按照规定的格式、内容要求和时间,报送上级人口普查办公室。
4、完成普查数据汇总。
5、负责向县区级反馈普查资料。
五、人口普查数据的上报
各级人口普查办公室必须按照国务院人口普查办公室统一规定的格式、内容和时间上报普查数据。
(一)数据报送的有关规定
1、各级人口普查办公室在报送普查数据文件、普查表图像文件的同时,还需要以文字和报表形式报送以下资料:
(1)由本级人口普查办公室负责人签字批准并加盖公章的上报资料清单及说明。
(2)上级人口普查办公室规定的数据检查表。
2、数据报送要安排专人负责。在规定的报送期过后20天内,下级人口普查办公室必须安排有关人员值班,及时解决上级人口普查办公室对上报数据提出的查询问题。一般应在上级人口普查办公室提出查询后三日内予以明确的答复。
3、在规定的上报期后,未经上级人口普查办公室的同意,下级人口普查办公室不得自行更改已上报的数据或重新上报数据。
4、数据报送的方式:数据文件以网络方式报送,图像文件以磁带方式报送,相关信息文件通过网络和传真方式报送。
(二)各级人口普查办公室报送数据的时间
1、原则上地市级人口普查办公室于2011年1月15日前,向本省人口普查办公室报送普查表短表的原始光电数据;2011年2月15日前报送经编辑审核后的普查表短表数据;2011年4月10日前报送经编辑审核后的普查表长表及死亡表数据;2011年4月20日前报送普查表图像文件。各省普查办也可根据本省的实际情况,对地市数据的上报时间另行规定。
2、省级人口普查办公室向国务院人口普查办公室报送数据:2011年1月20日前报送普查表短表的原始光电数据;2011年2月20日前报送经编辑审核后的普查表短表数据;2011年4月15日前报送经编辑审核后的普查表长表及死亡表数据;2011年4月25日前报送普查表图像文件。
六、安全与保密
第六次全国人口普查数据处理工作以统计信息网络为依托进行,人口普查数据处理系统的安全是保障人口普查数据处理工作顺利进行和数据安全的必要条件。因此,在数据处理中要采取相应的安全管理制度和技术措施。
人口普查数据处理系统已在公安部门登记备案,各地必须在环境安全、网络安全、系统安全、应用安全等方面应按照所报备的相应等级的要求执行。
人口普查数据处理所用计算机要保证专机专用,安装补丁管理和防病毒系统,严防计算机病毒的侵袭。各级数据处理人员都要遵守普查保密规定,对经手的普查资料严格保密。
七、数据处理工作的质量控制
数据处理工作的质量控制按照分级负责的原则进行,数据处理流程的每个环节都要把好质量关。
(一)普查表印刷与填写
普查表印刷与填写的质量直接影响到光电录入。各级人口普查办公室要严把印刷、填写质量关,做好普查表的印刷和填写的检查工作,确保进入光电录入环节的普查表印刷质量合格、填写符合规范。
(二)普查表包装、运送和交接
在普查表的包装、运送和交接时,应严格遵守《第六次人口普查资料包装、运送和管理工作细则》的规定,严格普查表交接手续,明确责任,确保普查表完整无损。
(三)光电录入
建立岗位责任制,严格按照统一规定的组织流程和工作流程进行,以保证普查表的“不错、不乱、不重、不漏”。
(四)数据转换
光电录入后的普查数据需要加载到数据处理软件,数据处理人员应对加载情况进行记录检查,确保加载数据不重不漏。
要严格按照数据编审规则进行数据审核,对发现的错误,由同级或下级人口普查办公室专业人员进行认真核实订正,并做好记录。
(六)数据上报
各级人口普查办公室要严格按照国务院人口普查办公室规定的格式、内容、时间报送数据,报送的数据要完整,手续要齐全。
(七)软件质量保证
软件是普查数据处理工作顺利进行的重要保障,要保证软件的安全、稳定、可靠、易用,数据处理过程中尽可能地减少补丁下发。
八、数据处理工作环境
各级人口普查办公室要根据国务院人口普查办公室印发的《第六次全国人口数据处理环境要求》(国人普办字[]5号)的通知要求,结合本方案,做好人口普查数据处理环境的准备工作。
(一)数据处理系统环境
国务院人口普查办公室数据处理组统一组织数据处理系统的开发,统一规定数据处理各类标准、软件运行环境,各级人口普查办公室要做好本级的数据处理系统的运行环境准备和集成工作,确保统一下发的数据处理系统安全、稳定运行。
数据处理系统分为光电录入软件和数据处理软件。光电录入软件和数据处理软件可分开部署在两台服务器上,也可以在同一服务器上部署。
(二)计算机设备环境
1.地市级环境
(1)网络要求:千兆以上的局域网、带宽10mb以上的与省连接的广域网,实现网络管理、病毒防治及补丁更新等功能。
(2)独立的光电扫描工作机房,具备不间断ups保障。
(3)每25万户~30万户配套1台光电扫描仪,各地应根据实际情况调配。
(4)每台光电扫描仪配套6台以上的专用数据处理pc机。
(5)每台人普图像管理专用服务器支持2台光电扫描仪。
(6)2台专用pc服务器用于数据处理。
(7)建立2tb以上容量的存储管理系统,用于图像管理。
2.省级数据处理环境
(1)省级编审汇总系统需要两台专用的小型机服务器。将应用服务器和数据库服务器分开部署,支持三层架构的数据处理软件有效运行。
(2)准备一套与地市光电录入系统相同的环境,用于光电磁带的接收与验证,以及技术支持和服务等。
(3)8t以上容量的存储管理系统。
(4)存储介质等耗材配套。
九、技术培训
数据处理技术培训采取统一组织、分级负责的办法。国家负责培训省级数据处理骨干;各省组织省级及以下单位的数据处理人员的培训。培训教材由国务院人口普查办公室统一组织编写印发,并下发电子版教材。
主要培训内容:
(一)光电扫描软件培训;
(二)光电扫描仪技术培训;
(三)数据处理软件应用及师资培训;
(四)存储与图像技术培训;
(五)小型机系统培训;
(六)数据库技术培训;
(七)应用服务器管理技术培训。
十、数据处理经费
各级人口普查办公室要做好数据处理经费保障,以确保数据处理任务的完成。数据处理工作经费主要包括以下内容:
(一)利旧经费,如:二农普光电扫描仪维修和维护费;
(二)计算机及设备补充购置及运行维护费;
(三)数据处理消耗品费;
(四)系统软件(如操作系统、数据库、中间件等)购置费;
(五)数据处理试点费;
(六)数据处理培训费;
(七)外聘数据处理人员工资及劳务费;
(八)人口普查工作中使用的网站建设费和网络运行费;
(九)人口普查数据库开发、运行管理以及数据存储介质管理费;
(十)数据处理工作方案、软件使用手册、培训教材等资料印刷费;
(十一)办公、差旅、会议、电讯、宣传、交通工具等办公费;
(十二)其它不可预见费用。
十一、计划及进度安排
(一)2010年6月20日前下发《第六次全国人口普查数据处理工作方案》。
(二)2010年7月31日前分别完成光电录入软件和数据处理软件试点版的研制,并完成试点工作。
(三)2010年8月31日前完成数据处理综合试点和培训版软件,并下发《第六次全国人口普查数据处理实施细则》和培训教材。
(四)2010年10月下旬完成数据处理各项培训。
(五)2010年11月10日前下发光电录入软件和数据处理软件的正式版。
(六)2010年11月20日前完成地市级光电录入和数据编审汇总环境的准备。
(七)2010年12月31日前完成省级、国家级数据处理环境的准备。
(八)2011年1月15日完成地市级普查表短表的光电录入。
(九)2011年1月20日前报送的普查表短表的原始光电数据到国家。
(十)2011年2月20日前报送编审后的普查表短表数据到国家。
(十一)2011年3月25日前完成普查表短表的国家级数据审核及汇总。
(十二)2011年3月31日前完成普查表长表及死亡表的光电录入。
(十三)2011年4月15日前普查表长表及死亡表数据报送到国家,2011年4月25日前报送普查表图像文件。
(十四)2011年5月30日前完成国家级普查表的图像归档。
(十五)2011年6月30日前完成普查表长表及死亡表的国家级数据审核及汇总。
篇8
关键词:大数据;在华外国留学生;移民管理;信息化
由于我国实行对外开放,以及近年来放宽免签政策,在出入境管理方面给予了外国人较大的便利,更多外国留学生选择到中国学习深造,根据2018年的数据,过去40年(1978-2018),中国累计有585.71万人出国留学,并吸引了513.4万名留学生来华,来华外国留学生人数逐年(2012-2018)递增。如今,大数据时代来临,传统的移民管理模式已经不能适应当前社会的发展,在对外国留学生移民管理方面,移民管理部门在信息搜集能力、信息整合水平、情报信息利用率、留学生数据平台建设等方面暂且不能跟上科技进步的脚步,因此移民管理部门应加强推动移民管理信息化建设,充分利用大数据建设移民管理信息平台,为留学生提供高效便捷的服务;同时,利用网络信息技术对留学生违法犯罪进行预防、控制和制止,以此提高管理部门的服务水平和工作效率,维护我国的社会稳定和公共安全。
1大数据背景下留学生移民管理工作存在的若干问题
1.1各部门间信息共享不畅
在众多部门信息共享的过程中,利益冲突、标准不同、缺乏共享意识、法律不完善等一系列问题阻碍了信息共享的发展[1]。在我国,留学生移民管理工作涉及部门众多,包括公安、外国专家、教育、外交、人力资源社会保障、文化等,这些部门分别建设自己的信息管理系统,对出入境记录、出入境证件、外国人签证证件、外国人来华工作、学习等信息进行处理和存储,在证件签发、出入境记录等方面[2]实现了一定程度的信息共享。但是各部门的信息管理系统主要用于日常办公、行政审批等,作用并未完全发挥,未能将信息数据有效地整合并进行共享。
1.2移民管理数据平台建设不健全
(1)数据质量不高。据《中国政务数据治理发展报告(2020年)》显示,经过近二十年的电子政务建设,政务数据量初具规模,但其中很多在实际应用中并未发挥应有作用,有的数据应用流于表面,有的处于休眠状态,真正用于提升管理效率、辅助科学决策的应用并不多[3]。由于基层公安机关数据采集意识不够、数据分析能力不足,因此数据库中信息质量、时效性得不到保证。(2)存在数据孤岛现象。数据在不同部门相互独立存储,独立维护,彼此间相互孤立,便会形成“数据孤岛”现象。例如,我国各级地方公安机关根据当地条件和工作需要自行筹划、自主建设外国人信息管理系统,独立配置服务器,单独建成数据库[4]。但由于各级各地的公安机关的外国人出入境管理信息系统中采用的计算机网络结构、运行平台、信息传输和交换格式存在一定的差异,底层传输软件也不尽相同,直接导致数据库中的数据相对分散,各个外国人管理系统自成体系,信息共享困难,信息“孤岛”大量存在,造成地方之间涉外信息互访的瓶颈[5]。
1.3缺乏统一的移民管理信息平台
(1)缺乏出入境管理信息系统。出入境管理信息系统的落后使得移民管理部门对外国留学生的实时信息不能及时掌握,公安机关与外交、教育、人力资源等众多部门之间的信息沟通不流畅。移民管理部门尚未建立一个统一的出入境管理信息系统,将各部门的数据有效地整合并进行信息共享。无论是在证件签发还是出入境通关过程中,往往涉及众多部门,因此,通过统一的管理信息系统是减少部门间信息交流壁垒、加强部门间协作配合、提高对留学生移民管理服务水平的应有之举。(2)缺乏留学生事实资料库。由于留学生的信息储存在不同部门的数据系统中,在查询信息的过程中往往需要各部门协同合作,提供信息查询,无法通过一个统一的数据库实现对留学生身份、学籍、出入境、签证、停留居留等信息的一键式查询。各部门根据自己系统里所载入的留学生信息对其进行查询、管理,因此无法实现部门间信息共享,不利于提高移民管理工作效率。例如公安机关在查处涉外案(事)件的过程中,在与高校、外事部门进行交流取证时,手续多、时间慢、效率低,如果能通过留学生资料库中其他部门录入的数据进行比对,核实,可简化办案流程,防止证据灭失、嫌疑人脱逃。
1.4信息安全存在隐患
大数据在留学生移民管理工作的各个环节不可或缺,特别是在各个移民管理部门相互交流共享信息的过程中,如果一味强调硬件建设,轻软件建设、抵御外部攻击的技术防御,对用户轻监督、数据积累,轻分类保护,导致缺乏对信息资源共享的安全保障[6]。例如,有关留学生的信息被泄露或者信息系统被黑客攻破,不怀好意者便会利用此机会进行非法居留停留、非法就业、违法犯罪,甚至是进行在华恐怖活动。因此,我国需要提高信息资源的安全性并使信息资源的安全性制度化,以便留学生移民管理部门可以有法可依。
2大数据背景下针对留学生移民管理工作的改进建议
2.1加强留学生移民管理数据条件建设
(1)提高数据质量。各移民管理部门应对获得的数据严格把关,建立统一的数据标准与数据规范,保证数据的真实性、准确性。目前,公安机关在信息采集及数据质量考核方面形成了比较完善的机制,例如源头信息采集制度、全警录入制度、信息研判制度、网上实战应用制度、信息考核制度等[7],其他部门可参照此做法。(2)统一数据规范,避免信息孤岛现象。要对移民管理信息系统在数据格式、通信协议、浏览查询界面以及建网和管理方面制定统一的技术标准和规范,使之在兼容、扩容性上规范统一,打破各地各部门之间“条块分割”的局面,实现涉外信息的大共享[8]。
2.2建立多部门信息共享机制,完善“大外管”工作格局
在完善“大外管”工作格局中,各部门需明确职权,构建高效运转的协调联动体系,进行信息共享以及协作配合。针对部门信息共享环节,本文设计了图1所示模型。首先,经过认证机构密钥核验,然后,不同的部门进入出入境管理信息系统操作界面,同时获取相应的访问权限。利用云计算技术,各部门可通过Web将数据传递到相应的云端或者下载数据。对移民管理部门来说,该平台不仅能实现数据共享,也不影响其自身运行效率,因此,可以实现跨部门之间的数据整合,各部门充分利用资源,开展工作和进行配合。同时,由于数据存储在出入境管理信息系统云端,各部门可减少初始投资成本以及后续在数据管理和平台维护上的成本。
2.3建立留学生事实资料库与发放留学生IC卡
(1)建立留学生资料库。公安机关出入境管理部门要努力推进全国外国留学生信息平台建设,实现全国范围内的留学生信息资源共享,在现有信息管理系统的基础上结合高校、教育厅、工商等多个行政机关建立留学生事实资料库,将涉及留学生的动态信息统一录入系统,包括姓名、地址、国籍、学制、等,完整留学生相关信息,便于移民管理部门查询使用。(2)发放留学生IC卡。我们可以学习日本,给在华留学生发放“留学生IC卡”,卡片上载有该生的姓名、国籍、性别、出生日期等基本身份信息以及签证信息,芯片内部包含该用户生物特征信息以及在中国通关、乘坐交通工具、住宿登记、工作、学习、违法案件等信息。通过该IC卡掌握留学生在华停留居留情况,判断其是否存在逾期非法居留、非法就业等问题,便于对其进行日常管理;通过对签证信息的追踪,判断其是否违反签证管理规定等。
2.4建立出入境管理信息平台
对留学生的移民管理工作包括证件签发、出入境通关、停留居留管理、日常生活学习管理等。本文通过设计如图2所示工作流程,旨在实现“两大”系统与“一”资料库的信息共享,提高留学生移民管理工作的信息化水平和工作效率。通过该流程,也可实现对留学生信息的全面掌握以及在华行踪的全程掌控。从证件签发到留学生管理是一个递进的过程。首先,公安机关出入境管理部门与其他移民管理部门相联系,将涉及外国留学生的动态信息统一录入系统;其次是签证签发,工作人员在该环节将签证申请人的信息导入出入境管理信息系统,从而移民管理部门可对申请人的背景资料进行审查核查,随后将审查结果反馈驻外使领馆,减少入境风险;然后是出入境,各交通运输公司将留学生的旅客信息交由移民管理部门备案存档,移民管理部门对出入境过程中留学生的生物特征以及签证检验等过关信息输入出入境管理系统存档;最后是在华留学生管理,为解决留学生非法就业问题,规范留学生工作兼职流程,我们可以通过制定审批细则,建设一个全国统一的“外国人来华工作管理服务系统”,留学生可通过该系统指定窗口限时规范办理入职相关手续,通过该“绿色通道”,移民管理部门以此提升服务监管水平。
2.5保障信息共享中的数据安全
(1)对数据使用进行规范。数据在使用之后还需要采取措施对其安全性进行保障。在出入境管理信息系统中,各级移民管理部门将权力下放到本部门网络安全管理机构,建立安全管理和保密审查制度以及事后监督制度,制定完善应急预案明确数据保管责任,限定数据使用的范围,同时给予其充分的自。(2)加强网络安全保障队伍建设。通过为信息系统配备网络专线安全管控员,对网络环境进行管控,通过对该人员的安全意识培育以及专业知识培训,强化专业技能,使得其在复杂多变的网络环境中能够有效辨别出持续更新的不安全软件,为信息系统网络安全提供保障。
3结束语
综上所述,在大数据背景下,移民管理部门应该在引进大数据技术、开发大数据源、搭建大数据资源平台[9]等方面着力研究,可通过建立出入境管理信息系统、留学生资料库等实现对留学生信息的搜集和行踪的掌握,还需注意各部门之间的信息共享以及对信息安全的保护。此外,各部门不能顾此失彼,传统的管理模式不能完全摒弃,应将大数据与人力管理相结合,坚持“以人为本”理念,注重提高移民管理服务效能,彰显我国移民管理工作的科技化、信息化水平。
参考文献:
[1]翟吉英.大数据时代政府信息共享问题研究[D].长春:长春工业大学,2018.
[2]杜松.基于大数据的中国移民及出入境管理信息应用制度建设[J].武警学院学报,2019,35(05):11-14.
[3]马立平,张凌洁.以大数据共享平台助力高质量发展下政府治理[J].江南论坛,2021(03):7-9.
[4]张惠德,刘晓月.我国公安外国人管理信息化建设考量[J].上海公安高等专科学校学报,2011,21(05):58-62+71.
[5]公安部政治部.公安发展战略研究[M].北京:中国人民公安大学出版社,2006:135-146.
[6]刘振峰,覃娜娜.大数据时代政府部门间信息资源共享策略研究[J].电子技术与软件工程,2016(12):200.
[7]王庆功,等.公安机关“三项建设”导论[M].北京:中国人民公安大学出版社,2010:9.
[8]张惠德.论情报主导警务理念下的外国人管理[J].中国人民公安大学学报(社会科学版),2011,27(06):101-107.
篇9
关键词:征信;大数据;互联网金融
中图分类号:F830.31 文献标识码:B 文章编号:1674-0017-2016(1)-0053-05
在我国《征信业管理条例》中,征信是指对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工并向信息使用者提供的活动。在征信市场上,征信的供给者为征信需求者提供专业化的信用信息服务,主要目的是降低经济社会活动主体对信用信息的收集使用成本,为金融体系的运行与发展保驾护航。目前的征信市场是以央行主导的金融信用信息基础数据库为核心、细分市场的市场化征信机构为辅的格局。央行传统征信的金融信息基础数据库收集的是以银行为代表的金融机构信息数据,其最大的优势是拥有阿里或腾讯等电商无法比拟的大数据级别的金融数据。近年某互联网金融的迅猛发展,征信市场上应用大数据技术对互联网信息进行多维度收集而形成的大数据征信应运而生,形成了央行征信系统的有效补充。然而,目前两种征信模式并不相互连通:央行的征信系统不向互联网金融公司提供信用查询服务,互联网征信企业的征信数据有特定的服务对象。征信产业链的两大征信供给主体各自为政,导致征信市场需求方难以获得全面的信用信息。如果没有从整体征信产业链的宏观把握,单个企业或机构仅仅基于自己掌握的独立数据,无法了解产业链各个环节数据之间的关系,这样一种数据割裂的状态,不利于征信市场的完善与发展。在大互联网金融的未来发展中,我国迫切需要在现有央行主导的征信体系基础之上,建设立体化、全息化的征信体系,实现传统征信与大数据征信的良性互动,并充分运用互联网大数据技术实现这一目标,这将有效控制社会融资体系信贷风险、大大降低风险识别的交易成本,有效提升征信业服务于实体经济的能力。本文从传统征信与大数据征信良性互动可能存在的难点出发,提出传统征信与大数据征信良性互动的若干路径。
一、传统征信的缺陷
传统征信的核心是2006年建成的以央行主导的金融信用信息基础数据库,人民银行征信中心负责管理和维护,采取强制方式登记个人和企业金融信用信息,主要为银行等金融机构提供基础的信用数据。随着互联网金融的迅速发展,传统的征信系统已无法满足互联网金融的发展。
(一)征信体系覆盖面窄。截至2014年底,人民银行个人征信系统共收录8.4亿人信息,其中有信贷数据的只有3.2亿多人,约占总人口数的23.7%,约有5亿人只有经济信息,并无有效征信信息。人民银行企业征信系统收录企业及其他组织近2000万户,仅覆盖到全国工商总局登记注册的企业1527.8万户、个体工商户4564.1万户的32%。有将近5亿的人口、超过4000万的企业这部分陌生人,却可能在互联网上或其他信贷机构存在信贷记录。
(二)信用评级缺失。在整个征信流程中,更注重的是征信的环节,即收集记录信用数据环节。央行征信要征集涵盖各行各业的数据,如银行、工商、税务、司法、公共事业等行业的数据,央行与这些部门行业协商完成数据收集工作。但央行征信提供的征信产品和服务较为有限,其征信系统产品主要以征信报告为主,尚无提供信用评级的能力,导致信息使用人无法直观、量化地了解到被征信人的信用状况。与之不同,互联网企业的征信产品,如“芝麻信用”通过分析人的互联网行为记录,对人的身份真实性、行为可信性进行评估并给出认证等级和信用分数,非常直观且易于比较。
(三)征信信息收集速度慢、成本高。征信收集涵盖信贷、公用事业、政府部门等信息,这些信息收集要事先征得信息主体同意,然后由信息提供单位录入,信息采集主动权并不掌握在自己手中,因而从信息发生到录入数据库不可避免存在一定的滞后。央行征信信息管理系统维护需要专业的信息管理技术人员进行,征集信息也需要与信息提供的单位协商同意,这些环节需要大量的人力和物力,成本较高。
二、大数据征信的优势
(一)大数据征信发展现状。信息革命带来了数据的突破式增长,移动互联网的应用加速了数据的产生速度。大数据征信是通过多角度的信用数据发现、整合和分析,既对经营数据在内的结构化数据进行分析,同时也对地址电话信息、行为数据、社会关系等非结构化数据进行采集和分析,最终形成对借贷人的信用评价以供决策参考。目前互联网金融用于信用分析的大数据主要来源于淘宝、苏宁、京东等电商网站、各银行机构的信用卡相关数据、社交网站的社交行为数据、小贷类网站的信贷数据、第三方支付类平台的消费数据,生活服务类网站如水、电、电话、网络费等交纳情况的数据等。大数据征信主要包括三类:
一类是具备海量个人数据资源的电子商务企业,如依托阿里集团的芝麻信用、腾讯集团的腾讯征信、平安集团的前海征信、拉卡拉集团的拉卡拉信用,他们在自身的电子商务平台下和支付渠道中,本身集聚着海量的信息数据,沉淀下来形成的全方位的信息数据库,可以直接或间接运用在网贷、理财等金融领域。
另一类是来源于第三方互联网大数据的信用数据收集者,如上海资信、北京安融惠众、国政通等,通过收集、整理、保存、加工第三方的大数据,形成符合市场需求的信用报告、评级报告等征信产品。如2013年7月开始试运行的上海资信的“网络金融征信系统(NF-CS) ”。
第三类是P2P企业独立拥有的征信数据库。拍拍贷、人人贷、信而富等企业都建立了自己的征信体系。拍拍贷用先进的理念和创新的技术建立的征信数据库――魔镜系统,这个网贷行业内首个真正基于征信大数据的风控系统,也是行业首个能够为每个借款标的准确预测风险概率的风险控制模型,正是这个系统有效地帮助平台贷款逾期率控制在1.71%的水平。
(二)互联网背景下大数据征信的优势。一是大数据征信极大地扩大了覆盖人群。中国有6.48亿网民,还有拥有大量用户的互联网企业如腾讯公司更是拥有8亿QQ账户、5亿多微信用户以及3亿多支付用户,阿里巴巴的淘宝网拥有近5亿的注册用户数,每天有超过6000万的固定访客,通过对用户在网络上留下的痕迹进行数据挖掘和分析,让更多在互联网上有数据的人,通过刻画得出的信用状况,这些信用数据能够成为目前征信体系的有效补充。
二是大数据征信可以多维度记录征信人群的信息。与现有征信体系主要记录个人信息和信贷记录不一样的是,大数据征信运用大数据的方法,计算和分析互联网上万个与信用相关联的变量,这些变量涉及金融交易、生活、社交、公共政务等方方面面:如年龄、性别、工作、学历、兴趣爱好等个人基本属性数据、搬家及更换通讯号码的次数、银行和信用卡等传统数据、网上交易数据、购物风格、汽车和电子产品品牌、客户评价、库存量、现金流、调查问卷记录、水电账单、话费账单等,还包括公开与互联网上的数据:如 IP 地址、用户搜索习惯、社交网络数据,甚至一些边缘化的信息如浏览网站的次数和停留时间、喜欢看的文章类型及频率都可以成为信用评价的考量因素。
三是大数据征信的数据真实、及时,注重预测行为。大数据技术为大数据征信提供了强大的技术支持,不仅实现了便利的海量数据收集和存储,而且数据实时鲜活,它基本上都是反映当下发生的在线数据,不再是事后数据。如果某个人当下发生违约行为,网络会立刻将其行为反映出来,在线及时的数据有利于业务的快速决策,提高互联网金融运行的效率。其次,大数据征信的数据真实性高。消费者在互联网上的行为一般不会刻意为之,再加上信息量巨大,大的时间跨度和空间跨度让消费者难以刻意作假,因此基本可以认定这些数据能够反映消费者真实的行为习惯和生活状态,是真实信息的反映。征信系统在信息采集渠道的源头设定了严格把关机制,如腾讯征信公司开发的基于人脸识别技术的身份验证产品,拍拍贷的学籍认证和网商认证等,其将线上身份验证和互联网征信绑定在一个产业链中,这些大数据技术手段保证了信息的客观性、真实性。再则,大数据征信系统具有预测功能。对于在传统征信中没有记录的人群,大数据征信可以借助其他网上数据来反映个人的行为特征,据此评价其性格特征、心理特征及经济状况,进而评估预测该人的履约能力。
三、传统征信与大数据征信良性互动的难点分析
(一)各渠道数据未建立信息共享机制,信息分散难整合。从目前征信市场的格局来看,拥有个人数据的机构之间难以协调。国内的个人信用信息主要掌握在人民银行、公安、法院、工商、国税、劳动保障、人事等多个部门及商业银行、公共事业、邮政、电信、移动通讯、保险等非政府机构,2015年获批的8家民营征信机构中,其中腾讯、阿里的个人征信数据主要来源于自身社交、网购平台的数据,而中诚信征信、鹏元征信等老牌征信企业的征信数据,主要来自银行、保险、小额贷款公司,服务对象主要面向银行。因此,我国目前的信用信息拥有者处于各自为政、相互屏蔽的状态。信用数据使用者若想取得全面真实的个人信息,就必须奔走各个部门机构。想要在各个征信机构之间搭建一个连接的“桥梁”或者实现数据库的联通,在目前缺乏法律法规支持的情况下,十分困难。如果征信信息不能共享,由于金融企业之间的信息不对称和竞争关系,导致了互联网金融公司间的信息不畅通,借款人有可能出现在一些互联网金融平台重复贷款,并且不能实施有效监督。完善的征信体系构建的核心就在于是否能够整合各个渠道的信用数据,大数据的整合应用将是大势所趋。
(二)互联网金融征信的标准不统一也会成为融合难题。目前在互联网金融平台的征信,基本上是根据各自业务需要而建立的征信模式,处于各自为政的格局,各个系统的信用档案分值之间缺乏可比性和通用性,原因是各征信机构的采集的数据格式、内容、指标以及采用的技术支持软件存在较大差别。甚至部分的征信机构由于技术的差别,在报数能力和数据安全方面难以达到央行征信系统的要求,这些因素给大数据征信企业与央行的征信系统的顺利对接造成了一定障碍。如果整个征信业不能统筹考虑制定统一的征信标准和技术标准规范,会给信用信息数据的进一步加工、整合、共享、交换等带来障碍,平台信息难以有效共享,造成信用信息资源的浪费,征信系统难以发挥更大的作用。
(三)征信业监管不适应大数据时展。大数据征信是近年来才逐渐兴起的征信领域新问题,由于征信监管法律滞后的原因,现有的征信的监管难以覆盖到传统金融领域和征信机构以外,诸如腾讯、阿里等利用互联网金融平台进行的大数据征信行为,尚未纳入到现有征信监管体系之中。在互联网金融迅猛发展的背景下,应对利用大数据技术的互联网金融征信行为进行规范管理,处理信息主体提出的诉讼等。
(四)征信法律法规滞后。目前我国的征信法律法规主要有:2013年颁布实施的《征信业管理条例》和《征信机构管理办法》;2005年实施的《个人信用信息基础数据库管理暂行办法》和《征信数据元:数据元设计与管理》等五项金融行业标准;2006年实施的《中国人民银行信用评级管理指导意见》。总体而言,我国征信业进入有法可依的时间比较晚,如《征信业管理条例》于2013年3月才开始正式实施,且许多实施细则仍未出台。且之前制定的征信法律法规是在互联网金融尚未发展时期制定的,早就无法满足大数据时代的征信监管要求了,互联网金融领域的大数据征信活动缺乏法律的规范。此外,信息提供主体法律地位不明确、信息标准化建设严重滞后等问题非常突出,网络安全管理也存在体制分散,管理乏力的问题。反观美国,仅个人征信行业就颁布了17部法律。如果不能对互联网征信企业利用互联网平台采集用户的各方面信息行为进行规范,将会严重损害信息主体的正当权益,不利于互联网金融的持续健康发展。
四、传统征信与大数据征信良性互动的建议
(一)建立统一的信用信息征集标准。要实现传统征信与大数据征信的有效融合,必须建立统一的征信标准,只有实现了统一标准下的信息采集和使用规范,方能实现全社会范围内的信息共享。首先,积极推进统一征信标准的研究和建设工作。中国人民银行征信中心已经制定并《征信数据元:数据元设计与管理》等五项金融行业标准,这是从法律层面上促进了信用数据跨部门、跨行业共享和应用。在此基础上,应该从国家层面制定信用信息标准规范,从业务、技术等不同层面统一征信标准,制定信用信息如何采集和分类标准,鼓励相关部门和行业在进行征信活动时,直接以国家标准要求自己,积极推动拥有数据优势的企业成为行业标杆,将其征信业标准上升到国家标准,在全社会推广行业标准,为大数据征信和传统征信的接口建设减少障碍。关注互联网金融征信技术的发展动态,根据形势发展修订征信标准,提高征信标准的及时性、适用性和有效性,促进征信服务的创新发展。总之,依法实现跨行业、跨部门进行信息交换和共享技术,为传统征信与大数据征信的未来融合做有益的铺垫。
(二)建立信用信息共享制度,推动大数据征信与央行征信系统对接。大数据征信的信用信息纳入传统征信系统是构建覆盖全社会网络信用体系的有效路径。建立统一的征信标准体系之后,可以循序渐进地从点到面,从关键到全局,推动大数据征信与央行征信平台、政务信息平台的全方位对接,三管齐下逐渐建成覆盖全社会的征信体系和信息交换机制。一是建立贯通主要金融机构的金融全行业信用信息数据库。中国人民银行作为牵头人,可以尝试以银行信贷数据为突破口,延伸至证券、保险、小额贷款公司、担保公司、基金公司等,将主要金融机构积累的信用数据按统一标准进行收集整理,首先实现金融行业内信用信息的共享。2015年3月央行已经开始尝试将具备接入条件的小额贷款公司、融资性担保公司、村镇银行等小微金融机构的数据对接到金融信用信息基础数据库,此外2家保险企业、3家证券公司均逐步接入央行征信系统,实现了数据报送并享受有偿查询服务。二是在互联网金融行业协会主导下,协调和规范行业内信息交流与共享,尝试建立互联网金融信息共享平台。行业内已经进行有益的摸索和尝试:2015 年 2 月,国富泰信用管理有限公司和摩诘科技有限公司签署了《互联网金融信用信息共享平台》的合作协议;2014年8 月,作为国内首家致力于金融信用信息共享的平台――大公互联网金融信用信息共享平台正式上线。这些信息共享平台的建立之后,可以实现在互联网金融领域内的信息共享。三是贯彻落实行政信息公开制度,规定各部门按照信用信息披露原则进行公开信息,在确保权利保护和信息安全的基础上,帮助征信机构在有效的法律约束下进行信息资源的收集和使用。上述三个渠道的征信建设成熟完善之后,将央行主导的金融机构线上线下、互联网金融行业、行政政务等信息通过全国统一的征信信息共享平台系统实现全社会共享,最终建成覆盖全社会的征信体系。
(三)加强基于大数据时代特征的征信业监管。建立符合大数据时代要求的征信业监管体系。首先,征信监管部门要尽快将新型大数据征信机构或有关大数据公司纳入征信监管框架,并协调好传统征信与新型大数据征信机构的关系借鉴国际经验,尽快制定符合大数据规律的监管规则,明确监管目标和手段,规定信息采集、整理、使用等的违规红线。征信监管部门应及时出台监管政策,重点监管征信机构或平台的规范运行和用户信息安全保护上。其次,征信监管部门还需处理好业务创新与合规监管的关系,积极鼓励征信机构利用大数据技术优化数据采集机制,不断研发征信新产品、新服务。最后,推动建立征信行业自律,建立行业规范标准和行业职业道德要求,促进整个征信行业的健康发展。
(四)进一步完善征信法律法规体系。构建互联网金融征信体系法律框架,首先应加快互联网金融相关的基础性立法,明确诸如互联网金融企业、P2P 融资平台等的性质和法律地位,明确信息主体的各项基本权利,为接入征信系统奠定法律基础。其次,尽快制定《征信业管理条例》的具体实施细则,确保该管理条例在互联网大数据征信企业中得到贯彻实施,避免互联网征信业的无序发展。在《征信业管理条例》框架下,制订《信息安全条例》与《政务信用信息管理条例》。配套制度出台前,将互联网的大数据征信规范写入其中,明确界定互联网金融企业信息采集的来源和用途、如何处理和传播、信息的时限等内容。通过加强信息安全管理,切实有效地保护互联网金融消费者的合法权益。再则,应根据互联网金融背景下征信市场的发展和变化,适时修订和完善现有征信法规,从政策层面推进信息采集标准的统一。对新型征信业务模式比如基于互联网服务平台的征信活动也要按照中国人民银行征信中心统一的规范报送信用信息数据进行规范管理。最后,提升我国现有征信管理相关法规层次。比如将《个人信用信息数据库管理暂行办法》升格为国务院的规定法规,以保障征信法律的权威性。
参考文献
[1]葛志苏.互联网金融背景下征信业市场化发展研究[J] .武汉金融.2014,(12):33-34.
[2]林采宜,尹俊杰.互联网金融时代的征信体系[J] .新金融评论.2014,(6):11-35.
[3]李先瑞.大数据征信破解小微企业融资困境探讨――以拍拍贷为例[J].会计之友,2015,(7):52-56.
[4]拍拍贷.2015年第一季度业绩报告[EB/OL].http:///download/doc/ppdai_quarter_report1.pdf.
[5]魏强.大数据征信在互联网金融中的应用分析[J] .金融经济,2015.(8):11-13.
[6]陈仲常,杨琳,贾艳.信息时代的人口调查[J] .中国统计,2008.(3):52-56.
[7]罗明雄,唐颖,刘勇.互联网金融[M]北京:中国财政经济出版社,2013:359.
[8]陈小林,杜若华,刘永锋.我国互联网金融征信体系建设路径思考[J] .征信,2015,(1):29-31.
[9]卢芮欣.大数据时代中国征信的机遇与挑战[J] .金融理论与实践,2015,(2):103-107.
[10]彭宇松.大数据对现代征信体系的影响及启示[J] .征信,2014,(1):57-58.
[11]程鑫.互联网金融背景下征信体系完善面临的机遇和挑战[J].上海金融,2014,(11):109-110.
The Analysis on the Benign Interaction between the Traditional Credit Reporting and Big Data Based on the Perspective of the Industrial Chain
TAN Yanbin
(Lijiang College of Guangxi Normal University, Guilin Guangxi 541006)
篇10
内容摘要:随着信息科技的发展,信息技术已经成为金融系统实现管理、经营和创新的基本工具,金融系统对信息科技的依赖程度逐日递增,金融机构信息化已成金融行业发展的基础要求。然而,信息科技向金融业务的深入渗透在加速实现银行经营效率和收益的同时,潜在的信息科技风险也呈逐步扩大趋势。本文着重对金融信息化过程中伴随的风险进行梳理,寻找防范金融风险的有效机制,以促进金融信息化风险管理水平持续提升,促使打造一个安全可靠的金融IT平台,使金融信息化业务健康、稳定、快速发展。
关键词:金融 信息化 风险管控 综述
20世纪50年代以后,国外银行、证券和保险业纷纷开始使用计算机代替手工作业来辅助银行内部业务和管理,开启了金融信息化的先河,我国金融电子化始于20世纪70年代(李志彤,2003)。而当代金融行业是一个完全运营在信息化条件下的领域,Swiereze(2003)通过对日本和亚太银行的比较分析发现,银行通过信息技术的使用可以提高效率,增加产出,大幅度降低成本。因此研究金融信息化、监管信息化与信息化监管是经济全球化与网络化的重要问题。伴随着金融信息化的发展,信息技术对金融业产生了两方面影响:一方面,金融信息化大幅提高了金融业务的效率,为金融机构提供了新的业务机会;另一方面,信息技术也带来了新的金融风险,研究金融信息化风险内在机理和对策对于金融业的进一步创新、发展具有重要意义。
金融信息化相关研究综述
中国银行业监督管理委员会于2009年6月颁布并实施的《商业银行信息科技风险管理指引》指出,信息科技风险是指信息科技业务在商业银行应用过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
Marstion(1995)指出信息技术虽然不是必需品,但是它是业务流程再造的促成者,因为它有能力克服时间和空间的限制,利用通信技术能够提高互相合作的程度,同时互享信息资源,减少彼此的争端,帮助银行实现了以客户为中心的流程再造。
李政(2007)认为金融信息化是将信息系统引入金融活动,并形成在金融系统发展中居主导地位的信息产业,从而推动金融系统协调发展的过程。该信息系统应能提供金融服务、金融经营管理决策、金融组织管理的信息和以人为本的友好人机界面。
张立洲(2002)认为金融信息化是指在金融领域全面发展和应用现代信息技术,以创新智能技术工具更新改造和装备金融业,使金融活动的结构框架重心从物理性空间向信息性空间转变的过程。在产业信息化以至社会信息化深化发展的基础上,金融信息化将对金融业产生广泛而深刻的影响,有力地推进金融发展的历史进程。
李志彤(2003)认为金融信息化是国家信息化的一个组成部分,它与整个社会的信息化,与其他宏观管理部门的信息化,与居民、企业的信息化密切相关,相辅相成。
金融信息化风险相关研究综述
以往学者研究认为金融信息化风险主根源在于信息化对金融业务的放大与金融监管模式的不匹配。新巴塞尔资本协议是金融世界的主要监管措施,其支柱性措施为:最低资本要求、监管部门监督检查和市场纪律。对于网络时代金融监管来说,忽视了网络时代给金融业务、风险监管带来的复杂性和结构性问题。主要表现在:人类通过网络缩小了时空距离,使巨大的时空变成了相对较小的尺度,信息化表现出信息与行为放大器的功能(李志彤,2003)。与此相矛盾,信息和行为被放大的同时,监管没能够同时放大,金融机构的监管措施还是停留在人工模式,通过打印报表和人工屏幕检索等传统监管模式,使得风险量与监管力度严重不匹配,因此导致金融信息化后的风险严重膨胀。信息科技风险是一种系数型风险,其风险就在于随着信息科技对银行经营与管理的不断渗透,使已存在的交易、战略、法律、信誉等风险扩大化(骆鉴,2010)。
Cronin(1998)认为电子货币的大量增长,有可能对传统的法定货币供应造成重大冲击,由于互联网的广泛性,电子货币可能产生突然剧增的需求,会导致电子银行业务服务机构出现流动性危机,并给金融监管带来挑战。
李政(2007)认为从风险来源的地域分布角度出发,金融信息化包含三个层次:金融机构内部信息化、跨机构金融业务网络化和全球金融业务信息化。
金融机构的内部信息化主要规范了金融机构内部的操作流程,按照《Basel资本协议》将内部信息化风险归为操作风险。内部风险是金融信息化风险的主要来源,根据IDC(Internet Data Center,互联网数据中心)的报告,70%的安全损失是由企业内部原因造成的。来自美国CIA(中央情报局)和FBI(联邦调查局)显示,超过85%的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等(陈雷蕾,2010)。
20世纪70年代,为满足银行间资金融通需求,发达国家率先建立国内银行间直接的计算机网络化金融服务交易系统,国内各家银行之间出现通存通兑业务,随着信息化的发展又逐渐将保险公司、证券公司等金融机构吸收到系统当中。这种建立在组织之间的金融联盟存在天然的不牢固性和不安全性,加之组织间协调沟通中存在的障碍,使金融信息化面临更多的风险。
20世纪80年代之后,伴随着经济全球化,金融业也突破了国家的界限,逐渐建立起全球经营平台,进入金融全球化阶段。金融全球化后,国内金融系统面对的不仅仅是国内环境所带来的风险,也增加了全球风险,金融信息化更对全球性经济危机起到了推波助澜的作用,使得原本的国内经济危机扩大到整个地区,甚至是全球。
Anita K. Pennathur(2001)指出网上银行业务面临着操作风险、安全风险、法律风险和声誉风险。吉猛(2006)认为商业银行信息化风险主要包括以下几类:创新变革速度快,对创新变革的审核评估不能满足要求;银行等金融业务对技术的依赖带来风险;信息化带来的金融企业联盟增加了金融企业业务的不确定性和复杂性,导致风险膨胀;技术不确定性带来的金融业务风险;无线POS、手机商业银行等应用在与网络平台互联时,信息容易受到攻击;伴随着我国各商业银行数据大集中的开展,商业银行各种技术风险也相应集中。
金融信息化风险管控相关研究综述
国外对银行信息化引发金融风险的监管主要集中在三个方面:一是银行信息化引发金融风险的识别和管理;二是制定和颁布专门的监管指南、规则和建议等,以指导银行信息化引发金融风险监管;三是针对银行信息化引发金融风险中的安全风险定期颁布监管公告(胡海华,2010)。
中国银行业监督管理委员会也于2009年6月颁布并实施的《商业银行信息科技风险管理指引》指出,信息科技风险管理的目标是通过建立有效机制,实现对信息科技风险的识别、计量、评价和控制,促进商业银行安全、持续、稳健运行,推动业务创新。
要从根源上遏制金融风险带来的严重后果,必须实现风险放大与监管作用放大相匹配,加快管控方法改革。孟皓东(2009)认为金融信息化风险管控必须从以人防和制度管理为主向依法管理、制度建设和技术防范转变,从主要预防资金风险向资金、实体资源安全、数据安全等方面转变,从事中或事后监管向事前监测、事中跟踪、事后监督转变。针对金融信息化风险的特点,金融机构必须从加强内部管理和加大外部监管两个方面研究银行信息化风险管理,概括起来主要包括以下方面:从制度上和技术上保证这一措施的落实,要设立专门机构,负责此项工作;监管部门要将信息化风险监管作为日常监管的一项内容,实施对银行业金融机构信息风险的监管;要加大相关法律法规和规章制度的建设,监管部门应尽快出台相关监管办法,并制定相关标准;依据标准,比照国外经验,出台评级办法,作为对银行整体评级的一项依据。
金融信息化风险管控程序和标准相关研究综述
从管控流程上来说,金融信息化风险管控程序包括:第一步评估风险,以明确风险的种类、程度等风险特征;第二步控制风险,采用合适的方法分散风险或者将风险消除;第三步监控风险,风险得到控制后要进行严格监控,通过持续的风险管理活动、对风险管理的评价或将两者结合起来加以实施。
目前国际上主要的信息化风险防范标准有:技术和测评类标准,如美国TCSEC、欧洲ITSEC、美国COBIT、SSE-CMM;风险管理类标准,如英国BS7799(ISO27000)、ISO13335、AS/NZS 4360;安全保障类标准,如美国IATF、德国ITBPM、美国NIST;专门针对金融信息化风险监管的标准有ISO17799、COBIT等标准(骆鉴,2010)。
欧美国家对信息化风险较为突出的业务,如网络银行、电子交易等设置了专门的规范加以应对。对金融信息化整体风险的防范,欧美等国起步较早,在对金融系统内部机构监管方面,主要关注点包括:建立风险评级体系,美国联邦金融机构检查委员会(FFIEC)在1978年就建立了信息系统评级体系,力求在评估银行的整体风险及经营状况时恰当地反映信息化风险的影响(汪锦丽,2004);借助良好的公司治理来确保银行董事及高级管理者在信息化领域的作用;注重跨国合作,尤其是与国际标准与规范化组织的合作(如国际货币基金组织、国际银行等)。在金融系统外部,监管部门着重对IT外包商进行监管。IT外包商虽不是金融系统成员,但其以合同的形式参与金融机构信息化过程,是信息化工作的开端,因此对IT外包商的监管至关重要。
美国网络银行、电子交易等金融信息化风险较高的业务进行风险控制,主要包括以下内容:对新技术的风险管理;网络银行内部风险控制;网络银行对来源于网络供应商方面的风险加强了控制。金融机构同网络供应商签订正式合同,明确列明有关各方的职责,金融机构要做到绝不在安全性方面做出任何让步(吴庆田,2005)。
在国内也相继出台了一些应对金融信息化风险的措施:以2005年2月l日实施的《商业银行内部控制评价试行办法》为框架,人民银行出台了“人民银行计算机信息系统内部控制的审计评价”、“商业银行内部控制评价技术要点解析与具体操作实用手册”等规章办法。针对银行业信息化风险,监管机构也出台了相关法律法规:信息技术安全性评估准则、信息技术信息安全管理实用规则、信息技术安全管理指南、等级保护实施细则等;涉及行业标准的有:银监会《电子银行安全评估指引》、《商业银行信息科技风险管理指引》、公安部《信息系统等级保护基本要求与实施指南》(骆鉴,2010)。
参考文献:
1.陈雷蕾.国内商业银行信息科技风险管理研究[D].西南财经大学,2010
2.程浩亮.供应链金融信息化研究[D].财政部财政科学研究所,2012
3.胡海华.银行信息化风险评价及监管研究[D].华中科技大学,2010
4.吉猛.商业银行信息系统内部控制研究[D].同济大学,2006
5.贾彦东.金融机构的系统重要性分析[J].金融研究,2011,10(376)
6.李政,王雷.论金融信息化及其对金融发展的影响[J].情报科学,2007,11(25)
7.李志彤.我国金融信息化现状分析与发展战略[J].中国软科学,2003(7)
8.骆鉴.论国外金融信息化风险管理与控制[D].吉林大学东北亚研究所,2010
9.孟皓东.金融信息安全视角下业务风险防范探究[J].工作论坛,2009(4)
10.孙长青.二级分行信息科技风险现状剖析与防范对策[J].中国金融电脑,2009(9)
11.唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑,2009(2)
12.汪锦丽.美国银行信息技术风险监管经验及借鉴[J].华南金融电脑,2004(12)
- 上一篇:新污染物治理工作方案
- 下一篇:安全监督报告
