银行安全预案范文
时间:2024-04-19 11:28:05
导语:如何才能写好一篇银行安全预案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:航空安全 人为差错 机务维修
中图分类号:V21 文献标识码:A 文章编号:1672-3791(2012)05(a)-0222-01
1 航空安全现状
随着社会的发展,科技的进步,民航事业发展的速度越来越快,飞机的可靠性和安全性有了明显的提高,机务维修人员使用的设备和程序也越来越复杂。但是,航空维修有一个主要的方面没有改变,即大部分的维修工作仍然是由人来完成,然而“人”由于受到自身心理、体力、智力、反应能力等的限制,总会有失误的时候。因此越是对人的依赖性大的设备,人的因素就越重要。随着新材料和电子系统的使用,对航空器维修的要求有所增加,机务人员必须具有更丰富的知识和技能。此外,由于航空业竞争日益激烈,效益必然成为企业生存和发展的核心,航空营运人为降低成本,提高飞机的利用率,要求减少飞机停厂维修时间,因此,维修人员经常要在夜间进行高度复杂的工作,承受巨大的时间压力。这些因素都致使维修差错成为影响航空安全的突出问题。
国际航空运输协会的统计资料显示,所有飞行事故的80%都与人的不安全行为有关。所以人为因素是当今航空飞行安全的最大隐患,同时也是提高飞行安全水平最有效的手段。人始终是航空运行复杂系统中的核心组成部分,无论航空器多么先进,它必须由高质量的人去操纵和管理,但是从人的行为学角度来看,人的行为是会发生错误的。人的行为由思想、情绪、能力、行为动机等因素所决定,也可以说人的行为是思想、情绪、能力、行为动机等因素的综合反映,所以说差错是人类正常行为的构成部分。随着飞机总量的不断增加,若不采取措施减小人为差错,事故数量也会不断增加,因此加强对人为因素的研究和应用势在必行。本文将从飞机维修方面谈谈人为差错对航空安全的影响,探讨避免发生差错的方法和对策。
2 人为因素理论
人为因素源于美国,在西欧称为人—机工程学,20世纪80年代中国学者将其发展为人—机—环境系统工程。它把人、机、环境看作一个系统的三大要素,在深入研究这三者各自性能的基础上,从系统的总体性能出发,通过三者间的信息传递、加工和控制,成为一个相互关联的复杂系统,并且具有安全、高效、经济的综合性能。这里简单介绍一下SHEL模式。
SHEL模式(见图1)是在航空维修人为因素领域使用最为普遍的模型。认为航空系统由软件、硬件、环境和人四个要素组成,它的名字由模型中各个部分的第一个字母构成。
(1)S—软件,维修程序、维修手册,检查单等。
(2)H—硬件,工具,设备。飞机结构、驾驶舱设计、操纵系统和仪表配置的特性等。
(3)E—环境,维修条件、工作环境、管理方式等。
(4)L—人,包括维修人员、主管、计划员、经理等。
SHEL模式用简化的方法表示复杂系统,具体形象的表述人为因素的研究范围、基本要素以及他们相互之间的关系:在模型中各个方块界面之间要相互匹配,有一处不匹配就意味着一个人为差错,人处于模式的中心地位,被认为是系统中最重要的,同时其适应能力也是最重要的组成部分。所以说人是航空活动的主体,随着飞机安全性、可靠性的提高,人为因素已成为当今航空业最重要的课题之一。
3 预防人为差错的方法
飞机总是要由人来操纵的,但是随着航空技术的不断发展,飞机使用要求的不断提高,对飞机的操作技术也日趋复杂,然而“人”由于受到各方面的限制,总会有失误的时候。因此越是对人的依赖性大的设备,人的因素就越重要。但是人的行为也是可以控制的,人们可以通过学习、沟通、吸取他人的经验教训,积累总结自己的经验教训,从中找出有效的防范措施,减少失误的发生。为有效的提高航空安全水平,本文提出以下几个思路来尽量避免人为差错的产生。
3.1 加强培训力度,提高工作人员整体素质
面对科学技术进步对劳动力要求越来越高的形势,提高工作人员整体素质对于避免人为差错、保证飞行安全、提高经济效益有着重要的意义。首先企业领导要立足于现状、着眼于未来,重视员工教育和培训,切实加强培训部门人、财、物的投入。其次培训部门要制定切实可行的培训计划和模块大纲,尤其要加强员工入场、上岗、岗位调整、在职业务的培训和复训工作,并要注意加大“人为因素”培训的比重。再次,要明确规范员工的行为,注重职业道德的培养,要求员工要自觉遵守各类规章制度,必要时要强制执行,从一开始就加强安全教育,责任义务教育,加强责任心,培养员工热爱工作、吃苦耐劳、严谨务实的工作作风。
3.2 树立“以人为本”的管理机制
在实际工作中要树立“以人为本”的管理思想,人是最重要的生产力,是最宝贵的财富,是最积极、最活跃的因素。管理人员要合理配置和利用人力资源来最大限度的开发员工的潜能,调动员工的积极性,还要以身作则、言行一致、为人坦荡、正确处理和对待个人利益得失,注意研究和掌握员工的心理特征和活动规律,对症下药,即实现个性化服务和管理。在用人方面,应当坚持“用人之才、记人之功、容人之过、解人之难”的原则,要善于捕捉每个人的闪光点,提供广阔的空间和充足的机会,创造一种和谐的工作关系,提高企业的向心力和凝聚力。
3.3 树立“以可靠性为中心”的维修思想
以可靠性为中心的维修思想是保证航空器持续适航的有力手段,其基本目标是对飞机、发动机及机载设备的故障或损坏前各种有意义的变化特征加以认识、分析、评估、处理和监控,以确定各类维修管理要求。
首先,加强维修管理,细化管理程序。“工程管理手册”、“质量保证手册”等是航空维修单位和个人的行为准则,在编写“手册”或“程序”时,应充分利用人机工程学的研究成果,考虑工作人员的心理和个性特点,从安全角度出发,尽量减少操作人员出现差错的机会,使各项维修活动有序进行。其次,加强组织管理,注重细节控制。加强信息管理,建立有效的监督机制,进行同步监督检查,要保证信息的及时性、可靠性、准确性、经济性,真正使公司或个人吸取教训,加强沟通,舒畅信息通道,要讲实话,讲真话,出现失误不隐瞒,及时上报采取补救措施,减少差错的产生。
4 结语
影响人为差错的因素很多,但只要应用科学的方法就能提高人的可靠性,减少人为差错的发生。当出现差错时,不仅要从操作者自身找原因,还应从管理、制度等多方面去查找,发现问题及时反馈信息,并及时制定出纠正措施,这样才能够真正意义上避免差错的产生。因此,提高工作质量,从一点一滴做起,杜绝人为差错的发生,是保证飞行安全,保证人民生命财产安全的最有效最基本的基石。
参考文献
[1] 朱丽君,刘珂.人为因素和航空法规[M].兵器工业出版社.
[2] 李伟,林国樑.航空安全与事故防范[J].广州民航职业技术学院.
[3] 高培建,人为因素与航空安全[J].科技创新导报,2009.
篇2
【关键词】企业环境信息;银行信贷;安全
一、前 言
中国当前的严峻环境形势表明,少数专业部门的污染减排手段有限,必须与更多宏观经济部门联合起来,进行制度创新。国际经验表明,越来越多的政府和国际组织倾向于运用经济杠杆来引导环境保护目标的实现。它实质上就是政府利用税收、价格、信贷等经济手段来迫使排污企业将污染成本内部化,从而达到事前自愿减少污染,而不是事后再对污染进行治理。在新形势下,环境经济手段如绿色信贷、绿色财政、绿色保险和绿色证券都将会陆续加以运用。{1}从2007年4月1日起,国家环保总局将把环境执法信息纳入人民银行征信管理系统,与人民银行形成信息联动,借助金融等部门力量加强环境监管。在此基础上,2007年7月12日,国家环保总局、中国人民银行以及中国银行业监督管理委员会联合《关于落实环保政策法规防范信贷风险的意见》(环发[2007]108号)(以下简称《意见》)。此前,国家环保总局与中国人民银行的“共享企业环保信息”,主要是整治违法排污企业,保障群众健康环保专项行动形成的企业环境违法信息,而此次纳入企业信用信息基础数据库的环保信息,其范围得到扩大,形成了更为完整的环境信息系统。为了保障该项制度能够贯彻落实,《意见》还明确提出了部门合作的工作机制,即建立环保部门和金融监管部门的联席会议制度,定期召开协调会交换信息。尽管《意见》出台的大背景主要是遏制日益严重的环境污染和生态破坏,但是,由环保部门提供的权威企业环境信息,对于银行信贷安全同样也会发挥重要的影响。
二、银企环境信息不对称对信贷安全的消极影响
(一)环境问题的严重与企业环境风险的产生
目前,中国正处于环境问题最严峻时期,而通常正是在这个时期,企业的环境风险也将更加显著。这里所说的企业环境风险是指:企业因为其内外环境因素变化直接或间接使企业承担的风险。这种环境风险至少表现在以下几个方面:
第一,企业因为违反环境法律,造成环境污染或者生态破坏而受到严厉的环境行政处罚,或者高额的环境损害民事赔偿。对于严重违反环境法律的行为,环保部门可以责令企业停产整顿,而政府可以责令企业停业或关闭。另外,环境污染或生态破坏带来的财产损失或者人身损害赔偿往往足以导致一个企业消亡。
第二,区域环境污染和生态破坏带来的环境风险。企业所在区域环境质量恶化,一方面会限制企业的生存发展空间,另一方面会导致区域环保法律法规及政策日趋严厉。例如,为了遏制区域严重环境污染,国家环保总局自2006年开始,实行“区域限批”{2}和“流域限批”{3}措施,这对于在限批区域内的企业无疑加大了其环境风险。另外,中国政府重点治理的“三湖”、“四江”区域,随着环境治理力度的进一步加强,一些企业将可能面临被关、停、并、转的命运。
第三,环境法律法规及其相关政策拓宽、趋严带来的风险。环境法律法规以及相关政策的每一次变动,都可能会对某一区域或某一行业的企业带来较大冲击。如1991年,《全面禁止象牙国际交易公约》在中国生效,一百多家象牙雕刻厂全部倒闭,被工艺界称为“黑色星期五”。 1993年,国务院发出的《关于禁止犀牛角和虎骨贸易的通知》,同样给中成药行业带来沉重的打击。{4}另外,我国环境法律对于企业环境行为的规范也日趋严厉。例如,江苏省将在太湖流域制定实施更加严格的环境准入制度,全面禁止新上不符合产业政策和新增氮磷排放的项目。同时,在太湖流域实行更高水平、更加严格的水污染防治标准,以提高排放标准倒逼企业完善治污设施,降低排放强度,从总量上控制污染物排放。在2008年年底前依法淘汰2150家小化工企业。{5}
第四,国际贸易中的绿色贸易壁垒给企业带来的环境风险。绿色贸易壁垒是一国以保护有限的资源、环境和人体健康为名,通过制定一系列苛刻的环保标准,对来自其他国家或地区的产品、服务直接或间接加以限制的贸易手段和措施。{6}如2003年1月27日,欧盟通过了关于在电子电气设备中限制使用某些有害物质的指令。该指令规定:从2006年7月1日开始,进人欧盟市场的电子产品中含有的铅、汞、镉等6种有害物质不得超出指定标准。我国将有3000多家整机生产厂和上万家的机电零部件的生产厂会受到这个指令的影响,涉及出口企业约2000家,产品20多万种,涉及的机电产品总值达317亿美元。{7}
(二)银企环境风险信息的不对称对信贷安全的影响
众所周知,以上企业存在的各类环境风险对于一个企业的生存发展将不可避免地带来重大影响,在一定程度上也同样影响到一个企业清偿债务的能力。现代企业的生产经营离不开商业银行,没有银行的信贷支持,企业生产经营活动无法开展。但是,不可否认的事实是,近年来,我国商业银行不良贷款比率一直居高不下,严重威胁着整个金融体系的安全。特别是企业面临的日益加大的环境风险,也直接威胁着商业银行信贷安全。
常识告诉人们,如果银行知道企业面临着不利的环境风险就不可能冒很大风险进行贷款。但事实上,尽管银行在主观上并不想将资金借贷给存在严重环境风险的企业,然而致命的问题是,银行并不能在现实中准确地区分哪些企业环境风险小,哪些企业环境风险大,这主要取决于银行能否真实而准确地获知企业与环境风险等有关的企业环境信息。问题是,目前在制度框架下,我国商业银行具有这方面的能力吗?
在银企信贷关系中,企业由于环境风险而承担的不利益将可能转嫁给银行,从而导致银行的信贷安全受到极大威胁,而这种风险的转嫁恰恰是建立在银行与企业之间环境信息不对称的基础之上。根据信息经济学原理,在市场交易过程中,交易双方难以拥有等量同质的信息,信息不对称由此产生。这种信息不对称从发生的时间上看,可能发生在银行与企业借贷关系形成之前,也可能存在于借贷关系形成之后。但无论是发生在何时,对于银行来说,都面临着企业由于存在环境风险而产生的道德风险。这至少表现在以下两个方面:第一,借款企业为了取得贷款,可能会刻意隐瞒甚至伪造企业相关环境信息,从而诱使银行发放贷款,即使银行在贷款后了解到借款企业的真实环境信息,但所能采取的措施最多也就是亡羊补牢。{8}第二,当企业获得银行贷款之后,银行只能观测到企业的行动结果,而不能观测到企业行动本身,或者说,只能观测到企业的行为,但不能观测到企业的行动效果,或不能准确评价企业的行动效果,从而使得企业有机会利用信息优势来损害银行的利益。{9}如由于银行对企业的经营行为无法完全彻底了解,企业通过擅自改变贷款用途,将资金挪用于环境风险非常高的高污染类项目,从而把经营风险转嫁给银行。
(三)企业环境信息披露的缺失
很显然,对于这种银行与企业在环境信息上的不对称状态,由于直接对银行信贷安全构成威胁,消除这种不对称也是银行之所求。但靠银行一己之力无法消除这种不对称。如果要改变这种状况至少需要企业和银行两方面的努力。客观地说,银行与企业信贷关系中的环境信息不对称可以通过作为借款人的企业诚实行为与作为贷款人的银行努力调查获得改善,但是不可能根本消除。{10}对于企业来说,在环境信息的收集、处理以及披露上都存在一定的成本;同时,对于某些环境信息,尤其是环境风险信息,从企业自身利益最大化角度并不希望让银行获得,因为那样可能导致银行对其环境行为的监督和制约,除非法律明确规定,企业需要披露其环境信息。对于银行来说,加强对借贷企业的信息收集是克服信息不对称的重要举措。但是,由于银行信息收集能力不高,尤其是我国银行长期缺乏企业信贷环境风险意识,因此往往难以获取需要的企业环境信息。
事实上,近几年来,我国环境法律也开始注意企业环境信息公开问题,而且这种公开往往是强制性的,构成了企业的一项环境义务。从法律规定看,对于企业环境信息强制性公开的主体范围也不好作统一界定,因为环境问题涉及的范围非常广泛,不同的企业对环境的影响程度不同;同时,企业的环境状况对不同的公众也存在不同的影响,导致不同的法律可能基于不同的目的对企业环境信息公开会有不同的要求。目前以下几类企业负有强制公开相关环境信息的义务:
第一,需要在项目建设过程中编制环境影响评价报告书的企业。2006年2月,国家环保总局出台《环境影响评价公众参与暂行办法》,要求建设单位在编制环境影响评价报告书的时候,采用便于公众知悉的方式,向公众公开有关的环境影响评价的信息。要注意的是,不是所有的建设项目在环境影响评价时都需要公开环境信息,只有对环境可能造成重大影响的建设项目才需要编制环境影响报告书。因此,对于那些对周围环境可能产生轻度环境影响或产生很小环境影响的建设项目,其建设单位在目前的法律框架下就没有强制公开环境信息的义务。
第二,造成污染物排放超标或严重污染环境的企业。实践中,往往都是那些平时超过国家污染物排放标准排放污染物的企业对周围的环境危害最大,也是直接威胁周围公众生命健康安全的主要因素。因此,在强制环境信息公开的主体中它们理所当然地成为主要对象。2003年,国家环保总局根据《清洁生产促进法》的规定,出台规范性文件《关于企业环境信息公开的公告》(环发[2003]156号)(以下简称《公告》)。这是我国目前对企业环境信息公开专门进行规定的规范性文件。根据《公告》规定,对于超标准排放污染物或者超过污染物排放总量规定限额的污染严重的企业,其相关的环境信息必须在当地主要媒体以及环保部门官方网站上进行公开。
对污染严重企业强制性公开环境信息,主要是想通过公众的压力和监督迫使企业治理污染。因为公众可以通过选用企业产品来体现对一个企业环境行为好坏的认可,这将直接影响企业在市场上的形象。投资者也将根据企业环境信息,审慎决策投资方向。{11}
第三,证券市场的上市公司。根据公司的社会责任理论,现代公司需要承担环境和社会受托责任,其中环境受托责任要求公司必须对环境资源承担保护责任,如增加对环境保护的投入,治理环境污染,为社会提供无污染的食品等,并将履行情况全面及时地向委托人报告。{12}我国证券市场建立时间不长,但是在证监会的证券信息公开的监管规范中也很注重企业的环境信息公开。1997年,证监会了《公开发行证券公司信息披露内容与格式准则第1号(招股说明书)》,要求上市公司阐述投资项目环保方面的风险。2001年在《公开发行证券公司信息披露内容与格式准则第9号—首次公开发行股票申请文件》、《公开发行证券公司信息披露的编报规则第12号—上市公司发行可转换公司债券申请文件》中明确要求,股票发行人对其业务及募股资金拟投资项目是否符合环境保护要求进行说明,如三年内是否违反环境保护方面的法规等。2001年,国家环保总局了《关于做好上市公司环保情况核查工作的通知》,2003年将其修改为《关于对申请上市的企业和申请再融资的上市企业进行环境保护核查的规定》,在规定中要求,对申请上市的企业和申请再融资的上市企业的环境保护情况进行核查,并将核查结果进行公示。比如,在1993年到2003年间,江苏省在深、沪上市的78家上市公司中,对环境信息进行披露的具体情况是:在招股说明书中进行披露的有50家,占64.1%;在2001年年报中进行披露的有15家,占25%;在2002年年报中进行披露的有24家,占35%;在2003年年报中进行披露的有30家,占38%。{13}
尽管,在我国现有法律框架下,企业也存在强制性环境信息的主动公开,但是,对于银行来说,其不足是很明显的,因为在前面提及的几类企业范围极其有限,而且其披露的环境信息也并不是涉及企业整个生产经营活动中的所有环境信息,其环境信息公开的目的同样也并不是直接针对银行信贷安全的。当然,这并不是说,这些环境信息对于银行没有任何价值。事实上,无论是企业环境影响评价信息,还是企业严重超标、造成严重环境污染的信息往往都构成企业的环境风险信息,银行积极而主动地收集并加以运用,对于防范信贷风险将产生积极影响。
三、公权力的干预与银企信息不对称的克服
(一)银企环境信息的不对称克服与公权力的干预
银行与企业之间的环境信息不对称,无论是对于银行信贷安全,还是对于环境保护目标的实现都不利。那么,如何克服银行与企业之间环境信息不对称困境就不仅仅是银行一方面要考虑解决的问题,它也是环境保护行政机关要关注的对象。正如笔者在前面分析所得出的结论,对于环境信息不对称的克服,单纯依靠企业自主的环境信息公开,或者是银行的独自收集都难以达到理想的效果。通过环境公权力的干预就是一种必然的选择。其理由如下:
第一,银行与企业之间的环境信息不对称问题不可能在市场框架内通过私力自身得到解决。之所以如此认为,是因为在银行与企业信贷交易过程中,占环境信息优势的企业不会主动提供环境信息给银行,这种信息的提供对其而言不仅无利可图,反而会使其丧失因为信息优势而可能获取的超额利益。对于环境信息劣势者而言,既然不能通过环境信息优势者的告知而获取环境信息,其就会自行收集环境信息,但这种环境信息的收集不仅会使其承受过多的信息成本,还会存在信息能力不足的问题,所以环境信息劣势者自己收集环境信息的行为不可能普遍成功。因此,我们不难看到,现实生活中,在银行与企业之间的信贷交易前和信贷交易过程中,企业往往能够主动提供环境信息,银行也可能主动收集企业的环境信息,但这种环境信息的提供行为和环境信息的收集行为都是以促成信贷关系形成为目的的,只要信贷关系已经形成,环境信息优势方的企业就可能会减少甚至停止环境信息的提供,而银行受到信息收集能力以及成本的约束也可能会停止环境信息的进一步收集行为。{14}
第二,政府在解决银企环境信息不对称问题中具有先天的优势。首先,政府作为公权力的行使者,其公权的强制力可以强制性地赋予企业对自身环境信息的说明义务,而银行作为私权主体是不能够强迫企业告知环境信息的。其次,一般来说,政府作为一种超越于私人主体之上的公共组织对于环境信息的收集能力以及处理能力要强于银行,这使得政府向银行提供企业环境信息成为可能。特别是与私人主体往往注重追求个人利益最大化不同,政府作为一种代表公共利益的组织,使其无偿提供环境信息成为可能。再次,政府具有组织优势,其直接向银行提供企业环境信息,使得银行无需再去收集、处理环境信息,因而极大地降低了环境信息成本。最后,政府权威的存在使其提供的环境信息具有公信力。{15}
(二)银行获取企业环境信息的现实路径与信贷安全的保障
也正是政府在环境信息公开上具有的先天优势,使得从2007年上半年开始,在政府环境信息公开制度确立的基础上,由国家环保总局与中国人民银行以及银监会联合发文,通过环保部门对企业环境信息公开,达到建立绿色信贷机制,既有利于环境保护,又有利于银行信贷安全。那么,银行又如何获取企业相关环境信息以及如何能够实现其信贷安全目标呢?
1.环保部门对企业环境信息的收集与提供
环境问题大多是由于企业的排污及开发利用自然资源活动带来的,因此,环境信息主要包括这些污染源的排污情况的信息。根据各国现有的环境立法,大多规定排污单位要向当地环保部门进行排污申报登记。{16}另外,环境保护部门还可以通过现场检查制度、环境监测制度等方式主动收集排污企事业单位的环境信息。因此,对于企业的环境信息,当地的环境保护部门一般都已拥有,只要环境保护部门承担环境信息的公开义务,银行可以通过环境信息的公开而获得其需要的某一企业的环境信息。
根据《意见》规定,环保部门在收集企业环境信息时,尽管基于环境保护需要应全面完整收集企业所有环境信息,但是对于向银行提供的企业环境信息是有一定范围的,具体包括八个方面的环境信息:(1)受理的环境影响评价文件的审批结果和建设项目竣工环境保护验收结果;(2)污染物排放超过国家或者地方排放标准,或者污染物排放总量超过地方人民政府核定的排放总量控制指标的污染严重的企业名单;(3)发生重大、特大环境污染事故或者事件的企业名单;(4)拒不执行已生效的环境行政处罚决定的企业名单;(5)挂牌督办企业、限期治理企业、关停企业的名单;(6)环境友好企业名单;(7)企业环境行为评价信息;(8)其他有必要通报金融机构的环境监管信息。
从总体上看,这些环境信息可以分为两大类:企业环境风险信息与非环境风险信息。对于企业污染物排放超过国家或者地方排放标准,或者污染物排放总量超过地方人民政府核定的排放总量控制指标的污染严重的,企业发生重大、特大环境污染事故或者事件的;企业拒不执行已生效的环境行政处罚决定的;企业已经被环保部门挂牌督办、限期治理、关停企业的等环境信息,这些明显属于环境风险信息。对于环境信息表明该企业为环境友好型的,则说明该企业环境风险很小。至于涉及环境影响评价文件的审批结果和建设项目竣工环境保护验收结果以及企业环境行为的评价信息,是否属于环境风险信息,则要看其环境信息的具体内容进行判断。如企业新建项目由于存在很大的环境污染的可能性,其环境影响评价报告书未通过环保部门审批的环境信息,就应该列为企业环境风险信息。企业环境行为评价信息,主要揭示不同企业的环境信誉等级,通常用不同色彩表示,是一个企业环境信息的综合指标,包括:企业基本情况指标、污染行为指标、环境一项指标、环境管理指标、清洁生产指标以及信任度指标。{17}企业环境行为评价可以根据其等级来判断该企业在生产经营活动中是否存在环境风险。
由于《政府信息公开条例》以及《环境信息公开办法(试行)》于2008年5月1日实施,环保部门可以根据环境信息公开的法定程序将依法收集到的企业相关环境信息提供给金融监管机构和商业银行。
2.企业环境信息对银行信贷安全的促进
环保部门对于企业环境信息的提供,使得银行对于贷款企业的环境信息能够真实、准确和全面地掌握,从而大大缓解了银行与企业间的信息不对称矛盾,其对银行信贷安全的促进作用也很明显。
第一,减少银行因为担心企业的环境风险而导致的逆向选择。由于银行通过市场难以获得其信贷所需要的环境信息,只能将潜在的企业借款人分为有限的几个风险等级,对每一个等级的借款人给予平均的贷款利率。在这种情况下,较低环境风险的企业由于贷款利率高于其预期的利率水平而退出,而高环境风险的企业则会接受贷款条件,从而使得银行的风险加大。{18}在绿色信贷机制下,由于企业的环境行为优劣评价信息银行都能够通过环保部门而获取,使得银行有能力区分不同环境风险的企业,也使得那些环境友好型企业在获得银行信贷方面处于优势地位。对于银行来说,将资金借贷给环境友好型企业,不仅获取利益,而且其信贷资金的安全性也会有很大提高。
第二,限制商业银行向环境风险大的企业进行信贷。根据环保部门提供的企业环境信息,各商业银行要将控制对污染企业的信贷作为履行社会责任的主要内容,严格限制污染企业的贷款,及时调整信贷管理,防范企业和建设项目因环保要求发生变化带来的信贷风险;在向企业或个人发放贷款时,应查询企业和个人信用信息基础数据库,并将企业环保守法情况作为审批贷款的必备条件之一。对于未通过环境影响评价或者环保设施验收的项目,不得新增任何形式的信贷支持。在国家产业政策的引导下,分类给予信贷:对鼓励类项目在风险可控的前提下,积极给予信贷支持;对限制和淘汰类新建项目不得提供信贷支持;对属于限制类的现有生产能力,且股价允许企业在一定期限内采取措施升级的,可按信贷原则继续给予信贷支持;对于淘汰类项目,应停止各类形式的新增信贷支持,并采取措施收回已经发放的贷款。
第三,监管机构的积极作为是绿色信贷机制发挥作用的保障。企业环境信息对于银行信贷安全的促进作用已经明了,但要使其能够落到实处,《意见》还对监管机构的积极作为提出了要求。对于环保部门来说,在新建项目的环境监管中,对于未批先建或越级审批、环保设施未与主体工程同时建成、未经环保验收即擅自投产的违法项目,要依法查处,查处所形成的环境信息要及时公开,并通报银行监管机构以及商业银行。同时,在对现有企业的环境监管中,对于超标排污、超总量排污、未依法取得许可证排污或不按许可证规定排污、未完成限期治理任务的企业,要依法查处,并将获得的企业环境信息及时通报银行监管机构以及商业银行。《意见》对人民银行和银行监管机构也提出了明确要求:人民银行及各分支行要引导和督促商业银行将环境信息纳入企业和个人信用信息基础数据库。各级银行监管部门要督促商业银行将企业环保守法信息作为信贷时差条件,将商业银行配合环保部门执法、控制污染企业信贷风险的有关情况,纳入监督检查范围。
【参考文献】
{1}参见《环保总局首度联手人民银行银监会,以绿色信贷遏制高耗能高污染行业扩张》,载zhb.gov.cn/xcj y/zwhb/200707/t20070730_107365. htm。
{2}为了遏制高耗能高污染行业的盲目扩张,根据《国务院关于落实科学发展观加强环境保护的决定》的第13条和第21条规定,环保总局首次动用“区域限批”政策来惩罚严重违规的行政区域、行业和大型企业,即自2007年1月10日起,停止审批其境内或所属的除循环经济类项目外的所有项目,直到它们的违规项目彻底整改为止。这是环保部门成立近30年来首次启用这一行政惩罚手段。此次“区域限批”的行政区域包括河北省唐山市、山西省吕梁市、贵州省六盘水市、山东省莱芜市;企业集团包括大唐国际、华能、华电、国电等四大电力集团。参见《环保总局通报1123亿严重环境违法项目,首次使用“区域限批”遏制高污染产业》,载zhb.gov.cn/xcjy/zwhb/200701/t2OO7OllO-99415.htm。
{3}针对中国当前严峻的水污染形势,环保总局自2007年7月3日起,对长江、黄河、淮河、海河四大流域部分水污染严重、环境违法问题突出的6市2县5个工业园区实行“流域限批”。此次限批地区包括:长江安徽段的巢湖市和芜湖经济技术开发区;黄河流域的甘肃白银市与兰州高新技术产业开发区、内蒙古巴彦淖尔市、陕西渭南市、山西河津市(县级)与襄汾县;淮河流域的河南周口市、安徽蚌埠市;海河流域的河北邯郸经济技术开发区、河南濮阳经济开发区、山东萃县工业园区。并从即日起,环保总局停止这些地区除污染防治和循环经济类外所有建设项目的环评审批。参见《环保总局:长黄淮海重污染水域进行“流域限批”应建立统一治水机制及新环境经济政策体系》,载zhb.gov.cn/xcjy/zwhb/200707/t2OO7O7O3-lO6O35.htm。
{4}藏立:《绿色浪潮》,广东人民出版社1998年版,第2-4页。
{5}参见《太湖地区明年底前淘汰2150家小化工,江苏省7月起提高排污费征收标准》,《人民日报》2007年7月8日,第二版。
{6}钟筱红等:《绿色贸易壁垒法律问题及其对策研究》,中国社会科学出版社2006年版,第33页。
{7}杨逍、张倩:《论政府对企业环境风险的规制》,《广西政法管理干部学院学报》2005年第6期,第99页。
{8}赵明:《我国商业银行信贷管理中的信息不对称问题探析》,《延安大学学报(社会科学版)》2005年第4期,第64页。
{9}徐菲菲:《信息不对称与银行信贷风险的防范》,《科技情报开发与经济》2006年第5期,第90页。
{10}赵宗俊等:《基于不对称信息理论的商业银行信贷风险管理》,《现代管理科学》 2005年第3期,第102页。
{11}王华等:《环境信息公开:理念与实践》,中国环境科学出版社2002年版,第16页。
{12}曲冬梅:《环境信息披露中的矛盾与选择》,《法学杂志》2005年第6期,第69页。
{13}印丹榕:《江苏省上市公司环境信息披露研究》,《生态经济》2006年第5期,第118页。
{14}应飞虎:《信息失灵的制度克服研究》,法律出版社2004年版,第28-29页。
{15}但政府在公开环境信息方面也会存在失灵。因为政府虽然是为实现公共利益而存在,但组成政府的自然人是经济人,他们要追求自身利益的最大化,只不过由于制度的约束使其经济人特性表现得不是太明显,但这也会导致政府在公开环境信息方面的失灵。如政府及其官员为了自身的利益而故意不公开应该公开的环境信息,甚至制造虚假的信息。这方面事例以2005年发生的松花江环境污染事故为典型,具体内容参见朱谦:《突发性重大环境污染事件中环境信息公开问题研究》,《法律科学》2007年第3期。
{16}如我国《环境保护法》第27条规定:“排放污染物的企业事业单位,必须依照国务院环境保护行政主管部门的规定申报登记。”同时,1992年国家环境保护局了《排放污染物申报登记管理规定》,对排污申报登记的适用对象、内容和程序等作了明确的规定。
篇3
一、银行卡常见安全问题
(一)不法分子利用硬件方式犯罪。利用在正常的银行支付设备上附加的装置,盗窃储户的银行账号和密码。从破获的犯罪案件可以发现,犯罪分子将携带的读卡器安装在自助银行门禁系统上,并在自动柜员机上安装有摄像功能的MP4,窃取客户银行卡的磁条信息及密码,利用窃取的这些信息资料伪造银行卡到银行提款。
(二)不法分子利用银行软件漏洞犯罪。据报道许多不法分子利用自己的电脑技术,侵入某银行的网络信息系统,掌握了大量的使用“123456”、“666666”等简单支付密码的银行账户的账号和密码信息,据此伪造银行卡,大量提款用于挥霍,给客户造成数百万的经济损失。他们还研制了一算法,可以很快破解客户的复杂密码。一旦犯罪分子大规模作案,后果不堪设想。
(三)不法分子利用银行管理漏洞,内外勾结犯罪。银行内部人员往往对管理漏洞了如指掌,这就容易被别有用心的人利用来犯罪。如,银行内部人员与外部人员勾结,利用虚假客户资料办理信用卡,大肆透支不还款。还有的银行内部工作人员把持卡人的信息和存款数额等资料卖给不法分子,不法分子利用电脑等工具克隆持卡人的卡,从而盗取银行卡内的金钱。还有某银行在客户向银行专门的咨询电话要求开通银行卡电话查询时,银行咨询人员要求客户在电话中提供支付密码,方给予开通。如果银行咨询人员恶意利用这一信息,是有可能伪造假卡到该客户的账户提款的。
(四)利用在餐厅等服务场所工作之便盗取持卡人的信息和密码,通过“克隆卡”的方式克隆持卡人银行卡,窃取卡内的金钱。
二、产生法律问题
据VISA统计,伪卡欺诈带来的银行卡业务损失占所有犯罪损失的46%。目前,我国伪卡欺诈风险损失金额约在1.5亿元左右,而且呈逐年上升趋势。近期,媒体相继报道了系列“银行卡被伪造,银行被判全赔”案件,显示司法部门在此类案件审判中有加大银行责任,保护持卡人的利益的倾向,由此产生的示范效应将对银行和持卡人产生重要影响。自从2005年7月最高人民法院《关于银行储蓄卡密码被泄漏导致存款被他人骗取引起的储蓄合同纠纷应否作为民事案件受理问题的批复》,明确此类案件属于民事案件后,多数法院采取“谁主张谁举证”的举证责任认定方式,即银行承担责任须由储户举证银行存在过错。但是从2008年以来,一些法院开始采用“严格责任”原则,即银行作为被告,须举证储户存在过错,否则必须承担损失。法院认为,卡或折持有人将钱存入银行,银行与持卡或折人订立合同关系,钱的所有权即归属于银行,卡被盗刷,银行仍应承担付款给持卡或折人的义务,除非银行能举证证明持卡或折人存在过错,否则银行须承担全部或部分责任。基于以上的法律判断,法院认为,1.对于自助银行门禁处或ATM等机具上安装读码器或MP4等窃密装置的,银行应承担全部或至少主要责任。2.对于未能有效识别伪造或变造的银行卡/折、身份证的,银行应承担全部责任。3.有证据证明储户银行卡/折密码保管不善,储户应就此过失承担责任,银行因此可免责。在双方都无法举证对方在密码泄露方面存在过错时,法院倾向于银行负全部或部分责任。
法院在近期存款被盗取案件的判决中加大银行责任,是对社会公众“保护弱势群体”吁求的呼应,必将形成示范效应,应引起银行业的高度重视。
三、银行业的应对措施
篇4
关键词:电子银行安全评估;现状调研;业务流程风险识别;电子银行业务连续性管理
1、引言
电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估[1]。 本文以国内某大型股份制银行为电子银行安全评估分析对象,提出了一种开展电子银行安全评估方法,并对该方法作了深入分析和研究;通过实践验证,该方法切实可行、达到了预期目标。
2、项目背景介绍及电子银行安全评估实施方法
本文所提出的一种安全评估方法其背景是某行的电子银行安全评估项目,分析研究的目的为以下两个方面:(1)在以监管要求及标准为依据,基于该行现有管理制度,综合参考风险库及同业实践,执行包含该行电子银行技术安全、业务操作与管理领域在内的安全评估工作,识别风险控制缺陷,提出可实施的整改建议,并出具安全评估报告;针对评估中发现的可以快速体现风险管控实效的控制措施,设计管理工具或制度,提高该行电子银行的风险管控水平,完善电子银行风险管理体系,包括:建立电子银行业务风险模型、风险评价机制,完善电子银行业务连续性管理制度;(2)通过项目实施过程中的交流和知识转移活动,协助电子银行风险管理相关人员掌握风险现状,了解风险管控要求,提高该行电子银行风险管理团队技术能力。
根据电子银行业务发展方面及现有业务重要程度分析,本项目的评估范围包括网上银行、手机银行、电子支付三个业务领域[2]。按照项目执行的时序、项目特点等综合因素,采用分阶段完成其项目。具体将评估方法分为这样四个阶段:项目计划、安全评估、风险管理优化、报告及建议,各阶段的主要工作简述如下:
(1)项目计划阶段:确定详细项目范围和制定安全评估工作计划,监管要求差距分析;(2)安全评估阶段:执行该行电子银行安全评估,包括治理、业务和科技层面;(3)风险管理优化阶段:建立电子银行业务风险模型以及风险评价机制;(4)报告及建议阶段:编制安全评估报告并提出改进建议,建立电子银行业务连续性管理机制。
本次电子银行安全评估不仅为满足监管要求,更以全面了解电子银行风险全貌为目标,因此在评估要求的设计过程中,充分参考了监管要求、该行电子银行管理制度与国内外同业最佳实践。
为全面评估电子银行风险状况,根据本次项目评估目标和评估范围,本文设计了三层评估框架,以保证电子银行安全评估的全面性,包括:治理层面、业务层面及科技层面。电子银行安全评估框架如图1所示:
图1 电子银行安全评估框架
三层评估的具体执行目标为:(1)电子银行治理层面评估主要针对电子银行安全策略、内控制度建设、风险管理状况进行设计,根据框架可对治理层工作的有效性、充分性、合理性进行评估;(2)电子银行业务层面评估主要从电子银行产品的需求调研、产品设计、系统研发、投产上线到市场营销的整个生命周期流程及具体电子银行产品业务操作两个层面出发,对电子银行业务的风险进行评估;(3)电子银行科技层面评估重点关注电子银行业务相关系统的整体运营及维护情况,主要通过检查电子银行业务运营相关应用系统的部署及配置发现安全隐患。
3、项目阶段化及具体工作描述
根据上述评估方法的具体工作思路,并结合安全评估框架图,现将划分为4个阶段的相关工作具体化,各个阶段的具体工作如下所述:
3.1第一阶段具体工作描述
第一阶段是项目计划阶段,其阶段目标是了解该行电子银行业务运作方式与主要环境,制订项目详细计划与范围,并与该行成员讨论确定项目的详细实施计划和范围。对现有国内和国际监管要求、指引和参考进行收集整理,评估其对该项目的适用性,形成电子银行风险矩阵;同时,还将对各类相关资料进行前期收集和查阅,包括电子银行业务资料、电子银行系统相关资料、电子银行往期评估资料。
3.2第二阶段具体工作描述
第二阶段是安全评估阶段,治理层面评估的目标是确定评估战略机制、职责分离和制度体系化程度。首先收集电子银行发展战略、组织架构及职责分工、电子银行管理制度等资料;然后梳理电子银行制度体系,明确制度间上下层级和相互关系,尤其关注制度覆盖面的缺失或重叠,以及与其他部门相关制度的衔接;最后梳理电子银行管理组织架构,评估其完整性和职责分离有效性。在完成基础工作之后,对电子银行治理层面管理机制进行完整评估,包括电子银行战略管理机制、电子银行制度管理机制等。
业务层面评估的目标是评估重点产品的全业务风险控制情况。首先收集电子银行产品资料,访谈产品设计和管理人员,整理详细业务操作流程图,同时参考风险框架梳理业务层面风险;对于电子渠道实现传统产品的情况,重点关注电子渠道相关风险;对于电子银行创新产品的情况,全面关注产品本身和渠道相关风险;对所有产品都关注市场营销、产品研发、运行维护和自律监管等方面的风险。然后识别现有风险控制措施和控制措施类型,评估业务层面安全管理状况。
科技层面评估的目标是明确相关信息系统,并对科技管理机制进行评估。梳理出支持电子银行业务运行的信息系统,整理电子银行系统安全评估要点,并对相关系统环境进行评估[3]。
在该电子银行安全评估工作过程中,为了解电子银行安全情况,其间采用了人员访谈,资料查阅,检查风险控制执行记录、系统管理及配置情况等方法,对该行电子银行安全情况进行评估。整个评估过程分为三个步骤完成,其三个步骤的具体工作为:
(1)通过资料搜集和访谈调研全面了解现状。本次评估工作中,对电子银行业务相关部门人员进行了广泛的访谈,包括对电子银行部、信息科技部、办公室、法律合规部、风险管理部等进行访谈。通过访谈了解电子银行业务管理相关现状,评估电子银行各类安全策略、管理制度、操作手册的要求是否在日常工作中有效落实,评估人员的安全意识水平及对自身岗位职责的理解水平。在评估工作中,对该行电子银行的组织架构、人员分工、安全策略、管理制度,业务连续性计划等资料进行调阅,并查阅了涉及电子银行业务运行的科技运行标准及操作手册。通过对资料的查阅,评估该行电子银行安全策略、管理制度、操作手册等文档的完整性及设计的合理性和有效性。
(2)通过流程梳理和现场检查全面识别现存风险。具体为:梳理该行电子银行业务流程,包括电子银行产品管理生命周期和具体电子银行产品操作流程:电子银行产品管理生命周期涵盖电子银行产品的需求调研、产品设计、系统研发、投产上线、市场营销等环节;根据产品特点和重要程度,从个人电子银行业务和企业电子银行业务中选定若干业务作为评估样本,绘制业务流程图,并逐一分析业务流程中各个处理环节,相关部门、处室或岗位,涉及的记录和数据等,评估电子银行产品业务流程中是否存在安全隐患,识别具体风险点。
(3)梳理清单、确定风险,判断风险问题等级。整理风险评估结果,逐一评估风险等级。本次评估从风险发生可能性和影响程度两个方面,依据风险发生可能性与影响程度等,判断风险级别,形成评估结果。
3.3 第三阶段具体工作描述
第三阶段是风险管理优化阶段,其目标是建立电子银行业务风险模型,形成业务风险评价机制。针对发现的缺陷,与该行项目组讨论对电子银行安全风险的影响程度,并确定风险等级。本阶段应全面梳理电子银行产品业务流程以及风险控制点,建立电子银行风险管理模型,并依据风险管理模型,建立电子银行业务风险评价机制。
3.4 第四阶段具体工作描述
第四阶段报告及建议阶段,其目标是形成安全评估报告,分析未来趋势。本阶段应根据评估情况和各部门反馈情况编制安全评估报告,并提出切实有效的安全风险管控建议。此外,编制电子银行业务连续性管理规范制度,满足合规要求,为电子银行业务连续性管理奠定基础。
4、项目方法实施经验
在整个项目的实施过程中,业务流程图的绘制与风险点识别是整个电子银行安全评估非常关键的一环。针对这一关键点,首先应从银行现有的个人电子银行业务和企业电子银行业务中选取较为重要或具有代表性的若干业务作为评估样本,绘制水平流程图。绘制流程图时应注意包含的客体,具体如客户、营业网点柜台、各相关部门、信息科技部或外部支撑系统,各客体之间以清晰的动作节点串联起来,并在两节点中间标明信息的传递情况,清晰地反映实际的业务流程与涉及的各部门职能。
绘制流程图时可参考银行现有的业务流程相关制度,对访谈结果进行分析和梳理,在银行官网上查看演示版模拟真实业务操作流程,最具有实际意义的措施是采用切身实际去柜台办理一张储蓄卡的办法,并开通个人网银的相关功能,在其相关功能的范围内,进行网银和手机上进行相关实际操作,这样才能够真实、全面地了解业务流程并绘制出能反映实际业务流程的流程图,为进行全面风险识别奠定良好的基础。在进行风险识别时,应考虑各种风险类型,可参考本行或同业的风险库,必要时亦可召集小组成员一起进行讨论分析,力求全面识别电子银行各业务流程中的风险点,并在图中对风险点进行标识:标识的方法是在风险点处标明风险名称与风险描述。在完成风险点标识后,将其进行归纳统计,最终将业务流程所有识别出来的风险汇总形成风险矩阵和风险清单。在此基础上,对所统计的风险进行分类,判断每个风险点的风险等级、是否重要、是否紧急,并提出相应的风险控制措施。
在评估中,针对评估对象和评估要点,查阅该行电子银行风险控制相关文档记录,其查阅记录文档的范围涉及业务风险控制记录以及科技类风险控制记录。通过对风险控制记录的查阅,了解电子银行相关管控措施实施情况,除了用于评估该行的风险控制措施设计的有效性和合理性,还用于评估风险控制措施执行的有效性和及时性等方面。对该行电子银行业务相关系统配置及涉及业务系统的网络设备、安全管理设备、日志监控设备、数据库及中间件配置进行查看,查看范围涉及开发环境及运维环境。通过对信息系统管理及配置的查看,评估电子银行相关信息系统和信息环境安全控制措施的有效性。
5、项目实施总结
本文通过将电子银行安全评估框架划分为3个层面,以及按照工作的先后顺序划分为4个阶段,经过实践验证,其成功高效、顺利地完成了该行开展的电子银行安全评估工作,满足了银监会《电子银行安全评估指引》及其他相关的监管要求,并为该行或相同行业在今后的电子银行安全评估工作奠定了良好的基础,并提供了全面、细致的工作指导。
参考文献:
[1]中国银监会.电子银行安全评估指引[Z].
篇5
对比省级及以上级别的商业银行,中小城市银行分支机构、村镇银行普遍存在信息安全基础设施不达标、技术水平落后、运维能力薄弱等问题。针对这些问题,本文提出了建立统一的信息安全基础环境建设标准以及健全的信息安全管理体系,不断提高信息安全运维水平,有效防范区域性信息安全风险。
关键词:
信息安全;中小城市;银行分支机构;基础设施
近年来,我国中小城市商业银行不断发展壮大,银行业数据大集中趋势越来越明显,对于地级市商业银行分支机构和村镇银行等小微金融机构而言,由于其存在规模小、信息安全专业人才相对匮乏、信息安全建设资金投入较少、信息安全意识淡薄、信息安全风险防范能力不强等原因,风险日益突出。因此,中小城市银行分支机构的信息安全管理应引起高度关注。
一、中小城市银行分支机构信息安全管理现状
以笔者所在城市最近5年的情况来看,新成立村镇银行有3家,商业银行新设分支机构有4家(不包括新设营业网点),根据历年综合执法检查的情况分析,这些银行普遍存在机房基础设施建设不达标、网络综合布线不规范、应急演练记录缺失、应急预案与实际不符、信息安全运维人员匮乏、工作人员信息安全意识薄弱等问题。大部分分支机构的日常运维工作都采取外包服务的方式,其可靠性和安全性无法得到充分保障。
二、中小城市银行分支机构信息安全存在问题
(一)信息安全软硬件环境不达标。
一是机房、供电、综合布线、防雷等安全保护措施等方面达不到相关标准,设备、介质等安全管理软件欠缺。二是由于目前数据大集中趋势,地市级银行分支机构的网络和主机审计、接入认证、系统授权管理等手段缺失,应对信息安全风险事件反应较慢。三是主机病毒防护、系统安全、数据库安全、身份鉴别、数据完整性、保密性等方面缺少必要的软件,或相关安全配置工作不到位。四是大多数地市级银行分支机构缺少整体的运维监控平台,制约了应急响应处置能力。
(二)信息安全管理体系不健全。
信息安全管理工作主要由分支机构综合业务部负责。虽然人民银行加强了“两管理、两综合”检查,对新成立的银行分支机构开展了开业管理,并要求建立全面的信息安全长效管理机制,但在通过开业申请之后,制度执行力往往不够,信息安全责任很难落实到位。应急管理注重形式,缺乏与实际的结合,尽管制定了应急预案,但应急实战演练较少、涵盖范围不全,应急措施缺乏针对性、操作性和实效性。
(三)信息安全管理意识不强。
一是管理层对信息安全管理重视度不高,对信息安全的投入往往只有在机构成立时的一次性投入,忽视了信息安全管理是一个持续长久的过程。二是信息系统的运维人员把信息安全管理工作看成是技术问题,过分强调信息系统的可用性,认为信息安全管理工作就是网络安全和核心主机安全。实际上,信息安全更多应该是个管理问题,信息系统的可控性和保密性是信息安全不可或缺的部分。三是大部分员工只关注计算机的便捷性,而忽视了做好相关安全措施。
(四)信息安全运维能力薄弱。
首先,地市级银行分支机构科技运维大多采用外包方式,外包管理制度和约束不全面,使得系统运行风险及运维难度加大,村镇银行等小微金融机构大多并未配备科技人员,管理科技的人员往往身兼数职,很难对信息安全风险进行及时响应。其次,科技运维人员参加信息技术培训较少,缺少完整、系统的信息安全知识,应对信息安全风险处置能力不够。
三、相关对策和建议
(一)建立一套中小城市银行分支机构信息安全软硬件环境标准。
在不同等级的分支机构及营业网点建立相配套的软硬件设施,特别是加强机房、供配电、网络等基础设施的建设管理,在设备选型、施工安装和运行维护等过程严把关。同时,后期维护和管理也应持续遵循建设标准,做到“有章可循,有据可依”,确保IT基础设施安全稳定运行。
(二)建立健全信息安全管理体系,将责任层层落实。
一是要建立相应的信息安全领导小组,明确领导小组对信息安全管理和监督工作的领导,完善组织保障、协调机制,信息安全管理不只是科技部门的工作,应将信息安全管理纳入机构管理范畴。形成各部门协调统一、齐抓共管的信息安全工作局面。二是实施有效的信息安全防范措施,制定应急预案并与实际情况联系,应急操作要有针对性、实用性,要通过定期的演练来验证应急预案,并及时对应急预案进行评估和修订。
(三)不断提高信息安全运维水平。
一是各商业银行应定期对中小城市银行分支机构的科技人员及全体员工进行信息安全培训,提高风险防范意识,培养信息安全业务骨干,提升分支机构的应急响应和应急处置能力。二是要建立统一的信息资产监控平台,让分支机构的科技人员参与进来,及时发现问题并解决问题。三是要加强外包服务管理,签订相关的保密协议,同时在运维过程中要做好文档管理,充分考虑外包服务的连续性。
(四)监管机构要加强对当地商业银行和小微金融机构的信息安全管理指导和监督。
参考银行业监督管理委员会的《商业银行信息科技风险管理指引》和《人民银行信息系统信息安全等级保护实施指引(试行)》,加强银行分支机构开业管理和指导,定期对辖内银行机构开展信息安全检查,并纳入全年商业银行考评体系。
作者:李苏 单位:中国人民银行衡阳市中心支行
参考文献:
篇6
一、昭通市近五年发生重大自然灾害及金融系统应对情况
昭通全市属于典型高原山地构造地貌,受金沙江水系及其支流横江水系切割,沟壑纵横,河谷与高山海拔高差大,具有“一山分四季、十里不同天”的气候特征,又处于小江断裂带地质活跃区,气象灾害、地质灾害频发,有“无灾不成年”的说法。2008年初,昭通市十县一区遭受了五十年一遇的特重低温冰凌灾害,造成部分县区电力、通讯、道路交通等基础设施严重瘫痪长达两周,给救灾资金划拨和人民银行发行基金调运带来巨大困难,灾害造成直接经济损失33.01亿元。2013年1月11日,镇雄县果珠乡高坡村赵家沟发生严重山体滑坡,导致46人遇难,当地网络、通信、道路中断达7天,惠农支付点受损5户。昭通全市仅2006年至今,境内先后发生5.0级地震5次,其中6级以上2次,因灾损失上百亿元,死亡698人。尤其是2014年8月3日发生在鲁甸的6.5级强震,系云南省14年来最强地震,共造成617人死亡、112人失踪、3143人受伤,当地金融机构房屋严重受损,金融服务瘫痪。
面对频发的重大自然灾害,人行昭通中支带领全市金融系统,积极应对自然灾害,做好金融服务工作,主动承担社会责任。以鲁甸“8.03”地震为例:一是迅速启动应急预案,全系统应急领导小组迅速行动,抓好灾情核实,关注金融机构的受灾情况及业务运转情况,提高处置的及时性、针对性和预见性,对可能发生的后续灾情做好预防,防患于未然。二是采取有效措施,及时恢复受损金融网点的金融服务。开辟国库服务绿色通道,确保国库财政救灾资金的汇划和及时拨付到位,截止到今年10月10日,共拨付救灾资金95笔,金额259,650万元;启动现金供应应急预案,不分节假日及时为银行机构办理现金存取业务,增大灾区人民银行机构发行基金库存量,确保灾区现金供应;指导受损网点恢复服务功能,以“帐篷银行”、“流动银行”、“汽车银行”等方式对外提供现金存款、取款、转账、挂失止付等基本金融服务,免收救灾资金汇划手续费,简化开户手续。三是出台抗震救灾有关金融支持与服务工作意见,加强灾区窗口指导,做好金融稳定工作。要求金融机构积极盘活存量资产,加大灾后重建信贷投入,简化信贷审批手续。灵活用好多种货币政策工具,增加灾区地方法人金融机构新增贷款总量6亿元,同时,将全市支农再贷款规模向灾区金融机构倾斜,增强灾区地方法人金融机构信贷投放能力,满足灾后恢复生产和重建工作的信贷需求。
金融系统的高效反应,得到了地方政府的肯定,中央电视台及时报道了灾区金融服务情况,《金融时报》连续两天以《震不断的金融服务》进行了系列报道。
二、现行金融安全应急体系的不足
总体看,昭通金融机构在应急体系建设方面积累了一些经验,但在应对自然灾害过程中仍存在应急体系建设不完善,横向联动沟通机制不建全等一系列的困难和问题。
(一)金融系统应急体系建设与地方政府应急管理不衔接,联动性不强,缺乏统一规划
现行的地方政府应急体系建设未将金融系统应急处置工作纳入统一规划,没有具体明确金融系统在自然灾害发生后如何按照统一的部署开展应急处置,造成在救灾过程中信息不对称,要求不一致,措施不统一,出现各自为阵的情况。如昭通市各类突发公共事件应急预案里,仅有《昭通市重特大自然灾害抢险救灾应急预案》和《昭通市破坏性地震应急预案》中提到“金融部门要及时做好信贷工作”,在地震应急条件保障中模糊规定了金融部门要做好救灾应急资金的筹集、储备计划等,且概念模糊,操作性不强。协调机制不健全将影响金融部门在抗灾救灾过程中职责的履行和作用的充分发挥,一定程度上制约了灾区受损金融机构的恢复,阻碍金融服务的及时跟进,如鲁甸“8.03”地震后,就曾出现政府实施灾区道路交通管制后,由于金融部门没有及时协调到特别通行证,震中地区办理金融业务的重要空白凭证不能及时运到的情况发生。
(二)基层行未结合地区实际建立有效的风险预警和处置指标体系,给应急处置工作带来被动
虽然基层金融机构均建立有突发事件应急预案,但对于突发事件的预测预警缺乏一套科学完整的预警量化指标体系,对突发事件的预测预警工作大多靠个人的主观判断,容易产生预警不力和预警过度的问题,不利于灾区金融机构对突发事件的防范和解决,也不利于上级行作出正确的判断和决策。通过近年对昭通辖区人民银行10个县支行应急体系建设情况的现场检查进行分析,普遍反映上下级单位应急预案同质化现象突出,即“上下一般粗,内容一个样”,忽视了不同层级规模、职能和地区差异,使一些应急预案制定的针对性和作用大打折扣。如辖内部分支行为了免责,在建立应急预案体系过程中,未结合地区实际,进行必要取舍和整合,而是一味照搬上级行应急预案,导致与上级行应急预案结构及内容一样,没有突出本区域应急重点,应急预案科的学性和实际操作性不强。失去了制定突发事件应急预案的意义。
(三)基层金融机构应急预案未得到充分演练和检验
当前普遍存在的一个问题是基层金融机构疏于应急培训,对应急演练重视不够、认识不高,存在为完成工作任务而演练的思想,导致应急演练的评估报告演变成记流水账,影响评估工作的客观性,没有真正起到发现问题、完善预案、科学规划、提高应对突发自然灾害处置能力的目的。同时,各类突发灾害的应急处置涉及到许多相关单位,但基层金融机构在应急演练中不同程度存在部门本位主义强、各自为战的情况。扎实的应急演练涉及到各方人力、物力和财力的高效调配,组织难度较大,因此,少数单位即便进行了演练,也只是针对操作较为简单的预案开展演练,只是本单位、本系统力量的简单摆布,未与地方有关部门联合、联动开展。如辖区部分支行开展的消防、防洪、防盗抢等应急演练,缺乏消防、公安等专业部门的指导,实战性将明显降低,达不到通过演练提高实战水平的目的。
(四)应急体系建设横向衔接不够
地震、气象等自然灾害的影响大多涉及相邻省区,而在近年对辖区县支行的检查中发现,各单位普遍反映,基层行应急预案内容的纵向一致性要好于横向的衔接性,主要原因在于纵向的要求易于理解和贯彻,而横向的应急联动却因行政区划的限制产生请示难、协调难等问题,影响应急响应的一致性。如2012年彝良“9.07”造成云南彝良、贵州威宁县等受灾,在震后救灾关键期,就曾出现两省交界区惠农支付点因跨省网络不能使用的现实情况,以及相邻两省村镇因信用村镇建设不同步,信用信息不共享,灾后民房重建信贷被毗邻省市金融机构拒绝受理的情况,金融服务的互补优势没有发挥到最大,影响整体应急处置效率。
(五)区域性金融机构大多还未建立应急备份系统
在自然灾害频发的昭通地区,部分银行业金融机构的重要业务系统数据备份未实现数据集中、异地备份,特别是区域性独立法人结构的农村信用社系统、村镇银行、邮政储蓄银行在重要业务系统数据异地备份、远程恢复方面显得尤为欠缺,加之基层行对业务系统安全稳定运行起重要支撑作用的路由器、交换机、服务器等重要网络设备缺乏备机,发电机组及预防自然灾害的其他应急物资也都较为缺乏。一旦发生重特大自然灾害,将对金融机构带来不可估量的损失。
三、对策和建议
(一)强化应急预案体系建议的相关保障
建议上级金融机构,加大与政府部门的沟通协调、把金融系统应急体系建设作为省区应急体系建设的重要组成部分,以提高预案效力和影响范围,建立或完善相关的信息共享和协调联动机制。建议上级行出台专门针对不同级次自然灾害的信贷扶持政策,对灾后重建的信贷准入标准、优惠利率、担保要求以及贷款审核程序等方面有别于普通贷款,提升灾区金融保障能力。在灾害发生后,当地金融机构能及时按不同灾害级次规定展开应急处置工作,减少向上级请示汇报的时间,提高工作效率。建议在自然灾害频发地区建立金融区域性应急防灾减灾中心,通过明确职能,建立功能各有侧重的战略性应急物资储备库,改变各分支机构目前各自为阵的应急物资储备模式。在应急专业队伍建设方面,建议上级行建立应急管理远程培训课程规划,邀请专业师资进行系统培训,建立应急管理专家库,为分支机构在应对重大突发事件方面提供必要的智力支持和指导。
(二)加强应急预案体系建设工作的纵横结合
基层行做好应急管理工作既离不开上级行的正确指导,也离不开地方政府的支持配合。建议鼓励基层行在应急预案体系建设工作中,除核心业务、内容外,应积极主动寻求纳入地方政府应急预案体系建设规划,一方面解决基层行遇到上述突发应急事件时,因势单力薄而难以应对的困局,另一方面确保地方政府对基层金融机构应急预案在协调沟通、资金支持、物资保障、培训宣传等方面予以统筹考虑,以解决基层行在处置突发自然灾害过程中信息不对称,要求不一致,措施不统一,各自为阵的情况。
(三)建立科学的应急管理考核评价和监督机制
一是将银行业金融机构的应急管理工作纳入人民银行区域金融风险防控的管理范围。从应急制度机制建设、预案建设及演练、突发事件处置等方面细化考核评价项目及标准,严格进行考核评价并通报结果;二是在人民银行内部应建立从上至下应急处理的科学评价和监督机制,对突发事件的应急反应速度、处置措施和效果进行量化评价,将应急体系建设作为单位履职能力建的重要组成部分进行考核。三是至上而下加强对重大突发事件应急处置案例的经验总结,为基层行提供经验模式借鉴。
(四)探索建立第三方建设与运营灾备中心模式
各基层金融机构应建立数据备份中心,按照上级行、社的规定做好重要数据实时备份;要做好现有条件下的灾难备份,及时将关键数据用本地磁介质备份,异地保存,要积极研究,选择符合自身业务发展需要的灾难备份系统,有条件的机构要加快建设灾难备份中心,做好事故灾难备份中心的维护与管理,确保重要数据信息安全。
篇7
改善用卡环境,确保系统安全
银行卡是奥运期间境内外个人游客最主要的非现金支付工具,保证其顺畅使用是奥运支付环境建设的重要工作。为此,人民银行营业管理部努力提高北京全市银行卡特约商户覆盖率,改善外卡受理环境,落实奥运经济战略目标。
为确保各项支付系统、业务稳定运行,人民银行营业管理部先后制定了《北京市支付系统应急处置预案》、《北京市银行卡支付系统应急处置预案》,并在北京全市范围内开展了银行卡系统和银行卡受理服务应急演练,实战检验各项机制的有效性。2007年以来,各收单机构对特约商户外卡收单业务培训近5万人次,大大提高了收银员辨别伪卡的能力。
人民银行营业管理部还出台了奥运重点区域中小银行卡特约商户资金补助政策、公务卡试点推广方案、金融税控收款机试点应用方案等政策办法,为扩大特约商户规模创造了良好政策氛围。
截至2008年3月底,北京市特约商户普及率已经超过80%。可受理银行卡特约商户超过9.6万户,POS机、ATM机累计布放分别达13.6万余台和8990台。奥运重点区域人民币卡及外卡商户普及率显著提高。
改进账户服务,夯实支付基础
为向境外机构和个人提供便利的账户服务,人民银行营业管理部开通了“奥运账户审批服务绿色通道”,为先期来华的部分国家或地区奥委会、境外媒体开立奥运人民币和外币账户提供便利,并先后推出了放宽外汇账户管理、允许境内外汇划转、允许在一定限额内提取外币现钞、简化奥组委收款账户结售汇程序和凭证、缩短审批时限等多项奥运特许政策。
同时,人民银行营业管理部选派业务骨干对中国银行总行营业部、分行会计结算管理人员、奥运新设机构的业务人员进行了多期业务培训,从制度规定、申请书填写、资料审核、账户系统操作等方面详细讲解了奥运临时存款账户的开立和使用,推动了金融服务环境建设。
做好现金服务,树立国家形象
货币是一国的名片,良好的现金服务关系到我国的对外形象,为此,2007年,人民银行营业管理部加大了各券别人民币原封新券的调入和投放力度:2007年人民币原封新券投放同比增长232.44%,2008年以来同比增长241.4%。成功举办了2007年反假货币宣传月活动,发放《第五套人民币知识宣传手册》100余万册,制作了10万张中英文对照的人民币宣传折页和6000张人民币流通管理法规挂图,为向境外人士宣传人民币知识提供了工具。
完善兑换渠道,构建货币桥梁
篇8
黄河支行应急预案
我行地处黄河市长江区红西街2号,而节假日人员较少,前临大街,交通便利,背靠印刷厂和南鸭集团家属楼,情况较为复杂,全体员工必须提高警惕,严格执行《中国建设银行安全保卫工作暂行规定》第四章的规定和《中国建设银行安全保卫工作岗位操作规程》第四章的规定,确保建设银行的资金和员工的人身安全,根据营业室和储蓄专柜所处环境以及可能发生的遭抢、盗、骗、火、挤兑、滋事、防毒、防震等八种情况,制订相应的应急预案如下:
(一)当发生歹徒持枪(械、爆炸物)实施抢劫时的预案
1、临柜人员判明情况后,一面用言语与歹徒周旋,趁机按下110报警按钮,拉响现场报警器,两部门人员相互见机行动,共同对敌。
2、现金柜员迅速收好现金入柜上锁,保险柜乱码,拿起自卫武器,准备自卫。
3、其他人员迅速躲藏到有利位置,保护自己,拿起自卫武器准备自卫,并用手机或电话向支行领导和公安部门报告情况,请派人支援。
4、若歹徒砸破防弹玻璃时,柜台内人员可用自卫武器配合行内其他人员,灵活利用各利物体掩护与歹徒搏斗,最大限度地保障资金和人身安全,并配合联防人员抓捕歹徒。
(二)当发生诈骗、冒领案件时的预案
1.发现并确认诈骗、冒领嫌疑人作案时,接柜人员应立即用暗语告诉出纳]人员:“这个客户要取钱的数额这么大,我们没有这么多的钱怎么办。”并用眼光示意出纳员,出纳员要意识到情况的发生,并说:“我和工行联系一下,让工行送款。”出纳员用电话报告支行领导说:“我们这里的钱不够,请你们赶快给我们调款来。”同时大声告诉营业室内的其他人员:“xxx,你给我们办票,我们要从工行调款。”将发生情况的信息传出去。在说话期间,当班人员坚决不能将嫌疑人的票据、证件退回去,并与之拉话,设法稳住嫌疑人,迅速确认嫌疑人的外貌特征,严密监视,等待来人援助抓获嫌疑人。
2.按响110报警按钮和现场报警器,向公安部门和其他部门报警,请求援助抓获嫌疑人。
3.其他部门人员听到报警后,立即持械堵住营业室大门,抓捕嫌疑人。
(三)防盗窃案件的预案
1.每天营业终了,钱、证、章入箱进库保管,锁好门、窗,用110报警系统进行设防监控,防止外盗和坏人破坏。
2.工作期间照章操作,严格执行会计柜台工作制度,加强复核力度,严防内盗。
3.对外付款时必须有一人看着客户数完款,问清金额后才可办理下一笔业务,防止调包、抽张等盗窃案件发生。
(四)发生火灾时的预案
1.迅速判明火情,属用电起火的,要尽快切断电源,同时启用消防设施灭火。
2.如火势太大,要立即拨打火警电话119求救;同时向其他部门求助,其他部门立即组织人员进行灭火。
3.迅速疏散人员,抢救现金、重要资料、财产。
4.协助消防队灭火。
5.保护现场,维持秩序,提高警惕,防止有坏人趁火打劫。
(五)当发生挤兑事件时的预案
当天或近两三天营业期间,有超过正常数量的客户前来提取大额现金或将大批资金转往他行的现象,则应视为发生挤兑事件。遇到这种情况时,当班人员则应按以下预案进行操作,以挫败挤兑行为,稳定金融秩序。
1、做好解释工作。当发生挤兑时,当班人员要注意款项的去向,力所能及地向客户做好解释工作,宣传我行资金雄厚,存取方便,通存通兑的优势,尽可能地滞留资金。
2、及时报告。当班人员在做好解释工作的同时,要迅速将情况向支行分管领导报告,分管领导在向主管行长汇报后,及时向当地人民银行和上级行报告,请人民银行出面采取有力措施,维持金融秩序的稳定。
(六)当发生滋寻闹事时的预案
营业期间,当发生有人在营业厅借机生事,无理取闹,损毁我行声誉,扰乱正常营业秩序的现象。遇到这种情况,当班人员应按如下预案进行,制止事态扩大。
1、冷静分析。当班人员面对客户的吵闹,切忌急躁,要冷静分析事发原因,分清是我方原因还是客户的原因。
2、解释开导。如属我方设备故障,要态度诚恳,做好解释工作,讲明原因,积极采取补救措施,尽量减少客户的等待时间;如属我方工作失误,要先做自我批评,求得客户谅解,再积极改正,弥补过错;如是客户方面的原因,则应婉转指出,讲解清楚,一般情况下客户都能理解,但不要得理不让人,使人难堪,激化矛盾。
3、劝阻警告。如在我方人员做了许多解释工作后,客户仍执迷不悟借机生事,吵闹,当班人员则应严肃指出其行为的错误性,令其立即停止错误行为。
4、报警。在采取多种有效措施后仍不能制止客户借机生事的行为,当班人员则应赶快报告给支行领导和公安部门,请求警方和支行领导的力量制止滋事行为。
(七)防毒预案
当发现有人投毒时,应立即制止,并拨打“110”报警,所有人员应用湿毛巾或布捂住口和鼻子,防止毒气进入呼吸系统,发生感染;如有人或营业场所染毒,必须请专业人员对其进行消毒处理,并安排警戒人员警戒。
(八)防震预案
篇9
一、及时更换同城票据交换系统密钥
由于该业务系统密钥涉及辖区所有参加票据交换的金融机构,而且密钥必须由人民银行基础业务股会计主管(负责管理密钥)和系统管理员在该业务系统用机上共同设定,支行还于近期利用星期六非票据交换时间,要求辖区所有参加票据交换的金融机构派专人携带票据交换主机到人行统一更换密钥,密钥更换后通过进一步验证,准确无误方可参加下一工作日的票据交换。通过及时更换系统密钥很大程度上提高了系统的安全性。
二、不断规范县辖同城票据交换系统维护程序
由于该系统分为人行版和商业银行版2个版本,商业银行版系统需要人行相关人员设定密钥和编辑管理参与票据交换行的机构代码及名称等内容,而县域大部分商业银行科技力量比较薄弱,领导又不太重视该系统,因此商业银行版票据交换系统往往处于无人管理状态,系统稳定运行缺乏保障,一有问题便向人行求助,管理既不规范,又加重了人行科技人员的负担,为改变现状,增强系统的安全性,要求维护该系统需要向人行提出维护申请,并向人行领导请示,同意后再派遣人行科技人员去维护,以提高商业银行对票据交换的重视程度;商业银行必须加强对票据交换系统的管理,科技人员负责技术服务,会计主管负责用户授权等工作。
三、认真梳理票据交换系统风险点
为提高应对能力,加强风险防范,正确对待同城票据交换业务处理中可能出现的各种问题,务必从源头抓起,端正工作态度,增强责任心,以减少风险。通过识别梳理出以下几个主要风险点:1.密钥管理不规范,未定期修改县支行和交换行同城票据交换系统密钥;2.业务操作流程不规范,出现业务代录现象;3.违规兼岗,录入、复核人员从事票据提入提出,票据交换员从事核算系统操作;4.伪造提出、提入票据或随意压票、退票;5.事后监督未能及时发现问题;6.没有按照规定与交换行有效核对相关业务数据,不能及时发现问题数据。针对这些风险点,支行制定出了相应的防控措施。
篇10
【关键词】信息安全;金融机构;突发风险;应急管理
随着金融信息化的发展,金融机构对信息系统的依赖性日益增强。而近年来,一系列信息安全事件和突发事件的发生,给我国金融业IT应急管理工作带来了严峻的挑战。新疆位于我国的最西部,经济发展相对滞后。虽然大型国有商业银行数据灾备系统比较完善,但辖区内的地方性中小金融机构由于资金投入不足、技术水平不高、安全意识薄弱等原因,对突发事件的处理能力相对薄弱,其IT应急管理工作有待重点关注。
一、IT应急管理的必要性
(一)响应国家政策,履行央行职能
随着我国央行职能的最新调整,协调和指导金融业信息安全成为人民银行的一项重要工作,而IT应急管理是信息安全的重要内容。因而,提高信息安全水平,提升风险处理能力成为我国金融业发展的重要步骤,而如何高效的进行IT应急管理是金融业亟待解决的问题。
(二)应对突发风险,加强安全管理
随着我国经济的快速发展,金融机构也加快了建设步伐。但由于经济发展存在地域差异,金融机构的分布也不均衡,在经济相对发达的城市设立有数据中心以及灾备中心等,这造成了金融机构分布的相对集中,同时给安全管理带来较大风险,一旦发生重大信息安全突发事件,将会造成重大影响,甚至是不可挽救的灾难。
(三)维护国家安全,促进经济发展
金融业是现代经济发展的重要枢纽及衡量标准,与各行各业有着千丝万缕的联系,同时金融信息化的发展也使其成为高技术集中的行业,信息安全风险较大,如果处理不当,就有可能影响经济社会发展的全局,对人民群众的财产安全造成威胁。因而,加强IT应急管理,建立健全突发事件应急机制,有效预防和处理突发事件,是社会稳定以及经济发展的必然要求。
二、IT应急管理中存在的问题
(一)IT应急管理意识淡薄,没有长效的应急管理机制
新疆地方性中小金融机构由于其规模较小而注重系统建设,以盈利的多少作为年终考核的主要指标,在信息系统建设方面,注重投入,而忽略了维护,对IT应急管理的紧迫性及重要性缺乏长远性认识,造成了信息安全管理的相对滞后,IT应急管理的意识不强,缺乏长效的IT应急管理机制等问题,忽视了对金融系统风险处理能力的提升。
(二)过于依赖外包服务,科技人员培训力度较低
新疆地方性中小金融机构的开发项目普遍采用外包的方式,核心设备也大多依赖进口。这不仅会带来对外包服务商过度依赖的风险,也会造成内部技术人员技术相对薄弱的隐患。一旦发生设备故障等安全风险,科技人员束手无措,外部人员不能及时到位,势必影响系统恢复以及业务开展。
(三)IT灾备管理能力薄弱,灾难恢复水平相对较低
灾备管理通常是指信息系统的数据备份和灾难恢复管理,在信息系统的瘫痪或者发生严重故障的时候,可以将系统切换到灾备中心进行运行。由于受地域及自身重视程度的限制,新疆地方性中小金融机构灾难恢复能力滞后,灾备建设有待进一步加强,主要表现为数据备份管理意识较低,灾难恢复建设与国有大型银行及股份制银行之间存在着较大的差距。
(四)缺乏应急管理经验,应急演练工作过于形式化
虽然地方性中小金融机构都有自己的IT应急管理预案,但是存在着过于形式化、可操作性不强、更新不及时等问题,并且由于过于依赖外包服务,技术部门人员对应急演练工作不够重视,更缺乏与业务部门共同开展应急演练工作的经验,以至于在处理信息安全事故时不能协同工作,延长了系统恢复时间,阻碍了业务的正常开展。
三、加强应急管理的对策建议
(一)提高IT应急管理意识,建立长效的IT应急管理机制
地方性中小金融机构应该树立信息安全防范意识,建立高效灵活的IT应急管理机制,做到“系统建设”与“应急管理”两手抓两手都要硬,完善系统应急管理预案,针对不同性质的信息安全突发事件,制定对应的IT应急预案。
(二)加强人才培养力度,建立高效的IT应急处理队伍
高科技人才是IT应急管理的核心要素,因此地方性中小金融机构应该加大人才培养投入力度,培养高素质的专业人才,增强自主研发、自主运维能力,加强对关键岗位技术人员的培训力度,针对不同层次,不同岗位的人员,在灾难恢复机制、系统运维、应急演练等方面进行培训,提高与外部服务商以及各业务部门协作的效率。
(三)提高IT灾备管理能力,缩短灾难恢复时间
数据备份是信息安全的最后一道防线,是灾难恢复的最基本前提,因此灾难恢复工作的灾备管理应该引起地方性中小金融机构的高度重视。由于各商业银行数据量较大,数据种类较多,对不同数据应采取不同的备份策略,并不断完善和改进。
(四)夯实IT应急管理基础,加强IT应急管理预演
