信息安全整改方案范文

时间:2023-04-01 18:29:33

导语:如何才能写好一篇信息安全整改方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全整改方案

篇1

一.一钻研违景

我国计算机网络尽管起步较晚,但经由近几年的迅猛发展,已经走进每一家每一户。截至二0一三年,我国已经有六亿多网民,成为网民至多的国家。同时,信息的载体模式也迅速发展,如微博、微信、facebook、QQ等,电子政务网络作为政府合用的主要网络,安全以及保密问题成为凸起问题之1,不经意间信息就可能被泄露、盗取。在这类情况下,电子政务的信息安全问题就燃眉之急,良多政府机关仍在使用原始的网络隔离卡、网闹等手腕避免信息的非授权获取,电子政务网络与公共信息网络没有物理隔离,给病毒入侵以及黑客袭击等非法手腕提供了便利的渠道,这类原始的手腕很容易被攻破,电子政务信息安全没法保障。1旦不适于对于外表露的政府信息、军事信息、经济信息、社会信息等分散,对于社会流动、国家不乱都会造成深挚的影响,为避免这类现象产生,电子政务系统的安全才是应当患上到注重之处。互联网安全技术广泛利用与电子政务系统,势必使电子政务信息的保密性更为深远,也保障了政府的正常秩序、社会的不乱以及国家安全。

…………

一.二国内外发展示状

美国的电子政务系统最开始是由克林顿于一九九三年提出施行的,其发展速度比较快,展开的也比较胜利,在各个领域迅速发展起来,使美国成为全球电子政务建设的模板。美国采用电子政务的阶段施行策略,在这个进程中,从简单到繁杂逐步演化:第1阶段是雏形阶段,主要是在政务系统中提供1般的服务,从事简单审批事项,不是很繁杂;第2阶段开始树立公共可阅读的网址,处理比较繁琐的事务,政府展开转型;第3阶段是组构电子政务集成系统以及技术体系,树立政府处理系统;第4个阶段有互动功能,政府间、政府以及企业,政府以及公民间互动沟通以及服务。美国电子政务的发展有下列几个特色:第1,许多网站以及政府事务;第2,政府有专门电子政务部门负责对于电子政务网络进行管理运维;第3,政府拥有便捷的服务体系,快捷响应要求;4是电子政务信息安全意识强烈,专注于信息安全管理以及维护。一九九九年加拿大政府于正式颁布政府在线,相似于现在的电子政务,并且于以后几年内实现所有政府信息以及服务的网上办公,加拿大在电子政务内网的设计上获得了显着的成效。加拿大电子政务发展的基本特征:第1,政府执行利用程序的角色,加拿大政府掌舵人亲身关注电子政务建设;第2,基础设施建设无比迅速以及完全;第3。以用户为中心,以企业以及国际客户的反馈满意度的主旨,延续改良以及发展。新加坡是进行政府信息公幵最古老的国度,也是电子政务建设过程中迅速发展的1个国家。二0年前,在一九八七年开始发展政府计算机规划,建设电子政务网络是首要的组成之1,新加坡还推出了1系列国家科技规划,科技的利用以及重构使政府机构办事高效、反应快捷,为所有类型的用户提供优质的、可反馈的综合。

………….

二.电子政务基本概念

二.一电子政务安全及抉择因素

电子政务安全触及良多领域,是国家安全的首要组成部份,电子政务安全部现在下面几个处所:①真实性,即便用者身份以及处理信息是真正的;②不可扭转性,即信息不可损坏,在传递以及存储中不会呈现未被授权的扭转;③权限性,即用户身份不同对于信息资源走访权限不同;④保密性,即信息不会被非授权走访,包含存储保密性以及传输保密性;⑤抗抵赖,即有保密责任机制,背规操作可记录并承当相应责任一。电子政务信息安全抉择因素都是应用了管理以及技术上的安全漏洞,可分为内部因素以及外部因素,内部因素是指人有目的、有计划的袭击以及损坏电子政务信息网络,这种因素主要包含歹意以及差错两种,歹意安全要挟是指出于某种目的主动对于电子政务信息网络进行损坏以及袭击,其表现情势包含网络袭击、信息盗取、病毒入侵、特务潜入等。差错安全要挟主要是因为授权用户缺少经验、培训不到位、操作失误等缘由无心操作造成为了对于电子政务系统的损坏;外部因素是指面向外部用户的电子四政务系统遭到的安全要挟,例如政府门户网站等,这些服务是对于外的、面向外部的,存在比内部网络更大的损坏以及袭击的要挟,也包含物理因素制约以及技术壁皇两方面内容,例如不可抗的天气、存在安全漏洞的技术防护手腕。

…………

二.二.电子政务中信息安全的相干理论以及技术法子

为构建电子政务信息安全部系,经常使用的信息安全相干理论以及技术法子有数据加密技术、认证技术与数字签名、等级维护法子、入侵检测安全技术、安全域划分、虚拟专网、防火墙技术等。数据加密技术是将信息经由密朗和特定函数转变成无心义的信息,即由明文转变成密文,称为加密,而将其逆向的进程称为解密。为了提高电子政务系统数据的安全,数据加密技术被引入,避免涉敏感信息泄露。数据加密技术是指1个特定的数字安全技术,信息被数据加密工具(加密密销)转换成无心义的密文,收件人收到看似无心义信息,通过解密,患上到需要的信息,在现代信息的社会,情报间谋想方设法的想获取有利的情报信息,这个进程有效避免了敏感信息的意外被获取。加密算法是通过原始信息的1系列加密法则对于明文进行加密,接受者收到后对于密文使用相同法则进行解密。解密算法以及加密算法常常是逐一对于应的瓜葛,构成1组加密密钥以及解密密销,履行逐一匹配,现有的可分对于称加密技术以及非对于称加密技术。对于称加密技术中,加密以及解密公用1个密胡,同样成保密密钥或者者单朗匙加密法子,例如数据加密算法(Data Encryption Algorithm, DEA)以及国际数据加密算法(International Data Encryption Algorithm, IDEA);非对于称加密技术即加密以及解密使用不同的密朗,不同的密钥被称为“公朗”以及“私胡”,公钥以及私钢组合使用,完成对于信息的加密以及解密。公明是可以对于外公幵的,私明是有信息结合方掌握不对于外公布的,例如RSA、违包密码、McEliece密码等。加密技术在传输进程中,只要传输加密文件,就很难把密钥传输给对于方,不管使用甚么法子均可能被盗取,1旦盗取,加密的信息就等于完整暴露在网络上,而非对于称加密技术中,由于公胡是可以公幵的,公胡就显的不那末首要,即时加密信息以及公钥被意外取得,没有私钥也1样没法对于加密信息进行解密,有效的解决了密钢在传输进程中产生的泄露隐患以及问题。

………..

三.电子政务网络信息安全.........一五 三.一电子政务网络利用安全风险......... 一五

三.一.一物理层.........一五

三.一.二链路碰层......... 一五

三.一.三网络层......... 一五

三.一.四系统层......... 一六

三.一.五利用层......... 一七

四.电子政务安全防范体系整体法子......... 一九

四.一安 全防范体系设计准则......... 一九

四.二健全信息安全规章轨制保障体系......... 二一

四.三优化管理结构......... 二三

四.四健全预警与自评估防护体系......... 二五

  四.五树立应急恢复机制......... 二六

五.钻研总结与瞻望......... 二七

四.电子政务安全防范体系整体法子

四.一安全防范体系设计准则

电子政务平台是整个电子政务网络体系的基石,以计算机网络为出发点,斟酌到整个系统,易于扩大,进级,管理以及使用。①易用性以及超前性。计划电子政务需要斟酌到全盘的发展,计划未来的网络扩充以及改造需求,首先斟酌易用性,便于的学习使用,人机交互好,操作利便,可以实时保护,其次要斟酌充沛应用现有的有信息资源以及装备,采取先进的网络通信技术以及装备,以保证原有投资的资源不挥霍以及冗余的有效性。②不乱性以及安全性。电子政务的不乱安全运行建构在整个系统的通力协作上,不乱以及安全需要信息技术工具进行保障,利便电子政务的运维,充沛斟酌症结装备的维修、售后,改换以及扩大冗余路线,采用必要的防护措施,准确传输,确保数据不会被篡改,并依据具体情况使用VPN,走访节制,网络隔离,边界防护,IP/MAC地址绑定,防火墙以及IDS等网络安全技术确保网络的不乱安全的运行。网络不乱安全运行请求电子政务系统在1段时间乃至1个阶段的使用进程中,维持正常,发现过错及时记录,呈现袭击即刻阻断,并讲演日志,在电子政务系统设计中,依托高机能的网络装备,优化设计,以保证网络的不乱性以及安全性,单1的终端或者系统呈现问题时,能够保证其他系统正常运行。固然,电子政务系统必需拥有完全的日志审计功能,将过错信息、损坏动作等实时记录,并节制整个系统的流畅运行。另外,还应设置症结装备以及利用备份,以避免受到病毒袭击网络,没法恢复以前状况,备份系统必需到达的I/O传输快、存储不乱可靠。

………….

篇2

指导思想

深入贯彻落实科学发展观,充分认识软件产业作为国家基础性、战略性产业,在促进国民经济和社会发展中的重要作用。高度重视使用正版软件对于树立政府机关良好形象、促进软件产业健康发展和维护国家信息安全的重要意义,加大知识产权保护力度,严厉打击侵权盗版行为,在全社会形成尊重知识、保护知识产权的良好氛围。

主要任务

各部门、各乡镇要对本单位使用正版软件情况进行一次专项检查,重点检查办公软件(WPSOffice、MicrosoftOffice等)、杀毒软件使用情况。凡是使用未经授权的非正版软件的要及时进行整改。对需要的正版办公软件、杀毒软件,要安排必要的资金并按政府采购相关规定购买,切实加强对软件的资产管理。购置、更换的计算机办公设备必须符合预装正版操作系统软件的要求。

时间安排

(一)自查自纠(2011年3月)。各部门、各乡镇要精心组织,将软件正版化工作责任分解到具体部门和人员,认真梳理使用正版软件工作中存在的问题,查找薄弱环节,提出改进措施,制定整改方案,进行自查自纠。2011年4月10日前,将自查情况和整改方案(见附件)报县使用正版软件工作领导小组办公室(县文广新局)。

(二)督促整改(2011年4月底前)。各部门、各乡镇要切实推进整改工作,及时汇总正版软件需求情况,落实采购经费,并按政府采购有关规定实行集中采购。县使用正版软件工作领导小组将对问题突出的单位开展督促整改,并对政府机关使用正版软件情况进行总结,上报市使用正版软件工作领导小组办公室。

(三)抽查迎检(2011年5月至9月)。5月至6月底,县使用正版软件工作领导小组将对各单位使用正版软件工作整改情况进行专项检查。自7月开始,各部门、各乡镇要积极做好国家督导组及省、市使用正版软件工作领导小组的抽查迎检工作。

工作要求

(一)统一思想,加强领导。为加强对做好使用正版软件工作的组织领导,保证各项任务落到实处,成立望江县使用正版软件工作领导小组(名单附后)。各部门、各乡镇要在县使用正版软件工作领导小组的统一领导下,明确分管领导和联络员,周密部署,落实责任,精心组织,全力推进,切实保障软件正版化工作的顺利推进。

篇3

一、大型医院网络安全管理工作要点

(一)安全规划为了能够使信息化建设顺利开展,医院必须要制定好全年的安全管理规划。在制定计划之前应该对国家刚刚出台的法律法规进行充分了解,例如十三五规划以及网络安全法中所提出来的信息安全要求以及战略,进一步制定有利于区域医联体,互联网医疗,互联网互通信共享平台医等网络安全互联策略,将相关的安全区域以及规则进行合理划分。另外医院还要对过去一年有关安全保护的措施进行整理,同时要对上级部门的检查结果进行适当的经验总结,根据已经发生的问题制定整改计划,其中主要包括本年度应该实行的长期整改方案以及完成工作的时间节点,有利于保证医院的安全建设计划更加清晰有效。

(二)制度修订与落实根据具体的整改和安全计划制定医院的安全管理制度,还要对当前已经实行的制度进行不定期的调整和审察。根据医院对实际发展情况的需求对其进行改善,最终由安全管理委员会对相关制度进行进一步的修订评审,完成之后需要通过信息中心进行信息的传递和,让在医院工作的所有人员都能够深刻了解具体安全管理的内容以及审批流程,这样可以有效地提高医院信息中心技术工作人员对操作的深刻了解。另外还可以对制度配套的记录单据以及审批过程进行进一步优化,保障网络准入、物理变更、人员管理、权限分配、数据统计等信息安全保护要求。

(三)安全培训要想进一步保证医院网络安全管理工作的落实,必须要对相关的工作人员进行安全意识的培训,在医院信息安全培训制度的引导下制定适合工作人员的培训计划,针对进修医师临床管理人员和新入职的员工要每年培训一次,同时在培训过程当中还要进一步强调密码安全、防病毒知识、风险上报等意识。对于信息技术人员来说,必须要要进行每年2~4次的技术以及安全意识培训。其中网络或者机房软硬件变更后,所掌握的故障以及问题处理和排查方式需要由培训中心提出,在进行安全意识培养的过程当中,主要内容是强化信息技术人员的职业道德意识。所有的安全培训过程都必须要实时准确的记录下来。

二、大型医院网络安全运维工作要点

大型医院的网络安全区域不可以只依靠一种防护措施,必须要进行差异性的防护,在内外网布置多台的安全设备,同时也要做好安全防护政策,在进行安全防护的时候,大型医院的网络安全设备比较多,安全策略需要及时调整,而且信息系统业务也比较复杂,所以必须要对相关环节进行实时监控,定期优化和巡检,保证医院网络安全防护手段能够始终发挥作用,从而有效的防控风险。

(一)安全巡检信息网络中心工作中,必须要做好巡检规范的书面文字记录,可以根据医院的安全管理制度做好记录,同时安排好工作人员的排班情况,每日都要对机房内设备环境数据库状态以及备份情况进行检查,同时还要将检查的结果记录下来,如果出现潜在风险,必须要及时反馈给管理人员进行解决。网络管理员还要通过现场巡视以及监控平台的方法对网络设备进行巡检,主要是对本地和异地所涉及到的备份内容进行验证和检查,特别是在非工作日以及节假日期间对重点设备进行备份,保证医院在全年任何时间段都可以正常运转。

(二)设备优化保证安全规划管理正常运行的基础上,要对网络安全设备以及储存设备进行优化,而且还要对磁盘阵列的CPU服务器以及内存存储空间进行适当地扩充,对于一些老化的线路和老旧的网络设备要及时更换,尽量延长网络设备的寿命,保证医院网络能够稳定应用。针对医院内网中的安全区间以及防火墙的策略以及性能要进行及时检查,以免影响工作,及时管理好网串联链路上的单点设备,保证互联网业务内外网之间的联系通畅。

(三)安全监控与加固安全设备部署以及网络安全防护工作需要对各类安全风险监控进行加强和管理,可以通过恶意代码防护系统以及防毒墙来控制网络病毒风险,出现了新型病毒需要及时关闭终端高危端口,并对服务器的防病毒系统进一步升级,保证在发现病毒之后能够及时的查杀。最后还要对出现的高危风险以及漏洞进行总结,制定相应的修复方案以及安全策略,保证在不影响医院业务运行的同时增强对防护系统的管理。

篇4

一、建立标准规范的运维机制

一是制定、完善营销业务运维、厂商管理、运维评价等相关办法,明确岗位职责,规范运维管理内容,使运维工作有章可循、有据可依,使营销运维管理更加规范化、标准化;二是建立、完善运维客服机制,设立统一营销系统运维客服电话,统一问题入口,严把入口关,采取“堵疏相结合”方法做好各基层单位、省公司服务支撑;三是规范问题、需求、测试、操作流程,加强问题合规性把关、需求合理性审核、测试通过性验证、安全性审查,同时做好各环节记录存档,真正实现运维全过程闭环管理、有迹可循;四是采取省市两级审批,针对重复类问题开展专项整改,不断提高问题质量;五是建立运维建议及投诉流程,及时受理市县公司反映的建议及意见,不断进行改进,使运维服务更加优质、顺畅。

二、实行三线客服模式

建立三线客服模式,一线客服负责受理用户电话或RTX咨询类问题,指导用户操作;二线客服负责处理常规问题或功能需求类问题;三线客服负责处理系统缺陷、功能需求类问题。同时开展营销业务运维7×24小时无缝隙电话受理服务,全天候受理各单位反馈的问题,有效避免用户因购电、业务办理等紧急问题引发的社会投诉事件。

三、搭建运维支撑平台

营销系统运维支撑平台作为营销系统统一运维体系中重要的支撑工具,从技术方面减轻了维护人员和管理人员的压力,有力地支撑了营销工作的顺利开展。通过建立起全省统一的运维支撑平台,以数字化的手段实现全省营销自动化的统一咨询、统一维护、统一升级,从而实现横纵一体化的运维支撑体系。

四、建立营销运维知识库

建立营销运维知识库,梳理运维常见问题,整理典型案例,总结、提炼全方位运维知识点,整理成标准式答复,不断充实、完善运维知识库,供一线人员学习;对运维知识库中点击量较多的问题,定期开展系统操作或业务培训,提升运维技能。

五、建立运维问题常态分析与专题分析机制

定期开展常态分析,找准实际工作中影响指标问题点、风险点,制定可行性措施及时进行纠正。多维度开展运维事件专题分析,及时发现市县公司专业薄弱环节并进行专业指导,支撑营销专业管理;加强后台操作管控,每月开展专业后台操作需求综合分析,固化共性操作为前台功能,实行多部门协作、全过程记录的管理模式,彻底杜绝后台对重要信息的直接操作,提高系统安全性和业务执行效率;针对重复类问题开展专项整改,进行系统优化或数据整改,不断提高服务效率及数据准确性。

六、建立运维监控质检机制

为做好工单处理时限监督,提高营销运维效率、质量及满意度,在运维平台现有基础上增加运维问题超期预警及质检功能,同时建立营销运维监控质检机制。每天对工单处理时限超期情况进行监控,督促即将超期工单及时处理;以月为单位对超期、满意度低、重复回退等问题进行质检、分析,挖掘潜在问题原因,制定相应处理措施。

七、建立运维评价体系

营销系统运维是一个完整全面的、不断提升的过程,建立完善的评价体系,可以提高运维工作的水平,体现运维工作的价值,实现运维工作的动态与闭环管理。健全基层单位、运维厂商、系统全过程评价体系,深入开展营销系统运维全流程评价,加强问题处理质量管理。及时跟踪问题各环节处理及时性,加大问题处理质量及超期工单考核力度,定期对运维问题进行归类、统计、分析,形成运维评价报告,作为评价运维工作质量的依据,推动营销业务整体水平提升。同时,深入挖掘系统、管理、操作等方面存在的问题,提出指导性改进及培训建议,为营销业务的顺利开展提供有效支撑。

八、加强数据质量及安全管理

加强营销数据质量管理。对运维过程中问题较多业务数据异常类问题进行分析,制定详细整改方案,并开展专项数据整改;同时增加校验规则,从源头上彻底进行解决。加强营销数据安全管理。数据安全主要是对电力营销过程中具有的行业特点、营销数据的信息安全、电力营销管理权限的保密信息等进行安全运维管理[2]。加强后台数据操作审批,建立数据导出及修改分级审核标准,有效杜绝违规操作和用户敏感信息外泄;加强营销数据库后台操作合规性监管,搭建营销数据库审计系统,借助有效的数据库审计技术,及时发现、制止违规操作,整体实现事前审核、事中预警、事后审计;定期开展系统账号专项治理,对废旧账号、大权限账号及人员变动账号进行梳理,并及时组织相关单位完成整改,最大程度保证数据的完整性、准确性。

九、加强系统安全管理

加强系统管理,对于因系统缺陷或需求进行的程序调整、补丁等操作严格程执行报批制度,按照所涉及部门进行分级审批,同时严把测试关,确保系统安全性;建立营销业务系统服务监控功能,实现服务器和网络状况在线监控和短信自动预警;定期开展系统运行状况评估,有效避免各类事故发生;远程在线监控自助、POS终端等相关外联设备,发现问题第一时间联系市县公司进行抢修,切实保障营销系统设备安全。

十、应用成效

篇5

关键词:质量管理;规范运维;企业

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)09-2028-03

大多企业经过十余年的信息化发展,大规模的信息化建设基本完成,即将面临着长期的系统运行维护的问题。但与信息系统建设的较高水平相比,还普遍存在IT服务管理较弱的问题,缺乏有效的管理手段与方法,这就使信息化的投入充满了很大的不确定性,也使信息化效果很难控制。因此,如何对企业庞大的技术系统进行科学、高效的管理,从而发挥它的最大效能,降低运营成本,是当前企业信息化过程中必须面对的挑战。

1 三套标准在运维体系中的适用性分析

ISO9000质量管理体系标准在各企业和单位中的运用非常广泛,是对整个单位运作、服务过程进行质量控制管理的体系,通过质量手册、文件控制、记录控制等方面为管理对象的实施提供指导,侧重于对宏观运作流程的控制,但不包括各专业业务层面的特定要求。

ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化,适用于IT服务管理和服务流程的控制。

等级保护管理体系是对信息系统的科学、安全运行进行监督和控制的体系,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面为信息安全专业层面提供指导,适用于运作流程中各节点的安全控制。其中的保护等级划分,也为信息安全投入和安全保障水平提供了平衡点。

对于已经实施ISO9000的单位,信息化职能部门在ISO9000贯彻实施时往往与自身信息化业务无法融合,即便进行了融合也常以信息化的一般性运维工作为主,没有考虑规范化安全运维工作在整个单位和组织质量控制体系中的重要性。因此将ITIL、等级保护思路与ISO9000融合,即可具体落实ISO9000体系中的流程控制,也可以弥补等级保护在体系要求、文件控制和记录控制等方面的薄弱环节,同时完善ISO9000体系中对信息安全领域的专业性,最终形成以质量管理体系为框架,ITIL流程控制为主线,等级保护管理标准为保障的综合运维保障体系。

2 规范运维保障体系架构设计与文件体系建设

结合三套标准的特点进行运维管理架构设计时,在体系结构层面要考虑运维体系的建设周期、各标准在运维体系中所处的层次、每个层次要达到的要求及PDCA方法论等。在服务流程层面要考虑结合企业的现状,IT服务支持模式和管理流程及最佳实践等。在具体操作层面要考虑响应方式、实现工具、安全要求、监控方法等。将三大标准体系体系结构层面设计:在整个运维生命周期中,包括运维体系建设、运维支持管理、运维成效管理及运维持续改进四个阶段。这四个阶段形成一个PDCA持续改进的管理循环。通过建立检查、反馈机制,对信息安全管理体系运行情况进行监督和控制,建立动态调整机制,确保信息安全管理体系符合新形势、新技术发展要求。

服务流程层面设计:系统运维的服务流程是信息化工作部门和服务供应商向业务部门的服务交付和支持过程,通过建立“一站式”的服务台和规范的流程程序,提高IT部门对事件的响应能力和IT运维工作的规范性,防范手工方式出现对用户请求的遗忘,以及非规范的操作引起的系统风险,同时要帮助信息化工作部门实现运维知识的积累和共享,提升运维和管理的整体水平。

具体操作层面设计:在系统运行维护中,各项工作(事件、变更等)的处理程序、操作步骤、完成时限及服务要求等,均要制订相应的标准和规范,在涉及安全管控点时,可通过建立符合信息系统等级保护要求的安全配置基线,统一信息系统建设和运行技术配置标准。

按照上述三个层面之间的关系,落实到文件体系中时,可以质量管理体系为总体框架,将体系文件分为三个级别:一级程序文件为纲领性文件,用于描述整个体系架构运作流程和运维方针策略。主要包括信息化建设与管理程序,信息系统运维管理程序,涵盖信息化建设与运维全过程。二级程序文件按ITIL流程管理为主线,为一级程序提供可操作的流程化文件。主要包括:项目管理、事件管理、问题管理、配置管理、管理、变更管理、应急管理等流程。三级流程涉及具体操作规范,落实二级流程文件中涉及的各方面运维和安全管理内容。主要包括:沟通管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面。记录表单为实际运维过程的记录。各级文件组成结构如图2所示。

文件体系是运维体系架构的管理体现,是管理落地的基础,也要运用PDCA管理。

3 规范运维保障体系ITIL流程设计

要想管理体系得到贯彻执行,就要对规范化运维流程进行科学有效的设计。因为流程是管理的终端,主要解决的是管理固化问题。而ITIL作为事实上的国际标准,基本与组织性质和业务性质无关,仅明确指出应该“做什么”,但不讲“如何做”。因此流程设计时还要结合企业的现状,本着一切从实际出发的原则,考虑企业对IT服务管理的切身需求,按照最佳实践和企业的实际设计出的合理的IT服务支持模式和管理流程,建立自己的方法论。

在具体的规范流程设计过程中,首先要考虑的是人员岗位职责。应用服务管理之后,IT部门的组织架构、职能、工作方式都会随之发生一定变化。建立规范的流程,需要确定IT支持人员和管理人员的职责,通过流程角色的设置,而不是单纯依靠组织结构的设置来把角色和职务分开。同时制定配套的人员角色和职责及考核机制,以实现对人员的量化管理和资源的有效利用。

其次是确定提供服务的管理流程。在ITIL中已归纳为服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。这些管理流程用于解决“客户需要什么”、“为满足客户需求需要哪些资源”、“这些资源的成本是多少”、“如何在服务成本和服务效益(达到的服务级别)之间选择恰当的平衡点”等问题,服务提供所包括的这5个核心流程均属于战术层次的服务管理流程,用以确定服务级别协议及满足服务要求所需要的最优资源,也就是说如何做正确的事。

再次是确保用户得到适当的服务支持以保障组织业务功能。服务支持流程体现服务接触和沟通的5个运作层次的流程,即事件管理、问题管理、配置管理、变更管理和管理。这5个服务管理流程的主要职能是,确保IT服务提供方所提供的服务质量,符合服务级别协议(SLA)的要求,即如何正确的做事。ITIL核心流程之间的层次关系如图3所示。

最后是引入服务台、服务连续性管理等流程自动化工具,以系统工具来固化流程,再不断完善流程。同时要关注工具之间的联动和信息整合,如果可能,尽早的进行统一的规划,建立集成规范要求,以保证投资在未来得到充分保护,不被浪费。

所以,ITIL的应用过程和效果的获得,不是简单的单纯通过项目建设能够达到的,是企业信息中心部门、咨询服务提供商、产品提供商等多方共同努力的结果,也是一个持续改进、不断优化的长期过程。

4 构建信息系统等级保护为基础的防护体系

保障体系要结合管理体系和ITIL流程,落实安全技术及管理要求。可依据分级、分域、分区、分层的防护原则,对运维的信息系统按级别划分安全区域进行管理,各安全域划分为网络边界、网络环境、主机系统及应用环境四个安全层次,最后形成纵深防御体系。

在技术上可通过强化边界访问控制、规范网络访问行为、强制主机管理、构建应用授权和身份认证平台、加强审计监控等措施构建协同防御。每个安全保护部件或设备应具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征,在后期综合运维服务与监控平台集成建设中能够保障数据的共享和协同防御。在管理上通过建立综合运维服务与监控平台。将机房环境监控系统、网络管理系统、性能监测与管理系统、入侵防御系统等监控与管理的系统告警和性能监测数据进行整合,梳理各个资源之间的告警关系,进行集中监控告警模型设计,并可进行工具产品的客户化定制,实现集中监控管理和指挥控制,为运维体系安全运行提供全面的管理保障。

5 规范运维保障体系实施路线

在实施阶段,要考虑若一次性全部实施所有流程带来的风险,可采用分阶段实施的方法,做到稳步推进,以便取得良好效果。大致可分为前期准备阶段,全面试运行阶段,正式运行及扩展阶段,综合优化调整阶段。

1)前期准备阶段

明确参与运维工作人员的岗位职责,做到权限分离。开展等级保护测评并根据等级保护要求制定安全配置基线及相关操作规范。根据等级保护测评结果,按照分级、分域、分区、分层原则制定安全技术基础平台整体解决方案,在管理与技术上提供安全依据。试运行ITIL运维管理五大流程,检验工作流程的可操作性。梳理清楚管理对象,完善资产配置管理,确定运维管理的范围。

2)全面试运行阶段

全面开展规范化运维工作,在运维平台中体现所有运维工作并力争全员参与,做到运维职责明确,流程处理程序规范,操作标准,过程有痕迹并制定合理的绩效考核方案。在日常运维工作中查找不足,提供改进意见,不断完善质量目标文件、流程体系文件和操作手册。充分发挥知识库作用,将常见问题解决方法进行归纳总结并上传至知识库,做到知识共享。同时实施完成安全技术基础平台,实现安全管理中心与运维平台互联互通问题,保证安全要求融入运维流程中。

3)正式运行及扩展阶段

全面运行完善后的ITIL运维管理五大流程,结合ISO20000相关运维标准,构建信息化运维服务运维服务体系,规范化、标准化、痕迹化运维管理工作。运用PDCA过程,进一步细化调整管理体系,总结体系运行情况,调整不适用和无法落实的部分,使之能高效、有序的运作。同时定期通过第三方机构对已测评的信息系统开展等级保护复评,找出所有系统的安全隐患,并提出整改方案和实施计划,督促信息安全措施的落实。

4)综合优化调整阶段

总结前期的规范化运维工作,调整不适用的部分,常态化的管理体系运作。定期进行内部评审,找出与当前工作的不适用部分进行优化调整;同时在工作中,结合工作实际,寻求更高效安全的方法优化体系,提高体系的效能。

综合上述实施阶段,确定实施路线图如图4所示。

参考文献:

篇6

 

关键词:证券行业 信息安全 网络安全体系

近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。

目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。

1 证券行业倍息安全现状和存在的问题

1.1行业信息安全法规和标准体系方面

健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。

虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。

1.2组织体系与信息安全保障管理模型方面

任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。

为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照iso/iec27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。

1.3 it治理方面

整个证券业处于高度信息化的背景下,it治理已直接影响到行业各公司实现战略目标的可能性,良好的it治理有助于增强公司灵活性和创新能力,规避it风险。通过建立it治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理it问题,自我评估it管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。

2003年lt治理理念引入到我国证券行业,当前我国证券业企业的it治理存在的问题:一是it资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是it治理缺乏明确的概念描述和参数指标;是lt治理的责任与职能不清晰。

1.4网络安全和数据安全方面

随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细

追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。

1.5 it人才资源建设方面

近20年的发展历程巾,证券行业对信息系统日益依赖,行业it队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有it人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的it治理工作指引中“it工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的it队伍肩负着信息系统安全、平稳、高效运行的重任,it队伍建设是行业信息安全it作的根本保障。但是,it人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。

2 采取的对策和措施

2.1进一步完善法规和标准体系

首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。

2.2深入开展证券行业it治理工作

2.2.1提高it治理意识

中国证券业协会要进一步加强it治理理念的教育宣传工作,特别是对会员单位高层领导的it治理培训,将it治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的it治理意识,提高他们it治理的积极性。

2.2.2通过设立it治理试点形成以点带面的示范效应

根据it治理模型的不同特点,建议证券公司在决策层使用cisr模型,通过成立lt治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以cobit模型、itfl模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lt试点单位,进行it治理模型选择、剪裁以及组合的实践探索,形成一批成功实施it治理的优秀范例,以点带面地提升全行业的治理水平。

2.3通过制定行业标准积极落实信息安全等级保护

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。

2.4加强网络安全体系规划以提升网络安全防护水平

2.4.1以等级保护为依据进行统筹规划

等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。

2.4.2通过加强网络访问控制提高网络防护能力

对向证券行业提供设备、技术和服务的it公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。

2.4.3提高从业人员安全意识和专业水平

目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。

2.5扎实推进行业灾难备份建设

数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。

2.6抓好人才队伍建设

证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lt人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。

篇7

关键词 商业银行 信息服务体系 信息科技

中图分类号:F832.2

文献标识码:A

以会计电算化为基础的信息化水平随着信息化技术的不断发展而日益提高,从而改变了商业银行会计核算的服务方式和服务质量。这种改变创造了良好的社会效益和经济效益,包括信息化对于商业银行金融创新、经营模式、交易方式、经营形式和管理体制等带来的巨大的改变。在使用会计电算化后,信息科技系统替代了银行会计业务的运转,人工操作变成了信息处理的上机操作,与此同时信息科技系统对于商业银行的经营管理和决策产生了非常重大的作用。这时银行的操作风险、法律风险、战略风险和声誉等新的风险形态尤其要注意。

一、商业银行信息服务体系的现状和趋势

正逐步向集约化管理和决策支持的高级阶段发展的商业银行从建立模仿手工作业的单项会计业务应用系统开始经历了多项业务应用集成处理阶段。会计电算化可以分为三个发展阶段。初级阶段是计算机处理开始代替手工操作生成电子数据的从20世纪80年代到90年代初;第二阶段是全国范围内计算机联网、业务管理、互联互通、大小额实现计算机处理的90年代中后期到现在的数据集中阶段;第三阶段是从现在开始的数据应用阶段。这个阶段是银行运用互联网的技术与环境进行金融创新,完成业务的集中处理,开拓网络金融服务的时代。目前正处于数据集中部分完成、数据应用刚刚开始的阶段的商业银行正处于关键的时刻,对于未来的竞争起着重大的作用。

目前商业银行的信息服务的趋势是实现金融的信息服务化。通过完备的信息系统,给银行的业务重组、金融产品创新和金融管理模式的变革带来深层次的变革个才是真正金融信息服务化。要实现银行从提供单一业务转变为面向客户综合服务以及银行业形成产品化和服务化,商业银行需要具备既精通银行业务又精通信息技术的专家统筹信息化建设。

二、商业银行在信息服务体系建设中存在的风险及问题

(一)信息科技治理方面。

确保信息科技战略和目标与业务的策略一致是信息科技的目标。只有实现了这个目标才能够使得信息科技更好地为商业银行提供服务和支持,使得信息科技资源得到最恰当的应用。其中的风险以及问题如下:

第一,可能导致的法律风险、战略风险以及信誉风险:错误的信息资源的分配以及对法律法规的违背;信息系统无法满足业务的需求;信息科技战略无法与业务的发展需求相一致;缺乏完善的管理信息系统导致的低效率管理决策;较差的信息系统支持导致的市场竞争力低下。

第二,可能导致的问题:由低效率的信息科技资源配置所导致的项目延误;员工素质和技能达不到信息科技专业要求的水平;独立的科技风险管理部门的缺乏;企业内部“风险文化”认知的缺乏;会计专业和信息科技人员等对技术风险存在很差的意识;信息科技人员存在着职责的冲突;高级管理层未参加到信息科技督导委员会;信息科技项目发展与业务战略不一致;信息科技内控制度和措施缺乏定期检查和更新。

(二)安全管理方面。

确保关键信息系统和数据得到充分保护,使得非授权的进入和意外的中断能够得到避免是安全管理的目标。其中的风险和问题如下:

第一,可能导致的法律、操作和信誉风险:保密信息泄露;损失金融机构的重要资料;电脑病毒,蠕虫程序的爆发;不遵守监管规定;工作时间业务停运和数据损失;未经授权的金融交易。

第二,可能存在的问题:不恰当的个人存取权限设置;特权用户和紧急用户代码的使用;敏感信息存储未加密;客户敏感性信息由于较差的移动设备管理而泄露;定期安全监测的缺乏;末及时进行补丁升级导致电脑病毒感染爆发。

(三)系统开发和变更管理方面。

确保开发及维持高质量的信息科技系统.并充分配合及满足业务需求是系统开发和变更管理的目标。其中存在的风险和问题如下:

第一,可能导致的操作风险、战略风险、信誉和法律风险:长时问的系统停运;泄露了保密信息;达不到银监会的管理要求;数据不完整;推出科技信息系统的时间受到延误;低质量的信息系统不能实现业务发展要求;系统未经授权而导致风险增加。

第二,可能存在的问题:测试环节直接使用业务数据;对系统变更和相关批准程序没有审计跟踪和记录;正式项目质量确认和生命周期规程评估程序的缺乏所导致的项目延误;缺乏全面测试和不协调的系统变更所导致的会计电算化综合业务系统停运。

(四)信息处理方面。

确保信息科技服务和信息处理的连续性是信息处理方面的目标。只有实现了这个目标,才能更好地保证会计电算化综合业务系统主要业务服务不发生中断。其中存在的风险和问题如下:

第一,可能导致的法律、操作风险和信誉风险:系统无法满足业务增长的需要;关键设备以及信息因非授权收取而影响;保密信息被泄露;系统长时闻停运。

第二,可能存在的问题:缺乏对重要的环境控制的定期维护;缺乏对敏感的操作环节进行控制;系统中心机的物理安全和环境控制措施不足;容量无法达到业务增长的要求。

(五)通讯网络管理方面。

确保网络连接和服务的连续性是通讯网络管理的目标。其中存在的风险和问题如下:

第一,可能导致的法律、操作风险和信誉风险:如“阻绝服务攻击”等的网络停运;保密信息因外部网络而泄露;网络连接未经过授权;网络瘫痪导致长时间业务停运;未遵守银监会的监管要求。

第二,可能存在的问题:网络抗冲击性脆弱;缺乏对关键的组件的监测;缺乏对内部网络的远程的安全控制措施;对需要在外部通讯网络上传输的数据未进行加密。

(六)技术服务提供商管理方面。

确保外包的信息科技服务能够获得有效和持续的管理是技术服务提供商管理的目标。其中存在的风险和问题如下:

第一,可能导致的法律、操作风险和信誉风险:将核心程序设计外包或者直接采用专业公司套装软件,过度依赖外部服务供应商;缺乏对需求要求改变时的修改和维护能力;外包设计人员管理留下风险隐患和外包软件本身设计缺陷;系统因低质量的服务而中断。

第二,可能存在的问题:外包管理不充分;数据隔离和区别不充分;服务水平协议不充分;缺乏对服务供应商经常性的服务状态评估;对外包的营运职能缺乏有效的应急方案和解除服务方案。

三、完善商业银行信息服务体系建设的措施

(一)抓好信息服务体系建设的风险管理工作。

首先,要明确责任。科技安全第一责任人的风险意识要加强,董事和监事会以及高级管理层都必须要对信息科技的风险负责,全系统由上到下的信息科技风险体系都应该是他们的责任。董事必须对于信息科技风险的战略规划、工作任务以及工作目标进行层层负责,评价分析审计结果,督促和落实整改方案。监事会必须对全过程的合理性、科学性以及充分有消息进行审计和评价,并调查董事会以及专职委员会以及高管人员的履职情况,以此同时质疑内部审计和外部审计工作。高层管理人员必须认真听取内部审计和外部审计的工作汇报,亲自抓好具体的组织实施工作,并且对于工作进行差距分析和敏感性分析,然后将工作方案进行及时调整,充分向董事会和监事会反馈和沟通对工作计划和工作任务的建议和意见。

(二)设立信息科技督导委员会。

信息科技督导委员会的任务是:对长期和短期信息科技战略规划进行制定和不断更新;提供日常的运行技术和科技服务支持,这个由信息科技督导委员会统一负责银行信息系统规划、研发、建设、运行、维护和监控来实现;建立实施恰当职责分离的信息科技组架构,制定清晰的岗位职责;提供充分的培训给信息科技从业人员;协助会计业务部门以及信息科技部门严格执行建立的有效的会计信息安全保障体系和内部控制规程;明确专门和独立的科技风险管理部门的岗位责任制度,并进行监督落实;对信息科技稽核审计部门配备适量地合格人员以及建立健全的会计信息系统风险审核制度方便风险审核。

(三)制定系统开发和变更项目管理体系和规则。

对开发项目生命周期的管理规则进行制定以及独立确认评价其中的主要技术相关项目。同时,隔离开发测试环境和实际使用环境,将用于测试的业务敏感数据进行删除,有充分的风险控制措施应对紧急变更,变更管理规程要有适当的措施。

(四)与客户资金、会计等业务部门签订服务水平协议。

制定正式的信息科技操作规程。制定充分地容量规划以适应本行的业务发展需要;持续性预防和矫正信息科技设施和装备;建立充分地咨询服务台和操作支持,及时检测和报告异常操作和事件。

(五)加强网络系统安全管理,强化网络性能监测。

隔离会计电算化综合业务信息系统与外部网络和办公管理网络;对控制互联网以及无线网的接入边界;有效降低信息泄露以及外部攻击,这可以通过进行身份认证、内容过滤、防火墙、病毒防范、数据加密等技术手段实现;网络分析工具的使用要进行严格控制;对无线内部网络制定安全控制措施;网络设施有充分地抗冲击性;定期评估网络设施的安全设置;审计跟踪以及记录监察关键网络设施中的日常活动;

(六)有效管理信息的采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节。

严格按照授权优化系统和数据库的安全设置和使用;对于信息的采集加工、传输以及存取不脱离会计综合业务。

(七)该消除“信息资源孤岛”,实现应用层面的互联互通。

要打破林立和由于数据内容缺乏应用形成的数据和资源的单独应用的情形。通过应用智能搜索引擎、建立目录索引指南、逐步搭建利用网格平台等多种方式收集信息,开发网络资源,共享数据资源。

(八)改进信息流管理方式,主动适应经营模式的变化。

为了使管理会计以及账务核算的信息采集和系统设计内核全面转向以用户、客户为中心,必须要适应矩阵式管理架构和组织扁平化的发展。根据中后台集约以及前后台分离的新

运营模式,管控数据,非线性的信息流转得以实现,加速信息的共享和兼容。

(九)加强信息服务创新,统筹把握信息价值。

信息服务必须坚持用创新来从容应变。要注重积累、提炼和运用文本信息中的关键要素,懂得借鉴国内外的先进经验,量化分析预测分类分层业务,重点支持差别化的挖掘服务,真正结合电脑和人脑,真正做到满足用户的需求,努力使数据、信息、知识和实践融为一体。

(十)加大信息科技资金投入。

加大对信息科技的资金投入是银行信息化系统服务建设的物质基础和基本条件。只有投入了充足的资金,才能够更好地建立起手段过硬、技术先进、保障有力的信息科技风险防范体系。银行需要结合银行存在的声誉、法律以及操作、战略风险,以实现前瞻性防范为目标,通过关注信息服务体系风险的新动向,加强技术风险的防范工作。

(十一)加强对资源系统研发、运行、维护过程中形成的各类技术文档资料和系统环境说明文件、以及重要数据的备份管理。

加强对应急处理机制以及信息通报机制的完善和安全监控的实行,演练、评审和修订应急预案;保留并异地存放副本,按照规定的年限保存,经过严格授权再调用;异地保存省域以下的数据,异地备份全国性的数据;通过提升信息服务系统的预警、应急处置和恢复能力,保证信息服务系统的稳定运行;通过对信息安全应急恢复系统的完善,保证系统的安全稳定运行。

(作者单位:中国社科院金融所,兴业银行信息中心)

参考文献:

[1]王小燕,田小丹,周建民.构建流程银行加速我国商业银行管理信息化建设.江苏商论,2008.2.

[2]张戚虎等.金融信息化建设与金融信息化教育.中国金融.2006.

[3] 尤川川.我国商业银行金融信息化脱状与展望.统计与决策.2006(17).

[4]郝向荣,李爱军.中国银行业金融信息化过程中的风险及其防范.价值工程2007年第10期.

篇8

认真贯彻落实县联社工作会议精神,以完善制约和不断普及科技应用水平,实现全辖业务电子信息化、办公自动化、操作规范化;整合信息资源,在金融服务创新方面求突破,不断拓展业务品种,以优异的科技手段有力支撑我县联社持续的科学发展。

二、工作目标

1、严格内部管理,确保计算机全年安全运行无事故。

2、加大系统运行维护力度,确保系统平衡高效运行。

3、优化用卡环境,做活中间业务,提高业务竞争力。

4、增强科技人员技术本领,有效提升部门形象。

5、强化业务技能培训,提高一线人员操作水平。

6、强化网站更新,施行oa系统,提升联社形象。

7、加大设备保障力度,确保基层正常营业。

8、补充管理制度,加强检查辅导,提高科技管理水平。

9、采取有力措施,切实防范计算机突发风险。

10、积极探索新业务,努力拓展业务品种。

三、主要工作措施

为实现以上目标,我部将采取以下措施,精心组织、逐步开展。

1、完善制度,规范联社科技管理流程。

为确保联社科技信息安全稳定运行,我部将继续完善和补充联社的科技管理制度,对联社金融科技的发展、建设、服务、管理等工作进行全面细化、规范。准备建立《电子设设管理办法》、《科技档案管理办法》、《计算机系统故障处理办法》、《局域网管理办法》、《联社中心机房管理办法》、《科技机构及岗位设置办法》等制度。进一步完善联社内控管理,建立有效的督促约束机制,规范电子设备、科技档案、局域网、中心机房的管理,进一步明确科技人员的岗位职责,有效防范制度管理风险。

2、注重实效,推动各项制度落实到位。

在制度建设时注重做好以下三个方面的工作,首先要仔细研究,字斟句酌,确保有法可依、有章可循。其次要充份调研,民主讨论,确保切合实际、方便操作。最后狠抓落实,推动实施,确保得到执行到位。一是组织培训和学习,在制度出台之后立即组织相关人员进行培训和学习;二是组织检查和辅导,实行定期辅导和不定期检查,辅导时贯彻“量、质”方针,即辅导每月不少于一次,每次不少于一天,力求足“量”;辅导结果要达到让被辅导对象完全理解、熟练操作,力求足“质”。检查时贯彻“全、细、深、实、纠”五字方针,即:检查内容面面俱到;检查过程深入细致,一丝不苟;发现线索,一查到底,坚决不搞下不为例;对发现的问题,有证有据;查处的问题及时督促改正。通过检查辅导,将制度规定及时传达到基层业务一线,普及科技应用水平,有效防范操作风险。

3、防患未然,强化突发事件处置预案。

在增强抗击计算机突发性事件能力方面,我部将做好以下五项工作。一是硬件备份,对县中心与基层和省中心网络实行电信、联通2m光纤双备份,计划对联社中心机房核心的7206路由器进行备份,对报表系统、信贷系统、中间业务系统的服务器进行备份,配备若干台备用主机和安装好程序的硬盘,对联社中心机房和各信用社实行ups热备份;二是实时监控,首先实施内、外网的物理分离,其次在所有系统安装防火墙和杀毒软件,最后在联社中心机房明确专人,在业务高峰期随时监控主机cpu、内存、交换空间、页面调度、i/o的负荷情况,发现瓶颈环节及时主动处理;三是外部沟通,与省中心、电信部门做好沟通,在故障自身不能解决时,能够迅速得到帮助;四是做好物防,计划对联社中心机房、各信用社机房深化改造,努力达到安全合格标准,坚决达到防火、防潮、防静电、防雷击的要求;五是长期备战,我部所有人员将继续执行24小时工作制度,对全辖系统故障随叫随到,并在最短的时间内处置完毕。通过多种措施,能够有郊防范突发意外风险。

4、尽心竭力,精心维护保养硬件设备。

在终端、办公电脑,特别是打印机、监控等硬件设备维护方面我部将做好以下四项工作。一是主动维护、定期保养基层业务设备,以损坏频率较高的打印机为重点,按使用单位、型号、购置日期登记台账,详细掌握每台设备动态情况,按新旧程度进行每季不少于一次的主动上门保养,延长使用寿命,有损坏的立即调剂更换,集中修理,对已超过使用寿命没有修理价值的,及时淘汰更新,对因业务发展需要增加设备的单位,做到上门安装到位。二是积极协助监察保卫部做好监控设备的维护工作,对故障立即督促维保单位进行排除,对达不到安全保卫要求的,立即提出切实可行的整改方案。三是做好联社机关办公设备的维护工作,对机关各部门办公设备的保障做到随叫随修。四是严格考核,开展设备管理竞赛活动,对能合规使用的先进单位进行奖励,对因不按规定使用设备的人员进行经济处罚,造成损坏的,坚决要求当事人进行现金赔偿。通过优质维保,坚决保证不发生因硬件损坏影响正常办理业务的情况。

5、严谨务实,强化二级管理中心管理职能。

在核心业务系统管理和提高一线柜员操作能力方面,我部将做好以下四项工作,一是进一步提高维护速度,对合规的账务修改、业务需求,按照流程到达我部后,保证在5分钟之内处理完毕。二是进一步提高业务指导能力,对基层的业务咨询做到耐心细致,并举一反三的进行解释指导,对每次的程序升级及时下发书面通知,传达升级精神,同时每季下发一份综合业务系统运行简报,对新业务介绍、新问题注意事项进行全县通报。三是进一步提高业务培训力度,计划在每个季度举办一期一线柜面青年员工操作实用技能培训班,推行汉字五笔输入、规范输入指法,实现数字小键盘和英文大键盘的盲打输入,切实提高柜面人员业务办理速度。四是进一步提高系统操作监督力度,从机房管理入手,直至操作号、密码、授权卡使用和加班监督、机构签退管理等相互制约制度的执行,进行全方面的监督,切实履行岗位职责。

6、推陈出新,优化开发中间业务外挂程序。

在中间业务程序开发、维护方面我部将努力做到人无我有、人有我新、人新我优。一是对财政集中支付、国税代扣、代收交通罚款程序进一步优化,不断提高稳定性,同时将根据财政、国税、公安等客户的需求,对程序进一步升级改造,不断提高适用性。二是进一步简化工资程序,简便操作过程,方便基层操作。三是适时开发各类程序,将根据业务发展需要,自主开发适应性、针对性强的程序。通过优化开发各类程序,为业务创新提供强有力的技术支持。

7、循序渐进,安装推广自助银行和pos机。

在优化用卡环境,有效推广圆鼎卡,有力抢占市场份额方面,我部将做好以下六项工作,一是迅速安装atm,对已购置的atm计划在月底前安装到位,使得atm基本履盖全部网点。二是主动协助业务拓展部,开展驻城商铺pos消费刷卡机的安装,今年计划在人民路、新建路繁华地段的商铺至少安装20台。三是适时开展卡积分活动,准备在春节期间开展圆鼎卡刷卡消费积分奖励活动,提高圆鼎卡的使用频率。四是大力开办无人自动银行,以为客户提供昼夜存取款、账务查询、转账、自动缴费服务的自助场所,逐步取代效益低的网点。五是加大培训和维护力度,对基层操作人员定期进行培训,经常督促维保单位进行日常保养,保证atm良好的使用状态。六是搞好宣传,计划利用现有自助银行的空间,进行全县统一模式的广告宣传。通过有效推广使用圆鼎卡,有效增加卡业务手续费收入。

8、提高效率,实现自动无纸化网络办公。

在提高全县办公水平和现代化办公能力,进一步提升联社对外形象方面我部将做到,一是加大网站更新力度,今年我部将与联社办公室继续共同维护联社网站,及时刷新主页,开办信合论坛,力求办成象信合369一样高点击率的网站,从多方面提升联社形象。二是开发使用oa系统,实行办公自动化,实现公文流转、数据采集、三户经济档案、报表传送、信息通知、业务咨询、制度汇编、财产保管、物资领用、任务进度、考核兑现、检查通报、人事教育、企业文化建设、党务建设、纪检监察、工作请示等全部网络共享。通过实现办公网络化,进一步促进提高整个联社部门的办事效率。

9、不甘人后,积极摸索现代银行科技思路。

随着十七大的顺利闭幕,我国经济社会发展进入新的阶段,金融业的重要地位和作用更加突出。但随着外资银行携带的新金融工具、业务品种、营销理念和新服务手段进入中国市场,金融机构之间的竞争日趋激烈,农村信用社传统的金融产品和服务手段,越来越无法适应发展的新要求。因此,金融创新势在必行,只有不断创新才能持续健康发展,才能提高我联社的竞争力。在金融创新中科技创新是保障、是基础,所以我部将做到一是加强自身学习,本着缺什么补什么,干什么学什么,将来需要什么、现在准备什么的原则,开展学习竞赛活动,做到有计划、有笔记、有体会、有进步,提高科技人员的业务本领。二是探索新业务、做好理论准备,在项目评估、公司理财、信息咨询、代保管、国际业务、贷记信用卡、基金代销与托管、代客理财、企业年金、账户管理、网上银行、vip客户服务、债券代销等方面做好科技准备。