时间:2024-04-09 14:44:21
序论:在您撰写金融科技安全时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
影响金融科技风险主要存在于以下三个方面:第一,部分科技工作者安全技术水平低,安全意识淡薄。虽然管理者制定了相应的安全管理规章制度,但是在执行的过程中,会出现执行力度小或者误操作等情况,导致一些重要的数据泄露和密码丢失等,让系统的安全受到很大的威胁。第二,计算机网络安全技术水平低。因为系统漏洞的存在,给一些不法分子如黑客可乘之机,他们通过侵入系统盗取数据,甚至给系统带来毁灭性的破坏。第三,监督管理机制不完善。很多第三方支付、P2P交易模式等新的交易平台出现的时候,没有经过严格的监管审核和缺乏相应的法律法规的约束,就出现了盗取客户资产而追讨无果的后果。安全是先行者,在安全得不到保障的情况下,客户的信息和资产就得不到保障,进而影响互联网技术的发展,长远来说就会阻碍经济的发展和社会的进步。所以在互联网发展的进程中,首先要解决安全问题。解决安全问题需要科技工作者、业务人员和监管者等多方面共同努力,也不是一蹴而就的,每一种新的技术和产品的出现,会伴随着新的攻击手段的出现,所以一定要重视安全问题,并不断寻找解决各种安全风险的方法。其次,相关管理部门需要制定相应的安全管理规范和规章制度,来提高操作人员的技术水平,规范其操作行为,进而规避人为因素带来的金融风险。
二、对金融科技风险进行防范的具体措施
金融与计算机相互依赖、相互促进。金融产品业务模式的创新促进了计算机技术的进步,同时计算机技术的进步带动了金融业务的发展。为了更好地为金融服务,为金融产品保驾护航,必须要加强计算机安全技术和安全管理,尽量避免人为操作和技术缺陷带来的风险。
(一)加强对计算机软件系统的管理
可靠的软件系统是用户交易安全的保障,安全的密码策略、短信验证码、指纹、人脸识别技术和成熟的实名认证技术等在软件中应用提高了交易的安全系数,可以进一步保障金融机构以及客户的资金安全以及相应的信息数据。所以,金融机构在对软件进行研发的过程中,需要尽可能使用全面的计算机软件安全管理手段来规避历史问题。在计算机软件安全管理时,可以采用以下方法来保障软件安全问题。首先,在软件产品研发的各个阶段,都要确保软件质量,使用更安全的登录技术、加密技术、角色权限管理策略和密码策略等手段来保障用户安全的使用软件;其次,在数据库方面,配置相应的安全管理策略,设置严格的分级查询修改权限,必要时建立同城和异地灾备系统;再次,在软件的运行维护方面,将开发权限、运行和维护权限分开管理,配备专业的维护人员对软件进行维护,防止因操作权限分配问题导致的操作系统被一些非法用户闯入,泄露一些重要的信息数据;最后,我们还要定时更新病毒库,并且积极升级更新杀毒软件,对计算机进行杀毒,完善病毒检测和杀毒措施,避免因计算机中存在病毒导致系统出现崩溃的现象。安装防火墙并定期检查系统漏洞,更新并安装系统补丁,关闭一些不安全的端口等,力保计算机软件系统在运行的过程中的安全性。
(二)加强对计算机硬件的管理
计算机的高速计算能力极大地加快了业务发展,同时也对运行环境提出了比较高的要求。不仅要避开高温高湿和强磁环境,还需要相关的专业维护人员对计算机的硬件进行定期的维护,对一些出现损坏或老化的零部件进行及时的更换和维修,以免出现一些较大的安全事故。
信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还关系到整个银行业的安全和国家金融体系的稳定,因此国家金融监管部门对银行信息科技风险管理日益重视,对银行信息科技风险管理提出了明确要求,各商业银行也普遍提髙了对信息科技风险管理的关注程度。
1.加强信息科技风险管理是金融监管部门高度重视的重要问题
中国银监会主席刘明康在信息科技风险管理与评价审计工作会议上指出,根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2〜3天以上不能恢复,将直接危及银行乃至整个金融系统的稳定。这在一定程度上反映了国家金融监管部门对信息科技风险的深刻认识和日益重视。2008年7月,银监会颁发了《银行业金融机构信息系统安全保障问责方案》,明确各银行的法定代表人为本单位信息系统安全保障的第一责任人,并要求逐级签订信息系统安全保障责任书。同时,中国人民银行、银监会组织全国金融机构开展了奥运信息科技风险全面自查工作,并相继对各主要商业银行进行了现场专项检查;国家审计署也在对6家大型商业银行的2008年度全面审计工作中首次引入了信息科技审计的内容,着重从信息安全的角度出发,站在维护国家金融稳定和国家安全的髙度,分析当前我国银行业信息科技工作面临的主要风险,并提出了有针对性的改进建议。国家有关监管和审计部门推出的这些卓有成效的管理措施,对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义,充分体现出了我国政府对银行业信息科技风险管理的尚度重视。
2.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求
在2004年正式公布的新《巴塞尔资本协议》中,重新修订了银行风险的分类和定义,强调银行在进行风险管理的时候,不仅要重视传统的信用风险、市场风险、流动性风险,而且要将防范操作风险放在一个重要的地位,并将信息科技风险明确划归操作风险的范畴,从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。
3.加强信息科技风险管理是银行提高IT治理水平的需要
根据IT治理模型,IT风险管理与战略一致性、资源管理、绩效评估等构成IT治理总体架构,而且是其中的一个重要方面。随着各家银行信息化建设的深入,对信息科技风险的认识也在逐步加深,从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面IT风险管理,信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改造和上市之后,商业银行已普遍认识到信息科技方面一旦发生风险事件,不仅会影响业务的正常办理,还可能会对银行的声誉和市值产生负面影响,因此更加重视信息科技风险管理,对加强信息科技风险管理提出了更髙的要求。
二、加强信息科技风险管理的相应举措
根据国际权威机构信息系统审计与控制委员会(ISACA)的信息系统风险控制和IT审计工作的最佳实践指南,信息科技风险管理应关注IT治理、软件生命周期管理(即项目开发与变更)、IT服务交付与支持(即系统运行维护)、信息安全、业务连续性管理等五大领域。在上述领域,各家商业银行纷纷采取了各种风险管理措施。下面以中国工商银行股份有限公司(以下简称“工商银行”)为例进行介绍。
多年来,工商银行坚持“科技兴行'“科技引领”发展战略,建立了集约化的科技组织体系,并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起,工商银行正式将信息科技风险纳入了全行风险管理体系,作为操作风险管理的重要内容,并在信息科技风险管理方面开展了大量工作。
1.信息科技风险管理组织体系工商银行成立了信息系统应急领导小组,由行长担任组长,主管副行长任副组长,信息科技部、办公室、个人金融部、运行管理部等相关部门负责人为成员,负责领导和组织信息系统重大事件的应急处理、灾难备份和恢复、计算机信息系统的安全防护等工作。科技部门定期向董事会、行长办公会、技术审查委员会、风险管理委员会汇报信息科技风险管理工作。同时,工商银行总行以及分行的科技部门均设有负责信息科技风险管理的部门,建立了一支专业的风险防护队伍,为加强信息科技风险管理提供了组织保障。
2008年,国家有关监管、审计部门对工商银行目前的信息科技风险管理情况都给予了较髙的评价,认为工商银行构建了较完整的信息科技治理结构,构成了信息科技管理、信息科技风险管理和信息科技审计三道防线。
2.项目开发管理
针对由于版本质量造成的应用研发风险,工商银行采取了一系列措施,严格保障应用系统研发质量。一是不断改进研发和测试管理流程,加强需求管理、项目方案审查、研发过程管理和项目质量控制;二是及时优化调整应用版本、测试和投产策略,针对版本投产比较频繁等情况,明确了“版本集中投产”的原则,切实降低因版本投产和生产变更带来的风险隐患;三是与业务部门密切配合,力卩强沟通和协调,实现风险共担。
3.运行维护和操作管理
生产运行风险是信息科技风险的突出表现,并且根据实际情况统计,大约有50%的生产运行风险是由管理操作原因引起的。为此,工商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想,并持续强化运行管理操作的各项措施,降低系统运行风险。一是建立了全行统一集中的监控管理平台(ECC),对主机和开放平台等各类应用系统进行实时监控,实现生产操作、监控的自动化;二是通过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具和系统,逐步提髙生产运行管理的自动化程度;三是建立了完备的应急管理体系,明确了应急预案和流程,确保出现紧急事件情况下能够进行妥善处理,将事件影响降至最低。
4.信息安全管理
信息安全管理的核心是要建立健全信息安全的内部控制体系,通过技术和管理手段,确保银行信息系统和数据的机密性、完整性和可用性。为此,工商银行建立了一支专门的信息安全防护队伍,及时分析和解决存在的各类信息安全隐患。同时,积极落实信息安全体系规范和信息安全等级保护措施,部署了入侵检测、漏洞扫描等一系列信息安全防护工具,实施了客户端安全管理。由于采取了及时有效的防御措施,假冒网站、网络攻击等事件虽然时有发生,伹没有对信息系统的稳定运行造成不良影响。特别是在北京奥运会期间,工商银行成功抵御了针对网上银行系统的恶意攻击,保障了电子银行业务正常开展,维护了企业声誉。
5.业务连续性管理
多年来,工商银行始终坚持“数据集中处理、主机灾难备份、平台多点接入、业务跨区受理”的原则开展信息系统技术体系建设,自行建立了国内同业领先的完善的技术灾备体系。2003年以后,工商银行建立了核心业务异地灾难备份系统,实施了同城磁盘镜像,成为国内同业第一家同时具备同城和异地灾备系统的银行,为保障信息系统的连续性运行奠定了技术基础。与此同时,工商银行依靠自身力量制定了《信息系统连续性运作计划(ITCP)》,并从2005年开始,每年都进行一次全行业务级灾难恢复应急演练,模拟在上海的生产中心发生灾难或信息系统长时间无法得到恢复的情况下,将全行核心业务切换到北京的灾备中心的技术和业务处理,有效保障了灾备系统的有效性。
三、加强信息科技风险管理需要思考的若干问题
目前,商业银行在实施信息科技风险管理过程中主要面对以下几方面的问题。
1.要关注信息科技风险计量和相关标准规范体系建设
对于银行来说,操作风险本身就是一种比较难以控制的风险,目前世界银行业也没有一种公认的成熟方法来计量。新《巴塞尔资本协议》要求2007年所有的银行都要开始按照协议规定的三种方法中的一种来计算经济资本,进而控制操作风险。伹据调查,60%以上的银行未从2007年开始对操作风险实行量化管理,大多数银行的预期实施时间是2010年〜2012年。可见,银行业在对于整个操作风险的管理体系、流程、计量方法和工具等方面的探索还远远落后于传统的信用风险和市场风险管理等领域。而银行信息科技风险除了人为误操作因素以外,还与日趋复杂的信息系统软硬件环境直接相关,因此要对其进行科学、准确的度量和评估,存在更大难度。从全球范围来看,尽管国际上一些大银行在信息科技风险管理方面已经积累了一定的经验,伹迄今为止真正构建出有效的、完善的、可量化的信息科技风险管理体系的银行却为数寥寥。因此,国内银行业需要首先考虑建立一套量化的指标体系,科学衡量银行的信息科技风险。同时,建议相关主管部门牵头在信息科技管理领域建立相应的标准规范,以指导和促进国内商业银行提髙信息科技风险管理的规范化、标准化水平。
2.正确认识灾难备份体系建设的内涵
建立完备的灾备体系对银行的重要意义毋庸置疑,伹灾备体系建设应遵循什么样的标准和原则,是否所有银行系统都遵循同样的标准建设灾备系统,是商业银行在灾备体系规划和建设过程中需要认真考虑的问题。通常情况下,银行可以根据业务系统的重要性、灾难恢复的时效性要求和银行自身的风险承受能力等因素,参考相关国际标准n,综合评定划分灾备等级,确定业务恢复时间(RTO)、业务丢失时间(RPO)等关键指标,在此基础上,遵循成本效益的原则,按照相应的标准开展灾备建设。目前,国外现代化商业银行普遍采用此种做法,首先确定系统的灾备等级,并相应实施不同的灾备策略,重点对关键设施和系统实施髙等级的灾备保护措施。
因此,建议国内相关行业主管部门积极引导各商业银行根据实际情况,采取分级实施、逐步推进的原则,借鉴国外银行的先进经验,优先确保关键设施和重要业务系统的连续性运作,在实现灾备体系建设目标的同时,也相应降低建设和维护的成本。
3.信息科技风险管理需要业务部门的关注和共同参与
与应用产品创新工作需要科技部门和业务部门共同完成类似,虽然信息科技风险管理更多关注的是IT领域,伹其中相当一部分内容与业务部门息息相关。
在业务连续性管理方面,在科技部门建成了灾备系统的基础上,需要业务部门制定业务层面的应急计划,指导业务人员在信息系统中断和恢复时进行业务的应急处理,从而与科技部门协同开展应急恢复工作。
信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还关系到整个银行业的安全和国家金融体系的稳定,因此国家金融监管部门对银行信息科技风险管理日益重视,对银行信息科技风险管理提出了明确要求,各商业银行也普遍提髙了对信息科技风险管理的关注程度。
1.加强信息科技风险管理是金融监管部门高度重视的重要问题
中国银监会主席刘明康在信息科技风险管理与评价审计工作会议上指出,根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2〜3天以上不能恢复,将直接危及银行乃至整个金融系统的稳定。这在一定程度上反映了国家金融监管部门对信息科技风险的深刻认识和日益重视。2008年7月,银监会颁发了《银行业金融机构信息系统安全保障问责方案》,明确各银行的法定代表人为本单位信息系统安全保障的第一责任人,并要求逐级签订信息系统安全保障责任书。同时,中国人民银行、银监会组织全国金融机构开展了奥运信息科技风险全面自查工作,并相继对各主要商业银行进行了现场专项检查;国家审计署也在对6家大型商业银行的2008年度全面审计工作中首次引入了信息科技审计的内容,着重从信息安全的角度出发,站在维护国家金融稳定和国家安全的髙度,分析当前我国银行业信息科技工作面临的主要风险,并提出了有针对性的改进建议。国家有关监管和审计部门推出的这些卓有成效的管理措施,对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义,充分体现出了我国政府对银行业信息科技风险管理的尚度重视。
2.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求
在2004年正式公布的新《巴塞尔资本协议》中,重新修订了银行风险的分类和定义,强调银行在进行风险管理的时候,不仅要重视传统的信用风险、市场风险、流动性风险,而且要将防范操作风险放在一个重要的地位,并将信息科技风险明确划归操作风险的范畴,从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。
3.加强信息科技风险管理是银行提高IT治理水平的需要
根据IT治理模型,IT风险管理与战略一致性、资源管理、绩效评估等构成IT治理总体架构,而且是其中的一个重要方面。随着各家银行信息化建设的深入,对信息科技风险的认识也在逐步加深,从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面IT风险管理,信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改造和上市之后,商业银行已普遍认识到信息科技方面一旦发生风险事件,不仅会影响业务的正常办理,还可能会对银行的声誉和市值产生负面影响,因此更加重视信息科技风险管理,对加强信息科技风险管理提出了更髙的要求。
二、加强信息科技风险管理的相应举措
根据国际权威机构信息系统审计与控制委员会(ISACA)的信息系统风险控制和IT审计工作的最佳实践指南,信息科技风险管理应关注IT治理、软件生命周期管理(即项目开发与变更)、IT服务交付与支持(即系统运行维护)、信息安全、业务连续性管理等五大领域。在上述领域,各家商业银行纷纷采取了各种风险管理措施。下面以中国工商银行股份有限公司(以下简称“工商银行”)为例进行介绍。
多年来,工商银行坚持“科技兴行'“科技引领”发展战略,建立了集约化的科技组织体系,并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起,工商银行正式将信息科技风险纳入了全行风险管理体系,作为操作风险管理的重要内容,并在信息科技风险管理方面开展了大量工作。
1.信息科技风险管理组织体系工商银行成立了信息系统应急领导小组,由行长担任组长,主管副行长任副组长,信息科技部、办公室、个人金融部、运行管理部等相关部门负责人为成员,负责领导和组织信息系统重大事件的应急处理、灾难备份和恢复、计算机信息系统的安全防护等工作。科技部门定期向董事会、行长办公会、技术审查委员会、风险管理委员会汇报信息科技风险管理工作。同时,工商银行总行以及分行的科技部门均设有负责信息科技风险管理的部门,建立了一支专业的风险防护队伍,为加强信息科技风险管理提供了组织保障。
2008年,国家有关监管、审计部门对工商银行目前的信息科技风险管理情况都给予了较髙的评价,认为工商银行构建了较完整的信息科技治理结构,构成了信息科技管理、信息科技风险管理和信息科技审计三道防线。
2.项目开发管理
针对由于版本质量造成的应用研发风险,工商银行采取了一系列措施,严格保障应用系统研发质量。一是不断改进研发和测试管理流程,加强需求管理、项目方案审查、研发过程管理和项目质量控制;二是及时优化调整应用版本、测试和投产策略,针对版本投产比较频繁等情况,明确了“版本集中投产”的原则,切实降低因版本投产和生产变更带来的风险隐患;三是与业务部门密切配合,力卩强沟通和协调,实现风险共担。
3.运行维护和操作管理
生产运行风险是信息科技风险的突出表现,并且根据实际情况统计,大约有50%的生产运行风险是由管理操作原因引起的。为此,工商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想,并持续强化运行管理操作的各项措施,降低系统运行风险。一是建立了全行统一集中的监控管理平台(ECC),对主机和开放平台等各类应用系统进行实时监控,实现生产操作、监控的自动化;二是通过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具和系统,逐步提髙生产运行管理的自动化程度;三是建立了完备的应急管理体系,明确了应急预案和流程,确保出现紧急事件情况下能够进行妥善处理,将事件影响降至最低。
4.信息安全管理
信息安全管理的核心是要建立健全信息安全的内部控制体系,通过技术和管理手段,确保银行信息系统和数据的机密性、完整性和可用性。为此,工商银行建立了一支专门的信息安全防护队伍,及时分析和解决存在的各类信息安全隐患。同时,积极落实信息安全体系规范和信息安全等级保护措施,部署了入侵检测、漏洞扫描等一系列信息安全防护工具,实施了客户端安全管理。由于采取了及时有效的防御措施,假冒网站、网络攻击等事件虽然时有发生,伹没有对信息系统的稳定运行造成不良影响。特别是在北京奥运会期间,工商银行成功抵御了针对网上银行系统的恶意攻击,保障了电子银行业务正常开展,维护了企业声誉。
5.业务连续性管理
多年来,工商银行始终坚持“数据集中处理、主机灾难备份、平台多点接入、业务跨区受理”的原则开展信息系统技术体系建设,自行建立了国内同业领先的完善的技术灾备体系。2003年以后,工商银行建立了核心业务异地灾难备份系统,实施了同城磁盘镜像,成为国内同业第一家同时具备同城和异地灾备系统的银行,为保障信息系统的连续性运行奠定了技术基础。与此同时,工商银行依靠自身力量制定了《信息系统连续性运作计划(ITCP)》,并从2005年开始,每年都进行一次全行业务级灾难恢复应急演练,模拟在上海的生产中心发生灾难或信息系统长时间无法得到恢复的情况下,将全行核心业务切换到北京的灾备中心的技术和业务处理,有效保障了灾备系统的有效性。
三、加强信息科技风险管理需要思考的若干问题
目前,商业银行在实施信息科技风险管理过程中主要面对以下几方面的问题。
1.要关注信息科技风险计量和相关标准规范体系建设
对于银行来说,操作风险本身就是一种比较难以控制的风险,目前世界银行业也没有一种公认的成熟方法来计量。新《巴塞尔资本协议》要求2007年所有的银行都要开始按照协议规定的三种方法中的一种来计算经济资本,进而控制操作风险。伹据调查,60%以上的银行未从2007年开始对操作风险实行量化管理,大多数银行的预期实施时间是2010年〜2012年。可见,银行业在对于整个操作风险的管理体系、流程、计量方法和工具等方面的探索还远远落后于传统的信用风险和市场风险管理等领域。而银行信息科技风险除了人为误操作因素以外,还与日趋复杂的信息系统软硬件环境直接相关,因此要对其进行科学、准确的度量和评估,存在更大难度。从全球范围来看,尽管国际上一些大银行在信息科技风险管理方面已经积累了一定的经验,伹迄今为止真正构建出有效的、完善的、可量化的信息科技风险管理体系的银行却为数寥寥。因此,国内银行业需要首先考虑建立一套量化的指标体系,科学衡量银行的信息科技风险。同时,建议相关主管部门牵头在信息科技管理领域建立相应的标准规范,以指导和促进国内商业银行提髙信息科技风险管理的规范化、标准化水平。
2.正确认识灾难备份体系建设的内涵
建立完备的灾备体系对银行的重要意义毋庸置疑,伹灾备体系建设应遵循什么样的标准和原则,是否所有银行系统都遵循同样的标准建设灾备系统,是商业银行在灾备体系规划和建设过程中需要认真考虑的问题。通常情况下,银行可以根据业务系统的重要性、灾难恢复的时效性要求和银行自身的风险承受能力等因素,参考相关国际标准n,综合评定划分灾备等级,确定业务恢复时间(RTO)、业务丢失时间(RPO)等关键指标,在此基础上,遵循成本效益的原则,按照相应的标准开展灾备建设。目前,国外现代化商业银行普遍采用此种做法,首先确定系统的灾备等级,并相应实施不同的灾备策略,重点对关键设施和系统实施髙等级的灾备保护措施。
因此,建议国内相关行业主管部门积极引导各商业银行根据实际情况,采取分级实施、逐步推进的原则,借鉴国外银行的先进经验,优先确保关键设施和重要业务系统的连续性运作,在实现灾备体系建设目标的同时,也相应降低建设和维护的成本。
3.信息科技风险管理需要业务部门的关注和共同参与
与应用产品创新工作需要科技部门和业务部门共同完成类似,虽然信息科技风险管理更多关注的是IT领域,伹其中相当一部分内容与业务部门息息相关。
在业务连续性管理方面,在科技部门建成了灾备系统的基础上,需要业务部门制定业务层面的应急计划,指导业务人员在信息系统中断和恢复时进行业务的应急处理,从而与科技部门协同开展应急恢复工作。
关键词:计算机安全 科技风险 金融电子
伴随着计算机应用技术的发展,电子金融市场面临着机遇的同时也面临着挑战,金融科技风险的发生成了金融业不得不面对的问题。在这种背景下,计算机安全管理在防范金融科技风险中的作用得到了越来越多的关注[1]。本文结合现有的金融科技风险的实际情况,对计算机安全管理在防范金融科技风险中的作用进行探讨。
一、金融科技风险概述
金融科技风险通常又被称作金融计算机风险,指的是金融行业在实施技术创新与金融电子化进程中所应用的计算机与网络通信等技术所带来的风险,这是由于计算机硬件、计算机软件以及计算机的操作系统缺少计算机安全管理制度的有效规范,潜伏中存在诸多不安全因素容易造成潜在的或者已经出现的各类风险。金融行业的计算机信息系统作为技术密集结合体,有着人――机――环境的复杂系统,该系统在正常运作过程中有着一定的脆弱性,容易遭受攻击。传统金融行业的银行与金库,通常都管理严格,外人很难潜人,金融机构内部的不同业务部门之间也设置一定的物理方式的分隔措施[2]。但金融行业电子化以后,特别是计算机联网实施以后,银行传统的边界已经逐步消失,进而导致金融计算机信息系统存在一定程度的易受攻击,在自然灾害与人为破坏方面的防护能力不强,整个系统在运营过程中容易出现问题,如可能会遇到不法分子通过国外的计算机网络进人到银行的数据库,进而导致损害的发生。
二、金融科技风险分析
从现有金融科技风险的情况来看,主要的金融科技风险主要表现在以下几个方面:
首先,计算机安全管理意识淡薄而导致的金融科技风险。金融行业在防范金融科技风险方面水平的高低与组织人员,尤其是管理人员安全意识的强弱有着密切的联系。以基层银行的计算机安全管理工作为例,我国现有的多数县支行仅仅配备一名计算机方面的专业技术人员,同时对这些人员的薪酬管理存在着不规范的行为,导致这些人员的安全意识低,工作积极性差,进而影响到金融科技风险的防范工作有效性的提升[3]。又如一些营业网点的员工由于自身的安全意识比较淡薄,因而经常会让无关人员进入到网点的工作区,进而让这些人员接触到计算机设备,进而为不法分子进行计算机方面的犯罪提供了便利。
其次,银行等机构的内控制度不健全。如银行的一些营业网点在计算机的应用中没有贯彻分级授权的管理原则,存在着操作系统管理与主管操作员的口令都在记账员手里的情况,严重的甚至超级用户与数据库管理系统的口令也由记账员掌握,这就使得记账员有修改数据的可能性,进而为金融科技风险的产生留下伏笔。
同时,计算机非法用户以及计算机病毒侵入给金融科技也带来一定的风险,一些计算机非法用户通过高科技方式的应用,窃取到银行等金融机构的用户密码后,以合法身份联入到银行等金融机构的计算机网络系统中进行破坏,进而导致金融科技风险的出现。
除此以外,银行等金融机构的工作人员在计算机安全操作方面的水平较低,导致违章操作的情况较多,尤其是在计算机等操作技术快速提升的背景下,工作人员操作水平低的情况容易导致金融科技风险的出现[4]。简而言之,导致金融科技风险存在的原因是多方面的,表现形式也呈多元化的发展趋势,因而有必要加强计算机安全管理在防范金融科技风险方面作用的发挥。
三、计算机安全管理在防范金融科技风险的作用
本文结合计算机安全管理在防范金融科技风险中的现有情况,对计算机安全管理在防范金融科技风险的作用做如下探讨:
(一)计算机安全管理在防范金融科技风险中的重要性
银行等金融机构通过计算机安全管理工作水平的提升,有利于促进金融行业的整体发展,进而有效的处理银行等金融机构在电子化发展过程中面临的诸多安全风险方面的问题,进而实现金融行业的净化,提升金融行业的综合发展能力。伴随着金融行业的发展,尤其是人们个性化金融需求水平不断提高的背景下,银行等金融机构在关注市场风险、信用风险、以及流动风险等行业所面临的风险上,更应关注金融科技给自身带来的风险。这是因为金融科技风险的出现,不但会影响到金融机构正常业务的办理,严重的会影响到金融行业整体的发展,正因为如此,应关注计算机安全管理在防范金融科技风险中作用的发挥[5]。
(二)基于计算机安全管理的金融科技风险防范途径
从现有的计算机安全管理在防范金融科技风险作用的发挥来看,主要集中于以下几个途径:
1.提高软件系统的安全性
软件是否可靠对金融机构的数据资料与客户资金的安全有着重要的影响。这就决定了在计算机安全管理中,在软件引入时应关注软件应有的安全性,合理的应用加密技术。同时,还应在应用过程中设置分级保密制度,将进入口令与密码做到分人保管,进而有效的提高技术防范金融科技风险的能力。
2.合理的配备硬件环境
计算机硬件环境的配置对防范金融科技风险有着重要的作用。应对电磁进行屏蔽,避免不法人员利用电磁机会入侵金融机构的计算机。合理的配备硬件环境可以采取的方法是铺设防止静电的地板;在没有强磁场的地方进行计算机的安放;对于控制主要业务的计算机应尽可能的配备两台计算机,进而有效的确保系统的正常运行。
3.提高避免病毒与黑客入侵的工作力度
从以往的金融科技风险方面的案例来看,其中计算机病毒以及黑客侵入的比例较高。这就决定了金融机构在计算机安全管理方面应加强对网络信息安全的监管,严格控制非金融结构工作人员登录系统,对用户的权限进行合理的限制,提高对系统中各类意外事件的跟踪能力与分析能力,进而有效的提高避免病毒与黑客入侵的工作水平。
4.提纲金融计算机安全防范技术
计算机安全管理作用的发挥需要安全防范技术水平的不断提高作为保障。从这个层面出发,计算机厂商应在计算机硬件与软件技术应用方面,不断提高计算机安全防范技术的水平[6]。厂商在编制与设计计算机程序时应严格依照制度的要求来进行,通过责任制的实施来确立编制与设计人员之间能够进行相互制约与相互监督,避免工作人员存在弄虚作假的行为。在具体的计算机操作中,确保计算机能够同步进行自动记录,避免删除、修改以及非法使用行为的存在。要开发专门的监控软件对计算机系统实施监控,对破坏计算机系统程序的行为进行识别与消除。提高对系统数据通信所作的加密措施的工作力度,不断提高加密技术、防火墙技术以及滤波技术,进而避免金融科技风险的出现。
(三)基于计算机安全管理的金融科技风险防范保障途径
计算机安全管理在防范金融科技风险的作用发挥,也需要相应的风险防范保障途径,如应提高监管理理念、转变我国在金融科技风险控制方面的法律理念以及加强对计算机安全管理专业人员的培养等等。这是由金融科技风险产生受多因素制约的特点决定的[7]。我国应从自身的实际情况出发,建立起国家、金融行业、金融机构以及金融行业从业人员等等多主体参与的防范金融科技风险的体系,进而促进计算机安全管理在金融行业应用水平的提高。
综上所述,计算机安全管理在防范金融科技风险方面作用的发挥,需要多方面的紧密配合才能实现。因而需要金融行业应在自身的发展过程中,不断的提高防范金融科技风险的水平,尤其加强计算机安全管理在金融科技风险中作用的发挥,进而有效的确保金融机构应有的安全。
参考文献
[1]魏国庆.对农村信用社计算机安全管理的思考[J].科技信息.2010(05):97.
[2]刘骐源,黄虹妮.浅谈计算机技术在风险管理和金融监管中的利用[J].现代商业.2010(09):64.
[3]马辉.计算机技术与金融风险的对策分析[J].科技风.2010(17):53.
[4]苏向阳.金融信息管理与现代计算机技术关系研究[J].信息与电脑(理论版).2011(03):157-159.
[5]王永.计算机在金融监管工作中的作用探析[J].软件导刊.2011(02):143-144.
关键词:计算机安全管理 防范 金融科技风险 作用
中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2015)05(b)-0132-01
现阶段,科技在不断发展进步中,大部分银行业都已建立了全国性的电子联行系统,在大城市中,也完善了同城资金清算系统,基本上完成了电子化管理,计算机的推广以及使用对金融行业的发展有一定的促进作用。
1 金融科技风险
首先,管理者安全意识较为淡薄,管理控制制度较不完善,管理不严,一些县级支行缺乏相关的专业人员,对计算机的应用也较为随意,相关重要数据以及密码都由一人掌控,对数据的安全造成一定威胁。
其次,黑客以及相关病毒的入侵破坏了计算机网络系统,造成较大的风险隐患。
第三,电子设备运行的物理环境无法达到既定要求,造成较大的安全威胁。
第四,电子化项目软件在研发以及创新中,造成了一定的安全漏洞,致使系统崩溃。
2 对金融科技风险进行防范的具体措施
如金融计算机出现风险,就会对正常的业务处理造成一定影响,对数据信息资料造成一定破坏,对客户的利益以及金融机构的资金安全构成一定威胁,因此,对计算机加强安全管理,能够对金融科技风险有效防范。
2.1 对计算机软件系统加强管理,提高金融科技管理安全系数
可靠的软件系统是保障银行以及客户资金安全的基础。
(1)银行在对软件进行开发或者购进时,首先需要考虑的问题就是安全系数。对于银行自身来说,就需要积极开发软件,以使加密技术更加先进,保障数据的安全性。因银行计算机系统中,安全防范的核心内容就是数据,因此,应对数据库的各级访问权限进行严格设置,实施等级管理制度,定期对密码进行修改。
(2)对操作系统的级别也需进行一定防范措施,选择较为专业的人员进行管理,避免操作系统被一般用户非法闯入,泄露重要数据,特别需注意对应用终端进行系统的操作进行限制。
(3)定期的计算机进行杀毒处理,避免计算机因中毒导致系统崩溃,并积极创新杀毒软件以及技术手段,将病毒的检测措施进行完善,使计算机软件系统的运行安全得到一定保障。
2.2 对计算机运行硬件进行有效管理
计算机是信息化社会高速发展的产物,具有较高的精度,对周围的运行环境要求也较高,因此,相关管理人员应对硬件设备进行定期检查,及时更换或者维修损坏的零部件,避免发生较大的事故。
(1)屏蔽硬件环境。具体屏蔽内容包括静电、磁屏以及电磁。其中,需对电磁屏蔽特别注意,其来源包括电磁场、静电以及电源系统内部等多个途径,产生的危害也较大。解决措施就是将强电磁场源位置尽量避开或者铺设防静电的活动地板。
(2)采取双机备份措施。一般在采取双机备份时需要保证相同的主机型号,相同的系统控制外设能力。针对于通讯控制设备,需要借助电子开关完成自动切换,并保持接地以及供电环境的良好性,使供电保证持续性。
2.3 对计算机网络加强安全防范措施,避免黑客侵入
(1)对网络硬件设备加大保护力度,避免出现电磁辐射。
一般情况下,不法分子都能够借助截取双绞、电磁辐射等方式对数据信息进行盗取,对网络传输介质进行窃听,最为薄弱的环节就是光缆的转换器以及接口位置处,所以,针对传输以及存储环节的数据需加大保密力度。
(2)重点关注网络黑客。
在风险防范措施中,需要对网络资源加大管理力度,对用户登录以及存取权限进行控制,在密码的设置上需要严格保密,重要数据还需要进行加密处理。此外,还需要对网络环境加大监控力度,做好审计、跟踪以及监控工作,避免黑客入侵。
2.4 对内部安全管理机制应加大控制力度
(1)做好人事管理工作,以接触系统密级为依据,对人员进行选择,避免出现非工作人员操作;定期观察考核技术人员,保证其在调动时做好工作交接,对密码进行更改。
(2)做好技术管理工作,对于内部系统的软件应加强管理措施,避免出现非法修改或者更换的现象,在对程序修改前,需将此情况报备给主管,并对更改的程序进行严格测试后,安全性能得到保障时,才能投入使用,与此同时,还需将数据进行备份,避免因出现故障造成一定损失。
3 结语
计算机的不断发展进步,在银行系统中已经得到较为广泛的应用,为了保障银行系统的安全性,就应该对计算机管理以及安全技术方面加大防范力度,避免金融科技风险的发生,使银行业务系统的安全性得到一定保证,最终使金融业得到持续稳定的发展。
参考文献
[1] 李刚.对金融机构计算机安全管理的思考[J].硅谷,2009(9):41-41.
[2] 刘伟.计算机安全管理在防范金融科技风险的作用探讨[J].科学与财富,2013 (4):157-157.
[3] 潘宇乐.浅谈金融机构计算机安全管理存在的问题及对策[J].计算机光盘软件与应用,2010(11):75-75.
【 关键词 】 金融机构;信息科技;风险管理
1 引言
随着信息科技水平的不断提高,信息科技在给小微金融机构中带来作用的同时也不断增加了信息科技风险,给小微金融机构的经营发展带来了挑战。当前,小微金融机构对信息科技风险管理的水平还比较低,如何有效控制与管理信息科技风险,是当前小微金融机构在信息化建设过程中必须面对的重要课题。
2 小微金融机构信息科技所面临的风险
小微金融机构信息科技风险指的小微金融机构在运用信息科技的过程中,因技术漏洞、管理缺陷等人为的或自然的原因而造成的问题或危机。在当前信息技术与银行业务深度融合的情况下,信息科技风险事件涉及的范围广、程度深,给银行等其他金融机构带来较大的经济损失,尤其在小微金融机构中,信息科技风险带来的损失更为严重。
3 小微金融机构信息科技风险管理中存在的问题
3.1 信息科技风险管理的技术水平较低
从现状来看,我国小微金融机构信息科技风险管理的技术水平较低主要体现在如下方面,首先,以银行为代表的大部分小微金融机构缺乏专业化的信息资产风险管理机构,缺乏系统的信息系统管理政策、技术标准及监督、绩效评估工作,领导者与风险管理部门无法实现对风险管理的有效监督。另一方面,小微金融机构对信息科技安风险管理的工作仍停留在定性的层面,缺乏对信息技术风险管理专业的定量分析。与此同时,金融机构信息科技风险管理的IT风险管理手段仅停留在制度检查层面,缺乏技术支持,对风险管理的预防措施有限,对风险管理的技术控制难度大,其信息系统的自我控制的能力较差。
3.2 基础设施安全建设存在隐患
从我国小微金融机构基础设施安全建设情况来看,存在较大的隐患。
一方面,机房管理滞后,在我国小微金融机构的机房中,存在着防水火及供电不达标的问题,且缺乏相应的防雷系统、门禁系统等,机房安全管理严重滞后;另一方面,网络运行安全性不高,由于金融机构的分支机构及营业网点及业务都处于数据集中的状态中,这样就给金融机构网络的稳定性及通畅性提出了更高要求,而在小微金融机构中,存在未按监管要求配置主备通讯线路的现象,容易导致营业网点出现业务办理受阻的现象,致使信息科技风险隐患增加。
4 应急处置能力低
信息系统的集中及数据爆炸式的增长使金融机构的应急处置面临巨大的挑战,尤其对于小微金融机构来说,其应急保障机制更为落后。在我国小微金融机构中,一般都设有信息系统的应急预案,但对于预案却缺乏相应的应急演练,在系统发生紧急事故时,无法对问题实施预案应急措施。其次,部分小微金融机构的系统应急预案覆盖面笼统,缺乏针对性和操作性,缺乏有效的技术支持。另外,风险管理的人员的应急处理能力较低,对重大信息科技风险的应急执行缺乏有效性,导致风险损失增加。
5 加强小微金融机构信息科技风险管理对策
5.1 提升信息科技风险管控能力
小微金融机构要提高信息科技风险管理的水平,首先应该提高其信息科技风险管控的能力,因此,小微金融机构有必要建立三个机制。
第一,信息科技风险管理保障机制。金融机构领导者应该提高风险管理意识,将信息科技风险管理工作纳入议事日程,并建立健全的信息科技风险管理机构的和岗位责任制度,充分发挥出安全检查、风险监控、审计监督的作用;加强对信息科技风险管控人员的培训与管理,并加大违规行为的处罚力度,提高其风险管理的能力。
第二,信息科技风险评估和预警机制。小微金融机构应该在充分分析信息科技风险对金融机构影响的基础上,有针对性的落实风险评估制度和建立信息科技风险监测制度,将风险分类并制定相应的风险报告机制,使信息科技部门与业务部门紧密联合起来,加强沟通协调,提高对信息科技风险的评估与预防能力。
第三、信息科技风险应急处理机制。小微金融机构要加强对信息备份、灾难恢复及业务连续的管理,对应急预案要加以培训和演练,将应急和灾备工作从技术管理层面提升到全行工作层面,以提高应对信息系统安全事件的团队应急能力。
5.2 加强基础设施安全建设
加强金融机构基础设施安全建设,有利于提高基础设施安全水平,进而有利于降低信息科技风险。小微金融机构应加强基础设施安全建设投入,重点加强机房消防系统、防雷系统、UPS等的技术投入,完善机房基础设施并完善机房管理制度,保证系统设备的正常运行,加强对系统设备故障的预测与报警。并设立专门的技术设施检查维修小组,负责基础设施的安全维护工作,确保基础设施安全管理的有效性。
5.3 强化金融交易监管
随着金融环境与金融交易方式的变化,信息化的金融交易也带来了一定的信息科技风险,小微金融机构应该采取措施强化金融交易监管。
一方面,要加快网络金融安全立法进程,制定金融安全政策和标准,成立对应的网络金融安全管理部门,指导网络金融的发展,并严厉打击网络金融犯罪;另一方面,要建立跨部门的现代化信息安全管理网络,实现对金融机构业务信息安全风险的及时、动态、全面、连续的监管。还应该借鉴国外的网络安全管理模式,建立适合于我国小微金融机构信息化建设的网络框架,以实时的监管小微金融机构业务,保证交易的安全性。
5.4 加强对从业人员的素质建设和岗位管理
相对于大型及核心金融机构,小微金融机构从业人员的专业素质及岗位配置明显落后,小微金融机构应该加大对农村金融机构人员的投入,积极引进高素质的信息科技人员,并对原有的从业人员进行定期的培训工作,提高其信息科技风险防范意识与风险管理能力。同时,金融机构还应增加对信息系统管理、运行、维护等岗位人员的配置,以完善职责分配,落实岗位制衡。最后,完善相应的信息科技风险管理制度,加强信息科技风险审计,完善激励约束机制,激发从业人员的主观能动性,从整体上提升小微金融机构信息科技风险管理的水平。
6 结束语
在信息科技风险管理的工作中,小微金融机构要从安全制度建设及技术手段上加强对风险的防范与管理,在全面、可行的安全防护措施中,将信息科技风险降低到最低的程度,进而才能保证小微金融机构得到稳定的发展。
参考文献
[1] 陈文雄.发展银行业信息科技 风险管理意识须先行[J].中国金融,2009(07).
[2] 唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑,2009(02).
【关键词】 科技管理 基层央行 应对措施
近年来,随着区域经济社会的快速发展,一方面在信息化条件下社会各界、企业和居民个人对金融科技的服务需求进一步增多,服务要求越来越高;另一方面金融机构的增多、金融科技外部环境的复杂多元给基层央行的科技管理带来众多的新问题和新挑战。本文在分析基层央行科技管理面临现状的基础上,对存在的问题进行分析,并提出应对思路和措施。
一、基层央行科技管理工作的现状及面临的问题
随着现代信息技术在区域金融业的广泛应用,基层央行科技管理的地位和作用越来越突出,出现了许多新情况、新问题。
1、银行业的快速发展,对基层央行“科技保障业务”能力和保障水平的要求越来越高。近年来,随着区域经济的快速发展,银行业金融机构发展较快,基层央行的金融科技保障工作量越来越大。以浙江省义乌市为例,2012年底止,义乌市有银行业机构23家,机构数比2009年增加17家,增速35.3%。2012年底止,义乌市金融机构本外币存贷款分别为1985.51亿元人民币和1514.31亿元人民币,分别比2009年增加58.37%和74.62%。同时信息技术创新的发展进程快,对基层央行金融科技的工作要求越来越高。从发展轨迹看,我国银行业信息化发展先后历经了3个阶段,第一阶段是从上世纪60年代初至上世纪90年代中期,一般称为业务电算化阶段,第二阶段是上世纪90年代末至“十一五”规划中期的数据大集中阶段,第三阶段是“十一五”规划后期发展到至今的整合优化阶段,目前仍处于整合优化过程。信息化过程中,业务电算化阶段经历了30多年时间,数据大集中阶段大约经过了10年左右时间,发展阶段的时间间隔呈现越来越短的态势,科技信息系统建设从“以业务为中心”过渡到“以系统为中心”,发展到“以客户为中心”,使基层央行金融科技的保障、管理遇到了前所未有的挑战。
2、现代社会生存模式的发展和转变,使得基层央行科技管理的服务职能履职要求越来越高。现代社会生存模式,正由现实空间向网络空间扩展,虚拟化、网络化的生存模式,对金融服务需求异常强烈,金融科技保障达到前所未有的高度,科技管理对网络和系统安全的重视程度不断提高。作为区域金融公共产品的提供者和金融生态环境的重要维护者,基层央行为保障金融业的安全运行所提供安全、高效的科技信息化服务责任越发重大,降低社会经济活动的交易成本,促进区域经济金融和社会发展的作用越发显现。目前,我国已进入了更加注重统筹兼顾、协调发展的新阶段,社会发展将更加注重保障和改善民生,更加重视弱势群体的金融可获得性和基础金融服务的均等化、普惠性。如何适应新形势的发展,尽快满足人民群众在支付、结算、转账、汇兑等方面的金融保障需求,已经成为基础央行科技管理工作的现实课题。
3、新时期的金融科技发展规划远景,对基层央行科技管理工作提出众多新的挑战。根据“十二五”时期金融信息化的工作安排,人民银行将建设更加安全、高效、便捷的第二代支付系统,统筹考虑支付服务现实需求和未来发展。第二代支付系统将构建以大额支付系统为主渠道,小额支付系统、网银互联系统、支票影像交换系统为辅助渠道的支付体系,支持银行通过单一法人账户集中办理跨行资金结算等集约化经营的需要。目前,基层央行科技部门人员配备相对不足,人员素质离业务发展的要求还有一定的差距,科技管理的水平也还需提高和改善。因此,基层央行科技管理工作除了要适应金融信息化发展新趋势外,还要做好央行自身各个业务系统的科技保障工作,任务十分艰巨。
4、科技管理方面存在许多安全隐患。从外部环境看,许多金融机构科技基础工作较为薄弱,信息安全技术保障措施不够健全,更增加了基层央行科技管理工作的难度。这几年,随着新设立金融机构的不断增多,再加上金融业务快速发展所带来的科技保障业务运行的压力,使得信息安全和金融运行的矛盾越来越突出,科技管理方面存在许多安全隐患。
(1)信息安全与机构设置、业务发展不匹配,不相适应。部分银行机构存在“重业务发展,轻信息安全”思想。许多机构专职的科技人员配备严重不足,有的机构虽然配备了科技人员,但一人多岗,忽视了科技工作专业性,人力资源配备难以保障信息安全的需要。
(2)技术设施不尽完善。一是有的银行机构机房设计有待完善。如有个别机构将主机房与厨房相连,存在一定的安全隐患。二是有的银行机构供配电系统形同虚设。有的银行未按规定配置发电机或者是租用了发电机,但无法实现接入机房,使供配电保障系统难以保证业务稳健运行的信息安全要求,一旦发生意外,极易酿发金融风险。三是许多新设立的银行机构灾备系统不尽完善。有的银行机构未建立同城灾备中心,有的银行机构异地灾备中心设计在合理性、规范性上缺陷较多,给信息安全埋下众多隐患。
(3)制度执行不够到位。一是制度建立设未能跟上发展的步伐,出现许多真空和盲点。有的银行机构未建立监测类科技管理内控制度。有的银行机构未能根据近几年信息安全出现的新情况和业务“扁平化”发展的现状及时地对本单位的信息安全制度进行修订。二是银行机构业务运行内网和外联网络管理比较宽松,漏洞多、隐患多。如有的银行外联单位线路未采取任何防护措施就直接接入内部核心网络,如遇网络黑客攻击,极易造成网络运行出现故障,严重的会造成系统运行瘫痪。三是有的银行机构移动存储介质方面制度要求不严,管理宽松,容易诱发病毒感染,造成信息安全隐患,给信息安全和网络安全运行带来一定影响。
二、加强基层央行科技管理的思路和应对措施
1、统筹协调,增强科技管理的综合力。一是加强调研,根据金融科技发展现状,制定完善区域金融科技信息化发展规划,明确基层央行金融科技的工作目标、工作重点和工作任务,并将其纳入到业务发展中同部署、同落实。二是在人民银行的主导下,发挥银行业金融机构信息安全联席会议的作用,及时沟通交流区域银行业金融机构信息化发展情况,探讨金融科技发展中遇到的新情况、新问题,及时研究解决方法,促进金融信息化健康发展。三是适应金融信息化发展新要求,及时更新基层央行科技人员工作理念,适当增加科技人员配备,同时对现有科技人员采取外出学习、专题培训、课题攻关、自主自学等方式和途径,切实提高科技人员的政治思想素质和业务工作水平。
2、扎实工作,增强业务系统的建设力。基层央行自身业务系统的有效维护和保障,是做好科技管理,为金融机构提供信息化网络有效运行的工作基础,因此,加强基层央行科技管理,加快自身各种系统应用工作的建设,保证高效、稳定运行就显得尤为必要。一是要做好应用系统的建设、维护工作。根据安排,基层央行科技管理方面要开展业务网电子公文传输系统及电子档案系统、金融业信息交换系统、ACS系统建设的相关工作,同时要做好已经接入运行的国库信息处理系统(TIPS)等系统的优化、完善工作。二是完善基层央行机房及网络等基础设施的建设工作。要认真实施辖区内人民银行县级支行电视电话会议系统建设工程,根据上级的统一部署,积极开展机房建设,在规范县级支行信息安全等级保护工作的基础上,做好科技常态化管理和科技工作的完善提高。三是建立和实施计算机客户端信息安全检查制度。要指导各业务科室和人员,每月对计算机进行全盘病毒扫描和安全配置检查,消除安全隐患,为系统安全运行提供保障。
3、积极有为,增强科技管理的创新力。实践证明,创新是科技管理科学化、现代化的不竭动力。基层央行科技管理要从以下方面开展创新工作:一是激发科技人员的创新意识,开展“勤思考、勇创新”活动,对科技管理提出“新点子”,提升科技管理工作的潜能和效率。二是创新服务方式。要针对县支行科技人员多为兼职、科技管理水平参差不齐的状况,编写县支行科技管理工作手册,指导县支行提高信息化系统运行维护技能,规范金融科技管理。三是创新信息安全防范工具。根据计算机病毒多发、易发的情况,开发病毒防护辅助工具,指导和提醒用户定期扫描计算机,防止病毒扩散,有效地提升计算机病毒防护工作水平。
4、综合治理,增强行业管理的执行力。一是建立“金融机构信息安全评价办法”,从人员组织、网络、机房、系统建设、灾难恢复、安全管理等方面对银行业金融机构加强科技管理,开展信息安全现场与非现场评价,促进银行业金融机构增强信息安全管理意识、提高信息安全内部管理水平。二是进一步做好外联机构的网络接入管理。根据人民银行总行“统筹规划、集中组织、电信汇聚、一口接入”的方式,进一步规范村镇银行、小额贷款公司等小、微型金融机构的接入服务。三是指导银行业金融机构开展等级保护工作。根据人民银行《关于银行业金融机构信息系统安全等级保护定级的指导意见》等文件要求,指导银行业金融机构进一步落实系统安全等级定级和备案工作,同时将等保工作纳入安全评价范围,督促其做好三级及以上系统的测评和整改工作,确保系统达到相应等级的技术要求,提高系统安全性。四是深入推进银行卡与电子支付管理工作。继续推动金融IC卡迁移,指导地方性法人金融机构,及时总结有关商业银行的亮点经验和做法,加快金融IC卡系统的改造步伐。以行业合作模式促进金融IC卡多应用,加强与地方政府相关部门的沟通,指导商业银行积极开展金融IC卡在公共服务领域应用,扩大金融社保卡的发卡地区和发行量,建立并完善社会保障卡加载金融功能的工作协调机制。严把准入关,加强银行卡发卡和电子支付技术审核。
【参考文献】
[1] 孙耀君:西方管理学名著提要[M].江西人民出版社,1995.
