充分认识开展财政资金安全检查工作的重要性和紧迫性,切实加强对本次财政资金安全检查工作的组织领导,区财政局成立财政资金安全检查工作领导小组,由局长同志任组长,副局长同志、同志任副组长,综合科、预算科、农业科、财政国库支付中心、非税收入中心、财政审核中心等科室负责人及事业单位领导为领导小组成员,具体负责本次财政资金安全检查工作的组织领导,周密制定检查工作,扎扎实实开展好检查工作。
此次检查以各有关单位自查与财政部门抽查相结合的方式进行。财政部门在各单位自查的基础上,根据各单位自查情况,进行抽查。
二、检查范围和重点(具体内容请见附表)
(一)组织领导方面
(二)资金收付管理方面
(三)信息系统管理方面
(四)制度建设和内控管理方面
(五)岗位设置和人员配备方面
(六)印鉴和票据管理方面
(七)账务管理方面
(八)对账工作方面
三、严肃纪律,确保实效
各单位要注重工作实效,自查工作要做到全面彻底,不留死角,不走过场。对没有认真进行自查的单位实施必查。对存在的问题要实事求是地反应,特别是对自查和抽查中发现的重大问题要及时向财政局报告,严禁隐报,瞒报;同时,要认真研究,制定整改措施,边查边改,切实堵塞管理漏洞,确保自查取得成效,确保财政资金安全。对隐报、瞒报、迟报,敷衍塞责,自查不彻底或整改不到位的,除通报批评外,并将按《财政违法行为处理处罚条例》(国务院令第427号)等法律法规的有关规定予以严肃处理。
要以此次检查为契机,有针对性地完善、健全各项内部规章制度,形成各个环节、各个工作岗位之间的互相监督、互相制约,建立起财政资金安全管理的长效机制,确保财政资金安全、高效运行。
四、分段组织实施
(一)自查自纠阶段(月日-月日)
各单位认真组织自查,要针对梳理出来的问题进行专门研究,理清思路,制定整改方案,分轻重缓急和难易程度,边查边改。
一、**省**案件的简要通报
(一)国库集中支付制度改革不彻底。由于传统体制的惯性以及主客观条件的制约,一些市县的改革没有完全到位,操作也不尽规范,改革中采取和保留了一些过渡性办法。一是会计集中核算转轨不彻底,与国库集中支付双轨运行。在预算单位财务收支管理上,财政部门集单位会计与出纳为一身,削弱了预算单位作为预算执行主体、财务管理主体和会计核算的地位,致使预算单位内部会计与出纳的牵制机制全面消失。二是财政专项资金沿用财政专户管理的办法,没有纳入国库集中支付统一管理。各种财政专项资金分别设户、分散管理、独立运行,并采用传统的实拨方式拨付资金,导致资金拨付管理链过短,增加了资金运行风险。**市财政局国库收付中心**和张金镇财政所3名职工,选择财政专户资金和财政代管的单位资金作案,正是利用了财政资金管理制度上的漏洞。
(三)内控管理制度不落实。**市两起案件的发生,暴露了基层财政部门内部管理上的薄弱。一是岗位设置不健全。一些市县财政国库机构和乡镇财政所由于人员配备不足,在内部管理上存在一人多岗、岗位交叉的现象,致使一些非常重要的制度如隔手制管理、定期对账等无法落实,一些需要相互牵制的关键环节和重要权限集中在个别人员手中,给资金安全留下巨大隐患。二是印鉴和票据管理不严格。少数单位未对支付印鉴实行分人分印管理,而是一人保管全套支付印鉴,印鉴存放也缺乏必要的安全措施;一些地方未将财政支付凭证作为重要空白凭证加以管理,保管、领用和核销制度不严格,出库后随意摆放,管理漏洞较大。三是稽核和对账制度未落实。一些地方未按制度规定设置内部稽核岗位,对账工作不及时、不认真、流于形式,造成问题发生后长期不能发现。综观**两起案件的作案手法,其手段并不高明,但正是内部管理制度的失控,使得作案由一路红灯变为一路绿灯。如果印鉴、票据、稽核、对账中的任何一个环节管理到位,问题就不会这么容易发生。
二、财政部会议的主要精神
财政部党组对财政资金安全工作一直高度重视,****案发生以来,谢部长、廖副部长、张通部长助理几次作出重要批示,多次要求有关司局认真查找原因,堵塞漏洞。部内有关司局行动迅速,派出工作小组赴**实地调查,掌握了案件的第一手资料,同时查找出**案暴露的财政资金安全管理方面的问题和漏洞。
2月19日上午,财政部召集**、北京、辽宁、黑龙江、**、广东、四川、**等八个省市的财政厅分管厅长、纪检组长、国库处处长、监察室主任,召开了部分省市财政资金安全管理工作座谈会。会上,**省财政厅先介绍了**市财政专户资金被窃案的情况、查摆的原因以及整改措施,与会代表讨论了《财政部关于进一步加强地方财政资金安全管理的通知(征求意见稿)》。财政部部长助理张通主持会议,纪检组长贺邦靖同志做了重要讲话。
就地方财政资金安全管理问题,贺组长提出两点意见:
(一)充分认识加强财政资金安全管理的重要性和紧迫性。**案的发生,值得各级财政部门认真进行反思:一是有些地方财政资金安全意识淡薄,由此导致内部管理松懈;二是制度存在缺失,执行不到位。财政专户开设过多,专项资金没有全部纳入国库集中支付范围。财政与银行、预算单位之间的定期对账制度、相互制约机制和纠错机制都不太健全,漏洞较大;三是市、县国库集中收付制度改革还不彻底,一些市县在推行国库集中收付制度改革时,还存在认识不到位、紧迫感不足、畏难犹豫等问题,没有很好地落实改革的有关要求;四是管理制度实施操作过程中存在漏洞,在财政资金管理的重点环节,如管人、管账、管电脑密码、管保险柜等方面,都有很多漏洞,存在有制度不严格执行等问题。
(二)切实采取有效措施,全面加强财政资金安全管理工作。
1、扎扎实实开展好财政资金安全检查工作。财政部决定组织地方各级财政部门开展一次财政资金安全检查工作,国库司、驻部监察局和监督检查局将组织专门检查组,对地方财政部门检查和整改情况进行抽查。
2、进一步健全完善财政资金安全管理制度。特别是要对会计、出纳、审核岗位分设,印鉴、票据分开使用管理,财政部门与银行之间的权、责、利关系等关键环节和风险点,以及专项资金管理进行重点规范。
3、全面深化和完善国库集中收付制度改革。一是改革尽快实现“横向到边、纵向到底”。20xx年省、市两级所有预算单位都要实施改革,20xx年前力争将改革覆盖到所有市县的所有预算单位和所有财政性资金,暂不具备条件的,也要在20xx年前完成改革任务;二是抓紧做好会计集中核算向国库集中收付制度的转轨或衔接工作。不能再采取将资金实拨到核算中心账户沉淀形成“第二国库”的做法。条件比较好或具备条件的地方,应当按照规范化的要求,抓紧做好转轨工作;全面转轨条件尚不具备的地方,先将会计核算中心的实有资金账户改为零余额账户,将国库集中支付做起来,力争20xx年前所有市县都实现改革和转轨;三是要全面推动国库管理机构和国库收付执行机构之间的职能和业务流程整合,按照财政资金支付的“流水线”设岗作业,建立起科学、高效、安全的财政资金支付流程,进一步提高工作效率;四是要建立健全预算执行动态监控机制,对财政资金支付业务实现实时动态监控,充分发挥动态监控的威慑作用。
4、狠抓财政总预算会计队伍建设。各地要在财政总预算会计编制、人员和岗位配置上,采取一些硬措施,确保满足资金安全管理对机构、人员编制和人员素质的基本要求。
三、财政部关于开展地方财政资金安全检查工作的要求
座谈会后,财政部印发了《关于开展地方财政资金安全检查工作的通知》(财库20xx18号),决定于3月至5月,在地方各级财政部门内部开展地方财政资金安全检查工作。
检查内容包括十个方面:组织领导、财政资金专户管理、印鉴和票据管理、制度建设和内控管理、岗位设置和人员配备、资金收付管理、账务处理、对账管理、银行管理、信息系统管理。
检查方式:由财政部统一部署,由省级财政部门具体组织实施,检查方式以地方各级财政部门自查为主,上级财政部门抽查为辅。财政部将于20xx年5月中下旬组织对地方财政部门检查工作的抽查,省级财政部门也要组织对下级财政部门检查工作的抽查。
四、布置我省的财政资金安全大检查工作
我省的财政资金安全大检查工作分为自查和抽查两个阶段。检查方式以各级财政部门自查为主,上级财政部门抽查为辅。
1、4月10日之前,省、市、县、乡各级财政部门完成本部门的自查和整改工作。
2、4月20日之前,县级财政部门完成对本级及所有乡级财政部门自查和整改工作的检查,并将本地区的自查和整改报告报送市级财政部门。
3、4月30日之前,市级财政部门完成对本级及所有县级财政部门自查和整改工作的检查,并对乡级财政部门的自查和整改工作进行抽查,并将本地区的自查和整改报告报送省级财政部门。
4、5月20日之前,省级财政部门完成对本级及所有市级财政部门自查和整改工作的检查,并对县级财政部门的自查和整改工作进行抽查,并将全省的自查和整改报告报送财政部。
省财政厅将成立6个检查小组,其中1个小组负责对省本级进行检查,5个小组负责对市级财政部门进行检查,并对部分县级财政部门的安全检查情况进行抽查。
(二)具体要求
1、切实加强领导,分级落实责任。全省各级财政部门要充分认识开展财政资金安全检查工作的重要性和紧迫性,切实加强组织领导。市、县财政部门的主要负责人作为本部门安全检查工作的第一责任人,要对本部门的自查和整改工作质量负全责。各市、县财政部门要参照省上的模式,成立财政资金安全检查工作领导小组和领导小组办公室,统一部署、分级负责,确保安全检查各项工作落到实处。
2、细化检查方案,逐条逐项落实。各级财政部门要参照省上的安全检查工作实施方案,按照《财政部关于开展地方财政资金安全检查工作的通知》10个方面的检查内容,制定出详细的对本级自查和对下级检查的实施方案,10个方面共计51条自查内容要逐条落实,一条内容都不能少,所有涉及此次检查内容的科(处)室和单位都要参加自查,一个单位也不能缺。尤其要对资金收付管理的关键环节和风险点进行重点检查;被检查的科(处)室和单位,要密切配合检查组工作,不允许以任何理由逃避检查。
2012年,县局安全保卫工作总的思路是在市局的正确领导和支持下,以企业深化改革为契机,紧紧围绕省公司、市局工作会议精神和县局各项经营发展决策,继续坚持用安全发展理念引领安全生产,坚持“安全第一、预防为主、综合治理”的方针,强化安全责任,规范安全管理,落实安全措施,切实保障邮政企业安全,力争全年全县邮政不发生较大案件、火灾和人身伤亡事故,为推动邮政跨越式发展创造良好的和谐、安全环境。
二、主要目标:
1.杜绝特别重大和重大生产安全事故;
2.不发生重大以上火灾事故;
3.盗窃金库、抢劫运钞车和储蓄网点案件得到有效控制;
4.全县邮政储蓄营业场所、ATM自动取款机安防设施达标率达到100%;
5.全县邮政金库(固定金库和移动金库)达标率达到100%;
6.杜绝企业发生,实现企业稳定和谐。
三、重点工作:
(一)加强安全检查工作,努力把各项安全管理规定和安全防范措施落到实处。
1.努力抓好集团公司出台的《邮政金融资金安全监督管理暂行规定》、《邮政金融资金安全检查规定》和《邮政金融资金案件责任查究规定》等“三个规定”文件的贯彻落实工作。要按照集团公司“三个规定”检查频次、内容和要求,加强监督检查工作,及时消除安全隐患。重点是要加强对金库、营业网点(包括一类网点)、押钞等安防工作进行督促检查,确保资金和职工人身安全。
2.坚持领导干部安全保卫工作责任制、安全保卫干部安全检查工作责任制,严格按照安保部门履职考核内容和标准,通过检查考核工作,及时发现和纠正各种不安全因素,确保安全管理工作有成效地正常开展。
(二)强化安全管理。
要加强安全教育,严格制度落实。特别是要强化金融从业人员的风险防范意识,督促他们按章操作。要加强网点管理,配合邮储银行抓好二类网点和网点的稽核检查工作,确保职工人身安全和邮储资金安全。要坚持“安全第一”原则,确保机要通信万无一失。要加强车辆管理,确保交通安全。要纵深推进“问题管理”,发动全员主动查找问题、及时解决问题,防患于未然,杜绝事故隐患。
(三)努力抓好安全防范设施建设。
1.继续抓好全县邮政储蓄网点、金库、ATM机安防设施的维护、更新改造工作
2.做好全县二类、网点联动门维保工作。
(四)加强安保队伍的培训和建设工作,全面提高安保人员的素质。
在企业深化改革过程中,将注意安全保卫队伍的稳定,切实注意保留和充实必要的保卫工作干部,切实解决安全保卫工作必须的装备。同时,将加强对保卫人员的教育培训,重点加强对集团公司出台的《邮政金融资金安全监督管理暂行规定》、《邮政金融资金安全检查规定》和《邮政金融资金案件责任查究规定》等“三个规定”文件、新《邮政法》、《中华人民共和国安全生产法》、《中华人民共和国消防法》等规章制度和法律法规的学习,提高安全保卫队伍的整体素质。
(五)加强邮政内部社会综合治理工作。
(六)抓好案件的督办和查处工作,为企业尽量减少损失。
要高度重视破案工作,切实加强对破案工作的组织领导,并在人、财、物上给予支持保障。要以盗窃抢劫案件、携款潜逃案件为重点,采取有力措施,加大查处力度。积极争取公安、检察机关的支持,主动向当地公检法机关汇报案件情况,提供破案线索和必要的物资保障。要建立大案要案督办机制,做到有一件立一件,改一件销一件,件件有记录。要加强对新的作案手段的研究,不断总结查处案件的经验教训,提高破案能力。要重视和加强邮件内件被盗案件的查处工作,对涉及其他县(市)的情况,要及时报告市局。
按照省厅下达的人力资源社会保障信息化工作目标要求,及年初制定的重点亮点工作目标进度安排,积极开展各项业务工作,现将全年工作目标完成情况汇报如下:
一、工作目标完成情况
(一)软件应用工作
1.部署了养老异地转移平台,实现了养老保险异地转移网上办理,对统一应用软件进行了5次版本升级部署,完成统计报表软件部署应用工作,对统一应用软件需求平台进行了升级,规范了需求管理流程,并对市、县区所有经办机构业务人员进行了7次系统培训。
2.完成劳动保障监察两网化管理信息系统的本地化开发
工作,以及劳动监察三维地图的开发工作,进入推广应用实施阶段。目前,市直、汤阴县、安阳县已开始应用。
3.开发了用工备案、合同管理系统,对市直企业、各区直企业、__县县直企业和各区劳动保障所1000余人进行了操作培训。征求修改建议并进行了修改完善。截止10月底,目前共有单位数__家,人数104695人通过用工备案软件进行了备案,__人对劳动合同进行了备案。
4.完成了医疗保险市级统筹软件升级工作,截止目前__、林州、__系统升级已全面完成,数据已并入市数据中心统一管理,实现了新老卡的兼容并行。目前内黄、安阳县正在进行数据整理工作,计划明年2月份完成所有县的软件升级和数据整合工作。
5.配合仲裁院开发了劳动仲裁信息管理系统。
6.组织职介中心、就业服务科、社区科、训练中心、劳务输出等单位完成了全省统一劳动就业软件测试工作,共测试数据380余条,提出软件修改建议__条。
(二)数据管理工作
1.配合经办机构完成了五项社会保险的数据审计工作。
2.对交换区数据进行了比对、整合,实现了数据的实时更新,为实现单位、个人五险业务统一申报、查询奠定了数据基础。
3.按照省厅要求对交换区联网软件进行了更新,并按要求逐月上报五项保险联网监测数据、就业监测数据及五险财务数据。针对省厅反馈数据问题和经办机构及软件公司一起制定了详细的数据整理方案。
4.按照市新东区建设要求,完成了__县医疗保险与__区数据移交工作。
(三)网络建设、安全管理工作
1.完成了我局信息网络和业务系统“安全风险评估”工作,并形成了《__市人力资源和社会保障局信息系统安全风险评估报告》及《信息系统评估安全建议方案》,为下一步系统安全工作提供了技术依据。
2.按照全省新农保网络建设要求,完成新增试点汤阴县和林州市的网络建设工作,确保了新农保工作的有序开展。
3.完成省政府信息安全检查组对我局的信息安全检查工作。
(四)社会保障卡应用
1.1-11月,共制发卡__张,受理补办卡、挂失、解挂、卡注销等各种手续31334笔。
2.按照人社厅《关于转发人力资源和社会保障部开展社会保障卡质量安全检查的通知》要求,完成社会保障卡质量安全检查工作。
3、结合医保市级统筹工作县(市)系统升级进度,各县医保经办机构开始受理本辖区范围内职工居民的卡补换业务。
(五)公共服务工作
1.进一步完善门户网站网上服务功能,开发了安阳市人力资源和社会保障网上办公服务平台,实现了网上缴费基数申报、职工通讯地址申报、单位业务信息查询、通知公告、文档下载等功能;
2.完善了网上考试成绩查询栏目,修改网站后台管理程序,规范数据项格式,实现了后台数据项格式的自定义,考试成绩数据的格式转换、即时导入,考生个人成绩查询等,提供了更加严谨、安全、方便的网上成绩查询服务。
3.配合公务员办公室完成了河南省公务员网络培训学院安阳市分院的建设工作,将公务员培训网整合到门户网站。
4.考虑到我局目前使用OA内部办公平台的系统安全问题、用户容量扩充能力有限,邮件系统存在弊端等,开展OA平台升级工作,与软件公司多次讨论业务需求。OA已基本完成升级开发、修改、测试工作,并对部署服务器进行了部署。下一步,将有计划地开展培训应用工作。
5.完成了移动短信平台软件的开发、测试工作,并开发了通用接口程序,为下一步各项系统应用短信平台做好了准备。
二、主要工作措施
1.全省统一软件应用工作
按照省厅统一安排部署,加快推进社会保险关系转移系统应用工作。省厅要求,今年要完成养老保险关系转移入网工作。今年3月份我市积极部署了养老异地转移平台,实现了养老保险异地转移网上办理。认真、及时做好全省统一软件的每一次版本升级,并且为确保每次升级的顺利应用,每次升级前组织全市社会保险经办机构业务人员和技术人员进行升级版本的操作培训,同时提前征求经办机构人员应用统一软件存在的问题,现场进行解答。1-11月共升级5次,培训7次。
同时,按照全省统一要求,开展全省统一劳动就业软件测试工作。组织职介中心、就业服务科、社区科、训练中心、劳务输出等单位完成测试工作,共测试数据380余条,提出软件修改建议62条。
2.劳动关系软件应用工作
3.网上办公综合服务平台应用工作
4.医疗保险市级统筹工作
为了做好医疗保险市级统筹工作,配合经办机构召开了软件升级改造座谈会,提出了软件升级的重点、难点问题和解决思路。对各县、区的基础数据和市直的职工数据及全市的居民数据进行了比对,和市直及各县区医保中心一起确定了数据核对、处理方案,目前林州、汤阴已完成市级统筹软件升级,数据已并入市数据中心统一管理,新老兼容并行。目前其他县数据整理工作正在进行。
5.就业再就业软件管理
一是增加了电子地图模块,实现精细化管理。以北关区,开展了就业精细化的全面推动工作。二是将就业软件推广到了各县。目前,汤阴县已独立运行就业软件,已使用软件中的就失业证发放、职业介绍、就业培训、小额贷款等业务模块。三是配合汤阴县公共就业服务平台建设,对所有乡镇保障所协管员进行了就业软件的基础培训工作。
(二)社会保障卡应用
(三)数据管理工作
一是配合经办机构完成社会保险数据审计工作。按照国家社会保险基金审计工作统一安排部署,对全市各个社会保险经办机构业务数据和基金进行统一审计。按照审计部门要求,提取了全市养老保险、医疗保险、工伤保险、失业保险、生育保险、城乡居民养老保险的审计数据,配合各经办机构完成了数据审计工作。二是进一步规范交换区数据,开展数据整理整合工作。为实现各险种单位、人员数据统一管理,对五个险种数据进行了统一比对,形成了交换区数据,并实现了数据的实时变更、更新,为实现单位、个人五项保险的统一申报、查询奠定了数据基础,实现了12333自助查询业务数据的实时性。
(四)网络安全建设及设备维护
1.继续完善门户网站服务功能,实现网上服务统一管理
一是开展网上办公服务平台工作。将网上办公服务平台与门户网站进行整合,实现了参保单位通过门户网站进行社会保险缴费基数申报,并申请了独立域名。二是完成河南省公务员网络培训学院安阳市分院的网络调试及网站的建设工作。按照全省统一安排,配合公务员办公室完成了河南省公务员网络培训学院安阳市分院的网络调试及网站的建设工作,并将公务员培训网整合到门户网站,加强了网站的统一管理。三是完善考试成绩查询栏目。为了配合做好“机关事业单位工勤技能岗位技能考核”、“市教育局招聘直属学校教师”成绩公示查询工作,对网站成绩查询栏目进行了修改完善。重新修改编写了网站后台管理程序,规范了数据项格式,实现了后台数据项格式的自定义,考试成绩数据的格式转换、即时导入,即时查询等,通过录入准考证号、身份证号或姓名,就能查询到考生个人的成绩信息,实现了我市人事人才考试成绩网上公示查询功能,为我市各类专业人才提供了便利服务。
2.OA及12333咨询服务
一是对原OA办公平台进行升级改造。随着我局电子政务建设工作的开展,原来应用的OA办公平台已不能适应我局内部办公的需求。为了加大政务公开力度,实现内部办公科学化、现代化、信息化,对原OA办公平台进行了升级改造,进一步提高行政效能和办公效率。与多家软件公司进行座谈,进行业务需求沟通,并安排人员进行软件测试。目前,开发、测试、修改完善工作已基本结束。年底前将有计划地开展市局、县区、街道、社区工作人员培训应用工作。
二是加快短信平台建设工作。与移动公司结合,对原短信平台进行升级,结合应用系统数据与百姓需求,进行需求分析论证,目前已完成平台的开发、测试工作。为了提高短信平台的通用性,又开发了通用接口程序,为下一步各项系统应用短信平台做好了准备。
随着银行业数据大集中,商业银行分支机构的部分风险得以集中,而通信、网络、系统因素的操作风险、机房风险等仍然存在。本文结合商业银行基层分行的信息科技风险管理实践经验,对基层分行存在的问题进行了归纳,并从组织架构、机房管理、网络通信、应急演练等方面提出可行性建议。
关键词:
金融科技;信息风险;商业银行;维护管理;通信线路
随着金融业信息化的快速发展,银行业陆续实现了数据大集中至一级总行,以提高核心竞争力应对越来越激烈的市场竞争。数据大集中能够为银行业提供充分的信息支持,直接促进了金融产品的升级,提高服务和管理手段,使原本分散的风险随之集中。同时,数据集中处理对通信、网络、系统的依赖性更高,对系统开发、网络管理、运行维护等人才的要求也更加专业。对基层分行来说,认识到当前形势下所面临的信息安全风险,并且通过有效的监督管理手段,保证信息系统健康、稳定发展,防范风险,杜绝安全隐患,是一个重要课题。本文结合信息安全日常管理经验,对基层分行存在的问题及应对措施进行了归纳分析。
一、基层分支机构信息安全风险分析
(一)业务中断风险
1.机房风险
银行的机房作为信息化基础设施的核心,好比人体的心脏,承载着业务运营的重要动力。机房是信息系统和网络信息设备的汇聚地,一旦机房发生火灾、水灾等意外,将严重影响业务的运行,同时给故障恢复带来巨大的工作量。
2.网络中断风险
分支机构的网络建立承载着上联总行、下联支行的重要作用,每一条数据链路、每一台设备都举足轻重,网络的“健壮性”是业务连续性的重要基础。数据链路的作用相当于人体的血管,网络性能应始终处于健康、无阻塞、安全的运行环境中。网络中断风险会直接导致机构无法办理与核心系统有关的任何业务,银行数据大集中也就失去了意义。
3.人员操作风险
人员操作风险是指由于内部人员错误操作或工作失误造成的信息系统风险事件。因工作人员能力欠缺、有意不遵守制度或恶意破坏,导致终端、设备、局域网内设备软硬件故障,将影响部分机构甚至是全部业务无法正常运营。
(二)数据安全风险
1.数据被窃取
数据在转存或传输过程中遭到窃取甚至恶意篡改,或由于权限控制不严导致无关人员接触到核心数据,并导致机密数据外泄等风险。一旦发生数据被不法分子窃取的情况,不仅会泄露客户信息资料,更严重的会引发客户不满,影响银行的整体声誉。
2.数据缺失
由于自然灾害、设备故障、人为因素等突发事件造成存储介质的损坏,导致部分或全部数据丢失,或未按规章制度要求进行数据转存或备份,使某个系统出现异常后,不能及时恢复,影响业务的连续性。
(三)系统建设与桌面终端风险
1.系统建设风险
数据大集中后,越来越多重要的信息系统,包括重要的业务数据只部署在总行一级,不需要在下级分支机构部署。为了提升管理,有能力的分支机构会建立一些特色化的辅助系统,由于人员少、技术能力有限等因素,这类系统常常是小众人员参与,系统架构较为简单,开发、运维、测试不分家,岗位的A/B角制度难以落实,制度监督和制约措施很难完全执行到位,直接导致的风险是在技术架构的制约下,系统逐步庞大,代码臃肿,升级和更新受限。同时,因员工的转岗、离职等因素,导致后期团队接手困难。
2.桌面终端风险
二、信息安全风险管理的工作思路
(一)组织架构及制度建设
信息科技风险作为操作风险中的一类,独立于任何其他风险种类,商业银行应培养全员对信息安全问题的重视意识,成立包括管理层、中层管理者、员工构成的三级信息安全管理工作小组,设立独立的信息安全管理岗位,并配置兼职信息安全员,落实具体的信息安全管理工作。制定信息安全工作目标考核体系及管理制度,落实工作职责及任务,以积极有效的应对措施保证目标、任务的完成。
(二)机房管理
(三)有效管理
1.管控体系
在具备条件的情况下,基层分行应建立一套包含入侵检测、防病毒、补丁分发、系统防护、非法外联、移动介质管控等在内的完善的信息安全管控体系,抵御外界入侵,防范病毒传播,修复操作系统漏洞。做好数据备份、传输及加密工作,尤其是牵涉客户的敏感信息,严防由于权限控制不严导致无关人员接触到核心数据,控制数据转存或传输过程中遭到窃取甚至恶意篡改的风险。
2.完善信息技术架构管理
基层分行信息系统研发的目的是加工来自核心及非核心的基础数据。应规范信息系统建设流程,严格把控科技项目建设风险,统筹系统建设和风险防范的矛盾性。在安全的模式下创新,把控风险,将集中的大数据加工成管理层、员工最为关心的内容,及时响应管理需求,以此促进业务、保障运营、提升管理。有计划、有步骤地推进建设“分布式的”“可复制的”“可扩展的”坚若磐石的基础平台,特别注重统筹规划信息系统等保障业务运行的基础平台,提高数据存储水平,保证业务数据安全。
3.规范运维、操作流程及手册
4.软硬件产品生命周期管理
基层分行应重视信息系统、服务器、路由器、交换机及计算机设备等软硬件设备的生命周期管理,做好关键设备的冗余备份,制定设备的替换方案,提前组织基础设施的更换、维保、升级服务,建立老化、淘汰设备的“退役”机制,消除因设备生命到期而可能带来的潜在运行风险。
5.监控手段与预警机制
(四)网络通信
采用不少于两家不同运营商的通信线路,确保网络无断点,访问带宽应满足各信息系统的带宽需求,必要的情况下引入无线网络通信。配备备份的网络设备,核心生产系统设备至少应采取双机热备,网络配置应由专人负责,网络配置的更改应有备份、双人复核确认机制。定期邀请网络设备厂家、通信运营商进驻,利用其丰富的工作经验,在网络健壮性、设备生命周期等方面进行评估。重大节假日应与市电信公司、联通公司、移动公司等通信运营商取得联系,对有关网络设备、光纤线路进行检查,排除风险隐患。
(五)建立应急预案,落实应急演练
对信息科技突发事件进行梳理,制定不同场景、不同层次、不同内容的可操作的应急预案,着重组织开展影响生产业务的风险梳理和排查,明确应急工作职责,可通过外部专业机构验证应急预案的有效性和全面性。积极开展辖内应急演练工作,包括机房安全、供电系统、UPS放电、网络线路、线路切换的自我验证、人员的操作熟练性等内容,随机抽取演练场景,做到“真演练”和“真切换”,不走形式,不走过场,结合自身环境和实际情况,调整应急演练处理过程,增强员工实战能力。总结演练过程出现的问题,形成演练报告,不断修订完善应急预案,提高信息系统对突发事件的应急处理能力,保证业务连续性。
(六)信息安全检查
全面梳理分行及分支机构风险点,尤其紧盯基层分支机构风险,坚持开展多形式的信息安全检查,坚持以“分支机构定期自查、领导亲自检查、重要时期专项检查”等多层次检查方式,强化各级人员的安全意识,不断夯实安全基线。“检查不走过场、问题不留死角”,对检查出现的问题下发整改通知单,将结果纳入绩效考核,规定整改期限,责任落实到人,到期进行复查,对反复出现的问题追求当事人、负责人的责任。通过检查,营造信息安全管理高压态势。
(七)业务培训及人员管理
一是通过面授、远程培训、送教上门等方式,每年组织科技人员、兼职信息人员进行集中培训,邀请业内专家专题授课。科技人员根据专业特长,总结日常运维经验,注重可操作性编写运维操作手册,将信息安全培训加入到新员工培训手册中,树立全员信息安全意识,降低信息安全风险。
三是开展内部师徒“传帮带”作用,从企业文化、管理理念、公文写作等方面提升员工“软”素质,另一方面通过内部宣讲、聘请外部教师、参加外部培训等方式拔高员工“硬”工夫,促使员工全面提升,主动考取专业证书。提高员工基础理论水平,探索培育和建立一支集数据分析、业务、技术综合素质于一体的专业化人才队伍,与银行各传统职能部门在相互协作中碰撞出新的火花,驱动整个银行的业务和科技能力提升,培养软件开发、网络管理、系统维护等多层面的技术骨干,进一步提升服务的能力和服务的意识,打造独具特色的“学习型”“奋斗型”“吃苦型”“创新型”精品科技人才队伍。
四是梳理员工岗位职责和分工,加大内部员工的交叉培训工作力度,遵循不相容职责相分离的原则,实现合理的组织分工,避免系统开发人员同时从事该系统的运维管理工作。