信息安全整改方案范文
時間:2023-04-01 18:29:33
導語:如何才能寫好一篇信息安全整改方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
一.一鉆研違景
我國計算機網絡盡管起步較晚,但經由近幾年的迅猛發展,已經走進每一家每一戶。截至二0一三年,我國已經有六億多網民,成為網民至多的國家。同時,信息的載體模式也迅速發展,如微博、微信、facebook、QQ等,電子政務網絡作為政府合用的主要網絡,安全以及保密問題成為凸起問題之1,不經意間信息就可能被泄露、盜取。在這類情況下,電子政務的信息安全問題就燃眉之急,良多政府機關仍在使用原始的網絡隔離卡、網鬧等手腕避免信息的非授權獲取,電子政務網絡與公共信息網絡沒有物理隔離,給病毒入侵以及黑客襲擊等非法手腕提供了便利的渠道,這類原始的手腕很容易被攻破,電子政務信息安全沒法保障。1旦不適于對于外表露的政府信息、軍事信息、經濟信息、社會信息等分散,對于社會流動、國家不亂都會造成深摯的影響,為避免這類現象產生,電子政務系統的安全才是應當患上到注重之處。互聯網安全技術廣泛利用與電子政務系統,勢必使電子政務信息的保密性更為深遠,也保障了政府的正常秩序、社會的不亂以及國家安全。
…………
一.二國內外發展示狀
美國的電子政務系統最開始是由克林頓于一九九三年提出施行的,其發展速度比較快,展開的也比較勝利,在各個領域迅速發展起來,使美國成為全球電子政務建設的模板。美國采用電子政務的階段施行策略,在這個進程中,從簡單到繁雜逐步演化:第1階段是雛形階段,主要是在政務系統中提供1般的服務,從事簡單審批事項,不是很繁雜;第2階段開始樹立公共可閱讀的網址,處理比較繁瑣的事務,政府展開轉型;第3階段是組構電子政務集成系統以及技術體系,樹立政府處理系統;第4個階段有互動功能,政府間、政府以及企業,政府以及公民間互動溝通以及服務。美國電子政務的發展有下列幾個特色:第1,許多網站以及政府事務;第2,政府有專門電子政務部門負責對于電子政務網絡進行管理運維;第3,政府擁有便捷的服務體系,快捷響應要求;4是電子政務信息安全意識強烈,專注于信息安全管理以及維護。一九九九年加拿大政府于正式頒布政府在線,相似于現在的電子政務,并且于以后幾年內實現所有政府信息以及服務的網上辦公,加拿大在電子政務內網的設計上獲得了顯著的成效。加拿大電子政務發展的基本特征:第1,政府執行利用程序的角色,加拿大政府掌舵人親身關注電子政務建設;第2,基礎設施建設無比迅速以及完全;第3。以用戶為中心,以企業以及國際客戶的反饋滿意度的主旨,延續改良以及發展。新加坡是進行政府信息公幵最古老的國度,也是電子政務建設過程中迅速發展的1個國家。二0年前,在一九八七年開始發展政府計算機規劃,建設電子政務網絡是首要的組成之1,新加坡還推出了1系列國家科技規劃,科技的利用以及重構使政府機構辦事高效、反應快捷,為所有類型的用戶提供優質的、可反饋的綜合。
………….
二.電子政務基本概念
二.一電子政務安全及抉擇因素
電子政務安全觸及良多領域,是國家安全的首要組成部份,電子政務安全部現在下面幾個處所:①真實性,即便用者身份以及處理信息是真正的;②不可扭轉性,即信息不可損壞,在傳遞以及存儲中不會呈現未被授權的扭轉;③權限性,即用戶身份不同對于信息資源走訪權限不同;④保密性,即信息不會被非授權走訪,包含存儲保密性以及傳輸保密性;⑤抗抵賴,即有保密責任機制,背規操作可記錄并承當相應責任一。電子政務信息安全抉擇因素都是應用了管理以及技術上的安全漏洞,可分為內部因素以及外部因素,內部因素是指人有目的、有計劃的襲擊以及損壞電子政務信息網絡,這種因素主要包含歹意以及差錯兩種,歹意安全要挾是指出于某種目的主動對于電子政務信息網絡進行損壞以及襲擊,其表現情勢包含網絡襲擊、信息盜取、病毒入侵、特務潛入等。差錯安全要挾主要是因為授權用戶缺少經驗、培訓不到位、操作失誤等緣由無心操作造成為了對于電子政務系統的損壞;外部因素是指面向外部用戶的電子四政務系統遭到的安全要挾,例如政府門戶網站等,這些服務是對于外的、面向外部的,存在比內部網絡更大的損壞以及襲擊的要挾,也包含物理因素制約以及技術壁皇兩方面內容,例如不可抗的天氣、存在安全漏洞的技術防護手腕。
…………
二.二.電子政務中信息安全的相干理論以及技術法子
為構建電子政務信息安全部系,經常使用的信息安全相干理論以及技術法子有數據加密技術、認證技術與數字簽名、等級維護法子、入侵檢測安全技術、安全域劃分、虛擬專網、防火墻技術等。數據加密技術是將信息經由密朗和特定函數轉變成無心義的信息,即由明文轉變成密文,稱為加密,而將其逆向的進程稱為解密。為了提高電子政務系統數據的安全,數據加密技術被引入,避免涉敏感信息泄露。數據加密技術是指1個特定的數字安全技術,信息被數據加密工具(加密密銷)轉換成無心義的密文,收件人收到看似無心義信息,通過解密,患上到需要的信息,在現代信息的社會,情報間謀想方設法的想獲取有利的情報信息,這個進程有效避免了敏感信息的意外被獲取。加密算法是通過原始信息的1系列加密法則對于明文進行加密,接受者收到后對于密文使用相同法則進行解密。解密算法以及加密算法常常是逐一對于應的瓜葛,構成1組加密密鑰以及解密密銷,履行逐一匹配,現有的可分對于稱加密技術以及非對于稱加密技術。對于稱加密技術中,加密以及解密公用1個密胡,同樣成保密密鑰或者者單朗匙加密法子,例如數據加密算法(Data Encryption Algorithm, DEA)以及國際數據加密算法(International Data Encryption Algorithm, IDEA);非對于稱加密技術即加密以及解密使用不同的密朗,不同的密鑰被稱為“公朗”以及“私胡”,公鑰以及私鋼組合使用,完成對于信息的加密以及解密。公明是可以對于外公幵的,私明是有信息結合方掌握不對于外公布的,例如RSA、違包密碼、McEliece密碼等。加密技術在傳輸進程中,只要傳輸加密文件,就很難把密鑰傳輸給對于方,不管使用甚么法子均可能被盜取,1旦盜取,加密的信息就等于完整暴露在網絡上,而非對于稱加密技術中,由于公胡是可以公幵的,公胡就顯的不那末首要,即時加密信息以及公鑰被意外取得,沒有私鑰也1樣沒法對于加密信息進行解密,有效的解決了密鋼在傳輸進程中產生的泄露隱患以及問題。
………..
三.電子政務網絡信息安全.........一五 三.一電子政務網絡利用安全風險......... 一五
三.一.一物理層.........一五
三.一.二鏈路碰層......... 一五
三.一.三網絡層......... 一五
三.一.四系統層......... 一六
三.一.五利用層......... 一七
四.電子政務安全防范體系整體法子......... 一九
四.一安 全防范體系設計準則......... 一九
四.二健全信息安全規章軌制保障體系......... 二一
四.三優化管理結構......... 二三
四.四健全預警與自評估防護體系......... 二五
? 四.五樹立應急恢復機制......... 二六
五.鉆研總結與瞻望......... 二七
四.電子政務安全防范體系整體法子
四.一安全防范體系設計準則
電子政務平臺是整個電子政務網絡體系的基石,以計算機網絡為出發點,斟酌到整個系統,易于擴大,進級,管理以及使用。①易用性以及超前性。計劃電子政務需要斟酌到全盤的發展,計劃未來的網絡擴充以及改造需求,首先斟酌易用性,便于的學習使用,人機交互好,操作利便,可以實時保護,其次要斟酌充沛應用現有的有信息資源以及裝備,采取先進的網絡通信技術以及裝備,以保證原有投資的資源不揮霍以及冗余的有效性。②不亂性以及安全性。電子政務的不亂安全運行建構在整個系統的通力協作上,不亂以及安全需要信息技術工具進行保障,利便電子政務的運維,充沛斟酌癥結裝備的維修、售后,改換以及擴大冗余路線,采用必要的防護措施,準確傳輸,確保數據不會被篡改,并依據具體情況使用VPN,走訪節制,網絡隔離,邊界防護,IP/MAC地址綁定,防火墻以及IDS等網絡安全技術確保網絡的不亂安全的運行。網絡不亂安全運行請求電子政務系統在1段時間乃至1個階段的使用進程中,維持正常,發現過錯及時記錄,呈現襲擊即刻阻斷,并講演日志,在電子政務系統設計中,依托高機能的網絡裝備,優化設計,以保證網絡的不亂性以及安全性,單1的終端或者系統呈現問題時,能夠保證其他系統正常運行。固然,電子政務系統必需擁有完全的日志審計功能,將過錯信息、損壞動作等實時記錄,并節制整個系統的流暢運行。另外,還應設置癥結裝備以及利用備份,以避免受到病毒襲擊網絡,沒法恢復以前狀況,備份系統必需到達的I/O傳輸快、存儲不亂可靠。
………….
篇2
指導思想
深入貫徹落實科學發展觀,充分認識軟件產業作為國家基礎性、戰略性產業,在促進國民經濟和社會發展中的重要作用。高度重視使用正版軟件對于樹立政府機關良好形象、促進軟件產業健康發展和維護國家信息安全的重要意義,加大知識產權保護力度,嚴厲打擊侵權盜版行為,在全社會形成尊重知識、保護知識產權的良好氛圍。
主要任務
各部門、各鄉鎮要對本單位使用正版軟件情況進行一次專項檢查,重點檢查辦公軟件(WPSOffice、MicrosoftOffice等)、殺毒軟件使用情況。凡是使用未經授權的非正版軟件的要及時進行整改。對需要的正版辦公軟件、殺毒軟件,要安排必要的資金并按政府采購相關規定購買,切實加強對軟件的資產管理。購置、更換的計算機辦公設備必須符合預裝正版操作系統軟件的要求。
時間安排
(一)自查自糾(2011年3月)。各部門、各鄉鎮要精心組織,將軟件正版化工作責任分解到具體部門和人員,認真梳理使用正版軟件工作中存在的問題,查找薄弱環節,提出改進措施,制定整改方案,進行自查自糾。2011年4月10日前,將自查情況和整改方案(見附件)報縣使用正版軟件工作領導小組辦公室(縣文廣新局)。
(二)督促整改(2011年4月底前)。各部門、各鄉鎮要切實推進整改工作,及時匯總正版軟件需求情況,落實采購經費,并按政府采購有關規定實行集中采購。縣使用正版軟件工作領導小組將對問題突出的單位開展督促整改,并對政府機關使用正版軟件情況進行總結,上報市使用正版軟件工作領導小組辦公室。
(三)抽查迎檢(2011年5月至9月)。5月至6月底,縣使用正版軟件工作領導小組將對各單位使用正版軟件工作整改情況進行專項檢查。自7月開始,各部門、各鄉鎮要積極做好國家督導組及省、市使用正版軟件工作領導小組的抽查迎檢工作。
工作要求
(一)統一思想,加強領導。為加強對做好使用正版軟件工作的組織領導,保證各項任務落到實處,成立望江縣使用正版軟件工作領導小組(名單附后)。各部門、各鄉鎮要在縣使用正版軟件工作領導小組的統一領導下,明確分管領導和聯絡員,周密部署,落實責任,精心組織,全力推進,切實保障軟件正版化工作的順利推進。
篇3
一、大型醫院網絡安全管理工作要點
(一)安全規劃為了能夠使信息化建設順利開展,醫院必須要制定好全年的安全管理規劃。在制定計劃之前應該對國家剛剛出臺的法律法規進行充分了解,例如十三五規劃以及網絡安全法中所提出來的信息安全要求以及戰略,進一步制定有利于區域醫聯體,互聯網醫療,互聯網互通信共享平臺醫等網絡安全互聯策略,將相關的安全區域以及規則進行合理劃分。另外醫院還要對過去一年有關安全保護的措施進行整理,同時要對上級部門的檢查結果進行適當的經驗總結,根據已經發生的問題制定整改計劃,其中主要包括本年度應該實行的長期整改方案以及完成工作的時間節點,有利于保證醫院的安全建設計劃更加清晰有效。
(二)制度修訂與落實根據具體的整改和安全計劃制定醫院的安全管理制度,還要對當前已經實行的制度進行不定期的調整和審察。根據醫院對實際發展情況的需求對其進行改善,最終由安全管理委員會對相關制度進行進一步的修訂評審,完成之后需要通過信息中心進行信息的傳遞和,讓在醫院工作的所有人員都能夠深刻了解具體安全管理的內容以及審批流程,這樣可以有效地提高醫院信息中心技術工作人員對操作的深刻了解。另外還可以對制度配套的記錄單據以及審批過程進行進一步優化,保障網絡準入、物理變更、人員管理、權限分配、數據統計等信息安全保護要求。
(三)安全培訓要想進一步保證醫院網絡安全管理工作的落實,必須要對相關的工作人員進行安全意識的培訓,在醫院信息安全培訓制度的引導下制定適合工作人員的培訓計劃,針對進修醫師臨床管理人員和新入職的員工要每年培訓一次,同時在培訓過程當中還要進一步強調密碼安全、防病毒知識、風險上報等意識。對于信息技術人員來說,必須要要進行每年2~4次的技術以及安全意識培訓。其中網絡或者機房軟硬件變更后,所掌握的故障以及問題處理和排查方式需要由培訓中心提出,在進行安全意識培養的過程當中,主要內容是強化信息技術人員的職業道德意識。所有的安全培訓過程都必須要實時準確的記錄下來。
二、大型醫院網絡安全運維工作要點
大型醫院的網絡安全區域不可以只依靠一種防護措施,必須要進行差異性的防護,在內外網布置多臺的安全設備,同時也要做好安全防護政策,在進行安全防護的時候,大型醫院的網絡安全設備比較多,安全策略需要及時調整,而且信息系統業務也比較復雜,所以必須要對相關環節進行實時監控,定期優化和巡檢,保證醫院網絡安全防護手段能夠始終發揮作用,從而有效的防控風險。
(一)安全巡檢信息網絡中心工作中,必須要做好巡檢規范的書面文字記錄,可以根據醫院的安全管理制度做好記錄,同時安排好工作人員的排班情況,每日都要對機房內設備環境數據庫狀態以及備份情況進行檢查,同時還要將檢查的結果記錄下來,如果出現潛在風險,必須要及時反饋給管理人員進行解決。網絡管理員還要通過現場巡視以及監控平臺的方法對網絡設備進行巡檢,主要是對本地和異地所涉及到的備份內容進行驗證和檢查,特別是在非工作日以及節假日期間對重點設備進行備份,保證醫院在全年任何時間段都可以正常運轉。
(二)設備優化保證安全規劃管理正常運行的基礎上,要對網絡安全設備以及儲存設備進行優化,而且還要對磁盤陣列的CPU服務器以及內存存儲空間進行適當地擴充,對于一些老化的線路和老舊的網絡設備要及時更換,盡量延長網絡設備的壽命,保證醫院網絡能夠穩定應用。針對醫院內網中的安全區間以及防火墻的策略以及性能要進行及時檢查,以免影響工作,及時管理好網串聯鏈路上的單點設備,保證互聯網業務內外網之間的聯系通暢。
(三)安全監控與加固安全設備部署以及網絡安全防護工作需要對各類安全風險監控進行加強和管理,可以通過惡意代碼防護系統以及防毒墻來控制網絡病毒風險,出現了新型病毒需要及時關閉終端高危端口,并對服務器的防病毒系統進一步升級,保證在發現病毒之后能夠及時的查殺。最后還要對出現的高危風險以及漏洞進行總結,制定相應的修復方案以及安全策略,保證在不影響醫院業務運行的同時增強對防護系統的管理。
篇4
一、建立標準規范的運維機制
一是制定、完善營銷業務運維、廠商管理、運維評價等相關辦法,明確崗位職責,規范運維管理內容,使運維工作有章可循、有據可依,使營銷運維管理更加規范化、標準化;二是建立、完善運維客服機制,設立統一營銷系統運維客服電話,統一問題入口,嚴把入口關,采取“堵疏相結合”方法做好各基層單位、省公司服務支撐;三是規范問題、需求、測試、操作流程,加強問題合規性把關、需求合理性審核、測試通過性驗證、安全性審查,同時做好各環節記錄存檔,真正實現運維全過程閉環管理、有跡可循;四是采取省市兩級審批,針對重復類問題開展專項整改,不斷提高問題質量;五是建立運維建議及投訴流程,及時受理市縣公司反映的建議及意見,不斷進行改進,使運維服務更加優質、順暢。
二、實行三線客服模式
建立三線客服模式,一線客服負責受理用戶電話或RTX咨詢類問題,指導用戶操作;二線客服負責處理常規問題或功能需求類問題;三線客服負責處理系統缺陷、功能需求類問題。同時開展營銷業務運維7×24小時無縫隙電話受理服務,全天候受理各單位反饋的問題,有效避免用戶因購電、業務辦理等緊急問題引發的社會投訴事件。
三、搭建運維支撐平臺
營銷系統運維支撐平臺作為營銷系統統一運維體系中重要的支撐工具,從技術方面減輕了維護人員和管理人員的壓力,有力地支撐了營銷工作的順利開展。通過建立起全省統一的運維支撐平臺,以數字化的手段實現全省營銷自動化的統一咨詢、統一維護、統一升級,從而實現橫縱一體化的運維支撐體系。
四、建立營銷運維知識庫
建立營銷運維知識庫,梳理運維常見問題,整理典型案例,總結、提煉全方位運維知識點,整理成標準式答復,不斷充實、完善運維知識庫,供一線人員學習;對運維知識庫中點擊量較多的問題,定期開展系統操作或業務培訓,提升運維技能。
五、建立運維問題常態分析與專題分析機制
定期開展常態分析,找準實際工作中影響指標問題點、風險點,制定可行性措施及時進行糾正。多維度開展運維事件專題分析,及時發現市縣公司專業薄弱環節并進行專業指導,支撐營銷專業管理;加強后臺操作管控,每月開展專業后臺操作需求綜合分析,固化共性操作為前臺功能,實行多部門協作、全過程記錄的管理模式,徹底杜絕后臺對重要信息的直接操作,提高系統安全性和業務執行效率;針對重復類問題開展專項整改,進行系統優化或數據整改,不斷提高服務效率及數據準確性。
六、建立運維監控質檢機制
為做好工單處理時限監督,提高營銷運維效率、質量及滿意度,在運維平臺現有基礎上增加運維問題超期預警及質檢功能,同時建立營銷運維監控質檢機制。每天對工單處理時限超期情況進行監控,督促即將超期工單及時處理;以月為單位對超期、滿意度低、重復回退等問題進行質檢、分析,挖掘潛在問題原因,制定相應處理措施。
七、建立運維評價體系
營銷系統運維是一個完整全面的、不斷提升的過程,建立完善的評價體系,可以提高運維工作的水平,體現運維工作的價值,實現運維工作的動態與閉環管理。健全基層單位、運維廠商、系統全過程評價體系,深入開展營銷系統運維全流程評價,加強問題處理質量管理。及時跟蹤問題各環節處理及時性,加大問題處理質量及超期工單考核力度,定期對運維問題進行歸類、統計、分析,形成運維評價報告,作為評價運維工作質量的依據,推動營銷業務整體水平提升。同時,深入挖掘系統、管理、操作等方面存在的問題,提出指導性改進及培訓建議,為營銷業務的順利開展提供有效支撐。
八、加強數據質量及安全管理
加強營銷數據質量管理。對運維過程中問題較多業務數據異常類問題進行分析,制定詳細整改方案,并開展專項數據整改;同時增加校驗規則,從源頭上徹底進行解決。加強營銷數據安全管理。數據安全主要是對電力營銷過程中具有的行業特點、營銷數據的信息安全、電力營銷管理權限的保密信息等進行安全運維管理[2]。加強后臺數據操作審批,建立數據導出及修改分級審核標準,有效杜絕違規操作和用戶敏感信息外泄;加強營銷數據庫后臺操作合規性監管,搭建營銷數據庫審計系統,借助有效的數據庫審計技術,及時發現、制止違規操作,整體實現事前審核、事中預警、事后審計;定期開展系統賬號專項治理,對廢舊賬號、大權限賬號及人員變動賬號進行梳理,并及時組織相關單位完成整改,最大程度保證數據的完整性、準確性。
九、加強系統安全管理
加強系統管理,對于因系統缺陷或需求進行的程序調整、補丁等操作嚴格程執行報批制度,按照所涉及部門進行分級審批,同時嚴把測試關,確保系統安全性;建立營銷業務系統服務監控功能,實現服務器和網絡狀況在線監控和短信自動預警;定期開展系統運行狀況評估,有效避免各類事故發生;遠程在線監控自助、POS終端等相關外聯設備,發現問題第一時間聯系市縣公司進行搶修,切實保障營銷系統設備安全。
十、應用成效
篇5
關鍵詞:質量管理;規范運維;企業
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)09-2028-03
大多企業經過十余年的信息化發展,大規模的信息化建設基本完成,即將面臨著長期的系統運行維護的問題。但與信息系統建設的較高水平相比,還普遍存在IT服務管理較弱的問題,缺乏有效的管理手段與方法,這就使信息化的投入充滿了很大的不確定性,也使信息化效果很難控制。因此,如何對企業龐大的技術系統進行科學、高效的管理,從而發揮它的最大效能,降低運營成本,是當前企業信息化過程中必須面對的挑戰。
1 三套標準在運維體系中的適用性分析
ISO9000質量管理體系標準在各企業和單位中的運用非常廣泛,是對整個單位運作、服務過程進行質量控制管理的體系,通過質量手冊、文件控制、記錄控制等方面為管理對象的實施提供指導,側重于對宏觀運作流程的控制,但不包括各專業業務層面的特定要求。
ITIL作為一種以流程為基礎、以客戶為導向的IT服務管理指導框架,它擺脫了傳統IT管理以技術管理為焦點的弊端,實現了從技術管理到流程管理,再到服務管理的轉化,適用于IT服務管理和服務流程的控制。
等級保護管理體系是對信息系統的科學、安全運行進行監督和控制的體系,從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等方面為信息安全專業層面提供指導,適用于運作流程中各節點的安全控制。其中的保護等級劃分,也為信息安全投入和安全保障水平提供了平衡點。
對于已經實施ISO9000的單位,信息化職能部門在ISO9000貫徹實施時往往與自身信息化業務無法融合,即便進行了融合也常以信息化的一般性運維工作為主,沒有考慮規范化安全運維工作在整個單位和組織質量控制體系中的重要性。因此將ITIL、等級保護思路與ISO9000融合,即可具體落實ISO9000體系中的流程控制,也可以彌補等級保護在體系要求、文件控制和記錄控制等方面的薄弱環節,同時完善ISO9000體系中對信息安全領域的專業性,最終形成以質量管理體系為框架,ITIL流程控制為主線,等級保護管理標準為保障的綜合運維保障體系。
2 規范運維保障體系架構設計與文件體系建設
結合三套標準的特點進行運維管理架構設計時,在體系結構層面要考慮運維體系的建設周期、各標準在運維體系中所處的層次、每個層次要達到的要求及PDCA方法論等。在服務流程層面要考慮結合企業的現狀,IT服務支持模式和管理流程及最佳實踐等。在具體操作層面要考慮響應方式、實現工具、安全要求、監控方法等。將三大標準體系體系結構層面設計:在整個運維生命周期中,包括運維體系建設、運維支持管理、運維成效管理及運維持續改進四個階段。這四個階段形成一個PDCA持續改進的管理循環。通過建立檢查、反饋機制,對信息安全管理體系運行情況進行監督和控制,建立動態調整機制,確保信息安全管理體系符合新形勢、新技術發展要求。
服務流程層面設計:系統運維的服務流程是信息化工作部門和服務供應商向業務部門的服務交付和支持過程,通過建立“一站式”的服務臺和規范的流程程序,提高IT部門對事件的響應能力和IT運維工作的規范性,防范手工方式出現對用戶請求的遺忘,以及非規范的操作引起的系統風險,同時要幫助信息化工作部門實現運維知識的積累和共享,提升運維和管理的整體水平。
具體操作層面設計:在系統運行維護中,各項工作(事件、變更等)的處理程序、操作步驟、完成時限及服務要求等,均要制訂相應的標準和規范,在涉及安全管控點時,可通過建立符合信息系統等級保護要求的安全配置基線,統一信息系統建設和運行技術配置標準。
按照上述三個層面之間的關系,落實到文件體系中時,可以質量管理體系為總體框架,將體系文件分為三個級別:一級程序文件為綱領性文件,用于描述整個體系架構運作流程和運維方針策略。主要包括信息化建設與管理程序,信息系統運維管理程序,涵蓋信息化建設與運維全過程。二級程序文件按ITIL流程管理為主線,為一級程序提供可操作的流程化文件。主要包括:項目管理、事件管理、問題管理、配置管理、管理、變更管理、應急管理等流程。三級流程涉及具體操作規范,落實二級流程文件中涉及的各方面運維和安全管理內容。主要包括:溝通管理、授權與審批管理、文件規范性管理、介質管理、資產管理、網絡管理、系統管理、安全事件與應急管理、備份與恢復管理等方面。記錄表單為實際運維過程的記錄。各級文件組成結構如圖2所示。
文件體系是運維體系架構的管理體現,是管理落地的基礎,也要運用PDCA管理。
3 規范運維保障體系ITIL流程設計
要想管理體系得到貫徹執行,就要對規范化運維流程進行科學有效的設計。因為流程是管理的終端,主要解決的是管理固化問題。而ITIL作為事實上的國際標準,基本與組織性質和業務性質無關,僅明確指出應該“做什么”,但不講“如何做”。因此流程設計時還要結合企業的現狀,本著一切從實際出發的原則,考慮企業對IT服務管理的切身需求,按照最佳實踐和企業的實際設計出的合理的IT服務支持模式和管理流程,建立自己的方法論。
在具體的規范流程設計過程中,首先要考慮的是人員崗位職責。應用服務管理之后,IT部門的組織架構、職能、工作方式都會隨之發生一定變化。建立規范的流程,需要確定IT支持人員和管理人員的職責,通過流程角色的設置,而不是單純依靠組織結構的設置來把角色和職務分開。同時制定配套的人員角色和職責及考核機制,以實現對人員的量化管理和資源的有效利用。
其次是確定提供服務的管理流程。在ITIL中已歸納為服務級別管理、IT服務財務管理、能力管理、IT服務持續性管理和可用性管理5個服務管理流程。這些管理流程用于解決“客戶需要什么”、“為滿足客戶需求需要哪些資源”、“這些資源的成本是多少”、“如何在服務成本和服務效益(達到的服務級別)之間選擇恰當的平衡點”等問題,服務提供所包括的這5個核心流程均屬于戰術層次的服務管理流程,用以確定服務級別協議及滿足服務要求所需要的最優資源,也就是說如何做正確的事。
再次是確保用戶得到適當的服務支持以保障組織業務功能。服務支持流程體現服務接觸和溝通的5個運作層次的流程,即事件管理、問題管理、配置管理、變更管理和管理。這5個服務管理流程的主要職能是,確保IT服務提供方所提供的服務質量,符合服務級別協議(SLA)的要求,即如何正確的做事。ITIL核心流程之間的層次關系如圖3所示。
最后是引入服務臺、服務連續性管理等流程自動化工具,以系統工具來固化流程,再不斷完善流程。同時要關注工具之間的聯動和信息整合,如果可能,盡早的進行統一的規劃,建立集成規范要求,以保證投資在未來得到充分保護,不被浪費。
所以,ITIL的應用過程和效果的獲得,不是簡單的單純通過項目建設能夠達到的,是企業信息中心部門、咨詢服務提供商、產品提供商等多方共同努力的結果,也是一個持續改進、不斷優化的長期過程。
4 構建信息系統等級保護為基礎的防護體系
保障體系要結合管理體系和ITIL流程,落實安全技術及管理要求。可依據分級、分域、分區、分層的防護原則,對運維的信息系統按級別劃分安全區域進行管理,各安全域劃分為網絡邊界、網絡環境、主機系統及應用環境四個安全層次,最后形成縱深防御體系。
在技術上可通過強化邊界訪問控制、規范網絡訪問行為、強制主機管理、構建應用授權和身份認證平臺、加強審計監控等措施構建協同防御。每個安全保護部件或設備應具有安全保護功能獨立完整、調用接口簡潔、與安全產品相對應和易于管理等特征,在后期綜合運維服務與監控平臺集成建設中能夠保障數據的共享和協同防御。在管理上通過建立綜合運維服務與監控平臺。將機房環境監控系統、網絡管理系統、性能監測與管理系統、入侵防御系統等監控與管理的系統告警和性能監測數據進行整合,梳理各個資源之間的告警關系,進行集中監控告警模型設計,并可進行工具產品的客戶化定制,實現集中監控管理和指揮控制,為運維體系安全運行提供全面的管理保障。
5 規范運維保障體系實施路線
在實施階段,要考慮若一次性全部實施所有流程帶來的風險,可采用分階段實施的方法,做到穩步推進,以便取得良好效果。大致可分為前期準備階段,全面試運行階段,正式運行及擴展階段,綜合優化調整階段。
1)前期準備階段
明確參與運維工作人員的崗位職責,做到權限分離。開展等級保護測評并根據等級保護要求制定安全配置基線及相關操作規范。根據等級保護測評結果,按照分級、分域、分區、分層原則制定安全技術基礎平臺整體解決方案,在管理與技術上提供安全依據。試運行ITIL運維管理五大流程,檢驗工作流程的可操作性。梳理清楚管理對象,完善資產配置管理,確定運維管理的范圍。
2)全面試運行階段
全面開展規范化運維工作,在運維平臺中體現所有運維工作并力爭全員參與,做到運維職責明確,流程處理程序規范,操作標準,過程有痕跡并制定合理的績效考核方案。在日常運維工作中查找不足,提供改進意見,不斷完善質量目標文件、流程體系文件和操作手冊。充分發揮知識庫作用,將常見問題解決方法進行歸納總結并上傳至知識庫,做到知識共享。同時實施完成安全技術基礎平臺,實現安全管理中心與運維平臺互聯互通問題,保證安全要求融入運維流程中。
3)正式運行及擴展階段
全面運行完善后的ITIL運維管理五大流程,結合ISO20000相關運維標準,構建信息化運維服務運維服務體系,規范化、標準化、痕跡化運維管理工作。運用PDCA過程,進一步細化調整管理體系,總結體系運行情況,調整不適用和無法落實的部分,使之能高效、有序的運作。同時定期通過第三方機構對已測評的信息系統開展等級保護復評,找出所有系統的安全隱患,并提出整改方案和實施計劃,督促信息安全措施的落實。
4)綜合優化調整階段
總結前期的規范化運維工作,調整不適用的部分,常態化的管理體系運作。定期進行內部評審,找出與當前工作的不適用部分進行優化調整;同時在工作中,結合工作實際,尋求更高效安全的方法優化體系,提高體系的效能。
綜合上述實施階段,確定實施路線圖如圖4所示。
參考文獻:
篇6
關鍵詞:證券行業 信息安全 網絡安全體系
近年來,我國資本市場發展迅速,市場規模不斷擴大,社會影響力不斷增強.成為國民經濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展,關系著億萬投資者的切身利益,關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業,高度依賴信息技術,而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。
目前.國內外網絡信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發展,改革創新深入推進,市場交易模式日趨集巾化,業務處理邏輯日益復雜化,網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強,交易時問內一刻也不能中斷。加強信息安全應急丁作,積極采取預防、預警措施,快速、穩妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關重要。
1 證券行業倍息安全現狀和存在的問題
1.1行業信息安全法規和標準體系方面
健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行,中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成,推動了行業信息化建設和信息安全工作向規范化、標準化邁進。
雖然我國涉及信息安全的規范性文件眾多,但在現行的法律法規中。立法主體較多,法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要,行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性差;三是部分規范和標準已不適應,無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業采用“統一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執行層。
為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》,參照iso/iec27001:2005,提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構.頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構.側面是各個機構為實現信息安全保障目標所采取的措施和方式。
1.3 it治理方面
整個證券業處于高度信息化的背景下,it治理已直接影響到行業各公司實現戰略目標的可能性,良好的it治理有助于增強公司靈活性和創新能力,規避it風險。通過建立it治理機制,可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理it問題,自我評估it管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設的質量和應用效果,使有限的投入取得更大的績效。
2003年lt治理理念引入到我國證券行業,當前我國證券業企業的it治理存在的問題:一是it資源在公司的戰略資產中的地位受到高層重視,但具體情況不清楚;二是it治理缺乏明確的概念描述和參數指標;是lt治理的責任與職能不清晰。
1.4網絡安全和數據安全方面
隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性,網上交易正逐漸成為證券投資者交易的主流模式。據統計,2008年我同證券網上交易量比重已超過總交易量的80%。雖然交易系統與互聯網的連接,方便了投資者。但由于互聯網的開放性,來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業的信息系統安全,成為制約行業平穩、安全發展的障礙。此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,證券行業各機構采取了一系列措施,建立了相對安全的網絡安全防護體系和災舴備份系統,基木保障了信息系統的安全運行。但細
追究起來,我國證券行業的網絡安全防護體系及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是網絡訪問控制措施有待完善;三是網上交易防護能力有待加強;四是對數據安全重視不夠,數據備份措施有待改進;五是技術人員的專業能力和信息安全意識有待提高。
1.5 it人才資源建設方面
近20年的發展歷程巾,證券行業對信息系統日益依賴,行業it隊伍此不斷發展壯大。據統計,2008年初,在整個證券行業中,103家證券公司共有it人員7325人,占證券行業從業總人數73990人的9.90%,總體上達到了行業協會的it治理工作指引中“it工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。目前,證券行業的it隊伍肩負著信息系統安全、平穩、高效運行的重任,it隊伍建設是行業信息安全it作的根本保障。但是,it人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強。
2 采取的對策和措施
2.1進一步完善法規和標準體系
首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層:第一層是管理辦法等巾同證監會部門規章;第二層是證監會相關部門制定的管理規范等規范性文件;第三層是技術指引等自律規則,一般由交易所、行業協會在證監會總體協調下組織制定。其次,在法規制定上.要兼顧規范和發展,重視法規的可行性。最后,在法規實施上.要堅持規范和指引相結合,重視監督檢查和責任落實。
2.2深入開展證券行業it治理工作
2.2.1提高it治理意識
中國證券業協會要進一步加強it治理理念的教育宣傳工作,特別是對會員單位高層領導的it治理培訓,將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的it治理意識,提高他們it治理的積極性。
2.2.2通過設立it治理試點形成以點帶面的示范效應
根據it治理模型的不同特點,建議證券公司在決策層使用cisr模型,通過成立lt治理委員會,建立各部門之間的協調配合、監督制衡的責權體系;在執行層以cobit模型、itfl模型等其他模型為補充,規范信息技術部門的各項控制和管理流程。同時,證監會指定一批證券公司和基金公司作為lt試點單位,進行it治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施it治理的優秀范例,以點帶面地提升全行業的治理水平。
2.3通過制定行業標準積極落實信息安全等級保護
行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵.應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護丁作,為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求,對照標準逐條落實。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施.且南相芙的監督機構進行督促。
2.4加強網絡安全體系規劃以提升網絡安全防護水平
2.4.1以等級保護為依據進行統籌規劃
等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃證券網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。
2.4.2通過加強網絡訪問控制提高網絡防護能力
對向證券行業提供設備、技術和服務的it公司的資質和誠信加強管理,確保其符合國家、行業技術標準。根據網絡隔離要求,要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固.降低系統漏洞帶來的安全風險;在網上交易方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使朋的安全性。
2.4.3提高從業人員安全意識和專業水平
目前在證券行業內,從業人員的網絡安全意識比較薄弱.必要時可定期對從業人員進行安全意識考核,從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓,提高行業網絡安全的管理水平和專業技術水平。
2.5扎實推進行業災難備份建設
數據的安全對證券行業是至關重要的,數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上,針對自身需要,對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設,以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效.使應急工作與日常工作有機結合。
2.6抓好人才隊伍建設
證券行業要采取切實可行的措施,建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來,加強lt人員的崗位技能培訓和業務培訓,注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念,行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系,對信息技術人員進行科學有效的考評,提升行業人才資源的優化配置和使用效率,促進技術人才結構的涮整和完善。
篇7
關鍵詞 商業銀行 信息服務體系 信息科技
中圖分類號:F832.2
文獻標識碼:A
以會計電算化為基礎的信息化水平隨著信息化技術的不斷發展而日益提高,從而改變了商業銀行會計核算的服務方式和服務質量。這種改變創造了良好的社會效益和經濟效益,包括信息化對于商業銀行金融創新、經營模式、交易方式、經營形式和管理體制等帶來的巨大的改變。在使用會計電算化后,信息科技系統替代了銀行會計業務的運轉,人工操作變成了信息處理的上機操作,與此同時信息科技系統對于商業銀行的經營管理和決策產生了非常重大的作用。這時銀行的操作風險、法律風險、戰略風險和聲譽等新的風險形態尤其要注意。
一、商業銀行信息服務體系的現狀和趨勢
正逐步向集約化管理和決策支持的高級階段發展的商業銀行從建立模仿手工作業的單項會計業務應用系統開始經歷了多項業務應用集成處理階段。會計電算化可以分為三個發展階段。初級階段是計算機處理開始代替手工操作生成電子數據的從20世紀80年代到90年代初;第二階段是全國范圍內計算機聯網、業務管理、互聯互通、大小額實現計算機處理的90年代中后期到現在的數據集中階段;第三階段是從現在開始的數據應用階段。這個階段是銀行運用互聯網的技術與環境進行金融創新,完成業務的集中處理,開拓網絡金融服務的時代。目前正處于數據集中部分完成、數據應用剛剛開始的階段的商業銀行正處于關鍵的時刻,對于未來的競爭起著重大的作用。
目前商業銀行的信息服務的趨勢是實現金融的信息服務化。通過完備的信息系統,給銀行的業務重組、金融產品創新和金融管理模式的變革帶來深層次的變革個才是真正金融信息服務化。要實現銀行從提供單一業務轉變為面向客戶綜合服務以及銀行業形成產品化和服務化,商業銀行需要具備既精通銀行業務又精通信息技術的專家統籌信息化建設。
二、商業銀行在信息服務體系建設中存在的風險及問題
(一)信息科技治理方面。
確保信息科技戰略和目標與業務的策略一致是信息科技的目標。只有實現了這個目標才能夠使得信息科技更好地為商業銀行提供服務和支持,使得信息科技資源得到最恰當的應用。其中的風險以及問題如下:
第一,可能導致的法律風險、戰略風險以及信譽風險:錯誤的信息資源的分配以及對法律法規的違背;信息系統無法滿足業務的需求;信息科技戰略無法與業務的發展需求相一致;缺乏完善的管理信息系統導致的低效率管理決策;較差的信息系統支持導致的市場競爭力低下。
第二,可能導致的問題:由低效率的信息科技資源配置所導致的項目延誤;員工素質和技能達不到信息科技專業要求的水平;獨立的科技風險管理部門的缺乏;企業內部“風險文化”認知的缺乏;會計專業和信息科技人員等對技術風險存在很差的意識;信息科技人員存在著職責的沖突;高級管理層未參加到信息科技督導委員會;信息科技項目發展與業務戰略不一致;信息科技內控制度和措施缺乏定期檢查和更新。
(二)安全管理方面。
確保關鍵信息系統和數據得到充分保護,使得非授權的進入和意外的中斷能夠得到避免是安全管理的目標。其中的風險和問題如下:
第一,可能導致的法律、操作和信譽風險:保密信息泄露;損失金融機構的重要資料;電腦病毒,蠕蟲程序的爆發;不遵守監管規定;工作時間業務停運和數據損失;未經授權的金融交易。
第二,可能存在的問題:不恰當的個人存取權限設置;特權用戶和緊急用戶代碼的使用;敏感信息存儲未加密;客戶敏感性信息由于較差的移動設備管理而泄露;定期安全監測的缺乏;末及時進行補丁升級導致電腦病毒感染爆發。
(三)系統開發和變更管理方面。
確保開發及維持高質量的信息科技系統.并充分配合及滿足業務需求是系統開發和變更管理的目標。其中存在的風險和問題如下:
第一,可能導致的操作風險、戰略風險、信譽和法律風險:長時問的系統停運;泄露了保密信息;達不到銀監會的管理要求;數據不完整;推出科技信息系統的時間受到延誤;低質量的信息系統不能實現業務發展要求;系統未經授權而導致風險增加。
第二,可能存在的問題:測試環節直接使用業務數據;對系統變更和相關批準程序沒有審計跟蹤和記錄;正式項目質量確認和生命周期規程評估程序的缺乏所導致的項目延誤;缺乏全面測試和不協調的系統變更所導致的會計電算化綜合業務系統停運。
(四)信息處理方面。
確保信息科技服務和信息處理的連續性是信息處理方面的目標。只有實現了這個目標,才能更好地保證會計電算化綜合業務系統主要業務服務不發生中斷。其中存在的風險和問題如下:
第一,可能導致的法律、操作風險和信譽風險:系統無法滿足業務增長的需要;關鍵設備以及信息因非授權收取而影響;保密信息被泄露;系統長時聞停運。
第二,可能存在的問題:缺乏對重要的環境控制的定期維護;缺乏對敏感的操作環節進行控制;系統中心機的物理安全和環境控制措施不足;容量無法達到業務增長的要求。
(五)通訊網絡管理方面。
確保網絡連接和服務的連續性是通訊網絡管理的目標。其中存在的風險和問題如下:
第一,可能導致的法律、操作風險和信譽風險:如“阻絕服務攻擊”等的網絡停運;保密信息因外部網絡而泄露;網絡連接未經過授權;網絡癱瘓導致長時間業務停運;未遵守銀監會的監管要求。
第二,可能存在的問題:網絡抗沖擊性脆弱;缺乏對關鍵的組件的監測;缺乏對內部網絡的遠程的安全控制措施;對需要在外部通訊網絡上傳輸的數據未進行加密。
(六)技術服務提供商管理方面。
確保外包的信息科技服務能夠獲得有效和持續的管理是技術服務提供商管理的目標。其中存在的風險和問題如下:
第一,可能導致的法律、操作風險和信譽風險:將核心程序設計外包或者直接采用專業公司套裝軟件,過度依賴外部服務供應商;缺乏對需求要求改變時的修改和維護能力;外包設計人員管理留下風險隱患和外包軟件本身設計缺陷;系統因低質量的服務而中斷。
第二,可能存在的問題:外包管理不充分;數據隔離和區別不充分;服務水平協議不充分;缺乏對服務供應商經常性的服務狀態評估;對外包的營運職能缺乏有效的應急方案和解除服務方案。
三、完善商業銀行信息服務體系建設的措施
(一)抓好信息服務體系建設的風險管理工作。
首先,要明確責任。科技安全第一責任人的風險意識要加強,董事和監事會以及高級管理層都必須要對信息科技的風險負責,全系統由上到下的信息科技風險體系都應該是他們的責任。董事必須對于信息科技風險的戰略規劃、工作任務以及工作目標進行層層負責,評價分析審計結果,督促和落實整改方案。監事會必須對全過程的合理性、科學性以及充分有消息進行審計和評價,并調查董事會以及專職委員會以及高管人員的履職情況,以此同時質疑內部審計和外部審計工作。高層管理人員必須認真聽取內部審計和外部審計的工作匯報,親自抓好具體的組織實施工作,并且對于工作進行差距分析和敏感性分析,然后將工作方案進行及時調整,充分向董事會和監事會反饋和溝通對工作計劃和工作任務的建議和意見。
(二)設立信息科技督導委員會。
信息科技督導委員會的任務是:對長期和短期信息科技戰略規劃進行制定和不斷更新;提供日常的運行技術和科技服務支持,這個由信息科技督導委員會統一負責銀行信息系統規劃、研發、建設、運行、維護和監控來實現;建立實施恰當職責分離的信息科技組架構,制定清晰的崗位職責;提供充分的培訓給信息科技從業人員;協助會計業務部門以及信息科技部門嚴格執行建立的有效的會計信息安全保障體系和內部控制規程;明確專門和獨立的科技風險管理部門的崗位責任制度,并進行監督落實;對信息科技稽核審計部門配備適量地合格人員以及建立健全的會計信息系統風險審核制度方便風險審核。
(三)制定系統開發和變更項目管理體系和規則。
對開發項目生命周期的管理規則進行制定以及獨立確認評價其中的主要技術相關項目。同時,隔離開發測試環境和實際使用環境,將用于測試的業務敏感數據進行刪除,有充分的風險控制措施應對緊急變更,變更管理規程要有適當的措施。
(四)與客戶資金、會計等業務部門簽訂服務水平協議。
制定正式的信息科技操作規程。制定充分地容量規劃以適應本行的業務發展需要;持續性預防和矯正信息科技設施和裝備;建立充分地咨詢服務臺和操作支持,及時檢測和報告異常操作和事件。
(五)加強網絡系統安全管理,強化網絡性能監測。
隔離會計電算化綜合業務信息系統與外部網絡和辦公管理網絡;對控制互聯網以及無線網的接入邊界;有效降低信息泄露以及外部攻擊,這可以通過進行身份認證、內容過濾、防火墻、病毒防范、數據加密等技術手段實現;網絡分析工具的使用要進行嚴格控制;對無線內部網絡制定安全控制措施;網絡設施有充分地抗沖擊性;定期評估網絡設施的安全設置;審計跟蹤以及記錄監察關鍵網絡設施中的日常活動;
(六)有效管理信息的采集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節。
嚴格按照授權優化系統和數據庫的安全設置和使用;對于信息的采集加工、傳輸以及存取不脫離會計綜合業務。
(七)該消除“信息資源孤島”,實現應用層面的互聯互通。
要打破林立和由于數據內容缺乏應用形成的數據和資源的單獨應用的情形。通過應用智能搜索引擎、建立目錄索引指南、逐步搭建利用網格平臺等多種方式收集信息,開發網絡資源,共享數據資源。
(八)改進信息流管理方式,主動適應經營模式的變化。
為了使管理會計以及賬務核算的信息采集和系統設計內核全面轉向以用戶、客戶為中心,必須要適應矩陣式管理架構和組織扁平化的發展。根據中后臺集約以及前后臺分離的新
運營模式,管控數據,非線性的信息流轉得以實現,加速信息的共享和兼容。
(九)加強信息服務創新,統籌把握信息價值。
信息服務必須堅持用創新來從容應變。要注重積累、提煉和運用文本信息中的關鍵要素,懂得借鑒國內外的先進經驗,量化分析預測分類分層業務,重點支持差別化的挖掘服務,真正結合電腦和人腦,真正做到滿足用戶的需求,努力使數據、信息、知識和實踐融為一體。
(十)加大信息科技資金投入。
加大對信息科技的資金投入是銀行信息化系統服務建設的物質基礎和基本條件。只有投入了充足的資金,才能夠更好地建立起手段過硬、技術先進、保障有力的信息科技風險防范體系。銀行需要結合銀行存在的聲譽、法律以及操作、戰略風險,以實現前瞻性防范為目標,通過關注信息服務體系風險的新動向,加強技術風險的防范工作。
(十一)加強對資源系統研發、運行、維護過程中形成的各類技術文檔資料和系統環境說明文件、以及重要數據的備份管理。
加強對應急處理機制以及信息通報機制的完善和安全監控的實行,演練、評審和修訂應急預案;保留并異地存放副本,按照規定的年限保存,經過嚴格授權再調用;異地保存省域以下的數據,異地備份全國性的數據;通過提升信息服務系統的預警、應急處置和恢復能力,保證信息服務系統的穩定運行;通過對信息安全應急恢復系統的完善,保證系統的安全穩定運行。
(作者單位:中國社科院金融所,興業銀行信息中心)
參考文獻:
[1]王小燕,田小丹,周建民.構建流程銀行加速我國商業銀行管理信息化建設.江蘇商論,2008.2.
[2]張戚虎等.金融信息化建設與金融信息化教育.中國金融.2006.
[3] 尤川川.我國商業銀行金融信息化脫狀與展望.統計與決策.2006(17).
[4]郝向榮,李愛軍.中國銀行業金融信息化過程中的風險及其防范.價值工程2007年第10期.
篇8
認真貫徹落實縣聯社工作會議精神,以完善制約和不斷普及科技應用水平,實現全轄業務電子信息化、辦公自動化、操作規范化;整合信息資源,在金融服務創新方面求突破,不斷拓展業務品種,以優異的科技手段有力支撐我縣聯社持續的科學發展。
二、工作目標
1、嚴格內部管理,確保計算機全年安全運行無事故。
2、加大系統運行維護力度,確保系統平衡高效運行。
3、優化用卡環境,做活中間業務,提高業務競爭力。
4、增強科技人員技術本領,有效提升部門形象。
5、強化業務技能培訓,提高一線人員操作水平。
6、強化網站更新,施行oa系統,提升聯社形象。
7、加大設備保障力度,確保基層正常營業。
8、補充管理制度,加強檢查輔導,提高科技管理水平。
9、采取有力措施,切實防范計算機突發風險。
10、積極探索新業務,努力拓展業務品種。
三、主要工作措施
為實現以上目標,我部將采取以下措施,精心組織、逐步開展。
1、完善制度,規范聯社科技管理流程。
為確保聯社科技信息安全穩定運行,我部將繼續完善和補充聯社的科技管理制度,對聯社金融科技的發展、建設、服務、管理等工作進行全面細化、規范。準備建立《電子設設管理辦法》、《科技檔案管理辦法》、《計算機系統故障處理辦法》、《局域網管理辦法》、《聯社中心機房管理辦法》、《科技機構及崗位設置辦法》等制度。進一步完善聯社內控管理,建立有效的督促約束機制,規范電子設備、科技檔案、局域網、中心機房的管理,進一步明確科技人員的崗位職責,有效防范制度管理風險。
2、注重實效,推動各項制度落實到位。
在制度建設時注重做好以下三個方面的工作,首先要仔細研究,字斟句酌,確保有法可依、有章可循。其次要充份調研,民主討論,確保切合實際、方便操作。最后狠抓落實,推動實施,確保得到執行到位。一是組織培訓和學習,在制度出臺之后立即組織相關人員進行培訓和學習;二是組織檢查和輔導,實行定期輔導和不定期檢查,輔導時貫徹“量、質”方針,即輔導每月不少于一次,每次不少于一天,力求足“量”;輔導結果要達到讓被輔導對象完全理解、熟練操作,力求足“質”。檢查時貫徹“全、細、深、實、糾”五字方針,即:檢查內容面面俱到;檢查過程深入細致,一絲不茍;發現線索,一查到底,堅決不搞下不為例;對發現的問題,有證有據;查處的問題及時督促改正。通過檢查輔導,將制度規定及時傳達到基層業務一線,普及科技應用水平,有效防范操作風險。
3、防患未然,強化突發事件處置預案。
在增強抗擊計算機突發性事件能力方面,我部將做好以下五項工作。一是硬件備份,對縣中心與基層和省中心網絡實行電信、聯通2m光纖雙備份,計劃對聯社中心機房核心的7206路由器進行備份,對報表系統、信貸系統、中間業務系統的服務器進行備份,配備若干臺備用主機和安裝好程序的硬盤,對聯社中心機房和各信用社實行ups熱備份;二是實時監控,首先實施內、外網的物理分離,其次在所有系統安裝防火墻和殺毒軟件,最后在聯社中心機房明確專人,在業務高峰期隨時監控主機cpu、內存、交換空間、頁面調度、i/o的負荷情況,發現瓶頸環節及時主動處理;三是外部溝通,與省中心、電信部門做好溝通,在故障自身不能解決時,能夠迅速得到幫助;四是做好物防,計劃對聯社中心機房、各信用社機房深化改造,努力達到安全合格標準,堅決達到防火、防潮、防靜電、防雷擊的要求;五是長期備戰,我部所有人員將繼續執行24小時工作制度,對全轄系統故障隨叫隨到,并在最短的時間內處置完畢。通過多種措施,能夠有郊防范突發意外風險。
4、盡心竭力,精心維護保養硬件設備。
在終端、辦公電腦,特別是打印機、監控等硬件設備維護方面我部將做好以下四項工作。一是主動維護、定期保養基層業務設備,以損壞頻率較高的打印機為重點,按使用單位、型號、購置日期登記臺賬,詳細掌握每臺設備動態情況,按新舊程度進行每季不少于一次的主動上門保養,延長使用壽命,有損壞的立即調劑更換,集中修理,對已超過使用壽命沒有修理價值的,及時淘汰更新,對因業務發展需要增加設備的單位,做到上門安裝到位。二是積極協助監察保衛部做好監控設備的維護工作,對故障立即督促維保單位進行排除,對達不到安全保衛要求的,立即提出切實可行的整改方案。三是做好聯社機關辦公設備的維護工作,對機關各部門辦公設備的保障做到隨叫隨修。四是嚴格考核,開展設備管理競賽活動,對能合規使用的先進單位進行獎勵,對因不按規定使用設備的人員進行經濟處罰,造成損壞的,堅決要求當事人進行現金賠償。通過優質維保,堅決保證不發生因硬件損壞影響正常辦理業務的情況。
5、嚴謹務實,強化二級管理中心管理職能。
在核心業務系統管理和提高一線柜員操作能力方面,我部將做好以下四項工作,一是進一步提高維護速度,對合規的賬務修改、業務需求,按照流程到達我部后,保證在5分鐘之內處理完畢。二是進一步提高業務指導能力,對基層的業務咨詢做到耐心細致,并舉一反三的進行解釋指導,對每次的程序升級及時下發書面通知,傳達升級精神,同時每季下發一份綜合業務系統運行簡報,對新業務介紹、新問題注意事項進行全縣通報。三是進一步提高業務培訓力度,計劃在每個季度舉辦一期一線柜面青年員工操作實用技能培訓班,推行漢字五筆輸入、規范輸入指法,實現數字小鍵盤和英文大鍵盤的盲打輸入,切實提高柜面人員業務辦理速度。四是進一步提高系統操作監督力度,從機房管理入手,直至操作號、密碼、授權卡使用和加班監督、機構簽退管理等相互制約制度的執行,進行全方面的監督,切實履行崗位職責。
6、推陳出新,優化開發中間業務外掛程序。
在中間業務程序開發、維護方面我部將努力做到人無我有、人有我新、人新我優。一是對財政集中支付、國稅代扣、代收交通罰款程序進一步優化,不斷提高穩定性,同時將根據財政、國稅、公安等客戶的需求,對程序進一步升級改造,不斷提高適用性。二是進一步簡化工資程序,簡便操作過程,方便基層操作。三是適時開發各類程序,將根據業務發展需要,自主開發適應性、針對性強的程序。通過優化開發各類程序,為業務創新提供強有力的技術支持。
7、循序漸進,安裝推廣自助銀行和pos機。
在優化用卡環境,有效推廣圓鼎卡,有力搶占市場份額方面,我部將做好以下六項工作,一是迅速安裝atm,對已購置的atm計劃在月底前安裝到位,使得atm基本履蓋全部網點。二是主動協助業務拓展部,開展駐城商鋪pos消費刷卡機的安裝,今年計劃在人民路、新建路繁華地段的商鋪至少安裝20臺。三是適時開展卡積分活動,準備在春節期間開展圓鼎卡刷卡消費積分獎勵活動,提高圓鼎卡的使用頻率。四是大力開辦無人自動銀行,以為客戶提供晝夜存取款、賬務查詢、轉賬、自動繳費服務的自助場所,逐步取代效益低的網點。五是加大培訓和維護力度,對基層操作人員定期進行培訓,經常督促維保單位進行日常保養,保證atm良好的使用狀態。六是搞好宣傳,計劃利用現有自助銀行的空間,進行全縣統一模式的廣告宣傳。通過有效推廣使用圓鼎卡,有效增加卡業務手續費收入。
8、提高效率,實現自動無紙化網絡辦公。
在提高全縣辦公水平和現代化辦公能力,進一步提升聯社對外形象方面我部將做到,一是加大網站更新力度,今年我部將與聯社辦公室繼續共同維護聯社網站,及時刷新主頁,開辦信合論壇,力求辦成象信合369一樣高點擊率的網站,從多方面提升聯社形象。二是開發使用oa系統,實行辦公自動化,實現公文流轉、數據采集、三戶經濟檔案、報表傳送、信息通知、業務咨詢、制度匯編、財產保管、物資領用、任務進度、考核兌現、檢查通報、人事教育、企業文化建設、黨務建設、紀檢監察、工作請示等全部網絡共享。通過實現辦公網絡化,進一步促進提高整個聯社部門的辦事效率。
9、不甘人后,積極摸索現代銀行科技思路。
隨著十七大的順利閉幕,我國經濟社會發展進入新的階段,金融業的重要地位和作用更加突出。但隨著外資銀行攜帶的新金融工具、業務品種、營銷理念和新服務手段進入中國市場,金融機構之間的競爭日趨激烈,農村信用社傳統的金融產品和服務手段,越來越無法適應發展的新要求。因此,金融創新勢在必行,只有不斷創新才能持續健康發展,才能提高我聯社的競爭力。在金融創新中科技創新是保障、是基礎,所以我部將做到一是加強自身學習,本著缺什么補什么,干什么學什么,將來需要什么、現在準備什么的原則,開展學習競賽活動,做到有計劃、有筆記、有體會、有進步,提高科技人員的業務本領。二是探索新業務、做好理論準備,在項目評估、公司理財、信息咨詢、代保管、國際業務、貸記信用卡、基金代銷與托管、代客理財、企業年金、賬戶管理、網上銀行、vip客戶服務、債券代銷等方面做好科技準備。
