金融安全管理論文
在金融行業(yè)中,金融是政府實(shí)現(xiàn)目標(biāo)的重要手段,而金融安全管理構(gòu)成了政府的政治約束 。下面是學(xué)習(xí)啦小編帶來(lái)的關(guān)于金融安全管理論文的內(nèi)容,歡迎閱讀參考!!
金融安全管理論文篇一
試談加強(qiáng)反洗錢(qián)管理工作 確保金融安全運(yùn)行
【摘 要】洗錢(qián)指的是犯罪分子將販毒、走私、貪污、受賄、盜竊以及偷漏稅等“黑錢(qián)”及其產(chǎn)生的收益,通過(guò)各種手段掩飾、隱瞞其來(lái)源與性質(zhì),使其在形式上合法化的行為。洗錢(qián)是一種嚴(yán)重的犯罪行為,嚴(yán)重威脅著社會(huì)穩(wěn)定,國(guó)家安全和人民生命財(cái)產(chǎn)的安全。農(nóng)村信用社應(yīng)緊緊圍繞反洗錢(qián)工作要求和工作目標(biāo),嚴(yán)格執(zhí)行人民銀行和上級(jí)行反洗錢(qián)制度規(guī)定,切實(shí)加強(qiáng)反洗錢(qián)工作領(lǐng)導(dǎo),不斷完善反洗錢(qián)內(nèi)部管理制度,增強(qiáng)風(fēng)險(xiǎn)防控能力,有效地預(yù)防和打擊洗錢(qián)及相關(guān)犯罪,為維護(hù)社會(huì)公平和穩(wěn)定市場(chǎng)經(jīng)濟(jì)秩序作出應(yīng)有的貢獻(xiàn)。
【關(guān)鍵詞】農(nóng)村信用社;反洗錢(qián);存在問(wèn)題;實(shí)施措施
洗錢(qián)具有很大的危害性,不僅影響金融業(yè)的健康發(fā)展,而且還會(huì)對(duì)經(jīng)濟(jì)建設(shè)和社會(huì)穩(wěn)定產(chǎn)生嚴(yán)重破壞。農(nóng)村信用社應(yīng)當(dāng)充分認(rèn)識(shí)到開(kāi)展反洗錢(qián)工作的重要性,嚴(yán)格按照有關(guān)法律法規(guī)規(guī)定,采取必要措施,積極開(kāi)展反洗錢(qián)工作,維護(hù)金融秩序的穩(wěn)定? 從目前農(nóng)村信用社反洗錢(qián)工作的開(kāi)展情況來(lái)看,由于認(rèn)識(shí)層次、內(nèi)部控制、組織機(jī)構(gòu)及技術(shù)手段等多方面的原因,反洗錢(qián)工作還存在一些問(wèn)題。
一、農(nóng)村信用社反洗錢(qián)工作存在的問(wèn)題
(一)思想認(rèn)識(shí)不到位,反洗錢(qián)意識(shí)淡薄
人民銀行總行先后發(fā)布了《反洗錢(qián)法》、《金融機(jī)構(gòu)反洗錢(qián)規(guī)定》、《人民幣大額和可疑支付報(bào)告管理辦法》、《金融機(jī)構(gòu)大額和可疑外匯資金交易報(bào)告管理辦法》,1997年我國(guó)新頒《刑法》191條明確了“反洗錢(qián)罪”。但是,這一系列條例、法規(guī)在農(nóng)村信用社網(wǎng)點(diǎn)中的學(xué)習(xí)、貫徹、執(zhí)行力度參差不齊,大部分僅停留在略知一二的層面上。一線(xiàn)員工反洗錢(qián)意識(shí)淡薄,普遍缺乏反洗錢(qián)工作經(jīng)驗(yàn)。而多數(shù)基層網(wǎng)點(diǎn)負(fù)責(zé)人也未能充分認(rèn)識(shí)反洗錢(qián)的重要性,對(duì)反洗錢(qián)工作人員的教育還不夠深入,還有部分基層網(wǎng)點(diǎn)負(fù)責(zé)人認(rèn)為,追求效益最大化是企業(yè)的目標(biāo),反洗錢(qián)工作不僅增加了工作流程、工作強(qiáng)度和經(jīng)營(yíng)成本,而且還可能因?yàn)橹贫鹊膱?zhí)行影響客戶(hù)關(guān)系,導(dǎo)致資源流失,影響自身經(jīng)營(yíng)和效益,因而這項(xiàng)工作對(duì)基層網(wǎng)點(diǎn)來(lái)說(shuō),當(dāng)面臨監(jiān)管職責(zé)和自身利益的矛盾時(shí),他們往往還會(huì)在不違背大原則的前提下,為滿(mǎn)足客戶(hù)的需要而進(jìn)行一些違規(guī)操作。
(二)銀行內(nèi)控制度不健全或不能得到有效落實(shí)
部分農(nóng)村信用社反洗錢(qián)內(nèi)部控制制度不健全,反洗錢(qián)規(guī)章制度不詳細(xì),內(nèi)部制度建設(shè)流于形式,嚴(yán)重制約了反洗錢(qián)工作的效率。再加上基層網(wǎng)點(diǎn)反洗錢(qián)意識(shí)淡薄,未能?chē)?yán)格執(zhí)行“客戶(hù)身份識(shí)別”制度,對(duì)反洗錢(qián)客戶(hù)盡職調(diào)查工作敷衍了事,對(duì)客戶(hù)的認(rèn)定僅限定于《公民聯(lián)網(wǎng)核查系統(tǒng)》,核查工作缺乏主動(dòng)性;同時(shí),由于對(duì)客戶(hù)的宣傳不夠,社會(huì)公眾仍然缺乏對(duì)反洗錢(qián)政策的了解,使金融機(jī)構(gòu)進(jìn)行客戶(hù)盡職調(diào)查時(shí)遇到較多阻力。很多客戶(hù)對(duì)反洗錢(qián)的重要性認(rèn)識(shí)不足,對(duì)客戶(hù)盡職調(diào)查不理解,不愿意透露職業(yè)、收入狀況、資金來(lái)源和去向等和反洗錢(qián)工作密切相關(guān)的信息,而《反洗錢(qián)法》中,對(duì)客戶(hù)的義務(wù)規(guī)定僅限于應(yīng)當(dāng)提供真實(shí)有效的身份證明文件,難以給予銀行更多的法律支持,使客戶(hù)盡職調(diào)查工作難以達(dá)到要求。
(三)客戶(hù)身份識(shí)別存在難點(diǎn)
“了解你的客戶(hù)”是金融機(jī)構(gòu)反洗錢(qián)工作的基本要求。無(wú)論是對(duì)公客戶(hù)還是對(duì)私客戶(hù),在開(kāi)戶(hù)時(shí)大部分會(huì)采用居民身份證作為身份證件,公安聯(lián)網(wǎng)核查系統(tǒng)的出現(xiàn),為銀行識(shí)別客戶(hù)身份證件的真實(shí)性提供了保障。但是,其他合法個(gè)人證件難以識(shí)別。按照規(guī)定,在開(kāi)立賬戶(hù)時(shí),客戶(hù)提供的軍官證、警官證、外籍護(hù)照等也屬于合法證件,但一方面大部分金融機(jī)構(gòu)營(yíng)業(yè)網(wǎng)點(diǎn)沒(méi)有配置識(shí)別這些證件真實(shí)性的輔助設(shè)備,另一方面金融機(jī)構(gòu)大多數(shù)的柜員對(duì)這類(lèi)型證件既不熟悉它的防偽標(biāo)志也沒(méi)掌握其識(shí)別要點(diǎn),因此,大多數(shù)銀行柜員只能憑直觀感覺(jué)對(duì)這些證件的真?zhèn)芜M(jìn)行判斷。目前已經(jīng)有不法分子利用銀行不熟悉非常規(guī)證件鑒別的漏洞,采用非居民身份證證件辦理金融業(yè)務(wù)進(jìn)行不法活動(dòng)。而銀行對(duì)客戶(hù)的了解,也僅限于掌握客戶(hù)開(kāi)戶(hù)資料的合規(guī)性?xún)?nèi)容,對(duì)客戶(hù)的經(jīng)營(yíng)狀況、關(guān)聯(lián)企業(yè)狀況、主要資金往來(lái)對(duì)象、經(jīng)營(yíng)范圍等信息缺乏真實(shí)的、詳細(xì)的了解。
二、農(nóng)村信用社反洗錢(qián)工作的對(duì)策和建議
(一)強(qiáng)化反洗錢(qián)意識(shí),培養(yǎng)反洗錢(qián)骨干隊(duì)伍
反洗錢(qián)培訓(xùn)是銀行開(kāi)展反洗錢(qián)工作必不可少的前提,是銀行內(nèi)部控制制度的重要組成部分,其目的是保證銀行各個(gè)層級(jí)的工作人員都樹(shù)立洗錢(qián)風(fēng)險(xiǎn)意識(shí)、反洗錢(qián)法律意識(shí)及合規(guī)意識(shí),明確自身應(yīng)當(dāng)承擔(dān)的責(zé)任,保證員工了解反洗錢(qián)法律法規(guī)的具體要求,掌握反洗錢(qián)工作必備的技能。以豐富多彩的形式,開(kāi)展反洗錢(qián)宣傳活動(dòng),提高基層網(wǎng)點(diǎn)負(fù)責(zé)人對(duì)反洗錢(qián)工作的認(rèn)識(shí),促使他們對(duì)當(dāng)前洗錢(qián)的嚴(yán)峻形勢(shì)及反洗錢(qián)的重要意義有所了解,讓他們能夠正確對(duì)待反洗錢(qián)在工作中形成的短期利益與長(zhǎng)遠(yuǎn)利益的關(guān)系,從而在工作中,自覺(jué)地履行反洗錢(qián)的工作義務(wù)。與此同時(shí),通過(guò)制定和實(shí)施由淺入深的系列培訓(xùn)計(jì)劃,從提高從業(yè)人員的反洗錢(qián)知識(shí)、技能出發(fā),著重加強(qiáng)反洗錢(qián)專(zhuān)業(yè)知識(shí)培訓(xùn),培養(yǎng)一批具有反洗錢(qián)專(zhuān)業(yè)技能的業(yè)務(wù)骨干。培訓(xùn)應(yīng)遵循“不同對(duì)象、不同方式、不同層次、不同內(nèi)容”的原則,可采取實(shí)地培訓(xùn)、網(wǎng)絡(luò)培訓(xùn)、舉辦培訓(xùn)班、組織反洗錢(qián)有獎(jiǎng)知識(shí)競(jìng)賽、在基層網(wǎng)點(diǎn)開(kāi)展巡回指導(dǎo)、案例剖析、以會(huì)代訓(xùn)等豐富多樣的形式,以點(diǎn)帶面,豐富和提高金融從業(yè)人員的思想素質(zhì)、反洗錢(qián)意識(shí)和反洗錢(qián)操作技能,全面提升銀行業(yè)反洗錢(qián)工作水平。
(二)建立健全反洗錢(qián)內(nèi)控制度
反洗錢(qián)內(nèi)部控制制度是銀行反洗錢(qián)工作順利開(kāi)展的基礎(chǔ)。如果一個(gè)銀行的內(nèi)部控制制度不健全,反洗錢(qián)工作將難以有效開(kāi)展。在構(gòu)建反洗錢(qián)內(nèi)部控制的過(guò)程中,銀行應(yīng)目標(biāo)明確,有的放矢,使內(nèi)部控制的方法、程序及措施在反洗錢(qián)工作中切實(shí)發(fā)揮保障作用。農(nóng)村信用社應(yīng)根據(jù)自身的特點(diǎn)和經(jīng)營(yíng)情況,制定適合本單位的反洗錢(qián)制度措施,將反洗錢(qián)法律、法規(guī)和部門(mén)規(guī)章要求,分解、細(xì)化落實(shí)到具體管理和業(yè)務(wù)流程當(dāng)中去,并以此作為內(nèi)部管理考核、獎(jiǎng)勵(lì)和懲罰的依據(jù),增強(qiáng)反洗錢(qián)制度的操作性和實(shí)效性,努力將各項(xiàng)制度、規(guī)定落到實(shí)處。并指導(dǎo)網(wǎng)點(diǎn)營(yíng)銷(xiāo)人員正確認(rèn)識(shí)和處理好反洗錢(qián)與業(yè)務(wù)發(fā)展的關(guān)系,依法經(jīng)營(yíng),依法履行反洗錢(qián)的有關(guān)職責(zé)。
(三)全面推進(jìn)客戶(hù)身份識(shí)別
客戶(hù)身份識(shí)別是我國(guó)反洗錢(qián)法律制度的強(qiáng)制性要求,是銀行及其工作人員必須履行的法律義務(wù)。是銀行做好客戶(hù)風(fēng)險(xiǎn)分類(lèi)、大額交易和可疑交易報(bào)告、客戶(hù)身份資料和交易記錄保存及其他反洗錢(qián)工作的基礎(chǔ)。農(nóng)村信用社應(yīng)嚴(yán)格按照人民銀行《客戶(hù)身份識(shí)別和客戶(hù)身份資料及交易記錄保存管理辦法》等相關(guān)制度要求,開(kāi)展客戶(hù)身份識(shí)別工作。一是執(zhí)行銀行賬戶(hù)實(shí)名制,實(shí)行“了解你的客戶(hù)”的原則,充分利用居民身份聯(lián)網(wǎng)核查系統(tǒng)、身份證鑒別儀,做好客戶(hù)盡職調(diào)查,對(duì)居民的身份信息進(jìn)行核實(shí)。二是了解客戶(hù)背景、交易目的、交易性質(zhì)、資金來(lái)源和用途。三是保存身份文件和交易記錄,為司法和執(zhí)法當(dāng)局日后的追查提供翔實(shí)的金融信息資料,達(dá)到利用有效的金融信息控制洗錢(qián)的目的。四是重點(diǎn)審查高風(fēng)險(xiǎn)客戶(hù),對(duì)于高風(fēng)險(xiǎn)客戶(hù),金融機(jī)構(gòu)內(nèi)部審查的頻率應(yīng)遠(yuǎn)遠(yuǎn)高于低風(fēng)險(xiǎn)客戶(hù),盡職調(diào)查程序要得到客戶(hù)個(gè)人財(cái)產(chǎn)、資金來(lái)源等問(wèn)題的答案。
金融安全管理論文篇二
試論金融機(jī)構(gòu)信息資產(chǎn)安全與操作風(fēng)險(xiǎn)管理
[摘要]面對(duì)日趨復(fù)雜的金融活動(dòng),金融操作風(fēng)險(xiǎn)已經(jīng)成為金融機(jī)構(gòu)越來(lái)越顯著的風(fēng)險(xiǎn)因素,操作風(fēng)險(xiǎn)的監(jiān)管日趨重要。金融機(jī)構(gòu)作為“信息系統(tǒng)依賴(lài)型”企業(yè)和“信息資產(chǎn)密集型”企業(yè),對(duì)信息系統(tǒng)的依賴(lài)程度不斷增強(qiáng)。金融信息系統(tǒng)的安全性、可靠性、有效性直接關(guān)系到整個(gè)金融業(yè)的安全和穩(wěn)健。本文借鑒MSF風(fēng)險(xiǎn)管理框架,結(jié)合金融機(jī)構(gòu)操作風(fēng)險(xiǎn)威脅和信息資產(chǎn)安全特點(diǎn),提出金融機(jī)構(gòu)完善信息資產(chǎn)安全、進(jìn)行操作風(fēng)險(xiǎn)管理的初步框架。
[關(guān)鍵詞]金融機(jī)構(gòu);信息資產(chǎn);操作風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理
金融機(jī)構(gòu)操作風(fēng)險(xiǎn)具有不同于信用風(fēng)險(xiǎn)和市場(chǎng)風(fēng)險(xiǎn)的顯著特征,是其基礎(chǔ)性風(fēng)險(xiǎn)。巴塞爾委員會(huì)對(duì)操作風(fēng)險(xiǎn)的定義是:“操作風(fēng)險(xiǎn)是指由不完善或有問(wèn)題的內(nèi)部程序、人員及系統(tǒng)或外部事件所造成損失的風(fēng)險(xiǎn)。”它是指由于不當(dāng)或不足的方式操作業(yè)務(wù)或外部事件而對(duì)銀行業(yè)務(wù)帶來(lái)負(fù)面影響的可能性。操作風(fēng)險(xiǎn)是與銀行業(yè)務(wù)操作緊密相聯(lián)系的風(fēng)險(xiǎn),它和信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)共同構(gòu)成商業(yè)銀行的三大風(fēng)險(xiǎn)。對(duì)于操作風(fēng)險(xiǎn)的監(jiān)管。直接涉及銀行信息資產(chǎn)風(fēng)險(xiǎn)的監(jiān)管,銀行信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管與操作風(fēng)險(xiǎn)監(jiān)管有著密切關(guān)系,加強(qiáng)操作風(fēng)險(xiǎn)的監(jiān)管,就必須高度重視信息資產(chǎn)風(fēng)險(xiǎn)的監(jiān)管。
一、IT環(huán)境下操作風(fēng)險(xiǎn)的挑戰(zhàn)
(一)IT環(huán)境下操作風(fēng)險(xiǎn)的隱患
當(dāng)前由于銀行系統(tǒng)漏洞或缺陷導(dǎo)致的操作風(fēng)險(xiǎn)事件呈現(xiàn)出上升趨勢(shì)。據(jù)銀監(jiān)會(huì)通報(bào),2007年以來(lái)銀行業(yè)發(fā)生的5起典型信息系統(tǒng)風(fēng)險(xiǎn)事件,分別是:2007年3月21日,交通銀行因主機(jī)監(jiān)控軟件存在缺陷,導(dǎo)致業(yè)務(wù)交易阻塞,系統(tǒng)癱瘓近4個(gè)小時(shí),所有營(yíng)業(yè)網(wǎng)點(diǎn)無(wú)法正常開(kāi)展業(yè)務(wù);2007年8月15日,中國(guó)工商銀行對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行升級(jí),由于沒(méi)有避開(kāi)業(yè)務(wù)高峰期,導(dǎo)致個(gè)人業(yè)務(wù)系統(tǒng)運(yùn)行不暢,業(yè)務(wù)辦理速度緩慢,部分代理證券業(yè)務(wù)受阻,在持續(xù)5個(gè)半小時(shí)后,系統(tǒng)才逐步恢復(fù)正常;2007年10月18日,中國(guó)建設(shè)銀行股民保證金第三方存管系統(tǒng)出現(xiàn)故障,與券商的交易無(wú)法正常進(jìn)行,事故持續(xù)了兩個(gè)小時(shí),在證券交易收盤(pán)后才恢復(fù)正常;2007年12月21日,招商銀行因運(yùn)行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障,造成業(yè)務(wù)無(wú)法正常進(jìn)行,雖啟動(dòng)了應(yīng)急預(yù)案,但仍然中斷營(yíng)業(yè)近1個(gè)小時(shí):2008年1月7日,北京銀行因主干專(zhuān)線(xiàn)的入戶(hù)接入設(shè)備發(fā)生故障,造成在京117家支行所屬網(wǎng)點(diǎn)柜臺(tái)交易緩慢,業(yè)務(wù)無(wú)法正常進(jìn)行,故障在1個(gè)多小時(shí)后才得以解決。上述案例中,既有信息系統(tǒng)自身原因引發(fā)的故障,也有人員操作失誤引發(fā)的故障,信息系統(tǒng)風(fēng)險(xiǎn)已成為商業(yè)銀行關(guān)注和防范的焦點(diǎn)。
金融業(yè)信息技術(shù)事故統(tǒng)計(jì)表明,如果銀行系統(tǒng)中斷1小時(shí),將直接影響該行的基本支付業(yè)務(wù);中斷1天,將對(duì)其聲譽(yù)造成極大傷害;中斷2―3天以上不能恢復(fù)。將直接危及其他銀行乃至整個(gè)金融系統(tǒng)的穩(wěn)定。目前。我國(guó)銀行業(yè)的IT建設(shè)正處于高速發(fā)展期,在設(shè)備規(guī)模和技術(shù)水平不斷提高的同時(shí),信息科技風(fēng)險(xiǎn)管理顯得相對(duì)薄弱。
技術(shù)型操作風(fēng)險(xiǎn)的隱患源于:1.操作系統(tǒng)漏洞。銀行應(yīng)用的Unix,Win-dows等操作系統(tǒng)存在一定安全隱患;2.安全設(shè)施的漏洞。網(wǎng)絡(luò)層、應(yīng)用層的防火墻自身是否安全、設(shè)置是否錯(cuò)誤,需要經(jīng)過(guò)檢驗(yàn)。美國(guó)一項(xiàng)調(diào)查表明,32%的泄密是由內(nèi)部作案造成,所有的防火墻都不同程度地被黑客攻擊過(guò);3.安全管理的漏洞?,F(xiàn)有的一些信息系統(tǒng)缺少定期的安全測(cè)試與檢查,更缺少安全監(jiān)控。在已破獲的采用計(jì)算機(jī)技術(shù)犯罪的案件中,內(nèi)部授權(quán)人員作案的占58%;4.安全協(xié)議的漏洞。由于銀行網(wǎng)絡(luò)系統(tǒng)內(nèi)部運(yùn)行的各種協(xié)議(如TCP/IP,IPX/SPX等)是在資源及網(wǎng)絡(luò)技術(shù)均不成熟的情況下設(shè)計(jì)的,還存在著脆弱的認(rèn)證機(jī)制、容易被竊聽(tīng)和監(jiān)視、易受欺騙等安全隱患;5.內(nèi)控制度的漏洞。管理制度、運(yùn)行規(guī)程不完善,不能有效地杜絕內(nèi)部作案,更缺乏良好的故障處理反應(yīng)機(jī)制。
(二)lT環(huán)境下操作風(fēng)險(xiǎn)的表現(xiàn)形式
技術(shù)導(dǎo)向型操作風(fēng)險(xiǎn)是指由于技術(shù)問(wèn)題,特別是信息技術(shù)的應(yīng)用對(duì)銀行的系統(tǒng)、流程、產(chǎn)品、服務(wù)和交易等產(chǎn)生不良影響而導(dǎo)致的操作風(fēng)險(xiǎn),包括IT技術(shù)、網(wǎng)絡(luò)系統(tǒng)、產(chǎn)品的服務(wù)缺陷。以及外部法律、稅收和監(jiān)管方面的變化對(duì)銀行沖擊而造成的風(fēng)險(xiǎn)。關(guān)于金融機(jī)構(gòu)技術(shù)導(dǎo)向型操作風(fēng)險(xiǎn)涵蓋的范疇及其風(fēng)險(xiǎn)的含義,在2006年出臺(tái)的銀行業(yè)監(jiān)督管理法中給出了明確定義:“主要包括總體風(fēng)險(xiǎn),研發(fā)風(fēng)險(xiǎn)、運(yùn)行維護(hù)風(fēng)險(xiǎn)、外包風(fēng)險(xiǎn)等信息系統(tǒng)生命周期幾個(gè)高風(fēng)險(xiǎn)點(diǎn)……其中,總體風(fēng)險(xiǎn)是指金融機(jī)構(gòu)信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn);研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過(guò)程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測(cè)試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn);運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過(guò)程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn);外包風(fēng)險(xiǎn)是指金融機(jī)構(gòu)將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。”
二、金融機(jī)構(gòu)信息資產(chǎn)安全的需求
金融機(jī)構(gòu)信息系統(tǒng)是指銀行業(yè)金融機(jī)構(gòu)運(yùn)用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營(yíng)管理和內(nèi)部控制的系統(tǒng)。金融機(jī)構(gòu)信息系統(tǒng)具有如下特點(diǎn):1.金融信息化的建設(shè)以及網(wǎng)上銀行業(yè)務(wù)的迅猛發(fā)展,使得銀行等金融機(jī)構(gòu)的業(yè)務(wù)集中度非常高。2.數(shù)據(jù)大集中后,由于單筆交易所跨越的網(wǎng)絡(luò)環(huán)節(jié)越來(lái)越多,信息系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴(lài)性越來(lái)越高。3.信息安全性要求高,信息系統(tǒng)的各種文檔資料和用戶(hù)資料均需保密。
(一)信息資產(chǎn)安全的邊界
有關(guān)信息資產(chǎn)的含義,目前眾說(shuō)紛紜,本文借鑒屈延文(2006)給出的定義,即信息資產(chǎn)是由信息范疇資產(chǎn)、系統(tǒng)范疇資產(chǎn)和附加范疇資產(chǎn)組成。其中信息范疇資產(chǎn)是指信息存在形式、信息內(nèi)容、內(nèi)容價(jià)值;系統(tǒng)范疇資產(chǎn)是指系統(tǒng)存在形式、系統(tǒng)行為、行為價(jià)值;附加范疇資產(chǎn)則是不同的關(guān)注者(計(jì)劃者、擁有者、設(shè)計(jì)者、實(shí)施者和用戶(hù)等)對(duì)信息與系統(tǒng)兩個(gè)范疇關(guān)注的需求價(jià)值(附加價(jià)值)。例如包括開(kāi)發(fā)、運(yùn)營(yíng)、管理、維護(hù)和服務(wù)等產(chǎn)生的關(guān)注性的資產(chǎn)。
隨著信息技術(shù)的發(fā)展與應(yīng)用,信息安全的內(nèi)涵也在不斷的延伸。從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性,進(jìn)而又發(fā)展為“攻(攻擊)、防(防范)、測(cè)(檢測(cè))、控(控制)、管(管理)、評(píng)(評(píng)估)”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。
(二)信息資產(chǎn)安全性原則
信息,在ISO17799中被看作是一種資產(chǎn),這種資產(chǎn)可以增加組織的價(jià)值,因而它也需要得到恰當(dāng)?shù)谋Wo(hù)。信息資產(chǎn)安全需要保護(hù)信息資源,防止未經(jīng)授權(quán)或偶然因素對(duì)信息資源的破壞、修改、非法利用或惡意泄露,以實(shí)現(xiàn)信息保密性、完整性與可用性的要求。在國(guó)際標(biāo)準(zhǔn)化組織的信息安全管理標(biāo)準(zhǔn)規(guī)范(1SO,IEC 17799)和其他一些機(jī)構(gòu)的文獻(xiàn)中,都定義了信息安全的基本特性:如保密性,完整性。有效性;另外也可包括諸如真實(shí)性,可審計(jì)性,不可否認(rèn)性和可控性等。
三、金融機(jī)構(gòu)信息資產(chǎn)操作風(fēng)險(xiǎn)監(jiān)管的對(duì)策
風(fēng)險(xiǎn)監(jiān)管是信息資產(chǎn)安全管理的核心。信息系統(tǒng)風(fēng)險(xiǎn)管理的目標(biāo)是通過(guò)建立有效的機(jī)制。實(shí)現(xiàn)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)價(jià)、預(yù)警和控制,推動(dòng)銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)創(chuàng)新,提高信息化水平,增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。
(一)信息資產(chǎn)操作風(fēng)險(xiǎn)管理的原則和目標(biāo)
實(shí)施信息資產(chǎn)風(fēng)險(xiǎn)管理的原則為:1.針對(duì)性。對(duì)金融機(jī)構(gòu)信息資產(chǎn)所面臨的安全需求進(jìn)行認(rèn)真全面地分析,找出具有針對(duì)性的安全威脅。有的放矢地做好安全工作:2.均衡性。對(duì)信息安全的各個(gè)環(huán)節(jié)進(jìn)行安全強(qiáng)度分析,找出信息安全的脆弱點(diǎn),提出強(qiáng)度均衡的設(shè)計(jì)方案;3.時(shí)效性。在實(shí)施信息安全管理時(shí),要量力而行,安全投入與所需要的功效相適應(yīng)。即對(duì)信息安全面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性和定量的分析,從而制定出合理的安全策略;4.獨(dú)立性。信息安全所采用的技術(shù)均應(yīng)立足國(guó)內(nèi),不得直接引用未經(jīng)消化改造的境外安全保密技術(shù)和設(shè)備;5.綜合性。信息安全必須通過(guò)技術(shù)、管理和安全基礎(chǔ)設(shè)施的綜合實(shí)施才能奏效,即信息安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+基礎(chǔ)實(shí)施+漏洞監(jiān)測(cè)+實(shí)時(shí)響應(yīng)。
金融機(jī)構(gòu)信息資產(chǎn)安全管理的目標(biāo)為:一是對(duì)信息資產(chǎn)安全現(xiàn)狀做出正確判斷;二是較為準(zhǔn)確地估計(jì)特定系統(tǒng)風(fēng)險(xiǎn);三是建立相應(yīng)的控制風(fēng)險(xiǎn)的機(jī)制,并把這些機(jī)制融為一體形成防護(hù)體系;四是最大限度地提高系統(tǒng)的可用性,并把系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。
(二)構(gòu)建信息資產(chǎn)操作風(fēng)險(xiǎn)管理框架
金融信息化環(huán)境下,很多機(jī)構(gòu)的信息資產(chǎn)面臨諸多威脅(包括來(lái)自?xún)?nèi)部的威脅和來(lái)自外部的威脅)。威脅利用信息系統(tǒng)存在的各種漏洞(如:物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等),對(duì)信息系統(tǒng)進(jìn)行滲透和攻擊。如果滲透和攻擊成功,將導(dǎo)致企業(yè)資產(chǎn)的暴露。資產(chǎn)的暴露(如系統(tǒng)高級(jí)管理人員由于不小心而導(dǎo)致重要機(jī)密信息的泄露),會(huì)對(duì)資產(chǎn)的價(jià)值產(chǎn)生影響(包括直接和間接的影響)。風(fēng)險(xiǎn)就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小,這可以為資產(chǎn)的重要性和價(jià)值所決定。對(duì)企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的分析。就得出了系統(tǒng)的防護(hù)需求。根據(jù)防護(hù)需求的不同,制定系統(tǒng)的安全解決方案,選擇適當(dāng)?shù)姆雷o(hù)措施,進(jìn)而降低安全風(fēng)險(xiǎn),并抗擊威脅。
信息安全風(fēng)險(xiǎn)是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件,并由于受損信息資產(chǎn)的重要性而對(duì)金融機(jī)構(gòu)造成的影響。資產(chǎn)、威脅和脆弱性構(gòu)成了風(fēng)險(xiǎn)的三個(gè)關(guān)鍵要素,而風(fēng)險(xiǎn)評(píng)估則是圍繞這些要素及其相關(guān)屬性依據(jù)國(guó)家有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及其存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)價(jià)的過(guò)程。本文借鑒MSF風(fēng)險(xiǎn)管理框架,建立以操作風(fēng)險(xiǎn)管理為核心的信息資產(chǎn)安全模型。即風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和分級(jí)、風(fēng)險(xiǎn)計(jì)劃和調(diào)度、風(fēng)險(xiǎn)跟蹤和報(bào)告、風(fēng)險(xiǎn)控制以及風(fēng)險(xiǎn)學(xué)習(xí)六個(gè)步驟。
1 風(fēng)險(xiǎn)識(shí)別。風(fēng)險(xiǎn)識(shí)別的目的是發(fā)現(xiàn)潛在的威脅,預(yù)防某個(gè)特定威脅利用某個(gè)特定系統(tǒng)的脆弱性對(duì)系統(tǒng)造成損失,威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。造成威脅的因素可分為人為因素和環(huán)境因素。風(fēng)險(xiǎn)識(shí)別應(yīng)該在信息系統(tǒng)的生命周期中不斷地重復(fù)。
2 風(fēng)險(xiǎn)分析與分級(jí)。風(fēng)險(xiǎn)分析是對(duì)信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程,即利用定性或定量的方法,借助于風(fēng)險(xiǎn)評(píng)估工具,確定信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)和優(yōu)先風(fēng)險(xiǎn)控制。
3 風(fēng)險(xiǎn)計(jì)劃和調(diào)度。風(fēng)險(xiǎn)計(jì)劃提取風(fēng)險(xiǎn)分析中獲得的信息并用其明確表達(dá)策略、計(jì)劃和工作。風(fēng)險(xiǎn)調(diào)度可以確保計(jì)劃被認(rèn)可并融入標(biāo)準(zhǔn)的日常信息資產(chǎn)安全管理進(jìn)程和基礎(chǔ)設(shè)施中,從而確保風(fēng)險(xiǎn)管理作為日常工作的一部分執(zhí)行。
4 風(fēng)險(xiǎn)跟蹤。風(fēng)險(xiǎn)跟蹤監(jiān)控特定風(fēng)險(xiǎn)的狀況以及它們各自工作計(jì)劃中的進(jìn)展情況。風(fēng)險(xiǎn)跟蹤也包含監(jiān)控變化風(fēng)險(xiǎn)的概率、影響、暴露程度以及其他因素,這些變化可能改變優(yōu)先級(jí)或風(fēng)險(xiǎn)計(jì)劃、信息資產(chǎn)特性、資源或是進(jìn)度表。風(fēng)險(xiǎn)跟蹤從風(fēng)險(xiǎn)等級(jí)的角度定義風(fēng)險(xiǎn)管理過(guò)程在信息資產(chǎn)中的可見(jiàn)度。
5 風(fēng)險(xiǎn)控制。風(fēng)險(xiǎn)控制是執(zhí)行風(fēng)險(xiǎn)工作計(jì)劃和相關(guān)現(xiàn)狀報(bào)告的過(guò)程。風(fēng)險(xiǎn)控制也包含項(xiàng)目變化控制請(qǐng)求的初始化,而風(fēng)險(xiǎn)狀況或風(fēng)險(xiǎn)計(jì)劃的更改可能導(dǎo)致信息資產(chǎn)特性、資源或進(jìn)度表的更改。
6 風(fēng)險(xiǎn)學(xué)習(xí)。使知識(shí)和相應(yīng)項(xiàng)目案例及工具正式化,并在團(tuán)隊(duì)和企業(yè)內(nèi)部以可再度使用的形式提取知識(shí)。
信息系統(tǒng)的安全性、可靠性、有效性直接關(guān)系到整個(gè)金融業(yè)的安全和穩(wěn)健運(yùn)行。在當(dāng)前構(gòu)建和諧社會(huì)的重要階段,金融業(yè)的安全變得更為關(guān)鍵。操作風(fēng)險(xiǎn)防范的重要內(nèi)容就是從技術(shù)防范為主的被動(dòng)信息安全轉(zhuǎn)移到以預(yù)防為主的主動(dòng)風(fēng)險(xiǎn)管理框架中來(lái),把風(fēng)險(xiǎn)控制在可承受的范圍之內(nèi),為社會(huì)提供安全、持續(xù)的金融服務(wù)。
金融安全管理論文篇三
淺談金融信息系統(tǒng)安全管理體系
現(xiàn)代 金融業(yè)是基于信息、高度 計(jì)算 化、分散、相互依存的產(chǎn)業(yè),有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”。金融信息化帶來(lái)的是銀行業(yè)務(wù)信息系統(tǒng)在 網(wǎng)絡(luò) 結(jié)構(gòu)、業(yè)務(wù)關(guān)系、角色關(guān)系等方面的復(fù)雜化。而越是復(fù)雜的系統(tǒng),其安全風(fēng)險(xiǎn)就越高。在系統(tǒng)中每增加一種訪(fǎng)問(wèn)的方式就增加了一些入侵的機(jī)會(huì);每增加一些訪(fǎng)問(wèn)的人群就引入了一些可能受到惡意破壞的風(fēng)險(xiǎn)。據(jù)2003年一項(xiàng)對(duì)全球前500家金融機(jī)構(gòu)的安全調(diào)查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調(diào)查的機(jī)構(gòu)承認(rèn)2002年曾受到一定形式的系統(tǒng)攻擊;美國(guó)聯(lián)邦法院2004年所作的一系列有關(guān)信息犯罪的案件中,有多件涉及金融機(jī)構(gòu)。這些統(tǒng)計(jì)數(shù)字和報(bào)道出的事件,只是我們面臨信息系統(tǒng)安全威脅的冰山一角,因此加速建設(shè)金融信息系統(tǒng)中的安全保障體系變得更加緊迫。
長(zhǎng)期以來(lái),人們對(duì)保障信息系統(tǒng)安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測(cè)、漏洞掃描、身份認(rèn)證等等。但事實(shí)上,僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意,許多復(fù)雜、多變的安全威脅和隱患靠安全產(chǎn)品是無(wú)法消除的。據(jù)有關(guān)部門(mén)統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中,約有52%是人為因素造成的,25%由火災(zāi)、水災(zāi)等 自然 災(zāi)害引起,技術(shù)錯(cuò)誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡(jiǎn)單歸類(lèi),屬于管理方面的原因比重高達(dá)6O%以上,而這些安全問(wèn)題中的95%是可以通過(guò) 科學(xué) 的信息安全管理來(lái)避免。因此,加強(qiáng)安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證,是金融信息系統(tǒng)安全體系建設(shè)的重點(diǎn)。
1安全管理體系構(gòu)建
信息安全源于有效的管理,使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系,只有在建立防范的基礎(chǔ)上,加強(qiáng)預(yù)警、監(jiān)控和安全反擊,才能使信息系統(tǒng)的安全維持在一個(gè)較高的水平之上。因此,安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ),是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機(jī)制,最可行的做法是技術(shù)與管理并重,安全管理法規(guī)、措施和制度與整體安全解決方案相結(jié)合,并輔之以相應(yīng)的安全管理工具,構(gòu)建科學(xué)、合理的安全管理體系。
金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的,它包括信息安全法規(guī)、措施和制度,安全管理平臺(tái)及信息安全培訓(xùn)和安全隊(duì)伍建設(shè),其示意圖如圖1所示。
2安全管理平臺(tái)
安全管理平臺(tái)是通過(guò)采用技術(shù)手段實(shí)施金融信息系統(tǒng)安全管理的平臺(tái),它包括安全預(yù)警管理、安全監(jiān)控管理、安全防護(hù)與響應(yīng)管理和安全反擊管理。
2.1安全預(yù)警管理
安全預(yù)警管理的功能由預(yù)警系統(tǒng)實(shí)現(xiàn),通過(guò)該系統(tǒng),可以在安全風(fēng)險(xiǎn)動(dòng)態(tài)威脅和影響金融信息系統(tǒng)前,事先傳送相關(guān)的警示,讓管理員采取主動(dòng)式的步驟,在安全風(fēng)險(xiǎn)影響運(yùn)作前加以攔阻,從而預(yù)防全網(wǎng)業(yè)務(wù)中斷、效能損失或?qū)ζ涔娦抛u(yù)造成危害,達(dá)到提前保護(hù)自己的作用。安全預(yù)警系統(tǒng)通過(guò)追蹤最新的攻擊技術(shù),分析威脅信息以辨識(shí)出真正潛在的攻擊,迅速響應(yīng)并提供定制化威脅分析及個(gè)性化的漏洞和惡意代碼告警服務(wù),幫助降低風(fēng)險(xiǎn),防患于未然。
2.2安全監(jiān)控管理
通過(guò)安全監(jiān)控功能可以實(shí)時(shí)監(jiān)控金融信息系統(tǒng)的安全態(tài)勢(shì)、發(fā)生了哪些攻擊、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險(xiǎn)日志等,因此安全監(jiān)控功能對(duì)于金融信息系統(tǒng)的安全保障體系來(lái)說(shuō)是至關(guān)重要的。
1)基于實(shí)時(shí)性的安全監(jiān)控。通過(guò)在線(xiàn)方式管理金融信息系統(tǒng)中的資源狀態(tài)和實(shí)時(shí)安全事件,及時(shí)關(guān)注IT資源和安全風(fēng)險(xiǎn)的現(xiàn)狀和趨勢(shì),通過(guò)實(shí)時(shí)監(jiān)控來(lái)提高系統(tǒng)的安全性和IT資源的效能。
2)基于智能化的安全監(jiān)控。利用智能信息處理技術(shù)對(duì)信息網(wǎng)絡(luò)中的各種安全事件進(jìn)行智能處理,實(shí)現(xiàn)報(bào)警信息的精煉化,提高報(bào)警信息的可用信息量,降低安全設(shè)備的虛警和誤警,從而有效地提高安全保障系統(tǒng)中報(bào)警信息的可信度。
3)基于可視化的安全監(jiān)控。通過(guò)對(duì)安全事件分析過(guò)程與分析報(bào)告的可視化手段,如圖表/曲線(xiàn)/數(shù)據(jù)表/關(guān)聯(lián)關(guān)系圖等,提供詳細(xì)的入侵攻擊信息乃至重現(xiàn)攻擊場(chǎng)景,實(shí)現(xiàn)對(duì)入侵攻擊行為的追蹤,使得對(duì)安全事件的分析更為直觀,從而有效提高安全管理人員對(duì)于入侵攻擊的監(jiān)控理解,使安全系統(tǒng)的管理更為有效。
4)基于分布式的安全監(jiān)控。通過(guò)系統(tǒng)分布式的多級(jí)部署方式,可以實(shí)現(xiàn)對(duì)金融信息系統(tǒng)內(nèi)各個(gè)子系統(tǒng)的監(jiān)控和綜合分析能力,同時(shí)對(duì)不同安全保護(hù)等級(jí)的用戶(hù)提供相應(yīng)的監(jiān)控界面和信息,從而嚴(yán)格滿(mǎn)足其安全等級(jí)劃分的用戶(hù)級(jí)要求。
2.3安全防護(hù)與響應(yīng) 管理
在 金融 信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性,因此會(huì)采用不同的安全技術(shù)和不同廠(chǎng)家的安全產(chǎn)品來(lái)實(shí)現(xiàn)安全防護(hù)的目的。通過(guò)安全防護(hù)與響應(yīng)管理可以及時(shí)響應(yīng)和優(yōu)化整個(gè)系統(tǒng)安全防護(hù)策略;最直接的響應(yīng)就是提供多種方式,如報(bào)警燈、窗日、郵件、手機(jī)短信等向安全管理員報(bào)警,然后日志保存在本地?cái)?shù)據(jù)庫(kù)或者異地?cái)?shù)據(jù)庫(kù)中。
1)優(yōu)化安全策略分析。通過(guò)實(shí)時(shí)掌握自身的安全態(tài)勢(shì),及各種安全設(shè)備、 網(wǎng)絡(luò) 設(shè)備、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況,輸出正常和非法個(gè)性化的安全策略報(bào)表,然后直接通知相應(yīng)的安全管理人員或廠(chǎng)商對(duì)其自身策略進(jìn)行優(yōu)化調(diào)整。
2)動(dòng)態(tài)響應(yīng)策略調(diào)整。通過(guò)對(duì)各種安全響應(yīng)協(xié)議的支持,如SNMP、TOPSEC、聯(lián)動(dòng)協(xié)議等,實(shí)現(xiàn)相關(guān)的安全防護(hù)技術(shù)策略的自動(dòng)交互,同時(shí)通過(guò)專(zhuān)家知識(shí)庫(kù)能從全局的角度去響應(yīng)安全事件很好地解決安全誤報(bào)問(wèn)題。
3)安全服務(wù)自動(dòng)協(xié)調(diào)。當(dāng)智能分析和安全定位功能確認(rèn)出安全事件或安全故障時(shí),及時(shí)調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應(yīng)商)進(jìn)行相應(yīng)的安全加固防護(hù)。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1)安全事件的取證管理。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具,通過(guò)對(duì)系統(tǒng)安全事件的存儲(chǔ)和分析,實(shí)現(xiàn)對(duì)安全事件的取證管理,給相關(guān)調(diào)查人員提供安全事件的直接取證。
2)安全事件的追蹤反擊。通過(guò)資源狀態(tài)分析、關(guān)聯(lián)分析、專(zhuān)家系統(tǒng)分析等有效手段,檢測(cè)到攻擊類(lèi)型,并定位攻擊源。隨后,系統(tǒng)自動(dòng)對(duì)目標(biāo)進(jìn)行掃描,并將掃描結(jié)果告知安全管理員,并提示安全管理員查詢(xún)知識(shí)庫(kù),從中提取有效手段對(duì)攻擊源進(jìn)行反擊控制。
3安全管理措施建議
在安全管理技術(shù)手段的基礎(chǔ)上,還要提高安全管理水平。俗話(huà)說(shuō)“三分技術(shù),七分管理”,由于金融信息系統(tǒng)相對(duì)比較封閉,對(duì)于金融信息系統(tǒng)安全來(lái)說(shuō),業(yè)務(wù)邏輯和操作規(guī)范的嚴(yán)密程度是關(guān)鍵。因此,加強(qiáng)金融信息系統(tǒng)的內(nèi)部安全管理措施,建立領(lǐng)導(dǎo)組織體系,完善落實(shí)內(nèi)控制度,強(qiáng)化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理機(jī)構(gòu)的建設(shè)。目前,我國(guó)已經(jīng)把信息安全提到了促進(jìn) 經(jīng)濟(jì) 發(fā)展 、維護(hù)社會(huì)穩(wěn)定、保障國(guó)家安全、加強(qiáng)精神文明建設(shè)的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專(zhuān)門(mén)成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組、國(guó)家 計(jì)算 機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡(jiǎn)稱(chēng)CNCERT/CC)、 中國(guó) 信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心(簡(jiǎn)稱(chēng)CNITSEC)等,初步建成了國(guó)家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全,在金融信息系統(tǒng)內(nèi)部應(yīng)組建安全管理小組(或委員會(huì)),安全管理小組制定出符合 企業(yè) 需要的信息安全管理策略,具體包括安全管理人員的義務(wù)和職責(zé)、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計(jì)與入侵安全策略、標(biāo)簽策略、病毒防護(hù)策略、安全備份策略、物理安全策略、系統(tǒng)安全評(píng)估體系等內(nèi)容。安全管理應(yīng)盡量把各種安全策略要求文檔化和規(guī)范化,以保證安全管理工作具有明確的依據(jù)或參照。
2)在保證信息系統(tǒng)設(shè)備的運(yùn)行穩(wěn)定可靠和信息系統(tǒng)運(yùn)行操作的安全可靠的前提下,增加安全機(jī)制,如進(jìn)行安全域劃分,進(jìn)行有針對(duì)性的安全設(shè)備部署和安全策略設(shè)置,以改進(jìn)對(duì)重要區(qū)域的分割防護(hù);增加入侵檢測(cè)系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具,進(jìn)行定時(shí)監(jiān)控、事件管理和鑒定分析,以提高自身的動(dòng)態(tài)防御能力;完善已有的防病毒系統(tǒng)、增加內(nèi)部信息系統(tǒng)的審計(jì)平臺(tái),以便形成對(duì)內(nèi)部安全狀況的長(zhǎng)期跟蹤和防護(hù)能力。
3)制定一系列必須的信息系統(tǒng)安全管理的 法律 法規(guī)及安全管理標(biāo)準(zhǔn),狠抓內(nèi)網(wǎng)的用戶(hù)管理、行為管理、應(yīng)用管理、內(nèi)容控制以及存儲(chǔ)管理;進(jìn)一步完善互聯(lián)網(wǎng)應(yīng)急響應(yīng)管理措施,對(duì)關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案,并定期更新和測(cè)試,全面提高預(yù)案制定水平和處理能力;建立一支“信息安全部隊(duì)”,專(zhuān)門(mén)負(fù)責(zé)信息網(wǎng)絡(luò)方面安全保障、安全監(jiān)管、安全應(yīng)急和安全威懾方面的工作。
4)堅(jiān)持“防內(nèi)為主,內(nèi)外兼防”的方針,加強(qiáng)登錄身份認(rèn)證,嚴(yán)格限制登錄者的操作權(quán)限,充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對(duì)用戶(hù)所訪(fǎng)問(wèn)的信息進(jìn)行跟蹤記錄,為系統(tǒng)審計(jì)提供依據(jù)。
5)重視和加強(qiáng)信息安全等級(jí)保護(hù)工作,對(duì)金融信息系統(tǒng)中的信息實(shí)施一般保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)和強(qiáng)制保護(hù)策略,尤其對(duì)重要信息實(shí)施強(qiáng)制保護(hù)和強(qiáng)制性認(rèn)證,以確保金融業(yè)務(wù)信息的安全。
6)加強(qiáng)信息安全管理人才與安全隊(duì)伍建設(shè),特別是加大既懂技術(shù)又懂管理的復(fù)合型人才的培養(yǎng)力度。通過(guò)各種會(huì)議、網(wǎng)站、廣播、電視、報(bào)紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識(shí),尤其是加強(qiáng)企業(yè)內(nèi)部人員的信息安全知識(shí)培訓(xùn)與 教育 ,提高員工的信息安全自律水平。
4結(jié)束語(yǔ)
隨著信息化與網(wǎng)絡(luò)化趨勢(shì)的增強(qiáng)和社會(huì)信息化步伐的加快,網(wǎng)絡(luò)與信息系統(tǒng)的安全越來(lái)越受到人們的關(guān)注。網(wǎng)絡(luò)與信息安全已經(jīng)直接威脅到系統(tǒng)的正常運(yùn)轉(zhuǎn)和效能的發(fā)揮,因此進(jìn)行安全管理體系研究,對(duì)金融信息系統(tǒng)進(jìn)行主動(dòng)有效的安全管理,必將提高金融信息系統(tǒng)的整體安全保障能力。
猜你喜歡:
1.工程安全管理論文
2.金融安全論文
3.金融安全論文范文