金融机构信息管理(精选12篇)
金融机构信息管理 第1篇
一、促进金融信息系统标准化建设, 金融业机构信息管理工作势在必行
(一) 从根本上讲, 人民银行作为我国的中央银行, 依法担负着监测金融市场的运行, 提供清算、再贷款, 监督银行业金融机构之间的同业拆借等多项职能, 并以此建立了和各金融机构相关联的多类金融信息系统, 来保证各项服务、监管职能的顺利实施, 实现对金融体系的全面监测、预警。
在《管理规定》发布之前, 我国还没有规范、准确的金融机构信息名录库。央行各类金融信息系统的机构信息既没按照国家标准赋予的分类设计, 也无统一的信息构建标准和更新措施, 仅仅是根据其某项业务的实际需要进行无序、简单的设置, 因此造成了各类金融信息系统之间无统一的、最新的金融机构标识信息。同时由于信息构建标准不规范, 存在各类信息系统不能互联互通, 业务数据重复上报, 汇总的金融报表数据偏差较大, 不易监测、分析等诸多问题。这都对央行及各金融机构造成了财力、人力上的重复投入和浪费, 影响了工作效率, 成为央行金融数据和国家统计数据不协调的原因之一, 是一种潜在的系统风险隐患。
如何解决这些因机构信息不规范导致的历史遗留问题, 是我国金融信息系统标准化建设的当务之急。
(二) 从金融机构方面来说, 由于我国多年引进外资并与国际金融体系接轨, 各地金融机构为其自身的业务发展需要, 频繁新建、撤销、更名、换地址;再加上各类新业务不断推陈出新, 许多跨行、跨省、跨市的业务需求持续增涨, 通过央行的金融信息系统进行业务交易的金融机构数量也快速增加, 这就要求金融机构必须有一个全国范围内统一有效的、按照行业标准构建的机构信息标识。如果机构信息不准确, 就可能出现意想不到的资金汇划风险。怎样能及时、准确地认证金融机构本身的各种变化, 化解潜在风险, 仅仅依靠各金融机构之间简单的被动认证是远远不够的。
(三) 从各金融机构已申请的银监会和技术监督局的机构信息标准码考虑, 这两种标准码都是根据其监管需要设计的, 各自为政, 推广使用极少, 仅限于形式上的规范化, 由于行业限制, 央行及各金融机构也不能及时、准确地调取和使用机构信息标识码, 造成金融行业机构信息不能共享, 数据资源浪费, 为正常开展金融信息系统的各类业务带来诸多不便。
(四) 从社会需求方面分析, 由于网上商务的兴起, 为各银行提供了新的利润增长点, 网上银行也成为全国60%网民进行交易的首选。但阻碍网上银行发展的, 其中就有跨行业务机构标识不明确, 认证手续繁杂等问题, 很多网上业务都得通过其总、分行或当地人民银行贷转, 不能给网上商务的发展提供良好的交易平台。
因此, 为了推进金融信息系统标准化建设需要, 迫切需要央行为各金融机构赋予一个统一、准确的在全国范围内有效的机构信息标识, 对今后的金融行业监督、业务开展和信息共享, 提供有效的帮助。
二、金融业机构信息管理工作中值得商榷的方面
(一) 《管理规定》的约束力明显不足。金融机构因种种原因未按规定进行注册、更新并及时报送的, 在《管理规定》中相应的处罚条款不明确, 责任追究制度较笼统, 容易产生登不登记都没有什么影响的工作状态。从烟台市机构信息编制、备案情况看, 许多金融机构平时不重视, 出现变更也不申报, 等到需要加入央行的各类信息系统或是马上要年检时, 再一起报送备案材料, 有时一天报送多达80余家的变更材料, 时间跨度近一年, 这样容易造成各类金融业务不能及时汇总、监测的尴尬处境, 给机构信息管理造成了很大的工作压力, 也对其本身的业务带来一定的影响, 存在一定的风险隐患。
(二) 在《管理规定》中机构的信息分类设置不明晰。“分支机构”和“事业部”区分条件存在一定的模糊性, 在执行时不易判定。例如某县级金融机构, 依法取得了金融许可证等相关证照, 按照《管理规定》应该属于分支机构, 但在经营决策、财务核算等方面, 它具有一定独立性, 这又和事业部相近, 缺乏判断条件项及明确的归类方式, 这将对今后的工作造成一定的影响。
(三) 在新建、变更提交材料中未将有关部门的批复未列入正式备案材料, 这样不容易了解其机构的新建、变更细节, 对其业务办理的连续性容易产生不良影响。烟台有家机构在申报时银监局批复的是机构A迁址到机构B, 在机构A原处新建代办机构C, 但机构在申报我行机构编码时, 要求机构A变更为代办机构C, 新建机构B。如无有关部门的批复, 很难判断信息变更的实际信息。
(四) 近期央行下发了对金融业机构信息有效性年度验证的检查通知, 对年检的检查比例、方式做了进一步安排, 但如何安排当地的法人金融机构的年检、出资人变更情况及异地 (包含跨省、跨地区) 机构的报备案, 还需要央行各分支机构根据本地的实际情况, 进一步细化检查方式和处罚细则, 在今后的执行工作中存在一些不确定因素。
(五) 从各金融机构的报送情况分析, 由于机构信息标准码和其本身的业务关联度不是很高, 所以仅仅是为了应付备案、年检。
三、以标准为前导, 促进金融业机构信息管理工作再上新台阶
2009年底人民银行编制了《金融机构编码规范》, 2010年6月印发了《管理规定》, 同时推广了《金融业机构信息管理系统》。7月在全国开展了金融业机构信息管理系统初始数据的核对工作, 这标志着机构信息管理工作已经列入金融信息系统标准化的建设轨道。
(一) 金融业机构信息管理工作作为金融信息标准化的基础工作, 央行应不断扩展金融业机构信息标准码的使用范围, 提高技术含量, 通过建立我国首个规范、完整、准确的金融机构信息名录库, 规范机构信息标准码在央行金融信息系统标准化建设中的使用、审计功能, 并作为接入金融信息系统的量化原则中一项重要的检测标准, 从具体执行状态进行分析、确认, 保证金融业机构信息的准确性和实时性, 从而防范系统性金融风险, 避免可能出现的法律纠纷, 保障金融体系稳健运行。
(二) 应从长远考虑, 将金融业机构信息标准码逐步推广到金融机构内部、各金融机构之间及各宏观管理部门之间的业务信息系统中去, 提高机构信息标准码的使用效率, 将金融业机构信息标准码逐步变成一种金融行业的认证标准, 并列入各金融机构的考核指标。当各金融机构意识到机构信息标准码和其业务存在很大的关联度时, 才能有效提高机构信息标准码的推广使用, 提高整个金融体系的协同效率。
(三) 建议尽快出台《金融业机构信息管理补充规定》, 化解可能出现的不确定因素。
1.《管理规定》发布一年, 从各地执行的工作实践看, 还应加强责任追究制度, 增强《管理规定》的约束力, 确保金融业机构信息的准确性、时效性。烟台中支就对违反《管理规定》的机构, 采取了责令改正、整改报告、领导约谈、通报批评的工作方式, 取得了预期的效果。
2.尽快细化《管理规定》中, 例如:年检、法人机构管理、分类、变更材料等问题的解决方式, 使其标准化、规范化, 从而使《管理规定》更具可操作性。
3.应上收机构信息注册的审核权到人民银行各省会中支, 保证机构信息的标准权威性、严肃性。
金融业机构信息管理制度 第2篇
为使公司对客户的管理规范化、有效化,保证稳定开展,特制定本办法。
二、客户界定
公司客户为与公司有业务往来的供应商和经销商。
公司有关的律师、、广告、公关、银行、保险、融资协助机构,可列为特殊的一类客户。
三、客户信息管理
公司营销部(、信息部)负责公司所有客户信息、资料、数据的分类、汇总、整理。
公司建立客户档案,指定专人负责,规定统一格式、内容,并编制客户一览表供查阅。
四、客户档案的建立
1、每发展、接触一个新客户,均应建立客户档案户头。
2、客户档案适当标准化、规范化,摸清客户基本信息,如客户名称、法定代表人或法人代表、地址、邮编、电话、传真、经营范围、注册资本等。
3、客户档案资料、信息、数据要做到定期更新、修改。
4、客户单位的发生重大变动事项、与本公司的业务交往,均须记入客户档案。
5、积累客户年度业绩和财务状况报告。
五、公司各部门与客户接触的,均须报告所辖部门(除该业务保密外),不得局限在业务人员个人范围内。
六、员工调离公司时,不得将客户资料带走,其主管部门将其客户资料接收、整理、归档。
七、建立客户信息查阅权限制,未经许可,不得随意调阅客户档案。
八、客户管理
接待客户,按公司对外接待办法处理,对重要的客户按贵宾级别接待。
与客户的信函、传真、长话交往,均应按公司各项管理办法记录在案,并整合在客户档案内。
对一些较重要、未来将发展的新客户,公司要有两个以上的人员与之联系,并建立联系报告制。
负责与客户联系的员工调离公司时,应由公司及时通知有关客户,并指派其员工顶替调离员工迅速与客户建立联系。
九、附则
采供血机构信息化和血液管理浅析 第3篇
(宜春学院第二附属医院江西宜春336000)【摘要】为探讨如何实现采供血机构信息化和加强血液管理,以提高工作效率,实现信息共享,作者结合工作实践,从血液信息标准体系的建设、信息化人才队伍的建设和系统的开发和安全等方面阐述了采供血机构信息化和血液管理的方案;采供血机构信息化真实地记录了保证血液质量的全过程,是确保临床安全用血的有力保障。【关键词】采供血机构;血液管理;信息化;安全【中图分类号】R82 【文献标识码】A【文章编号】1004-5511(2012)04-0417-01 血液的安全采集和使用从来就是处于公众、新闻媒体乃至政府各級领导的密切关注之下。近年来,人们对血液、血液质量、输血安全进一步重视,因为血液安全问题的发生常常会引发一些社会问题,采供血机构必须适应发展的需要,承担起对血液安全的责任。虽然在部分地区采供血机构信息化管理己经涉及到采供血业务的全部工作流程,但为了进一步实现档案信息化资源共享,提高社会效益,同时确保血液安全,健全和规范采供血机构的服务网络,保障人民群众身体健康和生命安全,采供血机构信息化建设仍是现阶段发展的重要课题。1 采供血机构信息化建设现状和目的
随着输血事业的深入发展,国家和人民对血液质量、输血安全提出了更高要求。经血传染性疾病,如艾滋病已经成为影响一个国家的经济发展和社会进步的重大公共卫生问题和严重社会问题。完整的血液管理信息档案是献血者、血液检测和血液质量的真实记录,而有采供血机构提供和保存的的原始血液管理信息也是维护献血者及受血者司法取证的重要依据,所以传统单一的管理模式己很难适应社会发展的需要。卫生部在全国血液管理工作会议提出要加强网络建设和实现信息化管理,力争在2——3年内完成区域统一网络信息系统建设,逐步推进跨省和全国的信息联网工作。采供血机构信息化有助于提高采供血工作的管理效率和服务水平,利用先进的信息化技术进行血液管理是先进医疗信息化的重要组成部分。随着计算机应用技术的快速发展,计算机管理系统越来越多的应用到采供血业务中的,其应用的范围也越来越广,部分地区的信息化管理己经涉及到采供血业务的全部工作流程。据相关报道,北京市临床用血的采集、加工、储存、运输、应用已实现全面信息化管理。每一辆采血车上都配备一台笔记本电脑,与血液中心时时连线,只要输人献血者身份证号码,即可实时查询献血者的档案信息,避免了淘汰献血者再次献血和因献血间隔不够导致的频采现象[1]。采供血机构的血液管理突出的问题是安全血源不足的矛盾十分突出、采供血服务网络尚不健全和采供血机构建设滞后。提供安全和充足的血源是保证输血安全的前提,虽然相关部门已经做了很多的工作,但是低危人群献血不足的矛盾仍然突出;全国很多县级中心血库大多挂靠在医院内,条件简陋,基础设备不足,难以保证正常的血液筛查上作和血液检测的有效性。各个采血机构没有有效的整合,未能建立全省性血液管理信息网络,卫生行政管理部门难以掌握、调控全省血液的供需平衡。2 采供血机构信息化和血液管理方案2.1血液信息标准体系建设 血站的管理水平的高低很大程度上影响到血液质量。标准化是信息化建设的重要基础,建立信息化标准体系是信息化建设的重要内容。由于一直没有统一标准,无法实现信息共享,从而导致各采供血机构之间、采供血机构与相关部门之间信息共享难以实现。信息沟通不畅,严重阻碍了血液信息化作用的实现和发挥。统一规范、统一代码、统一接口是是信息化建设的重要措施。采供血机构的信息管理软件除了要符合国家相关法律法规,如《献血法》,体现ISO 、 GM P等管理模式对采供血业务的管理要求外,还要采用国际输血协会批准的ISBT——128血液信息编码作为编码标准[2];然后从业务管理和质量管理的角度逐步统一技术标准和规范,避免同一业务环节多重处理方案。2.2加强信息化人才队伍的建设 在采供血机构的管理人员队伍中,尚缺少既熟悉专业理论,又能熟练运用计算机及网络技术的人才。随着信息化技术的高速发展,信息化管理由过去的劳动密集型转变为以现代办公设备为依托的知识密集型工作模式[3]。既懂信息技术,又懂血液管理的信息化管理人员是档案信息化建设的重要资源。加强采供血机构信息化人才培训,优化知识结构,培养复合型人才是信息化建设的重要任务。树立良好的信息化意识是做好信息化管理的首要条件,为了使每位职工认识到信息化工作的重要性,要培养信息技术的应用能力,如计算机应用基础知识、数字化技术知识、网络技术知识及与档案信息化相关的现代管理技术知识等。2.3 完善信息管理内涵 献血者的信息录入、体检、条形码打印、采血、血液初复检、全自动检验设备的信息自动链接、成分血制备以及血制品入库存核对是血站采供血业务的基础和重点。信息化管理主要实现全省乃至全国的血液资源共享,确保献血屏蔽信息和稀有血型献血者信息等全面共享[4]。同时领导班子还需要根据信息化系统所提供的数据进行采供血机构与医疗机构资源调配,使血液资源得到最大程度的有效利用,避免浪费。2.4 系统的开发和安全 软件开发是以管理思想和管理模式为基础的。系统的建设包括网络平台的建设、主机与数据库的建设存储系统的建设等。虽然计算机信息的容量大、速度快、极大地方便了用户的需要,但大量的病毒干扰使网络程序、业务数据很不安全。设立网络防火墙,安装网络杀毒软件,保护上网的计算机不受攻击,确保业务数据不会丢失和被篡改[5]。同时,还应该定期进行计算机技能和网络安全知识培训考核。综上,从全国范围来讲,无偿献血工作尚处起步阶段,各地血液机构的管理模式还存在较大差异,距真正实现全域范围的数据交换和自动化管理还有较大距离。通过信息化管理可以大幅度的提高上作效率,使采供血工作更加规范,将差错几率降到最低,而且信息化系统的统计和分析功能可以从宏观上掌握采供血情况。采供血机构科学的信息化和血液管理是输血事业得以发展的重要条件和基础,它真实地记录了保证血液质量的全过程,是血站开展各项业务工作及领导决策的历史依据和重要基础;是维护献血者及受血者和采供血机构、医疗机构公正的重要证据;是提高血液质量、确保临床安全用血的有力保障。参考文献[1]罗军,王宏,许德华等.新形势下临床用血肯理初探[J].解放军医院管理杂志.2009, 6(2):140-141[2]杨风英.孙淑卿.陈国文.广东省采供血机构检查结果分析[J].现代医院,2005,8(5):132[3]孙普良,单彪.血液库存调控策略研究[J].中国输血杂志.2005,18(1): 85[4]苏锡云,孟钵.提高采供血机构业务档案管理质量的思考[J].中国输血杂志,2010,23 (2):141-143.[5]孔长虹.血站信息安全等级保护的探讨[J].中国输血杂志.2009,22(3):243-244作者简介:李智珍,女,1979年5月生人,大学本科学历,江西宜春学院第二附属医院主管检验师。
金融机构信息管理 第4篇
一、加快金融标准化建设, 提升金融业国际竞争力
当前, 我国金融业正逐步融入国际金融市场的大环境, 因此加快推进中国金融标准化建设, 实现跨系统的互联互通、信息共享, 是增强金融机构国际竞争力、提高金融业信息化整体水平、促进金融业健康发展的必经之路。央行李东荣行长助理曾指出, 实施金融标准化战略, 是我国振兴金融业的长远大计。近年, 央行通过主动与相关部门协调合作, 积极推进中国金融标准化体系的建立、完善、应用及管理, 加强同国际金融标准化组织的沟通与交流, 加强金融标准在具体业务领域的应用, 将实施标准化战略作为提高金融行业整体竞争力的一项重要举措并不断推进。央行2005年开始采用ISO20022标准, 并逐步在二代支付系统、中央债券综合业务系统、中央银行会计核算系统等重要系统中应用, 在此基础上将实现金融业信息系统“直通式”流程处理, 促进信息系统互联互通与信息共享的标准化, 对制定和执行货币政策、维护金融稳定、防范和化解系统性金融风险发挥重要作用。
二、金融机构信息管理现状
为规范和加强金融业机构信息管理工作, 确保金融业机构信息的真实、准确和完整, 促进金融业机构信息系统互联互通, 提升共享效率, 2009年12月, 央行发布了《金融机构编码规范》 (以下简称“《规范》”) , 新的14位机构编码 (以下简称“编码”) 将是金融机构在金融统计方面央行唯一认可的身份标识。为进一步落实《规范》, 2010年6月央行发布了《金融业机构信息管理规定》 (以下简称“《规定》”) 。同时, 与《规定》配套的金融业机构信息管理系统 (以下简称“系统”) 也正式上线运行。实际工作中, 在规定条款、应用推广方面存在一些问题给推进工作带来诸多不便。
(一) 规定条款
1.实际工作中会存在机构性质发生变化时引起的包括总部及其所有分支机构名称整体变化, 需要由央行总行变更三级分类编码 (如联社更名银行) , 条款中并没有明确具体如何操作。
2.对辖内金融机构信息进行年度验证的具体的原则和内容没有细化说明, 因此分支机构今后在自行组织此项工作时没有可依据的细则和制度。
3.未明确指出编码的应用范围、领域, 业务关联度不高, 同样未规定编码在金融机构信息系统间互通共享的方式。
4.央行科技部门不具有对外执法权, 因此在对金融机构进行要求其出具相关证照的现场检查时, 检查权利的执行带有一定的勉强性。
5.对金融机构的约束力、处罚细则、责任追究均不够完善, 依据的法律法规以及相应法律责任也未指明。
(二) 应用推广
目前包括央行在内应用编码的系统非常之少, 虽然由央行金融统计监测类系统来约束金融机构使用编码, 但在与金融机构具有频繁业务关系的系统 (如会计类、信贷类、国库类) 中还未应用, 由此可见央行在推广应用编码的深度和广度还有很大不足。
虽然央行已正式发文, 将《规定》和《规范》通知至所有金融机构, 但通过两次集中的信息验证发现大多金融机构对央行标准信息化管理工作不够重视, 对机构信息管理的重要性认识不够充分, 主要表现在没有积极向上级部门咨询相关工作;不清楚编码的作用和意义;对信息核对和检查工作不够积极主动;联系人经常变动, 变动时没有相关事项的交接;职责部门不明确, 互相推诿等。诸如以上问题的存在, 使得央行分支机构在与当地金融机构就此项工作进行沟通时, 落实不够, 效率不高。
三、加强金融机构信息管理, 助推金融标准化建设
央行通过各类联席会议、业务交流会以及各种宣传活动等多种方式进一步加大《规定》的宣讲力度。同时, 为金融机构开通系统访问接口, 授予查询权限, 使其可及时掌握所辖分支机构信息。央行总分行应从高层与各金融机构的总分行进一步沟通协调, 使其分支机构能够充分重视并积极贯彻执行, 以便央行支机构更高效进行组织部署。
金融机构要高度重视金融机构信息管理工作, 积极向上级部门咨询, 落实专职部门负责, 指派专人作为联系人, 以便及时报备机构信息变动所需材料。
金融机构信息管理 第5篇
【发布日期】2006-11-01 【生效日期】2006-11-01 【失效日期】 【所属类别】政策参考
【文件来源】中国银行业监督管理委员会
银行业金融机构信息系统风险管理指引
第一章 总 则
第一条第一条 为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《 中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条第二条 本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条第三条 本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条第四条 本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条第五条 信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章 机构职责
第六条第六条 银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条第七条 银行业金融机构应认真履行下列信息系统管理职责:
(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;
(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;
(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;
(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;
(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的报告;
(六)做好本机构信息系统审计工作;
(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;
(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;
(九)开展与信息系统风险管理相关的其他工作。
第八条第八条 银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理;信息科技管理委员会、风险管理委员会或其他负责风险监督的专业委员会应制定信息系统总体策略,统筹信息系统项目建设,定期评估、报告本机构信息系统风险状况,为决策层提供建议,采取相应的风险控制措施。
第九条第九条 银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。
第十条第十条 银行业金融机构应设立信息科技部门,统一负责本机构信息系统的规划、研发、建设、运行、维护和监控,提供日常科技服务和运行技术支持;建立或明确专门信息系统风险管理部门,建立、健全信息系统风险管理规章、制度,并协助业务部门及信息科技部门严格执行,提供相关的监管信息;设立审计部门或专门审计岗位,建立健全信息系统风险审计制度,配备适量的合格人员进行信息系统风险审计。
第十一条第十一条 银行业金融机构从事与信息系统相关工作的人员应符合以下要求:
(一)具备良好的职业道德,掌握履行信息系统相关岗位职责所需的专业知识和技能;
(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第十二条第十二条 银行业金融机构应加强信息系统风险管理的专业队伍建设,建立人才激励机制,适应信息技术的发展。
第十三条第十三条 银行业金融机构应依据有关法律法规及时和规范地披露信息系统风险状况。
第三章 总体风险控制
第十四条第十四条 总体风险是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
第十五条第十五条 银行业金融机构应根据信息系统总体规划,制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制。
第十六条第十六条 银行业金融机构应采取措施防范自然灾害、运行环境变化等产生的安全威胁,防止各类突发事故和恶意攻击。
第十七条第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权。
第十八条第十八条 在境外设立的我国银行业金融机构或在境内设立的境外银行业金融机构,应防范由于境内外信息系统监管制度差异等造成的跨境风险。
第十九条第十九条 银行业金融机构应严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,实行信息安全等级保护。
第二十条第二十条 银行业金融机构应加强对信息系统的评估和测试,及时进行修补和更新,以保证信息系统的安全性、完整性。
第二十一条第二十一条 银行业金融机构信息系统数据中心机房应符合国家有关计算机场地、环境、供配电等技术标准。全国性数据中心至少应达到国家A类机房标准,省域数据中心至少应达到国家B类机房标准,省域以下数据中心至少应达到C类机房标准。数据中心机房应实行严格的门禁管理措施,未经授权不得进入。
第二十二条第二十二条 银行业金融机构应重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构信息化成果。
第二十三条第二十三条 银行业金融机构与信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。
第二十四条第二十四条 信息系统的网络应参照相关的标准和规范设计、建设;网络设备应兼备技术先进性和产品成熟性;网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;建立完善的网管中心,监测和管理通信线路及网络设备,保障网络安全稳定运行。
第二十五条第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。
第二十六条第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。
第二十七条第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理,不得脱离系统采集加工、传输、存取数据;优化系统和数据库安全设置,严格按授权使用系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,保证数据的完整性、保密性。
第二十八条第二十八条 银行业金融机构应对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。
第二十九条第二十九条 银行业金融机构应制定信息系统应急预案,并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。
第三十条第三十条 银行业金融机构应加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权。信息系统的技术文档资料包括:系统环境说明文件、源程序以及系统研发、运行、维护过程中形成的各类技术资料。重要数据包括:交易数据、账务数据、客户数据,以及产生的报表数据等。
第三十一条第三十一条 银行业金融机构在信息系统可能影响客户服务时,应以适当方式告知客户。
第四章 研发风险控制
第三十二条第三十二条 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
第三十三条第三十三条 银行业金融机构信息系统研发前应成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作。
第三十四条第三十四条 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度。
第三十五条第三十五条 银行业金融机构业务部门根据本机构业务发展战略,在充分进行市场调查、产品效益分析的基础上制定信息系统研发项目可行性报告。
第三十六条第三十六条 银行业金融机构业务部门编写项目需求说明书,提出风险控制要求,信息科技部门根据项目需求编制项目功能说明书。
第三十七条第三十七条 银行业金融机构信息科技部门依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求。
第三十八条第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。
第三十九条第三十九条 银行业金融机构信息科技部门应根据测试结果修补系统的功能和缺陷,提高系统的整体质量。
第四十条第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练。
第四十一条第四十一条 开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存。
第四十二条第四十二条 项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投产使用。
第五章 运行维护风险控制
第四十三条第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条第四十四条 银行业金融机构信息系统运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。
第四十五条第四十五条 银行业金融机构信息系统的运行应符合以下要求:
(一)制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息;
(二)提供常见和简便的操作菜单或命令,如信息系统的启动或停止、运行日志的查询等;
(三)提供机房环境、设备使用、网络运行、系统运行等监控信息;
(四)记录运行值班过程中所有现象、操作过程等信息。
第四十六条第四十六条 银行业金融机构信息系统的维护应符合以下要求:
(一)除对信息系统设备和系统环境的维护外,对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;
(二)具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计;
(三)提供维护的统计和报表打印功能。
第四十七条第四十七条 银行业金融机构信息系统的变更应符合以下要求:
(一)制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;
(二)根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性;
(三)应采用软件工具精确判断变更的真实位置和内容,形成变更内容核实清单,实现真实、有效、全面的检验;
(四)软件版本变更后应保留初始版本和所有历史版本,保留所有历史的变更内容核实清单。
第四十八条第四十八条 银行业金融机构在信息系统投产后一定时期内,应组织对系统的后评价,并根据评价及时对系统功能进行调整和优化。
第四十九条第四十九条 银行业金融机构应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。
第五十条第五十条 银行业金融机构应实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第六章 外包风险控制
第五十一条第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
第五十二条第五十二条 银行业金融机构在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全有关规章制度,制定相应的风险防范措施。
第五十三条第五十三条 银行业金融机构应建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质,具有相关专业经验的独立机构完成。
第五十四条第五十四条 银行业金融机构应当与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任。
第五十五条第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中。
第五十六条第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序,审慎管理外包产生的风险,提高本机构对外包管理的能力。
第五十七条第五十七条 银行业金融机构的信息系统外包风险管理应当符合风险管理标准和策略,并应建立针对外包风险的应急计划。
第五十八条第五十八条 银行业金融机构应与外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更,保证外包服务不间断的应急预案。
第五十九条第五十九条 银行业金融机构将敏感的信息系统,以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时,应遵守国家有关法律法规,符合银监会的有关规定,经过董事会或其他决策机构批准,并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。
第七章 审 计
第六十条第六十条 银行业金融机构内设审计部门负责本机构信息系统审计,也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。
第六十一条第六十一条 信息系统风险审计应包括:总体风险审计、系统审阅和专项风险审计。
第六十二条第六十二条 总体风险审计是指对本机构所有信息系统共有的公共部分进行审计,实施总体风险控制。根据信息系统的总体风险状况确定审计频率,但至少每3年审计一次。
第六十三条第六十三条 信息系统的系统审阅是指对研发、运行及退出的全过程进行审计,分投产前与投产后的审阅。
第六十四条第六十四条 投产前的系统审阅是指审计人员采用非现场形式,对信息项目开发过程中所提交的有关文档资料进行审阅,指出其中存在的风险,了解是否具有相应的控制措施,并提出评价和建议的过程。信息系统投产前的系统审阅应关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。
投产前的系统审阅重点:
(一)被外界成功攻破的可能性;
(二)在内部安全控制方面的设计漏洞与缺陷;
(三)项目开发管理方面的问题;
(四)效率与效能;
(五)功能、设计和工作流程是否符合法律、法规和内部控制方面的规定并有连续兼容性;
(六)其他需重点审阅的内容。
第六十五条第六十五条 投产前的系统审阅文档资料包括:
(一)项目可行性报告;
(二)项目需求说明书;
(三)项目功能说明书(包括业务与技术方面存在的风险及控制办法);
(四)项目总体技术框架;
(五)项目设计说明书;
(六)项目实施计划;
(七)与第三方签订的外包协议;
(八)测试计划及验收报告;
(九)投产计划;
(十)项目开发例会的会议记录;
(十一)操作手册;
(十二)其他需审阅的文档资料。
对于所含内容较多的文档资料,应对关键交易的数据处理流程、交易接口和其他重要的安全事项进行审阅。
第六十六条第六十六条 投产后的系统审阅是指在信息系统投入生产一段时间后进行的审计,旨在评估对信息系统各项风险的控制是否恰当,能否实现预定的设计目标。投产后的系统审阅应在信息系统投入生产半年后进行,审计报告应对被审计的信息系统提出改进或增加风险控制、能否继续生产等内容的审计建议。
第六十七条第六十七条 信息系统专项风险审计是指对被审计单位发生信息安全事故进行的调查、分析和评估,或原有信息系统进行重大结构调整的审计,或审计部门认为需要对信息系统某项专题进行审计。
第六十八条第六十八条 银行业金融机构信息系统风险审计也可以由银监会及其派出机构依据法律、法规和规章,委托并授权有法定资质的中介评估机构进行。
第六十九条第六十九条 中介机构根据银监会或其派出机构委托或授权对银行业金融机构进行审计时,应出示委托授权书,并依照委托授权书上规定的委托和授权范围进行审计。
第七十条第七十条 中介机构根据授权出具的审计报告经银监会及其派出机构审阅确定后具有法律效力,被审计金融机构应对该审计报告在法定时间内提出整改意见,并按审计报告中提出的建议进行及时整改。
第七十一条第七十一条 中介机构应严格执行法律法规,保守被审计单位的商业秘密和风险信息。审计过程中所有涉及资料的调阅应有交接手续,并不得带离现场或进行修改、复制。
第八章 附 则
第七十二条第七十二条 本指引由中国银行业监督管理委员会负责解释、修订。
第七十三条第七十三条 本指引自颁布之日起施行。
金融机构信息管理 第6篇
关键词:档案管理 信息化 现代化管理
中图分类号:G271文献标识码:A 文章编号:1674-098X(2014)12(a)-0180-01
基层医疗机构档案指在医院管理与诊疗实践过程中所形成的语音、视频档案、照片档案、病历、健康档案、文书档案、财务档案、设备档案、基建档案、教科研档案、人事档案等客观记录资料,可为医院管理者和诊疗活动提供客观依据,具有一定的保存价值。医疗业务的不断扩展使得基层医疗机构档案信息量越来越大,内容越来越复杂,管理的难度也越来越大。应用传统的管理模式进行基层医疗机构档案管理,已无法满足基层医疗机构档案现代化管理的需求。应加强档案信息化建设,进一步提高基层医疗机构档案现代化管理水平,不断提高医疗服务质量。
1 基层医疗机构档案管理信息化建设现状
1.1 档案信息化建设的重视程度不够
很多基层医疗机构对档案管理的认识和重视程度不够,只重视业务发展和经济效益,没有将档案管理看成是医院管理工作有机组成部分。随着互联网与计算机技术的广泛应用,医院信息化建设得到了进一步发展,很多基层医疗机构开始应用办公自动化系统、医院局域网、实验室信息系统、影像存贮系统、医院信息系统和医院通讯系统等进行档案管理。但是有的基层医疗机构管理层对档案信息化建设的迫切性和作用认识程度不够,不重视加强档案信息化建设表现较为突出,使得档案管理信息化建设处于较低水平。
1.2 档案信息化建设与管理不够标准
在基层医疗机构档案管理工作中,建立一套管理流程、操作规程和工作制度,贯穿基层医疗机构档案收集、整理、归档、立卷、保管、编研、利用等管理环节中,使档案管理有章可循、有法可依,是保证基层医疗机构档案安全性与完整性的重要前提,这就是标准化档案管理[1]。档案管理的规范化与标准化是促进档案信息化建设的重要前提,也是提高档案信息化水平的关键性因素。
根据各基层医疗机构档案管理的实际情况来看,很多单位的实验室信息系统、人事管理系统、收费系统等层次与所属部门各不相同,管理工作脱节。如档案管理系统的数据存贮方式与接口存在技术上的差异,将会导致数据信息无法完成共享、交换与对接。在基层医疗机构档案管理工作中,如果缺乏统一的标准和规范,数据难以实现共享和对接,也就无从谈起医院档案信息化管理。
1.3 档案管理缺乏统一的软件系统
大部分基层医疗机构在档案管理方面,采取的是分散式、多部门共同管理的模式,如设备档案、基建档案与文书档案由综合档案室负责保管,财务档案、健康档案等则分别由财务科与健康档案室保管,这不仅会造成档案缺失情况,还会降低档案管理的规范化与标准化程度。基层医疗机构档案管理软件应用水平较低,开发落后,很多单位仍然采用单机版系统进行档案管理,管理系统和软件不统一,难以进行系统更新和升级,不利于管理系统维护,这与基层医疗机构档案现代化管理需求不符,信息系统难以实现兼容和对接,软件更新迫切。
1.4 档案管理人员素质较低
医院对于档案管理缺乏正确认识和重视,采用兼职人员负责档案管理,导致档案管理人员素质普遍偏低。很多管理人员的专业技能水平较低、知识结构老化,年龄较大,不能熟练运用网络技术和计算机技术,降低了现代化档案管理信息化建设水平。甚至现代化档案管理专业人员工作责任心不强,缺乏创造性,得过且过,不思进取,难以适应档案管理信息化建设的需求。
2 档案现代化管理的措施
2.1 完善档案管理信息化建设基础设施
为了确保档案室的管理功能,应完善其基础设施,配置打印机、扫描仪、自动密集架、数码相机及计算机等专业设备,提高档案管理数字化水平,使档案室具备大量数据存储功能,提高其数据处理能力[2]。完善实验室信息系统、影像存贮系统、财务收费系统及通讯系统等信息管理系统,在现代化档案管理系统中建立信息中心。配备先进的子系统,开发新的系统软件,以满足基层医疗机构档案管理信息化建设需求,从而实现医院档案管理子系统之间的对接,采用计算机进行档案与文件的收集、分类、整理、存储与查阅等管理,提高基层医疗机构档案管理自动化水平。
2.2 重视档案信息建设与传统保管
充分利用网络技术和计算机技术,实现基层医疗机构档案信息化管理。在基层医疗机构档案储存和查阅方面,提高档案管理的数字化和信息化水平。因考虑到信息技术安全性,电子文档仍不具备凭证作用与法律作用,电子文档仍难以取代实物档案和纸质文件。因此,在基层医疗机构档案管理过程中,除了要进一步加强信息化建设外,还应重视传统文件保管工作,注意保管好纸质文件。进行档案管理时,应确保电子文件与纸质文件同时归档,实现便捷查阅,保证纸质文件的凭证作用和法律作用。
2.3 加强档案信息安全管理
在强调档案管理信息化建设的同时,应加强信息安全管理,确保档案网络化的安全性。档案是一种具有原始性的文件,不可随意篡改,必须保证文件的完整性,加强信息安全管理。制定安全防范措施,采用防火墙、网关等技术,保护档案,避免网络攻击,防止黑客入侵[3]。在基层医疗机构档案网络中心系统中,设置访问密码或权限,采用认证、数字签名及密匙等加密技术,全面保护电子文档。对于档案数据,必须进行备份,加强维护和检测电子档案,保障档案安全。
2.4 提高档案管理人员素质水平
注重人才培养,加强档案管理人员的培训,定期进行档案管理新技术、新知识培训,使管理人员掌握信息管理技术、网络技术及计算机技术等,提高管理人员档案管理水平。另外,还应提高管理人员的责任意识、管理意识和信息意识,提高其综合素质,为基层医疗机构档案管理和信息化建设提供人才支持,有序开展档案管理现代化工作。
综上所述,在基层医疗机构档案管理工作中,应加强信息化建设,提高档案管理标准化程度,做好档案保管工作,保证文件安全性,进一步提高基层医疗机构档案管理信息化建设水平。
参考文献
[1]胡琼.浅谈提高档案管理科学化水平的有效途径[J].中国科教创新导刊,2014(7):252-253.
[2]王晶,李晓华.档案管理工作必须为档案信息资源的开发和利用服务[J].黑龙江科技信息,2010(11):167.
金融机构信息管理 第7篇
(一) 机构不健全, 专业人员少。
人民银行各级分支机构都成立了金融业计算机信息安全工作领导小组, 承载着辖区内金融业计算机信息安全的监督、协调、管理等工作, 小组成员由人民银行和各金融机构相关人员组成, 曾领导我国金融业成功解决了“千年虫”问题。自从银监会从人民银行分设出来后, 该领导小组对银行业或金融业信息安全的指导、监督、协调、管理等方面的职能逐渐淡化。有的商业银行取消了原本独立的科技部门, 将科技部门变成其他部门的附属, 保险公司更是一直没有独立的科技部门, 许多新成立的保险公司甚至连专业科技人员都没有。由于各金融机构没有相应对等的信息安全管理部门, 在落实国家或央行要求的有关信息安全管理规定时, 其效果会大打折扣。
(二) 职责不明确, 协调难度大。
许多有关国家信息安全的宏观政策难以在金融业中全面落实, 其重要原因之一就是缺乏强有力的监督管理机构。目前, 人民银行、银监会等对银行业的信息安全工作都有管理、协调和指导等职责, 但二者分开时间不长, 分工还不明确。通常情况下, 银行风险、货币风险归人民银行管, 操作风险归银监会管, 而这些又彼此交叉, 有时很难划分清楚。实际执行过程中, 政策的管理部门多, 行政效率偏低, 具体工作由哪个部门指导落实, 却非常模糊。
(三) 制度不明晰, 责任追究难。
各家金融机构自身都有一套完整的责任追究和工作目标考核体系, 对触犯国家法律法规的, 国家司法部门会将其绳之以法。然而, 人民银行在行使对金融业信息安全指导工作中, 没有形成一套行之有效的责任追究体系, 对金融业的信息安全工作布置多, 落实难, 对不按要求落实有关信息安全工作的单位或工作人员缺乏有效的制约工具和手段, 无法对其进行有效的责任追究, 对一些比较严重的违规行为一般都是通报批评或通报到其上级主管部门, 而不能依靠自身的制裁手段使之重视人民银行布置的信息安全工作。
二、对策与建议
(一) 建立健全组织机构。
成立金融业信息安全工作领导小组, 明确办事机构, 统一协调各单位、各部门的信息安全保障工作, 并依据《中国人民银行法》和经国务院批准的人民银行“三定”规定, 赋予其新的职责和任务。金融业信息安全工作领导小组的职责和任务不能局限于银行业, 而是要站在一个更高的层次, 来组织、协调、管理和指导整个金融业的信息安全工作。通过建立联系会议制度、信息安全定期报告制度, 以及每年布置一次互相交流、交互检查等指导性工作, 达到共同学习、共同提高的目的。
(二) 制定安全管理制度。
尽快制定《金融业信息安全管理工作指引》 (下称《指引》) , 从操作层面来规范人民银行和各金融机构在信息安全管理工作中的工作内容和工作程序, 各级人民银行可根据《指引》和当地实际, 进一步制定《金融业信息安全管理指导工作方案》, 从而减少履职工作中的随意性, 使人民银行对金融业信息安全工作的指导成为大家的共识, 使科技人员履职工作走上正规。
(三) 制定金融业信息安全工作目标考核体系。
金融机构信息管理 第8篇
一、金融业机构信息管理应用基本情况
2010年6月人民银行发布《金融业机构信息管理规定》 (银发[2010]175号, 以下简称《规定》) , 并配套运行金融业机构信息管理系统 (以下简称“系统”) , 《规定》实施和系统运行的目的是促进金融业机构信息系统互联互通, 提升信息共享效率。人民银行各分支机构按照属地管理要求, 负责辖区金融业机构信息的编制、备案、维护和发布工作, 同时承担辖区内金融业机构信息的登记、复核、审批等日常管理任务, 并指导有关金融业机构做好信息的新增、变更、撤销及申请工作。为了保证金融业机构信息统计的准确性、及时性, 人民银行每年组织开展金融机构信息年度验证及检查工作, 以及金融机构信息进行核对, 并对信息不一致的机构信息进行变更。但受诸多因素影响, 金融业机构信息的完整性和准确性难以保障, 制约了金融业机构信息管理应用推广进程。
以池州市为例, 按《金融机构编码规范》应配码金融机构数为355家, 截至2014年10月末, 池州市金融机构信息共配码326家, 其中银行业金融机构300家, 证券保险机构18家, 其他类金融机构信息8家 (见表1所列) 。
二、推广应用中存在的问题
(一) 非银行类金融机构信息赋码工作被动滞后
《规定》第三条明确了“适用于金融业机构信息的新增、变更和撤销”的六大类金融机构, 小额贷款公司即属于第六类“中国人民银行认定的其他有关金融机构”, 按属地管理原则应由所在地人民银行分支机构根据《金融机构编码规范》予以赋码。但因缺乏对小贷公司等其他类金融机构的有效管理手段, 加之这些机构主动接受监管的意识欠缺, 大部分小贷公司等其他类金融机构的设立、变更和撤销没有及时向当地人民银行报备, 机构信息编码常出现遗漏和滞后。如至2014年10月末, 池州市经省金融办批准开业的小额贷款公司21家、融资担保公司9家, 典当行6家。上述36家金融机构在成立之初都没有主动向人民银行池州市中支申请金融机构信息编码, 都是在涉及人民银行业务时, 由业务部门提出申请, 目前系统中仅有8家机构信息, 还有1家小贷公司已倒闭, 但系统未给予撤销, 尚有28家未予赋码。
(二) 信息采集不及时
《规定》明确要求:“金融机构新增、变更或撤销, 应在有关部门批准后的7个工作日内准确、完整地向人民银行报送相关信息。”但调查中发现, 依然存在一些金融机构未在规定时间内向人民银行报送有关新增、变更、撤销信息的现象, 其中有的机构滞后数月甚至一年才报送相关信息, 有的机构经人民银行多次催促也无动于衷。究其原因, 一是这些单位的领导不重视, 二是牵头部门不明确, 三是交接手续不完备。由于信息报送严重滞后, 金融业机构信息管理系统中的内容不能及时更新, 严重影响了金融业机构信息的准确性、时效性。
(三) 用户权限设置不合理
一是人民银行县支行缺乏管理权限。根据人民银行“两综合、两管理”要求, 人民银行县支行对所辖金融业机构具有开业管理和日常管理的职权, 但系统中没有为县支行开设权限, 给其日常工作带来诸多不便。二是系统不能为商业银行支行以下机构创建用户, 导致各商业银行支行无法登录系统并进行信息验证, 给验证工作造成一定困难。
(四) 缺乏明确罚则致约束力不强
目前, 对于严重违反《规定》的机构尚缺乏有效的处罚手段, 《规定》第七章“罚则”部分对金融机构信息管理中出现的违规行为处罚均表述为“依据有关法律、法规进行处罚”, 由于没有明确的罚则措施, 基层央行在实际操作中对严重违反管理规定的机构究竟依据什么法律法规进行怎样的处罚, 至今没有具体规定与实施细则。由于处罚依据、处罚尺度和处罚程序尚未明确, 《规定》的贯彻执行存在较大难度。
三、建议与对策
(一) 修订完善《规定》
随着金融业机构信息管理系统的不断升级, 功能不断扩充, 以及金融业机构编码的扩展应用, 建议总行及时修订完善《规定》。
(二) 加大金融业机构信息管理应用工作的宣传推广力度
人民银行各分支机构联合地方金融办等地方金融管理部门, 加大金融机构信息管理工作的培训和宣传, 普及金融机构编码作为金融机构“身份证号码”的重要意义, 增强小额贷款公司、典当行、融资性担保公司等其他金融机构加入金融业机构信息管理工作的主动性和积极性。
(三) 加强信息采集工作
信息的采集与报送是金融业机构信息管理工作的重要环节, 为有效解决信息采集滞后这一突出问题, 人民银行各级机构应着力抓好“二个落实”。一是积极开展年度检查, 根据《规定》以及总行相关文件精神, 每年开展一次年度行政执法检查, 成立由分管行领导为检查组长, 科技部门负责同志为副组长, 以及科技相关人员为成员的行政执法小组, 制定检查方案, 严格执行规定的检查比例, 认真开展年度检查, 对于检查中发现的问题以行发文的形式通报给各金融机构, 并督促整改。二是积极开展对新增金融业机构的开业检查指导, 为及时掌握辖内新增金融业机构的信息情况, 联合相关业务部门对辖内新增的金融业机构开展开业前的现场检查和指导工作, 督促新开业机构积极按章报送机构信息, 及时办理金融机构代码证。
(四) 开放金融机构信息管理系统对各金融机构的访问接口
一是建议将分支机构较多的银行信息录入关口前移, 为金融机构特别是接入城市金融网的所有金融业机构增加用户、限定权限, 使金融机构可实时查询, 变更各自所辖分支机构信息, 人民银行根据提交的纸质材料负责复核、审核及归档。二是在充分做好信息安全保障的前提下, 便于非银行金融机构查询信息, 增强互动, 总行可将管理系统移植到互联网。
(五) 加大信息管理力度, 明确罚则具体措施
金融机构信息管理 第9篇
随着信息科技水平的不断提高, 信息科技在给小微金融机构中带来作用的同时也不断增加了信息科技风险, 给小微金融机构的经营发展带来了挑战。当前, 小微金融机构对信息科技风险管理的水平还比较低, 如何有效控制与管理信息科技风险, 是当前小微金融机构在信息化建设过程中必须面对的重要课题。
2 小微金融机构信息科技所面临的风险
小微金融机构信息科技风险指的小微金融机构在运用信息科技的过程中, 因技术漏洞、管理缺陷等人为的或自然的原因而造成的问题或危机。在当前信息技术与银行业务深度融合的情况下, 信息科技风险事件涉及的范围广、程度深, 给银行等其他金融机构带来较大的经济损失, 尤其在小微金融机构中, 信息科技风险带来的损失更为严重。
3 小微金融机构信息科技风险管理中存在的问题
3.1 信息科技风险管理的技术水平较低
从现状来看, 我国小微金融机构信息科技风险管理的技术水平较低主要体现在如下方面, 首先, 以银行为代表的大部分小微金融机构缺乏专业化的信息资产风险管理机构, 缺乏系统的信息系统管理政策、技术标准及监督、绩效评估工作, 领导者与风险管理部门无法实现对风险管理的有效监督。另一方面, 小微金融机构对信息科技安风险管理的工作仍停留在定性的层面, 缺乏对信息技术风险管理专业的定量分析。与此同时, 金融机构信息科技风险管理的IT风险管理手段仅停留在制度检查层面, 缺乏技术支持, 对风险管理的预防措施有限, 对风险管理的技术控制难度大, 其信息系统的自我控制的能力较差。
3.2 基础设施安全建设存在隐患
从我国小微金融机构基础设施安全建设情况来看, 存在较大的隐患。
一方面, 机房管理滞后, 在我国小微金融机构的机房中, 存在着防水火及供电不达标的问题, 且缺乏相应的防雷系统、门禁系统等, 机房安全管理严重滞后;另一方面, 网络运行安全性不高, 由于金融机构的分支机构及营业网点及业务都处于数据集中的状态中, 这样就给金融机构网络的稳定性及通畅性提出了更高要求, 而在小微金融机构中, 存在未按监管要求配置主备通讯线路的现象, 容易导致营业网点出现业务办理受阻的现象, 致使信息科技风险隐患增加。
4 应急处置能力低
信息系统的集中及数据爆炸式的增长使金融机构的应急处置面临巨大的挑战, 尤其对于小微金融机构来说, 其应急保障机制更为落后。在我国小微金融机构中, 一般都设有信息系统的应急预案, 但对于预案却缺乏相应的应急演练, 在系统发生紧急事故时, 无法对问题实施预案应急措施。其次, 部分小微金融机构的系统应急预案覆盖面笼统, 缺乏针对性和操作性, 缺乏有效的技术支持。另外, 风险管理的人员的应急处理能力较低, 对重大信息科技风险的应急执行缺乏有效性, 导致风险损失增加。
5 加强小微金融机构信息科技风险管理对策
5.1 提升信息科技风险管控能力
小微金融机构要提高信息科技风险管理的水平, 首先应该提高其信息科技风险管控的能力, 因此, 小微金融机构有必要建立三个机制。
第一, 信息科技风险管理保障机制。金融机构领导者应该提高风险管理意识, 将信息科技风险管理工作纳入议事日程, 并建立健全的信息科技风险管理机构的和岗位责任制度, 充分发挥出安全检查、风险监控、审计监督的作用; 加强对信息科技风险管控人员的培训与管理, 并加大违规行为的处罚力度, 提高其风险管理的能力。
第二, 信息科技风险评估和预警机制。小微金融机构应该在充分分析信息科技风险对金融机构影响的基础上, 有针对性的落实风险评估制度和建立信息科技风险监测制度, 将风险分类并制定相应的风险报告机制, 使信息科技部门与业务部门紧密联合起来, 加强沟通协调, 提高对信息科技风险的评估与预防能力。
第三、信息科技风险应急处理机制。小微金融机构要加强对信息备份、灾难恢复及业务连续的管理, 对应急预案要加以培训和演练, 将应急和灾备工作从技术管理层面提升到全行工作层面, 以提高应对信息系统安全事件的团队应急能力。
5.2 加强基础设施安全建设
加强金融机构基础设施安全建设, 有利于提高基础设施安全水平, 进而有利于降低信息科技风险。小微金融机构应加强基础设施安全建设投入, 重点加强机房消防系统、防雷系统、UPS等的技术投入, 完善机房基础设施并完善机房管理制度, 保证系统设备的正常运行, 加强对系统设备故障的预测与报警。并设立专门的技术设施检查维修小组, 负责基础设施的安全维护工作, 确保基础设施安全管理的有效性。
5.3 强化金融交易监管
随着金融环境与金融交易方式的变化, 信息化的金融交易也带来了一定的信息科技风险, 小微金融机构应该采取措施强化金融交易监管。
一方面, 要加快网络金融安全立法进程, 制定金融安全政策和标准, 成立对应的网络金融安全管理部门, 指导网络金融的发展, 并严厉打击网络金融犯罪;另一方面, 要建立跨部门的现代化信息安全管理网络, 实现对金融机构业务信息安全风险的及时、动态、全面、连续的监管。还应该借鉴国外的网络安全管理模式, 建立适合于我国小微金融机构信息化建设的网络框架, 以实时的监管小微金融机构业务, 保证交易的安全性。
5.4 加强对从业人员的素质建设和岗位管理
相对于大型及核心金融机构, 小微金融机构从业人员的专业素质及岗位配置明显落后, 小微金融机构应该加大对农村金融机构人员的投入, 积极引进高素质的信息科技人员, 并对原有的从业人员进行定期的培训工作, 提高其信息科技风险防范意识与风险管理能力。同时, 金融机构还应增加对信息系统管理、运行、维护等岗位人员的配置, 以完善职责分配, 落实岗位制衡。最后, 完善相应的信息科技风险管理制度, 加强信息科技风险审计, 完善激励约束机制, 激发从业人员的主观能动性, 从整体上提升小微金融机构信息科技风险管理的水平。
6 结束语
在信息科技风险管理的工作中, 小微金融机构要从安全制度建设及技术手段上加强对风险的防范与管理, 在全面、可行的安全防护措施中, 将信息科技风险降低到最低的程度, 进而才能保证小微金融机构得到稳定的发展。
参考文献
[1]陈文雄.发展银行业信息科技风险管理意识须先行[J].中国金融, 2009 (07) .
金融机构信息管理 第10篇
一、基本情况
(一) 代码证管理权限仅开放到地级市中支
当前, 金融业机构信息管理系统用户权限权开放到地级市中支以上, 中心市支行负责辖区所有市本级及县级金融机构网点代码证的审核、打印、发放及年检等工作, 而县级支行均未有用户权限。人民银行常德市中心支行 (以下简称“人行常德中支”) 为化解工作压力, 要求县支行负责县域银行、证券、保险等机构提交的纸质材料初审, 合格后向所辖中支提交, 但中支仍须负责后续大量工作。
(二) 地市中支反映工作量过大, 且希望下放至县支行管理
以湖南常德市为例, 辖内由中支负责本级及包括县级金融机构代码证审核、发放和年检的大量工作, 人行常德中支对工作量情况进行了统计, 现将部分工作量统计例举如下。
1.担负市本级及7个县 (市) 600多家金融机构代码证的资料审核、代码证发放和年检等工作。每家机构需要审核录入16项信息, 按每人可完成15家信息审核到代码证发放计算, 仅这一项工作便需要近1个月时间才能完成。
2.承担各金融机构咨询指导等职责。由于各金融机构系统的使用次数不多, 且操作人员更换频繁, 95%以上操作员对系统操作情况不熟悉, 发生新增、更新信息时均需要向中支科技科咨询相关事宜。据统计, 2015年辖内金融机构信息年度验证期间, 人行常德中支科技科平均每人每天接收电话、微信、短信等方式咨询20余次。
3.负责市本级现场核查金融机构信息据实报送情况。因日常工作量繁多, 市本级每年只能开展一次对10余家机构的现场核查工作, 有些甚至没有精力开展。目前, 常德市每年度验证现场检查工作情况如下:常德共有2区、7县, 其中鼎城区离中心城区较远, 到该区金融机构网点的在途时间加上开展检查的时间至少需要一天, 而且一天中检查的机构数目有限, 无法做到覆盖面广的要求。若完全由中支派人进行7个县金融机构的检查, 则至少需要14天。考虑到时间、人力、成本等各方因素, 常德辖内县域金融机构年度验证工作均委托县支行开展。
二、现行管理产生的影响
(一) 未能充分发挥县级支行作用
人民银行县支行处于县域金融第一线, 结合重大事项报告等职能, 对各金融机构, 尤其是乡镇网点居多的金融机构, 网点设立、搬迁、负责人变更等情况总能在第一时间知晓。然而, 由于系统中针对县级支行未开放权限, 造成即使县支行知晓情况也无法及时进行信息变更操作, 不利于县支行发挥主观能动性和工作积极性。
(二) 增加金融机构办理成本
为应对人民银行的代码证首次发放和年检工作, 县级各金融机构需多次往返市级人民银行, 增加了金融机构送交资料至人行的差旅费等成本开支, 有些甚至需要多次往返。以常德市为例, 距离市中支最远的石门县单次往返车程接近230千米。
(三) 信息更新不及时
由于中心支行不能第一时间了解县级金融机构设立网点等情况, 以及市、县两级人民银行工作沟通交流中存在一定偏差, 造成部分金融机构的地址、负责人变更等信息不能及时在系统中得到反馈, 尤其体现在机构网点众多, 负责人变换频繁的农村合作银行和邮储银行。2015年金融机构年度验证期间, 常德市辖内邮储银行一次性提交了100余份机构负责人及地址变更申请, 给中支操作员造成了极大的工作负担。
(四) 县域金融机构信息变更不方便
目前, 常德采用由金融机构报送纸质资料到中支的方式进行机构信息变更, 县域金融机构出现过因填写不规范、遗漏资料等原因多次往返市县两地的情况, 造成机构信息不能在第一时间完成变更。
(五) 中支科技人员有限且工作量饱和
目前, 地市中支都是由科技部门负责金融机构代码证的制作和发放。以人行常德中支为例, 科技科共7人, 除完成全行各系统、服务器及电子设备的基础维护外, 还负责网络、软件开发、信息安全及辖内金融IC卡推广等工作。在金融业机构信息管理系统上线前, 人员分工已呈现饱和状态, 系统上线后部分人员的工作量有所增加, 在2014年金融机构代码证发放期间, 代码证的打印、发放、管理等工作接踵而至, 相关人员工作量已经饱和。
三、工作建议
(一) 下放管理权限至县支行
建议修订《金融业机构信息管理规定》, 由县支行负责县域金融业机构信息的编制、备案、维护和发布工作, 赋予人民银行县支行BMS系统机构信息维护权限。在BMS系统中为县支行设置业务操作用户, 实现其对县域金融机构及网点的机构信息管理。并下放录入、查询、发证、年检等权限, 中心支行保留复核权限, 以减轻市中心支行工作压力, 提高编码申请、代码证管理等工作效率。
(二) 建议在系统中增加相关功能及年检打分机制
若金融机构未年检, 将不能接入人民银行征信、统计系统;对于在年检期间配合不积极、提交相关资料不及时的金融机构, 由人民银行给予其评分, 评分结果提交人行省会中支, 由省会中支通报各金融机构省行或总行, 以提高各金融机构对年检工作的积极性。
(三) 建议将金融机构年度验证工作变成半年度抽查
年度验证造成部分机构在短时间内提交大量机构变更申报, 导致人行各分支行工作量过大。可将现行年检变成半年度抽查工作, 由省会中支制定上下半年抽查对象, 各地市中支及县支行根据省行要求制定辖内抽查网点方案, 这样不仅能够让各金融机构提升重视程度, 同时能够有效地避免部分金融机构采取年检突击申报变更的情况, 有效降低工作人员压力。
参考文献
[1]王龙飞.金融机构信息管理工作存在的问题及建议[J].金融科技时代, 2015 (3) :85-86.
专家呼吁建立金融信息安全监管机构 第11篇
信息安全,尤其是金融行业的信息安全,一直是上至国家领导、下至黎民百姓都十分关注的话题。然而,我国金融行业信息系统安全问题并不容乐观。当前,虽然我国出台了一些相关政策和管理办法,但据专家分析,由于专职的安全监管机构的缺失,使得信息系统安全工作很难落实。人们不禁要问: 无人监管,又何来安全呢?
存在问题
随着我国信息化的日益推进,国民经济和社会发展对网络和信息系统的依赖越来越紧密,尤其是银行、证券等行业的信息系统已经成为国家重要基础设施,这些信息系统的安全运行直接关系到国家的安全、人民的利益和社会的稳定。
近些年来,国内外发生的一系列事件表明,如果重要信息系统没有一定的安全防范能力,一旦发生重大事故或遭遇突发事件,将会造成无可挽回的经济损失。
我国相关部门对信息安全工作十分重视,国务院信息化工作办公室司长王渝次曾指出,灾难恢复是信息安全保障的重要的基础性工作,做好国家重要信息系统灾难恢复工作,提高其抵御灾难和重大事故的能力,对于确保重要信息系统数据安全和业务的连续性,保障社会经济的稳定是非常重要的。
2003年颁发的《国家信息化领导小组关于加强信息安全保障工作的意见》,对重要信息系统的安全做出了明确要求。2004年,国务院信息办又组织起草了《重要信息系统灾难恢复指南》,并印发给各基础信息网络和重要信息系统主管部门。
然而,金融行业的信息化虽然取得了快速发展,但其背后隐藏着可怕的问题:虽然在实现了数据大集中的银行企业中,有80%的企业都做了系统灾难备份中心的建设,但真正能实现业务连续管理的,估计只有15%左右。
最近,银行业系统故障不断。就在今年,中国建设银行总行转账系统发生通信故障,数小时后系统才恢复正常。此事件殃及在中国建设银行投资证券公司全国70余家营业部开户的200万股民,致使股民们因无法进行转账交易而受到经济损失。而在这之后,银联因通信网络和主机出现故障造成全国多省市无法刷卡长达7小时,究竟造成了多大的损失,尚无可靠数据。而近期发生的网银大盗横行网络的一系列事件,也再一次为网络银行系统的信息安全敲响了警钟。
机构缺失
为何有国家政策出台,但问题却仍然如此严重呢?
国务院信息化工作办公室的专家、国家金卡工程办公室安全组组长、中国信息产业商会信息安全产业分会常务副理事长屈延文介绍,我国金融行业尤其是银行的信息化系统需要监管的风险资产很大,到目前为止,我国还没有建立基本的专业化信息资产风险监管队伍和组织。
屈延文进一步解释说,“银行信息系统事故还不可怕,可怕的是金融信息化风险有可能引发金融危机,拉丁美洲的金融危机就为我们敲响了警钟。如果发生金融危机,将会影响到我们社会的稳定、人民的切身利益。”
也有专家说,各银行有科技部门,自己会管好自己的,不用为他们担心。
然而,从国外经验看,商业银行信息技术的运营与管理是相互分离的。但目前大多数国内银行现行的信息技术部门既具有十分明显的运营商特征,同时又具有明显的行政管理属性,是集运营、管理、监督于一身的技术垄断部门,这样的运行机制蕴藏着很大的运行风险。
一方面,由于信息技术自身的专业性极强,高级管理层和风险控制部门无法对其实施有效监管。目前,各家银行基本上还没有相应的专业管理部门负责信息业务系统的管理政策、技术标准、风险防范标准的制定,以及监督、检查以及绩效评估等工作。
另一方面,由于既当裁判员,又当运动员,集行政管理与技术管理于一身,信息技术部门本身难以胜任信息技术的监管职责,而且容易产生责任推诿、自行其事的不良风气与行为。正因为如此,直到目前为止,许多银行的信息技术还没有一个明确统一的技术故障的分级标准,信息化投入和产出严重不均衡,业务迟延、事故频繁发生等问题时有发生,银行信息化安全面临严峻挑战。
当然也有人持不同意见,认为人民银行和银监会都有信息中心,由他们统一管理不必过于担心金融行业的信息安全的问题。
然而,屈延文坚持认为,我国金融信息安全正处于监管缺失的状态。其理由有二: 一是人民银行和银监会都在管,政策交叉和死角就很难避免,各银行无法“从一而终”; 二是科技部门大多只是管技术,他们不承担也无法承担安全责任,没人负责也就没人来管。那么,缺失的监管又应由谁来填补呢?
呼吁监管
屈延文认为银行信息化安全属于整个银行监管体系的组成部分,将其从银行监管体系组成部分里面分离出来,是不符合我们银行整个监管安全体制的,同样,也不符合客观规律,不符合中央提出科学发展观,也不符合建立和谐社会、以人为本的要求。
屈延文主张,首先要加强认识,建立银行风险监管科学认识体系,即融合金融学方法、管理学方法、系统工程方法和信息化科学方法为一体化的认识理论体系,要把我国银行信息化发展纳入科学发展的轨道。
在这之后,更为重要的是银行信息化的科学发展必须建立信息资产风险监管组织机构。主要是建立一支在信息化条件下的监管专业队伍。首先是要建立安全监管机构,有了专人负责之后,很快相关标准、长效机制、审核措施等顺理成章地就会出来了,而且工作的落实也就有了监督。那么,迅速高效地推行金融信息安全工作也就不是难事了。
屈延文分析,没有一支监管专业队伍,难以提出银行企业、领域和监管当局信息化的科学发展战略,无法实现银行信息资产风险监管的综合方法,以及对人类与网络两个世界一体化的监管体系的运营和维系,也无法研究信息资产风险价值化体系、信息资产风险监管标准体系和信息资产风险监管法规体系。没有专门的信息资产监管专业机构,就不可能实现信息资产风险监管计划、管理和监控,就不可能实现实时掌控银行信息化系统的运行情况和各种风险情况。
巨大的数字化的资产与财产天天在网络上传输飞跑,依然采用“服务在网络里”和“监管在网络外”的监管方法,而无视信息化条件下的风险监管问题,其监管措施就不可能是可信与有效的。
屈延文强调,主管部门应该成立信息安全监管司,“成立这样一个机构是绝决对必要的,因为承担银行信息安全责任不是国家的哪一个部委,而是银行,是银监会。没有这样一个机构,工作也就不到位。”
出于对当前金融信息安全监管问题的担忧,屈延文曾给相关主管部门提出建议,阐明成立安全监管机构的紧迫性和必要性,相关领导也对此表示了一定的重视。
“当前不是谈网络如何建设、怎么弄防火墙的时候,先要谈如何监管信息安全的问题,这个问题不解决,其他问题没法搞。”屈延文十分担忧,这不是哪一个人的事情,也不是哪一个部门的事情,这将牵扯到整个国家的经济安全。”
屈延文呼吁:“我国银行信息化系统需要监管的风险资产如此之大,如果没有基本的专业化信息资产风险监管队伍和组织,价值与风险之间的关系也就不可能平衡。”
链接:我国银行安全监管现状及相关政策
在上市转型和外资银行进入中国金融市场的双重压力下,过去5年,特别是进入2005年以来,我国的银行监管部门明显加快了对商业银行的监管力度,初步建立了较为完善的市场准入、退出,非现场监管、现场监管、高级管理人员管理、风险预警等金融监管预警系统。比如,针对日益严重的电子支付安全问题而出台的《电子支付指引(第一号)》法令,就是人民银行在今年的重要举措。“电子支付指引”一定程度上进一步规范和引导了电子支付业务的健康发展,有利于防范电子支付业务风险,确保银行和客户资金的安全。
由于电子银行所面临的技术安全、客户利益被侵犯以及第三方过失等风险日益突出,银监会去年还出台了《电子银行业务管理办法》、《电子银行安全评估指引》和《电子银行安全评估机构业务资格认定工作规程》三个法令,目的是强化电子银行风险监管、防范电子银行业务风险、规范电子银行业务发展,银监会对商业银行监管正在加强。
金融机构信息管理 第12篇
(一) 没有专业化的信息风险管理队伍和组织。
目前大多数金融机构的信息技术部门既参与技术支持, 又进行行政管理, 这样的运行机制潜藏着很大的风险。由于各金融机构基本上还没有相应的专业管理部门负责信息业务系统的管理政策、技术标准、风险防范标准的制定, 加上信息技术自身专业性极强, 导致高级管理层和风险控制部门无法对其实施有效管理。
(二) 缺乏对信息技术风险管理专业的定量分析。
目前, 金融业信息安全的管理工作大部分停留在定性估计层, 缺乏对信息技术风险专业的定量分析。由于基层部门风险管理成绩和绩效考核有一定关系, 基层单位本能地尽量掩饰风险, 在上报安全季报时, 统计数据可能失真。内部也没有正规的风险分析团队, 不能提供对全行信息安全状况的分析、支持及风险预警信息。
(三) 信息技术风险管理手段落后。
当前的信息技术风险管理基本停留在制度检查层面, 缺乏基础技术支撑, 金融业信息技术风险管理亟待从以技术防范为主的被动信息安全工作, 转变为以预防控制为主的主动信息技术风险管理。
二、加强信息科技风险管理的建议
(一) 更新信息科技风险管理观念。
金融业要从信息资产的角度来看待信息科技风险, 尝试科技风险的计量, 建构适合自身的科技风险管理体系, 切实提升信息科技风险管控能力。
(二) 建构信息科技风险监管体系。
一是集成资源。要实行机构管理部门与信息科技部门联合, 对金融业开展现场检查要以机构管理部门为主, 信息科技部门全过程参与, 实现机构管理与功能管理的有机结合, 适度集成全系统的信息科技管理资源, 建立保障机制, 发挥功能管理优势。二是搞好规划。信息科技风险管理, 必须坚持制度先行, 要根据信息科技发展的新情况, 把握信息科技发展的规律, 加强规划论证, 建立一整套信息科技建设和风险管理的制度标准。三是实施日常管理。各级机构管理部门要把信息科技风险纳入总体风险框架, 在开展现场检查和非现场管理时, 必须关注其信息科技风险, 报告要对信息科技建设及风险管理情况进行评价, 并按照有关制度标准提出管理要求。
(三) 提升信息科技风险管控能力。
【金融机构信息管理】相关文章:
金融机构信息管理论文05-01
金融机构信息管理论文提纲08-03
金融机构信息管理系统设计论文04-11
金融机构信息管理论文参考文献09-05
银行业金融机构信息系统风险管理指引05-31
金融机构信息自查报告02-19
金融机构现金流量信息论文04-19
金融机构现金流量信息论文提纲09-24
金融机构现金流量信息论文参考文献09-28
地方金融机构金融管理论文04-19