導(dǎo)語:在信息安全整改方案的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感��,引領(lǐng)您探索更多的創(chuàng)作可能��。
第1篇
為了全面貫徹落實信息安全等級保護制度,公安部會同有關(guān)部門在全國范圍內(nèi)組織開展了信息系統(tǒng)安全等級保護工作��。該項工作主要分為定級�、備案�、建設(shè)整改�、等級測評和監(jiān)督檢查五個環(huán)節(jié)���。其中安全建設(shè)整改工作是信息安全等級保護工作的重要組成部分����。主要內(nèi)容包括制定信息系統(tǒng)安全建設(shè)整改工作規(guī)劃并部署�����;信息系統(tǒng)安全現(xiàn)狀分析���;確定安全策略�,制定安全建設(shè)整改方案;開展信息系統(tǒng)安全管理建設(shè)整改工作;開展信息系統(tǒng)安全技術(shù)建設(shè)整改工作�����;開展安全自查和等級測評。公安部于2009年了《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》(公信安[2009]1429號)�,強調(diào)依據(jù)信息安全等級保護有關(guān)政策和標(biāo)準(zhǔn)��,開展信息安全等級保護安全建設(shè)整改工作���。通過組織開展信息安全等級保護安全管理制度建設(shè)�����、技術(shù)措施建設(shè)和等級測評,落實等級保護制度的各項要求�,使信息系統(tǒng)安全管理水平明顯提高��,安全防范能力明顯增強�,安全隱患和安全事故明顯減少��。
本文主要依據(jù)信息系統(tǒng)安全等級保護基本要求,結(jié)合信息安全等級保護安全技術(shù)建設(shè)整改工作內(nèi)容�����,提出了基于“安全建設(shè)整改”的服務(wù)器安全加固方案設(shè)計����、安全加固流程和安全加固方法等����?;凇鞍踩ㄔO(shè)整改”的服務(wù)器安全加固工作貫穿了安全技術(shù)建設(shè)整改工作的多個方面��,主要內(nèi)容涉及物理安全�、主機安全����、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等����。下面重點對基于“安全建設(shè)整改”的服務(wù)器安全加固可行性分析���、方案設(shè)計和加固內(nèi)容進行詳細的敘述�����。
服務(wù)器安全加固以實際需求為牽引
首先服務(wù)器安全加固是以《信息系統(tǒng)安全等級保護基本要求》為依據(jù)���,以信息系統(tǒng)為最小加固單位�,對信息系統(tǒng)范圍內(nèi)的服務(wù)器操作系統(tǒng)�����、數(shù)據(jù)庫�����、中間件以及虛擬機集群或小機分區(qū),以技術(shù)手段通過更改安全配置����、加強審計備份、升級補丁等直接操作方式�����,從而達到提升服務(wù)器自身的安全防護能力的目標(biāo)�。
其次,通過對等保要求類���、等?����?刂泣c和等保要求項的仔細分析、梳理���,確定信息系統(tǒng)服務(wù)器加固項目中能夠執(zhí)行的等保要求項,并將這些加固項從技術(shù)實現(xiàn)角度分為可以實現(xiàn)的加固項�,部分可加固項和安全建議項���。
在此基礎(chǔ)上,進一步結(jié)合實際安全需求,分析現(xiàn)有安全技術(shù)和安全策略要求�,從加固實施的角度�,引入了“等保要求加固子項(簡稱加固子項)”的概念��。所謂“加固子項”是對 “等保要求項”的進一步細分,將每一個檢查動作和加固動作相對應(yīng),達到每一個“加固子項”可以確定為一個獨立的檢查動作��,并且有一個對應(yīng)的加固動作,按照等保基本要求�,實現(xiàn)每一個加固動作���。
表1中列舉了適合于進行直接加固的操作項����,主要包括了物理安全����、主機安全��、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)四個方面。
服務(wù)器安全加固方案要構(gòu)建閉環(huán)系統(tǒng)
基于“信息安全等級保護安全建設(shè)整改”的服務(wù)器安全加固方案設(shè)計是服務(wù)器安全加固實施過程中的關(guān)鍵環(huán)節(jié)����,是做好服務(wù)器安全加固工作的基礎(chǔ),其中的內(nèi)容主要包括安全加固工作概述、安全加固工作的流程與方法、安全加固工作的準(zhǔn)備���、安全加固工作實施����、安全加固工作總結(jié)等方面���。
服務(wù)器安全加固工作概述主要將加固的目的和意義進行簡要的敘述,講明服務(wù)器安全加固需要遵循的原則���,對服務(wù)器安全加固的依據(jù)進行說明���,并進一步明確服務(wù)器加固的工作范圍�、工作組織和工作安排等方面的內(nèi)容����。通過工作概述的描述,對服務(wù)器安全加固的工作概況有一個全面的了解���。
通過對服務(wù)器安全加固的流程與方法描述,使得安全加固主線和脈絡(luò)有較為清晰����。其中服務(wù)器安全加固的流程如圖1所示���,主要包括加固準(zhǔn)備、加固實施和加固總結(jié)三個方面的內(nèi)容。服務(wù)器安全加固的方法主要采用文檔清分��、人員訪談、信息采集、論證確認、現(xiàn)場加固和驗證審核等方式進行���。
加固準(zhǔn)備工作是以《信息安全等級保護基本要求》為指導(dǎo)形成服務(wù)器安全加固總體方案�����,依據(jù)總體方案對基本要求項進行梳理、拆分和論證確認需要加固的項目形成服務(wù)器加固可行性分析報告。進一步依據(jù)可行性分析報告編制服務(wù)器安全加固實施方案,在此基礎(chǔ)上依據(jù)基本要求編寫服務(wù)器安全加固操作表單和腳本�����,并在測試環(huán)境中對加固表單進行測試。通過對被加固單位信息系統(tǒng)安全等級保護測評的結(jié)果分析與整理,梳理出服務(wù)器的安全加固項�����,初步確認加固范圍����,經(jīng)過測試確認可加固項,進一步形成被加固單位服務(wù)器加固實施方案��,對加固操作表單和腳本進行修改,制定被加固單位現(xiàn)場實施計劃�。
加固實施工作主要包括加固范圍現(xiàn)場確認����、加固方法和內(nèi)容的現(xiàn)場確認����、加固現(xiàn)場實施��、加固過程中的異常處置���、加固結(jié)果現(xiàn)場確認����、加固后服務(wù)器的安全監(jiān)控�����、加固后服務(wù)器的試運行報告����,在安全監(jiān)控期結(jié)束后應(yīng)對加固的效果進行驗證分析。
加固總結(jié)工作主要是對加固的結(jié)果進行驗收和確認��,建立較為成熟的加固方法和流程�,并對加固工作進行總結(jié)���。
服務(wù)器安全加固的流程把控
通過上述對服務(wù)器安全加固的可行性分析以及對服務(wù)器安全加固的方案設(shè)計的描述,已對服務(wù)器安全加固的流程和方式有了初步了解?;凇鞍踩ㄔO(shè)整改”的服務(wù)器安全加固內(nèi)容應(yīng)與安全加固的流程相一致,具體分為三個階段,即安全加固準(zhǔn)備階段工作內(nèi)容��、安全加固實施階段的工作內(nèi)容和安全加固總結(jié)階段的工作內(nèi)容��。下面對服務(wù)器安全加固在三個階段的具體內(nèi)容進行詳細敘述�。
1.安全加固準(zhǔn)備
成立加固實施團隊 在完成服務(wù)器安全加固實施工作時�,實施團隊?wèi)?yīng)負責(zé)完成服務(wù)器操作系統(tǒng)�、數(shù)據(jù)庫和中間件等的加固任務(wù)����,同時還需要信息系統(tǒng)開發(fā)�、運維人員的配合。需要建立一支由加固實施人員、信息系統(tǒng)開發(fā)人員和信息系統(tǒng)運維人員共同組成的加固團隊����。
加固對象清分 依據(jù)等級保護測評工作確認的范圍,確定實施加固的信息系統(tǒng)�����,并進一步提取出需要加固信息系統(tǒng)中的服務(wù)器信息,服務(wù)器信息主要包括操作系統(tǒng)類型及版本號、數(shù)據(jù)庫類型及版本號�����、中間件類型及版本號����、是否采用虛擬技術(shù)����、應(yīng)用軟件使用服務(wù)和端口以及補丁更新情況等��。
等保測評結(jié)果梳理 服務(wù)器安全加固主要是依據(jù)信息系統(tǒng)安全等級保護測評結(jié)果對服務(wù)器進行安全配置和補丁更新等操作�����,需要對等保測評結(jié)果進行較為深入的分析���,并參照安全加固可行性分析結(jié)果梳理服務(wù)器加固的內(nèi)容���。
加固內(nèi)容初步確認 由項目實施組對等級保護測評結(jié)果梳理中產(chǎn)生表單的內(nèi)容進行逐項的測試�,在測試中排除存在問題的加固項和加固內(nèi)容��,測試的內(nèi)容主要包括服務(wù)器安全配置更改���、補丁更新����、加固操作后服務(wù)器重新啟動�、加固后補丁卸載和加固異常后系統(tǒng)恢復(fù)等����。
2.安全加固實施
安全加固內(nèi)容現(xiàn)場確認 服務(wù)器安全加固現(xiàn)場確認工作主要是指對準(zhǔn)備階段確定的服務(wù)器加固方法����、加固內(nèi)容和操作步驟���,由被加固單位的服務(wù)器管理員��、數(shù)據(jù)庫管理員和應(yīng)用系統(tǒng)管理員共同確認可加固的內(nèi)容與可實施的操作步驟���。
安全加固現(xiàn)場實施 服務(wù)器安全加固應(yīng)依據(jù)以下操作順序進行�。首先對服務(wù)器操作系統(tǒng)����、數(shù)據(jù)庫和中間件的補丁進行更新操作,補丁更新操作完成后重啟服務(wù)器��,監(jiān)測服務(wù)器能否正常運行��,如果正常運行則進入安全配置操作,如果運行出現(xiàn)異常則進行補丁回退等操作或啟動應(yīng)急恢復(fù)流程���。其次�����,對服務(wù)器操作系統(tǒng)�����、數(shù)據(jù)庫和中間件進行安全配置更新��,并重啟服務(wù)器���,監(jiān)測服務(wù)器能否正常運行�����,如果運行正常則對加固結(jié)果進行確認�,如果運行出現(xiàn)異常則進行安全配置回退操作或啟動應(yīng)急恢復(fù)流程。最后對不能實施加固的內(nèi)容進行確認并提出安全建議。
安全加固結(jié)果分析 主要是對安全加固的內(nèi)容進行的分析和總結(jié)����,對每個服務(wù)器上安裝的操作系統(tǒng)�����、數(shù)據(jù)庫�、中間件以及采用虛擬技術(shù)中已加固成功的項和未加固的成功項進行區(qū)分整理,進一步對照信息系統(tǒng)安全等級保護測評報告中服務(wù)器安全測評結(jié)果驗證加固的效果��。
安全運行監(jiān)控 主要是對服務(wù)器安全加固后的工作進行監(jiān)控和確認。安全監(jiān)控的作用在于服務(wù)器進行加固處理后�����,某些隱藏的問題沒有當(dāng)場暴露,而是運行一定時間后才顯露出來,影響業(yè)務(wù)系統(tǒng)的正常運行�����。因此加固人員需要在完成現(xiàn)場加固結(jié)果確認后��,進行一定時間的服務(wù)器運行狀態(tài)監(jiān)控。
3.安全加固總結(jié)
安全加固效果驗證 安全加固效果驗證主要依據(jù)信息安全等級保護基本要求,對已經(jīng)完成操作的加固項是否達到等級保護要求進行判定,對照被加固單位信息系統(tǒng)安全等級保護測評報告的結(jié)果��,驗證原不符合項通過加固后成為符合項或部分符合項,以驗證結(jié)果為依據(jù)編寫服務(wù)器安全加固效果驗證報告�����。由于被加固單位的加固內(nèi)容存在差異性,各單位服務(wù)器安全加固效果驗證應(yīng)存在不同��,安全加固效果驗證應(yīng)在安全監(jiān)控期結(jié)束后進行。
安全加固工作完善 對安全加固的文檔、安全加固的方法和安全加固的內(nèi)容進行修訂與完善�,形成一套完整的安全加固措施���。
服務(wù)器安全加固提升信息系統(tǒng)防護能力
目前服務(wù)器安全加固的方式多種多樣���,主要包括服務(wù)器物理安全保護加固方式�、服務(wù)器硬盤加固方式、通過第三方軟件對服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫進行加固的方式、通過更改配置和補丁更新等進行直接加固的方式。
第2篇
自2020年12月加入***醫(yī)療集團以來擔(dān)任信息安全經(jīng)理一職,在這六個月的試用期中通過與各位同事�、領(lǐng)導(dǎo)的相處,使我漸漸開始適應(yīng)現(xiàn)在的工作環(huán)境和節(jié)奏,在工作中體會到的領(lǐng)導(dǎo)和同事踏實認真的工作態(tài)度,讓我更加嚴格的要求主機����,把工作做好做細。在此,我需真誠的向各位領(lǐng)導(dǎo)和同事表達我深深的謝意��,感謝大家在這段時間給予我足夠的寬容、鼓勵和幫助。下面就我六個月的試用期工作進行總結(jié)��。
1. 已完成項目總結(jié):
1)三級等保測評:根據(jù)國家相關(guān)法律法規(guī)要求,北京和睦家醫(yī)院需通過等級保護三級測評�。入職時�����,此項目已過初測階段進入到整改階段����,根據(jù)測評機構(gòu)給出的差異分析報告進行高風(fēng)險項和中風(fēng)險項的整改工作,作為整個項目的執(zhí)行者�,之前的工作經(jīng)驗在整改過程中起到了一定的作用���,提高了整改工作的效率并編寫了等級保護要求相關(guān)文檔,例如:信息安全應(yīng)急預(yù)案�����,操作系統(tǒng)基線檢查模板等,同時也存在一些不足��,例如對于等級保護要求的一些條例理解不夠深刻,對于等保測評的算分公式不夠熟悉等���。在最終測評時�����,積極配合測評機構(gòu)的測評工作,回答測評機構(gòu)提到的關(guān)鍵問題�,使得終測過程較為順利的完成,并以優(yōu)異的分數(shù)通過了三級等保測評�,拿到了三級等保報告��,當(dāng)然這也少不了其他同事的共同努力。
2)安全體系建設(shè)--評估階段:根據(jù)領(lǐng)導(dǎo)要求,負責(zé)和睦家信息安全體系建設(shè),作為此項目的負責(zé)人�����,我將此項目分為三個階段完成,分別為:評估階段��,建設(shè)階段,以及運營階段����。在評估階段的主要目標(biāo)是需要評估和睦家現(xiàn)狀�����,以及為安全體系建設(shè)第二階段做準(zhǔn)備���,如不做評估的話是無法進行從0-1的安全體系建設(shè),在評估的過程中利用自己的專業(yè)知識并結(jié)合等級保護三級的要求�,進行了多維度的評估����。完成評估后�,列出了安全體系建設(shè)架構(gòu)圖,但由于做評估時有些方向沒有做深入的調(diào)研���,導(dǎo)致安全體系架構(gòu)圖的某些模塊無法實現(xiàn),后期會進行一系列的調(diào)整及優(yōu)化。
3)安全意識培訓(xùn):企業(yè)無時無刻都面臨著信息安全的威脅及風(fēng)險����,根據(jù)領(lǐng)導(dǎo)要求��,作為該項目的負責(zé)人��,已于近期針對于和睦家內(nèi)部IT部門進行了安全意識培訓(xùn)工作�,培訓(xùn)內(nèi)容包括安全意識概念、密碼安全、系統(tǒng)安全����、郵件安全、物理安全、社會工程攻擊等內(nèi)容��,通過安全意識培訓(xùn),提升了企業(yè)內(nèi)部對于信息安全的理解以及信息安全的重要性,同時也在一定程度上提升了員工識別信息安全風(fēng)險的技能和意識����,但美中不足的是培訓(xùn)內(nèi)容過多,培訓(xùn)時間較長,所以需要對培訓(xùn)的素材進行優(yōu)化���。
4)支持其他Site網(wǎng)絡(luò)安全工作情況:
遠程支持**網(wǎng)安檢查�����,配合IT Manger通過青島市網(wǎng)安的例行檢查,并提出與網(wǎng)安檢查相關(guān)的檢查項及關(guān)鍵點,最終***以較高的分數(shù)通過檢查。
青島互聯(lián)網(wǎng)醫(yī)院上線前審查,配合IT Manager通過青島互聯(lián)網(wǎng)醫(yī)院上線前審查�,提供了網(wǎng)絡(luò)安全應(yīng)急預(yù)案的培訓(xùn)以及相關(guān)檢查項的整改方案,并在審查當(dāng)天進行遠程技術(shù)支持�。
***三級等保測評工作�����,遠程配合***在三級等保終測�����,并提供相關(guān)漏掃報告�����,以及技術(shù)答疑等�����,最終***復(fù)核等保三級測評要求����,通過三級等保測評�����。
2. 正在進行中的項目:
a)安全運營中心部署:根據(jù)三級等保要求以及安全體系建設(shè)需求,需成立安全運營中心,和睦家購買了IBM的SIEM平臺QRadar,目前該項目已完成北京區(qū)域部署���,進入到優(yōu)化策略階段����,目前已將AD認證類的告警策略優(yōu)化完成,下一步準(zhǔn)備優(yōu)化病毒類告警以及服務(wù)器相關(guān)告警��,待策略優(yōu)化完成后�,部署全國各Site日志采集器和流量采集器����,預(yù)計本年度完成全國部署�����。
b)Knowbe4釣魚郵件測試平臺:由于釣魚郵件對企業(yè)造成的安全風(fēng)險較高��,威脅較大���,所以準(zhǔn)備采購響應(yīng)的釣魚郵件測試平臺���,通過該平臺的釣魚郵件測試來提升員工對于防釣魚的安全意識,目前該項目已將報價提交給采購進行價格評估����,待采購評估價格后進行購買實施�。
c) ***全國安全意識培訓(xùn):為提升和睦家員工的信息安全意識�����,計劃于本年度完成***全國員工的信息安全意識培訓(xùn),目前已完成北京***部門的培訓(xùn)�,下一步進行***的信息安全意識培訓(xùn)���。
3. 個人能力自我評估:
通過六個月的工作,我發(fā)現(xiàn)了自身存在的一些優(yōu)點與不足:
a)溝通能力方面:樂于與同事及領(lǐng)導(dǎo)積極溝通,并了解自己的任務(wù)和角色�,樂于與同事合作以達成目標(biāo)���,但有的時候溝通方式存在一定的問題,導(dǎo)致溝通效果欠佳。在今后的工作中���,也會注意自己與領(lǐng)導(dǎo)和同事之間的溝通方式及方法�,做到高效溝通����。
b)項目管理能力:擅長項目管理����,因為之前系統(tǒng)的學(xué)習(xí)過項目管理的知識���,所以在工作中可以利用學(xué)習(xí)到的知識去進行高效工作�����,但偶爾會出現(xiàn)不熟悉企業(yè)內(nèi)部的工作流程導(dǎo)致對于項目的管理出現(xiàn)偏差�����,我會在未來的工作中盡快的熟悉各項工作流程����,避免再次出現(xiàn)同樣的問題。
c) 崗位知識方面:在信息安全體系建設(shè)、安全運營、安全意識培訓(xùn)以及安全事件分析方面較為擅長����,由于網(wǎng)絡(luò)安全涉及到的知識面非常廣,在工作的過程中也意識到我所在的崗位上,有些需要用到的信息安全相關(guān)知識自己并不夠?qū)I(yè)�,所以在今后的工作和生活中還需要加強學(xué)習(xí)相關(guān)崗位知識��,并實際運用到工作中�。
d)工作態(tài)度方面:工作態(tài)度積極�、主動,時常保持良好的狀態(tài)完成工作或解決問題。
第3篇
目前,我國商業(yè)銀行種類繁多,所以商業(yè)銀行在風(fēng)險管理方面涉及的范圍也很廣泛。本文將從宏觀角度研究探索,主要從我國商業(yè)銀行的經(jīng)營過程中信息安全風(fēng)險分析,該安全風(fēng)險包括技術(shù)和管理風(fēng)險兩類����。文章將側(cè)重講述我國商業(yè)銀行信息安全風(fēng)險管理體系構(gòu)架�����。
【關(guān)鍵詞】商業(yè)銀行 信息安全 風(fēng)險管理 體系構(gòu)架
在我國加入世貿(mào)組織后�����,在市場經(jīng)濟的影響下逐步形成一個與全球經(jīng)濟同步的開放整體��,我國很多商業(yè)銀行都開始設(shè)立國外分行��,同時�����,國外銀行也在不斷開拓國內(nèi)市場���,這就表明,我國商業(yè)銀行信息系統(tǒng)安全隱患也將由國內(nèi)范圍加深到世界范圍��。這時候,應(yīng)該從分析了解我國商業(yè)銀行信息系統(tǒng)特性著手����,準(zhǔn)備把握我國商業(yè)銀行信息系統(tǒng)的安全風(fēng)險信息���,也可借鑒國外已經(jīng)成熟了的銀行信息系統(tǒng)安全管理體制,再根據(jù)本行的信息安全系統(tǒng)的特點��,構(gòu)建并完善我國商業(yè)銀行信息系統(tǒng)安全風(fēng)險管理體制,及時防范并有效降低我國商業(yè)銀行信息的安全損害�����,確保我國商業(yè)銀行的信息安全�,已經(jīng)成為我國金融機構(gòu)熱議的話題���,必須引起銀行以及監(jiān)督管理機構(gòu)的重視�。
1 我國商業(yè)銀行信息安全風(fēng)險管理現(xiàn)狀
1.1 信息安全與風(fēng)險管理
廣義上來說����,信息安全是在特定社會背景下�,國家為維護自身信息安全、低于國外信息威脅利用信息安全的通訊技術(shù)���、網(wǎng)絡(luò)IT技術(shù)的一種能力����。從狹義上來講��,信息安全就是信息內(nèi)容不被隨意泄漏和改變�,信息體統(tǒng)不受威脅與攻擊���。當(dāng)前��,風(fēng)險管理已經(jīng)在國際上越來越廣泛地被運用,有效的風(fēng)險管理不但可以削減企業(yè)經(jīng)營風(fēng)險����,還能夠在企業(yè)決策上提供一定的支持�,保障企業(yè)的可持續(xù)發(fā)展�。所以,風(fēng)險管理有非常巨大的存在意義。風(fēng)險管理是信息安全的基本觀念。目前�����,普遍認為信息安全是識別信息系統(tǒng)風(fēng)險�,并能夠采取相應(yīng)措施不斷完善信息系統(tǒng)的一個過程。
1.2 網(wǎng)絡(luò)風(fēng)險
在管理商業(yè)銀行信息系統(tǒng)時���,一定要非常謹慎的對待風(fēng)險管理過程��。在評估風(fēng)險時�,可能會發(fā)現(xiàn)網(wǎng)絡(luò)被沒有被充分的保護,需要增加一些軟件、硬件或者是加強安全管理意識等進行充分保護�。網(wǎng)絡(luò)安全能夠平衡銀行業(yè)務(wù)、客戶功能和速度。要證明減少某些操作是無誤的����,比如關(guān)閉Active,該行為的發(fā)生必須在能夠保證銀行業(yè)務(wù)和用戶在一個安全的環(huán)境下。企業(yè)最高決策機構(gòu)必須時刻強調(diào)時刻注意企業(yè)的安全,以風(fēng)險管理為原則不斷識別企業(yè)網(wǎng)絡(luò)存在的安全隱患�����,能準(zhǔn)確判斷網(wǎng)絡(luò)容易受到攻擊地方,并能夠從根本上加強保護�����。風(fēng)險評估是風(fēng)險管理的基礎(chǔ),主要根據(jù)三個步驟來實現(xiàn)風(fēng)險評估:
1.2.1 網(wǎng)絡(luò)價值的判斷
一定要從銀行的有形資產(chǎn)和無形資產(chǎn)兩方面考慮來評估商業(yè)銀行的網(wǎng)絡(luò)價值����。比如�,在系統(tǒng)出現(xiàn)故障的時候,要考慮到該故障會對企業(yè)的財政收入造成的影響;在網(wǎng)絡(luò)出現(xiàn)故障時���,要考慮修復(fù)網(wǎng)絡(luò)需要花費的人力�����、物力成本�����,重建網(wǎng)絡(luò)信息要消耗的資金�;在商業(yè)銀行網(wǎng)絡(luò)中有重要信息被泄漏�,要考慮到整個公司的財政將會受到多大的影響�。
1.2.2 定義威脅
商業(yè)銀行的網(wǎng)絡(luò)和網(wǎng)絡(luò)數(shù)據(jù)經(jīng)常會很容易被內(nèi)外部環(huán)境的威脅攻擊。所以,了解每種類型的威脅是非常必要的����,還要盡可能多的鑒別可能存在的威脅�����。目前�����,很多管理網(wǎng)絡(luò)的人員都并不能清楚理解環(huán)境自身的威脅����。內(nèi)部威一般很常見也很容易定義����、識別。外部威脅就相對較難定義����,首先要做的是判斷破壞機密文件的以未授權(quán)方式的患者記錄或者信用卡號��?���?赡苁瞧髽I(yè)的競爭對手為了找到銀行客戶資料��,也可能是為了改變銀行的數(shù)據(jù)并破壞數(shù)據(jù)的可用性的黑客所為;準(zhǔn)確判斷網(wǎng)絡(luò)容易受攻擊的地方��。安全弱點就是已經(jīng)被識別的威脅,按等級分類所識別的威脅:威脅的關(guān)注度�、威脅的可行性。
1.2.3 設(shè)定方案
如何執(zhí)行一個安全的解決方案是網(wǎng)絡(luò)風(fēng)險管理過程中的最后一步���。該方案需要從以下幾方面著手:加強客戶以及網(wǎng)絡(luò)管理人員的安全防范意識�;改變并創(chuàng)新網(wǎng)絡(luò)結(jié)構(gòu);穩(wěn)固安全硬件����;關(guān)閉銀行中有安全威脅的并不常用或者根本就不需要的測試、服務(wù)以及補丁程序。
網(wǎng)絡(luò)風(fēng)險主要表現(xiàn)在這幾個方面:安全性風(fēng)險�����、網(wǎng)絡(luò)故障風(fēng)險��、法律媒體風(fēng)險�����。防范網(wǎng)絡(luò)風(fēng)險需要對網(wǎng)絡(luò)安全進行風(fēng)險評估����,建立網(wǎng)絡(luò)安全管理構(gòu)架,最后制定一系列安全防范措施��。評估風(fēng)險首先需要企業(yè)內(nèi)部專門的網(wǎng)絡(luò)安全管理人員分析并診斷企業(yè)網(wǎng)絡(luò)安全的狀況,然后從管理與技術(shù)兩個方面探討研究網(wǎng)絡(luò)安全問題的存在�。網(wǎng)絡(luò)安全管理體系架構(gòu)需要考慮到的網(wǎng)絡(luò)風(fēng)險的幾個方面:通過完善網(wǎng)絡(luò)設(shè)備性能、提高網(wǎng)絡(luò)承受力、先進傳輸技術(shù)的引進以及定期核查網(wǎng)絡(luò)設(shè)備的方式來避免網(wǎng)絡(luò)故障風(fēng)險�;通過加強宣傳并提高社會成員法律安全意思制定一定的法律條款來防范法律媒體風(fēng)險�;通過增加設(shè)立持續(xù)不斷的電源�、增加投保企業(yè)保險、加強網(wǎng)絡(luò)機器安全管理等方法來避免網(wǎng)絡(luò)安全風(fēng)險中如斷電、火災(zāi)等的自然風(fēng)險�。針對網(wǎng)絡(luò)自身的風(fēng)險以及網(wǎng)絡(luò)攻擊風(fēng)險��,需要遵循一定的有限級有條理有選擇的來解決來自數(shù)據(jù)�����、應(yīng)用��、系統(tǒng)�����、網(wǎng)絡(luò)的信息安全問題�����。利用防火墻技術(shù)�����、安全監(jiān)督體制��、IT設(shè)計工具��、VNP設(shè)備、數(shù)據(jù)加密技術(shù)以及數(shù)字簽名等技術(shù)保障網(wǎng)絡(luò)風(fēng)險的最小化�,并制定符合法律規(guī)則的有一定安全標(biāo)準(zhǔn)的全面完善的網(wǎng)絡(luò)安全風(fēng)險管理體制。
1.3 外包業(yè)務(wù)風(fēng)險
當(dāng)前���,我國商業(yè)銀行中有一大部分的銀行屬于中小型銀行��,在資金水平以及信息技術(shù)能力的限制下���,缺乏獨立的信息系統(tǒng)開發(fā)能力�,只有通過業(yè)務(wù)的外包來滿足銀行信息系統(tǒng)�,導(dǎo)致大量的銀行核心代碼分散到外包公司信息系統(tǒng)中���。如果商業(yè)銀行在這種情況下沒有謹慎對待外包商�、依據(jù)法律條款簽訂相應(yīng)的協(xié)議����、明確協(xié)議雙方的職責(zé)�,那么��,銀行信息系統(tǒng)的信息安全以及系統(tǒng)業(yè)務(wù)的可持續(xù)性將會受到加大的威脅��。與此同時�����,在銀行維護信息系統(tǒng)的時候����,外包公司審核的不夠嚴謹,沒能積極修復(fù)系統(tǒng)漏洞���、優(yōu)化信息系統(tǒng)��,也會威脅到銀行信息系統(tǒng)的安全��。銀行在與外包公司簽訂合同協(xié)議的時候��,如果沒有做好協(xié)議數(shù)據(jù)保密工作、外包公司蓄意泄密或者轉(zhuǎn)包服務(wù)等情況���,都會產(chǎn)生信息安全風(fēng)險���,甚至?xí)o銀行帶來銷毀性的打擊�����。
2 我國商行銀行信息安全風(fēng)險管理體系架構(gòu)
我國商業(yè)銀行存在一定信息安全風(fēng)險是必然的���,即使不能避免和杜絕這種風(fēng)險,也要采取相應(yīng)的措施最大程度的控制、削減、化解風(fēng)險的發(fā)生頻率����。我國商業(yè)銀行信息安全風(fēng)險管理體系架構(gòu)主要從技術(shù)�、運作以及管理組織平臺三方面設(shè)計。
2.1 管理組織平臺
風(fēng)險管理組織平臺處于我國商行銀行信息安全風(fēng)險管理體系的最高層�,為整個管理體系提供策略性的引導(dǎo)。主要從商業(yè)銀行信息安全風(fēng)險管理的制度與策略���、管理人才以及組織機構(gòu)三方面著手�。
2.2 運行平臺
我國商業(yè)銀行信息安全風(fēng)險管理體系的中間部分就是風(fēng)險管理的運行平臺,也是商業(yè)銀行信息安全風(fēng)險管理體系的核心與主體部分。風(fēng)險運行的整個過程包含了風(fēng)險的識別���、評估以及應(yīng)對等諸多活動�,著重體現(xiàn)一種風(fēng)險管理持續(xù)完善的理念����。該過程依據(jù)PDCA模式�,嚴格按照計劃、實施、改進的管理模式管理商業(yè)銀行信息安全風(fēng)險,持續(xù)完善商業(yè)銀行信息安全風(fēng)險管理體系架構(gòu)�,有利于銀行創(chuàng)建良好的安全的信息環(huán)境����。
2.3 技術(shù)平臺
商業(yè)銀行信息安全風(fēng)險管理體系的最底層便是風(fēng)險管理的技術(shù)平臺。技術(shù)平臺為運行與組織平臺的創(chuàng)建和實施提供有力的技術(shù)支持,也為我國商業(yè)銀行信息安全風(fēng)險管理體系提供了安全性技術(shù)保障�。從時效上將技術(shù)平臺分為預(yù)防、實時跟蹤以及事后恢復(fù)三大技術(shù)。
我國商業(yè)銀行信息安全風(fēng)險管理體系架構(gòu)主要從技術(shù)平臺���、運行平臺、組織平臺三方面的構(gòu)建組成。風(fēng)險管理組織平臺的構(gòu)建是我國商業(yè)銀行信息安全風(fēng)險管理體系的重要組成部分�,為整個管理體系提供策略性的引導(dǎo);風(fēng)險管理運行平臺的構(gòu)建是我國商業(yè)銀行信息安全風(fēng)險管理體系的核心組成部分,風(fēng)險管理的運行過程嚴格遵循PDCA的循環(huán)定律。通過資產(chǎn)、威脅、脆弱性三方面的評估形成對應(yīng)的資產(chǎn)�、威脅���、脆弱性信息,為滿足銀行業(yè)務(wù)的需求,可以采取轉(zhuǎn)移風(fēng)險法���、規(guī)避風(fēng)險法�����、接受風(fēng)險法以及消減風(fēng)險法加以應(yīng)對我國商業(yè)銀行信息安全風(fēng)險���。具體利用數(shù)字加密技術(shù)、身份認證技術(shù)�����、控制訪問技術(shù)�����、檢測入侵技術(shù)�、數(shù)據(jù)備份以及恢復(fù)技術(shù)為我國商業(yè)銀行信息安全風(fēng)險管理體系的構(gòu)架提供安全有力的技術(shù)支持。
在我國商行銀行信息安全風(fēng)險管理體系基本構(gòu)建完成后�,還需要對該體系做出評審、改建意見以及相關(guān)說明等后期工作����。該后期工作的主要內(nèi)容包括內(nèi)部審計�、外部審計以及文件管理����。需要注意的是�����,在審計過程中�����,常常會遇到銀行信息系統(tǒng)中的大量的銘感信息�����,假若不能夠正確處理審計過程中遇到的銀行敏感信息將會給銀行的信息安全帶來不可忽視的威脅���,所以,加強嚴格管理與控制我國商業(yè)銀行的外部審計是我國商業(yè)銀行當(dāng)前面臨的一項刻不容緩的任務(wù)���。銀行最高決策機構(gòu)應(yīng)該依據(jù)法律制度��,設(shè)計出相應(yīng)的整改方案��,并定期實施有效方案����,提高我國商業(yè)銀行信息的安全度�,保障我國商業(yè)銀行信息安全風(fēng)險管理體系的成功構(gòu)建。
3 結(jié)束語
信息在網(wǎng)絡(luò)信息迅速發(fā)展的背景下已經(jīng)成為一項可貴的必不可少的資源��。一般來講��,掌握的信息越多�����、越準(zhǔn)確就越有取勝以及權(quán)威的先機��。信息對于我國商業(yè)銀行這樣一個特別的行業(yè)更是非常重要���。在商業(yè)銀行網(wǎng)絡(luò)與業(yè)務(wù)規(guī)模不斷擴大的背景下,我國商業(yè)銀行在信息安全保護方面面臨嚴峻的考驗,所以���,保障商業(yè)銀行信息安全風(fēng)險管理體系的安全已經(jīng)成為目前金融行業(yè)重要的使命。
參考文獻
[1]陳小娟.我國銀行信息安全風(fēng)險管理體系研究[D].蘇州大學(xué),2013.
第4篇
2019年業(yè)務(wù)管理部認真執(zhí)行總行及支行各項規(guī)章制度�,緊緊圍繞支行年初的工作目標(biāo)��,在業(yè)務(wù)管理、貸款投放、業(yè)務(wù)檢查��、客戶經(jīng)理培訓(xùn)等方面狠下功夫��,能夠有效完成部門工作,現(xiàn)將業(yè)務(wù)管理部2019年半年主要工作總結(jié)如下:
一、主要經(jīng)營指標(biāo)完成情況
(一)貸款情況
截止2019年6月30日,支行貸款余額 萬元,其中個人貸款 萬元,較年初上升 萬元����,占比 %���,個人住房按揭類貸款 萬元�����,較年初上升 萬元����;企業(yè)貸款 萬元�����,較年初上升 萬元,占比 %�����。
(二)利息收入
截止2019年6月30日�,支行各項利息收入 萬元。
(三)不良貸款
截止2019年6月30日�����,支行不良貸款余額 萬元��,較年初下降 %����,不良占比 %����。
(四)雙逾貸款情況
截止2019年6月30日�,支行雙逾貸款余額 萬元,較年初下降 %����,占比 %�����。
二�����、工作措施及成效
(一)從嚴管理��,確保資產(chǎn)質(zhì)量
1�、嚴把貸款審查關(guān)�。一是上報的貸款合法性、合規(guī)性進行認真審查��,從源頭上充分識別客戶和業(yè)務(wù)風(fēng)險���,加大對一線操作人員的指導(dǎo)���,對存在較大風(fēng)險隱患的業(yè)務(wù)及時進行提示����;二是對貸款審查過程中出現(xiàn)的各類問題風(fēng)險��,及時與經(jīng)辦人員溝通,在調(diào)動經(jīng)辦行積極性的同時,嚴格把控風(fēng)險點����,確保貸款質(zhì)量��;三是嚴格執(zhí)行國家產(chǎn)業(yè)政策和信貸政策�,對國家限制和淘汰的行業(yè)堅決不予支持。
2.制定貸款管理辦法。為規(guī)范我支行授信業(yè)務(wù)操作�,防范信貸風(fēng)險,提高授信業(yè)務(wù)辦理時間����,根據(jù)總行授信業(yè)務(wù)管理辦法及我支行經(jīng)營管理措施�,先后制定了秦農(nóng)銀行高新支行授信審查委員會工作實施細則等各文件的制定,有利于我支行在業(yè)務(wù)中統(tǒng)一管理,合規(guī)經(jīng)營。
3.加大檢查力度。
2019年為嚴監(jiān)管的關(guān)鍵事件�����,不僅總行及各監(jiān)管部門加大了檢查力度,我支行也在合規(guī)方面先后進行了反洗錢���、征信�����、信貸基礎(chǔ)�����、個人按揭貸款等相關(guān)檢查��,針對檢查中存在的問題,做到每個問題都有回復(fù)��,限期整改和責(zé)任人處罰并行的方式��,規(guī)范業(yè)務(wù)操作過程中的合規(guī)性��,做到事事必須合規(guī),進一步加強了各機構(gòu)合規(guī)操作意識。
在外部檢查不斷強化的同時�,我支行對檢查問題嚴格落實整改�,在貸后檢查�����、銀保監(jiān)會檢查��、稽核檢查等檢查中,將存在的問題暴露出來����,針對問題及時提出整改方案和整改期限,并形成總結(jié)規(guī)范�����,對后期工作起到一定的指導(dǎo)作者用��。
(三)做好統(tǒng)計分析�����、溝通協(xié)調(diào)工作
我部門充分發(fā)揮了“上傳下達”的作用,多方獲取金融政策信息��,及時向分支機構(gòu)傳達了上級文件精神和金融政策���,確保信貸政策落實到位。做好了資產(chǎn)數(shù)據(jù)及信貸報表的統(tǒng)計分析工作,為各級領(lǐng)導(dǎo)及時提供了準(zhǔn)確�����、完整的經(jīng)營參考依據(jù)�����。
(四)做好案件防控、掃黑除惡工作����,防范和化解金融風(fēng)險
1�、按季開展案件風(fēng)險排查����,使各項業(yè)務(wù)經(jīng)營合規(guī)合法�����,通過排查案件風(fēng)險工作��,進一步提高廣大員工的政治、業(yè)務(wù)素質(zhì)、道德素養(yǎng)和遵紀(jì)守法、防范案件發(fā)生的自覺性���,進一步完善案件防控實施方案�����,提高內(nèi)控和案防制度執(zhí)行力�����,扎實推進支行案防工作有效開展,促進支行各項業(yè)務(wù)安全穩(wěn)健運行。
2���、嚴格依照總行部署���,堅決貫徹金融機構(gòu)掃黑除惡的各項工作和措施����,從人員����、業(yè)務(wù)����、客戶等維度全面對黑惡勢力進行排查�。同時做好掃黑除惡的各項宣傳工作����,切實做好掃黑除惡日報�����、周報����、月報的上報工作,全面防范���、根除黑惡勢力在我支行的發(fā)展空間。
3���、鞏固治亂象成果,促進合規(guī)建設(shè)工作�。在2018年整治市場亂象和合規(guī)建設(shè)深化年的基礎(chǔ)上��,2019年以部門牽頭各條線分別負責(zé)對可能出現(xiàn)風(fēng)險隱患的各個環(huán)節(jié)進行排查,對存在問題進行積極整改��。
(五)做好反洗錢工作�����,嚴防洗錢風(fēng)險
業(yè)務(wù)管理部汲取歷年來反洗錢工作的經(jīng)驗���,建立��、健全了我支行反洗錢相關(guān)的制度、流程及工作規(guī)范�,制定了系統(tǒng)深入�、實踐性強的反洗錢培訓(xùn)計劃����,要求各二級支行按照該計劃堅持培訓(xùn)制度,每月組織一次反洗錢相關(guān)知識培訓(xùn),尤其對秦農(nóng)銀行新下發(fā)的反洗錢相關(guān)制度規(guī)定中的新規(guī)定�����、新要求組織集中重點學(xué)習(xí)以深入學(xué)習(xí)理解,并且要求各支行員工做好學(xué)習(xí)筆記,加強學(xué)習(xí)效果����。組織反洗錢宣傳活動�,確保全員樹立對反洗錢工作的重視��,增強反洗錢工作的緊迫感��、主動性��;嚴格履行反洗錢義務(wù)���、切實打擊洗錢活動�����。
(六)做好不良貸款化解工作
支行在2019年不良貸款清降壓力巨大�,反彈形式不容樂觀����。在我部門的積極推動下�����,采取多種措施對企貸中心、個貸中心�、消貸中心進行全面排查與督導(dǎo)���,確保戶戶有人抓����,高壓清收,積極轉(zhuǎn)貸����。截至2019年六月末支行全面完成不良貸款清降任務(wù)����。
雙逾貸款管理方面,部門對雙逾貸款實行每周監(jiān)測�,及到期貸款預(yù)警制度。每季度出對本季度到期貸款進行預(yù)警,要求提前著手解決����,對已經(jīng)逾期的到款每周報告解決進度�。同時配合個貸、消貸�����、企貸中心積極進行逾期貸款的化解工作��。
(七)做好征信查詢��、異議����、宣傳工作��。征信系統(tǒng)上先后,我部門對支行的征信查詢?nèi)藛T進行了全面的培訓(xùn)����,組織學(xué)習(xí)了征信管理辦法和系統(tǒng)操作規(guī)范��,制定了《高新支行違反征信信息安全處罰辦法》;同時對征信的查詢工作進行定期檢查,資料及時歸檔,防范征信相關(guān)風(fēng)險問題發(fā)生。
三�、半年工作完成情況
1��、順利完成了高新支行和錦業(yè)支行的合并工作����,對貸款賬務(wù)�、系統(tǒng)順利進行合并����,檔案資料全部進行規(guī)范整理,并高新支行檔案中心
2�、成立個貸中心����,并對個貸中心業(yè)務(wù)操作進行規(guī)范�,完善支行個人按揭貸款操作審批流程����。
3�、個人類及公司類授信業(yè)務(wù)強化管理��。對貸款受理����、審批流程�����,受理半徑等進行了嚴格規(guī)范�。
4、在信貸管理方面。支行在前半年對外部檢查中存在的問題查漏補缺,主動查找揭示風(fēng)險,并進行了全面整改����,同時結(jié)合稽核每季度序時檢查情況,對我支行存在問題進行了逐一核實,對相關(guān)責(zé)任人依據(jù)我行規(guī)章進行了問責(zé)處理��。通過一系列的自查整改�����,使得我支行的信貸管理水平逐步得到了提高����。
5���、嚴格問責(zé)����。根據(jù)內(nèi)外部檢查及自查問題及總行專項信貸檢查問題��,積極進行整改的同時�,對違規(guī)違紀(jì)人員進行嚴肅問責(zé)��,強化回歸意識�����、守法意識。每季度針對稽核中存在的問題��,對相關(guān)責(zé)任人也做到“有錯必糾”、“違規(guī)必處”����。
6、加強消費者權(quán)益保護工作���,不間斷對相關(guān)人員進行消保培訓(xùn)�����,并舉辦了“反假幣”、“反洗錢”��、“非法集資”����、“反電信詐騙”等多項宣傳活動��。同時加強消保的培訓(xùn)工作,我部門派出人員參加總行組織的消保培訓(xùn)后,及時組織我支行相關(guān)人員對消保領(lǐng)域存在的問題及處理方式進行了全面的培訓(xùn)�,使我支行人員對處理問題的能力得到了顯著的提高�����。
第5篇
關(guān)鍵詞:證券行業(yè)信息安全網(wǎng)絡(luò)安全體系
近年來�,我國資本市場發(fā)展迅速,市場規(guī)模不斷擴大,社會影響力不斷增強.成為國民經(jīng)濟巾的重要組成部分�����,也成為老百姓重要的投資理財渠道����。資本市場的穩(wěn)定健康發(fā)展���,關(guān)系著億萬投資者的切身利益�����,關(guān)系著社會穩(wěn)定和國家金融安全的大局����。證券行業(yè)作為金融服務(wù)業(yè),高度依賴信息技術(shù)��,而信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)�。沒有信息安全就沒有資本市場的穩(wěn)定。
目前.國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出��。從資本市場看�,近年來,隨著市場快速發(fā)展�����,改革創(chuàng)新深入推進��,市場交易模式日趨集巾化�,業(yè)務(wù)處理邏輯日益復(fù)雜化����,網(wǎng)絡(luò)安全事件�、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運行帶來新的挑戰(zhàn)�����。資本市場交易實時性和整體性強���,交易時問內(nèi)一刻也不能中斷�����。加強信息安全應(yīng)急丁作����,積極采取預(yù)防�、預(yù)警措施,快速、穩(wěn)妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常�,對于資本市場來說至關(guān)重要�。
1證券行業(yè)倍息安全現(xiàn)狀和存在的問題
1.1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面
健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)��。是信息安全的第一道防線�����。為促進證券市場的平穩(wěn)運行,中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個信息技術(shù)管理規(guī)范�����、2個信息安全等級保護通知��、1個信息安全保障辦法���、1個信息通報方法和10個行業(yè)技術(shù)標(biāo)準(zhǔn)����。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成����,推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化�����、標(biāo)準(zhǔn)化邁進����。
雖然我國涉及信息安全的規(guī)范性文件眾多,但在現(xiàn)行的法律法規(guī)中����。立法主體較多�,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃�。面對新形勢下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后�����,缺乏總體規(guī)劃���;二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強�,部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差;三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng),無法應(yīng)對某些新型信息安全的威脅��;四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實����。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術(shù)手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前��,證券行業(yè)采用“統(tǒng)一組織�����、分工有序”的信息安全工作體系,分為決策層��、管理層�、執(zhí)行層。
為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)�,建立健全信息安全管理制度和運行機制�����,切實提高行業(yè)信息安全保障工作水平,根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》����,參照ISO/IEC27001:2005���,提出證券期貨業(yè)信息安全保障管理體系框架�����。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個目標(biāo)(機密性、完整性�����、可用性��、真實性�、可審計性�����、抗抵賴性����、可靠性)����,正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標(biāo)所采取的措施和方式��。
1.3IT治理方面
整個證券業(yè)處于高度信息化的背景下����,IT治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標(biāo)的可能性���,良好的IT治理有助于增強公司靈活性和創(chuàng)新能力����,規(guī)避IT風(fēng)險��。通過建立IT治理機制,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題�����。幫助管理者處理IT問題���,自我評估IT管理效果.可以加強對信息化項目的有效管理����,保證信息化項目建設(shè)的質(zhì)量和應(yīng)用效果,使有限的投入取得更大的績效�����。
2003年lT治理理念引入到我國證券行業(yè)����,當(dāng)前我國證券業(yè)企業(yè)的IT治理存在的問題:一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視����,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數(shù)指標(biāo);是lT治理的責(zé)任與職能不清晰�����。
1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面
隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富�、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計�����,2008年我同證券網(wǎng)上交易量比重已超過總交易量的80%�����。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接�����,方便了投資者。但由于互聯(lián)網(wǎng)的開放性,來自互聯(lián)網(wǎng)上的病毒�����、小馬���、黑客攻擊以及計算機威脅事件����,都時刻威脅著行業(yè)的信息系統(tǒng)安全�����,成為制約行業(yè)平穩(wěn)���、安全發(fā)展的障礙��。此,維護網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分����。近年來��,證券行業(yè)各機構(gòu)采取了一系列措施,建立了相對安全的網(wǎng)絡(luò)安全防護體系和災(zāi)舴備份系統(tǒng)�,基木保障了信息系統(tǒng)的安全運行����。但細追究起來��,我國證券行業(yè)的網(wǎng)絡(luò)安全防護體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善�����,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護體系缺乏統(tǒng)一的規(guī)劃�;二是網(wǎng)絡(luò)訪問控制措施有待完善�����;三是網(wǎng)上交易防護能力有待加強���;四是對數(shù)據(jù)安全重視不夠��,數(shù)據(jù)備份措施有待改進;五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高�。
1.5IT人才資源建設(shè)方面
近20年的發(fā)展歷程巾�,證券行業(yè)對信息系統(tǒng)日益依賴����,行業(yè)IT隊伍此不斷發(fā)展壯大。據(jù)統(tǒng)計����,2008年初�,在整個證券行業(yè)中�����,103家證券公司共有IT人員7325人�,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%���,總體上達到了行業(yè)協(xié)會的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求�。目前,證券行業(yè)的IT隊伍肩負著信息系統(tǒng)安全�����、平穩(wěn)、高效運行的重任����,IT隊伍建設(shè)是行業(yè)信息安全IT作的根本保障。但是����,IT人才隊伍依然存在著結(jié)構(gòu)不合理����、后續(xù)教育不足等問題,此行業(yè)的人才培養(yǎng)有待加強。
2采取的對策和措施
2.1進一步完善法規(guī)和標(biāo)準(zhǔn)體系
首先�,在法規(guī)規(guī)劃上��,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次����。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會部門規(guī)章����;第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件�;第三層是技術(shù)指引等自律規(guī)則��,一般由交易所����、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定�。其次,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性�。最后�,在法規(guī)實施上.要堅持規(guī)范和指引相結(jié)合�,重視監(jiān)督檢查和責(zé)任落實。
2.2深入開展證券行業(yè)IT治理工作
2.2.1提高IT治理意識
中國證券業(yè)協(xié)會要進一步加強IT治理理念的教育宣傳工作,特別是對會員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn)�,將IT治理的定義���、工具�����、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強化證券經(jīng)營機構(gòu)的IT治理意識����,提高他們IT治理的積極性���。
2.2.2通過設(shè)立IT治理試點形成以點帶面的示范效應(yīng)
根據(jù)IT治理模型的不同特點����,建議證券公司在決策層使用CISR模型��,通過成立lT治理委員會�����,建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系;在執(zhí)行層以COBIT模型��、ITFL模型等其他模型為補充�����,規(guī)范信息技術(shù)部門的各項控制和管理流程����。同時�,證監(jiān)會指定一批證券公司和基金公司作為lT試點單位,進行IT治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施IT治理的優(yōu)秀范例,以點帶面地提升全行業(yè)的治理水平。
2.3通過制定行業(yè)標(biāo)準(zhǔn)積極落實信息安全等級保護
行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關(guān)鍵.應(yīng)進一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務(wù)和工作機制���,統(tǒng)一部署、組織行業(yè)的等級保護丁作,為該項丁作的順利開展提供組織保證�����。行業(yè)各機構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護的行業(yè)要求�,對照標(biāo)準(zhǔn)逐條落實�。同時,應(yīng)對各單位實施信息系統(tǒng)安全等級保護情況進行測評�����,在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足���,被測評單位應(yīng)立即制定相應(yīng)的整改方案并實施.且南相芙的監(jiān)督機構(gòu)進行督促�。
2.4加強網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護水平
2.4.1以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃
等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度,通過將等級化的方法和安全體系規(guī)劃有效結(jié)合��,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè)�����,建立一套信息安全保障體系��,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。
2.4.2通過加強網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護能力
對向證券行業(yè)提供設(shè)備�、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠信加強管理��,確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn)�����。根據(jù)網(wǎng)絡(luò)隔離要求�,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)����、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離���。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進行隔離���;對主要的網(wǎng)絡(luò)邊界和各外部進口進行滲透測試�,進行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來的安全風(fēng)險��;在網(wǎng)上交易方面�����,采取電子簽名或數(shù)字認證等高強度認證方式�,加強訪問控制����;針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況,要采取措施加強網(wǎng)站保護���,提高對惡意代碼的防護能力,同時采用技術(shù)手段��,提高網(wǎng)上交易客戶端軟件使朋的安全性���。
2.4.3提高從業(yè)人員安全意識和專業(yè)水平
目前在證券行業(yè)內(nèi)�,從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱.必要時可定期對從業(yè)人員進行安全意識考核,從行業(yè)內(nèi)部強化網(wǎng)絡(luò)安全工作�����。要加強網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn)����,提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。
2.5扎實推進行業(yè)災(zāi)難備份建設(shè)
數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的�����,數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的��。無論是美國的“9·11”事件�����,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震���,都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗的基礎(chǔ)上,針對自身需要,對重要系統(tǒng)開展災(zāi)難備份建設(shè)��。要繼續(xù)推進證券����、基金公司同城災(zāi)難備份建設(shè)��,以及證券交易所�����、結(jié)算公司等市場核心機構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機結(jié)合�����。
2.6抓好人才隊伍建設(shè)
證券行業(yè)要采取切實可行的措施����,建立吸引人才、留住人才、培養(yǎng)人才�、發(fā)展人才的用人制度和機制�����。積極吸引有技術(shù)專長的人才到行業(yè)巾來,加強lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)�,注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才�。要促進從業(yè)人員提高水平����、轉(zhuǎn)變觀念,行業(yè)各機構(gòu)應(yīng)采取采取請進來����、派出去以及內(nèi)部講座等多種培訓(xùn)方式�����。通過建立規(guī)范有效的人才評價體系��,對信息技術(shù)人員進行科學(xué)有效的考評,提升行業(yè)人才資源的優(yōu)化配置和使用效率,促進技術(shù)人才結(jié)構(gòu)的涮整和完善��。
第6篇
第一條 為全面貫徹落實《人身保險業(yè)務(wù)基本服務(wù)規(guī)定》�����,建立人身保險公司服務(wù)評價體系�����,提升人身保險公司服務(wù)品質(zhì)和服務(wù)效率,切實維護保險消費者合法權(quán)益,促進人身保險行業(yè)持續(xù)健康發(fā)展����,制定本辦法���。
第二條 人身保險公司應(yīng)當(dāng)通過實施服務(wù)評價����,建立評價����、查找��、整改����、提高的良性循環(huán)機制�����,不斷優(yōu)化服務(wù)流程���,改善服務(wù)質(zhì)量�。
第三條 人身保險公司服務(wù)評價工作應(yīng)當(dāng)遵循下列原則:
(一)全面評價�。服務(wù)評價應(yīng)當(dāng)覆蓋人身保險售前、售中�����、售后各個環(huán)節(jié)中與客戶的所有接觸點���。
(二)客戶導(dǎo)向�。服務(wù)評價應(yīng)當(dāng)以客戶感受為中心,對人身保險公司服務(wù)的過程和結(jié)果進行評價��。
(三)持續(xù)改進��。服務(wù)評價應(yīng)充分發(fā)揮導(dǎo)向作用�,引導(dǎo)人身保險公司不斷改善服務(wù)水平��。
(四)客觀透明。服務(wù)評價應(yīng)當(dāng)考慮不同人身保險公司因發(fā)展階段、經(jīng)營模式和服務(wù)地域?qū)е碌目陀^差異����,評價過程公正�����、規(guī)范、科學(xué)�,評價結(jié)果真實����、客觀�����、透明����。
第四條 服務(wù)評價工作由服務(wù)評價委員會統(tǒng)一組織、指導(dǎo)和協(xié)調(diào)���。服務(wù)評價委員會的秘書處設(shè)在中國保險行業(yè)協(xié)會。服務(wù)評價委員會接受中國保監(jiān)會的管理和指導(dǎo)����,中國保監(jiān)會人身保險監(jiān)管部為服務(wù)評價委員會直接主管部門���。
第五條 服務(wù)評價委員會下設(shè)人身險行業(yè)客戶滿意度指數(shù)(ICSI)專家委員會���,負責(zé)滿意度指數(shù)測評機制的制定���、評估和修訂。
第二章 評價體系
第六條 開業(yè)滿三個會計年度的人壽保險公司、健康保險公司總公司��,以及上述公司所轄的開業(yè)滿三個會計年度的省級分公司���、計劃單列市分公司應(yīng)當(dāng)參與服務(wù)評價���。
第七條 服務(wù)評價應(yīng)當(dāng)從影響服務(wù)質(zhì)量的銷售����、承保、保全、理賠���、咨詢回訪、投訴等環(huán)節(jié),對人身保險公司的服務(wù)品質(zhì)和服務(wù)效率進行全面評估���。
第八條 除特別說明外,服務(wù)評價應(yīng)當(dāng)覆蓋人身保險公司所有個人業(yè)務(wù)的銷售和服務(wù)渠道,包括經(jīng)公司授權(quán)委托提供銷售或其他服務(wù)的第三方渠道。
第九條 服務(wù)評價由人身保險公司在服務(wù)評價委員會的指導(dǎo)下統(tǒng)一組織實施�,覆蓋總公司���、省級分公司和計劃單列市分公司兩個層級��。
第十條 服務(wù)評價指標(biāo)體系由定性指標(biāo)、定量指標(biāo)和客戶滿意度指數(shù)構(gòu)成。
(一)定性指標(biāo)包括基本原則����、基本要求和創(chuàng)新指引三部分����。其中�,基本原則是指人身保險公司各服務(wù)環(huán)節(jié)應(yīng)當(dāng)遵循的原則?;疽笫侵溉松肀kU公司提供服務(wù)過程中根據(jù)相關(guān)法律��、法規(guī)和規(guī)范性文件應(yīng)當(dāng)達到的最低要求。創(chuàng)新指引是指部分人身保險公司在提供服務(wù)過程中提高客戶服務(wù)體驗����,并值得其他公司學(xué)習(xí)、借鑒的創(chuàng)新做法���。
(二)定量指標(biāo)以保監(jiān)會和各人身保險公司系統(tǒng)數(shù)據(jù)為基礎(chǔ),根據(jù)特定口徑和計算公式��,對公司與客戶各環(huán)節(jié)接觸點的服務(wù)品質(zhì)和服務(wù)效率進行客觀評價的指標(biāo)體系�����。
(三)客戶滿意度指數(shù)是以客戶感受為中心��,委托獨立第三方從客戶角度對人身保險公司服務(wù)品質(zhì)和服務(wù)效率進行評價的體系。
第十一條 服務(wù)評價采取定性評價和定量評價相結(jié)合的方式���,評價最終結(jié)果由定性評價得分、定量評價得分和滿意度評分構(gòu)成���,并分別列示。
(一)定性評價基礎(chǔ)分為零����,服務(wù)評價委員會根據(jù)人身保險公司申報的服務(wù)創(chuàng)新項目加1至10分�,并在最后總分中單獨列示。
(二)定量評價模型采用百分制�����,根據(jù)定量評價模型分別由定量指標(biāo)�����、單項定量指標(biāo)�、指數(shù)評分逐級計算匯總得到保險公司定量評價的總分�。定量評價模型由服務(wù)評價委員會制定并披露。
(三)客戶滿意度評價采用百分制�,由客戶滿意度指數(shù)專家委員會根據(jù)滿意度指數(shù)模型計算得出滿意度評分���。
(四)服務(wù)評價委員會可根據(jù)評價工作需要增設(shè)服務(wù)評價扣分項,并制定扣分規(guī)則��。
第三章 評價方法及要求
第十二條 人身保險公司應(yīng)當(dāng)成立服務(wù)評價執(zhí)行小組�����,共同推動和執(zhí)行服務(wù)評價工作��。執(zhí)行小組成員應(yīng)當(dāng)至少包括公司總經(jīng)理、各服務(wù)環(huán)節(jié)的提供和支持部門負責(zé)人����、績效考核部門負責(zé)人�。
第十三條 人身保險公司應(yīng)當(dāng)于每年12月31日前�,對照服務(wù)評價的定性指標(biāo)從制度和操作層面對公司本年度的服務(wù)質(zhì)量進行評估。
第十四條 人身保險公司從制度層面開展服務(wù)質(zhì)量定性評估時�,應(yīng)當(dāng)遵循定性指標(biāo)的基本原則����,符合但不限于定性指標(biāo)的基本要求�,探索改進服務(wù)質(zhì)量的方法和途徑,不斷完善相關(guān)的服務(wù)制度��。
第十五條 人身保險公司從操作層面開展服務(wù)質(zhì)量定性評估時�����,應(yīng)當(dāng)評估相關(guān)操作流程及獎懲制度在落實定性指標(biāo)中的有效性���,并采取抽樣�、實地檢查等方式評估定性指標(biāo)的落實效果�。
第十六條 人身保險公司可于每年12月31日前將公司在評價年度采用的服務(wù)創(chuàng)新舉措(包括方法、技術(shù)����、模式等)向服務(wù)評價委員會秘書處申報�����,由服務(wù)評價委員會對服務(wù)舉措的創(chuàng)新度和創(chuàng)新效果進行評估和公示����,公示結(jié)束后根據(jù)反饋意見進行相應(yīng)加分。
第十七條 人身保險公司應(yīng)當(dāng)對照服務(wù)評價體系的定量指標(biāo),對數(shù)據(jù)來源于公司的各項定量指標(biāo)進行統(tǒng)計����、測評和分析��。保監(jiān)會相關(guān)部門根據(jù)職責(zé)分工對數(shù)據(jù)來源于保監(jiān)會的各項定量指標(biāo)進行統(tǒng)計、測評和分析。
第十八條 定量評價原則上每年開展一次�,除特別說明外�,評價區(qū)間為每年1月1日至12月31日�����。各保險公司應(yīng)于次年3月1日前將總公司��、各省級分公司和計劃單列市分公司的評價結(jié)果提交服務(wù)評價委員會的秘書處。
第十九條 人身保險公司應(yīng)當(dāng)自行開發(fā)數(shù)據(jù)提取程序,實現(xiàn)來源于公司的指標(biāo)數(shù)據(jù)全部由系統(tǒng)自動生成,不得人為操作影響數(shù)據(jù)真實性。
第二十條 人身保險公司應(yīng)當(dāng)完整記錄和保存定量指標(biāo)測評過程中的方法�、程序和數(shù)據(jù)���,并可在事后再現(xiàn)測評過程和結(jié)果��,確保測評結(jié)果的可驗證性。
第四章 客戶滿意度測評
第二十一條 人身保險公司客戶滿意度測評工作由服務(wù)評價委員會組織�、保險公司參與��、第三方機構(gòu)實施����。
第二十二條 服務(wù)評價委員會應(yīng)組織人身保險行業(yè)客戶滿意度指數(shù)專家委員會建立人身險行業(yè)客戶滿意度指數(shù)(ICSI�����,Insurance Customer Satisfaction Index),作為衡量客戶服務(wù)質(zhì)量的關(guān)鍵指標(biāo)。服務(wù)評價委員會應(yīng)當(dāng)每年組織開展人身保險公司客戶滿意度測評工作��,鼓勵人身保險公司建立面對終端客戶的滿意度測評體系���。
第二十三條 人身保險行業(yè)客戶滿意度指數(shù)體系(ICSI)包括人身保險行業(yè)整體客戶滿意度指數(shù)�、各人身保險公司客戶滿意度指數(shù)、各地區(qū)人身保險行業(yè)客戶滿意度指數(shù)、人身保險各業(yè)務(wù)環(huán)節(jié)客戶滿意度指數(shù)����。
第二十四條 人身保險行業(yè)客戶滿意度指數(shù)模型采用結(jié)構(gòu)方程模型�����。模型由企業(yè)形象、客戶期望�、感知質(zhì)量�����、感知價值、客戶滿意度���、客戶關(guān)系管理和客戶忠誠度等7個潛變量構(gòu)成。每個潛變量由與之對應(yīng)的觀測變量決定���。所有觀測變量的基礎(chǔ)數(shù)據(jù)通過問卷調(diào)查方式獲得。
第二十五條 人身保險行業(yè)客戶滿意度指數(shù)專家委員會每年應(yīng)依據(jù)人身保險行業(yè)發(fā)展情況、社會關(guān)注的服務(wù)熱點問題及客戶滿意度指數(shù)測評的連續(xù)性要求��,建立和及時修訂滿意度指數(shù)模型��,并擬定具體的《人身保險行業(yè)客戶滿意度指數(shù)測評實施方案》���,指導(dǎo)客戶滿意度測評數(shù)據(jù)的科學(xué)采集�、參與測評公司及行業(yè)的客戶滿意度指數(shù)的測算�,每年向服務(wù)評價委員會報告人身保險公司服務(wù)質(zhì)量狀況和人身保險行業(yè)客戶滿意度指數(shù)(ICSI)。
第二十六條 《人身保險行業(yè)客戶滿意度指數(shù)測評實施方案》實行版本管理,每年度根據(jù)專家委員會的意見進行方案修訂和版本升級,具體內(nèi)容包括但不限于:調(diào)查對象��、觀測變量的選定�,
調(diào)查問卷���、抽樣方案�����、有效樣本數(shù)量的設(shè)計��,第三方調(diào)查機構(gòu)的遴選標(biāo)準(zhǔn)、調(diào)查過程及結(jié)果的管理����。
第二十七條 客戶滿意度測評數(shù)據(jù)每年采集一次����,由具備調(diào)查資質(zhì)的第三方調(diào)查機構(gòu)依據(jù)當(dāng)年頒布的《人身保險行業(yè)客戶滿意度指數(shù)測評實施方案》執(zhí)行�����。調(diào)查數(shù)據(jù)采集過程中����,第三方調(diào)查機構(gòu)必須確?����?蛻粜畔踩?。
第二十八條 負責(zé)客戶滿意度測評數(shù)據(jù)采集的第三方調(diào)查機構(gòu)由服務(wù)評價委員會招標(biāo)選定�����。服務(wù)評價委員會在選擇第三方調(diào)查機構(gòu)前制定遴選標(biāo)準(zhǔn)���、建立招投標(biāo)機制��。第三方調(diào)查機構(gòu)應(yīng)當(dāng)接受服務(wù)評價委員會對測評數(shù)據(jù)質(zhì)量的監(jiān)管,并與接受委托的人身保險公司簽署客戶信息保密協(xié)議��。
第二十九條人身保險行業(yè)客戶滿意度調(diào)查數(shù)據(jù)采集完成后���,由指數(shù)專家委員組織進行《人身保險行業(yè)年度客戶滿意度指數(shù)》課題研究并撰寫調(diào)查報告��,報告應(yīng)對各測評項目的測評結(jié)果及其相關(guān)信息進行詳細闡述�����。每年測評結(jié)束后,由指數(shù)專家委員會就客戶滿意指數(shù)的測評結(jié)果進行解釋�����。
第三十條 負責(zé)滿意度測評數(shù)據(jù)采集的第三方調(diào)查機構(gòu)應(yīng)當(dāng)按照指定格式向服務(wù)評價委員會提供所有客戶滿意度測評的原始答卷數(shù)據(jù)����、受訪者姓名和聯(lián)系方式以及調(diào)研原始錄音。
第三十一條 為有效地指導(dǎo)人身保險公司持續(xù)改進服務(wù)質(zhì)量�,所有客戶滿意度測評的原始資料��,包括問卷、原始答卷數(shù)據(jù)和調(diào)研原始錄音����,將通過服務(wù)評價委員會專設(shè)的公示站點�,向參與測評的保險公司公開�,便于保險公司及時了解自身客戶的意見。但保險公司不得查詢非本公司客戶的滿意度測評原始資料�����。
第五章 評價組織及管理
第三十二條 服務(wù)評價委員會委員由科研院校�����、人壽保險公司、健康保險公司、保監(jiān)會�、保監(jiān)局和中國保險行業(yè)協(xié)會的學(xué)者和代表組成�。其中�����,保險公司委員人數(shù)不低于50%�����。人身險行業(yè)客戶滿意度指數(shù)(ICSI)專家委員會由科研院校、保監(jiān)會和保險公司專家擔(dān)任委員。
第三十三條 服務(wù)評價委員會應(yīng)建立消費者����、人身保險公司���、監(jiān)管部門對服務(wù)評價工作意見的收集和采納機制���,審議和推進下列工作:
(一)審議服務(wù)評價定性標(biāo)準(zhǔn)��,更新和公布創(chuàng)新實踐標(biāo)準(zhǔn)的具體內(nèi)容;
(二)審議定量評價指標(biāo)、客戶滿意度評價的觀測變量、滿意度調(diào)查問卷的科學(xué)性和合理性��,組織完善評價體系;
(三)審定年度人身保險行業(yè)客戶滿意度指數(shù)測評實施方案�����,選定第三方調(diào)查機構(gòu);
(四)組織開展人身保險公司年度服務(wù)評價工作;
(五)審核認定公司服務(wù)創(chuàng)新項目����,分析公司服務(wù)質(zhì)量�����,編制并管理行業(yè)服務(wù)評價結(jié)果;
(六)總結(jié)行業(yè)服務(wù)工作經(jīng)驗����,制定行業(yè)服務(wù)改進倡議和指引���,推廣優(yōu)秀實踐�����,樹立行業(yè)標(biāo)準(zhǔn);
(七)其他人身保險服務(wù)評價重要工作�。
第三十四條 在服務(wù)評價工作中可能接觸到人身保險公司保單和客戶等數(shù)據(jù)信息的機構(gòu)和人員����,包括但不限于監(jiān)管機構(gòu)、服務(wù)評價委員會、第三方調(diào)查機構(gòu)��,以及上述機構(gòu)的工作人員或成員���,未經(jīng)授權(quán)不得將上述信息用于服務(wù)評價以外用途��,不得接觸���、復(fù)制����、保存�、傳播或向第三方提供上述信息。
第三十五條 服務(wù)評價委員會應(yīng)當(dāng)在保監(jiān)會指導(dǎo)下不斷完善服務(wù)評價模型����,根據(jù)各人身保險公司上報的指標(biāo)數(shù)據(jù),計算行業(yè)標(biāo)準(zhǔn)值��,確定各公司評價結(jié)果��,并做好服務(wù)評價結(jié)果的管理和工作����。
第三十六條 服務(wù)評價試點運行的前兩個年度�,所有評價結(jié)果僅在行業(yè)內(nèi)部。從第三個年度開始���,由服務(wù)評價委員會向社會公布各人身保險公司及其省級和計劃單列市分公司的服務(wù)評價結(jié)果。
第三十七條 人身保險公司應(yīng)當(dāng)對照服務(wù)評價結(jié)果���,查找評價指標(biāo)及客戶滿意度顯示服務(wù)質(zhì)量不高的環(huán)節(jié),深入分析原因�����、制定整改方案��,并將服務(wù)評價工作納入公司日常管理及考核�����。
第三十八條 保監(jiān)會及其派出機構(gòu)應(yīng)當(dāng)根據(jù)服務(wù)評價結(jié)果,對評價結(jié)果不高的公司加大檢查頻率和力度���,并對評價指標(biāo)及客戶滿意度顯示服務(wù)質(zhì)量不高的環(huán)節(jié)進行重點檢查。
第三十九條 參與服務(wù)評價測評的人身保險公司應(yīng)當(dāng)積極配合測評工作����,如實提供相關(guān)測評數(shù)據(jù)資料���,不得干擾測評活動,不得弄虛作假。針對測評中發(fā)現(xiàn)的服務(wù)質(zhì)量問題,監(jiān)管部門有權(quán)要求并督促人身險公司采取有效措施進行整改���,提升人身險行業(yè)整體服務(wù)質(zhì)量。
第四十條 保監(jiān)會及其派出機構(gòu)應(yīng)當(dāng)根據(jù)需要對人身保險公司報送評價結(jié)果涉及的相關(guān)資料和數(shù)據(jù)進行核實�,并選擇公司進行現(xiàn)場抽查�。
第六章 罰 則
第四十一條 人身保險公司未按規(guī)定保存評價過程中的方法��、程序和數(shù)據(jù)����,導(dǎo)致監(jiān)管機構(gòu)在檢查中無法以再現(xiàn)方式驗證公司評價數(shù)據(jù)和評價結(jié)果真實性的,由監(jiān)管機構(gòu)依據(jù)《保險法》第171條對責(zé)任機構(gòu)和人員予以處罰�。
第四十二條 人身保險公司在服務(wù)評價過程中存在虛報�、瞞報�����、漏報等行為����,導(dǎo)致服務(wù)評價結(jié)果不真實的��,由監(jiān)管機構(gòu)責(zé)令公司改正�����,并向社會公開通報。情節(jié)嚴重的���,依據(jù)《保險法》第172條對責(zé)任機構(gòu)和人員予以處罰。
第四十三條 保險監(jiān)管機構(gòu)工作人員�、服務(wù)評價委員會成員�、第三方調(diào)查機構(gòu)及其工作人員違反本辦法第34條規(guī)定的保密義務(wù)�,尚不構(gòu)成犯罪的,由相關(guān)部門依法給予行政處罰�,并承擔(dān)對相關(guān)主體的民事責(zé)任�。情節(jié)嚴重的�����,移交司法機關(guān)追究其他相應(yīng)的法律責(zé)任。
第七章 附 則
第四十四條 服務(wù)評價委員會由保監(jiān)會人身保險監(jiān)管部指導(dǎo)中國保險行業(yè)協(xié)會組織設(shè)立,并擬定章程報保監(jiān)會審定后實施�。
第7篇
一�、總體思路
認真貫徹落實縣聯(lián)社工作會議精神�,以完善制約和監(jiān)督機制,強化科技安全防范為宗旨;加快科技建設(shè),不斷普及科技應(yīng)用水平,實現(xiàn)全轄業(yè)務(wù)電子信息化���、辦公自動化、操作規(guī)范化;整合信息資源����,在金融服務(wù)創(chuàng)新方面求突破��,不斷拓展業(yè)務(wù)品種,以優(yōu)異的科技手段有力支撐我縣聯(lián)社持續(xù)的科學(xué)發(fā)展。
二����、工作目標(biāo)
1����、嚴格內(nèi)部管理�����,確保計算機全年安全運行無事故��。
2、加大系統(tǒng)運行維護力度�����,確保系統(tǒng)平衡高效運行�。
3、優(yōu)化用卡環(huán)境,做活中間業(yè)務(wù)����,提高業(yè)務(wù)競爭力。
4��、增強科技人員技術(shù)本領(lǐng)����,有效提升部門形象。
5�、強化業(yè)務(wù)技能培訓(xùn)�����,提高一線人員操作水平。
6��、強化網(wǎng)站更新����,施行OA系統(tǒng)����,提升聯(lián)社形象�。
7、加大設(shè)備保障力度�����,確?��;鶎诱I業(yè)���。
8�、補充管理制度,加強檢查輔導(dǎo),提高科技管理水平�����。
9�����、采取有力措施,切實防范計算機突發(fā)風(fēng)險��。
10�、積極探索新業(yè)務(wù),努力拓展業(yè)務(wù)品種����。
三�、主要工作措施
為實現(xiàn)以上目標(biāo)�����,我部將采取以下措施�����,精心組織、逐步開展�����。
1��、完善制度��,規(guī)范聯(lián)社科技管理流程。
為確保聯(lián)社科技信息安全穩(wěn)定運行����,我部將繼續(xù)完善和補充聯(lián)社的科技管理制度��,對聯(lián)社金融科技的發(fā)展�����、建設(shè)����、服務(wù)�、管理等工作進行全面細化、規(guī)范。準(zhǔn)備建立《電子設(shè)設(shè)管理辦法》、《科技檔案管理辦法》�、《計算機系統(tǒng)故障處理辦法》�����、《局域網(wǎng)管理辦法》、《聯(lián)社中心機房管理辦法》、《科技機構(gòu)及崗位設(shè)置辦法》等制度。進一步完善聯(lián)社內(nèi)控管理,建立有效的督促約束機制,規(guī)范電子設(shè)備、科技檔案�����、局域網(wǎng)����、中心機房的管理�,進一步明確科技人員的崗位職責(zé)���,有效防范制度管理風(fēng)險�����。
2�����、注重實效�,推動各項制度落實到位。
在制度建設(shè)時注重做好以下三個方面的工作,首先要仔細研究�,字斟句酌�,確保有法可依���、有章可循�����。其次要充份調(diào)研���,民主討論�����,確保切合實際、方便操作����。最后狠抓落實�,推動實施�����,確保得到執(zhí)行到位�����。一是組織培訓(xùn)和學(xué)習(xí),在制度出臺之后立即組織相關(guān)人員進行培訓(xùn)和學(xué)習(xí);二是組織檢查和輔導(dǎo)����,實行定期輔導(dǎo)和不定期檢查�,輔導(dǎo)時貫徹“量��、質(zhì)”方針,即輔導(dǎo)每月不少于一次���,每次不少于一天,力求足“量”�;輔導(dǎo)結(jié)果要達到讓被輔導(dǎo)對象完全理解����、熟練操作����,力求足“質(zhì)”。檢查時貫徹“全����、細�����、深、實�、糾”五字方針�,即:檢查內(nèi)容面面俱到����;檢查過程深入細致,一絲不茍�����;發(fā)現(xiàn)線索,一查到底��,堅決不搞下不為例�;對發(fā)現(xiàn)的問題,有證有據(jù)����;查處的問題及時督促改正。通過檢查輔導(dǎo)����,將制度規(guī)定及時傳達到基層業(yè)務(wù)一線����,普及科技應(yīng)用水平�,有效防范操作風(fēng)險。
3���、防患未然,強化突發(fā)事件處置預(yù)案���。
在增強抗擊計算機突發(fā)性事件能力方面,我部將做好以下五項工作����。一是硬件備份���,對縣中心與基層和省中心網(wǎng)絡(luò)實行電信��、聯(lián)通2M光纖雙備份,計劃對聯(lián)社中心機房核心的7206路由器進行備份�����,對報表系統(tǒng)�����、信貸系統(tǒng)����、中間業(yè)務(wù)系統(tǒng)的服務(wù)器進行備份�,配備若干臺備用主機和安裝好程序的硬盤�����,對聯(lián)社中心機房和各信用社實行UPS熱備份���;二是實時監(jiān)控��,首先實施內(nèi)、外網(wǎng)的物理分離,其次在所有系統(tǒng)安裝防火墻和殺毒軟件����,最后在聯(lián)社中心機房明確專人�,在業(yè)務(wù)高峰期隨時監(jiān)控主機CPU�����、內(nèi)存�、交換空間���、頁面調(diào)度��、I/O的負荷情況���,發(fā)現(xiàn)瓶頸環(huán)節(jié)及時主動處理��;三是外部溝通,與省中心、電信部門做好溝通�����,在故障自身不能解決時�����,能夠迅速得到幫助����;四是做好物防�,計劃對聯(lián)社中心機房、各信用社機房深化改造,努力達到安全合格標(biāo)準(zhǔn),堅決達到防火��、防潮��、防靜電��、防雷擊的要求;五是長期備戰(zhàn),我部所有人員將繼續(xù)執(zhí)行24小時工作制度,對全轄系統(tǒng)故障隨叫隨到,并在最短的時間內(nèi)處置完畢���。通過多種措施,能夠有郊防范突發(fā)意外風(fēng)險。
4��、盡心竭力�,精心維護保養(yǎng)硬件設(shè)備。
在終端、辦公電腦,特別是打印機����、監(jiān)控等硬件設(shè)備維護方面我部將做好以下四項工作��。一是主動維護、定期保養(yǎng)基層業(yè)務(wù)設(shè)備����,以損壞頻率較高的打印機為重點�����,按使用單位、型號����、購置日期登記臺賬,詳細掌握每臺設(shè)備動態(tài)情況����,按新舊程度進行每季不少于一次的主動上門保養(yǎng)�,延長使用壽命���,有損壞的立即調(diào)劑更換��,集中修理��,對已超過使用壽命沒有修理價值的,及時淘汰更新����,對因業(yè)務(wù)發(fā)展需要增加設(shè)備的單位��,做到上門安裝到位。二是積極協(xié)助監(jiān)察保衛(wèi)部做好監(jiān)控設(shè)備的維護工作�,對故障立即督促維保單位進行排除�����,對達不到安全保衛(wèi)要求的,立即提出切實可行的整改方案���。三是做好聯(lián)社機關(guān)辦公設(shè)備的維護工作,對機關(guān)各部門辦公設(shè)備的保障做到隨叫隨修����。四是嚴格考核�,開展設(shè)備管理競賽活動����,對能合規(guī)使用的先進單位進行獎勵,對因不按規(guī)定使用設(shè)備的人員進行經(jīng)濟處罰���,造成損壞的�����,堅決要求當(dāng)事人進行現(xiàn)金賠償���。通過優(yōu)質(zhì)維保���,堅決保證不發(fā)生因硬件損壞影響正常辦理業(yè)務(wù)的情況��。
5���、嚴謹務(wù)實�����,強化二級管理中心管理職能。
在核心業(yè)務(wù)系統(tǒng)管理和提高一線柜員操作能力方面���,我部將做好以下四項工作,一是進一步提高維護速度����,對合規(guī)的賬務(wù)修改�����、業(yè)務(wù)需求,按照流程到達我部后,保證在5分鐘之內(nèi)處理完畢���。二是進一步提高業(yè)務(wù)指導(dǎo)能力,對基層的業(yè)務(wù)咨詢做到耐心細致����,并舉一反三的進行解釋指導(dǎo),對每次的程序升級及時下發(fā)書面通知,傳達升級精神���,同時每季下發(fā)一份綜合業(yè)務(wù)系統(tǒng)運行簡報,對新業(yè)務(wù)介紹、新問題注意事項進行全縣通報�。三是進一步提高業(yè)務(wù)培訓(xùn)力度�����,計劃在每個季度舉辦一期一線柜面青年員工操作實用技能培訓(xùn)班,推行漢字五筆輸入、規(guī)范輸入指法�,實現(xiàn)數(shù)字小鍵盤和英文大鍵盤的盲打輸入���,切實提高柜面人員業(yè)務(wù)辦理速度�。四是進一步提高系統(tǒng)操作監(jiān)督力度�,從機房管理入手,直至操作號、密碼�����、授權(quán)卡使用和加班監(jiān)督���、機構(gòu)簽退管理等相互制約制度的執(zhí)行����,進行全方面的監(jiān)督,切實履行崗位職責(zé)��。
6�、推陳出新,優(yōu)化開發(fā)中間業(yè)務(wù)外掛程序�����。
在中間業(yè)務(wù)程序開發(fā)�����、維護方面我部將努力做到人無我有、人有我新�、人新我優(yōu)�。一是對財政集中支付�、國稅代扣、代收交通罰款程序進一步優(yōu)化��,不斷提高穩(wěn)定性��,同時將根據(jù)財政��、國稅、公安等客戶的需求���,對程序進一步升級改造����,不斷提高適用性���。二是進一步簡化工資程序�,簡便操作過程,方便基層操作�����。三是適時開發(fā)各類程序�,將根據(jù)業(yè)務(wù)發(fā)展需要,自主開發(fā)適應(yīng)性�����、針對性強的程序���。通過優(yōu)化開發(fā)各類程序����,為業(yè)務(wù)創(chuàng)新提供強有力的技術(shù)支持���。
7��、循序漸進���,安裝推廣自助銀行和POS機�。
在優(yōu)化用卡環(huán)境�,有效推廣圓鼎卡,有力搶占市場份額方面���,我部將做好以下六項工作,一是迅速安裝ATM���,對已購置的ATM計劃在1月底前安裝到位,使得ATM基本履蓋全部網(wǎng)點�����。二是主動協(xié)助業(yè)務(wù)拓展部��,開展駐城商鋪POS消費刷卡機的安裝�����,今年計劃在人民路、新建路繁華地段的商鋪至少安裝20臺�����。三是適時開展卡積分活動�����,準(zhǔn)備在春節(jié)期間開展圓鼎卡刷卡消費積分獎勵活動,提高圓鼎卡的使用頻率。四是大力開辦無人自動銀行,以為客戶提供晝夜存取款、賬務(wù)查詢���、轉(zhuǎn)賬、自動繳費服務(wù)的自助場所,逐步取代效益低的網(wǎng)點����。五是加大培訓(xùn)和維護力度�,對基層操作人員定期進行培訓(xùn)����,經(jīng)常督促維保單位進行日常保養(yǎng),保證ATM良好的使用狀態(tài)。六是搞好宣傳,計劃利用現(xiàn)有自助銀行的空間,進行全縣統(tǒng)一模式的廣告宣傳。通過有效推廣使用圓鼎卡��,有效增加卡業(yè)務(wù)手續(xù)費收入���。
8��、提高效率����,實現(xiàn)自動無紙化網(wǎng)絡(luò)辦公。
在提高全縣辦公水平和現(xiàn)代化辦公能力���,進一步提升聯(lián)社對外形象方面我部將做到,一是加大網(wǎng)站更新力度����,今年我部將與聯(lián)社辦公室繼續(xù)共同維護聯(lián)社網(wǎng)站�,及時刷新主頁��,開辦信合論壇����,力求辦成象信合369一樣高點擊率的網(wǎng)站���,從多方面提升聯(lián)社形象����。二是開發(fā)使用OA系統(tǒng)���,實行辦公自動化��,實現(xiàn)公文流轉(zhuǎn)��、數(shù)據(jù)采集、三戶經(jīng)濟檔案�、報表傳送��、信息通知、業(yè)務(wù)咨詢����、制度匯編����、財產(chǎn)保管、物資領(lǐng)用、任務(wù)進度、考核兌現(xiàn)��、檢查通報、人事教育、企業(yè)文化建設(shè)、黨務(wù)建設(shè)���、紀(jì)檢監(jiān)察�����、工作請示等全部網(wǎng)絡(luò)共享��。通過實現(xiàn)辦公網(wǎng)絡(luò)化,進一步促進提高整個聯(lián)社部門的辦事效率�。
9��、不甘人后,積極摸索現(xiàn)代銀行科技思路��。
隨著十七大的順利閉幕���,我國經(jīng)濟社會發(fā)展進入新的階段,金融業(yè)的重要地位和作用更加突出����。但隨著外資銀行攜帶的新金融工具�����、業(yè)務(wù)品種�����、營銷理念和新服務(wù)手段進入中國市場��,金融機構(gòu)之間的競爭日趨激烈�����,農(nóng)村信用社傳統(tǒng)的金融產(chǎn)品和服務(wù)手段����,越來越無法適應(yīng)發(fā)展的新要求。因此�����,金融創(chuàng)新勢在必行�����,只有不斷創(chuàng)新才能持續(xù)健康發(fā)展����,才能提高我聯(lián)社的競爭力。在金融創(chuàng)新中科技創(chuàng)新是保障�、是基礎(chǔ)����,所以我部將做到一是加強自身學(xué)習(xí),本著缺什么補什么����,干什么學(xué)什么���,將來需要什么�����、現(xiàn)在準(zhǔn)備什么的原則,開展學(xué)習(xí)競賽活動��,做到有計劃���、有筆記�、有體會、有進步,提高科技人員的業(yè)務(wù)本領(lǐng)�。二是探索新業(yè)務(wù)���、做好理論準(zhǔn)備�,在項目評估、公司理財、信息咨詢��、代保管�、國際業(yè)務(wù)����、貸記信用卡�����、基金代銷與托管�����、代客理財����、企業(yè)年金�����、賬戶管理��、網(wǎng)上銀行���、VIP客戶服務(wù)�����、債券代銷等方面做好科技準(zhǔn)備���。
