网络安信息安全应急预案
开篇:润墨网以专业的文秘视角,为您筛选了八篇网络安信息安全应急预案范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
网络安信息安全应急预案范文第1篇
根据关于对政府信息系统安全检查的通知要求,我局认真进行了检查梳理。现我局共有信息系统总数5个,面向社会公众提供服务的信息系统数2个,委托社会第三方进行日常运维管理的信息系统数1个,经过安
全测评(含风险评估、等级评测),5个系统数均为安全。在系统运行中,无失泄密和受到过病毒木马等恶意代码感染,本部门门户网站未受攻击和篡改(含内嵌恶意代码)。与上一年度相比信息安全工作取得的好的长足的进展,整体信息安全状况良好。
二、2011年信息安全主要工作情况
(一)信息安全组织管理。我局成立了以吕艳副局长为组长,各个科室负责人为成员的信息安全工作领导小组,全面负责信息安全工作。确定了局办公室为信息安全管理工作的具体承办机构,办公室主任为具体负责人,并指定公文收发员为我局兼职信息安全员。
(二)日常信息安全管理。在人员管理上,认真落实信息安全工作领导小组、安全管理工作的具体承办机构及信息安全员的职责,制定了较为完善的检查信息安全和保密责任制建立并认真严格地落实情况,对于重要涉密电脑和设备,严禁人员在离岗离职信息的情况打开运行。对于违反信息安全管理制度规定造成信息安全事件的认真追究相关人员责任。在资产管理上,办公软件、应用软件等安装与使用情况严格按规定办理,计算机及相关设备维修维护管理、存储设备报废销毁管理按保密相关要求执行,杜绝随意马虎。在运维管理上。信息系统运营和使用按相关权限进行管理、日常运维操作由具体负责人进行操作、定期进行安全日志备份和信息安全分析。委托了昆明众彩科贸有限公司文山分公司运行管理的我局门户网站,在与昆明众彩科贸有限公司文山分公司签订服务协议的同时,明确了相关的安全保密事项和协议。
(三)信息安全防护管理。在办公计算机和移动存储设备安全防护上。计算机采取集中安全管理措施,设置每台计算机账号口令并随时更新。计算机接入互联网实行了实名接入、对计算机
ip和mac地址进行绑定、指定固定上网ip地址,并安装病毒防护软件,定期进行漏洞扫描、病毒木马检测。杜绝在非涉密和涉密信息系统间混用了计算机和移动存储设备,禁止使用了非涉密计算机处理涉密信息等。在门户网站安全防护上,落实网站信息审批制度,实行了边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署,定期进行漏洞扫描、木马检测。
(四)信息安全应急管理。根据《云南省网络与信息安全事件应急预案》精神,制定了本部门信息安全应急预案,认真组织开展了相应的宣贯培训。按照应急预案要求明确了昆明众彩科贸有限公司文山分公司为我局的应急技术支援队伍。根据实际需要对重要数据和信息系统进行了灾难备份。
(五)信息安全教育培训。我局领导干部和科室工作人员全员参加信息安全教育培训、掌握信息安全常识和基本技能。对于信息安全管理和技术人员也定期参加信息安全专业培训
三、信息安全检查等方面开展的工作情况
我局经常、制度性地开展信息安全检查,重点是办公计算机和移动存储设备安全防护以及门户网站安全防护。经检查,无失泄密和受到过病毒木马等恶意代码感染,本部门门户网站未受攻击和篡改(含内嵌恶意代码)。我局将严格按照信息安全的相关要求的制度,在下一步的工作中,认真做好信息安全工作
网络安信息安全应急预案范文第2篇
【关键词】理论体系三个基础六个能力
一、该理论体系的保障
1、标准制度体系。通过建立信息通信调度制度体系、标准体系、指标体系,梳理信息通信调度业务流程,建立相应的规范制度,形成标准工作体系。
2、人员队伍建设。对信息通信调度工作的内容进行分析,将调度岗位分为专责、值长、主值、副值、运行方式、应急管理等,采用准军事化管理方式,实行7*24小时值班制度。建立完善信息通信调度经验知识库,编制考试大纲,组织开展培训交流、调度持证上岗资格考试与技能竞赛等。
3、技术支撑平台。依托IMS、IDS、ISS、IAS和可视化展现等系统,支撑信息调度日常运行监控和管理工作。IMS主要支撑调度运行日常监控,一单两票等日常运维工作的业务处理;IDS主要支撑调度管理的业务流程处理;ISS主要支撑信息外网安全监测工作管理;IAS主要支撑公司业务应用综合分析。采用统一化平台技术路线开发将实现桌面、信息网络、应用系统、信息设备等方面数据的实时共享,业务流程的无缝对接,先进平台技术的共享。一体化平台技术满足公司核心资源管理的集中化、精细化,为公司的调度工作的开展提供强大的技术保障力量。
二、理论建设的核心内容
调度六个能力建设是指以标准制度体系为支撑,以技术管理平台为手段,以调度队伍建设为载体,对指挥协调、资源调配、应急处置、安全管控、分析预测、全景展现六个能力实施扁平化、规范化、智能化的管理。
1、指挥协调能力。指挥协调能力是对各类信息通信资源进行统筹协调、合理安排、统一指挥的管控能力、与电力调控衔接的协调能力、对下级调度队伍的业务指导能力。具体在系统监控、科学调度、业务督导和协调沟通等方面提升指挥协调能力。
2、资源调配能力。资源调配能力是合理分配全省信息资源、使其充分发挥能效、确保信息系统在安全稳定性最高、资源利用最优、运行成本最低的方式下运行的能力。具体在基础资料管理、软硬件资源管理、资源优化配置管理和系统(设备)投退管理等方面提升资源调配能力。
3、应急处置能力。应急处置能力是信息与网络系统发生突发性事件时,及时、有序、高效处理事件的能力。具体在调度应急预案管理、反事故演习、应急演练和系统预警等方面提升应急处置能力。
4、安全管控能力。安全管控能力是对信息系统运行、设备安全、内容安全的主动防御和及时处置能力。具体在缺陷管理、信息安全联合防御、容灾管理、安全策略管理、事故调查方面提升安全管控能力。
5、分析预测能力。分析预测能力是对信息系统运行、安全、业务等情况的历史数据分析与发展趋势预测、深入挖掘数据潜在业务与逻辑关系的能力。具体在安全预警、状态检修、运行方式管理方面提升分析预测能力。
6、全景展现能力。全景展现能力是以可视化手段对公司信息系统集中、形象、全面进行描述的能力。具体在数据采集、数据处理、信息展示等方面提升全景展现能力。
三、主要做法及内涵
加强信息通信调度六个能力建设,将具体的信息通信调度管理工作转换成六个能力的建设项目,并将六个能力建设内容逐一分解,形成量化指标。
3.1指挥协调能力
利用IDS、TMS系统对信息通信系统的检修工作进行全过程管控,严格执行信息通信检修工作管理办法,建立完善信息通信检修管理、执行、业务部门三位一体的安全内控机制,规范检修发起、申请、审批、执行、审计等流程和时限要求,强化检修流程各环节安全管控,规范流程各节点的工作内容和工作标准。
建立方式管理常态化工作机制。按月编制运行方式,对运行方式进行全方位分析和总结,年底形成信息系统调度运行工作分析报告,指导下年度的信息系统运行工作,提升信息系统安全运行风险预控水平。
加强工作联系单及调度指令票督办能力。完善《工作联系单管理规定》和《调度指令票管理规定》,规范工作联系单处理流程及调度指令的下达和执行,发挥调度纵向和横向的指挥协调能力。通过短信平台建立处理进展汇报制度,结合IMS系统一单两票模块,形成运维全过程闭环管理。
建立流程化和标准化的机制,防止误操作、误调度造成业务中断,全方位提升通信系统运行水平和保障能力。充分借助信息化手段,构建统一的信息通信业务支撑平台,实现信息通信网络管理的集约化、标准化和智能化,应对网络快速发展,提高网络管控能力。不断加强管理创新,建立和完善各级信息通信调度间的纵向联动机制和横向协同机制,提升网络管理和调度指挥的及时性、方便性和高效性。
3.2资源调配能力
细化调管范围明细,强化资源管理工作。继续加强调管范围的梳理工作,组织各专业细化调管范围,明确管理责任。细化调管内容,由系统为单位细化为设备为单位,横向到边,纵向到底,责任明确,提高调管准确性,提升调管范围内的资源调配能力。
加强资源调配和统一管控能力。资源调配实行统一调度、统一管理,并与设备运维台账进行联动更新,增强调度员全局掌控能力。通过信息通信监控手段,对网络系统、业务应用系统、安管系统、灾备系统、机房环境等系统的工作情况进行全方位监管,发现任何异常情况,及时调配资源进行排查处理,并对处理全过程进行跟踪、汇报、督办。
加强信息通信月度运行分析,实时掌握信息通信网运行状态和网络资源,提升资源调配能力。加强信息通信故障、缺陷发现、处理、分析、总结、归档全过程信息化管理,以此为基础依据,完成了年度运行方式分析报告和设备统计分析评价报告的编制工作,信息通信运行管理水平持续提高。
3.3应急处置能力
规范紧急抢修故障处理流程,加强紧急抢修流程管理,实行24小时响应机制,建立严格的抢修汇报制度,对紧急抢修全过程管理,合理调配资源、快速响应、迅速处理、及时跟踪,事后组织技术力量认真分析故障原因,提出整改措施,杜绝故障重复发生,全面提升调度管控能力。
优化应急预案流程,加强统一调度应急技术力量。以预防为主,常备不懈,超前预想为导向,积极开展应急预案梳理工作,深入研究应急处置方案。在充分利用公司现有信息资源、系统和设备的基础上,采用先进适用的预测、预防、预警和应急处置技术,改进和完善应急处理装备、设施和手段,全面优化应急流程,提高应对信息系统突发事件的技术支撑能力。切实提高应急处理人员的业务素质、安全防护意识和科学指挥能力,全面提升应急处置能力。
补充完善重要通信应急物资,调整和健全应急管理规章制度和标准体系。进一步完善应急抢修预案和现场处置方案,提高预案的针对性和可操作性,做好应急物资准备,落实保障措施和抢修方案。每年开展信息通信系统反事故演习,提升应急突发事件的响应速度和处置能力。
3.4安全管控能力
强化安全检查工作。严格执行7*24小时调度值班制度,实时监控信息系统运行状况,及时发现设备隐患。严格事件管理,提高异常事件处理的响应速度和操作安全监督。完善信息系统缺陷管理制度,建立缺陷管理常态机制。深入开展设备安全隐患排查,充分利用上级检查、专家检查、网省互查和内部自查等一切机会,对设备安全进行统一检查,查死角,找隐患,落实整改方案。开展信息系统春秋检工作,规范定期安全大检查、设备关键时期特巡,确保关键时间设备安全稳定运行。
加强对病毒信息的统计分析和预测。建立病毒信息分析和预测机制,利用IMS、ISS等系统,每天记录病毒信息,每周对病毒木马信息进行统计分析。加强与信息安全实验室联动,提前掌握病毒木马预测信息,及时下载系统补丁,更新防病毒软件,进一步做好病毒信息管控工作。
加强系统账户的管控工作,实现审计管理。加强系统账户的梳理工作,对系统账户进行严格管理,实现账号分级管理。建立账户审计管理系统,主动监控账户访问操作,对运维人员的访问过程进行细颗粒授权、全过程的操作记录及控制、全方位的操作审计,实现运维过程的“事前预防、事中控制、事后审计”,提升运维安全管控能力。
3.5分析预测能力
完善调度报表,提高运行分析水平。不断完善调度日报、周报、年报及专项分析报告,细化调度运行数据分析,提升运行分析质量,通过数据统计分析反映调度运行工作的差距和优势,为调度运行工作提供经验指导。
继续加强沟通协调,提高检修计划性。按月召开月度检修计划平衡会,加强与业务部门及运维厂商的沟通,提前掌握各信息系统检修需求,提高检修计划性。
围绕信息通信专业发展实际,开展信息通信系统月度运行评价,通过加强动态调整和持续改进,确保评价的有效性、实用性和导向性,促进责权紧密结合,促进运行水平的全面提升。继续开展设备运行状态评价分析工作,定期进行安全评估,依据状态评价结果制定不同的检修策略,丰富运行手段,完善设备的效能分析机制。
加强信息通信系统安全运行风险分析和预控,有针对性地制定年度和月度检修计划。尤其要强化关键业务的脆弱性分析,重点加强网络薄弱环节的排查治理。
3.6全景展现能力
网络安信息安全应急预案范文第3篇
随着信息安全等级保护工作的不断深化,已延伸到医疗卫生行业。卫计委要求三级医院核心业务系统定级不低于第三级。本文结合医院实际,介绍了医院信息安全等级保护工作的建设,阐明了信息系统的定级、备案、整改、测评四个实施步骤,以供大家探讨。
关键词:
医院信息安全;等级保护工作;等级测评
一、引言
随着我国信息化建设的快速发展与广泛应用,信息安全的重要性愈发突出。在国家重视信息安全的大背景下,推出了信息安全等级保护制度。为统一管理规范和技术标准,公安部等四部委联合了《信息安全等级保护管理办法》(公通字[2007]43号)。随着等级保护工作的深入开展,原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号),进一步规范和指导了我国医疗卫生行业信息安全等级保护工作,并对三级甲等医院核心业务信息系统的安全等级作了要求,原则上不低于第三级。从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分,并按等级对信息安全事件响应[1]。
二、医院信息安全等级保护工作实施步骤
2.1定级与备案[2]。
根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》,有两个定级要素决定了信息系统的安全保护等级,一个是等级保护对象受到破坏时所侵害的客体,另外一个是对客体造成侵害的程度。对于三级医院,门诊量与床位相对较多,影响范围较广,一旦信息系统遭到破坏,将会给患者造成生命财产损失,对社会秩序带来重大影响。因此,从影响范围和侵害程度来看,我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。在完成定级报告编制工作后,填写备案表,并按属地化管理要求到市级公安机关办理备案手续,在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队,同时也是我市信息安全等级保护工作领导小组办公室,提交了定级报告与备案表。
2.2安全建设与整改[3]。
在完成定级备案后,就要结合医院实际,分析信息安全现状,进行合理规划与整改。
2.2.1等保差距分析与风险评估。
了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全,主要是由在信息系统中使用的网络安全产品(包括硬件和软件)及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制,以期达到安全管理要求[4]。技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类(S类)、系统服务安全类(A类)、通用安全保护类(G类)。如受条件限制,可以逐步完成三级等级保护,A类和S类有一类满足即可,但G类必须达到三级,最严格的G3S3A3控制项共计136条[5]。医院可以结合自身建设情况,选择其中一个标准进行差距分析。管理方面要求很严格,只有完成所有的154条控制项,达到管理G3的要求,才能完成三级等级保护要求。这需要我们逐条对照,发现医院安全管理中的不足与漏洞,找出与管理要求的差距。对于有条件的三甲医院,可以先进行风险评估,通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁,形成《风险评估报告》。经过与三级基本要求对照,我院还存在一定差距。比如:在物理环境安全方面,我院机房虽有灭火器,但没安装气体灭火装置。当前的安全设备产品较少,不能很好的应对网络入侵。在运维管理方面,缺乏预警机制,无法提前判断系统潜在威胁等。
2.2.2建设整改方案。
根据差距分析情况,结合医院信息系统安全实际需求和建设目标,着重于保证业务的连续性与数据隐私方面,满足于临床的实际需求,避免资金投入的浪费、起不到实际效果。整改方案制订应遵循以下原则:安全技术和安全管理相结合,技术作保障,管理是更好的落实安全措施;从安全区域边界、安全计算环境和安全通信网络进行三维防护,建立安全管理中心[6]。方案设计完成后,应组织专家或经过第三方测评机构进行评审,以保证方案的可用性。整改方案实施。实施过程中应注意技术与管理相结合,并根据实际情况适当调整安全措施,提高整体保护水平。我院整改方案是先由医院内部自查,再邀请等级测评公司进行预测评,结合医院实际最终形成的方案。网络技术人员熟悉系统现状,易于发现潜在安全威胁,所以医院要先自查,对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院,经过与医院技术人员沟通,利用安全工具进行测试,可以形成初步的整改报告,对我院安全整改具有指导意义。
2.3开展等级保护测评[7]。
下一步工作就是开展等级测评。在测评机构的选择上,首先要查看其是否具有“DICP”认证,有没有在当地公安部门进行备案,还可以到中国信息安全等级保护网站进行核实。测评周期一般为1至2月,其测评流程如下。
2.3.1测评准备阶段。
医院与测评机构共同成立项目领导小组,制定工作任务与测评计划等前期准备工作。项目启动前,为防止医院信息泄露,还需要签订保密协议。项目启动后,测评机构要进行前期调研,主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况,然后再选择相应的测评工具和文档。在测评准备阶段,主要是做好组织机构建设工作,配合等级测评公司人员的调查工作。
2.3.2测评方案编制阶段。
测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通,制定工具测试方法与测评指导书,编制测评方案。在此阶段,主要工作由等级测评机构来完成。
2.3.3现场测评阶段。
在经过实施准备后,测评机构要对上述控制项进行逐一测评,大约需要1至2周,需要信息科人员密切配合与注意。为保障医院业务正常开展,测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期,可以选择下班时间或晚上。为避免对现有业务造成影响,测评工具应在接入前进行测试,同时要做好应急预案准备,一旦影响医院业务,应立即启动应急预案[8]。在对209条控制项进行测评后应进行结果确认,并将资料归还医院。该阶段是从真实情况中了解信息系统全面具体的主要工作,也是技术人员比较辛苦的阶段。除了要密切配合测评,还不能影响医院业务开展,除非必要,不然安全测试工作必须在夜间进行。
2.3.4报告编制阶段。
通过判定测评单项,测评机构对单项测评结果进行整理,逐项分析,最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果[9]。对于公安机关来讲,医院能否通过等级测评的主要标准就是测评结果。因此,测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分,最后给出总分,以分值来判定是否通过测评。为得到理想测评结果,需要医院落实安全整改方案。
2.4安全运维。
我们必须清醒地认识到,实施安全等级保护是一项长期工作,它不仅要在信息化建设规划中考虑,还要在日常运维管理中重视,是不断循环的过程。按照等级保护制度要求,信息系统等级保护级别定为三级的三甲医院每年要自查一次,还要邀请测评机构进行测评并进行整改,监管部门每年要抽查一次。因此,医院要按照PDCA的循环工作机制,不断改进安全技术与管理上,完善安全措施,更好地保障医院信息系统持续稳定运行[10]。
三、结语
医院信息安全工作是信息化建设的一部分,是一项长期的系统工程,需要分批分期的循序改建。还要结合医院实际,考虑安全产品的实用性,不能盲目的进行投资。医院通过实施等级保护工作,可以有效增强网络与信息系统整体安全性,有力保障医院各项业务的持续开展,适应医院信息化不断发展的需求。
作者:王磊 单位:蚌埠医学院第二附属医院
参考文献
[1]公安部,国家保密局,国家密码管理局,国务院信息化办公室文件.关于信息安全等级保护工作的实施意见(公通字[2004]66号)[R],2004-9-15.
[2]GB/T22240-2008.信息安全技术信息系统安全等级保护定级指南[S],2008-06-19.
[3]GB/T25058-2010.信息安全技术信息系统安全等级保护实施指南[S],2010-09-02.
[4]GB/T22239-2008.信息安全技术信息系统安全等级保护基本要求[S],2008-06-19.
[5]魏世杰.医院信息安全等级保护三级建设思路[J].科技传播,2013,5(99):208-209.
[6]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信,2014(141):148-149.
[7]GB/T28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S],2012-06-29.
[8]姚红磊,杨文.三级系统信息安全等级保护测评指标体系研究[J].铁路计算机应用,2015,24(2):59-61.
网络安信息安全应急预案范文第4篇
位置服务联合倡议高通博通等30余家企业支持 蒋均牧
中国联通:定位芯片价格大降80%融合业务前景可观
何孝瑛:GPS/LBS发展驶入快车道业界须有忧患意识
邵立勤:我国导航定位产业09年规模800亿与欧美差距大
邵立勤:辨析LBS概念鼓励企业大力介入位置信息服务
3000多企业混战导航市场专家疾呼形成产业联盟
曹冲:卫星导航产业生命刷期至少50年
高通:谷歌免费地图搅局令位置服务商钱途堪忧
Teradata洞悉地理空间数据零售,汽车保险行业身先士卒 宝立明
中国电信的业者争逐中阶和低阶3G手机 王彦
信息动态
运营商应用商店能否取得成功? 谢剑超
固网宽带:屈居下风但未败下阵来 Michael Philpott
绿色IT低碳应用
跨越特区30年,山特品牌发展掠影 为民
山特ARRAY 3A3辽宁广电监测中心方案
伊顿渠道培训交流活动全国范围召开
基于DF协议的功率分配和伙伴选择策略研究 林飞飞,胡强,覃团发
基于SAML实现空管终端用户的单点登录系统 王洁宁,黄达,WANG Jie-ning,HUANG Da
周向励磁油气管道的饱和度分析 高松巍,裴锐,杨理践,GAO Song-wei,PEI Rui,YANG Li-jian
可视化技术在分类算法中的应用研究 刘玲,王冠
信息安全评价云模型的设计 胡婷婷,刘鲁,HU-Tingting,LIU-Lu
一种改进蚁群算法求解VRP问题 王更生,俞云新,Wang Geng-sheng,Yu Yun-xin
一种基于0WA算子的元搜索查询结果合成方法 沈志辉,袁再江,SHEN zhi-hui,YUAN Zai-Jiang
关于UPS蓄电池的计算方法 郑勇
网络安全态势评估和预测的新进展 舒南飞,牛少彰,Shu Nanfei,Niu Shaozhang
RSS技术在图书选题策划中的应用 冯蓓,马骏,Feng Bei,Ma Jun
基于1.8-2.2GHz波段内低噪声放大器的设计与仿真 向军,Xiang Jun
T/R组件中金丝键合的仿真与优化 张生春,ZHANG Sheng-chun
安全关键操作系统的功能隔离机制的研究 唐玲,Tang Ling
非独立两个IT系统风险管理的研究 尹哲,郭云飞,Yin Zhe,Guo Yun-fei
基于Mesh的战术通信网组网研究 金建伟,刘作学,JIN Jin-wei,LIU Zuo-xue
基于M/G/1模型的航班延误分析 郑宇,Zheng Yu
改进路由维护机制的动态源路由协议 步海慧,战文杰,BU Hai-hui,ZHAN Wen-jie
一种简单的多级比特流加密方法 马龙军,MA Long-Jun
第k小元素范围查询算法 任会斌,李征,Ren Hui-bin,Li Zheng
基于USBKey的网络身份认证与管理技术研究 刘海燕,蔡红柳,金龙,Liu Hai-yan,Cai Hong-liu,Jin Long
跨层协作分组标记时间同步算法 贾雅,刘荣伟,Jia Ya,Liu Rong-wei
未来移动互联网基站流量汇聚模型的研究 兰许昌,魏孙波,殷瑞祥,LAN Xu-chang,WEI Sun-bo,YIN Rui-xiang
一种有共因失效的网络系统可靠性分析方法 左雷,桂小渝,李士安,Zuo Lei,Gui Xiao-yu,Li Shian
一种基于Payword小额电子支付在出租车系统中的安全应用 张键红,王育民,Zhang Jian-hong
SVG中鼠标拖动模型的设计与实现 李昌林,任会斌,LI Chang-Lin,REN Hui-Bin
加密技术在网络安全中的应用 王玉芳,李铁俊,刘伟
计算机安全漏洞研究 朱艳玲,牛少彰,ZHU Yan-ling,NIU Shao-zhang
综述安全存储系统的技术与发展 伍宏涛,Wu Hong-tao
一种复杂树状层次结构的实现模式 李波
电影传输模式之比较研究 李左亚
计算机网络终端安全防护模型与方法 肖治庭,徐永和,任毅,Xiao Zhi-ting,Xu Yong-He,Ren Yi
基于可信度的不确定推理辅助定密 张帆,卢昱,Zhang Fan,Lu Yu
电子商务中XML数字签名技术的应用研究 曹锦纲,Cao Jin-gang
基于TPM的可信存储的双向认证的研究 王冠,薛冰,Wang Guan,Xue Bing
一种基于孤立点挖掘的网络入侵系统 白亚男,任广伟,BAI Ya-nan,REN Guang-wei
人员紧急疏散指挥仿真研究 李程强,宋大鹏,李云龙,李钢
计算机取证中的取证软件的联合应用研究 王磊,邬梓峰,Wang Lei,Wu Zifeng
一种体输入式1V低电源电压带隙基准电路 苏功勋,黄文达,冯勇建,Su Gongxun,Huang Wenda,Feng Yongjian
脱靶矢量测量系统软件的设计与实现 刘理,Liu Li
与众不同:硬盘主引导扇区的独立 王寄竹,牛少彰
电子政务建设的投入产出分析与评价 刘勇燕,Liu Yongyan
基于JBPM的公文流转系统的研究与实现 刘利坤,潘伟,Liu li-kun,Pan wei
最佳三元序列偶理论研究 陈文波,郭继山,CHEN Wen-bo,GUO Ji-shan
UHF RFID无线通信编码模块的设计与实现 郑兆娜,孙鹏,Zhao-na Zheng,Peng Sun
基于IEEE 802.11n的MANET网络移动终端的设计与实现 陈窕莉,刘志勇,Chen Tiaoli,Liu Zhiyong
基于数据挖掘的移动通信业客户细分研究 李芬,吴俊杰,张际春
BOC调制信号研究 黄静华,付海鹏,魏勋,HUANG Jing-hua,FU Hai-peng,WEI Xun
基于单片机89S51的以太网通信 王宪,白一彤,Wang Xian,Bai Yitong
基于串口通讯的雷神雷达数据解码 刘建军,Liu Jian-Jun
Zigbee技术在无线定位领域的应用 黄海
AHP层次化分析方法在网络应急预案中的应用 李浩田,牛少彰,LI Hao-tian,NIU Shao-zhang
安全评估支持系统的设计与实现 刘伟,曾庆凯,Liu Wei,Zeng Qingkai
公共安全GIS中的应急自动调度 许远,李钢,Xu Yuan,Li Gang
CSIRT运行中的PDCA循环模型研究 寿清昊,牛少彰,SHOU Qing-hao,NIU Shao-zhang
网络监控综合管理系统的设计与实现 许阳阳,刘雪玲,XU Yang-yang,LIU Xue-ling
基于特殊权限的理性秘密共享方案 董玮,徐秋亮,DONG Wei,XU Qiu-Liang
网络安信息安全应急预案范文第5篇
一、主要工作目标
(一)信息消费规模快速增长。到2017年,信息消费规模超过172亿元,其中基于互联网的新型信息消费规模达到69亿元,年均增长30%以上;带动电子信息产业主营业务收入超过50亿元;电子商务交易额超过400亿元,年均增长32%;网络零售交易额75亿元,年均增长36%。
(二)信息基础设施显著改善。到2015年,初步建成适应我市经济社会发展需要的下一代信息基础设施;到2017年,完成下一代广播电视网络(ngb)改造,固定宽带家庭普及率达到70%以上,3g/lte(4g)用户普及率达到70%以上,行政村通宽带比例达到100%。4g网络实现全市重点乡镇、高速公路、县际干道、主要景区有效覆盖,各区市县城区深度覆盖。城市家庭宽带接入能力基本达到每秒30兆比特(mbps),__主城区及有条件的区市县城区达到500兆比特(mbps)以上,农村家庭达到10兆比特(mbps)。云服务水平达到为全社会广泛提供服务的能力。网络与信息安全保障能力明显增强。智慧城市、两化融合、电子商务、三网融合建设取得长足进展。
二、加快推进信息基础设施改造升级工程
加快以宽带网络、移动通信基础设施和三网融合等为主要内容的信息基础设施建设,持续加大信息基础设施的共建共享,发挥其对扩大信息消费的重要支撑作用。
(一)宽带网络基础设施建设。制订我市“宽带中国”战略实施方案;加快宽带网络升级,推进光纤和有线电视入户。启动实施“城市宽带提速计划”、“农村宽带普及计划”、“视听乡村”、“农村校通宽带计划”、“应用创新推广计划”、“宽带体验提升计划”和“宽带产品研发计划”7大专项计划。(责任单位:市经济和信息化委、市文广新局、市财政局、市委农工委,各通信、广电运营企业)
(二)移动通信基础建设。统筹第三代移动通信(3g)、无线局域网(wlan)、lte(4g)等无线移动宽带网络协调发展,优化网络结构,提升网络质量。组织实施td—lte产业化及应用示范,推动开展基于td—lte的行业应用。(责任单位:市经济和信息化委,各通信运营企业)
(三)三网融合建设。加快通信和广电业务双向进入。推动地面数字电视覆盖网和高清交互式电视网络基础设施建设,加快广播电视模数转换进程,加快建设下一代广播电视网。积极争取实施一批三网融合示范工程。(责任单位:市文广新局、市经济和信息化委、市发展改革委、市财政局,各通信、广电运营企业)
三、增强信息产品供给能力
努力增强信息产品供给能力,提升广播影视节目水平,促进信息产业做大做强。
(一)加快电子信息产业发展。加快华蓥市、邻水县和武胜县等区市县及相关园区电子信息制造业发展,重点支持华蓥市电子产业配套基地建设。积极引进和发展云计算、物联网、软件等战略性新兴产业。(责任单位:市经济和信息化委、市财政局,各相关区市县人民政府,各园区管委会)
(二)提高信息产品应用能力。积极参与__省北斗卫星导航系统在自然灾害预警与救助、公共安全综合应用、城乡建设、智慧景区管理、林火预警应急等领域的开展应用。(责任单位:市经济和信息化委、市发展改革委、市财政局、市住房城乡规划建设局、市公安局、市国土资源局、市林业局、市旅游局等)
(三)强化广播影视产品服务能力。加快打造__红色影视文化城。大力宣传,积极邀请影
视制作单位到我市拍摄一批质量高、有影响的红色影视剧。(责任单位:市文广新局、市发展改革委、市经济和信息化委、市互联网信息办公室,协兴生态文化旅游园区管委会)
四、拓展信息消费领域
加快推进智慧城市、两化融合、教育信息化等重点工程建设,激发市场活力、改善消费环境,拓展信息消费领域,积极培育多元化信息消费市场,有效发挥信息消费拉动内需的重要作用。
(一)智慧城市建设工程。推进智慧城市健康发展;启动实施智能电网、智能交通等建设。大力推进数字化城市管理信息系统和“数字__”地理空间框架建设。加快市政公用服务信息化和市政公用设施信息化建设。创新服务模式,加快智慧旅游、智慧医疗、智慧园区、智慧社区、智慧家庭等建设。(责任单位:市住房城乡规划建设局、市发展改革委、市经济和信息化委、市科技局、市公安局、市财政局、市国土资源局、市交通运输局、市文广新局、市卫生局、市旅游局,各区市县人民政府,各园区管委会)
(二)两化深度融合专项工程。支持信息技术企业与工业企业战略合作、融合发展,实施两化深度融合数字园区、重点企业信息化示范应用等重点建设。(责任单位:市经济和信息化委,各有关园区管委会)
(三)教育信息化推进工程。大力实施教育信息化“三通两平台”建设。着力推进农村中小学宽带接入与网络条件下的教学环境建设,力争实现网络“校校通”;着力推动优质数字教育资源的普遍应用,力争实现优质资源“班班通”;着力推进网络学习空间建设,力争实现实名制学习空间“人人通”;着力教育资源公共服务平台建设,探索“企业竞争提供、政府评估准入、学校自主选择”的新机制,加大资源建设投入;着力教育管理公共服务平台建设,提升教育管理现代化水平。(责任单位:市教育局、市发展改革委、市经济和信息化委、市财政局、市互联网信息办公室)
(四)农业信息化推进工程。推动农村公共服务体系建设,在新农村示范片区,建设一批农村信息化服务平台和农业生产经营信息化示范基地,推动农村党员远程教育,推进__特色农产品网络销售。(责任单位:市委农工委、市委组织部、市发展改革委、市经济和信息化委、市农业局、市科技局、市商务局、市气象局、市文广新局)
(五)电子商务发展工程。支持电子商务与物流信息化集成创新、移动电子商务等试点示范,培育城市社区、农产品电子商务;支持面向中小微企业的电子商务业务发展,支持网络零售平台做大做强;支持和鼓励金融机构为中小网商提供小额贷款服务。(责任单位:市商务局、市发展改革委、市经济和信息化委、市财政局、市农业局、市林业局、人行__市中心支行、市国税局、市地税局、市工商局、市政府金融办、__质监局)
(六)视听文化信息消费内容和业态发展工程。搭建数字文化产品开发、运营、推广平台,促进动漫、游戏、数字音乐、网络出版、网络艺术品等数字文化内容消费,推动手机报、电子书等新媒体创新发展。加快推进广播电视视听信息内容建设及服务提升,建立广播电视视听服务平台,加快实施“视听乡村”计划,大力发展数字影院。(责任单位:市文广新局、市互联网信息办公室、市发展改革委、市经济和信息化委)
(七)公共服务信息化水平提升工程。推动各级政府部门、市政公用企事业单位、公共服务事业单位等机构开放信息资源。支持企业参与政府公共服务云平台建设和运营,鼓励政府购买相应服务。大力发展移动互联业务。加快推进全市政务信息化工程建设,积极推进电子政务建设管理规范和评估体系建设。(责任单位:市发展改革委、市经济和信息化委、市互联网信息办公室)
(八)民生领域信息服务水平提升工程。实施“信息惠民”工程,提升公共服务均等普惠水平。加快推进电视“户户通”、广播“村村响”、地面数字电视传输覆盖网、“行政村通宽带”工程建设。完善医疗卫生管理和服务信息系统。推进养老机构、社区、家政、医疗护理机构协同信息服务。建立公共就业信息服务平台。加快社会保障公共服务体系建设。提高面向残疾人的信息无障碍服务能力。大力推进金融ic卡在公共服务领域的一卡多应用。(责任单位:市级相关部门,各区市县人民政府,各园区管委会)
(九)推动信息消费延伸和增值。探索实施物联网应用示范工程项目,扩大物联网应用范围。搭建区域、行业物联网集成应用平台,推动协同发展。大力推动地理信息产业、互联网金融的发展。着力推进旅游信息化,建设一批数字化景区。(责任单位:市级相关部门,各区市县人民政府,各有关园区管委会)
五、加强信息消费环境建设
加强信息安全保障能力建设,规范信息消费市场秩序,进一步促进信息消费环境建设,为有效扩大信息消费提供有力保障。
(一)构建安全的信息消费环境。推进数字证书认证、等级保护、风险评估、安全测评规范化建设。(责任单位:市经济和信息化委、市发展改革委、市政府金融办、市财政局、市公安局、市
保密局、人行__市中心支行、__银监分局)
(二)提升信息安全保障能力。提升网络与信息安全监管能力。建立健全网络信息安全应急工作机制。建立信息安全评估制度。加强政府和信息系统安全管理,加强网络与信息安全监管。加强个人信息保护。(责任单位:市经济和信息化委、市财政局、市发展改革委、市公安局、市保密局、市互联网信息办公室、__质监局)
(三)规范信息消费市场秩序。依法加强对信息服务、网络交易行为、产品及服务质量等的监管,查处侵犯知识产权、网络欺诈等违法犯罪行为。鼓励符合条件的第三方信用服务机构开展商务信用评估,强化社会监督。(责任单位:市经济和信息化委、市财政局、市工商局、市科技局、市公安局、市发展改革委、__质监局、市文广新局、市互联网信息办公室)
六、完善支持政策措施
进一步破解体制机制障碍,制定并实施合理财税支持政策,改善企业融资环境,加强政策法规体系建设,更好促进信息产业发展和信息消费增长。
(一)加大财税政策支持力度。鼓励符合条件的企业发行企业债券用于智慧城市建设。大力培育互联网企业、电子商务企业并支持其通过高新技术企业认定,依法享受高新技术企业所得税优惠税率。落实国家有关企业研发费用税前加计扣除政策。建立电子商务发展专项资金。对符合小型微利企业条件的电子商务企业按规定予以减免企业所得税。做好推进相关企业营业税改增值税改革试点。加大现有支持小微企业税收政策落实力度,切实减轻互联网小微企业负担。(责任单位:市政府金融办、市财政局、市商务局、市科技局、市国税局、市地税局、市经济和信息化委、人行__市中心支行、__银监分局,各区市县人民政府,各园区管委会)
(二)切实改善企业融资环境。培育创新性、成长性互联网企业在创业板上市或在全国中小企业股份转让系统挂牌融资。完善信息服务业创业投资扶持政策。鼓励金融机构针对互联网企业特点创新金融产品和服务方式,开展知识产权质押融资。鼓励融资性担保机构帮助互联网小微企业增信融资。(责任单位:市政府金融办、市发展改革委、市经济和信息化委、市科技局、市委农工委、市商务局、__银监分局、人行__市中心支行)
(三)改进和完善通信服务。完善通信与广电普遍服务补偿机制,加大通信与广电普遍服务财政支持力度。鼓励民间资本参与宽带网络基础设施建设。保障企业实现平等接入,用户实现自主选择。(责任单位:市财政局、市文广新局、市经济和信息化委)
(四)加强对基础设施建设运营的支持。各级人民政府和园区管委会要做好信息基础设施用地与城市总体规[!]划、土地利用总体规划、交通建设规划、产业园区建设规划的衔接,制定信息基础设施建设专章,同步规划、同步建设、同步验收,给予必要的政策资金支持。国土资源部门要加大对通信和广电机房、基站等项目征地、供地、办证等的支持力度,提前介入,切实提高办事效率。电力部门对通信、广电运营企业的基站、机房、数据中心等用电执行一般工业电价,大型数据中心(用电变压器在315千伏安以上)用电执行大工业电价。指导老旧小区“光纤入户”建设改造工作,对新建住宅“光纤入户”的设计、施工、竣工验收等,依照相关国家和地方标准严格把关。(责任单位:各区市县人民政府,各园区管委会,市发展改革委、市经济和信息化委、市国土资源局、市住房城乡规划建设局、市财政局、__供电公司、爱众股份公司,各通信、广电运营企业)
(五)积极推进政府购买公共信息服务。对适合市场化方式提供的公共信息化服务事项,采用政府购买服务的方式开展建设和运维服务。重点包括电子政务、产业园区信息化平台和企业服务信息化平台建设,以及由公共财政资金安排、政府部门组织实施、市场主体较为成熟的公益性公共信息化服务和管理事项,优先列入政府购买服务的范围。(责任单位:市财政局、市发展改革委、市经济和信息化委、市民政局、市交通运输局、市住房城乡规划建设局、市公安局、市卫生局、市气象局等,各区市县人民政府,各园区管委会)
(六)加强政策环境和标准体系建设。制定信息安全应急预案。研究制定政府信息系统建设、运行维护、服务外包管理办法。加大知识产权保护力度。加强信息化教育培训工作和科普知识宣传。各地、各有关部门按照国家相关要求,制订相应的政策措施。(责任单位:市经济和信息化委、市发展改革委、__质监局、市政府法制办等,各区市县人民政府,各园区管委会)
网络安信息安全应急预案范文第6篇
关键词 商业银行 信息服务体系 信息科技
中图分类号:F832.2
文献标识码:A
以会计电算化为基础的信息化水平随着信息化技术的不断发展而日益提高,从而改变了商业银行会计核算的服务方式和服务质量。这种改变创造了良好的社会效益和经济效益,包括信息化对于商业银行金融创新、经营模式、交易方式、经营形式和管理体制等带来的巨大的改变。在使用会计电算化后,信息科技系统替代了银行会计业务的运转,人工操作变成了信息处理的上机操作,与此同时信息科技系统对于商业银行的经营管理和决策产生了非常重大的作用。这时银行的操作风险、法律风险、战略风险和声誉等新的风险形态尤其要注意。
一、商业银行信息服务体系的现状和趋势
正逐步向集约化管理和决策支持的高级阶段发展的商业银行从建立模仿手工作业的单项会计业务应用系统开始经历了多项业务应用集成处理阶段。会计电算化可以分为三个发展阶段。初级阶段是计算机处理开始代替手工操作生成电子数据的从20世纪80年代到90年代初;第二阶段是全国范围内计算机联网、业务管理、互联互通、大小额实现计算机处理的90年代中后期到现在的数据集中阶段;第三阶段是从现在开始的数据应用阶段。这个阶段是银行运用互联网的技术与环境进行金融创新,完成业务的集中处理,开拓网络金融服务的时代。目前正处于数据集中部分完成、数据应用刚刚开始的阶段的商业银行正处于关键的时刻,对于未来的竞争起着重大的作用。
目前商业银行的信息服务的趋势是实现金融的信息服务化。通过完备的信息系统,给银行的业务重组、金融产品创新和金融管理模式的变革带来深层次的变革个才是真正金融信息服务化。要实现银行从提供单一业务转变为面向客户综合服务以及银行业形成产品化和服务化,商业银行需要具备既精通银行业务又精通信息技术的专家统筹信息化建设。
二、商业银行在信息服务体系建设中存在的风险及问题
(一)信息科技治理方面。
确保信息科技战略和目标与业务的策略一致是信息科技的目标。只有实现了这个目标才能够使得信息科技更好地为商业银行提供服务和支持,使得信息科技资源得到最恰当的应用。其中的风险以及问题如下:
第一,可能导致的法律风险、战略风险以及信誉风险:错误的信息资源的分配以及对法律法规的违背;信息系统无法满足业务的需求;信息科技战略无法与业务的发展需求相一致;缺乏完善的管理信息系统导致的低效率管理决策;较差的信息系统支持导致的市场竞争力低下。
第二,可能导致的问题:由低效率的信息科技资源配置所导致的项目延误;员工素质和技能达不到信息科技专业要求的水平;独立的科技风险管理部门的缺乏;企业内部“风险文化”认知的缺乏;会计专业和信息科技人员等对技术风险存在很差的意识;信息科技人员存在着职责的冲突;高级管理层未参加到信息科技督导委员会;信息科技项目发展与业务战略不一致;信息科技内控制度和措施缺乏定期检查和更新。
(二)安全管理方面。
确保关键信息系统和数据得到充分保护,使得非授权的进入和意外的中断能够得到避免是安全管理的目标。其中的风险和问题如下:
第一,可能导致的法律、操作和信誉风险:保密信息泄露;损失金融机构的重要资料;电脑病毒,蠕虫程序的爆发;不遵守监管规定;工作时间业务停运和数据损失;未经授权的金融交易。
第二,可能存在的问题:不恰当的个人存取权限设置;特权用户和紧急用户代码的使用;敏感信息存储未加密;客户敏感性信息由于较差的移动设备管理而泄露;定期安全监测的缺乏;末及时进行补丁升级导致电脑病毒感染爆发。
(三)系统开发和变更管理方面。
确保开发及维持高质量的信息科技系统.并充分配合及满足业务需求是系统开发和变更管理的目标。其中存在的风险和问题如下:
第一,可能导致的操作风险、战略风险、信誉和法律风险:长时问的系统停运;泄露了保密信息;达不到银监会的管理要求;数据不完整;推出科技信息系统的时间受到延误;低质量的信息系统不能实现业务发展要求;系统未经授权而导致风险增加。
第二,可能存在的问题:测试环节直接使用业务数据;对系统变更和相关批准程序没有审计跟踪和记录;正式项目质量确认和生命周期规程评估程序的缺乏所导致的项目延误;缺乏全面测试和不协调的系统变更所导致的会计电算化综合业务系统停运。
(四)信息处理方面。
确保信息科技服务和信息处理的连续性是信息处理方面的目标。只有实现了这个目标,才能更好地保证会计电算化综合业务系统主要业务服务不发生中断。其中存在的风险和问题如下:
第一,可能导致的法律、操作风险和信誉风险:系统无法满足业务增长的需要;关键设备以及信息因非授权收取而影响;保密信息被泄露;系统长时闻停运。
第二,可能存在的问题:缺乏对重要的环境控制的定期维护;缺乏对敏感的操作环节进行控制;系统中心机的物理安全和环境控制措施不足;容量无法达到业务增长的要求。
(五)通讯网络管理方面。
确保网络连接和服务的连续性是通讯网络管理的目标。其中存在的风险和问题如下:
第一,可能导致的法律、操作风险和信誉风险:如“阻绝服务攻击”等的网络停运;保密信息因外部网络而泄露;网络连接未经过授权;网络瘫痪导致长时间业务停运;未遵守银监会的监管要求。
第二,可能存在的问题:网络抗冲击性脆弱;缺乏对关键的组件的监测;缺乏对内部网络的远程的安全控制措施;对需要在外部通讯网络上传输的数据未进行加密。
(六)技术服务提供商管理方面。
确保外包的信息科技服务能够获得有效和持续的管理是技术服务提供商管理的目标。其中存在的风险和问题如下:
第一,可能导致的法律、操作风险和信誉风险:将核心程序设计外包或者直接采用专业公司套装软件,过度依赖外部服务供应商;缺乏对需求要求改变时的修改和维护能力;外包设计人员管理留下风险隐患和外包软件本身设计缺陷;系统因低质量的服务而中断。
第二,可能存在的问题:外包管理不充分;数据隔离和区别不充分;服务水平协议不充分;缺乏对服务供应商经常性的服务状态评估;对外包的营运职能缺乏有效的应急方案和解除服务方案。
三、完善商业银行信息服务体系建设的措施
(一)抓好信息服务体系建设的风险管理工作。
首先,要明确责任。科技安全第一责任人的风险意识要加强,董事和监事会以及高级管理层都必须要对信息科技的风险负责,全系统由上到下的信息科技风险体系都应该是他们的责任。董事必须对于信息科技风险的战略规划、工作任务以及工作目标进行层层负责,评价分析审计结果,督促和落实整改方案。监事会必须对全过程的合理性、科学性以及充分有消息进行审计和评价,并调查董事会以及专职委员会以及高管人员的履职情况,以此同时质疑内部审计和外部审计工作。高层管理人员必须认真听取内部审计和外部审计的工作汇报,亲自抓好具体的组织实施工作,并且对于工作进行差距分析和敏感性分析,然后将工作方案进行及时调整,充分向董事会和监事会反馈和沟通对工作计划和工作任务的建议和意见。
(二)设立信息科技督导委员会。
信息科技督导委员会的任务是:对长期和短期信息科技战略规划进行制定和不断更新;提供日常的运行技术和科技服务支持,这个由信息科技督导委员会统一负责银行信息系统规划、研发、建设、运行、维护和监控来实现;建立实施恰当职责分离的信息科技组架构,制定清晰的岗位职责;提供充分的培训给信息科技从业人员;协助会计业务部门以及信息科技部门严格执行建立的有效的会计信息安全保障体系和内部控制规程;明确专门和独立的科技风险管理部门的岗位责任制度,并进行监督落实;对信息科技稽核审计部门配备适量地合格人员以及建立健全的会计信息系统风险审核制度方便风险审核。
(三)制定系统开发和变更项目管理体系和规则。
对开发项目生命周期的管理规则进行制定以及独立确认评价其中的主要技术相关项目。同时,隔离开发测试环境和实际使用环境,将用于测试的业务敏感数据进行删除,有充分的风险控制措施应对紧急变更,变更管理规程要有适当的措施。
(四)与客户资金、会计等业务部门签订服务水平协议。
制定正式的信息科技操作规程。制定充分地容量规划以适应本行的业务发展需要;持续性预防和矫正信息科技设施和装备;建立充分地咨询服务台和操作支持,及时检测和报告异常操作和事件。
(五)加强网络系统安全管理,强化网络性能监测。
隔离会计电算化综合业务信息系统与外部网络和办公管理网络;对控制互联网以及无线网的接入边界;有效降低信息泄露以及外部攻击,这可以通过进行身份认证、内容过滤、防火墙、病毒防范、数据加密等技术手段实现;网络分析工具的使用要进行严格控制;对无线内部网络制定安全控制措施;网络设施有充分地抗冲击性;定期评估网络设施的安全设置;审计跟踪以及记录监察关键网络设施中的日常活动;
(六)有效管理信息的采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节。
严格按照授权优化系统和数据库的安全设置和使用;对于信息的采集加工、传输以及存取不脱离会计综合业务。
(七)该消除“信息资源孤岛”,实现应用层面的互联互通。
要打破林立和由于数据内容缺乏应用形成的数据和资源的单独应用的情形。通过应用智能搜索引擎、建立目录索引指南、逐步搭建利用网格平台等多种方式收集信息,开发网络资源,共享数据资源。
(八)改进信息流管理方式,主动适应经营模式的变化。
为了使管理会计以及账务核算的信息采集和系统设计内核全面转向以用户、客户为中心,必须要适应矩阵式管理架构和组织扁平化的发展。根据中后台集约以及前后台分离的新
运营模式,管控数据,非线性的信息流转得以实现,加速信息的共享和兼容。
(九)加强信息服务创新,统筹把握信息价值。
信息服务必须坚持用创新来从容应变。要注重积累、提炼和运用文本信息中的关键要素,懂得借鉴国内外的先进经验,量化分析预测分类分层业务,重点支持差别化的挖掘服务,真正结合电脑和人脑,真正做到满足用户的需求,努力使数据、信息、知识和实践融为一体。
(十)加大信息科技资金投入。
加大对信息科技的资金投入是银行信息化系统服务建设的物质基础和基本条件。只有投入了充足的资金,才能够更好地建立起手段过硬、技术先进、保障有力的信息科技风险防范体系。银行需要结合银行存在的声誉、法律以及操作、战略风险,以实现前瞻性防范为目标,通过关注信息服务体系风险的新动向,加强技术风险的防范工作。
(十一)加强对资源系统研发、运行、维护过程中形成的各类技术文档资料和系统环境说明文件、以及重要数据的备份管理。
加强对应急处理机制以及信息通报机制的完善和安全监控的实行,演练、评审和修订应急预案;保留并异地存放副本,按照规定的年限保存,经过严格授权再调用;异地保存省域以下的数据,异地备份全国性的数据;通过提升信息服务系统的预警、应急处置和恢复能力,保证信息服务系统的稳定运行;通过对信息安全应急恢复系统的完善,保证系统的安全稳定运行。
(作者单位:中国社科院金融所,兴业银行信息中心)
参考文献:
[1]王小燕,田小丹,周建民.构建流程银行加速我国商业银行管理信息化建设.江苏商论,2008.2.
[2]张戚虎等.金融信息化建设与金融信息化教育.中国金融.2006.
[3] 尤川川.我国商业银行金融信息化脱状与展望.统计与决策.2006(17).
[4]郝向荣,李爱军.中国银行业金融信息化过程中的风险及其防范.价值工程2007年第10期.
网络安信息安全应急预案范文第7篇
问:出台《办法》的总体背景与考虑是什么?
答:近年来,支付机构大力发展网络支付服务,促进了电子商务和互联网金融的快速发展,对支持服务业转型升级、推动普惠金融纵深发展发挥了积极作用。2015年前三季度,支付机构累计处理网络支付业务562.50亿笔,金额32.97万亿元,同比分别增长128.95%和98.80%。
同时,支付机构的网络支付业务也面临不少问题和风险,必须加以重视和规范:一是客户身份识别机制不够完善,为欺诈、套现、洗钱等风险提供了可乘之机;二是以支付账户为基础的跨市场业务快速发展,沉淀了大量客户资金,加大了资金流动性管理压力和跨市场交易风险;三是风险意识相对较弱,在客户资金安全和信息安全保障机制等方面存在欠缺;四是客户权益保护亟待加强,存在夸大宣传、虚假承诺、消费者维权难等问题。
人民银行长期关注互联网金融的发展问题。为规范网络支付业务,防范支付风险,保护客户合法权益,同时促进支付服务创新和支付市场健康发展,进一步发挥网络支付对互联网金融的基础作用,人民银行从2010年开始启动网络支付发展与规范相关研究工作。今年以来,遵循“鼓励创新、防范风险、趋利避害、健康发展”的总体要求,组织市场机构、行业协会、专家学者开展多轮研讨、座谈及公开向社会征求意见,反复修改完善,最终完成了《办法》的制定工作。
问:《办法》的监管思路与主要监管措施是什么?
答:按照统筹科学把握鼓励创新、方便群众和金融安全的原则,结合支付机构网络支付业务发展实际,人民银行确立了坚持支付账户实名制、平衡支付业务安全与效率、保护消费者权益和推动支付创新的监管思路。主要措施包括:
一是清晰界定支付机构定位。坚持小额便民、服务于电子商务的原则,有效隔离跨市场风险,维护市场公平竞争秩序及金融稳定。
二是坚持支付账户实名制。账户实名制是支付交易顺利完成的保障,也是反洗钱、反恐融资和遏制违法犯罪活动的基础。针对网络支付非面对面开户的特征,强化支付机构通过外部多渠道交叉验证识别客户身份信息的监管要求。
三是兼顾支付安全与效率。本着小额支付偏重便捷、大额支付偏重安全的管理思路,采用正向激励机制,根据交易验证安全程度的不同,对使用支付账户余额付款的交易限额作出了相应安排,引导支付机构采用安全验证手段来保障客户资金安全。
四是突出对个人消费者合法权益的保护。基于我国网络支付业务发展的实际和金融消费的现状,《办法》引导支付机构建立完善的风险控制机制,健全客户损失赔付、差错争议处理等客户权益保障机制,有效降低网络支付业务风险,保护消费者的合法权益。
五是实施分类监管推动创新。建立支付机构分类监管工作机制,对支付机构及其相关业务实施差别化管理,引导和推动支付机构在符合基本条件和实质合规的前提下开展技术创新、流程创新和服务创新,在有效提升监管措施弹性和灵活性的同时,激发支付机构活跃支付服务市场的动力。
问:支付账户与银行账户有何不同?
答:支付账户最初是支付机构为方便客户网上支付和解决电子商务交易中买卖双方信任度不高而为其开立的,与银行账户有明显不同。一是提供账户服务的主体不同,支付账户由支付机构为客户开立,主要用于电子商务交易的收付款结算。银行账户由银行业金融机构为客户开立,账户资金除了用于支付结算外,还具有保值、增值等目的。
二是账户资金余额的性质和保障机制不同。支付账户余额的本质是预付价值,类似于预付费卡中的余额,该余额资金虽然所有权归属于客户,却未以客户本人名义存放在银行,而是支付机构以其自身名义存放在银行,并实际由支付机构支配与控制。同时,该余额仅代表支付机构的企业信用,法律保障机制上远低于《人民银行法》、《商业银行法》保障下的央行货币与商业银行货币,也不受存款保险条例保护。一旦支付机构出现经营风险或信用风险,将可能导致支付账户余额无法使用,不能回提为银行存款,使客户遭受财产损失。
因此,《办法》规定,支付机构应当在客户清晰理解支付账户余额性质和相关风险的前提下,由客户本着“自愿开立、自担风险”的原则申请开立支付账户。
问:《办法》禁止支付机构为金融机构和从事金融业务的其他机构开立支付账户的主要考虑是什么?会不会制约互联网金融发展?
答:鉴于金融机构和从事网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等机构本身存在金融业务经营风险,同时支付机构的资本实力、内控制度和风险管理体系普遍还不够完善,抵御外部风险冲击的能力较弱,为保障有关各方合法权益,有效隔离跨市场风险,切实守住不发生系统性和区域性风险的底线,《办法》规定支付机构不得为金融机构和从事金融业务的其他机构开立支付账户。
《办法》上述规定并不影响支付机构为金融从业机构提供网络支付服务,还将进一步支持互联网金融的健康发展:
一是我国国家支付清算体系已经为金融从业机构提供了高效、安全的支付清算及结算安排,并且符合国际支付清算监管惯例和准则,能够支持互联网金融的发展需要。
二是支付机构尽管不能为金融从业机构开立支付账户,但仍可基于银行账户为其提供网络支付服务,以有效支持互联网金融的创新需要。
三是人民银行鼓励支付机构按照《指导意见》有关原则,与银行深化合作,实现优势互补,建立良好的网络支付生态环境与产业链,进一步提升业务创新,增强服务实体经济和风险抵御能力,共同推动互联网金融业态多元、持续、健康发展。
问:《办法》如何对个人支付账户进行分类?
答:支付账户分类,兼顾支付的安全和效率,能够满足不同客户的多样化需要,体现了尊重客户的选择权。
《办法》将个人支付账户分为三类(详见附表)。其中,I类账户只需要一个外部渠道验证客户身份信息(例如联网核查居民身份证信息),账户余额可以用于消费和转账,主要适用于客户小额、临时支付,身份验证简单快捷。为兼顾便捷性和安全性,I类账户的交易限额相对较低,但支付机构可以通过强化客户身份验证,将I类账户升级为Ⅱ类或Ⅲ类账户,提高交易限额。
Ⅱ类和Ⅲ类账户的客户实名验证强度相对较高,能够在一定程度上防范假名、匿名支付账户问题,防止不法分子冒用他人身份开立支付账户并实施犯罪行为,因此具有较高的交易限额。鉴于投资理财业务的风险等级较高,《办法》规定,仅实名验证强度最高的Ⅲ类账户可以使用余额购买投资理财等金融类产品,以保障客户资金安全。
上述分类方式及付款功能、交易限额管理措施仅针对支付账户,客户使用银行账户付款(例如银行网关支付、银行卡快捷支付等)不受上述功能和限额的约束。
向:为何要强调支付账户实名制?
答:《办法》强调支付账户实名制度。《办法》要求支付机构遵循“了解你的客户”原则,建立健全客户身份识别机制,并在与客户业务关系存续期间,采取持续的客户身份识别措施,确保有效核实客户身份及其真实意愿,主要考虑如下:
一是支付账户体现着消费者资金权益,只有实行实名制,才能更好地保护账户所有人的资金安全,才能从法律制度上保护消费者财产权利和明确债权债务关系。
二是账户实名制是经济金融活动和管理的基础,账户是资金出入的起点与终点,只有落实支付账户实名制,才能维护正常的经济金融秩序,从而切实落实反洗钱、反恐怖融资要求,防范和遏制违法犯罪活动。
三是坚持账户宴名制有利于支付机构在了解自己客户的基础上,有针对性地改善服务质量,更好地服务于客户,为提升和改善经营管理水平奠定基础。
问:支付账户的实名验证要求会不会影响便捷性?
答:《办法》要求支付机构在开立Ⅱ类、Ⅲ类支付账户时,分别通过至少三个、五个外部渠道验证客户身份信息,是为了保障客户合法权益,防范不法分子开立匿名或假名账户从事欺诈、套现、洗钱、恐怖融资等非法活动,是对支付机构提出的监管要求,支付机构负有“了解你的客户”的义务。
目前,公安、社保、民政、住建、交通、工商、教育、财税等政府部门,以及商业银行、保险公司、证券公司、征信机构、移动运营商、铁路公司、航空公司、电力公司、自来水公司、燃气公司等单位,都运营着能够验证客户身份基本信息的数据库或系统。支付机构可以根据本机构客户的群体特征和实际情况,选择与其中部分单位开展合作,实现多个渠道交叉验证客户身份信息。
在身份验证过程中,客户只需要按照支付机构的要求在网上填写并上传相关信息即可,并不需要本人去相关部门证明“我是我”,而是由支付机构负责与外部数据库或系统进行连接并验证客户身份信息的真实性。支付机构应采用必要技术手段确保客户操作流程简便、体验便捷,这对支付机构的服务能力和服务水平提出了一定要求。
此外,《办法》还规定,综合评级较高且实名制落实较好的支付机构在开立Ⅱ类、Ⅲ类支付账户时,既可以按照三个、五个外部渠道的方式进行客户身份核实,也可以运用各种安全、合法的技术手段,更加灵活地制定其他有效的身份核实方法,经人民银行评估认可后予以采用。这既鼓励创新,也兼顾了安全与便捷。
问:支付账户交易限额的规定会不会影响便捷性?
答:遵循网络支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨,为最大限度地满足客户的实际支付需求,兼顾支付便捷性,人民银行对支付机构开展了全面调研。经统计分析,并结合未来一定时期内的发展需要,Ⅱ类、Ⅲ类个人支付账户年累计10万元、20万元的限额能够满足绝大部分客户使用支付账户“余额”进行付款的需求。对极少数消费者,或者消费者偶发的大额支付,可以通过支付账户余额支付、银行卡快捷支付、银行网关支付等方式组合完成,因此并不会对消费者支付产生实质影响。考虑到I类个人支付账户在开立过程中对客户身份验证的强度较弱,出现假名、匿名账户的风险较高,《办法》对I类账户的“余额”付款交易规定了较低的限额。
同时,为引导支付机构提高交易验证方式的安全性,加强客户资金安全保护,《办法》规定,对于交易验证安全级别较高的支付账户“余额”付款交易,支付机构可以与客户自主约定单日累计限额;但对于安全级别不足的支付账户“余额”付款交易,《办法》规定了单日累计限额。《办法》规定的单日累计1000元、5000元的限额能够有效满足绝大部分客户使用支付账户“余额”进行付款的需求。此外,《办法》规定,综合评级较高且实名制落实较好的支付机构单日支付限额最高可提升到现有额度的2倍,以进一步满足客户需求。
需要强调的是,10万元、20万元的年累计限额,以及1000元、5000元的单日累计限额,都仅针对个人支付账户“余额”付款交易。客户通过支付机构进行银行网关支付、银行卡快捷支付,年累计限额、单日累计限额根据相关规定由支付机构、银行和客户自主约定,不受上述限额约束。
问:《办法》对支付账户的转账业务有何规定?
答:《办法》没有对支付机构办理银行账户与银行账户之间的转账业务进行额外限制,而是由支付机构、银行和客户以市场化原则自主协商开展此类业务,并自主约定交易限额等管理措施。
为加强支付账户转账业务的风险管理,《办法》对支付账户与银行账户之间的转账业务提出了具体要求:
一是原则上,支付账户余额仅可回提至客户本人银行卡。
二是综合评级较高且实名制落实较好的支付机构可以扩充支付账户转账功能,支付账户余额可以回提至他人银行卡,他人银行卡也可向支付账户充值。
三是支付机构应按照客户意愿足额办理Ⅱ类或Ⅲ类支付账户余额回提至客户本人银行卡的业务,协助客户及时将支付账户余额回提为银行存款。
问:《办法》对快捷支付业务有何规定?
答:快捷支付是支付机构和银行通过协议与客户约定,由支付机构代其向银行发送支付指令,直接扣划客户绑定的银行账户资金的支付方式。快捷支付以其开通简单、交易验证便捷的特点深受客户欢迎,已成为我国电子商务交易的主要支付方式之一。但是,实践中,由于该业务涉及客户、支付机构及银行三方,权责关系相对复杂,一旦发生风险损失,客户维权困难。为此,《办法》明确了支付机构和商业银行合作为客户提供快捷支付业务时,应当事先或在首笔交易时分别与客户建立清晰、完整的业务授权,同时明确约定扣款适用范围、交易验证方式、交易限额及风险赔付责任。《办法》同时强调,银行是客户资金安全的管理责任主体,在后续交易时无论是由银行进行交易验证还是支付机构代为进行交易验证,银行均承担快捷支付资金损失的先行赔付责任。
向:支付机构分类监管的思路是怎样的?
答:目前,国内支付机构众多,各机构在合规意识、风控能力、业务规模、服务水平等方面存在明显差异。为提升监管资源配置的科学性和监管效率,在加强风险防范的同时进一步支持支付机构开展业务创新,促进支付市场持续健康发展,人民银行按照“依法监管、适度监管、分类监管、协同监管、创新监管”原则,建立支付机构分类监管工作机制。
首先,立足国内支付市场发展安际情况,根据支付机构的财务状况、经营能力、风险管控,特别是客户各付金管理等因素,确立分类监管指标体系,并持续组织开展支付机构分类监管工作。
其次,根据支付机构分类评级情况,在业务监管标准、创新扶持力度、监管资源分配等方面,对支付机构实施差别化管理,以扶优限劣的激励和制约措施充分发挥分类监管对支付机构经营管理的正面引导和推动作用。对于综合评级较高的支付机构,制定弹性和灵活性较高的监管措施,为其业务和技术创新发展预留充足空间;对于综合评级较低的支付机构,人民银行将集中监管资源依法重点监管,以加强风险防范、保障客户权益,维护市场稳定。
问:《办法》中明确了哪些分类监管措施?
答:对于综合评级较高且实名制落实较好的支付机构,《办法》在客户身份验证方式、个人卖家管理方式、支付账户转账功能、支付账户单日交易限额、银行卡快捷支付验证方式等方面,提升了监管弹性和灵活性:
一是支付机构在开立Ⅱ类、Ⅲ类支付账户时,既可以按照“三个”、“五个”外部渠道的方式进行客户身份核实,也可以运用各种安全、合法的技术手段灵活制定其他有效的身份核实方法,经评估认可后予以采用。
二是对于从事电子商务经营活动、不具备工商登记注册条件的个人卖家,支付机构可以参照单位客户进行管理,以更好满足个人卖家的支付需求,进―步支持电子商务发展。
三是支付机构可以扩充支付账户转账交易功能,可以同时办理支付账户与同名银行账户之间、支付账户与非同名银行账户之间的转账交易。
四是支付机构可以根据客户实际需要,适度提高支付账户余额付款的单日交易限额。
五是在银行卡快捷支付交易中,支付机构可以与银行自主约定由支付机构代替进行交易验证的具体情形。
同时,《办法》对综合评级较低、实名制落实较差、对零售支付体系或社会公众非现金支付信心产生重大影响的支付机构,增加了信息披露等义务,同时人民银行将依法对其重点加强监管。
问:《办法》提出了哪些风险管理措施?
答:网络支付业务因依托公共网络作为信息传输通道,不可避免地面临网络病毒、信息窃取、信息篡改、网络钓鱼、网络异常中断等各种安全隐患,也面临欺诈、套现、洗钱等业务风险。为加强风险防范,切实保障客户合法权益,《办法》从风险管理角度对支付机构提出了明确要求:
一是综合客户类型、客户身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度和机制,并动态调整客户风险评级及相关风险控制措施。
二是建立交易风险管理制度和交易监测系统,对疑似风险和非法交易及时采取调查核实、延迟结算、终止服务等必要控制措施。
三是向客户充分提示网络支付业务潜在风险,及时揭示不法分子新型作案手段,对客户进行必要的安全教育,在高风险业务操作前、操作中向客户进行风险警示。
四是以“最小化”原则采集、使用、存储和传输客户信息,采取有效措施防范信息泄露风险。
五是提高交易验证方式的安全级别,所采用的数字证书、电子签名、一次性密码、生理特征等验证要素应符合相关法律法规和技术安全要求。
六是网络支付相关系统设施和技术,应当持续符合国家、金融行业标准和相关信息安全管理要求。
七是确保网络支付业务系统及其备份系统的安全和规范,制定突发事件应急预案,保障系统安全性和业务连续性。
问:《办法》提出了哪些客户权益保护措施?
答:鉴于客户在网络支付业务中可能面临资金被盗、信息泄露等风险隐患,在维权过程中往往处于相对弱势的地位,为保障客户合法权益,《办法》结合支付机构目前在客户权益保护方面存在的不足,明确了相关监管要求:
一是知情权方面。要求支付机构以显著方式提示客户注意服务协议中与其有重大利害关系的事项,采取有效方式确认客户充分知晓并清晰理解相关权利、义务和责任;并要求支付机构增加信息透明度,定期公开披露风险事件、客户投诉等信息,加强客户和舆论监督。
二是选择权方面。要求支付机构充分尊重客户真实意愿,由客户自主选择提供网络支付服务的机构、资金收付方式等,不得以诱导、强迫等方式侵害客户自主选择权;支付机构变更协议条款、提高服务收费标准或者新设收费项目,应以客户知悉且自愿接受相关调整为前提。