前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的征信信息安全管理主題范文,僅供參考,歡迎閱讀并收藏。
沒有安全,何以生存,遑論發(fā)展;而信息時代安全的核心內(nèi)容之一,便是信息安全。蓋緣于此,世界上主要發(fā)達國家始終十分重視信息安全工作。
1998年5月22日,美國克林頓政府頒布了《保護美國關(guān)鍵基礎設施》總統(tǒng)令(PDD63),圍繞“信息安全”成立了包括全國信息安全委員會、全國信息安全同盟、關(guān)鍵基礎設施保障辦公室、首席信息官委員會等10余各全國性機構(gòu)。同年,美國國家安全局(NSA)制定了《信息安全保障框架》(IATF),提出了深度防御策略。2000年發(fā)表了《總統(tǒng)國家安全戰(zhàn)略報告》,首次將信息安全明確列入其中。布什政府在911之后成立了國土安全部、國家KIP委員會,并于2002年和2003年陸續(xù)頒布了《國家保障數(shù)字空間安全策略》、《國家安全戰(zhàn)略報告》和《網(wǎng)絡空間安全國家戰(zhàn)略計劃》。奧巴馬總統(tǒng)上臺不久,就親自主導了為期60天的信息安全評估項目,并于2009年5月公布了《美國網(wǎng)絡安全評估》報告,評估了美國政府在網(wǎng)絡空間的安全戰(zhàn)略、策略和標準,指出了存在的問題,并提出相應的行動計劃。在此基礎上,美國政府成立了網(wǎng)絡安全辦公室,任命了網(wǎng)絡安全協(xié)調(diào)官。2010年6月,美國國防部正式成立了由戰(zhàn)略司令部領導的網(wǎng)絡戰(zhàn)司令部,于2010年10月正式運行。2015年年底,美國《網(wǎng)絡安全法》獲得正式通過,成為美國當前規(guī)制網(wǎng)絡安全信息共享的一部較為完備的法律,首次明確了網(wǎng)絡安全信息共享的范圍,并通過修訂2002年《國土安全法》的相關(guān)內(nèi)容,規(guī)范國家網(wǎng)絡安全增強、聯(lián)邦網(wǎng)絡安全人事評估及其他網(wǎng)絡事項。
俄羅斯則早在1995年便頒布了《聯(lián)邦信息、信息化和信息保護法》,明確界定了信息資源開放和保密的范疇,提出了保護信息的法律責任。1997年俄羅斯出臺的《俄羅斯國家安全構(gòu)想》中明確提出,“保障國家安全應把保障國家經(jīng)濟安全放在第一位”,而“信息安全又是經(jīng)濟安全的重中之重”。2000年普京總統(tǒng)批準了《國家信息安全學說》,明確了俄羅斯聯(lián)邦信息安全建設的目的、任務、原則和主要內(nèi)容。
我國政府高度重視信息安全工作,早在1994年,國務院便以147號令頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》;2003年國務院成立應急辦,頒布了《國家突發(fā)公共衛(wèi)生事件應急條例》;2006年公布了《國家突發(fā)公共事件總體應急預案》和《國家網(wǎng)絡與信息安全事件應急預案》,確定了4大公共事件及網(wǎng)絡信息安全事件的應急措施預案;2007年制定了《國家突發(fā)事件應對法》。此外,信息產(chǎn)業(yè)部、工信部以及各地方政府和部門在近十余年時間里也陸續(xù)出臺了各類與信息安全相關(guān)的法律法規(guī)。信息安全在我國的國家層面上受到高度重視,目前已上升為國家戰(zhàn)略。相應地,信息安全工作也已成為各行各業(yè)信息化戰(zhàn)略規(guī)劃和信息化建設中不可或缺的內(nèi)容,氣象部門也不例外。
信息安全是一個永恒的主題,信息安全工作永遠沒有終結(jié)的一刻。在國家大力倡導信息化、互聯(lián)網(wǎng)+、大數(shù)據(jù)應用和信息安全的現(xiàn)在,認真系統(tǒng)地回顧和審視氣象信息安全工作,是完全必要的,因為這可使我們及早發(fā)現(xiàn)問題、查漏補缺,使氣象信息安全工作進一步發(fā)揮出應有的作用。
二、信息安全的本質(zhì)
(一)信息安全的內(nèi)涵和特征
信息是氣象部門最寶貴的資產(chǎn),是氣象部門賴以立身的最為珍貴的資源。因此,必須對所有氣象信息進行妥善的保護。
按業(yè)界的規(guī)范定義,信息安全主要指信息的保密性、完整性和可用性的保持,即:通過采用計算機軟硬件技術(shù)、網(wǎng)絡技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施,保護信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲等各個環(huán)節(jié)中,信息的保密性、完整性和可用性不被破壞,保障業(yè)務的連續(xù)性,最大限度地減少業(yè)務的損失,最大限度地獲取業(yè)務回報。其中:保密性是指確保只有那些被授予特定權(quán)限的人才能夠訪問到信息;完整性是指保證信息和處理方法的正確性和完整性;可用性則是指確保那些已被授權(quán)的用戶在其需要的時候,確實可以訪問到所需信息。此屬常識,不予展開。
信息安全具有如下特征:
1. 信息安全是系統(tǒng)的安全
信息產(chǎn)生于系統(tǒng)、存在于系統(tǒng)、被系統(tǒng)所使用并由系統(tǒng)發(fā)揮其作用,所有與信息相關(guān)的各系統(tǒng)皆必須納入信息安全的視野,予以充分的關(guān)注和考慮。此外,信息安全是整體的安全,所有與信息相關(guān)的部分由信息串聯(lián)而構(gòu)成一個相對完整的系統(tǒng),它的安全直接關(guān)系到信息的安全。
2. 信息安全是動態(tài)的安全
信息的安全保障是一個動態(tài)的過程,沒有永久的安全,也不存在滿足信息安全的充分條件,信息安全問題不可能一勞永逸地予以解決。保護信息安全不可能是絕對的,而是多種約束條件下的折衷的選擇。隨著事物的發(fā)展和技術(shù)的進步,約束條件必然發(fā)生變化,而約束條件的變化又將必然導致信息安全方針、策略和措施的相應調(diào)整和變化。
3. 信息安全是無邊界的安全
網(wǎng)絡的廣泛互聯(lián)使得信息系統(tǒng)環(huán)境的邊界越來越模糊,傳統(tǒng)意義上的國界、前方和后方正在消失,人們幾乎可以從任何地點、任何時間對任何對象發(fā)起網(wǎng)絡攻擊,因此信息安全是廣泛的、無國界的,它無法單憑一個國家、地區(qū)或部門就能完全控制,需要從全球信息化角度綜合考慮和整體布局。
4. 信息安全是非傳統(tǒng)的安全
傳統(tǒng)的具有典型外在物理特征的安全因素(如:軍事、自然災害、人為暴力破壞等等)已無法涵蓋信息安全所應考慮的全部范疇。在沒有諸如軍事入侵、自然災害、傳統(tǒng)意義上的恐怖襲擊等情況下,信息和信息系統(tǒng)的安全依然會受到諸如計算機病毒、黑客攻擊、計算機犯罪、信息垃圾和信息污染等嚴重威脅。國家的電信、金融、能源、交通等核心領域,氣象部門的數(shù)據(jù)通信、信息處理等核心系統(tǒng),可能在極短的時間內(nèi)被攻擊癱瘓,導致社會運轉(zhuǎn)的癱瘓和氣象業(yè)務的崩潰,而此時所有系統(tǒng)的物理器件并未因此而發(fā)生實質(zhì)性的損傷。
信息安全既是信息技術(shù)問題,也是組織管理問題。因為信息安全最終必將落實到信息系統(tǒng)的安全層面上,并最終由一個個具體的信息技術(shù)和相關(guān)產(chǎn)品的有機組合予以實現(xiàn),沒有符合實際的明確的安全目標和方針、科學的設計、認真的維護、以及不斷地主動發(fā)現(xiàn)新的安全問題并及時予以解決,是無法有效地形成安全環(huán)境的;就一個部門而言,一個相對安全的環(huán)境的構(gòu)成必須從人的行為規(guī)范、安全體系的科學設計以及部門內(nèi)部安全環(huán)境的構(gòu)成等諸多方面綜合考慮、整體設計,方才可能。因此信息安全并非單純是技術(shù)和技術(shù)產(chǎn)品問題,更是組織管理問題,無法單憑技術(shù)手段予以解決。
此外,從法律、輿論以及信息戰(zhàn)和虛擬空間等更高層面考慮,信息安全也是社會問題和國家安全問題。此非本文所考慮的范圍,故不予展開。
(二)信息安全的一些認識誤區(qū)
應當承認,由于各種原因,至今氣象部門的一些同事中,對信息安全仍存在一定的認識誤區(qū),以下問題應予充分重視:
1. 單純的安全技術(shù)和產(chǎn)品的應用不能解決信息安全
信息安全問題并非單純的技術(shù)問題,信息安全技術(shù)和產(chǎn)品的簡單應用并不意味著部門整體的信息安全,不能指望簡單地規(guī)劃了DMZ區(qū)、在局域網(wǎng)出入端配置了防火墻、在個人電腦中安裝了殺毒軟件、遠程通信采用VPN技術(shù)后,部門的信息安全問題便可基本解決。事實上,諸如防火墻、堡壘機、殺毒軟件等安全產(chǎn)品,僅僅是構(gòu)建部門信息安全防護體系的磚石,如果沒有科學的整體設計和有效的實施方案,單憑磚石和瓦塊的簡單甚至隨意堆壘,是無法構(gòu)建成有效的安全防護體系的。因此:
防火墻+ 堡壘機+ 殺毒軟件≠信息安全
2. 業(yè)務連續(xù)性的有效保障不能替代部門的信息安全
業(yè)務連續(xù)性的有效保障是部門行政領導最為關(guān)注的安全問題之一,為此往往不惜代價不計成本,而建立業(yè)務備份中心或災難備份中心是目前較為流行的保障措施。但備份中心的建立也并不一定意味著部門整體的信息安全,因為業(yè)務連續(xù)性的保障僅屬于信息安全三要素中“信息可用性”的范疇,如果不同時考慮信息的保密性和完整性,同樣無法從整體上解決部門的信息安全問題;而信息的私密性和完整性與備份中心之間并無必然聯(lián)系。因此:
備份中心≠信息安全
3. 網(wǎng)絡防御不能代替信息安全
傳統(tǒng)意義上的網(wǎng)絡安全包括網(wǎng)絡協(xié)議安全、網(wǎng)絡設備安全和網(wǎng)絡架構(gòu)安全,側(cè)重于網(wǎng)絡自身的健壯性以及抗網(wǎng)絡攻擊的能力。然而如果網(wǎng)絡上運行的系統(tǒng)自身存在一定缺陷、軟件存在BUG,以及人為操作失誤(如:誤刪除、誤修改等),則上述內(nèi)容和措施便將束手無策。所以,網(wǎng)絡的抗攻擊和抗偷盜能力不能完全解決信息安全問題。
類似的認識誤區(qū)還有若干,限于篇幅,不再枚舉。
三、基于風險管理的信息安全管理
(一)信息安全管理
統(tǒng)計結(jié)果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,其余的70%~80%則是因內(nèi)部員工的疏忽或有意違規(guī)而造成的。站在全局的高度上來考察信息和網(wǎng)絡安全的全貌就會發(fā)現(xiàn):安全問題實際上都是人的問題,單憑技術(shù)手段是無法予以根本解決的。
信息安全是一個多層面、多因素的過程,如果僅憑一時的需要,頭疼醫(yī)頭腳疼醫(yī)腳地制定一些控制措施和引入某些技術(shù)產(chǎn)品,難免掛一漏萬、顧此失彼,使得信息安全這只“木桶”出現(xiàn)若干“短板”,從而無法提高信息安全的整體水平。
對于信息安全而言,技術(shù)和產(chǎn)品是基礎,管理才是關(guān)鍵。如同磚瓦建材需要良好的設計和施工才能搭建成堅固耐用的建筑,安全技術(shù)和安全產(chǎn)品需要通過管理的組織職能方才能夠發(fā)揮出最佳效果。事實充分證明,管理良好的系統(tǒng)遠比技術(shù)雖然高超但管理混亂不堪的系統(tǒng)安全得多。因此,先進科學的、易于理解且方便操作的安全策略對信息安全至關(guān)重要;而建立一個管理框架,讓好的安全策略在這個框架內(nèi)可重復實施,并不斷得到修正,就會擁有持續(xù)的安全。
所謂信息安全管理,是指部門或組織中為了完成信息安全目標,針對信息系統(tǒng),遵循安全策略,按照規(guī)定的程序,運用恰當?shù)姆椒?,而進行的規(guī)劃、組織、指導、協(xié)調(diào)和控制等活動和過程;是通過維護信息的保密性、完整性和可用性,來管理和保護組織所有的信息資產(chǎn)的一項體制;是部門或組織中用于指導和管理各種控制信息安全風險的一組相互協(xié)調(diào)的活動。有效的信息安全管理要盡量做到在有限的成本下,保證將安全風險控制在可接受的范圍之內(nèi)。
信息安全管理包括:安全規(guī)劃、風險管理、應急計劃、安全教育培訓、安全系統(tǒng)評估、安全認證等多方面內(nèi)容。
(二)基于風險的信息安全
1. 安全和風險
步履蹣跚的耄耋老人終日待在家中肯定比在熙熙攘攘的大街上行走安全,但即使在家中,也仍有因行走或站立不穩(wěn)而跌倒的可能,不如身邊陪有專人看護安全;然即便家中有專人看護,也不如將老人長期安置在醫(yī)院,在全套設備和專業(yè)醫(yī)護人員看護下安全,如此等等??梢?,所謂安全都是相對而言的,沒有絕對的安全;而安全的效果或等級越高,往往付出的代價或成本也越高,信息安全也是如此。
安全是相對于風險而言的,某種安全水平的達到意味著某種或某類風險的得以規(guī)避:雙機熱備技術(shù)可以避免單點故障所導致的業(yè)務中斷,兩地三中心災備模式可以保證即便在發(fā)生局地嚴重災害時部門業(yè)務的連續(xù)性。但絕對的安全是沒有的:雙機熱備技術(shù)無法避免供電系統(tǒng)故障的風險,而大型隕石撞擊地球,將導致生態(tài)系統(tǒng)的崩潰和物種滅絕,遑論災備兩地三中心以及部門業(yè)務連續(xù)性了。
然而,風險是由可能性與后果的組合來計算和度量的。盡管兩地三中心災備模式無法應對地球遭遇大型隕石撞擊的毀滅性災害,但該災害發(fā)生的可能性卻微乎其微,未來數(shù)百年幾乎沒有可能。因此此災雖然為害甚烈,但發(fā)生的可能性卻幾近于零,不必予以考慮。
2. 風險管理
絕對的零風險是不存在的,要想實現(xiàn)零風險也是不現(xiàn)實的。同時,規(guī)避風險是需要代價的,規(guī)避的風險種類越多,所付出的代價往往越大。就計算機系統(tǒng)而言,安全性越高,其可用性往往越低,需要付出的成本也越大。因此,信息安全建設的宗旨之一,就是在綜合考慮成本與效益的前提下,通過恰當、足夠、綜合的安全措施來控制風險,使殘余風險降低到可接受的程度。亦即,需要在安全性和可用性,以及安全性和成本投入之間做出一種平衡。
所以,根本上說,信息安全是一個風險管理過程,而不是一個技術(shù)實現(xiàn)過程。
風險管理是指如何在一個肯定有風險的環(huán)境里,利用有限的資源把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略等。理想的風險管理,是一連串排好優(yōu)先次序的過程,使導致最大損失及最可能發(fā)生的安全事件優(yōu)先處理、而相對風險較低的事件則押后處理。
風險管理的首要內(nèi)容之一,是風險識別和風險評估。因為,信息安全體系的建立首先需要確定信息安全的需求,而獲取信息安全需求的主要手段就是安全風險評估。因此,信息安全風險評估是信息安全管理體系建立的基礎;沒有風險評估,信息安全管理體系的建立就沒有依據(jù)。
風險管理的另一項重要內(nèi)容,就是對風險評估的結(jié)果進行相應的風險處置,只有對已知風險逐一進行有針對性的妥善處置,才能化解和規(guī)避這些風險,達到信息安全的目的。因此,風險處置是信息安全的核心。從本質(zhì)上講,風險處置的最佳集合就是信息安全管理體系的控制措施集合;而控制目標、控制手段、實施指南的邏輯梳理、以形成這些風險控制措施集合的過程,就是信息安全體系的建立過程。亦即,信息安全管理體系的核心就是這些最佳控制措施的集合。
需要強調(diào)的是,由于信息安全風險和事件不可能完全避免,因此信息安全管理必須以風險管理的方式,不求完全消除風險,但求限制、化解和規(guī)避風險。而好的風險管理過程可以讓氣象部門以最具有成本效益的方式運行,并且使已知的風險維持在可接受的水平,使氣象部門可以用一種一致的、條理清晰的方式來組織有限的資源,確定風險處置優(yōu)先級,更好地管理風險,而不是將保貴的資源用于解決所有可能的風險。
事物是在不斷變化的,新的風險不斷出現(xiàn),因此風險管理過程需要不斷改進、完善、更新和提高。
四、當前氣象信息安全存在的問題
盡管氣象部門至今尚未發(fā)生重大信息安全事件,但這并不能說明氣象部門的信息安全工作已萬事大吉,信息安全體系固若金湯。依照信息安全管理的規(guī)范考察,氣象部門的信息安全工作至少存在如下問題:
(一)基礎工作存在缺失
1. 信息安全目標
通常意義下的信息安全目標,一般都是確保信息的機密性、完整性、可用性,以及可控性和不可否認性等等。但部門不同,具體的情況不同,安全性需求的程度、信息安全所面臨的風險、付出的代價也各有不同;如:就信息的機密性而言,軍事部門的要求遠遠高于氣象部門;而就信息的可用性而言,氣象部門對業(yè)務連續(xù)性的要求也較土地勘測管理部門為高。因此,泛泛的信息安全目標沒有任何意義,所有可用的信息安全目標都是切合部門具體實際情況的,是本土化、部門化的。
沒有切合氣象部門具體實際情況的、具有鮮明氣象特色的信息安全目標,是目前存在的突出問題。
必須明確,氣象部門信息安全目標的確定,是管理層的職責。管理層對信息安全目標的要求,決定了氣象部門信息安全工作的走向。氣象信息業(yè)務部門負責氣象信息安全既定目標的具體落實,其工作的質(zhì)量和效率,決定了氣象部門是否能夠達到信息安全管理的目標。
2. 信息安全方針
信息安全方針是為信息安全工作提供與業(yè)務需求和法律法規(guī)相一致的管理指示及相應的支持舉措。信息安全方針應該做到:對本部門的信息安全加以定義,陳述管理層對信息安全的意圖,明確分工和責任,約定信息安全管理的范圍,對特定的原則、標準和遵守要求進行說明,等等。氣象部門的信息安全方針至少應當說明以下問題:氣象信息安全的整體目標、范圍以及重要性,氣象信息安全工作的基本原則,風險評估和風險控制措施的架構(gòu),需要遵守的法規(guī)和制度,信息安全責任分配,信息系統(tǒng)用戶和運行維護人員應該遵守的規(guī)則,等等。
遺憾的是,以此為基本內(nèi)容的信息安全方針,至今在氣象部門尚未確立。
3. 信息安全組織機構(gòu)
為有效實施部門的信息安全管理,保障和實施部門的信息安全,在部門內(nèi)部建立信息安全組織架構(gòu)(或指定現(xiàn)有單位承擔其相應職責)是十分必要的。
在一個部門或機構(gòu)中,安全角色與責任的不明確是實施信息安全過程中的最大障礙。因此,建立信息安全組織并落實相應責任,是該部門實施信息安全管理的第一步。這些組織機構(gòu)需要高層管理者的參與(如本部門信息化領導小組),以負責重大決策,提供資源并對工作方向、職責分配給出清晰的說明,等等。此外,信息安全組織成員還應包括與信息安全相關(guān)的所有部門(如行政、人事、安保、采購、外聯(lián)),以便各司其責,協(xié)調(diào)配合。
遺憾的是,類似的組織機構(gòu)在氣象部門內(nèi)即便已經(jīng)存在,至今也未真正履行其應負的職責。
4. 信息資產(chǎn)管理
信息資產(chǎn)管理的主要內(nèi)容包括:識別信息資產(chǎn),確定信息資產(chǎn)的屬主及責任方,信息資產(chǎn)的安全需求分類,以及各類信息資產(chǎn)的安全策略和具體措施,等等。
就氣象部門而言,對信息資產(chǎn)(即:氣象信息資源和氣象信息系統(tǒng))進行識別、明確歸屬以及分類等工作,有利于信息安全措施的有效實施。以分類為例:我們知道,對某特定氣象資料或業(yè)務系統(tǒng)實施過多和過度的保護不僅浪費資源,而且不利于資料效益的充分發(fā)揮和系統(tǒng)的正常運行;而若保護不力,則更可能導致氣象信息數(shù)據(jù)和系統(tǒng)產(chǎn)生重大安全隱患,乃至出現(xiàn)安全事故。對氣象信息資產(chǎn)進行分類,可明確界定各具體資產(chǎn)的保護需求和等級,如此可以根據(jù)類別的不同,調(diào)整合適的資源、財力、物力,對重要的氣象信息資源和系統(tǒng)實施有針對性的、符合其特點的信息安全重點保護,如此等等。
同樣遺憾的是,氣象部門至今尚未實施真正意義上的完整的氣象信息資產(chǎn)管理。
類似缺失的基礎工作還有很多,不再枚舉。
基礎工作的缺失,導致氣象信息安全工作的不扎實、不穩(wěn)固,是氣象信息安全工作長期滯后于信息化基礎建設的主要原因之一。
(二)完整的信息安全管理體系尚未建成
按照ISO的定義,信息安全管理體系(ISMS:Information Security Management System)是“組織在整體或特定范圍內(nèi)建立的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結(jié)果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合”。
信息安全管理體系要求部門或組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇安全事件控制目標和相應處置措施等一系列活動,來建立信息安全管理體系。該體系是基于系統(tǒng)、全面、科學的安全風險評估而建立起來的,它體現(xiàn)以預防控制為主的思想,強調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其它地方、行業(yè)的相關(guān)要求。該體系強調(diào)全過程管理和動態(tài)控制,本著控制費用與風險相平衡的原則,合理選擇安全控制方式。該體系同時強調(diào)保護部門所擁有的關(guān)鍵性信息資產(chǎn)(而不見得是全部信息資產(chǎn)),確保需要保護的信息的保密性、完整性和可用性,以最佳效益的形式維護部門的合法利益、保持部門的業(yè)務連續(xù)性。
由于基礎性工作尚未全部就緒,目前氣象部門尚未建立真正意義上的、基于風險管理的科學而完整的氣象信息安全管理體系。
在氣象部門建立完整的信息安全管理體系,可以對氣象部門的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護,在信息系統(tǒng)受到侵襲時確保業(yè)務持續(xù)開展并將損失降到最低程度;并使氣象部門在信息安全工作領域?qū)崿F(xiàn)動態(tài)的、系統(tǒng)地、全員參與的、制度化的、以預防為主的信息安全管理方式,用最低的成本,達到可接受的信息安全水平。此外,完整的信息安全管理體系的建立,也可使部門外協(xié)作單位對氣象部門的安全能力充滿信心,這一點在當前大數(shù)據(jù)應用浪潮正在全社會迅速漫延的背景下,尤其重要。
(三)業(yè)務格局的分散加大了安全管理問題的復雜度
目前氣象部門依然沿用著已延續(xù)數(shù)十年的國省地縣四級業(yè)務層級,而業(yè)務系統(tǒng)的屬地化,以及諸如“具備業(yè)務功能意味著擁有業(yè)務系統(tǒng)、擁有業(yè)務系統(tǒng)意味著擁有信息資產(chǎn)以及基礎資源和設施”等傳統(tǒng)觀念的束縛,使得各個業(yè)務系統(tǒng)在地理分布上呈現(xiàn)出全國遍地開花的局面,各級業(yè)務單位都擁有自己的信息業(yè)務系統(tǒng)和相應的局地信息業(yè)務環(huán)境。彼此通過內(nèi)部專網(wǎng)(VPN)或甚至通過互聯(lián)網(wǎng)進行互聯(lián),在全國形成網(wǎng)狀與樹狀相結(jié)合的、十分復雜的業(yè)務網(wǎng)絡結(jié)構(gòu)。
由于各級單位都在當?shù)負碛懈髯砸?guī)模不等的信息業(yè)務系統(tǒng)及相應環(huán)境(包括為業(yè)務系統(tǒng)提供數(shù)據(jù)支撐的氣象數(shù)據(jù)庫),因此各單位都面臨著本單位的信息安全管理問題。尤其是一些氣象數(shù)據(jù)在各級業(yè)務單位的廣泛復制,使得各級業(yè)務單位中數(shù)據(jù)同質(zhì)化現(xiàn)象十分突出,也為這些數(shù)據(jù)的保密性和完整性(包括一致性)的保持增加了大量變數(shù)。此外,由于編制所限,地縣兩級業(yè)務單位中IT技術(shù)人員奇缺,既無法保障信息業(yè)務系統(tǒng)的日常維護,更無法為本單位信息安全提供專業(yè)化管理。
這種業(yè)務格局的分散,加大了氣象部門信息安全管理問題的復雜度。
限于篇幅,其余問題不再枚舉。
五、建立完整的氣象信息安全管理體系
綜上所述,在氣象部門建立完整的氣象信息安全管理體系,是非常必要的;就目前全社會所倡導的大數(shù)據(jù)應用和云計算趨勢而言,這項工作具有較強的緊迫性,應盡早開展相應的工作。歸納起來,有如下幾點:
(一)適時著手建立完整的氣象信息安全管理體系
1. 完成基礎性工作
應盡早明確信息安全的方針,為氣象部門信息安全工作確定目標、范圍、責任、原則、標準、架構(gòu)和法律法規(guī)。
應以適當方式組建或明確氣象信息安全的管理和實施機構(gòu),并確保所有相關(guān)單位能夠悉數(shù)納入其中,明確分工和職責,以便各司其職,彼此協(xié)調(diào)工作。
應在管理層的統(tǒng)一組織下,以適當?shù)男问?,全面完成氣象部門內(nèi)部的信息資產(chǎn)普查、歸屬認定、安全需求等級劃分以及安全等級保護措施等,制定氣象信息資產(chǎn)管理策略、制度和方法,逐步推廣實施,從而完成氣象信息資產(chǎn)的有效管理。
2. 適時進行信息安全風險評估并制訂風險處置方案
制定風險評估方案、選擇評估方法,以此為依據(jù)完成氣象信息安全風險要素識別,發(fā)現(xiàn)系統(tǒng)存在的威脅和系統(tǒng)的脆弱性,并確定相應的控制措施。在此基礎上,對所有風險逐一判斷其發(fā)生的可能性和影響的范圍及程度,綜合各種分析結(jié)果,最終逐一判定這些風險各自的等級。
在風險等級判定的基礎上,以“將風險始終控制在可接受范圍內(nèi)”為宗旨,制訂有針對性的風險處置方案,包括:可接受風險的甄別和確定,不可接受風險的控制程度,風險處置方式的選擇和控制措施的確定,制訂具體的氣象信息安全方案和綜合控制措施,科學合理地運用“減低風險”、“轉(zhuǎn)移風險”、“規(guī)避風險”和“接受風險”等方法,形成綜合的氣象信息安全風險處置方案,并部署實施。
3. 建立完整的氣象信息安全管理體系
在上述工作以及其它相關(guān)工作的基礎上,參照BS 7799-2:2002 《信息安全管理體系規(guī)范》、 ISO/ IEC17799:2000《信息技術(shù)-信息安全管理實施細則》等國際標準,以及GB/T22080-2008《信息安全管理體系要求》、GB/T20269-2006《信息系統(tǒng)安全管理要求》、GB/T20984-2007《信息安全風險評估規(guī)范》等國家標準,完成組織落實、措施落實、方案落實和相應文檔的編寫,以及所有相關(guān)的審查、職責界定和制度建設,以構(gòu)成氣象部門的信息安全管理體系。
(二)將信息安全管理體系納入氣象信息化戰(zhàn)略之中
信息安全與信息化發(fā)展息息相關(guān),是一切信息化工作的基礎,涉及到信息化工作的方方面面。氣象部門是以信息采集、分析處理和為工作特征的典型的信息應用部門,氣象業(yè)務系統(tǒng)是典型的信息系統(tǒng),因此信息安全對于氣象部門尤為重要。氣象事業(yè)的健康發(fā)展離不開信息化,也同樣離不開信息安全。氣象信息安全應當是氣象信息化工作中最為重要的內(nèi)容之一,氣象信息安全管理體系的構(gòu)建和持續(xù)改進也應當成為未來氣象信息化戰(zhàn)略中極其重要的內(nèi)容。
信息安全是管理問題而非技術(shù)問題,從某種角度看,信息安全管理體系是以策略為核心,以管理為基礎,以技術(shù)為手段的安全理念的具體落實。有什么樣的理念,就有什么樣的方針、策略、制度措施和體系架構(gòu)。無法想象在管理理念和安全意識十分落后的思維環(huán)境中,能夠構(gòu)建起科學完備的信息安全管理體系來。因此,安全管理理念的全面提高和安全意識的充分到位,是氣象信息安全所有工作正常開展的前提。就氣象部門管理層而言,著力消除曾長時間彌漫于全部門信息安全領域的重技術(shù)輕管理的觀念,將關(guān)注點從研究安全技術(shù)和產(chǎn)品應用轉(zhuǎn)移到信息資產(chǎn)管理、風險識別和控制以及整體安全戰(zhàn)略的制定等管理層面上來,是其不可推卸的責任。應當在全部門倡導信息安全意識、制定并推行信息安全制度、確定信息安全責任、組織信息安全培訓,構(gòu)建起完整的氣象信息安全管理體系。
六、結(jié)語
在政府大力強調(diào)信息安全意識,強力推動信息安全工作的背景下,各行各業(yè)均把信息安全工作列入本部門或單位的工作議程,氣象部門也是如此。但如何科學有效地構(gòu)建起具有鮮明氣象特色的信息安全防護體系,充分把控所有已知的安全風險,使有限的投入得到最大限度的安全回報,這是氣象部門管理層和IT工作者需要認真研究并努力實踐的工作。
信息安全首先是意識問題、觀念問題,要想真正打造安全的業(yè)務環(huán)境,在氣象部門全體員工中(特別是在管理層干部中)樹立良好的安全意識,是至關(guān)重要的。
2014年,在深刻領會主席“沒有信息化就沒有現(xiàn)代化”的重要指示精神后,氣象部門提出了“沒有信息化就沒有氣象現(xiàn)代化”的口號。那么,針對提出的“沒有信息安全就沒有國家安全”的另一重要論斷,氣象部門是否也應提出相應的口號――
“沒有信息安全,就沒有氣象業(yè)務安全”。
隨著現(xiàn)代化科學技術(shù)在電子政務系統(tǒng)中的應用,電子政務得到了一定的完善,可是依然存在相應的問題需要解決。所以本文主要針對電子政務里面信息安全保密管理相關(guān)問題,從電子政務安全保密管理的需求、面臨的威脅以及特性等進行系統(tǒng)地剖析,同時借鑒國外的一些安全保密管理具體理論經(jīng)驗,從信息安全的角度,找出可以解決電子政務安全保密管理問題的一些有效途徑。
2 電子政務發(fā)展現(xiàn)狀以及概念
2.1 電子政務信息安全保密管理階段
目前,可以將我國電子政務中的信息安全保密管理分成三個階段:(1)實現(xiàn)全自動化辦公,應用的工具主要是Office軟件以及臺式計算機,把原來的手寫形式變成了電子輸入,使辦公操作能夠更加快捷和方便;(2)把Internet當做主要客戶端,不同用戶、不同行業(yè)以及不同終端等都可以貫通交互,使信息交換以及資源共用范圍可以更加廣泛,顯著提升了以前的工作效率;(3)以外部網(wǎng)絡以及內(nèi)部網(wǎng)絡共同建立的電子政務信息為中心。
2.2 電子政務具體概念和相應的保密要求
所謂電子政務就是指國家政府機構(gòu)通過現(xiàn)代信息技術(shù)以及通信功能進行政務信息交流的手段,利用網(wǎng)絡技術(shù)使管理工作以及服務在這一領域更加深化,從而產(chǎn)生的一種信息交流方式,就是為了優(yōu)化重組政府內(nèi)部具體工作流程以及組織結(jié)構(gòu),使其不再受到時間以及部門和空間的分隔限制,讓政府能夠有效地和更加誠信地進行行政管理,使管理環(huán)節(jié)更加精簡,為社會提供更加優(yōu)質(zhì)、透明、規(guī)范、全面的管理以及服務。我國《保密法》是在2010 年重新修訂并且正式實施的,其中就進行了規(guī)定,以保證國家秘密安全為工作前提,合理應用相應的電子網(wǎng)絡信息。和發(fā)達國家相比,我國信息產(chǎn)業(yè)發(fā)展以及信息技術(shù)水平還比較落后,雖然有些安全軟件可以對電子政務起到一定的防御作用,同時,也必須考慮安全軟件所具有的性能是否與電子政務的國情相符。
3 電子政務信息具體安全保密風險和相應的防范措施
3.1 網(wǎng)絡技術(shù)安全所具有的脆弱性
如果基礎設施沒有達到國家標準,那么網(wǎng)絡就不能夠正常運行,所以對電子政務中的基礎設施進行完善是非常關(guān)鍵的。網(wǎng)絡平臺里面的數(shù)據(jù)傳輸具有非常大的風險,所以應該進行加密管理,比如,如果不可以有效阻攔黑客竊聽,就會導致內(nèi)部信息泄露。正常運行中,如果沒有安全軟件進行防護,就一定會被入侵,而終端數(shù)據(jù)庫以及網(wǎng)絡邊界業(yè)也均會面臨非常大的風險,所以應該通過安全保密措施來對這些風險進行防范。
摘要:檔案信息安全是辦公室檔案信息化建設中的一項重要保障工作。本文從制度管理及信息化下的數(shù)據(jù)管理討論了檔案信息安全管理的7 個保障措施:電子文檔歸檔及管理制度;安全保密制度、數(shù)字檔案查詢利用制度;檔案數(shù)據(jù)管理維護制度;數(shù)字檔案鑒定銷毀制度;檔案數(shù)據(jù)網(wǎng)絡和信息設備維護使用制度;檔案庫房管理制度。
關(guān)鍵詞 :檔案信息化電子文檔安全保密制度網(wǎng)絡安全
1 電子文件歸檔管理制度的安全策略
①電子文件是指單位在內(nèi)部管理和履行行政職能的過程中所產(chǎn)生并存儲在光盤、硬盤等載體中的,可進行網(wǎng)絡傳輸,并且可作為參考資料通過計算機系統(tǒng)調(diào)閱和使用的文件。②只有文本、圖像、視頻、音頻等文件以及超媒體鏈接文件才可作為電子文件進行歸檔處理。③從歸檔方式來看,電子文件支持邏輯歸檔方式,同時也可進行物理歸檔。基于計算機網(wǎng)絡的邏輯歸檔可將原電子文件直接移交檔案室歸檔,不必調(diào)整其存儲方式或存儲位置。而物理歸檔則需要借助可脫機存儲的載體,先將源電子檔案網(wǎng)絡傳輸?shù)皆撦d體中,經(jīng)由其轉(zhuǎn)換加工再移交檔案室。按照存儲載體的類型,筆者首推光盤,另外還可以用磁帶、硬磁盤等。軟磁盤也不適合長期存儲數(shù)據(jù)。由專用軟件生成的電子文件必須按照通用格式轉(zhuǎn)換,然后存儲在指定磁盤。④電子文件歸檔時,機讀目錄、相關(guān)軟件、其他說明等應與相對應的電子文件一同歸檔保存。⑤電子檔案管理系統(tǒng)采用“計算機集中處理+電子檔案存儲數(shù)據(jù)資料+ 數(shù)據(jù)有效管理”的方式,實現(xiàn)對檔案資料“一次采集、反復利用、信息共享”。⑥歸檔方式由“紙質(zhì)”變“電子”。一改以往每年發(fā)一份表格,要求每人填完后裝入牛皮檔案盒就了事的方式,創(chuàng)新建立專門檔案管理系統(tǒng),由專人負責錄入管理,一人一檔,定期校驗和轉(zhuǎn)存,實行檔隨人走“終身制”。⑦時間由“短期”變“長效”。新建立的電子檔案管理系統(tǒng)更具有連續(xù)性和長效性,可做到隨時可添加,隨時可變更,隨時可查閱,有利于長期保存。擯棄了以前填一年管一年,資料填報不持續(xù)完備的缺點。⑧需銷毀的電子文件必須編制銷毀清冊,經(jīng)上級批示后統(tǒng)一銷毀。銷毀保密等級較高的電子文件時,若其所在載體上的痕跡不可擦除,應該一并銷毀其載體,確保不留任何痕跡。銷毀一般性文件則可邏輯刪除。行政管理人員負責監(jiān)管電子文件的接收、保管和鑒定銷毀工作。
2 安全保密制度
①辦公室行政人員必須對數(shù)字檔案系統(tǒng)的登錄帳號、密碼保密。另外,為了保證系統(tǒng)安全,應該用數(shù)字+ 字母的形式設置登錄密碼,且不得少于八位數(shù),每隔一段時間修改一次。非單位內(nèi)部計算機未經(jīng)上級批示無權(quán)登錄檔案管理系統(tǒng)。②除業(yè)務檔案以外的電子檔案只允許單位內(nèi)部查詢。③使用者本人可查閱電子檔案資料,未經(jīng)上級批示不得外傳。涉密檔案禁止網(wǎng)絡共享。
3 數(shù)字檔案室提供各類非涉密室藏檔案查詢
①非單位內(nèi)部人員,未經(jīng)本單位領導批示不得調(diào)閱本單位檔案資料。若須查閱檔案資料,經(jīng)批示后由本單位后臺管理部門授予訪問權(quán)限方可進入系統(tǒng)進行調(diào)閱。單位內(nèi)部人員可通過提前申請的帳號登錄蘭臺檔案管理系統(tǒng),根據(jù)需要調(diào)閱電子文件。②根據(jù)檔案的保密等級,系統(tǒng)按照登錄權(quán)限將單位內(nèi)部人員分為三類,即普通用戶、中級用戶和高級用戶。③可以對外開放的文件有的設置了限制條件。比如調(diào)閱數(shù)字檔案時,要求調(diào)閱人提前通過網(wǎng)絡遞交調(diào)閱申請,經(jīng)檔案管理人員審查后自由調(diào)閱,調(diào)閱人不得擅自轉(zhuǎn)載文件資料。而紙質(zhì)文件則要通過上級批復再進行調(diào)閱。
4 檔案數(shù)據(jù)管理維護制度
①認真做好文件的收、發(fā)工作,檔案的收集整理工作,保證歸檔文件材料完整、準確、系統(tǒng);做好檔案的統(tǒng)計、利用工作,對各類檔案庫存、接收、銷毀、利用等進行準確統(tǒng)計,積極做好檔案信息資源的開發(fā)利用,以確保能為各局室的工作提供便捷的服務。②數(shù)字檔案由檔案管理人員和計算機管理人員分別負責管理和維護,確保檔案數(shù)據(jù)安全;③各部門數(shù)字檔案經(jīng)主管部門領導簽字同意后由行政秘書交檔案室統(tǒng)一管理;④非檔案管理者不得修刪數(shù)字檔案;數(shù)字檔案至少制作三套備份(一套硬盤,兩套光盤),其中一套異地保存,另外兩套分開保管;行政秘書應請示領導配備專用的電子文件柜,規(guī)范存放歸檔電子文件和數(shù)字檔案。
5 數(shù)字檔案鑒定銷毀制
①堅定數(shù)字檔案時,首先由領導批示,從各部門挑選專業(yè)人員成立工作組,按照檔案保管期限定期審查逾期的數(shù)字檔案,就檔案存毀給出專業(yè)意見。然后,工作組統(tǒng)計出不再具有利用價值和存儲價值的檔案清單,編寫銷毀清冊。②檔案鑒定工作組以報告的形式向上級如實反映檔案逾期情況,并遞交銷毀清冊。經(jīng)批示后按規(guī)定流程將逾期檔案一并銷毀。但是銷毀清冊必須永久保存。禁止任何部門或個人未經(jīng)批示擅自銷毀檔案資料。
6 檔案數(shù)據(jù)網(wǎng)絡和信息設備維護使用制度
①數(shù)字檔案的使用和維護一律參照計算機操作規(guī)程操作。假設調(diào)閱時計算機突發(fā)故障,須盡快通知技術(shù)部進行排障,切忌個人盲目處理。②指派專人保管硬盤、光盤等存儲載體,切忌將介質(zhì)外接,也不允許在本單位計算機載體上使用外來存儲載體。檔案室的計算機未經(jīng)許可不得上網(wǎng)操作或供個人娛樂。③做好防光、防潮、防蟲霉、防火、防盜、防塵、防鼠、防高溫等檔案保護工作。
參考文獻:
[1]章素文.淺析信息化檔案管理安全防范之策略[J].科技信息,2011.9.
[2]王艷.如何確保信息化檔案管理的安全[J].中國科技信息,2010(09).
[3]馬菲.網(wǎng)絡環(huán)境下檔案信息管理安全體系初探[J].湖北檔案,2009(08).
[關(guān)鍵詞] 電子政務 信息安全 等級保護 風險評估
1 概述
電子政務是政府管理方式的革命,它是運用信息以及通信技術(shù)打破行政機關(guān)的組織界限,構(gòu)建一個電子化的虛擬機關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇。政府機關(guān)之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進行相互溝通。
電子政務的建立將使政府社會服務職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡威脅面前。由于電子政務信息網(wǎng)絡上有相當多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡上有著大量高度機密的數(shù)據(jù)和信息,直接涉及政府的核心政務,它關(guān)系到政府部門、各大系統(tǒng)乃至整個國家的利益,有的甚至涉及國家安全。因此,電子政務信息安全是制約電子政務建設與發(fā)展的首要問題和核心問題,是電子政務的職能與優(yōu)勢得以實現(xiàn)的根本前提。如果電子政務信息安全得不到保障,不僅電子政務的便利與效率無從保證,更會給國家利益帶來嚴重威脅。
2 電子政務信息系統(tǒng)面臨的威脅
電子政務涉及對政府機密信息和敏感政務的保護、維護公共秩序和行政監(jiān)管的準確實施以及為保障社會提供公共服務的質(zhì)量。電子政務作為政府有效決策、管理、服務的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其是,電子政務在基于互聯(lián)網(wǎng)的網(wǎng)絡平臺上,他包括政務內(nèi)網(wǎng)、政務外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡,自身缺少設防,安全隱患很多,使得不法分子利用互聯(lián)網(wǎng)進行犯罪有機可乘,這就使得基于互聯(lián)網(wǎng)開展的電子政務應用面臨著嚴峻的挑戰(zhàn)。
對電子政務的安全威脅包括網(wǎng)上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡恐怖集團的攻擊和破壞,內(nèi)部人員的違規(guī)和違法操作,網(wǎng)絡系統(tǒng)的脆弱和癱瘓,信息安全產(chǎn)品的失控等,對于這些威脅,電子政務的建設和應用應引起足夠警惕,采取果斷的安全措施,應對這種挑戰(zhàn)。
3 電子政務信息安全管理體系的構(gòu)建
要有效維護電子政務信息系統(tǒng)的安全,就需要構(gòu)建電子政務安全管理體系,從而使政務的信息基礎設施、信息應用服務能夠具有保密性、完整性、真實性和可用性。電子政務安全管理體系包括安全技術(shù)體系、安全管理體系和安全服務體系,涉及從管理到組織,從網(wǎng)絡到數(shù)據(jù),從法規(guī)標準到基礎設施等各個方面。
3.1 加強安全技術(shù)力量是實現(xiàn)電子政務安全的基本方法
安全技術(shù)體系是利用技術(shù)手段實現(xiàn)技術(shù)層面的安全保護,是對電子政務安全防護體系的完善,包括網(wǎng)絡安全體系、數(shù)據(jù)安全傳輸與存儲體系,功能主要是通過各種技術(shù)手段實現(xiàn)技術(shù)層次的安全保護。
網(wǎng)絡安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統(tǒng)訪問控制、網(wǎng)絡審計等;數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復、PKI/CA、PMI等。整個電子政務的安全,涉及信息安全產(chǎn)品的全局配套和科學布置,產(chǎn)品選擇應充分考慮產(chǎn)品的自和自控權(quán)。在關(guān)鍵技術(shù)、經(jīng)營管理、生產(chǎn)規(guī)模、服務觀念等方面,要集中人力、物力,制訂相關(guān)政策,大力發(fā)展自主知識產(chǎn)權(quán)的計算機芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品,以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡安全。加強核心技術(shù)的自主研發(fā),并盡快使之產(chǎn)品化和產(chǎn)業(yè)化,尤其是操作系統(tǒng)技術(shù)和計算機芯片技術(shù)。現(xiàn)階段各地政府部門目前所選用的高端軟硬件平臺,很多都是國外公司的產(chǎn)品,這也對政務安全帶來了許多隱患。因此,在構(gòu)建電子政務系統(tǒng)的時候,在可能的情況下,我們應盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。
3.2 構(gòu)建安全管理體系是電子政務安全實施的重要基礎
安全管理是解決電子政務的安全問題在技術(shù)以外的另一有力保障和途徑。由于安全的防范技術(shù)與破壞技術(shù)總是“勢均力敵”、“相互促進”的。作為防范者就更應該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面:法律法規(guī)、安全防護體系以及等級保護政策。
3.2.1法律政策、規(guī)章制度和標準規(guī)范
電子政務的工作內(nèi)容和工作流程涉及到國家秘密與核心政務,它的安全關(guān)系到國家的、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約。目前,世界上很多國家制定了與網(wǎng)絡安全相關(guān)的法律法規(guī),如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡安全有關(guān)的法律法規(guī),如《計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,還缺乏關(guān)于電子政務網(wǎng)絡安全的專門法規(guī)。此外,在完善法律法規(guī)的同時,還應該加大執(zhí)法力度,嚴格執(zhí)法,這一目標的實現(xiàn)不僅需要政府組織的努力,更要國家立法機構(gòu)的參與和支持。
3.2.2電子政務防護體系
貫穿整個電子政務的安全防護體系,對電子政務安全實施起全面的指導作用,具體包括三個方面的內(nèi)容:安全組織機構(gòu)、安全人事管理、以及安全責任制度。建立安全組織機構(gòu),其目的是統(tǒng)一規(guī)劃各級網(wǎng)絡系統(tǒng)的安全、制定完善的安全策略和措施、協(xié)調(diào)各方面的安全事宜,主要職責包括制定整體安全策略、明確規(guī)章制度、落實各項安全措施實施,以及制訂安全應急方案和保密信息的安全策略;安全人事管理,其主要內(nèi)容包括:人事審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調(diào)動與免職、基礎培訓等;制定和落實安全責任制度,包括系統(tǒng)運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度,以及對外合作制度等。
3.2.3等級保護制度
通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設、測評、運行維護和使用等各個環(huán)節(jié),使信息安全保障狀況得到基本改善。通過加強和規(guī)范信息安全等級保護管理,不斷提高信息安全保障能力,為維護信息網(wǎng)絡的安全穩(wěn)定,促進信息化發(fā)展服務。
4 完善安全服務是維護電子政務安全實施的有力保障
4.1 安全等級測評和風險評估管理
電子政務信息系統(tǒng)安全測評服務,其實質(zhì)是通過科學、規(guī)范、公正的測試和評估向被測評單位證實其信息系統(tǒng)的安全性能符合等級保護的要求。
由于信息安全直接涉及國家利益、安全和,政府對信息產(chǎn)品、信息系統(tǒng)安全性的測評認證要更為嚴格。對信息系統(tǒng)和信息安全技術(shù)中的核心技術(shù),由政府直接控制,在信息安全各主管部門的支持和指導下,依托專業(yè)的職能機構(gòu)提供技術(shù)支持,形成政府的行政管理與技術(shù)支持相結(jié)合、相依賴的管理體制。 風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務安全風險管理的主要任務是電子政務信息系統(tǒng)的風險評估并提出風險緩解措施,前者是識別并分析系統(tǒng)中的風險因素,估計可能造成的損失,后者是選擇和實施安全控制,將風險降低到一個可接受的水平。
4.2 安全培訓服務
根據(jù)不同層次的人才需求,社會化的信息安全人才培養(yǎng)體系應分為專業(yè)型教育、應用型教育和安全素養(yǎng)教育三個層次。專業(yè)型教育主要是培養(yǎng)信息安全領域的專業(yè)研發(fā)、工程技術(shù)、戰(zhàn)略管理等方面的人才。應用型(半專業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對象,培養(yǎng)目標是要求學生具備信息安全的基本知識、網(wǎng)絡和信息系統(tǒng)安全防范技能、組織機構(gòu)或系統(tǒng)安全管理的能力等。這種應用型的信息安全教育要求受教育對象數(shù)量要多,覆蓋面要廣,基本信息技能要強。通過課程、講座、宣傳等多種形式,達到讓每一個人都具備必要的安全意識和常規(guī)的信息安全自我防范技術(shù)的目的。要求單位領導應具備必要信息安全意識和安全知識;信息管理人員應具備一定的信息安全知識和基本技能;從事信息服務或信息安全服務的有關(guān)人員應具備必要的信息安全知識和技術(shù)基礎等。
構(gòu)建安全穩(wěn)定的政務信息系統(tǒng),技術(shù)、管理、服務作為支撐體系的三大要素,缺一不可。只有這三方面都做好了,才能實現(xiàn)海西政務信息管理體系的全面提升。
參考文獻:
[1] 何玲,電子政務環(huán)境下政府電子文件管理新探索[D].成都:四川大學碩士學位論文,2008.
第一條 為加強對征信機構(gòu)的監(jiān)督管理,促進征信業(yè)健康發(fā)展,根據(jù)《中華人民共和國中國人民銀行法》、《中華人民共和國公司法》、《征信業(yè)管理條例》等法律法規(guī),制定本辦法。
第二條 本辦法所稱征信機構(gòu),是指依法設立、主要經(jīng)營征信業(yè)務的機構(gòu)。
第三條 中國人民銀行依法履行對征信機構(gòu)的監(jiān)督管理職責。中國人民銀行分支機構(gòu)在總行的授權(quán)范圍內(nèi),履行對轄區(qū)內(nèi)征信機構(gòu)的監(jiān)督管理職責。
第四條 征信機構(gòu)應當遵守法律、行政法規(guī)和中國人民銀行的規(guī)定,誠信經(jīng)營,不得損害國家利益、社會公共利益,不得侵犯他人合法權(quán)益。
第二章 機構(gòu)的設立、變更與終止
第五條 設立個人征信機構(gòu)應當經(jīng)中國人民銀行批準。
第六條 設立個人征信機構(gòu),除應當符合《征信業(yè)管理條例》第六條規(guī)定外,還應當具備以下條件:
(一)有健全的組織機構(gòu);
(二)有完善的業(yè)務操作、信息安全管理、合規(guī)性管理等內(nèi)控制度;
(三)個人信用信息系統(tǒng)符合國家信息安全保護等級二級或二級以上標準。
《征信業(yè)管理條例》第六條第一項所稱主要股東是指出資額占公司資本總額5%以上或者持股占公司股份5%以上的股東。
第七條 申請設立個人征信機構(gòu),應當向中國人民銀行提交下列材料:
(一)個人征信機構(gòu)設立申請表;
(二)征信業(yè)務可行性研究報告,包括發(fā)展規(guī)劃、經(jīng)營策略等;
(三)公司章程;
(四)股東關(guān)聯(lián)關(guān)系和實際控制人說明;
(五)主要股東最近3年無重大違法違規(guī)行為的聲明以及主要股東的信用報告;
(六)擬任董事、監(jiān)事和高級管理人員任職資格證明;
(七)組織機構(gòu)設置以及人員基本構(gòu)成說明;
(八)已經(jīng)建立的內(nèi)控制度,包括業(yè)務操作、安全管理、合規(guī)性管理等;
(九)具有國家信息安全等級保護測評資質(zhì)的機構(gòu)出具的個人信用信息系統(tǒng)安全測評報告,關(guān)于信息安全保障措施的說明和相關(guān)安全保障制度;
(十)營業(yè)場所所有權(quán)或者使用權(quán)證明文件;
(十一)工商行政管理部門出具的企業(yè)名稱預先核準通知書復印件。
中國人民銀行可以通過實地調(diào)查、面談等方式對申請材料進行核實。
第八條 中國人民銀行在受理個人征信機構(gòu)設立申請后公示申請人的下列事項:
(一)擬設立征信機構(gòu)的名稱、營業(yè)場所、業(yè)務范圍;
(二)擬設立征信機構(gòu)的資本;
(三)擬設立征信機構(gòu)的主要股東名單及其出資額或者所持股份;
(四)擬任征信機構(gòu)的董事、監(jiān)事和高級管理人員名單。
第九條 中國人民銀行自受理個人征信機構(gòu)設立申請之日起60日內(nèi)對申請事項進行審查,并根據(jù)有利于征信業(yè)公平競爭和健康發(fā)展的審慎性原則作出批準或者不予批準的決定。決定批準的,依法頒發(fā)個人征信業(yè)務經(jīng)營許可證;決定不予批準的,應當作出書面決定。
第十條 經(jīng)批準設立的個人征信機構(gòu),憑個人征信業(yè)務經(jīng)營許可證向公司登記機關(guān)辦理登記,領取營業(yè)執(zhí)照;個人征信機構(gòu)應當自公司登記機關(guān)準予登記之日起20日內(nèi),向中國人民銀行提交營業(yè)執(zhí)照復印件。
第十一條 個人征信機構(gòu)擬合并或者分立的,應當向中國人民銀行提出申請,說明申請和理由,并提交相關(guān)證明材料。
中國人民銀行自受理申請之日起20日內(nèi),作出批準或者不予批準的書面決定。
第十二條 個人征信機構(gòu)擬變更資本、主要股東的,應當向中國人民銀行提出申請,說明變更事項和變更理由,并提交相關(guān)證明材料。
中國人民銀行自受理申請之日起20日內(nèi),作出批準或者不予批準的書面決定。
第十三條 個人征信機構(gòu)擬設立分支機構(gòu)的,應當符合以下條件:
(一)對擬設立分支機構(gòu)的可行性已經(jīng)進行充分論證;
(二)最近3年無受到重大行政處罰的記錄。
第十四條 個人征信機構(gòu)申請設立分支機構(gòu),應當向中國人民銀行提交下列材料:
(一)個人征信機構(gòu)分支機構(gòu)設立申請表;
(二)個人征信機構(gòu)上一年度經(jīng)審計的財務會計報告;
(三)設立分支機構(gòu)的可行性論證報告,包括擬設立分支機構(gòu)的3年業(yè)務發(fā)展規(guī)劃、市場分析和經(jīng)營方針等;
(四)針對設立分支機構(gòu)所作出的內(nèi)控制度安排和風險防范措施;
(五)個人征信機構(gòu)最近3年未受重大行政處罰的聲明;
(六)擬任職的分支機構(gòu)高級管理人員履歷材料。
中國人民銀行自受理申請之日起20日內(nèi),作出批準或者不予批準的書面決定。
第十五條 個人征信機構(gòu)變更機構(gòu)名稱、營業(yè)場所、法定代表人的,應當向中國人民銀行申請變更個人征信業(yè)務經(jīng)營許可證記載事項。
個人征信機構(gòu)應當在個人征信業(yè)務經(jīng)營許可證記載事項變更后,向公司登記機關(guān)申辦變更登記,并自公司登記機關(guān)準予變更之日起20日內(nèi),向中國人民銀行備案。
第十六條 個人征信業(yè)務經(jīng)營許可證應當在個人征信機構(gòu)營業(yè)場所的顯著位置公示。
第十七條 個人征信機構(gòu)應當妥善保管個人征信業(yè)務經(jīng)營許可證,不得涂改、倒賣、出租、出借、轉(zhuǎn)讓。
第十八條 個人征信業(yè)務經(jīng)營許可證有效期為3年。有效期屆滿需要續(xù)展的,應當在有效期屆滿60日前向中國人民銀行提出申請,換發(fā)個人征信業(yè)務經(jīng)營許可證。
有效期屆滿不再續(xù)展的,個人征信機構(gòu)應當在個人征信業(yè)務經(jīng)營許可證有效期屆滿60日前向中國人民銀行報告,并依照本辦法第二十條的規(guī)定,妥善處理信息數(shù)據(jù)庫,辦理個人征信業(yè)務經(jīng)營許可證注銷手續(xù);個人征信機構(gòu)在個人征信業(yè)務經(jīng)營許可證有效期屆滿60日前未提出續(xù)展申請的,中國人民銀行可以在個人征信業(yè)務經(jīng)營許可證有效期屆滿之日注銷其個人征信業(yè)務經(jīng)營許可證,并依照《征信業(yè)管理條例》第十二條的規(guī)定處理信息數(shù)據(jù)庫。
第十九條 設立企業(yè)征信機構(gòu),應當符合《中華人民共和國公司法》規(guī)定的公司設立條件,自公司登記機關(guān)準予登記之日起30日內(nèi)向所在地的中國人民銀行省會(首府)城市中心支行以上分支機構(gòu)辦理備案,并提交下列材料:
(一)企業(yè)征信機構(gòu)備案表;
(二)營業(yè)執(zhí)照復印件;
(三)股權(quán)結(jié)構(gòu)說明,包括資本、股東名單及其出資額或者所持股份;
(四)組織機構(gòu)設置以及人員基本構(gòu)成說明;
(五)業(yè)務范圍和業(yè)務規(guī)則基本情況報告;
(六)業(yè)務系統(tǒng)的基本情況,包括企業(yè)信用信息系統(tǒng)建設情況報告和具有國家信息安全等級保護測評資質(zhì)的機構(gòu)出具的企業(yè)信用信息系統(tǒng)安全測評報告;
(七)信息安全和風險防范措施,包括已經(jīng)建立的內(nèi)控制度和安全管理制度。
企業(yè)征信機構(gòu)備案事項發(fā)生變更的,應當自變更之日起30日內(nèi)向備案機構(gòu)辦理變更備案。
第二十條 個人征信機構(gòu)因解散或者被依法宣告破產(chǎn)等原因擬終止征信業(yè)務的,應當在擬終止之日前60日向中國人民銀行報告退出方案,并依照《征信業(yè)管理條例》第十二條第一款規(guī)定處理信息數(shù)據(jù)庫。
個人征信機構(gòu)終止征信業(yè)務的,應當自終止之日起20日內(nèi),在中國人民銀行指定的媒體上公告,并辦理個人征信業(yè)務經(jīng)營許可證注銷手續(xù),將許可證繳回中國人民銀行;逾期不繳回的,中國人民銀行應當依法收繳。
第二十一條 企業(yè)征信機構(gòu)因解散或者被依法宣告破產(chǎn)等原因擬終止征信業(yè)務的,應當在擬終止之日前60日向中國人民銀行報告退出方案,并依照《征信業(yè)管理條例》第十二條第一款規(guī)定處理信息數(shù)據(jù)庫。
第三章 高級任職人員管理
第二十二條 個人征信機構(gòu)的董事、監(jiān)事、高級管理人員,應當在任職前取得中國人民銀行核準的任職資格。
第二十三條 取得個人征信機構(gòu)董事、監(jiān)事和高級管理人員任職資格,應當具備以下條件:
(一)正直誠實,品行良好;
(二)具有大專以上學歷;
(三)從事征信工作3年以上或者從事金融、法律、會計、經(jīng)濟工作5年以上;
(四)具有履行職責所需的管理能力;
(五)熟悉與征信業(yè)務相關(guān)的法律法規(guī)和專業(yè)知識。
第二十四條 有下列情形之一的,不得擔任個人征信機構(gòu)董事、監(jiān)事和高級管理人員:
(一)因貪x、賄賂、侵占財產(chǎn)、挪用財產(chǎn)或者破壞社會主義市場經(jīng)濟秩序,被判處刑罰,或者因犯罪被剝x政治權(quán)利,執(zhí)行期滿未逾5年的;
(二)最近3年有重大違法違規(guī)記錄的。
本辦法所稱重大違法違規(guī)記錄,是指除前款第一項所列之外的犯罪記錄或者重大行政處罰記錄。
第二十五條 個人征信機構(gòu)向中國人民銀行申請核準董事、監(jiān)事和高級管理人員的任職資格,應當提交下列材料:
(一)董事、監(jiān)事和高級管理人員任職資格申請表;
(二)擬任職的董事、監(jiān)事和高級管理人員的個人履歷材料;
(三)擬任職的董事、監(jiān)事和高級管理人員的學歷證書復印件;
(四)擬任職的董事、監(jiān)事和高級管理人員最近3年無重大違法違規(guī)記錄的聲明;
(五)擬任職的董事、監(jiān)事和高級管理人員的個人信用報告。
個人征信機構(gòu)應當如實提交前款規(guī)定的材料,個人征信機構(gòu)以及擬任職的董事、監(jiān)事和高級管理人員應當對材料的真實性、完整性負責。中國人民銀行根據(jù)需要對材料的真實性進行核實,并對申請任職資格的董事、監(jiān)事和高級管理人員進行考察或者談話。
第二十六條 中國人民銀行依法對個人征信機構(gòu)董事、監(jiān)事和高級管理人員的任職資格進行審查,作出核準或者不予核準的書面決定。
第二十七條 企業(yè)征信機構(gòu)的董事、監(jiān)事、高級管理人員,應當由任職的征信機構(gòu)自任命之日起20日內(nèi)向所在地的中國人民銀行省會(首府)城市中心支行以上分支機構(gòu)備案,并提交下列材料:
(一)董事、監(jiān)事、高級管理人員備案表;
(二)董事、監(jiān)事、高級管理人員的個人履歷材料;
(三)董事、監(jiān)事、高級管理人員的學歷證書復印件;
(四)董事、監(jiān)事、高級管理人員的備案材料真實性聲明。
企業(yè)征信機構(gòu)的董事、監(jiān)事、高級管理人員發(fā)生變更的,應當自變更之日起20日內(nèi)向備案機構(gòu)辦理變更備案。
第四章 監(jiān)督管理
第二十八條 個人征信機構(gòu)應當在每年第一季度末,向中國人民銀行報告上一年度征信業(yè)務開展情況。
企業(yè)征信機構(gòu)應當在每年第一季度末,向備案機構(gòu)報告上一年度征信業(yè)務開展情況。
報告內(nèi)容應當包括信用信息采集、征信產(chǎn)品開發(fā)、信用信息服務、異議處理以及信用信息系統(tǒng)建設情況,信息安全保障情況等。
第二十九條 個人征信機構(gòu)應當按規(guī)定向中國人民銀行報送征信業(yè)務統(tǒng)計報表、財務會計報告、審計報告等資料。
企業(yè)征信機構(gòu)應當按規(guī)定向備案機構(gòu)報送征信業(yè)務統(tǒng)計報表、財務會計報告、審計報告等資料。
征信機構(gòu)應當對報送的報表和資料的真實性、準確性、完整性負責。
第三十條 征信機構(gòu)應當按照國家信息安全保護等級測評標準,對信用信息系統(tǒng)的安全情況進行測評。
征信機構(gòu)信用信息系統(tǒng)安全保護等級為二級的,應當每兩年進行測評;信用信息系統(tǒng)安全保護等級為三級以及以上的,應當每年進行測評。
個人征信機構(gòu)應當自具有國家信息安全等級保護測評資質(zhì)的機構(gòu)出具測評報告之日起20日內(nèi),將測評報告報送中國人民銀行,企業(yè)征信機構(gòu)應當將測評報告報送備案機構(gòu)。
第三十一條 征信機構(gòu)有下列情形之一的,中國人民銀行及其分支機構(gòu)可以將其列為重點監(jiān)管對象:
(一)上一年度發(fā)生嚴重違法違規(guī)行為的;
(二)出現(xiàn)可能發(fā)生信息泄露征兆的;
(三)出現(xiàn)財務狀況異?;蛘邍乐靥潛p的;
(四)被大量投訴的;
(五)未按本辦法第二十八條、第二十九條、第三十條規(guī)定報送相關(guān)材料的;
(六)中國人民銀行認為需要重點監(jiān)管的其他情形。
征信機構(gòu)被列為重點監(jiān)管對象的,中國人民銀行及其分支機構(gòu)可以酌情縮短征信機構(gòu)報告征信業(yè)務開展情況、進行信用信息系統(tǒng)安全情況測評的周期,并采取相應的監(jiān)管措施,督促征信機構(gòu)整改。
整改后第一款中所列情形消除的,中國人民銀行及其分支機構(gòu)可不再將其列為重點監(jiān)管對象。
第三十二條 中國人民銀行及其分支機構(gòu)可以根據(jù)監(jiān)管需要,約談征信機構(gòu)董事、監(jiān)事和高級管理人員,要求其就征信業(yè)務經(jīng)營、風險控制、內(nèi)部管理等有關(guān)重大事項作出說明。
第五章 罰 則
第三十三條 申請設立個人征信機構(gòu)的申請人隱瞞有關(guān)情況或者提供虛假材料的,中國人民銀行依照《中華人民共和國行政許可法》的相關(guān)規(guī)定進行處罰。
第三十四條 個人征信機構(gòu)的個人信用信息系統(tǒng)未達到國家信息安全保護等級二級或者二級以上要求的,中國人民銀行可以責令整頓;情節(jié)嚴重或者拒不整頓的,中國人民銀行依照《征信業(yè)管理條例》第三十八條的規(guī)定,吊銷其個人征信業(yè)務經(jīng)營許可證。
第三十五條 申請個人征信機構(gòu)的董事、監(jiān)事、高級管理人員任職資格的申請人隱瞞有關(guān)情況或者提供虛假材料的,中國人民銀行不予受理或者不予核準其任職資格,并給予警告;已經(jīng)核準的,取消其任職資格。
禁止上述申請人3年內(nèi)再次申請任職資格。
第三十六條 個人征信機構(gòu)任命未取得任職資格董事、監(jiān)事、高級管理人員的,由中國人民銀行責令改正并給予警告;情節(jié)嚴重的,處1萬元以上3萬元以下罰款。
企業(yè)征信機構(gòu)任命董事、監(jiān)事、高級管理人員未及時備案或者變更備案,以及在備案中提供虛假材料的,由中國人民銀行分支機構(gòu)責令改正并給予警告;情節(jié)嚴重的,處1萬元以上3萬元以下罰款。
第三十七條 征信機構(gòu)違反本辦法第二十九條、第三十條規(guī)定的,由中國人民銀行及其分支機構(gòu)責令改正;情節(jié)嚴重的,處1萬元以上3萬元以下罰款;涉嫌犯罪的,依法移交司法機關(guān)追究其刑事責任。
第六章 附 則
信息安全等級保護是國家在信息安全保障工作的一項基本制度,人民銀行根據(jù)國家關(guān)于信息安全等級保護工作的相關(guān)制度和標準,制定了金融行業(yè)信息系統(tǒng)信息安全等級保護系列標準,2012年以由金融標準化技術(shù)委員會以中華人民共和國金融行業(yè)標準對外。即:《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》(JR/T 0071-2012)、《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》(JR/T 0072-2012)、《金融行業(yè)信息安全等級保護測評服務安全指引》(JR/T 0073-2012)。其中:
第一,《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》(JR/T 0071-2012)依據(jù)國家《信息系統(tǒng)安全等級保護基本要求》和《信息系統(tǒng)等級保護安全涉及技術(shù)要求標準》,結(jié)合金融行業(yè)特點以及信息系統(tǒng)安全建設需要,對金融行業(yè)信息安全體系架構(gòu)采用分區(qū)分域設計、對不同等級的應用系統(tǒng)進行具體要求,以保障將國家等級保護要求行業(yè)化、具體化,提高金融機構(gòu)重要網(wǎng)絡和信息系統(tǒng)信息安全防護水平。
第二,《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》(JR/T 0072-2012)規(guī)定了金融行業(yè)對信息系統(tǒng)安全等級保護測評評估的要求,包括對第二級信息系統(tǒng)、第三級信息系統(tǒng)和第四級信息系統(tǒng)進行安全測評評估的單元測評要求和信息系統(tǒng)整體測評要求等。根據(jù)金融行業(yè)信息系統(tǒng)的定級情況,不存在五級系統(tǒng),而一級系統(tǒng)不需要去公安機關(guān)備案,不作為測評重點。
第三,《金融行業(yè)信息安全等級保護測評服務安全指引》(JR/T 0073-2012)總結(jié)了金融行業(yè)應用系統(tǒng)多年的安全需求和業(yè)務特點,并參考國際、國內(nèi)相關(guān)信息安全標準及行業(yè)標準,明確等級保護測評服務機構(gòu)安全、人員安全、過程安全、測評對象安全、工具安全等方面的基本要求。
二、金融行業(yè)信息安全系列管理標準應用
人民銀行昆明中心支行在金融信息安全等級保護系列標準的基礎上,按照標準化技術(shù)和方法,制定《銀行業(yè)金融機構(gòu)信息安全檢查規(guī)范》(簡稱《規(guī)范》),作為落實等級保護管理要求的檢查標準。
(一)以標準化方法細化檢查依據(jù)
金融信息安全管理體系范圍與內(nèi)容復雜龐大,研究表明,金融信息安全等級保護系列標準規(guī)范涵蓋金融機構(gòu)信息化安全管理的基本管理要求和基本技術(shù)要求,應以信息安全等保制度作為檢查依據(jù)。目前,根據(jù)人民銀行總行和公安部的統(tǒng)一部署,銀行業(yè)金融機構(gòu)有序開展網(wǎng)絡及信息系統(tǒng)的定級、評審、備案、測評和整改工作。
(二)以標準化技術(shù)明確檢查內(nèi)容
以金融信息安全等級保護的管理要求為基礎,同時,從實際工作出發(fā),需要增加以下內(nèi)容:
1.增加信息安全概況的內(nèi)容。按照統(tǒng)一的標準化方式統(tǒng)計各銀行機構(gòu)信息化發(fā)展規(guī)劃、人員資金投入、開發(fā)建設、專項治理、安全保障等情況。便于檢查人員掌握了解被查行信息化建設的基本層面。
2.增加銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)管理的內(nèi)容。當前,銀行卡犯罪呈上升趨勢,人民銀行總行高度重視銀行卡聯(lián)網(wǎng)聯(lián)合及其帶來的信息安全管理工作,在《規(guī)范》中應增加相關(guān)檢查內(nèi)容。
3.增加金融業(yè)機構(gòu)信息管理的內(nèi)容。金融機構(gòu)代碼在我國實施的金融標準化戰(zhàn)略中,具有重要的基礎作用,人民銀行通過檢查金融機構(gòu)代碼證申領、年檢、變更和撤銷,確保金融機構(gòu)信息的真實、準確、有效。因此,在《規(guī)范》中應增加相關(guān)檢查內(nèi)容。
(三)以標準化手段細化檢查流程
一是標準化的檢查方案。由于銀行金融機構(gòu)分為法人和非法人機構(gòu),金融信息化發(fā)展水平不均衡。省、市、縣、營業(yè)網(wǎng)點金融信息化發(fā)展不均衡。制定的《規(guī)范》作為通用工作規(guī)范,并按照信息安全等級保護定級分別標注出來。檢查單位要根據(jù)被檢查銀行信息安全等級保護定級情況,在通用規(guī)范的基礎上定制檢查方案。
二是標準化的檢查內(nèi)容。由于各銀行金融機構(gòu)的基礎、投入、核心系統(tǒng)等不同,導致各行信息安全管理具有獨立性,金融信息安全管理組織、資料名稱、歸聚存在差異。檢查單位應關(guān)注被檢查單位的信息安全管理的實質(zhì)內(nèi)容,忽略具體表現(xiàn)形式。
三是標準化的機房核查流程。網(wǎng)絡和信息系統(tǒng)正常運行是業(yè)務開展的基礎,機房屬于銀行核心區(qū)域。因此,檢查人員進入機房應注意按照相應管理制度執(zhí)行。
四是標準化的協(xié)查規(guī)定。信息安全涵蓋機房、網(wǎng)絡、系統(tǒng)、安全、銀行卡、機構(gòu)信息等,檢查人員需要與不同的技術(shù)人員交流,被檢查單位應指定專人全程陪同,負責協(xié)調(diào)。
五是標準化的禁止規(guī)定。為了避免檢查人員登陸被查單位信息系統(tǒng)出現(xiàn)誤操作,造成重大損失,檢查人員應與聯(lián)絡人進行充分的溝通,由被查單位人員具體上機操作,嚴禁檢查人員直接登陸被查單位信息系統(tǒng)操作。
六是標準化的通報格式。檢查人員應分析查出問題的性質(zhì),標識風險隱患的類別(高風險、中風險、低風險),根據(jù)問題的性質(zhì)不同,分別以限期整改、風險提示、暫停服務進行處理,并結(jié)合實際情況,提出整改時限。
三、金融行業(yè)信息安全系列管理標準實踐
(一)首次實施統(tǒng)一的監(jiān)管標準
2013年5月,人民銀行昆明中心支行制定并對全省《規(guī)范》(昆銀發(fā)〔2013〕139號),首次統(tǒng)一了金融信息安全檢查標準。全省16個地區(qū)人民銀行各級機構(gòu)依據(jù)《規(guī)范》,組織了綜合執(zhí)法檢查金融業(yè)信息安全調(diào)查,對機房及基礎設施管理、網(wǎng)絡管理、信息系統(tǒng)管理、信息安全管理、金融機構(gòu)信息管理、銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)管理、網(wǎng)上銀行信息安全管理7個大類254個調(diào)查項,204個檢查項實施了信息安全檢查。
1.2013年依據(jù)《規(guī)范》開展檢查發(fā)現(xiàn)問題統(tǒng)計。
2.2013年依據(jù)《規(guī)范》開展檢查結(jié)果處理情況統(tǒng)計。
3.2013年依據(jù)《規(guī)范》開展檢查整改情況統(tǒng)計。
全省首次實施上下統(tǒng)一的監(jiān)管標準、統(tǒng)一的檢查尺度,首次在一個標準下實現(xiàn)全省檢查發(fā)現(xiàn)問題數(shù)、檢查結(jié)果處理方式的統(tǒng)計、對比分析,使上級行能夠更加準確地掌握轄區(qū)信息安全狀況。
(二)首次統(tǒng)一各類金融信息安全檢查
目前,人民銀行對轄內(nèi)銀行業(yè)金融機構(gòu)開展的信息安全類檢查工作,包括執(zhí)法檢查、信息安全調(diào)查、新設機構(gòu)準入審批、新業(yè)務系統(tǒng)開通審批及銀行金融機構(gòu)信息安全自查。各類金融信息安全檢查都將《規(guī)范》作為一個基礎性規(guī)范,在使用《規(guī)范》時,根據(jù)實際情況,酌情增減檢查內(nèi)容。如:信息安全調(diào)查內(nèi)容可酌情增加,新設機構(gòu)準入審批和新業(yè)務系統(tǒng)開通審批的檢查內(nèi)容可酌情減少。專項信息安全檢查同時遵守專項信息安全檢查要求。人民銀行對金融機構(gòu)的要求具有統(tǒng)一性,連續(xù)性,有效提升了人民銀行對全省地方法人機構(gòu)監(jiān)管的透明度、程序的公開化,對促進全省地方性商業(yè)銀行信息安全管理向規(guī)范化發(fā)展起到了重要作用。
(三)首次集中解決檢查中的難點
基層人民銀行對于檢查結(jié)果整改及處理一直是金融信息安全檢查中的難點,與現(xiàn)金管理、征信、國庫等人民銀行傳統(tǒng)監(jiān)管業(yè)務相比,梳理金融信息安全管理制度后會發(fā)現(xiàn)相關(guān)處罰規(guī)定模糊且操作性不強。對于屢查屢犯、造成城市金融網(wǎng)嚴重安全風險等行為,缺乏處罰措施?!兑?guī)范》首次提出檢查人員應分析查出問題的性質(zhì),標識風險隱患的類別(高風險、中風險、低風險),根據(jù)問題的性質(zhì)不同,按照限期整改、風險提示、暫停接入人民銀行網(wǎng)絡和信息系統(tǒng)服務、暫停新設機構(gòu)準入審批及新業(yè)務系統(tǒng)開通審批等方式分別處理,在實踐中具有很強的操作性。解決了金融信息安全檢查中的難點。
《規(guī)范》的實施是人民銀行昆明中心支行應用標準化理念和方法,貫徹金融行業(yè)信息安全等級保護系列標準規(guī)范的實踐,也是人民銀行昆明中心支行應用金融標準化方法構(gòu)建金融信息安全體系的初步探索。這一模式,對于金融標準化的推廣應用具有借鑒價值。
關(guān)鍵詞:金融科技 信息安全 央行履職
中圖分類號:F830 文獻標識碼:A
文章編號:1004-4914(2012)07-189-02
2008年,人民銀行新“三定”方案賦予人民銀行“指導、協(xié)調(diào)金融業(yè)信息安全”的工作職責。幾年來,為科學履行央行科技的“三定”職責,人民銀行在發(fā)揮金融信息安全指導、協(xié)調(diào)職能,提高金融業(yè)信息安全保障工作水平上付出了很多努力,有效保障了金融網(wǎng)絡信息安全,提高了金融機構(gòu)的信息化工作水平?;鶎友胄薪鹑诳萍脊ぷ靼凑湛傂胁渴饛倪^去偏重內(nèi)部建設轉(zhuǎn)到內(nèi)部建設與行業(yè)管理并重,在金融信息安全保障工作中作出了積極的探索。本文通過對央行履職工作的經(jīng)驗總結(jié)探討了做好金融信息安全保障工作的實踐方法。
一、央行各級機構(gòu)的金融信息安全履職探索
近年來,人民銀行總行在承擔金融信息化協(xié)調(diào)工作職責中,積極爭取外部支持,主動與相關(guān)部委、金融監(jiān)管部門和金融機構(gòu)溝通,不斷強化行業(yè)協(xié)作機制,各項工作取得了顯著進展。2008 年,現(xiàn)場檢查奧運城市銀行的信息安全,組織協(xié)調(diào)銀行業(yè)完成風險評估、應急演練及防范網(wǎng)絡攻擊檢查,圓滿完成奧運安保任務。2009年,針對社會普遍關(guān)注的網(wǎng)銀安全問題,制定并頒布《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范(試行)》,并組織完成對66家商業(yè)銀行的網(wǎng)銀系統(tǒng)安全檢查,增強了各商業(yè)銀行網(wǎng)銀系統(tǒng)交易的安全性。2010年,人民銀行建立了與公安部、工信部和電監(jiān)會跨部門協(xié)調(diào)機制,共同制定并了《金融業(yè)信息安全協(xié)調(diào)工作預案》,協(xié)調(diào)處置數(shù)十起信息安全事件,金融信息安全工作機制日漸成熟。為保障網(wǎng)絡金融服務安全,《中國人民銀行信息系統(tǒng)電子認證應用指引》,促進了網(wǎng)絡金融服務安全保障機制的完善。2011年,編制印發(fā)《中國金融業(yè)信息化“十二五”發(fā)展規(guī)劃》,這是人民銀行首次立足“一行三會”管理格局制訂發(fā)展規(guī)劃,規(guī)劃中對“十二五”時期涉及數(shù)據(jù)綜合利用,銀、證、保系統(tǒng)互聯(lián)互通以及完善金融基礎設施、提升金融服務水平等關(guān)鍵問題都作了深入分析和闡述。
基層人民銀行貫徹總行工作思路,在金融信息安全指導和協(xié)調(diào)方面也取得了良好的成效。一方面充分發(fā)揮基層人民銀行指導職能,跟蹤落實金融機構(gòu)開展各類業(yè)務系統(tǒng)接口測試驗收、系統(tǒng)升級、業(yè)務切換、應急演練、系統(tǒng)上線等等,做好信息系統(tǒng)基礎技術(shù)保障工作。另一方面根據(jù)轄區(qū)地方特點,建立了符合地方特色的金融信息安全管理體系,通過建立聯(lián)合協(xié)作和信息共享機制,暢通溝通渠道,加強金融業(yè)重要信息安全事件工作信息的通報和交流,協(xié)調(diào)解決金融信息安全工作中遇到的困難和問題,人民銀行整體信息安全管理水平得到有效提升。
二、基層央行金融信息安全履職中存在的問題及難點
第一,行業(yè)協(xié)調(diào)關(guān)系不順。從金融信息安全管理的現(xiàn)狀來看,按照人民銀行總行的信息安全協(xié)調(diào)部署,各大商業(yè)銀行自上而下實行縱向管理,基層人民銀行行業(yè)信息安全管理的重點主要在地方性商業(yè)銀行和農(nóng)村信用社。作為轄區(qū)金融體系的主要力量,各大商業(yè)銀行分支機構(gòu)的信息安全對保持轄區(qū)正常金融服務秩序具有舉足輕重的地位。但是,行業(yè)協(xié)調(diào)關(guān)系沒有捋順,造成基層人民銀行橫向管理的缺失。
第二,中小金融機構(gòu)協(xié)調(diào)滯后。為有效配置金融資源,近幾年來小額貸款公司、村鎮(zhèn)銀行、農(nóng)村資金互助社等中小金融機構(gòu)快速推廣,在金融業(yè)發(fā)展中占據(jù)了一定的份額。除部分村鎮(zhèn)銀行向人民銀行申請了網(wǎng)絡互聯(lián)外,大部分中小金融機構(gòu)因為技術(shù)水平或接入費用的問題而無法接入人民銀行網(wǎng)絡,基層人民銀行難以對這類金融機構(gòu)的信息安全工作進行協(xié)調(diào)指導。
第三,全局信息掌握不及時。隨著金融業(yè)務信息化程度的提升,金融業(yè)信息系統(tǒng)的正常運行影響到國家金融安全,特別是銀行業(yè)信息系統(tǒng)直接涉及社會公眾,一旦發(fā)生故障中斷,如處置不當會影響正常的經(jīng)營秩序。基層人民銀行僅僅通過定期召開座談會、聯(lián)席會以及商業(yè)銀行的事件報告很難對金融機構(gòu)的信息安全發(fā)展規(guī)劃、信息系統(tǒng)生命周期過程管理等全局性信息做到及時掌握。
三、相關(guān)建議
隨著信息技術(shù)在組織內(nèi)部應用的深度和廣度的提高,必須像重視傳統(tǒng)風險一樣,重視銀行的信息安全風險,積極探索做好金融業(yè)信息安全工作的新思路新方法,扎實推動金融信息化工作是基層央行面臨的新問題。
第一,建立完善轄區(qū)金融業(yè)信息安全協(xié)調(diào)機制,對金融機構(gòu)切實防范自身風險、提高應急處置工作效率,建立與監(jiān)管部門、政府職能部門和相關(guān)基礎環(huán)境運營商之間的互動機制具有積極的意義。充分發(fā)揮協(xié)調(diào)機制的作用,實現(xiàn)應急事件處置的統(tǒng)一指揮、集中管理和快速響應,協(xié)調(diào)政府部門加大對金融業(yè)信息安全協(xié)調(diào)機制的扶持力度,組織開展多方參與、協(xié)作聯(lián)動的專項應急演練,拓展應急管理工作的深度和廣度。
第二,深化轄區(qū)金融業(yè)信息安全協(xié)調(diào)機制。要以建立全方位、高起點、全覆蓋的協(xié)調(diào)機制、監(jiān)督機制、服務機制為目標,制定相應的管理辦法和措施,做到有指標、能量化、有評價、有通報,實現(xiàn)任何操作都有程序性要求,準確掌握區(qū)域金融業(yè)信息安全的情況,真正實現(xiàn)行業(yè)信息安全管理的科技履職。
第三,為中小金融機構(gòu)提供網(wǎng)絡接入安全技術(shù)保障。針對中小金融機構(gòu)發(fā)展迅速,有較大的網(wǎng)絡接入需求的實際,重點對中小金融機構(gòu)與人民銀行在貨幣信貸、征信管理、國庫、支付結(jié)算和調(diào)查統(tǒng)計等方面的業(yè)務需求,以及科技運維能力進行調(diào)研,出臺中小金融機構(gòu)接入人民銀行金融城域網(wǎng)技術(shù)方案,提供安全、規(guī)范、節(jié)儉、高效的金融服務。
第四,制訂轄區(qū)金融機構(gòu)自建信息系統(tǒng)項目備案制度。對在轄內(nèi)設立的地方性法人銀行業(yè)金融機構(gòu),要求其在自建信息系統(tǒng)上線前向當?shù)厝嗣胥y行報備,并提交項目研制報告、技術(shù)報告、第三方測試報告、保密協(xié)議、應急處置預案等備案材料,確?;鶎尤嗣胥y行能夠及時準確掌握地方性金融機構(gòu)信息項目情況,并促進地方性金融機構(gòu)信息化工作標準化、規(guī)范化,保障金融信息系統(tǒng)安全。
第五,做好金融信息安全風險提示和通報工作。目前,業(yè)務發(fā)展與信息技術(shù)結(jié)合越發(fā)緊密,網(wǎng)上支付、移動支付等高度融合信息技術(shù)的金融服務創(chuàng)新為社會帶來便捷的同時也帶來了信息安全風險?;鶎尤嗣胥y行要在風險控制機制方面加以完善,及時主動掌握金融信息安全風險,通過風險提示對信息安全事件加以分析、督導和警示,提高安全信息共享程度,督促轄內(nèi)各金融機構(gòu)持續(xù)改進信息安全工作。
參考文獻:
1.林兆榮.抓長治促久安——建立信息系統(tǒng)應急保障機制的探索與政策建議.金融電子化,2011(11)
2.閆力.完善信息安全體系,提供穩(wěn)健金融服務——以遼寧省銀行業(yè)為例.銀行家,2009(8)
3.李良軍.建立網(wǎng)上銀行信息安全協(xié)作機制.金融電子化,2011(10)
(一)國家法律法規(guī)建設情況
我國《民法通則》、《刑法》和《商業(yè)銀行法》均對銀行客戶個人信息保護作出規(guī)定。《民法通則》第99—101條分別對公民的姓名權(quán)、肖像權(quán)和名譽權(quán)作出保護規(guī)定。《刑法修正案(七)》將侵犯公民個人信息的行為納入刑事犯罪的范疇,規(guī)定了出售、非法提供公民個人信息罪及非法獲取公民個人信息罪兩個罪名?!渡虡I(yè)銀行法》第29條則規(guī)定:“商業(yè)銀行辦理個人儲蓄存款業(yè)務,應當遵循存款自愿、取款自由、存款有息、為存款人保密的原則”。“為存款人保密”是指商銀行業(yè)對存款人的姓名、住址、存款金額、儲蓄種類、存款次數(shù)、提取情況、印鑒以及其他各種情況都要嚴格的保守秘密,不得披露。對個人儲蓄銀存款 ,商業(yè)銀行有權(quán)拒絕任何單位或者個人查詢、凍結(jié)、扣劃,但法律另有規(guī)定的除外。這一原則是保護存款人合法權(quán)益的最基本要求,是商業(yè)銀行在辦理個人存款業(yè)務時必須遵循的原則。
(二)部門規(guī)章建設情況
人民銀行、銀監(jiān)會等部門在其規(guī)章中針對電子銀行、反洗錢及信用卡業(yè)務等方面對銀行客戶個人信息保護作出規(guī)定。如《電子銀行業(yè)務管理辦法》第52條規(guī)定:“金融機構(gòu)應采取適當措施,保證電子銀行業(yè)務符合相關(guān)法律法規(guī)對客戶信息和隱私保護的規(guī)定”;《金融機構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》第28條規(guī)定:“金融機構(gòu)應采取必要管理措施和技術(shù)措施,防止客戶身份資料和交易記錄的缺失、損毀,防止泄漏客戶身份信息和交易信息”;銀監(jiān)會《商業(yè)銀行信息科技風險管理指引》第四章以專章形式規(guī)定了信息安全,對信息安全管理職能、信息安全級別劃分和信息安全措施等作出具體規(guī)定。人民銀行《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》第2條規(guī)定:“銀行業(yè)金融機構(gòu)在收集、保存、使用、對外提供個人金融信息時,應當嚴格遵守法律規(guī)定,采取有效措施加強對個人金融信息保護,確保信息安全,防止信息泄露和濫用”;《商業(yè)銀行信用卡業(yè)務監(jiān)督管理辦法》第3條規(guī)定:“商業(yè)銀行經(jīng)營信用卡業(yè)務,應當依法保護客戶合法權(quán)益和相關(guān)信息安全。未經(jīng)客戶授權(quán),不得將相關(guān)信息用于本行信用卡業(yè)務以外的其他用途”。
二、我國銀行客戶個人信息保護存在的主要問題
(一)客戶個人信息保護法律法規(guī)缺失
1.行政法責任缺失。我國尚未制訂專門的《個人信息保護法》,對個人信息的保護主要依據(jù)《民法通則》中對個人姓名權(quán)、肖像權(quán)和名譽權(quán)的規(guī)定,個人信息主體的權(quán)利難以得到全面明確和保護。從我國現(xiàn)有法規(guī)來看,對侵犯公民個人信息的行為,《民法通則》規(guī)定了損害賠償?shù)拿袷仑熑?,《刑法》?guī)定了出售、非法提供及非法獲取公民個人信息應承擔的刑事責任,而在行政法層面,對于侵犯銀行客戶個人信息但尚未構(gòu)成犯罪的行為,銀行業(yè)監(jiān)管法規(guī)沒有適用的罰則,監(jiān)管部門也缺乏對銀行違規(guī)泄露客戶信息的罰則。
2.例外規(guī)定缺失。銀行對客戶個人信息的保密與保密例外是銀行保密制度中并行的兩大部分,遺憾的是我國法律法規(guī)在規(guī)定銀行負有保密義務的同時,卻沒有系統(tǒng)地規(guī)定保密例外的情形,而僅是為了執(zhí)法與司法的方便,在《民事訴訟法》、《刑事訴訟法》、《稅收征收管理法》等法律法規(guī)中,分別賦予人民法院、人民檢察院、公安機關(guān)、稅務機關(guān)等機構(gòu)在特定情形下查詢、凍結(jié)和劃撥銀行客戶資金的權(quán)力。現(xiàn)有法律法規(guī)沒有將基于當事人授權(quán)、社會征信及社會公共利益而進行的信息公開等列為銀行保密義務的例外,不利于對銀行業(yè)和社會公眾合法權(quán)益的保護。
3.監(jiān)管法規(guī)缺失。一是規(guī)定較為零散。現(xiàn)行銀行業(yè)監(jiān)管法規(guī)僅分別針對儲蓄存款業(yè)務、電子銀行業(yè)務、信用卡業(yè)務等領域的客戶個人信息保護作出個別規(guī)定,無法覆蓋銀行業(yè)提供的各類業(yè)務全流程。二是針對性不強。如《金融機構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》雖然對客戶信息安全管理做了一些規(guī)定,但立法目的是加強反洗錢,不是針對客戶個人信息保護。三是原則性規(guī)定較多,缺乏具體條款,可操作性不強。
(二)銀行客戶個人信息保護不力的表現(xiàn)
1.管理架構(gòu)不健全。目前,部分基層銀行業(yè)金融機構(gòu)的管理重點更多的仍傾向于存貸款規(guī)模、資產(chǎn)質(zhì)量、利潤等業(yè)績指標和信用風險等常規(guī)風險管控,而未將客戶信息保護納入銀行整體風險管理框架中??蛻粜畔⒍囝^管理,未成立專門的客戶信息風險管理領導機構(gòu),缺乏有效的制約機制,員工風險意識較為薄弱,基層銀行業(yè)信息管理漏洞較為突出。
2.尺度標準不一致。由于對客戶信息保護缺乏統(tǒng)一的行業(yè)標準,銀行業(yè)間執(zhí)行情況參差不齊,主要表現(xiàn)在客戶信息保護的側(cè)重點不同、客戶信息使用管理制度不一致等方面。對客戶信息資料處理的執(zhí)行標準不一加大了外界在政策把握方面的難度,不利于引導客戶及時行使保護個人信息安全的權(quán)利,在銀行內(nèi)部約束機制引發(fā)客戶投訴與糾紛,加大了銀行經(jīng)營管理中的操作風險和聲譽風險。
信用報告電子化的意義
降低征信業(yè)務查詢成本實現(xiàn)信用報告電子化,將可大幅降低征信業(yè)務查詢成本。一是節(jié)約基層人民銀行征信查詢網(wǎng)點信用報告打印紙張和硒鼓。二是自助查詢機取消打印紙質(zhì)報告功能后,無須再配置價格高昂的高速雙面打印機,也降低了基層人民銀行征信查詢網(wǎng)點征信查詢機的硬件成本,減小征信查詢點購置征信查詢機的費用壓力。減少設備維護工作量目前,個人征信查詢業(yè)務均以自助查詢機查詢?yōu)橹?,但因查詢機使用年限較長,由于打印機老化導致卡紙、缺墨造成的系統(tǒng)故障頻發(fā),工作人員在打印機日常維護上花費的時間較多,查詢機也無法真正做到無人值守。如實現(xiàn)信用報告電子化,征信查詢點工作人員在設備維護上的工作量將大幅減少。緩解征信查詢點營業(yè)壓力以個人信用報告查詢?yōu)槔?,盡管個人信用報告上明確注明“本報告僅供客戶了解自身信用狀況使用”,不應隨意提供給他人,但在實際操作中,絕大部分客戶查詢信用報告均是用來提供給沒有查詢權(quán)限的放貸機構(gòu)做貸前審查用,部分單位在進行招標、采購、人才選拔、評先評優(yōu)等情況下也需要客戶提供其信用報告。由于互聯(lián)網(wǎng)個人信用報告查詢版本沒有提供明細版,且生成的PDF文件存在被修改的可能,信用報告的最終使用者往往不愿接受客戶提供的互聯(lián)網(wǎng)版本的信用報告,而要求客戶提供人民銀行網(wǎng)點打印的紙制報告,也導致社會公眾對互聯(lián)網(wǎng)查詢版本的認可度較低,大量客戶仍然選擇到人民銀行網(wǎng)點和查詢點進行查詢,導致人民銀行網(wǎng)點和查詢點的查詢量居高不下。如通過信用報告的電子化,并將互聯(lián)網(wǎng)查詢的版本和網(wǎng)點查詢的版本進行統(tǒng)一,讓互聯(lián)網(wǎng)查詢方式真正實現(xiàn)分流功能,將能夠緩解各征信查詢點的壓力。防范征信查詢點內(nèi)部風險實現(xiàn)信用報告電子化后,由于信用報告在生成后由客戶本人直接下載,并不在業(yè)務用機上展示或打印,征信部門查詢?nèi)藛T未經(jīng)授權(quán)不能直接接觸客戶信用報告,將能從根源上杜絕征信查詢點泄露信用報告的內(nèi)部風險。提升人民銀行社會形象實現(xiàn)信用報告電子化,因人工和耗材支出大幅減少,將可明顯降低征信查詢業(yè)務成本,面向社會公眾收費可考慮進一步降低,有助于提升人民銀行社會形象。
信用報告電子化的實現(xiàn)方式
目前,通過中國人民銀行征信中心官網(wǎng)、個人網(wǎng)銀和企業(yè)網(wǎng)銀等方式的個人和企業(yè)信用報告查詢已經(jīng)實現(xiàn)了全流程的電子化操作,二代征信系統(tǒng)上線后,通過二代征信系統(tǒng)查詢的個人和企業(yè)信用報告也可直接生成PDF格式,在系統(tǒng)層面已經(jīng)具備電子化的條件。同時,通過前置系統(tǒng)已可實現(xiàn)征信查詢業(yè)務受理、辦理、收費到開具發(fā)票的電子化操作,只要實現(xiàn)信用報告文件從人民銀行業(yè)務網(wǎng)到互聯(lián)網(wǎng)的安全傳輸,即可實現(xiàn)征信查詢?nèi)鞒屉娮踊僮?。增加信用報告中轉(zhuǎn)服務器實現(xiàn)信用報告電子化,將可大幅降低征信業(yè)務查詢成本由于征信系統(tǒng)運行于人民銀行業(yè)務網(wǎng),而社會公眾下載信用報告需要在互聯(lián)網(wǎng)操作,因此需要增加信用報告中轉(zhuǎn)服務器,用于實時接收征信系統(tǒng)生成的信用報告、生成下載鏈接,并通過多種接口程序?qū)⑿庞脠蟾骐娮影骀溄影l(fā)送到客戶手機短信和經(jīng)過認證的手機App。接入中轉(zhuǎn)服務器的手機App可由征信中心開發(fā)專用程序,也可與銀聯(lián)云閃付、各銀行的手機銀行、支付寶、微信等APP進行深度整合,以擴大受眾范圍。下載鏈接應有下載時效限制,在一定時間后鏈接失效,并自動刪除服務器緩存的信用報告。由于不同網(wǎng)絡之間的數(shù)據(jù)傳輸涉及網(wǎng)絡安全性問題,應通過技術(shù)手段對服務器訪問業(yè)務網(wǎng)和互聯(lián)網(wǎng)所需的各項權(quán)限進行最小化控制,確保征信系統(tǒng)數(shù)據(jù)和客戶數(shù)據(jù)安全。
增加信用報告驗證服務器
為確保信用報告電子版文件不被篡改,應增加信用報告驗證服務器,輔以信用報告真實性驗證系統(tǒng),以網(wǎng)頁版形式提供服務。在驗證系統(tǒng)數(shù)據(jù)庫中記錄系統(tǒng)生成的信用報告原始文件的MD5校驗碼、信用報告所有人姓名和信用報告編號,信用報告的最終使用人通過在網(wǎng)站輸入信用報告編號來獲取該信用報告的MD5校驗碼和信用報告所有人的姓名或企業(yè)名稱(應脫敏顯示),同時使用公開的MD5校驗程序?qū)π庞脠蟾嫖募M行校驗,通過比對MD5校驗碼是否一致來確定信用報告文件是否被篡改。落實線上授權(quán)的認證機制在通過人工柜臺查詢信用報告的流程中,個人和企業(yè)的授權(quán)是必要而且是最重要的一個環(huán)節(jié),因此應有相應的技術(shù)手段來確定信用報告是由申請人本人進行下載,防范信息泄露風險。企業(yè)查詢可在前置系統(tǒng)引入電子營業(yè)執(zhí)照驗證功能,由企業(yè)法定代表人通過電子營業(yè)執(zhí)照App授權(quán)企業(yè)經(jīng)辦人辦理業(yè)務;個人查詢可依托“互聯(lián)網(wǎng)+”可信身份認證平臺(CTID),由征信中心統(tǒng)一接入平臺,在充分保障申請人隱私數(shù)據(jù)安全的同時,對客戶身份進行真實性驗證,并實時將核查結(jié)果返回征信系統(tǒng)。
推行信用報告在全社會實行電子化查詢的幾點建議