金融机构信息网络安全

金融机构信息网络安全（共13篇）

1.金融机构信息网络安全 篇一

夷陵支行客户个人金融信息

安 全 保 护 制 度

为进一步加强中信银行宜昌夷陵支行个人金融信息保护工作，履行客户个人金融信息保护义务，确保客户个人金融信息安全，我行员工要严格遵守《个人存款账户实名制规定》、《个人信用信息基础数据管理暂行办法》等法律法规，高度重视客户个人金融信息保护工作：

一、在收集、保存、使用个人金融信息时，要严格遵守法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用，遵循合法、合理原则，不得收集与业务无关的信息或采取不正当方式收集信息。

二、明确规定各岗位和人员的管理责任，加强个人金融信息管理的权限设置，形成相互监督、相互制约的管理机制，切实防止信息泄露或滥用事件的发生。

三、按照省分行要求配备完善信息安全技术防范措施，确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露。

四、按照文件要求加强对员工的培训，强化员工个人金融信息安全意识，防止员工非法使用、泄露、出售个人金融信息。

五、使用客户个人金融信息时，符合收集该信息的目的，不得发生篡改、违法使用客户个人金融信息行为。

六、通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息，严格按照系统规定的用途使用，不得违反规定查询和滥用行为。

七、员工在日常工作互相监督，如若发现非法使用、泄露、出售个人金融信息的情况应立即制止并向上级领导报告。

八、对违反联社客户个人金融信息保护工作制度非法使用、泄露、出售个人金融信息的员工将根据有关规定追究法律后果。

中信银行宜昌夷陵支行

2.金融机构信息网络安全 篇二

一、存在的问题

(一) 网络机房的安全与管理不达标。

检查中发现辖内各银行业金融机构的网络机房各种物理指标多不达标, 部分表现为:大多数金融机构网络间的地板未能满足地板离地高度的要求, 不利于其地板下走线和通风;大多银行业金融机构的网络间无排水设施且无防水报警装置;个别银行业金融机构的网络机房地板下走线桥架是贴地面铺设, 不利于防水;个别银行业金融机构网络机房强、弱电线混放置于地面上, 未设置桥架放置;强弱电混搭, 轻者造成干扰、电话通话杂音多、电视及监控画面雪花噪点多、网络信号传输不稳定甚至掉线, 重者发生火灾等严重后果;个别银行业金融机构的网络机房机柜内网线无明显标识, 有的布线不符合规范, 有的甚至还很杂乱, 不便于网络的维护;个别银行业金融机构的网络机房无防雷检测报告, 个别银行业金融机构的网络机房无防雷措施, 一旦出现雷击将直接影响此机构辖内业务的正常运行;个别银行业金融机构的网络机房没有配备空调, 温湿度不能达标, 存在火灾隐患, 有的无消防部门提供的消防验收报告, 有的机房内无手持灭火气, 有的机房配有七氟丙烷灭火器但未配有氧气呼吸器, 安全和防火意识淡薄。

(二) 计算机信息安全组织机构不健全。

在检查的过程中发现, 辖内银行业金融机构大多数没有计算机信息安全管理专设机构。计算机信息安全完全依赖其上级行和人员的自觉性。这说明各银行业金融机构的分支机构计算机信息安全管理还停留在较低的水平, 还没有形成系统的计算机信息安全管理体系和危机处理机制, 计算机信息安全工作局限于个别部门与岗位, 缺乏全员安全防范意识。

(三) 计算机信息安全意识不强, 安全管理不到位。

检查中发现各银行业金融机构对计算机信息安全的风险认识不足, 特别是各商业银行完成了数据大集中后, 分支行普遍认为计算机信息安全是总行考虑的事。没有认识到数据的集中, 也是风险的集中, 缺乏对分散风险和控制风险的考虑。检查中发现网络机房管理、保密等制度不健全, 机房监控不到位等问题。这些都反映出各银行业金融机构在计算机信息安全方面意识缺乏、管理失位。

(四) 信息系统外包, 对外依赖严重。

在检查中某些银行的科技人员对有些系统不熟悉, 问及原因时, 得知其信息化服务都已外包给第三方公司, 系统的建设和运行维护严重依赖于集成商和外包服务公司。这使得系统出现问题时, 依靠自身的力量根本不能够解决, 对外依赖严重。

(五) 灾难应急措施不健全, 缺乏应急处理机制。

在调查中还发现各银行业金融机构缺乏计算机信息系统的应急处理准备, 应急方案、措施也不健全。这些表明各商业银行在进行系统建设时, 计算机信息安全的管理没有贯穿信息系统建设的整个过程, 缺乏计算机信息安全的主动保护意识。

(六) 银行卡方面的安全隐患。

目前辖区内各银行卡发卡机构发行的银行卡几乎全部为磁条式银行卡, 从技术和物理特性上看, 磁条卡这种磁介质具有内含的数据信息容易被复制盗取的安全隐患。

(七) 部分ATM使用环境存在安全隐患。

个别银行业金融机构24小时自动柜员机区域的ATM机面部摄像头放置位置不正, 无法清晰观察到取款人完整面部;有些ATM环境监控及加取钞录像记录保存不到3个月, 一旦出现恶性事件将没有第一手影像资料;个别银行业金融机构存在ATM设备老化、机具安全性达不到要求、运维管理欠佳等问题, 均会给银行和银行卡用户带来一些安全隐患。

(八) 监督管理缺位。

从检查的情况来看, 各银行业金融机构计算机信息安全的监督管理上还不到位。除部分银行业金融机构近年来开展过自上而下的计算机信息安全检查外, 多数商业银行没有开展过系统的计算机信息安全专项检查。人民银行虽对多家银行业金融机构开展综合执法检查, 但在计算机信息安全方面没有相应的处罚依据, 有些问题因金融机构的重视和投入不够迟迟未能达标。

二、问题分析

存在以上问题的原因是多方面的, 一是因为银行业金融机构计算机信息系统建设本身就是一个复杂的系统工程, 涉及电力、通信、系统集成、设备供应、业务运用、监督与管理等多个方面, 各方面对银行计算机信息安全的认识不一, 造成计算机信息安全管理缺位;二是银行业金融机构分支机构对计算机信息安全认识和重视不够, 对发现不符合计算机信息安全保障要求的项目, 都认为是其上级行没有相关的要求并与自己关系不大, 既缺乏内部管控, 也缺乏外部监管;三是没有认识到银行业金融机构计算机信息安全的本质是银行业务的安全, 没有从国家金融安全的高度, 从维护金融稳定、社会稳定的视角出发, 做好计算机信息安全保障工作;四是在计算机信息安全管理的投入不够, 特别是在商业银行的分支机构中, 无论人员上还是在财力上都存在计算机信息安全管理投入不足的现象, 辖区内银行业金融机构的网络间或网络机房的投入不足现象尤为严重。

三、相关建议

(一) 提高银行业金融机构计算机信息安全管理意识。

一要认识到金融机构间的资金清算依托于计算机网络系统实现, 目前由人民银行、银联公司、各家金融机构、清算中心为金融机构搭建了资金清算的平台, 如果某家金融机构出现计算机信息安全问题, 不仅会影响自身, 也会影响其他资金清算参与者, 因此计算机信息安全问题关系着全局。二要认识到各家金融机构无论在管理上还是在业务处理上, 均依托的计算机网络信息系统实现, 计算机信息安全问题关系着能否为客户提供安全、快捷、高效的服务, 一旦发生信息系统安全事件, 会直接影响其客户群体, 甚至会影响局部的金融稳定。三要认识到有效保障网络计算机系统安全已成为金融机构竞争力的一项重要内容, 哪家机构的网络应用系统安全可靠, 快捷方便, 就会赢得客户的信赖, 从而增强自身的竞争力, 为推动自身的进一步发展壮大奠定坚实的基础。

(二) 建立计算机信息安全保障组织体系, 实施有效的计算机信息安全防范。

加大计算机信息安全保障的人员、软硬件设施的投入, 建立健全计算机信息安全组织机构以及各类计算机信息安全管理制度, 定期进行信息系统安全隐患排查及安全评估, 与外包商签订安全保密协议, 同时推行银行计算机信息安全岗位任职资格制度, 提高银行计算机信息安全管理人员的从业素质。

(三) 加强银行计算机信息安全等级保护工作。

严格按公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定的《信息安全等级保护管理办法 (试行) 》开展银行计算机信息安全等级保护工作。

(四) 建立银行重要信息系统应急协调机制与应急预案。

以国家网络与计算机信息安全协调小组办公室印发的《银行重要信息系统应急协调预案》为指南, 制定《区域性银行重要信息系统应急协调预案》, 建立健全应急协调机制。同时, 建立与信息系统安全运行相关的应急预案并经常演练且做好演练记录。

(五) 积极推进金融IC卡的应用。

3.浅议金融信息化安全 篇三

关键词：金融信息化 信息安全 银行业信息化现状 发展趋势

1 我国金融信息化的产生和发展

正随着计算机信息化建设的不断发展，我国金融业进入了以业务系统整合、数据集中为主要特征的金融信息化新阶段，基层金融机构信息科技工作由原来的全面管理、维护和系统研发，转变成以贯彻落实总行及管理机构标准规范为主导，以保障本地区网络安全稳定运行为重点。金融领域是信息技术应用最为广泛和深入的一个领域。我国的金融信息化建设始于上个世纪80年代中期，经过20多年的发展，目前已经基本形成了比较完善的基于IT的金融服务体系，然而严重缺乏既掌握信息技术又精通金融业务知识的复合型人才的现实使得我国的金融信息化进程的前进步伐受到了巨大阻碍，因此加强我国现代化金融体系的信息化建设，其重要基础是培养金融信息化相关人才。金融信息化是一门交叉学科，致力于培养现代金融体系所需的高层次、实用型、复合型金融信息化精英人才。

改革开放以来，随着国际先进的理念和先进技术的不断应用，我国金融信息化利用后发优势，实现了跨越式的发展。科技人员的能力有了较大的提升，科技管理水平稳步提高。

目前，金融信息管理已将思维创新的内容提上日程，不再仅仅停留于硬件上的创新，现代计算机技术的发展可谓是日新月异。随着国内金融信息管理业务种类的增多，每样新生事物都不同程度的应用了先进的现代计算技术，管理的层面也逐步延伸社会生活的各个方面，金融信息管理更灵活、更方便、更高效的方式服务金融业，先进的现代计算技术，不断改进、完善的发展模式，更加适合这个时代的发展。

2 金融信息系统的安全

安全是金融信息系统的生命。作为整个经济和社会的血液，金融的安全和稳定，直接影响到我国经济与社会的整体发展。如果失去了金融安全，极有可能引起社会动荡。另一方面，金融安全又必须建立在社会稳定的基础上，因为社会不稳定的某些突发性因素往往是引发金融危机的导火索。所以，应把金融信息化系统的安全视同资金的安全一样。下面我们就此分析一些解决办法。

2.1 建立健全信息安全管理制度 由于金融业组织结构和业务运营方式使网络必定要建成同Internet和外部线路有较密切关系结构，各种网络访问上安全问题也随之产生。金融网络系统面临攻击有来自内部也有来自外部攻击，后果将造成信息失密、信息遭篡改、身份遭假冒和伪造等。在网络上运行关键业务时网络安全问题更是要优先解决的问题。因此应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式促进银行做好系统加固工作，充分利用各种安全产品强化网络安全防范，移动存储介质管理，做好安全日志分析、预警和监测工作，防止植入木马导致信息泄漏和来自内部安全威胁。

2.2 信息安全技术

①密码技术和访问控制技术。密码技术是信息安全技术的核心。要保证信息系统中信息的保密性，使用密码对其加密是最有效的办法。防火墙技术就是一种用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的资源不被破坏，避免内部网络的敏感数据被窃取的系统，它能增强机构内部网络的安全性。防火墙实际上是一种访问控制规则，它无法完全保护系统免受来自外部网络的攻击，另外，它对来自系统内部的攻击无能为力。②身份识别。身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段，用户向其系统请求服务时，要出示自己的身份证明，例如输入User ID和Password。③存取权限控制。其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。④数字签名。即通过一定的机制如RSA公钥加密算法等，使信息接收方能够做出“该信息是来自某一数据源且只可能来自该数据源”的判断。⑤保护数据完整性。即通过一定的机制如加入消息摘要等，以发现信息是否被非法修改，避免用户或主机被伪信息欺骗。⑥审计追踪。即通过记录日志、对一些有关信息统计等手段，使系统在出现安全问题时能够追查原因。⑦密钥管理。信息加密是保障信息安全的重要途径，以密文方式在相对安全的信道上传递信息，可以让用户比较放心地使用网络，因此，要对密钥的产生、存储、传递和定期更换进行有效地控制，并引入密钥管理机制，对增加网络的安全性和抗攻击性。从安全技术来讲，在所有的安全技术中，密码技术是解决信息安全的核心技术。⑧病毒防范与监控。基于网络的计算机防毒手段日益为银行系统所重视，以及计算机网络的普遍使用，加剧了病毒的传染性，由于病毒的潜伏期和传染性的特征，使得单机手工查杀病毒难以做到斩草除根，尤其需要防病毒系统化，反病毒实时化。

3 采取措施防范数据处理集中后技术风险

目前国内银行灾难备份和业务连续性管理主要集中在系统故障、人员操作、机房维护和短电力中断等情况，在防范自然灾害、重大疫情和恐怖袭击等应对管理还需要加强，一是要强调“突发”与“应急”，由于灾害事件不确定性，应急管理与保障工作必须建立在高强度实战性基础上，使灾难应急管理真正适应“应急”要求；二是要扩大应急预案本身覆盖范围，我国金融业灾难备份及业务连续性管理主要集中在IT部门，远远适应业务连续性需要，应当强调业务部门与IT部门共同构建适应现代金融业发展需要应急保障体系，确保运营安全。

3 发展、深化金融信息化建设

金融信息化的前景是美好的，但如何让信息化落到实处，是我们目前需要面对的问题，虽然我国在金融信息化进程中取得了巨大的进步，但是在安全方面还是存在着诸多的隐患，分析这些问题对今后的发展有借鉴意义，在发展中，不可避免地会有一些问题的存在，解决这些问题，就能进行我们下一步的发展，主要应该严格落实以下几点：

3.1 信息系统安全。其对象包括操作系统、数据库系统、应用系统、控制系统、网络设备、终端设备、通讯设备、视象设备、控制设备、集成电路、智能卡和计算机设备等，主要是解决信息安全设计、生产、测试等方面的安全问题，

3.2 非法入侵的安全审计与跟踪。为对入侵者起到威慑作用和追查作用，应加强安全审计和事后追踪的力度，防火墙虽然能够起到一定的作用，但不可能防止所有的入侵，网上银行的一个重要内容就是防止非法入侵。

3.3 建立网络防计算机病毒机制。建立病毒监测系统，对感染了病毒的流动信息给出预警，建立严密的防病毒系统，对所有服务器进行病毒监测，并有相应的强制性手段。

3.4 可以利用（PKI）来对访问用户进行身份强鉴别，对网络访问用户身份进行强鉴别的行为，能在一定程度上保证网络的安全。

3.5 要保证信息的完整性和秘密性。任何合法用户都可以在这里进行信息的交换和获取，网上银行系统的信息传输完全向互联网开放，为了保证信息的完整性和秘密性，可以使用密钥加密的办法保证信息的秘密性，可以通过对动态信息进行签名保证信息的完整性；为保证信息的完整性和秘密性，可以通过对静态信息进行保存，利用密码对文件进行锁定。

4 结束语

金融是现代经济的核心，金融信息化的安全在国民经济信息化中的重要性不言而喻，在历经了网络建设、数据大集中、网络安全基础设施建设等阶段后，如今，我国金融信息化已进入了体系化信息安全管理的阶段，亟待建立一套金融信息安全保障体系，有效地防范和化解安全风险，统一安全问题处理规范和流程，增强金融系统的信息安全整体防范能力，以保证金融机构的信息系统平稳运行及各项业务的持续展开。

参考文献：

[1]王月霞.21世纪金融趋势[M]北京：中国金融出版社.2007.

[2]中国人民银行.金融信息化发展战略研究，工作方案征求意见稿[EB]北京：金网在线，2003.3.

[3]张立洲.论金融信息化对金融业的影响[J].北京：财经问题研究，2002.3.

[4]付亚东，张焱.从金融信息化到信息金融[J]科技进步与对策，2001.5.

[5]卢小冰.推进金融信息化，促进金融体制改革——国家十五科技攻关项目简介[J].中国金融电脑.2006.1.

[6]唐世渭，童云海.我国金融信息化现状与十五期间发展策略研究[J]北京：中国金融电脑.2008.8.

4.新时期金融信息安全体系构建措施 篇四

摘要：近年来，信息化在各个行业的应用和融合逐渐深入，金融业也受其推动而获得了快速发展，但金融信息安全问题始终是金融行业发展的一个敏感和热点问题。

下面本文主要分析金融行业计算机信息存在的风险，并在此基础上提出构建计算机信息安全保障体系的一些可行性建议。

关键词：金融行业 计算机 信息安全 保障体系

随着社会的不断进步和发展，信息系统改变人们的生活方式，推动了整个社会的发展，金融行业也不例外。

信息化虽然给人们带来了极大的便利，然而计算机信息技术的发展也存在潜在的信息安全问题。

在这一背景下，计算机网络的开放性与金融信息的私密性又具有直接的矛盾，金融行业信息安全形势也不容乐观，加强金融行业计算机信息保护，构建更加安全可靠的金融信息安全保障体系显得尤为重要。

一、金融行业计算机信息存在的风险

(一)计算机数据被攻击窃取

计算机病毒和木马依然是目前金融行业信息风险的主要因素。

计算机病毒和木马在计算机程序中潜伏，被激活后会对其他程序进行感染和破坏，轻者造成数据毁坏、丢失，严重者甚至可能使整个信息系统瘫痪，是破坏计算机数据的一个主要因素，也是计算机面临的一个主要安全问题。

一旦金融计算机数据传输系统被破坏，就可能会导致数据被窃或者客户资料泄露，甚至导致客户资金或证券交易价值损失。

(二)系统设计维护的缺陷

金融行业的各项信息系统设计不可能做到完美无缺，任何一个系统都具有固有的缺陷，这就为不法分子留下攻击的漏洞，并且无效的安全管理也是造成安全隐患的重要因素，将直接影响客户和银行的资金安全。

通常情况下，金融计算机系统都有管理人员对其进行监视，若发现漏洞则应对其危险程度进行分析，并应积极采取相应措施进行补救。

然而即使是维护过的系统，在软件更新或者升级后又可能会产生新的漏洞，依然会危及金融系统的安全。

二、金融行业计算机信息安全保障体系的构建

为了确保金融行业计算机信息安全体系的有效运行，就必须要构建一个安全、有效的信息安全体系对其进行保护，从而在计算机技术内部形成有效的防火墙，并加强系统的维护和管理，以预防和阻止由于非法入侵、攻击、盗用等造成的信息遗失安全问题。

(一)推进金融科技标准化体系

近几年，标准化体系建设已经成为人民银行科技主管部门的一项重要工作，为金融行业信息技术发展的做出了行业规范。

在实际发展中，金融行业在计算机信息管理，专业研发、维护和管理部门和人才等方面做了大量的工作。

金融机构既建立计算机信息系统规划、开发、建设、维护等相关技术部门，也设立风险管理部门和安全管理部门。

为了更好地推进金融科技标准化工作，各金融行业风险管理部门要加强对安全风险进行监视，从组织监督检查的角度，由金融系统内部审计部门，对其业务流程及系统运作情况进行安全监督检查，及时将监视结果提供给其他相关部门;安全管理部门要加强对管理制度、法规、安全细则等进行规定，并通过监督、指导、管理等使制度得到落实，从信息安全管理层面使金融信息安全体系的防范级别得到切实提高。

(二)加强计算机信息数据的保护

金融行业服务业已进入大数据时代，要求数据存储系统具有较高的可靠性，只有完善的数据存储才能更好的保障其访问和交易过程的顺利进行。

若系统出现故障，可能会出现业务中断、客户流失，甚至资金链断裂等等诸多问题，会很多大程度影响客户体验和企业信誉度。

金融行业不仅要开发适合本机构的金融产品和完整有效的信息系统，更应该加强备用数据中心的建设，强化减灾容灾能力。

这样，在数据中心无法继续正常运行时，可以通过使用备用数据中心通道来维持系统的正常工作，从而更好的防范数据问题引起的服务事故，为网络信息安全保障体系建立强大的服务后盾。

(三)积极跟进新型信息安全技术

计算机信息安全技术是维持信息安全体系的关键，合理运用安全机制，积极探索和采用新型信息安全技术，可以保障系统的顺利运行和广大人民的资金财产安全。

一是要加强网络访问者身份认证。

金融行业要采用静态密码认证、动态密码认证、指纹识别、数字证书以及其它新型认证方式，做好客户身份认证工作，同时也要避免客户相关隐私信息被盗用。

二是加强网络病毒木马的实时监测。

坚持金融行业计算机网络安全以防护为主的原则，做好病毒防护系统升级工作，主动强化对病毒木马进行实时监测，分析病毒木马最新动态，制定合理的防护机制和预警机制，从而更好的 对其进行防范;三是加强计算机信息系统软硬件管理、维护和升级工作。

计算机信息系统的正常运行是以软硬件设备为基础的，其安全性设计和优化配置对于保障系统信息安全都尤为重要。

在实际工作中既要积极解决信息系统安全设计、生产、测试、运营、维护等方面的问题，提高系统设备安全性，从而更好的保障计算机网络安全策略的顺利执行，也要做好系统的更新和升级工作，要把用户体验好，安全防护好各类新型金融信息产品投入运行。

三、结束语

在信息化愈加普及的今天，金融机构更应重视计算机信息安全系统的构建，不仅要加强对信息资源的保护，同时还要建立完善、可靠的金融信息安全体系，以安全技术以及防护手段作为安全体系构建的支撑，确保信息体系的安全运行和实施，保障监视、评审信息安全，从而切实保障客户的个人信息安全，最终才能不断推动推动金融业的快速发展。

参考文献：

[1]韦雪江.我国金融行业计算机信息安全形势分析和研究[J].计算机光盘软件与应用，

[2]袁晓冬.银行业金融机构信息安全存在问题及建议[J].金融科技时代，2013

5.金融机构信息网络安全 篇五

一、金融信息安全概述及现状

金融信息安全是根据金融信息系统在计算机网络环境下的实际应用需求，将密码学、密钥管理、身份认证、访问控制、应用安全协议和事务处理等信息安全技术运用系统安全工程中，并能在系统运行过程中发现、纠正系统暴露的安全问题，它关系到金融机构的生存和经营的成败。

金融信息安全是在当今恶劣的计算机网络环境下孕育而生的必然产物，它是金融信息系统得以生存的重要保障，各大金融机构和在线零售业将金融信息安全视同资金安全一样重要。近年来，随着经济建设速度的加快及计算机网络技术在金融业的广泛应用，金融信息被赋予了更多新的特性，如快捷、便利和易获取等。但当计算机网络的开放性与金融信息的私密性发生碰撞时，计算机网络环境下金融信息安全形势就会更加严峻。仅以一年中国内外金融机构及零售机构接连不断发生的影响性较大的信息安全事件为例：1月，韩国发生金融行业最大规模信用卡个人信息泄密事件，涉及约2 000 万用户，共 1 亿多条客户信息被泄露，最多的用户有 19 项个人信息被泄露，多名高管因此事件引咎辞职。3月，携程网被爆安全支付日志可便利下载，因此导致大量用户银行卡信息泄露。9月，美国家得宝公司确认其支付系统遭到网络攻击，有近5 600万张银行卡的信息被盗。面对如此严峻的形势，人们在不断地探究和寻找计算机网络与金融信息两者并生并存的平衡点。

二、计算机网络环境下金融信息安全保障体系的构建思路

(一)运用多样化的信息安全技术

要确保金融信息的安全，必须实现信息安全技术的全面化与科技化，因为它是整个金融信息安全体系的支柱。现在比较常见的安全机制包括：数据完整性和保密性、身份认证、病毒防御、安全审计与跟踪、系统安全等内容。

1.保证网络信息的完整性和私密性

在如今这个互联网开放程度很高的年代，各种信息包括网上银行的信息在向互联网传输的.同时都存在着安全隐患，因为任何用户都可以通过网络对信息进行提取或者交换。数字签名技术[2]

在网上银行的普遍应用，很大程度上保证了信息传输的完整性，并通过对信息发送者的身份认证，很好地解决了在交易中容易出现的纠纷问题。密钥加密的方法可以有效防止发生通信业务流分析、抵赖、伪造、非授权连接和篡改消息、消息流被观察和篡改等安全问题，以保证信息的保密性。为了保证网络中静态信息的完整性和保密性，可使用密码进行保存和锁定。

2. 对网络访问者进行身份认证

身份认证是保障网络信息安全的主要手段之一。通过它可以获取并确认网络用户的身份信息及访问权限，并确保企业或个人用户的相关隐私信息被正确的人合理使用。身份认证技术发展到今天普遍适用的技术包括数字证书、指纹识别、动态密码和静态密码认证技术等。

3.建立健全网络病毒预防机制

病毒防护系统是计算机网络安全的重要防线，建立健全病毒防护系统十分重要。在系统正常运行过程中需进行实时的病毒监测，建立病毒库对病毒进行整理和收集。同时制定合理的防毒机制，对可能出现的病毒感染进行预警，进而采取有效的措施进行防范。

4.加强安全审计与跟踪力度

防止非法入侵作为网上银行日常防护的重要内容，一直以来对防火墙的依赖有增无减，但是防火墙并不能够有效地防止所有的网络非法入侵。因此，我们需要格外加强安全审计和事后追踪的力度，提前对恶意攻击和侵入主机行为进行拦截，提供主动的防御能力，对入侵者进行有效的震慑和追查。

5.保障信息系统安全

金融信息系统中软硬件设备的安全性设计与优化配置是信息安全保障体系必不可少的重要环节。

其中，计算机软件系统中包括操作系统、数据库系统、控制系统、应用软件等;硬件基础设施包括计算机主机、网络通讯设备、控制设备、智能卡、终端外设等。为防止系统出现异常情况时确保计算机网络安全策略的顺利执行，实现计算机网络环境下网络层的安全访问，必须认真解决信息系统安全设计、生产、测试、运营、维护等方面的问题，从而实现系统设备的安全。

(二)强化金融信息保密管理

近年来，信息技术在快速发展的同时也伴随着诸多隐患，金融信息的保密性问题显得尤为重要。

随着科技的发展，盗窃密码的手段多种多样并十分隐蔽，密码一旦被盗窃则危害极大，所以，保密工作面临着诸多难题。金融行业的特殊性质要求其信息必须具备严格的保密性，尤其信息在网络中进行上传下达的过程中，其保密性更是不容忽视，因此，应做到以下几点。

1.树立正确的保密意识

我国在加入世贸组织后，有些人一直持有“无密可保、有密难保和保密无用”等错误认识。这些错误思想应彻底杜绝，并通过各种途径开展广泛宣传，如对基层领导干部、各单位涉密人员和保密干部进行相关方面的培训，对员工开展群众性的保密意识法制宣传教育，使其了解金融保密工作时刻关系着国家安全和自身利益的重要性。

2.抓实保密管理工作

为了确保网络金融信息安全体系的健全，金融行业应逐步建立保密管理的相关机构或部门，并要求有专人负责以便使管理更加规范化，其重点工作是强化涉密人员的岗位职责和对要害部位的重点监察，并进一步强化保密管理。

3.注重加密技术创新

开展新型技术研发一直是保密工作的核心任务，只有不断创新才能使保密工作更加坚固。随着网络银行的大力推广，许多新型网络安全技术也在逐渐普及和应用，如密码技术、防火墙技术、身份鉴别技术和病毒防御技术等。一些新兴技术要尽快进行完善，如网络隔离和电子认证技术。在硬件方面，我国在CPU开发和操作系统内核技术研究领域相对比较落后，应加大开发力度，尽快缩短差距。

(三)完善金融信息标准体系

建立健全金融信息的标准化体系给整个金融行业所带来的好处毋庸置疑。近些年随着我国金融信息技术的大力推广，标准化体系已成为网络行业相关技术发展的关键和迫切需要，也是使我国金融信息技术快速发展的重要措施。

对于我国的现代银行业来说，金融机构应该迅速建立健全相关部门，如科技信息部门应该具体负责本机构信息系统的统筹规划、开发建设和日常维护等技术方面的工作;风险管理部门专门负责信息管理系统的风险管理规章制度以及向有关部门提供相关的监管信息;审计部门则负责建立信息系统审计制度，配备相关人员进行信息的风险审计。根据金融信息标准设立安全管理机构，并进一步制定管理制度、法规与安全细则，将规范、监督、管理和指导网络金融信息系统的建设落到实处，从信息安全管理层面切实提高安全体系防范网络风险和金融风险的级别。

(四)构筑信息安全服务后盾

数据的存储是重要的网络金融研究课题，而信息数据如何存储才可保证网络金融服务的连续性，保证在访问和交易过程中不会间断甚至终止，是作为网络金融信息安全研究学者必须要思考的问题。一旦系统发生故障，可能会出现众多问题，比如业务中断、客户流失，甚至资金链断裂等，随之而来的后果便是金融企业的竞争力下降。因此，金融信息系统中的数据存储系统要求具有较高的可靠性。所谓的可靠应考虑到诸多方面，比如对各级系统和数据的保护。一套完整、有效的金融信息系统，应不受硬件、软件或者应用程序故障所带来的影响，如果数据中心由于某些原因无法正常工作时，应提前做好准备，由另一套备份的数据中心进行接管工作，继续维持任务的执行，当主数据中心恢复正常后，工作再转回主数据中心进行工作。

近年来，我国越来越重视对知识产权的保护，尤其是与银行金融业相关的自主性知识产权，如正版软件系统或者相关的硬件产品。应大力开发适合我国银行业金融机构的具有自主知识产权的信息系统和金融产品，并通过建立产品的平台化和服务的平台化等措施保护研发成果，为网络信息安全保障体系建立强大的服务后盾。

(五)培养金融信息安全专业人才

为了更快地适应信息化所带来的冲击，应尽快为金融行业培养出新型人才，把合适的人放到合适的岗位，是做好金融信息化安全工作的前提。目前，金融机构中很多的技术人员是纯计算机专业出身，他们没有系统学过金融方面知识，对金融行业知之甚少，在就业后有相当长的时间无法体现出自身价值。同时，由于金融机构的行业特点，金融信息系统的运行、维护、软硬件及数据方面的监察与维护都需要由专职技术人员专人专责，在工作过程中需严格按照专业规程和授权进行规范操作、定期检查和及时维护。现如今我国金融行业的信息安全保障人员很多是由金融从业者改行过来的，在信息技术方面往往无法真正达到要求，因而影响了我国金融信息化的进程。这些现状阻碍了网络金融信息安全保障体系的构建。为了满足目前网络金融行业的快速发展，培养当今社会急需的金融信息安全人才应掌握以下方面的知识内容：首先是金融与管理相关的基础知识，如金融学基础、会计学基础等;其次是信息技术相关的知识，如计算机软件、计算机网络技术、数据库和金融信息系统设计等;再就是金融方向的业务知识。对于我国的金融学府来说，尽快培养出金融和计算机信息技术的交叉复合型高端人才是迫在眉睫要解决的问题。

三、结语

致力于网络金融信息安全保障体系的构建与完善，应充分认清我们面临的金融风险和网络风险，采取相应措施和有效手段进行有效抵御，以增强我国金融领域信息安全的防护能力，从而确保我国的金融行业在计算机网络环境下长久、稳定地运行。

参考文献：

[1] 陶亮。计算机网络信息安全技术探讨[J].网络安全技术与应用，,(8)：75-76.

[2] 李伟民，褚玉晓。浅析计算机网络信息安全问题及对策[J].网络安全技术与应用，2014,(8)：174-175.

[3] 李国海。新时期金融信息安全体系构建策略浅析[J].中国金融电脑，,(7)：47-51.

6.金融机构信息网络安全 篇六

答：《办法》落实了《指导意见》的有关要求，规定网络借贷(以下简称“网贷”)是指个体和个体之间通过互联网平台实现的直接借贷，即大众所熟知的P2P个体网贷，属于民间借贷范畴，受合同法、民法通则等法律法规以及最高人民法院有关司法解释规范。网贷业务是以互联网为主要渠道，为借款人和出借人实现直接借贷提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务。网贷信息中介机构(以下简称“网贷机构”)是指依法设立，专门经营网贷业务的金融信息服务中介机构，其本质是信息中介而非信用中介，因此不得吸收公众存款、归集资金设立资金池、不得自身为出借人提供任何形式的担保等。

目前，许多网贷机构背离了信息中介的定性，承诺担保增信、错配资金池等，已由信息中介异化为信用中介，为此，《办法》将重点对此类行为进行规范，以净化市场环境，保护金融消费者权益，使网贷机构回归到信息中介的本质。

二、网贷的特点及发展网贷的意义有哪些?

答：网贷利用互联网信息技术，不受时空限制，使资金提供方与资金需求方在平台上直接对接，进行投融资活动，拓宽了金融服务的目标群体和范围，有助于为社会大多数阶层和群体提供可得、便利的普惠金融服务，进一步实现了小额投融资活动低成本、高效率、大众化，对于“稳增长、调结构、促发展、惠民生”具有重要意义。

此外网贷机构与传统金融机构相互补充、相互促进，在完善金融体系，提高金融效率，弥补小微企业融资缺口，缓解小微企业融资难以及满足民间投资需求等方面发挥了积极作用。

三、当前我国网贷行业基本情况及存在的主要问题?

7.信息安全为金融创新保驾护航 篇七

金融创新需要信息安全的保障

信息网络的兴起和发展正改变着许多行业, 金融也在其中寻找创新的机会。在金融创新的过程中, 信息安全作为其保障, 重要性愈加凸显。

首先, 金融创新将会使金融业务在更大程度上依赖于信息网络, 这种依赖将使海量的数据进入网络, 从而对信息安全必须提出更高的要求。其次, 云计算、大数据、移动因特网、物联网、智慧城市等新一代信息技术的发展, 也使金融行业的应用环境更加复杂、更加多样, 带来信息安全保障的更大难题。针对这两点, 信息安全工作在金融创新的过程中是十分重要的, 对其要求也越来越高。

“棱镜门”事件曝光之后, 原来依托国外软硬件建立起来的金融业务平台, 其安全感瞬间降低, 信息安全隐患也得到了高度的重视。人们认识到, 如果信息系统中软硬件不能自主可控, 信息安全是无法得到保障的。例如按照美国法规 (《爱国者法案》等) , 美国公司必须将其掌握的用户数据提交给安全部门进行监控, 所以我们更要正视因信息系统中采用外国跨国公司的技术和设备而带来的安全风险。在此背景下, 我国金融业的信息安全问题和现状需要得到重新的认识。

目前, 我国金融业中普遍采用了国外的产品, 主要是IBM、甲骨文 (Oracle) 和EMC等企业的软硬件。随着“棱镜门”事件的曝光, 人们认为, 要解决金融业的信息安全问题, 提高安全等级, 必须“去‘IOE’”, 即使用国产软硬件来替代以“IOE”这三家为代表的跨国公司的软硬件。

金融业去“IOE”只是我国各行业各领域目前进行的若干国产化替代工程之一。但这是否不符合“国际化”的潮流呢?确切地说, “国产化替代工程”和“国际化”潮流两者之间并不存在冲突, 因为某些领域并不适合“国际化”。许多发达国家在信息技术领域都是坚持研发和使用本地的产品。例如美国, 其生活用品许多是由其他国家生产的, 但信息领域全部采用国产产品和服务, 丝毫没有“国际化”的痕迹。近段时间, 我国华为、中兴的通信产品因性价比较高, 在美国市场上受到青睐, 但美国政府以存在安全风险为由, 宁愿违背自由竞争的市场经济原则, 也要将华为、中兴排除在美国市场之外。同时, “棱镜门”此类事件凸显增强信息安全的迫切性, 因此, 我国在对待信息领域产品方面要借鉴美国等发达国家的经验, 支持国产IT产品在行业中的应用。

国产化替代工程

从历史上看, 我国重要行业、重要信息系统大量采用外国技术及设备是由于过去我国的信息技术和产业都很落后, 许多核心的技术都掌握在外国企业中, 不得不采用进口的技术和设备。但随着我国在信息技术和设备研发的重视和投入加大, 已经有许多成功的国产化替代例子。比如北斗全球定位系统、TD-SCDMA和TD-LTE等已经成为国际上位于前列的系统或标准。同样, 在信息基础设施方面, 百度、阿里、腾讯等许多因特网企业的云计算中心都采用了大量国产软件, 华为、中兴等公司也已经能够提供性价比高的信息基础设施, 能够支撑大型跨国公司基于云计算的信息系统。这也进一步说明了我国实行国产化替代的时机基本成熟。

国产化替代的实施

当前正值国产化替代的黄金时期, 但要实施并完成这一历史使命, 仍然需要多方的努力。一方面要更好地发挥市场在资源配置中的决定性作用, 建立以企业为主体, 以市场为导向的技术创新体系, 鼓励形成更多“政产学研用”相结合的产业联盟, 如国产主机产业联盟这一类型的NGO组织。另一方面, 相关部门要给予更多政策红利, 鼓励社会各行各业使用国产的产品和服务, 引导社会相关资金投入到国产技术和设备的研发, 同时鼓励相关的公益组织良性发展, 使之发挥创新精神, 带动相关产业的发展。

为了保证国产化替代工程的成功实施, 客观地衡量国产化替代的效果, 在替代过渡和实验的过程中, 需要制订相应的评价指标。指标至少涵盖以下5个方面:功能, 产品是否能够完成所需的任务;性能, 应用是否有足够的效率;稳定性, 产品是否能够持续工作;用户体验, 用户是否感到满意;迁移性, 即是否能够保护用户已经形成的数据资产, 在替代过程中不会造成重要数据丢失。同时, 根据特定的场合, 可适当加入其它特定的评价指标。

K迁工程

K迁工程是一个重要的国产化替代的成功工程, 主要适用于金融等相关领域, 是以浪潮集团自主开发的K1主机为核心的国产软硬件替代工程。

8.金融机构信息网络安全 篇八

6月1日，中国证券业协会下发了《关于加强证券公司信息安全事故通报工作的通知》，要求证券公司加强信息安全通报。

《通知》指出，证券公司信息安全事故按照信息系统的重要性、事故影响时间以及影响范围划分为事故和重大事故。而按照《通知》要求，证券公司发生技术事故后应按证监会和协会有关信息安全事故通报要求，在事故发生、事故处置、事故报告等各个阶段，通过电话和协会信息安全通报系统及时报告协会，并同时按监管要求报告辖区监管部门。

与此同时，中国银监会也发布《商业银行信息科技风险管理指引》(以下简称新《指引》)，以取代2006年11月颁布的旧版《指引》。

新《指引》提出了商业银行信息科技风险管理的“三道防线”—信息科技管理、信息科技风险管理、信息科技风险审计。同时新《指引》明确要求，商业银行设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，并设立首席信息官，直接向行长汇报，并参与决策。而信息科技风险管理的第一责任人则是银行的法定代表人。

对此多家商业银行风险管理部人士表示，新规出台将改变此前商业银行各行其是的做法，商业银行IT风险管理将升级为一种常规性管理。

9.金融机构信息网络安全 篇九

2007年11月15日 13:04

江涌

我国金融信息安全正面临严重威胁。

世界四大会计师事务所已控制了中国的会计审计业，中国企业发生的一些问题很难说与此无涉。

我们的许多大企业和银行已没什么商业秘密可言。

8月28日，中央领导同志集体学习，安排的内容是关注世界金融形势和深化我国金融体制改革。这是继年初全国金融工作会议之后，高层再次聚焦于金融领域。根据有关部门的总结，我国金融改革的成绩可谓靓丽：国有商业银行改革取得突破性进展，农村信用社产权制度和内部机制改革稳步推进，资本市场基础性制度建设得到加强，人民币汇率形成机制的改革顺利实施……按理说，有了这么一大堆成绩，中国的金融安全理应能得到很好保障了，中央领导不必对金融放心不下。然而事实是，中国的金融风险与报道的金融改革成绩一样不断上升。

风险丛生

高层聚焦于金融风险，并非偶然。除了美国冷不丁闹了个次债危机、引起国际金融市场一片恐慌外，大凡稍有理性的人，都会对中国股票市场、房地产市场、外汇市场所累积的风险惴惴不安。他们担心的不只是一般的市场风险，更是监管者对这些风险的判断以及应对措施。

中国现在的金融风险，除了普遍关注的金融市场风险外，另类金融风险——不当开放带来的金融信息风险则被普遍忽略。信息是信息时代的关键要素，金融信息是金融市场的稀缺资源。一个有效的金融信息，足可令金融市场潮起潮落，相关财富转瞬间即实现重新分配。因此，有效金融信息不仅是金融监管当局、金融机构以及投资者孜孜以求的一般要素资源，更是企业与企业之间、国家与国家之间竞争的战略资源。国际金融机构、金融大国都通过各种途径尽其所能地获取有效金融信息。

中国金融信息安全正面临日趋严重的威胁，集中表现在：世界四大会计师事务所已经控制并试图垄断中国的会计审计业，三大评级机构在中国的积极展业如入无人之境，国际投行对中资企业境外上市的咨询承销已形成垄断，国际战略投资者的引进使中资金融机构的投资经营活动近乎无密可保。由于篇幅所限，本文只集中论述四大会计师事务所对中国信息安全的影响。

天赐良机

与信用评级机构一样，会计师事务所是一个非常特殊的金融服务行业，通常被看成是金融服务的中枢。1932年《财富》杂志推出的排行榜，首次凸显出“八大”会计师事务所，后来合并为“六大”、“五大”，即普华永道、安达信、安永、毕马威、德勤，清一色的美资。由于它们拥有悠久的历史、完善的管理制度、遍布全球的业务网络、全方位的服务以及许多成功的案例，“五大”成为国际知名品牌。上世纪90年代初，“五大”陆续登陆中国大陆，获准在华设立合资会计师事务所。后因安达信2001年卷入安然等大公司财务丑闻从而导致破产，“五大”变成了“四大”。

9.11后，世界经济低迷，企业经营活动放缓，欧美资本市场的股票承销和并购业务剧减。屋漏偏遭连阴雨。2001年美国一些巨型公司倒闭，对审计欺诈的恐惧，不仅结束了安达信的风光，也令“四大”陷入困境。然而，天佑“四大”。中国经济高速发展，审计以及财务咨询市场越来越大，国内市场对会计师事务所的需求前所未有，整个行业的规模几乎每年都以不低于10%的速度增长。2001年，中国一些本土会计师事务所陆续卷入“银广夏”、“郑百文”、“蓝田股份”等会计丑闻，中国证监会由此颁布“补充审计16号文”，要求上市公司IPO(股票首次公开发行)及再融资时，财务报告除国内会计师事务所进行法定审计外，还必须由国际会计师事务所进行“补充审计”。一些银行也相继规定，贷款的公司必须到指定的外资会计师事务所进行信用审计。这里不仅有中央监管部门、大金融机构，还有一向对外资“无比友善”的地方政府。如2004年1月底，深圳市就要求深圳基础产业国有企业年度审计工作全部由“四大”承担。借助这些优惠政策，“四大”在中国狂飙突进。

中国注册会计师协会发布的“2004年度会计师事务所全国百家信息”显示，普华永道中天、毕马威华振、德勤华永、安永华明分别以9亿、4.3亿、3.7亿和3.2亿元位居业务收入前四名，而位居其后的国内会计师事务所中收入超过1亿元的仅有上海立信长江一家。“2005年度会计师事务所全国百家信息”显示，普华永道中天、毕马威华振、德勤华永、安永华明分别以12.4亿、7.1亿、6.5亿和6.2亿的收入位居前四名。根据中国注册会计师协会的统计，“四大”在中国的业务总收入2002年为16.94亿元，占该年度中国百强事务所业务总收入的38.23%；2005年占49.46%。“四大”已几乎垄断了中国高端会计审计业务，垄断了我国海外上市企业的所有审计业务。在1400多家A股上市公司审计业务中，“四大”审计的资产超过40%。当中行、建行、工行分别以数亿计的费用主动向普华永道、毕马威、安永投怀送抱时，5600多家本土会计师事务所正为每笔几万元甚至几千元的业务打得头破血流。

神话戳穿

长期以来，中国相关主管部门与企业自信心严重不足，对“四大”崇拜有加，都想借助其所谓“卓越声誉”在国内外市场中树立起信誉。但审计实践却表明，“四大”并没有能够提供更高质量审计服务的证据。

早在2001年财政部公布的会计信息质量抽查公告中，毕马威就因为中石化河南分公司、广西玉柴机器股份有限公司的会计报表数据失真等受到通报批评，2001年更因为锦州港事件而创造了国际著名会计师事务所在华成为被告等三项第一。安永因为2004年的中航油事件风险手册而广为诟病。2006年安永全球发布《不良贷款报告》，在遭到中方严正驳斥后宣布收回报告，承认其中关于中国银行业不良贷款的数额估计“没有根据，是个错误”。2005年财政部公布例行的会计信息质量检查公告，普华永道因上市公司“黄山旅游”的问题而被责令整改。紧随其后，普华永道因失察而被G外高桥提起仲裁，要求追究审计责任并赔偿巨额损失。德勤则深陷“科龙门”事件，因在存货、应收账款、销售收入等审计过程中执行的审计程序不充分而遭受普遍指责，并因科龙资不抵债而成为诉讼重点。此外，德勤在中芯国际、古井贡、创维等多个审计事项中不断为自己的清白辩护。

国内很多媚外人士很善于自我解剖，认为“四大”在中国遭遇的诚信问题根源在于我国司法制度不健全，社会风气不好，诚信普遍不足，使得外资事务所难免出现“淮南为橘，淮北为枳”的境况。虽然自我解剖精神可嘉，但妄自菲薄实在不可取。作为垄断资本，“四大”逐利而且是暴利之本性丝毫没有因国而异。其实，“四大”在美国本土与西方世界“独立、客观、公正”的神话早已被戳穿。

2005年8月，德勤因涉嫌为罗孚汽车公司避税而获取额外报酬，从而受到英国会计调查与纪律委员会的独立调查。2005年9月，持续数年的日本保险公司状告德勤一案有了结果，德勤至少付出2亿美元，成为有史以来全球审计公司中为诉讼和解付出的最昂贵代价。2006年5月，普华永道的日本公司被日本金融厅责令停止最大客户审计业务两个月，原因是该公司的内部控制措施松懈，导致化妆品公司嘉娜宝出现会计欺诈行为……

即便在美国本土，随着越来越多的参假涉假丑闻被曝光，美国监管机构也越来越难以包庇纵容这些会计师事务所。近乎每个大公司(如世界通讯、安然、施乐、微软、IBM、波音、朗讯等)财务丑闻的背后都有“四大”的身影，但几乎没有一个重大财务舞弊案是由“四大”自己发现的。2005年8月，美国司法部着手调查毕马威涉嫌妨碍司法公正和非法避税问题。美国国税局称，避税策略使20多家公司至少少缴了17亿美元的税款。

在2000年安达信从安然公司获取的收入中，审计收入为2500万美元，竟然低于2700万美元的非审计收入；毕马威2002年从通用电气公司得到的审计收入仅为2390万美元，而咨询服务费收入则高达7970万美元。大量的非审计服务收费引起市场的广泛批评，甚至连美国证监会(SEC)主席也不由感慨：“如果审计收入只占事务所收入的30%，那事务所的独立性又怎能保证？”

美国在安然事件后成立的“上市公司会计监督理事会”2003年6月～12月间对“四大”的审计业务进行了抽查，发现了大量的审计错误。根据其提供的报告，“四大会计师事务所在2003年审查账户中错误地使一些客户低估其债务和歪曲其财务状况”，“错误地解释一项已经九年的规范”。美国证监会的首席会计师称，“四大”个个都需要改善其审计质量。

当安达信陷入危机时，其执行总裁贝拉迪诺在给雇员的信中写过这么一句话：“我们不是第一个、也不会是最后一个陷入这种困境的大机构。”

祸害深远

“四大”进入中国后，通过各类公关活动，与中国相关政府部门保持良好关系。特别是通过与政府合作方式，把自己和监管部门紧密联系在一起。德勤从1993年开始，就作为项目顾问参与财政部制定中国会计准则，此后长期协助财政部推进此发展方案。此外，德勤还与国家税务总局、国资委等政府部门有着密切的合作。中国注册会计师协会还聘请四大会计师事务所起草《风险导向审计程序》，以此“构建更完善的政策制度”。自1995年起，毕马威上海首席合伙人萧伟强就担任中国会计审计准则外国专家顾问，安永的中国区合伙人邱家赐担任证监会发审委委员。由于和政府部门关系密切，“四大”在华受到的监管很少，因此可以便利地谋取更多更广泛的利益。

诸多国家和地区都制定相关措施限制外资会计师事务所于境内展业，如台湾对外资会计师事务所进行较为严格的限制，外资事务所的会计师必须考取当地的资格后才能执业。印度除此以外还要求外资事务所做上市公司业务后须经本土事务所复核。日本、韩国等国家也对本地的会计师事务所采取保护措施。而像中国这样多个政府部门与一个始终对中国不很友善国家的机构保持如此密切关系、并使其享受多种“特许经营”，在国际上是罕见的。或许正是因为这种罕见的关系，使中国监管部门宁愿牺牲本国机构的利益，来讨好满足这一特殊群体的需要。正是在中国相关监管部门的帮助下，“四大”几乎垄断了中国大企业，尤其是金融企业、跨国企业的审计业务。“四大”也因为这种“特许经营”而获取高额垄断收益。研究显示，同一个审计项目，“四大”的收费高出国内所2～5倍很正常。以收费标准最高的北京为例，国内所的主任、副主任会计师每小时收费300元，而安永为2750元。随着审计事务所并购加速，行业集中度会越来越高，＂四大＂的优势将越来越明显，获取的垄断利润也会越来越大。

跨国垄断资本的本性是获取暴利与实施控制。控制是为了更好、更稳定地获取暴利，而暴利则更便利、更有条件实施控制。在华垄断地位不断强化的“四大”不只是获取丰厚的市场利润，而且是获取更具有战略性的资源——信息。“四大”审计的大型企业特别是金融类企业，关系着中国经济命脉。这些企业完全由“四大”来审计，无疑将中国经济的重要数据暴露给了外资。据中国银行一经理人员透露，在中行上市审计期间，中行高层专门指示各部门必须为普华永道提供一切可以提供的资料，而很多资料本来对自己的研究人员都实行保密。不仅如此，还由“四大”来设计企业改革、融资模式，如普华永道为中国工商银行规划了未来八年的公司治理机制和全面风险管理改革路线图，这意味着企业的核心竞争力和弱点毫无保留地展现给了外资。近年来，中国“走出去”的企业屡屡遭遇不顺，巨额经济损失时有发生，相关专业人士认为，一方面是因为我们缺乏经验；另一方面，恐怕也是最重要方面，就是我们的企业已经无商业秘密可保。外资审计、评级、咨询、承销，还有战略投资、管理顾问等，已经使中国企业乃至部分政府部门在近乎透明的状态下运作。

10.金融市场·产业信息 篇十

创业板有望正式开启

3月31日，中国证监会正式发布《首次公开发行股票并在创业板上市管理暂行办法》，该办法自2009年5月1日起实施。这意味着筹备十余年之久的创业板有望正式开启。

创业板，顾名思义就是给创业型企业上市融资的股票市场。由于创业型企业一般是高新技术企业和中小企业的缘故，世界上几乎所有的创业板市场都明确表示鼓励高新技术企业或者成长型中小企业申请在创业板发行上市。

不良贷款余额和比例双降

中国银监会发布的统计数据显示，一季度中国商业银行继续保持了不良贷款余额和比例“双下降”态势，三月末，中国境内商业银行不良贷款余额较年初减少逾一百亿元，不良贷款率约为百分之二，较年初下降零点三八个百分点。

财政部预警金融衍生品投资

财政部上月发布《关于当前应对金融危机加强企业财务管理的若干意见》，对企业海外并购发出忠告，要求“积极稳妥地推进企业并购重组工作”。

《意见》还要求，切实加强企业金融衍生品投资管理。根据企业主营业务发展需要，审慎从事套期保值等金融衍生品投资；健全企业内部金融衍生品投资控制制度，完善管理和决策程序，杜绝金融衍生品投机行为。而就在不久前的3月24日，国资委刚刚对外发布了《关于进一步加强中央企业金融衍生业务监管的通知》,一个月之内政府有关部门又一次发出提醒之声。

高盛集团业绩复苏

高盛集团第一财政季度净利润增加20%，在上个季度出现自10年前上市以来首次季度亏损后业绩复苏。高盛集团表示，将发行50亿美元普通股，以筹集资金偿还政府资金。此举将使该公司发行在外股份增加8%左右。

产业信息

美国汽车巨头可能破产

美国通用汽车和克莱斯勒的重组计划3月30日遭美国政府汽车业特别工作组否决，这两家公司可能被迫通过破产程序来削减债务。美国总统奥巴马指出，通用汽车和克莱斯勒必须找到政府庇护之外的生存方式，两家公司还有最后一次机会，在短时间内进行“彻底重组”并以此证明新申请的贷款的合理性。奥巴马说，美国政府不应也不会任由本国汽车业轻易崩溃，但也不能容忍其一直处于困难的状况，更不能用纳税人的钱来无限制地对其进行救助。

钢厂进口铁矿石出现浮亏

4月13日，商务部贸易司副司长梁树和表示，由于对我国钢铁业形势的错误判断，国内钢厂与贸易商大量进口铁矿石，导致3月份进口量创下历史新高。3月，我国铁矿石港口库存超过7000万吨，逼近历史高点。

分析人士认为，3月份到港的矿石价格在80美元/吨区间，目前价格已经回落至60美元/吨左右，钢厂和贸易商“赌涨”再现浮亏。此前，在2月份，国内钢厂和贸易商进口铁矿石已经出现浮亏，因此，这已经是第二次钢厂进口铁矿石出现浮亏。

五矿有色购买OZ多个矿区

几经波折，五矿有色于4月13日与OZ Minerals达成了新的收购协议。OZ方面将向五矿有色出售包括Sepon，Golden Grove，Century，Rosebery，Avebury，Dugald River等多个矿区，以及其他勘探和开发资产，总计作价12.06亿美元。

而此前，因国家安全问题遭到澳政府否决的Prominent Hill铜金矿，OZ在柬埔寨、泰国等地的部分矿产，以及包括Toro Energy在内的OZ投资资产，则将被该公司予以保留。

三大航空公司陷巨亏陷阱

4月17日，随着三大国有航空公司均交出2008年的经营业绩，三大航以总计279亿元亏损创下中国民航史上最大规模的年度亏损额。不仅如此，中国这三家航空公司的亏损额也几乎占了全球航空公司去年亏损额的一半左右。

第105届广交会“减员”

2009年4月15日，被视为中国外贸“风向标”的第105届广交会在广州琶洲广交会展馆举行，共有22104家境内外企业参展，比上一届减少237家。商务部部长陈德铭16日在第105届广交会上调研时表示，目前我国外贸形势出现了一些积极变化，出口下滑的幅度有所收窄，但外部市场需求萎缩的态势未发生根本改变，对保持外贸发展既要坚定信心，又不能掉以轻心。

一季度中国造船完工量同比增长

据国家工业和信息化部消息，2009年一季度，全国造船完工量636万载重吨，同比增长45.5 %；新承接船舶订单79万载重吨，同比下降94%；截至3月底，手持船舶订单19934万载重吨，同比增长12.7%。

四五星级宾馆出租率仅五成

国际金融危机影响仍在扩散和蔓延，我国旅游业外部环境严峻。

11.金融标准化工作力保信息安全 篇十一

2004年, 《金融业星型网间互联安全规范》发布实施, 从而规范了金融业星型网间互联涉及的信息安全保障技术措施、物理环境与人员安全、安全运行与管理。

2008年, 发布了《银行业信息系统灾难管理规范》, 该标准贯彻落实了国家关于提高重要信息系统灾难恢复能力的方针、政策, 对促进银行业信息系统灾难恢复工作、有效防范银行业信息系统风险、规范灾难恢复应急管理和日常运维管理等发挥了重要作用。

2009年, 国家标准《银行业务安全文件传输 (零售) 》发布, 填补了国内金融领域银行零售业务环境下安全文件传输标准的空白, 对促进国内银行业安全管理技术水平的提高、防范金融信息安全风险起到一定作用。

在网络与信息系统安全保障方面, 为不断加强网上银行安全保障工作, 人民银行正在抓紧制订网上银行相关的信息安全管理规范, 这将进一步有效提高银行业防范网络犯罪、渗透、攻击破坏的能力。为更好地指导金融机构落实信息安全等级保护工作, 明确金融业具有行业特点的信息安全等级保护基本要求, 人民银行拟开展“金融业信息安全等级保护实施指引”系列金融行业标准编写工作。

当前, 金融标准化工作正处在一个新的历史阶段和新的发展起点上, 金融标准化工作的继续推进必将为我国经济和社会全面、协调和可持续发展作出更大的贡献。

12.金融机构信息管理论文 篇十二

一、金融机构信息管理工作在实践中不断完善

目前，天津辖内金融机构编码的申请已经成为金融机构开业之前必要条件，同时按照《规定》要求，金融机构有义务和责任对其及辖内分支机构的机构信息变化进行备案。为了加强对金融机构的监管力度，从起，天津分行的综合执法和综合评价工作中就已包括了金融机构编码工作。前者按照牵头部门的年度安排同步进行相关机构编码的抽查工作。针对现场检查发现的问题提出整改建议，并督促其进行落实。后者则是在年末分行对金融机构的评价结果中将其机构编码工作的完成情况作为评判标准之一。结合“两综合，两管理”，机构编码工作的监管手段不断增多，力度不断增强。反之，随着金融机构编码在各个领域的广泛应用，势必会加强人民银行各系统或者说各业务之间的互联互通，对各业务之间的联动检查提供了便捷或可能，从而促进“两综合，两管理”中其他业务的检查监督效率。

二、金融机构信息管理工作中存在的问题及原因

金融机构信息管理工作已推广近四年的时间，操作流程得到梳理、验证和规范，制度总体执行情况良好，基本建立了金融机构信息管理体系。同时，经过长期的业务实践和系统操作，也有些具体的问题需要进一步改进。

(一)制度条款的`修订和颁布不及时

《金融机构信息管理规定》于颁布，内容涉及金融机构信息的管理与使用，编制规则，信息的新增、变更或撤销流程，罚则等。上线之初由于涉及的机构范围比较小(主要涉及银行业金融机构)，《规定》的应用效果较好。随着信息管理工作的不断开展，应用范围的不断扩大，经常会遇到一些问题暂时无法用《规定》进行解释和操作。例如，三方支付、珠宝商以及拍卖行等机构的信息报备起初在“系统”与《规定》中均未涉及，后经问题反馈，可以在“系统”中进行具体操作，但《规定》中未修订相关条款。类似问题在信息管理工作的实践过程中也会碰到。为了不影响日常工作，“系统”功能更新比较快，但制度的修订和颁布相对滞后，造成对金融机构的约束力有限。

(二)金融机构编码推广力度不足

金融业机构信息管理的落脚点是促进金融机构编码的应用，以推进金融标准化建设。经过几年的积累，“系统”中的基础数据量已达到一定规模，但应用的范围比较小，目前仅有总行金融统计系统正式在使用，建设银行、农业银行等有限几家银行业金融机构在自身的非核心系统中有所应用，距离加强信息系统互联互通提高信息共享效率的目的尚有距离。同时，由于应用范围比较小，金融机构对机构编码工作意义还停留在普通的工作层面，只是根据相关规定被动地进行信息的申报和编码的获取，造成机构内部对相关工作不够重视，缺乏主动性。

(三)处罚细则不明确

从《规定》执行过程中发现，对金融机构迟报、漏报或干脆不报等方面的处罚细则不够明确，缺乏具体惩处措施，对金融机构的约束力有限，这就会造成机构对此项工作的不重视和不积极。从天津的机构信息申报和备案的情况分析，1至6月份、10至11月份，每月的信息数据变化量不大，总计新增机构43家，变更机构91家。7、8、9月份共新增机构118家，变更机构2585家，撤销机构32家。变更机构数量明显增大，占全年变更机构的88.1%。究其原因，是金融机构平时积攒了大量的数据变更申请，导致期间金融机构信息变更数量猛增，不仅不利于年度验证检查工作的有效开展，同时也会对金融业机构信息的时效性、准确性产生不良影响。

三、解决上述问题的对策建议

(一)尽快出台实施细则，及时修订《规定》条款

在多年的机构信息管理工作过程中，各地方积累了不少经验，也反馈了一些问题。为了进一步健全制度，增加管理工作的可操作性，结合基层央行的实际和对《规定》“、系统”的理解和认识，建议总行尽快出台《金融业机构信息管理规定实施细则》。细化各项内容，包括对迟报、漏报等的时间确认，责任追究，处罚的具体手段等。消除《规定》中的不明晰条款和不确定因素，规范操作流程，明确管理职权，增强《规定》的执行力。

(二)综合运用多种方式，促进各类机构信息的申报

为增加金融机构信息主动申报和备案的积极性，除了在制度上的明文规定和处罚细则，更多地应该在人民银行体系内的系统推广和行政审批的过程中将金融机构的编码纳入其中，在加大宣传力度的同时，使得金融机构编码的概念固化其工作流程中，例如，涉及金融城市网入网许可等相关规定的出台，以及反洗钱、征信等业务系统信息的报备工作，均将金融机构编码的申请作为必要条件。相信随着工作的进一步深入，金融机构会逐步了解和切实感受到金融机构编码在实际工作中和行业规范中的意义。

(三)简化操作流程，提高工作效率

一是在系统操作上，适当将信息管理工作前置，增加金融机构的录入权限，实现无纸化办公，从而将人民银行工作的重点放到后台的审核和管理上来，简化工作流程，提高工作效率。二是实现年检流程电子化记录功能，便于信息的提交和统计，进一步解放人力，为年度验证检查工作提供有效手段。

(四)加大培训力度，培养专业队伍

13.金融机构信息网络安全 篇十三

【发布日期】2006-11-01 【生效日期】2006-11-01 【失效日期】 【所属类别】政策参考

【文件来源】中国银行业监督管理委员会

银行业金融机构信息系统风险管理指引

第一章 总 则

第一条第一条 为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，根据《 中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规，制定本指引。

第二条第二条 本指引适用于银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。

在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会（以下简称银监会）及其派出机构批准设立的其他金融机构，适用本指引规定。

第三条第三条 本指引所称信息系统，是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。

第四条第四条 本指引所称信息系统风险，是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。

第五条第五条 信息系统风险管理的目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力。

第二章 机构职责

第六条第六条 银行业金融机构应建立有效的信息系统风险管理架构，完善内部组织结构和工作机制，防范和控制信息系统风险。

第七条第七条 银行业金融机构应认真履行下列信息系统管理职责：

（一）贯彻执行国家有关信息系统管理的法律、法规和技术标准，落实银监会相关监管要求；

（二）建立有效的信息安全保障体系和内部控制规程，明确信息系统风险管理岗位责任制度，并监督落实；

（三）负责组织对本机构信息系统风险进行检查、评估、分析，及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息；

（四）及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件，并按有关预案快速响应；

（五）每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的报告；

（六）做好本机构信息系统审计工作；

（七）配合银监会及其派出机构做好信息系统风险监督检查工作，并按照监管意见进行整改；

（八）组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训；

（九）开展与信息系统风险管理相关的其他工作。

第八条第八条 银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理；信息科技管理委员会、风险管理委员会或其他负责风险监督的专业委员会应制定信息系统总体策略，统筹信息系统项目建设，定期评估、报告本机构信息系统风险状况，为决策层提供建议，采取相应的风险控制措施。

第九条第九条 银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。

第十条第十条 银行业金融机构应设立信息科技部门，统一负责本机构信息系统的规划、研发、建设、运行、维护和监控，提供日常科技服务和运行技术支持；建立或明确专门信息系统风险管理部门，建立、健全信息系统风险管理规章、制度，并协助业务部门及信息科技部门严格执行，提供相关的监管信息；设立审计部门或专门审计岗位，建立健全信息系统风险审计制度，配备适量的合格人员进行信息系统风险审计。

第十一条第十一条 银行业金融机构从事与信息系统相关工作的人员应符合以下要求：

（一）具备良好的职业道德，掌握履行信息系统相关岗位职责所需的专业知识和技能；

（二）未经岗前培训或培训不合格者不得上岗；经考核不适宜的工作人员，应及时进行调整。

第十二条第十二条 银行业金融机构应加强信息系统风险管理的专业队伍建设，建立人才激励机制，适应信息技术的发展。

第十三条第十三条 银行业金融机构应依据有关法律法规及时和规范地披露信息系统风险状况。

第三章 总体风险控制

第十四条第十四条 总体风险是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。

第十五条第十五条 银行业金融机构应根据信息系统总体规划，制定明确、持续的风险管理策略，按照信息系统的敏感程度对各个集成要素进行分析和评估，并实施有效控制。

第十六条第十六条 银行业金融机构应采取措施防范自然灾害、运行环境变化等产生的安全威胁，防止各类突发事故和恶意攻击。

第十七条第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等；明确与信息系统相关人员的职责权限，建立制约机制，实行最小授权。

第十八条第十八条 在境外设立的我国银行业金融机构或在境内设立的境外银行业金融机构，应防范由于境内外信息系统监管制度差异等造成的跨境风险。

第十九条第十九条 银行业金融机构应严格执行国家信息安全相关标准，参照有关国际准则，积极推进信息安全标准化，实行信息安全等级保护。

第二十条第二十条 银行业金融机构应加强对信息系统的评估和测试，及时进行修补和更新，以保证信息系统的安全性、完整性。

第二十一条第二十一条 银行业金融机构信息系统数据中心机房应符合国家有关计算机场地、环境、供配电等技术标准。全国性数据中心至少应达到国家A类机房标准，省域数据中心至少应达到国家B类机房标准，省域以下数据中心至少应达到C类机房标准。数据中心机房应实行严格的门禁管理措施，未经授权不得进入。

第二十二条第二十二条 银行业金融机构应重视知识产权保护，使用正版软件，加强软件版本管理，优先使用具有中国自主知识产权的软、硬件产品；积极研发具有自主知识产权的信息系统和相关金融产品，并采取有效措施保护本机构信息化成果。

第二十三条第二十三条 银行业金融机构与信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程，选用的设备应经过技术论证，测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性，并配置适当的备品备件。

第二十四条第二十四条 信息系统的网络应参照相关的标准和规范设计、建设；网络设备应兼备技术先进性和产品成熟性；网络设备和线路应有冗余备份；严格线路租用合同管理，按照业务和交易流量要求保证传输带宽；建立完善的网管中心，监测和管理通信线路及网络设备，保障网络安全稳定运行。

第二十五条第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制；使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段，有效降低外部攻击、信息泄漏等风险。

第二十六条第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理，使用符合国家安全标准的密码设备，完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。

第二十七条第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理，不得脱离系统采集加工、传输、存取数据；优化系统和数据库安全设置，严格按授权使用系统和数据库，采用适当的数据加密技术以保护敏感数据的传输和存取，保证数据的完整性、保密性。

第二十八条第二十八条 银行业金融机构应对信息系统配置参数实施严格的安全与保密管理，防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途，确定存取权限、方式和授权使用范围，严格审批和登记手续。

第二十九条第二十九条 银行业金融机构应制定信息系统应急预案，并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存，省域数据中心至少实现异地数据实时备份，全国性数据中心实现异地灾备。

第三十条第三十条 银行业金融机构应加强对技术文档资料和重要数据的备份管理；技术文档资料和重要数据应保留副本并异地存放，按规定年限保存，调用时应严格授权。信息系统的技术文档资料包括：系统环境说明文件、源程序以及系统研发、运行、维护过程中形成的各类技术资料。重要数据包括：交易数据、账务数据、客户数据，以及产生的报表数据等。

第三十一条第三十一条 银行业金融机构在信息系统可能影响客户服务时，应以适当方式告知客户。

第四章 研发风险控制

第三十二条第三十二条 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。

第三十三条第三十三条 银行业金融机构信息系统研发前应成立项目工作小组，重大项目还应成立项目领导小组，并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成，具体负责整个项目的开发工作。

第三十四条第三十四条 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识，小组负责人需具备组织领导能力,保证信息系统研发质量和进度。

第三十五条第三十五条 银行业金融机构业务部门根据本机构业务发展战略，在充分进行市场调查、产品效益分析的基础上制定信息系统研发项目可行性报告。

第三十六条第三十六条 银行业金融机构业务部门编写项目需求说明书，提出风险控制要求，信息科技部门根据项目需求编制项目功能说明书。

第三十七条第三十七条 银行业金融机构信息科技部门依据项目功能说明书分别编写项目总体技术框架、项目设计说明书，设计和编码应符合项目功能说明书的要求。

第三十八条第三十八条 银行业金融机构应建立独立的测试环境，以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。

第三十九条第三十九条 银行业金融机构信息科技部门应根据测试结果修补系统的功能和缺陷，提高系统的整体质量。

第四十条第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划，并进行演练。

第四十一条第四十一条 开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存。

第四十二条第四十二条 项目验收应出具由相关负责人签字的项目验收报告，验收不合格不得投产使用。

第五章 运行维护风险控制

第四十三条第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。

第四十四条第四十四条 银行业金融机构信息系统运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。

第四十五条第四十五条 银行业金融机构信息系统的运行应符合以下要求：

（一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息；

（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等；

（三）提供机房环境、设备使用、网络运行、系统运行等监控信息；

（四）记录运行值班过程中所有现象、操作过程等信息。

第四十六条第四十六条 银行业金融机构信息系统的维护应符合以下要求：

（一）除对信息系统设备和系统环境的维护外，对软件或数据的维护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜员终端，不得对数据库进行直接操作；

（二）具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计；

（三）提供维护的统计和报表打印功能。

第四十七条第四十七条 银行业金融机构信息系统的变更应符合以下要求：

（一）制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作；

（二）根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性；

（三）应采用软件工具精确判断变更的真实位置和内容，形成变更内容核实清单，实现真实、有效、全面的检验；

（四）软件版本变更后应保留初始版本和所有历史版本，保留所有历史的变更内容核实清单。

第四十八条第四十八条 银行业金融机构在信息系统投产后一定时期内，应组织对系统的后评价，并根据评价及时对系统功能进行调整和优化。

第四十九条第四十九条 银行业金融机构应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行24小时值班。

第五十条第五十条 银行业金融机构应实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。

第六章 外包风险控制

第五十一条第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。

第五十二条第五十二条 银行业金融机构在进行信息系统外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险，建立健全有关规章制度，制定相应的风险防范措施。

第五十三条第五十三条 银行业金融机构应建立健全外包承包方评估机制，充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质，具有相关专业经验的独立机构完成。

第五十四条第五十四条 银行业金融机构应当与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权方面的义务和责任。

第五十五条第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响，并将其纳入总体安全策略和风险控制之中。

第五十六条第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序，审慎管理外包产生的风险，提高本机构对外包管理的能力。

第五十七条第五十七条 银行业金融机构的信息系统外包风险管理应当符合风险管理标准和策略，并应建立针对外包风险的应急计划。

第五十八条第五十八条 银行业金融机构应与外包承包方建立有效的联络、沟通和信息交流机制，并制定在意外情况下能够实现承包方的顺利变更，保证外包服务不间断的应急预案。

第五十九条第五十九条 银行业金融机构将敏感的信息系统，以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时，应遵守国家有关法律法规，符合银监会的有关规定，经过董事会或其他决策机构批准，并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。

第七章 审 计

第六十条第六十条 银行业金融机构内设审计部门负责本机构信息系统审计，也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。

第六十一条第六十一条 信息系统风险审计应包括：总体风险审计、系统审阅和专项风险审计。

第六十二条第六十二条 总体风险审计是指对本机构所有信息系统共有的公共部分进行审计，实施总体风险控制。根据信息系统的总体风险状况确定审计频率，但至少每3年审计一次。

第六十三条第六十三条 信息系统的系统审阅是指对研发、运行及退出的全过程进行审计，分投产前与投产后的审阅。

第六十四条第六十四条 投产前的系统审阅是指审计人员采用非现场形式，对信息项目开发过程中所提交的有关文档资料进行审阅，指出其中存在的风险，了解是否具有相应的控制措施，并提出评价和建议的过程。信息系统投产前的系统审阅应关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。

投产前的系统审阅重点：

（一）被外界成功攻破的可能性；

（二）在内部安全控制方面的设计漏洞与缺陷；

（三）项目开发管理方面的问题；

（四）效率与效能；

（五）功能、设计和工作流程是否符合法律、法规和内部控制方面的规定并有连续兼容性；

（六）其他需重点审阅的内容。

第六十五条第六十五条 投产前的系统审阅文档资料包括：

（一）项目可行性报告；

（二）项目需求说明书；

（三）项目功能说明书（包括业务与技术方面存在的风险及控制办法）；

（四）项目总体技术框架；

（五）项目设计说明书；

（六）项目实施计划；

（七）与第三方签订的外包协议；

（八）测试计划及验收报告；

（九）投产计划；

（十）项目开发例会的会议记录；

（十一）操作手册；

（十二）其他需审阅的文档资料。

对于所含内容较多的文档资料，应对关键交易的数据处理流程、交易接口和其他重要的安全事项进行审阅。

第六十六条第六十六条 投产后的系统审阅是指在信息系统投入生产一段时间后进行的审计，旨在评估对信息系统各项风险的控制是否恰当，能否实现预定的设计目标。投产后的系统审阅应在信息系统投入生产半年后进行，审计报告应对被审计的信息系统提出改进或增加风险控制、能否继续生产等内容的审计建议。

第六十七条第六十七条 信息系统专项风险审计是指对被审计单位发生信息安全事故进行的调查、分析和评估，或原有信息系统进行重大结构调整的审计，或审计部门认为需要对信息系统某项专题进行审计。

第六十八条第六十八条 银行业金融机构信息系统风险审计也可以由银监会及其派出机构依据法律、法规和规章，委托并授权有法定资质的中介评估机构进行。

第六十九条第六十九条 中介机构根据银监会或其派出机构委托或授权对银行业金融机构进行审计时，应出示委托授权书，并依照委托授权书上规定的委托和授权范围进行审计。

第七十条第七十条 中介机构根据授权出具的审计报告经银监会及其派出机构审阅确定后具有法律效力，被审计金融机构应对该审计报告在法定时间内提出整改意见，并按审计报告中提出的建议进行及时整改。

第七十一条第七十一条 中介机构应严格执行法律法规，保守被审计单位的商业秘密和风险信息。审计过程中所有涉及资料的调阅应有交接手续，并不得带离现场或进行修改、复制。

第八章 附 则

第七十二条第七十二条 本指引由中国银行业监督管理委员会负责解释、修订。

第七十三条第七十三条 本指引自颁布之日起施行。