下载文档第一篇:中小商业银行信息安全体系构架思路
中小商业银行信息安全体系构架思路
202_-03-24CBSi中国·PChome.net类型: 转载来源: 睿商在线
中小银行所面临的信息安全风险
大多数中小商业银行网络系统是于近几年规划建设实施的生产、办公、通信综合系统网络。随着银行业务范围的不断扩展,业务应用的不断深入,IT 需求不断增加,网络系统逐步显现出可管理性差、攻击防护设备老化等安全隐患,监管部门也进行了信息安全风险的相关提示。为此,结合呼和浩特市商业银行的现状,谈一谈中小商业银行信息安全体系建设的思路。
一、中小银行所面临的信息安全风险
随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式。随着网络技术在金融行业的全面应用,大大提高了金融行业的业务处理效率和管理水平,促成了各项创新的金融业务的开展,改善了整个金融行业的经营环境,增强了金融信息的可靠性,使金融服务于社会的手段更趋现代化。但是,同其他任何行业一样,网络安全风险伴随着网络技术在金融行业的全面应用而全面笼罩在金融行业的每个业务角落。
金融行业IT 系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,面临的网络安全风险叙述如下八类:
1、非法访问:现有网络设备本身具备一定的访问控制能力,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;另一方面金融行业(如银行)开发的很多增值业务、代理业务,存在大量与外界互连的接口,外部网络可能会通过这些接口攻击银行,造成巨大损失。
2、失密和窃密:利用搭线窃听窃收,使用协议分析仪器窃收计算机系统的操作密码,破解系统的核心密码,窃取用户帐号、密码等;或利用间谍软件获得敏感的金融信息。
3、信息篡改:利用信息篡改攻击手段,非授权改变金融交易传输过程、存储过程中的信息。
4、内部人员破坏:内部人员熟悉金融行业网络系统的应用业务和薄弱环节,可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件。
5、黑客入侵:利用黑客技术非法侵入金融行业的网络系统,调阅各种资料,篡改他人的资料,破坏系统运行,或者进行有目的的金融犯罪活动。
6、假冒和伪造:假冒和伪造是金融行业网络系统中经常遇见的攻击手段。如伪造各类业务信息,未授权篡改数据,改变业务信息流的次序、时序、流向,破坏金融信息的完整性,假冒合法用户实施金融欺诈等。
7、蠕虫、病毒泛滥:蠕虫、病毒泛滥可能导致金融行业的重要信息遭到损坏,或者导致金融行业网络系统瘫痪。
8、拒绝服务:拒绝服务攻击使金融行业的电子商务网站无法为客户提供正常服务,造成经济损失,同时也使行业形象受到损害。
二、中小银行信息安全体系建设的目标
根据上述中小银行所面临的信息安全风险,我认为中小银行信息安全体系建设的目标是通过建立完善的信息安全管理制度和智能、深度的安全防御技术手段,构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系,来实现信息系统的可靠性、保密性、完整性、有效性、不可否认性,为金融业务的发展提供一个坚实的信息系统基础保障。信息安全防范体系的覆盖范围是整个信息系统。
中小银行信息安全建设的主要工作内容有:
1、建立银行信息安全管理组织架构,专门负责信息系统的安全管理和监督。
2、制订金融安全策略和安全管理制度。安全管理部门结合银行信息系统的实际情况,制订合理的安全策略,对信息资源进行安全分级,划分不同安全等级的安全域,进行不同等级的保护。制订并执行各种安全制度和应急恢复方案,保证信息系统的安全运行。这些包括:密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急反应机制、安全系统升级制度等。
3、设计并实施技术手段,技术手段要包括外网边界防护、内网区域划分与访问控制、端点准入、内网监控与管理、移动办公接入、拨号安全控制、病毒防范、安全审计、漏洞扫描与补丁管理等诸多方面安全措施。
4、建立安全运维管理中心,集中监控安全系统的运行情况,集中处理各种安全事件;统一制订安全系统升级策略,并及时对安全系统进行升级,以保证提高安全体系防护能力。
三、中小银行信息安全现状及需求分析
下面以呼和浩特市商业银行的网络及应用现状,分析在不同层次的安全需求,大部分中小银行具有共性。
(一)网络层
为保证网络数据传输的可靠性和安全性,网络层存在的安全风险主要包括以下几个方面:
1、网络结构以及网络数据流通模式的风险:
现有主要的网络结构为星形、树形、环形以及网状,随着网络节点间的连接密度的增加,整个网络提供的线路冗余能力也会增加,提供的网络数据的流动模式会更灵活,整个网络可靠性和可用性也会大大的增加。呼和浩特市商业银行现有的网络结构,能够满足数据流动模式的需求,为了保证网络系统的可靠性,可以采取的有效可行的措施是加强网络设备和线路备份措施的实施。
2、网络设备安全有效配置的风险:
网络设备是网络数据传输的核心,是整个网络的基础设施,各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。
3、来自不同安全域的访问控制的风险:
网络结构越来越复杂,接入网络的用户也越来越多,必须能够在不同的网络区域之间采取一定的控制措施,有效控制不同的网络区域之间的网络通信,以此来控制网络元素间的互访能力,避免网络滥用,同时实现安全风险的有效的隔离,把安全风险隔离在相对比较独立以及比较小的网络区域。
4、网络攻击行为的检测和防范的风险:
基于网络协议的缺陷,尤其是TCP/IP 协议的开放特性,带来了非常大的安全风险,常见的IP 地址窃取、IP 地址假冒,网络端口扫描以及危害非常大的拒绝服务攻击(DOS、DDOS)等,必须能够对这些攻击行为进行有效的深度防御。
5、网络数据传输的机密性和完整性的风险:
网络数据在传输的过程中,很可能被通过各种方式窃取,因此保证数据在传输的过程中机密性(保证数据传递的信息不被第三方获得),完整性(保证数据在传递过程中不被人修改)是非常重要的,尤其是在传递的信息的价值不断提高情况下。
二)用户层
1、用户操作系统平台安全漏洞的风险:
大部分的网络攻击行为以及网络病毒的传播都是由于操作系统平台本身存在的安全漏洞,微软不断发布系统补丁即是明证,因此必须有效避免系统漏洞造成的安全风险,同时对操作系统的安全机制进行合理的配置。
2、用户主机遭受网络病毒攻击的风险:
网络给病毒的传播提供了很好的路径,网络病毒传播速度之快、危害之大是令人吃惊的,特别是流行的一些蠕虫病毒,更是防不胜防,因此必须建设全面的网络防病毒系统,层层设防,逐层把关,堵住病毒传播的各种可能途径。
3、针对用户主机网络攻击的安全风险:
目前Internet 上有各种完善的网络攻击工具,在局域网的环境下,这种攻击会更加有效,针对的目标会更加明确,据统计,有97%的攻击是来自内部的攻击,而且内部攻击成功的概率要远远高于来自于Internet 的攻击,造成的后果也严重的多。
4、用户网络访问行为有效控制的风险:
首先需要对用户接入网络的能力进行控制,同时需要更细粒度的访问控制,尤其是对Internet 资源的访问控制,比如应该能够控制内部用户访问Internet 的什么网站。在此基础之上,必须能够进行缜密的行为审计管理。
(三)业务层
1、服务器及数据存储系统的可用性风险:
业务系统的可靠性和可用性是网络安全的一个很重要特性,必须保证业务系统硬件平台(主要是大量的服务器)以及数据硬件平台(主要是存储系统)的可靠性。
2、操作系统和网络服务平台的安全风险:
通过对各种流行的网络攻击行为的分析,可以发现绝大多数的攻击是利用各种操作系统和一些网络服务平台存在的一些已公开的安全漏洞发起,因此,杜绝各种操作系统和网络服务平台的已公开的安全漏洞,可以在很大程度上防范系统攻击的发生。
3、用户身份认证及资源访问权限的控制:
由于网络中的各个应用系统上有很多信息是提供给不同权限用户查阅的,不同级别、不同部门、不同人员能够访问的资源都不一样,因此需要严格区分用户的身份,设置合理的访问权限,保证信息可以在被有效控制下共享。
4、用户对业务访问的有效的记录和审计:
业务系统必须能够对用户的各种访问行为进行详细的记录,以便进行事后查证。
四、中小银行信息安全体系建设的思路
金融系统的网络应用比较复杂,对安全的要求也很高,根据中小银行所面临的风险以及上述安全现状和需求,在信息安全体系建设过程中应该关注以下几个方面。
第一、进行网络安全区域设计
网络安全区域设计是网络安全建设的基础,其他的网络安全建设措施全部都是基于这个基本设计展开的。当然要根据银行的实际情况进行划分,例如根据呼和浩特市商业银行网络和应用的现状,可以进行如下安全区域的划分:
数据中心区:由呼和浩特市商业银行生产服务群构成,是呼和浩特市商业银行一切生产活动的基础。这个区域的安全性要求最高,对业务连续性要求也最高。要求不能随便进行任何可能影响业务的操作,包括为服务器打补丁,管理起来也最为复杂。外联边界区:与外联单位进行中间业务服务器构成的安全区域。与外联单位一般采用专线连接,由于业务具有一定的保护手段,对业务连续性要求不如数据中心区。外联服务区:开展对外服务的服务器所在的安全区域。由于直接与公网连接,同时又是比较敏感的金融业务,因此安全性要求非常高,对业务连续性要求也较高。同时也最容易遭受包括DoS/DDoS 攻击在内的来自互联网的威胁。
内网办公区:办公服务器所在的安全区域,主要用于内部OA 系统等应用。对安全的要求较前面讲的各个安全区域低,业务持续性要求也相对较低。多采用Windows 服务器,比较容易遭受病毒等威胁的影响。
网络管理区:网管业务开展的区域,由网管类服务器和网管工作站构成。封闭性较强,这个区域的安全与否直接关系到网络的稳定运行,某些方面的要求可能还要高于内网办公区。分支机构区:所有分支机构共同构成的安全区域,一般采用专线接入数据中心。对数据中心来说这个区域属于外网,一般是另外单独考虑这个区域内各个节点的安全。
第二、以安全为核心规划网络
现有网络大多是以连通性作为中心进行设计的,而很少考虑安全性。例如最典型的网络三层架构模型(核心层、汇聚层、接入层架构)中,网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行重新设计,这就好比要有好的网络贴身保镖。
第三、用防火墙隔离各安全区域
防火墙作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
第四、对关键路径进行深度检测防护
深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有入侵和滥用,深度检测防御可以识别出任何不希望有的活动,从而限制这些活动,以保护系统的安全。深度检测防御的应用目的是在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。
第五、对终端进行安全访问控制
目前,针对病毒、蠕虫的防御体系还是以孤立的单点防御为主,并不能有效应对病毒和蠕虫的威胁,主要表现在被动防御、单点防御、分散管理。只有从用户的接入终端进行安全控制,才能够从源头上防御威胁,而分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁,只有集中管理、强制终端用户执行,才能够起到统一策略、全局防范的效果。
第六、全网部署防病毒系统
在所有计算机安全威胁中,计算机病毒是最为严重的,它发生的频率高、损失大、潜伏性强、覆盖面广。由于Internet 技术及信息技术的普及和发展,病毒的传染速度越来越快。在银行内部的办公系统、协同系统的使用,使得病毒在银行内部的传染速度加快,各个员工在共享信息的同时,有可能共享病毒。因此全网部署防病毒系统就显得非常重要。
第七、根据实际需要部署其他安全系统
以上的安全系统部署基本可以涵盖一般性网络安全需求,但是很多特殊的应用也需要特别的应用保护系统。例如:移动办公VPN 系统、补丁管理系统、反垃圾邮件系统、漏洞扫描工具、网络流量监测与审计等等。第八、建立科学的安全管理机制
前面七个方面是从技术手段上考虑的思路,而信息安全体系的建设必须管理、技术两手抓。从管理方面考虑,首先要提高意识,时时刻刻具备防微杜渐的意识;其次要完善制度,“三份技术七分管理”,完善的信息安全管理制度是IT 系统安全的基础保证。由于自身的能力制约,中小银行可以考虑聘请第三方专家与银行相关人员组成联合小组,借鉴相关企业的管理经验,进行信息安全咨询服务,共同制定银行的信息安全管理制度;同时信息安全建设并不是一蹴而就建设完成的,是分步实施、循序渐进的过程,应该定期进行相关的安全评估,为不同阶段信息安全建设提供参考。
第二篇:我国中小商业银行信息安全建设问题研究
我国中小商业银行信息安全建设问题研究
我国银行业信息系统建设持续发展,核心业务系统、网上银行、自助终端、银行卡等具有高科技含量的系统和设备被广泛应用,在提升金融服务效率和增加服务品种的同时,信息系统潜在的风险也逐渐显现。调查显示,大多数中小商业银行信息系统建设都存在滞后问题,系统运行、网络安全、数据集中、系统设计、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴露在我们的面前,形成了一定的安全隐患。
一、我国中小商业银行信息安全现状
(一)建设趋规范:金融监管延伸至信息化领地
在我国金融业从传统运作模式向现代运作模式转变的背景下,金融监管开始适应金融业的信息化运作模式,更加具体细致地与信息技术联系在一起。202_年,公安部、国家保密局、国家密码管理局、国务院信息工作办公室颁布了《信息安全等级保护管理办法》。202_年人民银行出台了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》,202_年9月,人民银行对全国66家银行业金融机构网银系统安全进行了现场检查,并通过跟踪整改,促进各银行提高对信息安全保障工作的重视程度,同月,人民银行在银行业信息安全通报会上表示,要将银行信息安全纳入考核。银监会制定的《电子银行业务管理办法》、《电子银行安全评估机构业务资格认定工作规程》、《电子银行安全评估指引》、《商业银行信息科技风险管理指引》等法规制度相继出台,各商业银行也大力推动了IT审计的进程。归纳起来看,这几部法规强调了三个重点。一是关于银行业金融机构完善IT治理结构方面,通过构建和完善金融机构内与信息技术应用有关的组织架构及工作程序,有效地识别、度量、跟踪和控制信息技术风险。二是规定了从事某些严重依赖信息技术的银行业务的资质。三是对风险的识别、计量、管理,与国际银行业的发展趋势相一致。
(二)发展有差距:中小商业银行信息安全建设整体水平落后于股份制商业银行
近年来,我国各股份制商业银行为了提高竞争力,相继对核心业务系统和后台管理系统进行了改造开发,信息化发展水平相对比较先进,且信息安全体系较为健全。目前,大部分股份制银行或是稳健引进国外核心业务系统,或是通过自身的研发力量,不断地在原有系统基础上,打造出更适合未来发展的新系统,以全面提升信息化建设水平为落脚点,在信息安全管理方面作出了令人瞩目的成绩。相比之下,中小商业银行,特别是城市商业银行、城信社、农村商业银行、农村合作银行及农信社的信息化建设严重滞后于业务发展的需要,其信息安全管理亦存在较多隐患。
(三)防范多漏洞:中小商业银行信息安全隐患骤增
中小型金融机构信息系统众多安全环节都存在漏洞,首先是核心数据的安全没有保障,表现在:第一,核心计算机机房的建设符合标准的不多,在选址、供电、机房的建设标准、机房的安保措施都或多或少存在问题。第二,没有能力建设自身的异地备份中心,所有的数据存在于一个点上,如果发生极端情况,后果将是灾难性的。其次,在建设过程中,因为没有统筹考虑,对于系统安全部分的硬件设施、软件设计模块缺乏,造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。再次,在系统投入生产后的运维周期,主要依靠系统承包商,自身的能力不足以做好运维工作,人力风险明显。
二、中小商业银行信息安全风险分析
(一)IT外包风险-忽略业务连续性的无奈选择
在国内中小银行IT外包迅速发展的同时,也面临诸多风险。一是市场风险。中国的IT服务市场仍不够成熟,一旦IT外包后,商业银行需要借助外包商的力量规避市场需求变化的风险,且银行也不可能轻易涉入外包商的经营管理工作中,对中小银行而言,市场的不确定性很大。二是技术风险。外包商研发能力与银行现有的技术不匹配.就会严重阻碍银行的信息化进程;外包商采用的新技术不够成熟,将危及整个计算机应用系统的稳定性和安全性。三是交易风险。由于外包市场的不成熟,服务标准的不完善,交易双方市场信息的不对称,商业银行在价格、质量、时间等方面承担一定的风险。四是战略风险。易造成核心信息外泄。
(二)灾备恢复风险-效益与成本之间的两难选择
灾备中心的运营是构建业务连续管理体系非常重要的一环。一个运行良好、作用有效的灾难备份与恢复体系建设不仅涉及IT、业务、财务、后勤保障等部门,还需获得消防、电力和电信行业等相关部门、单位的支持,以确保相应的配套资源。202_年以来,为应对因数据大集中而带来的技术风险集中,以工商银行为代表的国有商业银行采取了自建灾备中心的措施,多数全国性股份制商业银行也基本完成了灾备中心建设。但出于成本考虑,中小商业银行的灾备建设还未出现良好的“中国模式”。中国的中小商业银行,特别是城市商业银行在系统灾难备份方面几乎是空白。
(三)信息安全认识偏差产生的风险-运行机制不健全的产物
与国有商业银行及股份制银行相比,我国中小商业银行的信息化进程起步较晚,对随之而来的信息安全问题一定程度上存在认识偏差。以咸阳中小商业银行为例,大部分对于信息安全与网络安全的区别认识不清,仅重视安全工具投资而忽视管理投资,大多信息安全工作不成体系。在当前信息化由局部化应用向一体化应用演变、信息管理由分散化向集中化过度的背景下,这种由认识偏差而产生的风险极易导致信息化建设重复投资、管理无序,由此而带来的信息安全隐患亦随着信息化进程的加速而倍增。
三、我国中小商业银行信息安全建设的战略选择
相较国有商业银行及股份制银行,中小商业银行在信息安全建设方面处于后来者的地位,在自筹资金有限,管理水平较低,硬件设备投入不够的紧迫压力下,为避免重复投资、无序管理,一个科学合理的规划尤为重要。可预见的一段时期,我国中小商业银行的总体目标应是:通过建立完善的信息安全管理制度和安全防御技术手段,构建一个包括管理体系、组织体系与技术体系相结合的全方位、多层次、可动态发展的纵深安全防范体系,为金融业务的发展提供一个坚实的基础保障。为实现上述目标,我国中小商业银行信息安全建设应在战略上作出以下策略选择。
(一)以确保信息安全建设的协调性、开放性和持续性为战略重点进行远期规划
中小商业银行必须重视做好全面、系统的信息系统架构,将安全融入整个信息系统生命周期中,通过借鉴其他银行的成功经验,明确阶段性建设目标,力争在前期以最少的资金投入获得高标准的信息服务和安全保障。中小商业银行信息安全远期规划的首要任务是组织行内外力量,结合本行信息化建设的中长期发展规划和经营管理战略,在充分把握金融信息技术发展趋势的基础上,全面分析银行外部经营环境及内部经营环境,立足现实的资源能力,对银行信息安全建设的总体目标、实施步骤、关键技术、相关规范、阶段划分及费用评估进行统筹安排。
(二)以健全和完善IT安全治理机制为重点,提高信息安全的管理绩效
当IT成为银行业务发展和管理不可或缺的组成部分,并在提供收益的同时带来风险时,银行对IT必须从管理走向治理。有效的IT安全治理需要解决三个方面的问题。首先是明确目标。一是必须确保银行IT安全治理与IT治理的目标、内容、步骤环环相扣,紧密衔接,并作为银行公司治理整体的一部分和谐共存。二是明确IT治理的决策内容,即IT原则、IT架构、IT基础设施、IT商业应用及IT投资。三是根据自身实际情况制定IT安全治理计划。其次是解决IT安全治理的组织性问题,关键是准确定义银行IT安全治理的角色和职责。最后是完善IT安全治理的控制机制。一是IT投资的控制机制。应根据银行IT安全管理的实际情况,针对薄弱环节,按安全级别进行排序,优先把资金投入到银行急需的IT安全资源中。二是IT安全治理的监控机制。
(三)以加强IT风险管理为重点,全面构筑信息安全保障体系
一是加强组织管理体系建设,落实风险管理和安全运行责任制。重点在发现整个信息系统的薄弱环节,区分业务风险和信息系统风险,制定出相应的风险防范办法加以落实并对结果进行检查,建立起自身的风险防范机制。二是加强信息安全保障体系建设,完善应急反应体系和商业银行业务连续性计划,加快建立灾备恢复体系,建设应急储备仓库,仓库中应包括相关的硬件、软件、人员、技术、文档和所有的系统相关的外部资源。三是加强安全管理制度建设,通过常规安全审计等方法对IT风险进行排序,做好计算机运行的安全检查工作。四是完善与商业银行数据集中相适应的安全和管理体系,最大限度地降低系统运行风险,保障银行业务处理系统的平稳运行。五是建立健全包括内部员工、IT供应商、安全责任人和保险人在内的风险消除机制。
(课题组组长:南枫 课题组成员:马峰 赵涛 马战军 张轶)
第三篇:中小商业银行营销体系建设的几点思考
关于中小商业银行营销体系建设的几点思考
张皓
一、中小商业银行建立市场营销体系的必要性和紧迫性
市场营销是指企业在不断变化的时常环境中,为满足客户需要,实现企业目标的整体性市场经营和销售的活动,它是企业管理活动中的一个重要方面。
第一,商业银行作为企业,必然以追求利润为目标。为了拓展新业务和获取更多的客户资源,同工商业企业一样有必要进行市场营销,将自己的金融产品推荐给客户,使其认知并接受它,并逐渐成为本行的稳定客户和收入来源。
第二,在竞争性行业中,为了获取利润、市场份额,产品必须得到市场的认可和社会的认可。在目前的买方市场条件下,为数众多的中小商业银行大多存在规模小、网络覆盖面小、客户资源少的问题,其整体实力与国有大商业银行相比相去甚远。在激烈的市场竞争中,中小商业银行要生存和发展,必须树立良好的公众形象,用优质的服务来吸引客户。
第三,营销的过程是银行形象的一个很好的展示,它综合运用广告、人员推销、营业推广、公共关系等各种手段,将商业银行的经营理念、服务宗旨、机构设置、业务内容、服务环境、银行文化和员工风貌等一系列内容呈现在公众面前,从而得到客户的青睐与信任,可对商业银行的发展起到很大的推动作用。
第四,在中国加入世贸组织前,国内银行业之间早已展开了激烈的竞争。四大国有商业银行完成转轨之后,业务重点逐步向大中城市大中型企业收缩。新型商业银行异军突起,城市商业银行遍地开花,加上其他众多的金融机构,使业内竞争愈演愈烈。入世后,对外资银行的各种限制将在五年内逐步放开,外资银行在组织管理、信息技术、业务品种、经营范围、资产质量等诸多方面具有较大的优势,给中国银行业带来了巨大的竞争压力,也迫使我国商业银行必须迎接挑战,改善自身的经营管理,利用各种条件与手段稳定和扩大客户资源和市场份额。因此它必须有针对性地开展市场营销。
二、科学完善的商业银行营销体系尚未建立,营销市问题较多
由于我国商业银行引入市场营销时间较短,在许多方面都存在不足,主要有:
(一)缺乏对市场营销的科学认识
首先,长期以来,大而全 的经营思想曾经一度成为许多商业银行发展的主导思想,各家银
行都广布营业网点,想尽各种办法吸储揽存,不断扩大信贷规模。这种认识使商业银行在一定程度上影响了对成本收益率的重视程度,使这种扩张带有了一定的盲目性,而且至今还有一定的影响。比如我们经常可以看到祝贺某某银行存款达到XXXX亿元 这样的标语,进行这种宣传的主要是四大国有商业银行,其用意不言自明。虽然这只是针对公众的一则广告,但因绝大多数中小商业银行与四大国有商业银行有着密切的联系,难免不受到这种意识的影响,从而在工作中很难避免大即是好 的倾向,况且商业银行本身也具有扩张的必要性。其次,各家商业银行大多设立了专职的营销部门,但是营销部门的在市场营销过程中的核心地位并没有确立,各部门之间缺乏协作与配合,从而影响了营销的效果。同时,在营销部门内部,还存在着对营销工作认识上的误区,认为营销就是拉存款,就是推销贷款,甚至认为营销就是做广告、搞促销,混淆了营销与营销手段的实质。
(二)缺乏明确的市场细分,市场定位趋同
市场细分过粗,导致目标市场过于庞大,目标客户群过于庞杂,从而增加了后续营销工作的难度,影响了整个营销活动的效果。目前绝大多数中小商业银行都将目标市场锁定在中小企业上,而对中小企业的再细分却较为含糊,重视不够,以至于对中小企业的实际重视程度远不如预先期望的那样。同时几乎所有的商业银行都在网数不多的效益好的大中企业里挤,这样一来一方面使得本来较为广阔的市场空间和客户资源变得极为狭窄和有限,忽略了向中小企业提供融资等金融服务的机会,也造成了大量的费用支出,提高了成本,降低了经济效益。另一方面,也造成了大量的中小企业,尤其是小企业融资困难,形成了资金供给方的缺位。
(三)缺乏对客户的深入分析,金融产品渐多,但品质趋同由于客户的地区性差异、年龄差异、收入差异等较大,对金融产品的需求有很大的不同,而商业银行往往对这些方面重视不够,缺乏深入的分析和开发出满足客户实际需求的新产品。目前我国商业银行主要营销的是存款和贷款。虽然也有不少的金融产品不断涌现出来,但是新开发出来的新产品品质趋同,基本上都是发行银行卡(折)将活期定期存款、转账或异地存取款等业务集于一身,稍好一些的还代理银证转存、购买债券、保险等业务,但总体上各行差异不大。对于一般的客户来讲,这样同质的产品使他们在选择上有很大的随意性,但同时也使他们别无选择。更重要的是抹杀了商业银行经营和服务的差异化和个性化,也为高息揽储、给好处费和回扣等不正当竞争的产生创造了条件。
(四)缺乏有效的营销策略,促销效果不佳
很多商业银行在营销策略上,只注重促销,忽视了金融产品、定价、销售渠道和促销多种营销策略的相互融合。在促销上把重点放在了拓展新客户上,对忠实客户的维系上显得较为薄弱,对改善现有的服务质量重视得不够。促销手段较为丰富,力量主要集中在广告促销上,运用了广告标语牌、宣传单、报纸、广播、电视、互联网等传统及现代媒体,但由于缺乏有效的组合,往往抓住了眼球,却抓不住实质,不同程度地存在针对性差、持续时间短和表达效果差等不足。公共关系、人员推销和营业推广都有一定的运用,但因促销组合不甚合理,效果并不理想。
三、关于建立中小商业银行营销体系的几点建议(一)转换观念
观念的转变包括两个方面:一是转变大而全的观念。绝大多数商业银行都受到规模小、网点少、网络覆盖面小和地域等方面的限制,扩大规模对商业银行的发展是必要的,但是大而全的经营模式并不是商业银行惟一的出路。中小商业银行应当更多地考虑小而精 的发展模式,走专业化、特色化的经营之路,开发高度专业化的具有自身特色的金融产品,全力打造为公众认可的知名品牌,并由其带动和推进相关业务和其他金融产品的开发与销售。同时我们也看到四大国有商业银行正在逐渐突出其传统的专业化特长,比如建设银行住房按揭抵押贷款和中国银行的外汇业务等。对此,中小商业银行应该在把握好适度扩张的同时予以重视。二是建立整体营销的观念。打破部门界限,消除各部门各自为政的现象,转变市场营销仅仅是营销部门的责任这种观点,把市场营销开展到每一个部门,实行整体营销。首先,将本行的发展战略、长中短期目标、银行文化和营销理念灌输到每一个部门负责人和员工的头脑中,使其在工作中有明确的方向性,精神上有向心性,营销上有策略性。必须依靠每一个员工将商业银行的企业形象、企业文化和金融产品一起展示给客户,要让顾客在需要金融服务时,首先想到的是这家银行可以满足他的这种需要。其次,一线人员与客户的直接广泛而频繁的接触和交流,会对客户产生重要的影响,决策层和领导层必须重视和抓好员工的培训工作和思想工作,做好与下属的交流和沟通,并帮助他们解决工作中出现的难题。因此,营销的重点不仅在一线,它贯穿于整个银行系统内部。总而言之,客户的认同程度受制于员工对企业文化内涵的深刻理解和对其提供服务的满意度。所以,必须有计划地对全体员工进行企业文化和市场营销理论的培训,对高级职员更要进行完整和系统的理论指导。
(二)明确长期发展战略及中短期目标
发展战略是商业银行的一个纲领,是银行的中长期规划。商业银行的所有经营管理活动都必须以此为指针,具有很强的方向性和目标性。一个可行性强、前景广阔的发展战略,可以
使全体银行员工明确银行的长期发展方向,树立信心。中短期目标是商业银行在近期将要实现的目标,它更加具体明确,可操作性更强,从而使银行的各项活动更加协调有效。市场营销体系的建立必须以此为基础,并依据商业银行发展的不同阶段做出相应的调整。
(三)压缩机构设置,强化功能管理
机构的设置应当适当的考虑将决策部门和营销部门实行有机的结合,实行扁平化管理。建议实行由副行长对营销部门和产品开发部门的专职领导,或者将这两个部门合并为一个部门,在这个新的部门里实现产品开发和营销的再分工,将开发人员和营销人员混编在一起分成若干攻关组,专门负责某种产品的开发和营销工作。同时应适当地提高攻关组的行政级别,以便于它对前台工作提出建议,促其适时调整。总之,机构应本着信息传递迅速、工作快速高效、决策快速灵活的三快 原则进行设置。
(四)深化市场细分,合理进行市场定位
市场细分是指银行根据市场上客户需求的差异性因素,将整个市场划分为若干个具有不同金融产品或服务需求的子市场的工作过程。而目标市场的选择将在这些子市场中进行,并使其成为营销战略的首要内容和基本出发点。市场细分本身就是对市场的研究和划分,这种划分应当是多层面多角度的,既不能过粗,也不能过细,应以可识别性、可获利性、可进入性为原则逐级划分。市场细分的标准应当多元化,作为细分标准的差异性因素有很多,比如人口因素、地理因素、心理因素、行为因素、客户规模、用户地点等。由于现在各家商业银行市场定位趋同,建议综合利用和复合利用多种因素对现有的目标市场进行再细分。通过对现有目标市场的再细分,进一步分析市场,寻找和发现新的市场机会,重新对饱和市场和非饱和市场以及潜在市场做出界定。要改变目前的竞争劣势,中小商业银行对这项工作必须予以重视。市场定位有两个重点:一是塑造企业形象,二是产品和服务的个性化与特色化。而这两点归结到一点就是要张扬其差异性。商业银行在确定目标市场之后,依据目标市场的特点,通过行业分析,发现现有的优势和潜在的优势,确定自己在市场上的位置,集中各种优势在市场上确立特色,从而与其他商业银行区别开来。另外,竞争优势选定之后,应当进行一系列的营销活动,通过广告等方式表明其市场定位,使其独特的竞争优势进入目标客户的思想。
(五)分析要素,模化组合,个性化设计,运用计算机网络技术开发新产品
我们认为新产品的开发,应瞄准目标市场在现有品种的基础上进行,着重开发资产类业务和个人金融产品。银行向客户提供的产品是服务,这种服务应该是多层面的个性化的。客
户具有多样性,银行提供的服务也应该具备多样性,也即所谓的个性化服务 或量体裁衣。但是无论客户之间的需求差异性有多大,其基本的需求是一致的,一是保值,二是结算,三是融资,涉及的基本要素主要是资金数额、时间、利率、汇率、手续费率、资金流速和载体以及税率等。这些要素对商业银行的营业收入、成本支出和税后利润等许多方面都会产生重要影响。因此我们认为商业银行应在满足客户这些基本需求的基础上,着力开发咨询、代理等增值业务。在产品设计上引入金融工程的思想,考虑对原有的资产类、负债类和中间业务进行一些改造,将各要素综合考虑,结合目标市场的特点和需求,将其改造成为类似机械工业或建筑业中的标准件模块(每个模块都是各自独立的单元),前台的工作人员可以灵活地迅速地将其搭配组合成各种新的产品,从而满足不同的客户提出的不同要求,以节省新产品开发的成本和办理业务的时间,提高工作效率,使金融产品更加丰富,提高商业银行的竞争力。同时我们认为,新产品的开发应当尽量以目前公众已经熟知的金融产品的载体为载体,比如现在发行量已经很大的银行卡(折)。将这些原有的载体赋予新的内涵,将有助于新业务的推广和客户的认知,在广告宣传上也可有连续性,便于迅速开拓出市场,并形成竞争优势。
(六)调整营销组合,改进促销组合首先,中小商业银行应当适当调整营销策略,优化产品、价格、渠道和促销四大因素构成的营销组合结构,适当加以搭配,使其在营销过程中能够扬长避短,发挥优势。市场营销组合具有复合性、协调性、整体性和多变性。不仅要做好这四大因素的组合与搭配,还要注意其内部的组合搭配的合理性科学性。四大因素的相互协调,直接或间接地影响到商业银行的市场机会、业务开展、产品和服务质量的提高、客户的认可、经营成本和利润,最终影响到银行的发展。因此必须加以重视。商业银行应着力开发自己的名牌产品,合理定价,通畅分销渠道,做好促销,不可偏废。同时由于市场不断变化,市场营销组合也应适时加以调整,以求在目标市场上全面充分发挥商业银行的优势和潜力,争取竞争中的有利地位。其次,要进一步优化促销组合,依据商业银行的特点在广告宣传和公共关系等方面多下工夫,推出一些色彩鲜明,文字简赅,形象生动,针对性强的广告套餐 ,向公众多角度、全方位地展开宣传和引导攻势,促其加入本行的客户群。同时要避免撒胡椒面 ,对重点金融产品要有重点投入,要打造自己的知名品牌,以其品牌效应带动银行的发展,这在目前金融产品品质趋同、易模仿的条件下显得尤为重要。要注意公共关系的营造,处理好商业银行与内外部公众的关系,树立商业银行在公众心目中的良好形象。而且其费用相对较低,虽然时间较长,但一旦
成功便可大大提升商业银行的整体形象。再次,人员推销方法直接,针对性强,能获取大量的市场信息,效果好。但费用和人员要求较多,商业银行在条件允许的情况下可以适当采用。
(七)引进人才,培养人才
拥有高素质的人才是赢得市场的关键。对于商业银行更是如此。就商业银行的营销体系而言,在市场的开发、产品的设计、营销的策略及对信息的反馈和捕捉能力等方面,急需大量的既精通财务金融,又懂得营销和管理,以及相关经济金融法规等专业的高级专业技术复合型人才和管理人才。需要抓紧建设一支公关营销型人才队伍,以达到研究市场、培养市场、开拓市场的目的。而引进人才见效快,是非常必要的。此外,商业银行本身拥有专业化很高的金融人才,可对这些人才进行市场营销方面的培训,使其成为符合商业银行发展需要的综合类复合型人才,这也是解决人才短缺压力的一条捷径。要通过建立人才库,改善用人环境,提高人才待遇和实行定期培训等措施建立相应的激励机制,使商业银行内部不断涌现新的人才。从而在避免人才流失的前提下,充实后备力量,使高级专业化的复合型人才在全体员工中的比例保持在一定的水平,以达到人才储备的目的。
(八)加强以信用为基础的银行文化建设
在构建商业银行的营销体系的过程中,必须加强银行文化的建设。企业文化的渗透力是潜移默化的,它使客户对该银行产生心理上的认同感,由此客户产生的是对这家银行的信赖,而不仅仅是对其提供的产品的认同,这对商业银行的营销工作至关重要。而每一个成功的商业银行都以其特色的银行文化将客户牢牢地抓住。这也正是营销的关键∃∃∃差异化。银行文化建设是一项非常重要的基础性管理工作,主要是通过商业的企业精神、企业目标、企业道德、企业制度、企业团队意识和文化活动等途径,并规划银行发展的长、中、短期目标,提高员工的凝聚力和向心力,激发员工的工作热情,规范员工的行为准则,为银行的发展提供思想保证和制度保证。因此,为适应银行的发展和市场竞争的需要,必须依据商业银行各自的具体情况,建立具有自身特色的银行文化。同时,还应看到银行存在的基础是信用,没有了信用,银行也就不能够生存和发展,信用是银行的立行兴行之本,是其最基本的价值观念,这种文化必须以信用为基础。
第四篇:商业银行信息安全管理办法
XX银行
信息安全管理办法
第一章 总 则
第一条 为加强XX银行(下称 “本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据 《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。
第二条 本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条 本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用 谁负责”的原则,逐级落实部门与个人信息安全责任。
第四条 本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。
第二章 组织保障
第五条 常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。
第六条 各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安
—1— 全领导小组颁布的相关管理制度及要求在本部室的落实。
第七条 本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。
第八条 本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。
第三章 人员管理
第九条 本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。
第一节 信息安全管理人员
第十条 本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。
第十一条 应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十二条 信息安全管理人员每年至少参加一次信息安全相关培训。
第十三条 安全工作小组在如下职责范围内开展信息安全管理工作:
(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。
—2 —
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。
(三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。
(四)统计分析和协调处臵信息安全事件。
(五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十四条 信息安全领导小组成员在如下职责范围内开展工作:
(一)负责本行信息安全管理体系的落实。
(二)负责提出本行信息安全保障需求。
(三)负责组织开展本行信息安全检查工作。
第二节 技术支持人员
第十五条 本办法所称技术支持人员,是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
第十六条 本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:
(一)不得对外泄漏或引用工作中触及的任何敏感信息。
(二)严格权限访问,未经业务主管部室授权 不得擅自改变系统设臵或修改系统生成的任何数据。
(三)主动检查和监控生产系统安全运行状况,发现安全
—3— 隐患或故障及时报告本部室主管领导,并及时响应、处臵。
(四)严格操作管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制度,做好数据备份工作。
第十七条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺,签署保密协议。提供技术服务期间,严格遵守本行相关安全规定与操作规程。不得拷贝或带走任何配臵参数信息或业务数据,不得对外泄漏或引用任何工作信息。
第三节 一般计算机用户
第十八条 本规定所称一般计算机用户是指使用计算机设备的所有人员。
第十九条 一般计算机用户应承担如下安全义务:
(一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部室信息安全员的指导与管理。
(二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配臵以屏蔽信息安全防护。
(三)不得在办公用计算机上安装任何盗版或非授权软件。
(四)未经信息安全管理人员检测和授权,不得将内部网络的计算机转接入国际互联网;不得将个人计算机接入内部网络或私自拷贝任何信息。
第四章 资产管理
第二十条 本行对所有信息资产进行识别、评估相对价值及重要性,建立资产清单并说明使用规则,明确定义信息资产责任—4 — 人及其职责。细则参见《XX银行信息资产分类分级管理规定》。
第二十一条 按照信息资产的价值、法律要求及敏感程度和对业务关键程度,分别依据机密性、完整性、可用性三个属性对信息资产进行分类分级,并建立相应的标识和处理制度。
第二十二条 依照信息资产的分类分级采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权的使用。
第二十三条 依据《XX银行介质管理规范》加强介质管理与销毁操作管理,确保本行数据的可用性、保密性、完整性。
第五章 物理环境安全管理 第一节 机房安全管理
第二十四条 本规定所称机房是指信息系统主要设备放臵、运行的场所以及供配电、通信、空调、消防、监控等配套环境设施。
第二十五条 本行机房的信息安全管理由本行本行信息科技部门负责具体实施和落实。
第二十六条 建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。
第二十七条 建立健全机房管理制度,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。机房管理员负责保管机房建设或改造的所有文
—5— 档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第二十八条 建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第二十九条 依据《浙江省农村合作金融机构机房管理指引》进一步规范机房建设、改造和验收过程,落实机房管理。
第三十条 信息安全领导小组负责定期审核机房安全管理落实情况,并保留相应的审核记录和审核结果。
第二节 重要区域安全管理
第三十一条 本章节所指重要区域为:本行信息中心主备机房和运维监控室等区域。本行信息中心负责制定和执行运维监控方面的安全管理制度。
第三十二条 重要区域应严格出入安全管理,安装门禁、视频监视录像系统,实行定时录像监控,并适当配臵自动监控报警功能。
第三十三条 所有门禁、视频监视录像系统的信息资料至少保存三个月。
第三节 办公环境安全管理
第三十四条 在本行大楼入口应设臵门卫或接待员,负责出入或公共访问区域的物理安全管理和外来人员的出入登记。
第三十五条 本行信息中心楼层设立门禁,加强人员进出管理。
第三十六条 本行信息中心员工应在公共接待区接待外来人—6 — 员,未经允许,不得私自将外来人员带入办公区域内。
第三十七条 未经允许,严禁在信息中心办公区域内进行摄影、摄像、录音等记录日常办公行为的活动。
第六章 网络安全管理
第一节 网络规划、建设中的安全管理
第三十八条 本行网络信息科技部负责网络和网络安全的统一规划、建设部署、策略配臵和网络资源(网络设备、通讯线路、IP 地址和域名等)分配。
第三十九条 按照统一规划和总体部署原则,由信息科技部组织实施网络建设、改造工程,工程投产前应通过安全测试与评估。
第四十条 本行网络建设和改造应符合如下基本安全要求:
(一)网络规划应有完整的安全策略,保障网络传输与应用安全。
(二)具备必要的网络监测、跟踪和审计等管理功能。
(三)针对不同的网络安全域,采取必要的安全隔离措施。
(四)能有效防止计算机病毒对网络系统的侵扰和破坏。
第二节 网络运行安全管理
第四十一条 信息科技部应建立健全网络安全运行方面的制度,配备专职网络管理员。网络管理员负责日常监测和检查网络 安全运行状况,管理网络资源及其配臵信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
—7— 第四十二条 网络管理员应定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。
第四十三条 严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过网络管理人员的审核与检测,审 核(检测)通过后方可接入并分配相应的网络资源。
第四十四条 严格网络变更管理。网络管理员调整网络重要参数配臵和服务端口时,应严格遵循变更管理流程。实施有可能影响网络正常运行的重大网络变更,应提前通知相关业务部门并安排在非交易时间或交易较少时间进行,同时做好配臵参数的备份和应急恢复准备。
第四十五条 严格远程访问控制。确因工作需要进行远程访问的人员应向信息简科技部提出书面申请,并采取相应的安全防护措施。
第四十六条 信息安全管理人员负责定期对网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外 界提供。未经授权,任何外部单位与人员不得检测、扫描本行网络。
第三节 接入国际互联网管理
第四十七条 信息科技部负责制定本行互联网方面管理制度,对互联网接入进行严格的控制,防范来自互联网的威胁。
第四十八条 本行内部业务网、办公网与国际互联网实行安全隔离。所有接入内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。
—8 — 第四十九条 内部网络计算机严禁接入国际互联网,确有必要接入国际互联网的应通过信息安全工作小组审核并上报相关领导审批,确保安装有指定的防病毒软件和最新补丁程序。经审批后连接国际互联网 的计算机,不得存留涉密金融数据信息;存有涉密金融数据信息的介质,不得在接入国际互联网的计算机上使用。
第五十条 曾接入国际互联网的计算机严禁接入内部网络,确有必要接入内部网络的应通过安全工作小组审核并上报相关领导审批,经安全检测后方能接入。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。
第五十一条 使用国际互联网的所有用户应遵守国家有关法律法规和本行相关管理规定,不得从事任何违法违规活动。
第七章 访问控制
第五十二条 本行负责建立访问控制制度,对信息资产和服务的访问和权限分配进行控制。
第五十三条 信息资产的责任人负责确定信息资产和服务的访问权限,运行维护科根据授权进行相关设定操作。
第五十四条 信息系统用户设臵本人的用户和密码,并对其访问控制权限负责。重要信息系统操作人员的密码应由系统管理员和业务部门负责人分段设立。
第五十五条 凡是能够执行录入、复核制度的信息系统,操作人员不得一人兼录入、复核两职。未经主管领导批准,不得代
—9— 岗、兼岗。
第五十六条 应启用安全措施限制授权用户对操作系统的访问,包括但不限于:
(一)按照已定义的访问控制策略鉴别授权用户;
(二)记录成功和失败的系统访问企图;
(三)记录专用系统特殊权限的使用情况;
(四)当违反系统安全策略时发布警报;
(五)提供合适的身份鉴别手段;
(六)限制用户的连接时间。
第五十七条 对应用系统和信息的逻辑访问应只限于已授权的用户。对应用系统的访问控制措施包括但不限于:
(一)按照定义的访问控制策略,控制用户访问信息和应用系统的特定功能;
(二)防止能够绕过系统控制或应用控制的任 何实用程序、系统软件和恶意软件对系统进行未授权访问;
(三)为重要的敏感系统设立隔离的运行环境。
第五十八条 访问控制实施细则详见《XX银行信息系统访问控制管理规定》。
第八章 信息系统安全管理
第五十九条 本规定所指的信息系统是本行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
— —10
第六十条 信息系统安全管理实施细则详见《XX银行计算机信息系统安全管理规定》。
第一节 信息系统规划与立项
第六十一条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足信息安全管理的相关要求。项目技术方案应包括以下基本安全内容:
(一)业务需求部室提出的安全需求。
(二)安全需求分析和实现。
(三)运行平台的安全策略与设计。
第六十二条 信息安全领导小组负责派遣相关部室安全员对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第六十三条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整实现。
第六十四条 信息系统开发单位应在完成开发任务后将程序源代码及相关技术资料全部移交本行。外部开发单位还应与本行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。
第六十五条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人 员,不得在程序代码中植入后门和恶意代码程序。
第六十六条 信息系统开发、测试、修改工作不得在生产环
—11— 境中进行。
第六十七条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第六十八条 系统上线前应开展代码审计过程检查源代码中的缺点和错误信息,避免引发安全漏洞。
第三节 信息系统运行
第六十九条 信息系统上线运行实行安全审查机制,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下:
(一)项目承建单位(部室)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报信息科技部审查。
(二)信息系统归口责任业务部室应在信息系统投产运行前同步制定相关安全操作规定,报信息科技部门。
(三)信息科技部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
第七十条 信息系统投入使用前信息中心应当建立相应的操作规程和安全管理制度,以防止各类安全事故的发生。
第七十一条 系统管理员负责信息系统的日常运行管理,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统操作要求双人在场。
第七十二条 系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的,应征得业务系统归口责任
— —12业务处室同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第七十三条 严格用户和密码(口令)的管理,严格控制各级用户对数据的访问权限。
第七十四条 在信息系统运行维护过程中,系统管理人员应遵守但不限于以下要求:
(一)合理配臵操作系统、数据库管理系统所 提供的安全审计功能,以达到相应安全等级标准;
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入;
(三)及时、合理安装正式发布的系统补丁,修补系统存在的安全漏洞;
(四)启用系统提供的审计功能,或使用第三方手段实现审计功能,监测系统运行日志,掌握系统运行状况;
(五)按照网络管理规范及其业务应用范围设臵设备的 IP 地址及网络参数,非系统管理人员不得修改。
第四节 信息系统废止
第七十五条 废止信息系统及其存储介质在报废或重用前,应根据其安全级别,进行消磁或安全格式化,以避免信息泄露。
第七十六条 对已经废止的信息系统软件和数据备份介质,按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在信息安全领导小组监督下予以不可恢复性销毁。
—13—
第九章 客户端安全管理
第七十七条 本办法所称客户端是指本行计算机用户、网络与信息系统所使用的终端设备,包括联网桌面终端、柜面 终端、单机运行(哑)终端、远程接入终端、便携式计算机设备等。
第七十八条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。
第七十九条 客户端应统一安装病毒防治软件,设臵用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。
第八十条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八十一条 规范存储本单位商密信息的计算机设备的安全管理,包括:开发用终端、生产主机及其他计算机设备。
第十章 信息安全专用产品、服务管理
第一节 资质审查与选型购臵
第八十二条 本规定所称信息安全专用产品,是指本行安装使用的专用安全软件、硬件产品。本规定所称信息安全服 务,是指本行向社会购买的专业化安全服务。
第八十三条 本行负责信息安全服务提供商的资质审查和信息安全专用产品的选型,由采购科室按照采购程序选购。
第八十四条 安全专用产品在准入审核时,供应商应提出申 — —14请并提供下列资料:
(一)公安部颁发的安全专用产品销售许可证和其他必须的证明材料;
(二)产品型号、产地、功能及报价;
(三)产品采用的技术标准,产品功能及性能的说明书;
(四)生产企业概况(包括人员、设备、生产条件、隶属关系等);
(五)供应商的质量保证体系、售后服务措施等情况的说明。
第八十五条 安全专用产品有下列情形之一的,取消其准入资格:
(一)安全专用产品的功能已发生变化,但未通过检测的;
(二)经使用发现有严重问题的;
(三)不能提供良好售后服务的;
(四)国家有关部门取消其销售资格的。
第二节 使用管理
第八十六条 扫描、检测类信息安全专用产品仅限于信息安全管理人员使用。
第八十七条 信息科技部定期检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。
第八十八条 信息科技部应及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,应报信息安全领导小组批准后,按照固定资产报废审批程序处
—15— 理。
第十一章 文档、数据与密码应用安全管理
第一节 技术文档
第八十九条 本规定所称技术文档是指本行网络、信息系统和机房环境等建设与运行维护过程中形成的各种技术资料,包括纸质文档、电子文档、视频和音频文件等。
第九十条 各部室负责将技术文档统一归档。未经本行领导批准,任何人不得将技术文档转借、复制和对外公布。
第二节 存储介质
第九十一条 建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质管理流程。所有存储介质应保存在安全的物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。
第九十二条 做好存储介质在物理传输过程中的安全控制,选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。
第九十三条 加强对移动存储设备(U盘、软盘、移动硬盘等)的使用管理。对系统升级专用的移动存储设备应按照相关规定由专人负责管理。
第九十四条 建立存储介质销毁机制,对载有敏感信息的存储介质应按照其安全等级,采用安全格式化、消磁等不可复原的方式进行处臵并做好记录。
— —16 第九十五条 介质管理实施细则详见《XX银行介质管理规范》。
第三节 数据安全
第九十六条 本规定中所称的数据是指以电子形式存储的本行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。
第九十七条 数据的所有者(部室)负责提出数据在输入、处理、输出等不同状态下的安全需求,信息科技部负责审核安全需求并提供一定的技术实现手段。
第九十八条 严格管理业务数据的增加、修改、删除等变更操作,进行业务数据有效性检查,按照既定备份策略执行数据备 份任务,并定期测试备份数据的有效性。
第九十九条 系统管理员负责定期导出网络和重要信息系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。
第一百条 本行信息科技部负责建立备份数据销毁方面的管理制度,根据数据重要性级别分类采取相应的备份数据的保 存时限和密级,并根据介质处臵相关要求进行销毁处理。
第一百零一条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百零二条 生产数据的调用提取应遵守《XX银行计算机系统生产数据调用及维护操作规程》。
—17—
第四节 口令密码
第一百零三条 信息科技部负责制定和维护密码管理方面的制度,严格执行密码安全管理策略。
第一百零四条 系统管理员、数据库管理员、网络管理员、业务操作人员的用户均须设臵口令密码,至少每三个月更换一次。口令密码的强度应满足必要的安全性要求。
第一百零五条 敏感信息系统和设备的口令密码设臵应在安全的环境下进行,必要时应将口令密码笔录,密封交相关部室保管。未经本行分管领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。
第一百零六条 应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百零七条 本行涉密网络和信息系统应严格 按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息 系统应依据本行实际需求和统一安全策略,合理选择加密措施。
第一百零八条 密码产品和加密算法的选择应符合国家 相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合本行的相关安全要求。
第一百零九条 本行信息科技部负责建立和执行密钥管理方面的制度,选择密码管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。
— —18 第一百一十条 应在安全环境中进行关键密钥的备份工作,并设臵遇紧急情况下密钥报废、销毁机制。
第一百一十一条 各类密钥应定期更换,对已泄漏或怀疑泄漏的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十二章 第三方访问和外包服务安全管理
第一节 第三方访问控制
第一百一十二条 本规定所称第三方访问是指本行之外的单位和个人物理访问本行计算机房,或者通过网络连 接逻辑访问本行数据库和信息系统等活动。
第一百一十三条 信息科技部负责在第三方与本行合作前对其资质进行调查。本行内部信息系统和相关网络的第三方访问授权需经本行领导的审批授权。未经授权的任何第三方访问均视为非法入侵行为。
第一百一十四条 允许被第三方访问的本行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。
第一百一十五条 获得第三方访问授权的所有单位和个人应与本行签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄漏本行任何信息。
第一百一十六条 第三方访问控制实施细则详见《XX银行第三方安全管理规定》。
第二节 外包服务管理
—19— 第一百一十七条 本规定所称外包服务,是指由本行之外的其他社会厂商为本行信息系统、网络或桌面环境提 供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议,明确约定双方义务。
第一百一十八条 外包服务提供商提供上门维护服务的,经信息科技部批准后,由本行内部人员现场陪同实施。外包服务提供商不得查看、复制本行内部信息或将内部介质带离。
第一百一十九条 计算机设备确需送外单位维修时,本行应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第一百二十条 外包服务管理详见《XX银行IT外包管理暂行办法》。
第十三章 事件报告、灾难备份与应急管理
第一节 事件报告
第一百二十一条 信息安全事件按照信息安全事件报告流程进行报告,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的重大信息安全事件,应上报告计算机安全领导小组。
第一百二十二条 重大信息安全事件发生后,相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时 — —20报告主管领导及计算机安全领导小组。必要时启动相关应急预案。
第二节 灾难备份管理
第一百二十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战 争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。
第一百二十四条 本行在本行计算机信息系统应急领导小组统一领导下,组织开展重要信息系统灾难备份的统一规划、实施和管理。
第一百二十五条 本行业务部室负责提出业务系统灾难备份需求,明确可容忍的业务中断时间和数据丢失量。本行据此确定灾难备份等级和备份方案。
第一百二十六条 本行业务部室和本行协同建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,每年进行一次重要信息系统的灾难恢复演练。
第三节 应急管理
第一百二十七条 本行信息科技部负责制定和持续完善网络、信息系统和机房环境等应急预案。应急预案应包括以下基本内容:
(一)总则(目标、原则、适用范围、预案调用关系等)。
(二)应急组织机构。
—21—
(三)预警响应机制(报告、评估、预案启动等)。
(四)各类危机处臵流程。
(五)应急资源保障。
(六)事后处理流程。
(七)预案管理与维护(生效、演练、维护等)。
第一百二十八条 本行计算机信息系统应急领导小组统一负责各业务系统的应急协调与指挥,决策重大事宜(决定应急预案的启 动、灾难宣告、预警相关单位等)和调动应急资源。
第一百二十九条 本行定期组织应急预案演练,指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及 演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。
第一百三十条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。
第一百三十一条 应急管理实施细则详见《XX银行计算机信息系统应急管理制度》。
第十四章 安全监测、检查、评估与审计
第一百三十二条 本行信息科技部负责每年至少进行一次本行范围内的内部信息安全相关的检查或评估工作。
第一百三十三条 本行负责每年组织对各部室、各分支机构的计算机安全运行情况进行检查(以下简称“对下安全检查”)。
第一节 安全监测
第一百三十四条 本行信息中心负责整合和利用现有网络管 — —22理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。
第一百三十五条 本行各部室要及时预警、响应和处臵运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级相关部门。
第二节 安全检查
第一百三十六条 本行安全检查包括对本行本级的安全检查和对下安全检查。安全检查方式可以是自查、检查、抽查或上级检查多种方式。
第一百三十七条 开展安全检查前,应以已经发布的相关安全管理制度为依据,制定详细的检查方案、提纲和计划等,确保检查工作的可操作性和规范性。
第一百三十八条 安全检查完成后应及时形成检查报告,经主管领导批准后将检查整改报告尽快送达被检查部门。要求限期整改的,需要对相关整改情况进行后续跟踪。
第一百三十九条 参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为本行内部材料妥善保管,不得向外界泄漏。
第三节 安全评估
第一百四十条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报主管领导。
第一百四十一条 如聘请第三方机构进行安全评估,应报本
—23— 行主管部门批准,并与第三方评估机构签订安全保密协议 后方可进行。本行信息安全管理人员全程参与评估过程并实施监督。
第一百四十二条 应妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第四节 安全审计
第一百四十三条 适时开展信息系统日常运行管理和信息安全事件的技术审计,发现问题按照相关规定及时上报主管领导。
第一百四十四条 应做好操作系统、数据库管理系统等审计功能配臵管理,应完整保留相关日志记录,一般保留至少一个月,涉及资金交易的业务系统日志应根据需要确定保留时间。
第一百四十五条 本行各部室及人员应积极支持与配合上级审计部门或外部审计机构开展的信息安全审计。
第十五章 附 则
第一百四十六条 本行之前发布的其他信息安全管理办法如与本办法不一致的,按本办法执行。
第一百四十七条 本办法由本行负责制定,解释。
第一百四十八条 本办法自发布之日起执行。
— —24
第五篇:商业银行如何支持中小企业发展
商业银行如何支持中小企业发展
目前我国中小企业以惊人的速度发展,已成为我国经济发展的中坚力量。中小企业具有稳定经济、吸纳就业和提供多元化社会服务的巨大作用。但由于种种因素制约,使它的潜能尚未充分发挥。因此,商业银行如何支持中小企业的长足发展,为其提供一个良好的金融环境,是当前各商业银行需要研究的重要课题。
一、中小企业面临的融资现状
1、中小企业缺乏有效担保、自身规模小、资信较差,降低了金融机构向中小企业投放贷款的信心。
2、一些中小企业的财务制度不健全,缺乏合格有效的财务审计报告,使得金融机构对其缺乏信任。
3、由于中小企业户数多,经营管理状况不稳定、规模小,抗击市场冲击能力差,使得金融机构为中小企业提供服务的成本较高,风险较大。
4、目前金融机构的信贷管理方式还不适应中小企业发展的现状,审批程序复杂,时效性差,难以及时满足资金需要,评定信用等级、审查贷款条件时与大企业使用同一标准不符合实际情况。
二、金融机构对中小企业支持的有利条件
1、中小企业具有规模小、业务往来简单、借款额度相对小的特点,金融机构对其能准确地把握,一旦发生贷款风险,所受的损失也小,这样能增强金融机构的生存能力。
2、中小企业类型多、经营行业不同、产品不
一、生产阶段不同,金融机构选择客户的余地大,而且还能够分散降低信贷风险。
3、金融机构对多数处于成长阶段的中小企业支持,能够比较容易地转化为银企间长期的密切合作关系,从而增强金融机构可持续发展的能力。
4、目前商业银行都将效益最大化作为经营目标,因此发展潜力大、忠诚度高的中小企业已成为商业银行新的效益增长点。
三、金融机构支持中小企业发展的策略
1、制定和完善支持中小企业发展的金融政策。充分理解领会国家的宏观政策导向,制定对中小企业的授信标准,凡是正常经营、不搞盲目扩张、符合贷款条件的企业和符合国家产业政策与市场准入条件的项目,不论其规模大小和所有制形式,其资金需求银行都应给予积极支持。利用利率等市场手段,扶优抑劣,促进中小企业向规范化方向发展。对投向合理而资金暂时有困难的金融机构,人民银行可以通过再贷款、再贴现等予以支持。
2、不断完善对中小企业的金融服务体系。金融机构要成立为中小企业服务的信贷职能部门,建立健全为中小企业服务的金融机构体系,配备必要的人员,完善对中小企业的金融服务功能。
3、创新业务品种。金融机构应积极灵活运用各种金融工具为中小企业提供结算、汇兑、转账和财务管理等多种金融服务,完善对中小企业的金融服务体系。推出流动资金整贷零偿贷款、自然人担保贷款、自然人委托贷款等新业务品种,同时将许多业务品种的适用范围扩大到中小企业,如循环贷款、法人账户透支等。除积极增加信贷投入外,还通过开展票据贴现、保函、保理等业务,扩大中小企业的融资渠道,缓解中小企业资金紧张状况。
4、提高办事效率。应努力提高信贷人员素质,增强信贷人员的服务技能,改进信贷工作流程,缩短贷款评估和审批时间,建立有效的激励和监督机制,充分调动信贷人员的积极性,提高办事效率。
5、解决中小企业抵押担保难问题。针对中小企业缺乏合格、足额的贷款抵押资产以及难以找到符合要求的担保单位的情况,可以借助专业物流公司对中小企业的动产实施集约式的质押监管,实现银行资金流与企业物流的有机结合,在解决中小企业缺乏可抵押固定资产的同时,加强对企业现金流和经营状况的动态监控,有效降低平均监管成本,在控制风险的前提下加大对中小企业的支持力度。
金融机构可以与有关部门积极沟通,采用企业互保、联保、货权质押、仓单质押、成立中小企业风险担保基金等多种形式,解决中小企业的贷款担保难问题。
6、建立新型银企关系。银行与中小企业应建立相互依存、互惠互利、平等自主、诚实守信、双向选择、相互制约的关系。银企双方在经济往来中,应视诚信为生命,切不可把自己的经营风险转嫁给对方,真正维护各自的信用。
