前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的征信信息安全管理主題范文,僅供參考,歡迎閱讀并收藏。
沒有安全,何以生存,遑論發(fā)展;而信息時代安全的核心內(nèi)容之一,便是信息安全。蓋緣于此,世界上主要發(fā)達(dá)國家始終十分重視信息安全工作。
1998年5月22日,美國克林頓政府頒布了《保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令(PDD63),圍繞“信息安全”成立了包括全國信息安全委員會、全國信息安全同盟、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會等10余各全國性機(jī)構(gòu)。同年,美國國家安全局(NSA)制定了《信息安全保障框架》(IATF),提出了深度防御策略。2000年發(fā)表了《總統(tǒng)國家安全戰(zhàn)略報告》,首次將信息安全明確列入其中。布什政府在911之后成立了國土安全部、國家KIP委員會,并于2002年和2003年陸續(xù)頒布了《國家保障數(shù)字空間安全策略》、《國家安全戰(zhàn)略報告》和《網(wǎng)絡(luò)空間安全國家戰(zhàn)略計(jì)劃》。奧巴馬總統(tǒng)上臺不久,就親自主導(dǎo)了為期60天的信息安全評估項(xiàng)目,并于2009年5月公布了《美國網(wǎng)絡(luò)安全評估》報告,評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn),指出了存在的問題,并提出相應(yīng)的行動計(jì)劃。在此基礎(chǔ)上,美國政府成立了網(wǎng)絡(luò)安全辦公室,任命了網(wǎng)絡(luò)安全協(xié)調(diào)官。2010年6月,美國國防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部,于2010年10月正式運(yùn)行。2015年年底,美國《網(wǎng)絡(luò)安全法》獲得正式通過,成為美國當(dāng)前規(guī)制網(wǎng)絡(luò)安全信息共享的一部較為完備的法律,首次明確了網(wǎng)絡(luò)安全信息共享的范圍,并通過修訂2002年《國土安全法》的相關(guān)內(nèi)容,規(guī)范國家網(wǎng)絡(luò)安全增強(qiáng)、聯(lián)邦網(wǎng)絡(luò)安全人事評估及其他網(wǎng)絡(luò)事項(xiàng)。
俄羅斯則早在1995年便頒布了《聯(lián)邦信息、信息化和信息保護(hù)法》,明確界定了信息資源開放和保密的范疇,提出了保護(hù)信息的法律責(zé)任。1997年俄羅斯出臺的《俄羅斯國家安全構(gòu)想》中明確提出,“保障國家安全應(yīng)把保障國家經(jīng)濟(jì)安全放在第一位”,而“信息安全又是經(jīng)濟(jì)安全的重中之重”。2000年普京總統(tǒng)批準(zhǔn)了《國家信息安全學(xué)說》,明確了俄羅斯聯(lián)邦信息安全建設(shè)的目的、任務(wù)、原則和主要內(nèi)容。
我國政府高度重視信息安全工作,早在1994年,國務(wù)院便以147號令頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》;2003年國務(wù)院成立應(yīng)急辦,頒布了《國家突發(fā)公共衛(wèi)生事件應(yīng)急條例》;2006年公布了《國家突發(fā)公共事件總體應(yīng)急預(yù)案》和《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》,確定了4大公共事件及網(wǎng)絡(luò)信息安全事件的應(yīng)急措施預(yù)案;2007年制定了《國家突發(fā)事件應(yīng)對法》。此外,信息產(chǎn)業(yè)部、工信部以及各地方政府和部門在近十余年時間里也陸續(xù)出臺了各類與信息安全相關(guān)的法律法規(guī)。信息安全在我國的國家層面上受到高度重視,目前已上升為國家戰(zhàn)略。相應(yīng)地,信息安全工作也已成為各行各業(yè)信息化戰(zhàn)略規(guī)劃和信息化建設(shè)中不可或缺的內(nèi)容,氣象部門也不例外。
信息安全是一個永恒的主題,信息安全工作永遠(yuǎn)沒有終結(jié)的一刻。在國家大力倡導(dǎo)信息化、互聯(lián)網(wǎng)+、大數(shù)據(jù)應(yīng)用和信息安全的現(xiàn)在,認(rèn)真系統(tǒng)地回顧和審視氣象信息安全工作,是完全必要的,因?yàn)檫@可使我們及早發(fā)現(xiàn)問題、查漏補(bǔ)缺,使氣象信息安全工作進(jìn)一步發(fā)揮出應(yīng)有的作用。
二、信息安全的本質(zhì)
(一)信息安全的內(nèi)涵和特征
信息是氣象部門最寶貴的資產(chǎn),是氣象部門賴以立身的最為珍貴的資源。因此,必須對所有氣象信息進(jìn)行妥善的保護(hù)。
按業(yè)界的規(guī)范定義,信息安全主要指信息的保密性、完整性和可用性的保持,即:通過采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施,保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲等各個環(huán)節(jié)中,信息的保密性、完整性和可用性不被破壞,保障業(yè)務(wù)的連續(xù)性,最大限度地減少業(yè)務(wù)的損失,最大限度地獲取業(yè)務(wù)回報。其中:保密性是指確保只有那些被授予特定權(quán)限的人才能夠訪問到信息;完整性是指保證信息和處理方法的正確性和完整性;可用性則是指確保那些已被授權(quán)的用戶在其需要的時候,確實(shí)可以訪問到所需信息。此屬常識,不予展開。
信息安全具有如下特征:
1. 信息安全是系統(tǒng)的安全
信息產(chǎn)生于系統(tǒng)、存在于系統(tǒng)、被系統(tǒng)所使用并由系統(tǒng)發(fā)揮其作用,所有與信息相關(guān)的各系統(tǒng)皆必須納入信息安全的視野,予以充分的關(guān)注和考慮。此外,信息安全是整體的安全,所有與信息相關(guān)的部分由信息串聯(lián)而構(gòu)成一個相對完整的系統(tǒng),它的安全直接關(guān)系到信息的安全。
2. 信息安全是動態(tài)的安全
信息的安全保障是一個動態(tài)的過程,沒有永久的安全,也不存在滿足信息安全的充分條件,信息安全問題不可能一勞永逸地予以解決。保護(hù)信息安全不可能是絕對的,而是多種約束條件下的折衷的選擇。隨著事物的發(fā)展和技術(shù)的進(jìn)步,約束條件必然發(fā)生變化,而約束條件的變化又將必然導(dǎo)致信息安全方針、策略和措施的相應(yīng)調(diào)整和變化。
3. 信息安全是無邊界的安全
網(wǎng)絡(luò)的廣泛互聯(lián)使得信息系統(tǒng)環(huán)境的邊界越來越模糊,傳統(tǒng)意義上的國界、前方和后方正在消失,人們幾乎可以從任何地點(diǎn)、任何時間對任何對象發(fā)起網(wǎng)絡(luò)攻擊,因此信息安全是廣泛的、無國界的,它無法單憑一個國家、地區(qū)或部門就能完全控制,需要從全球信息化角度綜合考慮和整體布局。
4. 信息安全是非傳統(tǒng)的安全
傳統(tǒng)的具有典型外在物理特征的安全因素(如:軍事、自然災(zāi)害、人為暴力破壞等等)已無法涵蓋信息安全所應(yīng)考慮的全部范疇。在沒有諸如軍事入侵、自然災(zāi)害、傳統(tǒng)意義上的恐怖襲擊等情況下,信息和信息系統(tǒng)的安全依然會受到諸如計(jì)算機(jī)病毒、黑客攻擊、計(jì)算機(jī)犯罪、信息垃圾和信息污染等嚴(yán)重威脅。國家的電信、金融、能源、交通等核心領(lǐng)域,氣象部門的數(shù)據(jù)通信、信息處理等核心系統(tǒng),可能在極短的時間內(nèi)被攻擊癱瘓,導(dǎo)致社會運(yùn)轉(zhuǎn)的癱瘓和氣象業(yè)務(wù)的崩潰,而此時所有系統(tǒng)的物理器件并未因此而發(fā)生實(shí)質(zhì)性的損傷。
信息安全既是信息技術(shù)問題,也是組織管理問題。因?yàn)樾畔踩罱K必將落實(shí)到信息系統(tǒng)的安全層面上,并最終由一個個具體的信息技術(shù)和相關(guān)產(chǎn)品的有機(jī)組合予以實(shí)現(xiàn),沒有符合實(shí)際的明確的安全目標(biāo)和方針、科學(xué)的設(shè)計(jì)、認(rèn)真的維護(hù)、以及不斷地主動發(fā)現(xiàn)新的安全問題并及時予以解決,是無法有效地形成安全環(huán)境的;就一個部門而言,一個相對安全的環(huán)境的構(gòu)成必須從人的行為規(guī)范、安全體系的科學(xué)設(shè)計(jì)以及部門內(nèi)部安全環(huán)境的構(gòu)成等諸多方面綜合考慮、整體設(shè)計(jì),方才可能。因此信息安全并非單純是技術(shù)和技術(shù)產(chǎn)品問題,更是組織管理問題,無法單憑技術(shù)手段予以解決。
此外,從法律、輿論以及信息戰(zhàn)和虛擬空間等更高層面考慮,信息安全也是社會問題和國家安全問題。此非本文所考慮的范圍,故不予展開。
(二)信息安全的一些認(rèn)識誤區(qū)
應(yīng)當(dāng)承認(rèn),由于各種原因,至今氣象部門的一些同事中,對信息安全仍存在一定的認(rèn)識誤區(qū),以下問題應(yīng)予充分重視:
1. 單純的安全技術(shù)和產(chǎn)品的應(yīng)用不能解決信息安全
信息安全問題并非單純的技術(shù)問題,信息安全技術(shù)和產(chǎn)品的簡單應(yīng)用并不意味著部門整體的信息安全,不能指望簡單地規(guī)劃了DMZ區(qū)、在局域網(wǎng)出入端配置了防火墻、在個人電腦中安裝了殺毒軟件、遠(yuǎn)程通信采用VPN技術(shù)后,部門的信息安全問題便可基本解決。事實(shí)上,諸如防火墻、堡壘機(jī)、殺毒軟件等安全產(chǎn)品,僅僅是構(gòu)建部門信息安全防護(hù)體系的磚石,如果沒有科學(xué)的整體設(shè)計(jì)和有效的實(shí)施方案,單憑磚石和瓦塊的簡單甚至隨意堆壘,是無法構(gòu)建成有效的安全防護(hù)體系的。因此:
防火墻+ 堡壘機(jī)+ 殺毒軟件≠信息安全
2. 業(yè)務(wù)連續(xù)性的有效保障不能替代部門的信息安全
業(yè)務(wù)連續(xù)性的有效保障是部門行政領(lǐng)導(dǎo)最為關(guān)注的安全問題之一,為此往往不惜代價不計(jì)成本,而建立業(yè)務(wù)備份中心或?yàn)?zāi)難備份中心是目前較為流行的保障措施。但備份中心的建立也并不一定意味著部門整體的信息安全,因?yàn)闃I(yè)務(wù)連續(xù)性的保障僅屬于信息安全三要素中“信息可用性”的范疇,如果不同時考慮信息的保密性和完整性,同樣無法從整體上解決部門的信息安全問題;而信息的私密性和完整性與備份中心之間并無必然聯(lián)系。因此:
備份中心≠信息安全
3. 網(wǎng)絡(luò)防御不能代替信息安全
傳統(tǒng)意義上的網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)協(xié)議安全、網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)架構(gòu)安全,側(cè)重于網(wǎng)絡(luò)自身的健壯性以及抗網(wǎng)絡(luò)攻擊的能力。然而如果網(wǎng)絡(luò)上運(yùn)行的系統(tǒng)自身存在一定缺陷、軟件存在BUG,以及人為操作失誤(如:誤刪除、誤修改等),則上述內(nèi)容和措施便將束手無策。所以,網(wǎng)絡(luò)的抗攻擊和抗偷盜能力不能完全解決信息安全問題。
類似的認(rèn)識誤區(qū)還有若干,限于篇幅,不再枚舉。
三、基于風(fēng)險管理的信息安全管理
(一)信息安全管理
統(tǒng)計(jì)結(jié)果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,其余的70%~80%則是因內(nèi)部員工的疏忽或有意違規(guī)而造成的。站在全局的高度上來考察信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn):安全問題實(shí)際上都是人的問題,單憑技術(shù)手段是無法予以根本解決的。
信息安全是一個多層面、多因素的過程,如果僅憑一時的需要,頭疼醫(yī)頭腳疼醫(yī)腳地制定一些控制措施和引入某些技術(shù)產(chǎn)品,難免掛一漏萬、顧此失彼,使得信息安全這只“木桶”出現(xiàn)若干“短板”,從而無法提高信息安全的整體水平。
對于信息安全而言,技術(shù)和產(chǎn)品是基礎(chǔ),管理才是關(guān)鍵。如同磚瓦建材需要良好的設(shè)計(jì)和施工才能搭建成堅(jiān)固耐用的建筑,安全技術(shù)和安全產(chǎn)品需要通過管理的組織職能方才能夠發(fā)揮出最佳效果。事實(shí)充分證明,管理良好的系統(tǒng)遠(yuǎn)比技術(shù)雖然高超但管理混亂不堪的系統(tǒng)安全得多。因此,先進(jìn)科學(xué)的、易于理解且方便操作的安全策略對信息安全至關(guān)重要;而建立一個管理框架,讓好的安全策略在這個框架內(nèi)可重復(fù)實(shí)施,并不斷得到修正,就會擁有持續(xù)的安全。
所謂信息安全管理,是指部門或組織中為了完成信息安全目標(biāo),針對信息系統(tǒng),遵循安全策略,按照規(guī)定的程序,運(yùn)用恰當(dāng)?shù)姆椒ǎM(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動和過程;是通過維護(hù)信息的保密性、完整性和可用性,來管理和保護(hù)組織所有的信息資產(chǎn)的一項(xiàng)體制;是部門或組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險的一組相互協(xié)調(diào)的活動。有效的信息安全管理要盡量做到在有限的成本下,保證將安全風(fēng)險控制在可接受的范圍之內(nèi)。
信息安全管理包括:安全規(guī)劃、風(fēng)險管理、應(yīng)急計(jì)劃、安全教育培訓(xùn)、安全系統(tǒng)評估、安全認(rèn)證等多方面內(nèi)容。
(二)基于風(fēng)險的信息安全
1. 安全和風(fēng)險
步履蹣跚的耄耋老人終日待在家中肯定比在熙熙攘攘的大街上行走安全,但即使在家中,也仍有因行走或站立不穩(wěn)而跌倒的可能,不如身邊陪有專人看護(hù)安全;然即便家中有專人看護(hù),也不如將老人長期安置在醫(yī)院,在全套設(shè)備和專業(yè)醫(yī)護(hù)人員看護(hù)下安全,如此等等。可見,所謂安全都是相對而言的,沒有絕對的安全;而安全的效果或等級越高,往往付出的代價或成本也越高,信息安全也是如此。
安全是相對于風(fēng)險而言的,某種安全水平的達(dá)到意味著某種或某類風(fēng)險的得以規(guī)避:雙機(jī)熱備技術(shù)可以避免單點(diǎn)故障所導(dǎo)致的業(yè)務(wù)中斷,兩地三中心災(zāi)備模式可以保證即便在發(fā)生局地嚴(yán)重災(zāi)害時部門業(yè)務(wù)的連續(xù)性。但絕對的安全是沒有的:雙機(jī)熱備技術(shù)無法避免供電系統(tǒng)故障的風(fēng)險,而大型隕石撞擊地球,將導(dǎo)致生態(tài)系統(tǒng)的崩潰和物種滅絕,遑論災(zāi)備兩地三中心以及部門業(yè)務(wù)連續(xù)性了。
然而,風(fēng)險是由可能性與后果的組合來計(jì)算和度量的。盡管兩地三中心災(zāi)備模式無法應(yīng)對地球遭遇大型隕石撞擊的毀滅性災(zāi)害,但該災(zāi)害發(fā)生的可能性卻微乎其微,未來數(shù)百年幾乎沒有可能。因此此災(zāi)雖然為害甚烈,但發(fā)生的可能性卻幾近于零,不必予以考慮。
2. 風(fēng)險管理
絕對的零風(fēng)險是不存在的,要想實(shí)現(xiàn)零風(fēng)險也是不現(xiàn)實(shí)的。同時,規(guī)避風(fēng)險是需要代價的,規(guī)避的風(fēng)險種類越多,所付出的代價往往越大。就計(jì)算機(jī)系統(tǒng)而言,安全性越高,其可用性往往越低,需要付出的成本也越大。因此,信息安全建設(shè)的宗旨之一,就是在綜合考慮成本與效益的前提下,通過恰當(dāng)、足夠、綜合的安全措施來控制風(fēng)險,使殘余風(fēng)險降低到可接受的程度。亦即,需要在安全性和可用性,以及安全性和成本投入之間做出一種平衡。
所以,根本上說,信息安全是一個風(fēng)險管理過程,而不是一個技術(shù)實(shí)現(xiàn)過程。
風(fēng)險管理是指如何在一個肯定有風(fēng)險的環(huán)境里,利用有限的資源把風(fēng)險減至最低的管理過程。風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略等。理想的風(fēng)險管理,是一連串排好優(yōu)先次序的過程,使導(dǎo)致最大損失及最可能發(fā)生的安全事件優(yōu)先處理、而相對風(fēng)險較低的事件則押后處理。
風(fēng)險管理的首要內(nèi)容之一,是風(fēng)險識別和風(fēng)險評估。因?yàn)?,信息安全體系的建立首先需要確定信息安全的需求,而獲取信息安全需求的主要手段就是安全風(fēng)險評估。因此,信息安全風(fēng)險評估是信息安全管理體系建立的基礎(chǔ);沒有風(fēng)險評估,信息安全管理體系的建立就沒有依據(jù)。
風(fēng)險管理的另一項(xiàng)重要內(nèi)容,就是對風(fēng)險評估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險處置,只有對已知風(fēng)險逐一進(jìn)行有針對性的妥善處置,才能化解和規(guī)避這些風(fēng)險,達(dá)到信息安全的目的。因此,風(fēng)險處置是信息安全的核心。從本質(zhì)上講,風(fēng)險處置的最佳集合就是信息安全管理體系的控制措施集合;而控制目標(biāo)、控制手段、實(shí)施指南的邏輯梳理、以形成這些風(fēng)險控制措施集合的過程,就是信息安全體系的建立過程。亦即,信息安全管理體系的核心就是這些最佳控制措施的集合。
需要強(qiáng)調(diào)的是,由于信息安全風(fēng)險和事件不可能完全避免,因此信息安全管理必須以風(fēng)險管理的方式,不求完全消除風(fēng)險,但求限制、化解和規(guī)避風(fēng)險。而好的風(fēng)險管理過程可以讓氣象部門以最具有成本效益的方式運(yùn)行,并且使已知的風(fēng)險維持在可接受的水平,使氣象部門可以用一種一致的、條理清晰的方式來組織有限的資源,確定風(fēng)險處置優(yōu)先級,更好地管理風(fēng)險,而不是將保貴的資源用于解決所有可能的風(fēng)險。
事物是在不斷變化的,新的風(fēng)險不斷出現(xiàn),因此風(fēng)險管理過程需要不斷改進(jìn)、完善、更新和提高。
四、當(dāng)前氣象信息安全存在的問題
盡管氣象部門至今尚未發(fā)生重大信息安全事件,但這并不能說明氣象部門的信息安全工作已萬事大吉,信息安全體系固若金湯。依照信息安全管理的規(guī)范考察,氣象部門的信息安全工作至少存在如下問題:
(一)基礎(chǔ)工作存在缺失
1. 信息安全目標(biāo)
通常意義下的信息安全目標(biāo),一般都是確保信息的機(jī)密性、完整性、可用性,以及可控性和不可否認(rèn)性等等。但部門不同,具體的情況不同,安全性需求的程度、信息安全所面臨的風(fēng)險、付出的代價也各有不同;如:就信息的機(jī)密性而言,軍事部門的要求遠(yuǎn)遠(yuǎn)高于氣象部門;而就信息的可用性而言,氣象部門對業(yè)務(wù)連續(xù)性的要求也較土地勘測管理部門為高。因此,泛泛的信息安全目標(biāo)沒有任何意義,所有可用的信息安全目標(biāo)都是切合部門具體實(shí)際情況的,是本土化、部門化的。
沒有切合氣象部門具體實(shí)際情況的、具有鮮明氣象特色的信息安全目標(biāo),是目前存在的突出問題。
必須明確,氣象部門信息安全目標(biāo)的確定,是管理層的職責(zé)。管理層對信息安全目標(biāo)的要求,決定了氣象部門信息安全工作的走向。氣象信息業(yè)務(wù)部門負(fù)責(zé)氣象信息安全既定目標(biāo)的具體落實(shí),其工作的質(zhì)量和效率,決定了氣象部門是否能夠達(dá)到信息安全管理的目標(biāo)。
2. 信息安全方針
信息安全方針是為信息安全工作提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及相應(yīng)的支持舉措。信息安全方針應(yīng)該做到:對本部門的信息安全加以定義,陳述管理層對信息安全的意圖,明確分工和責(zé)任,約定信息安全管理的范圍,對特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說明,等等。氣象部門的信息安全方針至少應(yīng)當(dāng)說明以下問題:氣象信息安全的整體目標(biāo)、范圍以及重要性,氣象信息安全工作的基本原則,風(fēng)險評估和風(fēng)險控制措施的架構(gòu),需要遵守的法規(guī)和制度,信息安全責(zé)任分配,信息系統(tǒng)用戶和運(yùn)行維護(hù)人員應(yīng)該遵守的規(guī)則,等等。
遺憾的是,以此為基本內(nèi)容的信息安全方針,至今在氣象部門尚未確立。
3. 信息安全組織機(jī)構(gòu)
為有效實(shí)施部門的信息安全管理,保障和實(shí)施部門的信息安全,在部門內(nèi)部建立信息安全組織架構(gòu)(或指定現(xiàn)有單位承擔(dān)其相應(yīng)職責(zé))是十分必要的。
在一個部門或機(jī)構(gòu)中,安全角色與責(zé)任的不明確是實(shí)施信息安全過程中的最大障礙。因此,建立信息安全組織并落實(shí)相應(yīng)責(zé)任,是該部門實(shí)施信息安全管理的第一步。這些組織機(jī)構(gòu)需要高層管理者的參與(如本部門信息化領(lǐng)導(dǎo)小組),以負(fù)責(zé)重大決策,提供資源并對工作方向、職責(zé)分配給出清晰的說明,等等。此外,信息安全組織成員還應(yīng)包括與信息安全相關(guān)的所有部門(如行政、人事、安保、采購、外聯(lián)),以便各司其責(zé),協(xié)調(diào)配合。
遺憾的是,類似的組織機(jī)構(gòu)在氣象部門內(nèi)即便已經(jīng)存在,至今也未真正履行其應(yīng)負(fù)的職責(zé)。
4. 信息資產(chǎn)管理
信息資產(chǎn)管理的主要內(nèi)容包括:識別信息資產(chǎn),確定信息資產(chǎn)的屬主及責(zé)任方,信息資產(chǎn)的安全需求分類,以及各類信息資產(chǎn)的安全策略和具體措施,等等。
就氣象部門而言,對信息資產(chǎn)(即:氣象信息資源和氣象信息系統(tǒng))進(jìn)行識別、明確歸屬以及分類等工作,有利于信息安全措施的有效實(shí)施。以分類為例:我們知道,對某特定氣象資料或業(yè)務(wù)系統(tǒng)實(shí)施過多和過度的保護(hù)不僅浪費(fèi)資源,而且不利于資料效益的充分發(fā)揮和系統(tǒng)的正常運(yùn)行;而若保護(hù)不力,則更可能導(dǎo)致氣象信息數(shù)據(jù)和系統(tǒng)產(chǎn)生重大安全隱患,乃至出現(xiàn)安全事故。對氣象信息資產(chǎn)進(jìn)行分類,可明確界定各具體資產(chǎn)的保護(hù)需求和等級,如此可以根據(jù)類別的不同,調(diào)整合適的資源、財(cái)力、物力,對重要的氣象信息資源和系統(tǒng)實(shí)施有針對性的、符合其特點(diǎn)的信息安全重點(diǎn)保護(hù),如此等等。
同樣遺憾的是,氣象部門至今尚未實(shí)施真正意義上的完整的氣象信息資產(chǎn)管理。
類似缺失的基礎(chǔ)工作還有很多,不再枚舉。
基礎(chǔ)工作的缺失,導(dǎo)致氣象信息安全工作的不扎實(shí)、不穩(wěn)固,是氣象信息安全工作長期滯后于信息化基礎(chǔ)建設(shè)的主要原因之一。
(二)完整的信息安全管理體系尚未建成
按照ISO的定義,信息安全管理體系(ISMS:Information Security Management System)是“組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果,表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動、程序、過程和資源的集合”。
信息安全管理體系要求部門或組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇安全事件控制目標(biāo)和相應(yīng)處置措施等一系列活動,來建立信息安全管理體系。該體系是基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估而建立起來的,它體現(xiàn)以預(yù)防控制為主的思想,強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其它地方、行業(yè)的相關(guān)要求。該體系強(qiáng)調(diào)全過程管理和動態(tài)控制,本著控制費(fèi)用與風(fēng)險相平衡的原則,合理選擇安全控制方式。該體系同時強(qiáng)調(diào)保護(hù)部門所擁有的關(guān)鍵性信息資產(chǎn)(而不見得是全部信息資產(chǎn)),確保需要保護(hù)的信息的保密性、完整性和可用性,以最佳效益的形式維護(hù)部門的合法利益、保持部門的業(yè)務(wù)連續(xù)性。
由于基礎(chǔ)性工作尚未全部就緒,目前氣象部門尚未建立真正意義上的、基于風(fēng)險管理的科學(xué)而完整的氣象信息安全管理體系。
在氣象部門建立完整的信息安全管理體系,可以對氣象部門的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù),在信息系統(tǒng)受到侵襲時確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;并使氣象部門在信息安全工作領(lǐng)域?qū)崿F(xiàn)動態(tài)的、系統(tǒng)地、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式,用最低的成本,達(dá)到可接受的信息安全水平。此外,完整的信息安全管理體系的建立,也可使部門外協(xié)作單位對氣象部門的安全能力充滿信心,這一點(diǎn)在當(dāng)前大數(shù)據(jù)應(yīng)用浪潮正在全社會迅速漫延的背景下,尤其重要。
(三)業(yè)務(wù)格局的分散加大了安全管理問題的復(fù)雜度
目前氣象部門依然沿用著已延續(xù)數(shù)十年的國省地縣四級業(yè)務(wù)層級,而業(yè)務(wù)系統(tǒng)的屬地化,以及諸如“具備業(yè)務(wù)功能意味著擁有業(yè)務(wù)系統(tǒng)、擁有業(yè)務(wù)系統(tǒng)意味著擁有信息資產(chǎn)以及基礎(chǔ)資源和設(shè)施”等傳統(tǒng)觀念的束縛,使得各個業(yè)務(wù)系統(tǒng)在地理分布上呈現(xiàn)出全國遍地開花的局面,各級業(yè)務(wù)單位都擁有自己的信息業(yè)務(wù)系統(tǒng)和相應(yīng)的局地信息業(yè)務(wù)環(huán)境。彼此通過內(nèi)部專網(wǎng)(VPN)或甚至通過互聯(lián)網(wǎng)進(jìn)行互聯(lián),在全國形成網(wǎng)狀與樹狀相結(jié)合的、十分復(fù)雜的業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)。
由于各級單位都在當(dāng)?shù)負(fù)碛懈髯砸?guī)模不等的信息業(yè)務(wù)系統(tǒng)及相應(yīng)環(huán)境(包括為業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐的氣象數(shù)據(jù)庫),因此各單位都面臨著本單位的信息安全管理問題。尤其是一些氣象數(shù)據(jù)在各級業(yè)務(wù)單位的廣泛復(fù)制,使得各級業(yè)務(wù)單位中數(shù)據(jù)同質(zhì)化現(xiàn)象十分突出,也為這些數(shù)據(jù)的保密性和完整性(包括一致性)的保持增加了大量變數(shù)。此外,由于編制所限,地縣兩級業(yè)務(wù)單位中IT技術(shù)人員奇缺,既無法保障信息業(yè)務(wù)系統(tǒng)的日常維護(hù),更無法為本單位信息安全提供專業(yè)化管理。
這種業(yè)務(wù)格局的分散,加大了氣象部門信息安全管理問題的復(fù)雜度。
限于篇幅,其余問題不再枚舉。
五、建立完整的氣象信息安全管理體系
綜上所述,在氣象部門建立完整的氣象信息安全管理體系,是非常必要的;就目前全社會所倡導(dǎo)的大數(shù)據(jù)應(yīng)用和云計(jì)算趨勢而言,這項(xiàng)工作具有較強(qiáng)的緊迫性,應(yīng)盡早開展相應(yīng)的工作。歸納起來,有如下幾點(diǎn):
(一)適時著手建立完整的氣象信息安全管理體系
1. 完成基礎(chǔ)性工作
應(yīng)盡早明確信息安全的方針,為氣象部門信息安全工作確定目標(biāo)、范圍、責(zé)任、原則、標(biāo)準(zhǔn)、架構(gòu)和法律法規(guī)。
應(yīng)以適當(dāng)方式組建或明確氣象信息安全的管理和實(shí)施機(jī)構(gòu),并確保所有相關(guān)單位能夠悉數(shù)納入其中,明確分工和職責(zé),以便各司其職,彼此協(xié)調(diào)工作。
應(yīng)在管理層的統(tǒng)一組織下,以適當(dāng)?shù)男问?,全面完成氣象部門內(nèi)部的信息資產(chǎn)普查、歸屬認(rèn)定、安全需求等級劃分以及安全等級保護(hù)措施等,制定氣象信息資產(chǎn)管理策略、制度和方法,逐步推廣實(shí)施,從而完成氣象信息資產(chǎn)的有效管理。
2. 適時進(jìn)行信息安全風(fēng)險評估并制訂風(fēng)險處置方案
制定風(fēng)險評估方案、選擇評估方法,以此為依據(jù)完成氣象信息安全風(fēng)險要素識別,發(fā)現(xiàn)系統(tǒng)存在的威脅和系統(tǒng)的脆弱性,并確定相應(yīng)的控制措施。在此基礎(chǔ)上,對所有風(fēng)險逐一判斷其發(fā)生的可能性和影響的范圍及程度,綜合各種分析結(jié)果,最終逐一判定這些風(fēng)險各自的等級。
在風(fēng)險等級判定的基礎(chǔ)上,以“將風(fēng)險始終控制在可接受范圍內(nèi)”為宗旨,制訂有針對性的風(fēng)險處置方案,包括:可接受風(fēng)險的甄別和確定,不可接受風(fēng)險的控制程度,風(fēng)險處置方式的選擇和控制措施的確定,制訂具體的氣象信息安全方案和綜合控制措施,科學(xué)合理地運(yùn)用“減低風(fēng)險”、“轉(zhuǎn)移風(fēng)險”、“規(guī)避風(fēng)險”和“接受風(fēng)險”等方法,形成綜合的氣象信息安全風(fēng)險處置方案,并部署實(shí)施。
3. 建立完整的氣象信息安全管理體系
在上述工作以及其它相關(guān)工作的基礎(chǔ)上,參照BS 7799-2:2002 《信息安全管理體系規(guī)范》、 ISO/ IEC17799:2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》等國際標(biāo)準(zhǔn),以及GB/T22080-2008《信息安全管理體系要求》、GB/T20269-2006《信息系統(tǒng)安全管理要求》、GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》等國家標(biāo)準(zhǔn),完成組織落實(shí)、措施落實(shí)、方案落實(shí)和相應(yīng)文檔的編寫,以及所有相關(guān)的審查、職責(zé)界定和制度建設(shè),以構(gòu)成氣象部門的信息安全管理體系。
(二)將信息安全管理體系納入氣象信息化戰(zhàn)略之中
信息安全與信息化發(fā)展息息相關(guān),是一切信息化工作的基礎(chǔ),涉及到信息化工作的方方面面。氣象部門是以信息采集、分析處理和為工作特征的典型的信息應(yīng)用部門,氣象業(yè)務(wù)系統(tǒng)是典型的信息系統(tǒng),因此信息安全對于氣象部門尤為重要。氣象事業(yè)的健康發(fā)展離不開信息化,也同樣離不開信息安全。氣象信息安全應(yīng)當(dāng)是氣象信息化工作中最為重要的內(nèi)容之一,氣象信息安全管理體系的構(gòu)建和持續(xù)改進(jìn)也應(yīng)當(dāng)成為未來氣象信息化戰(zhàn)略中極其重要的內(nèi)容。
信息安全是管理問題而非技術(shù)問題,從某種角度看,信息安全管理體系是以策略為核心,以管理為基礎(chǔ),以技術(shù)為手段的安全理念的具體落實(shí)。有什么樣的理念,就有什么樣的方針、策略、制度措施和體系架構(gòu)。無法想象在管理理念和安全意識十分落后的思維環(huán)境中,能夠構(gòu)建起科學(xué)完備的信息安全管理體系來。因此,安全管理理念的全面提高和安全意識的充分到位,是氣象信息安全所有工作正常開展的前提。就氣象部門管理層而言,著力消除曾長時間彌漫于全部門信息安全領(lǐng)域的重技術(shù)輕管理的觀念,將關(guān)注點(diǎn)從研究安全技術(shù)和產(chǎn)品應(yīng)用轉(zhuǎn)移到信息資產(chǎn)管理、風(fēng)險識別和控制以及整體安全戰(zhàn)略的制定等管理層面上來,是其不可推卸的責(zé)任。應(yīng)當(dāng)在全部門倡導(dǎo)信息安全意識、制定并推行信息安全制度、確定信息安全責(zé)任、組織信息安全培訓(xùn),構(gòu)建起完整的氣象信息安全管理體系。
六、結(jié)語
在政府大力強(qiáng)調(diào)信息安全意識,強(qiáng)力推動信息安全工作的背景下,各行各業(yè)均把信息安全工作列入本部門或單位的工作議程,氣象部門也是如此。但如何科學(xué)有效地構(gòu)建起具有鮮明氣象特色的信息安全防護(hù)體系,充分把控所有已知的安全風(fēng)險,使有限的投入得到最大限度的安全回報,這是氣象部門管理層和IT工作者需要認(rèn)真研究并努力實(shí)踐的工作。
信息安全首先是意識問題、觀念問題,要想真正打造安全的業(yè)務(wù)環(huán)境,在氣象部門全體員工中(特別是在管理層干部中)樹立良好的安全意識,是至關(guān)重要的。
2014年,在深刻領(lǐng)會主席“沒有信息化就沒有現(xiàn)代化”的重要指示精神后,氣象部門提出了“沒有信息化就沒有氣象現(xiàn)代化”的口號。那么,針對提出的“沒有信息安全就沒有國家安全”的另一重要論斷,氣象部門是否也應(yīng)提出相應(yīng)的口號――
“沒有信息安全,就沒有氣象業(yè)務(wù)安全”。
隨著現(xiàn)代化科學(xué)技術(shù)在電子政務(wù)系統(tǒng)中的應(yīng)用,電子政務(wù)得到了一定的完善,可是依然存在相應(yīng)的問題需要解決。所以本文主要針對電子政務(wù)里面信息安全保密管理相關(guān)問題,從電子政務(wù)安全保密管理的需求、面臨的威脅以及特性等進(jìn)行系統(tǒng)地剖析,同時借鑒國外的一些安全保密管理具體理論經(jīng)驗(yàn),從信息安全的角度,找出可以解決電子政務(wù)安全保密管理問題的一些有效途徑。
2 電子政務(wù)發(fā)展現(xiàn)狀以及概念
2.1 電子政務(wù)信息安全保密管理階段
目前,可以將我國電子政務(wù)中的信息安全保密管理分成三個階段:(1)實(shí)現(xiàn)全自動化辦公,應(yīng)用的工具主要是Office軟件以及臺式計(jì)算機(jī),把原來的手寫形式變成了電子輸入,使辦公操作能夠更加快捷和方便;(2)把Internet當(dāng)做主要客戶端,不同用戶、不同行業(yè)以及不同終端等都可以貫通交互,使信息交換以及資源共用范圍可以更加廣泛,顯著提升了以前的工作效率;(3)以外部網(wǎng)絡(luò)以及內(nèi)部網(wǎng)絡(luò)共同建立的電子政務(wù)信息為中心。
2.2 電子政務(wù)具體概念和相應(yīng)的保密要求
所謂電子政務(wù)就是指國家政府機(jī)構(gòu)通過現(xiàn)代信息技術(shù)以及通信功能進(jìn)行政務(wù)信息交流的手段,利用網(wǎng)絡(luò)技術(shù)使管理工作以及服務(wù)在這一領(lǐng)域更加深化,從而產(chǎn)生的一種信息交流方式,就是為了優(yōu)化重組政府內(nèi)部具體工作流程以及組織結(jié)構(gòu),使其不再受到時間以及部門和空間的分隔限制,讓政府能夠有效地和更加誠信地進(jìn)行行政管理,使管理環(huán)節(jié)更加精簡,為社會提供更加優(yōu)質(zhì)、透明、規(guī)范、全面的管理以及服務(wù)。我國《保密法》是在2010 年重新修訂并且正式實(shí)施的,其中就進(jìn)行了規(guī)定,以保證國家秘密安全為工作前提,合理應(yīng)用相應(yīng)的電子網(wǎng)絡(luò)信息。和發(fā)達(dá)國家相比,我國信息產(chǎn)業(yè)發(fā)展以及信息技術(shù)水平還比較落后,雖然有些安全軟件可以對電子政務(wù)起到一定的防御作用,同時,也必須考慮安全軟件所具有的性能是否與電子政務(wù)的國情相符。
3 電子政務(wù)信息具體安全保密風(fēng)險和相應(yīng)的防范措施
3.1 網(wǎng)絡(luò)技術(shù)安全所具有的脆弱性
如果基礎(chǔ)設(shè)施沒有達(dá)到國家標(biāo)準(zhǔn),那么網(wǎng)絡(luò)就不能夠正常運(yùn)行,所以對電子政務(wù)中的基礎(chǔ)設(shè)施進(jìn)行完善是非常關(guān)鍵的。網(wǎng)絡(luò)平臺里面的數(shù)據(jù)傳輸具有非常大的風(fēng)險,所以應(yīng)該進(jìn)行加密管理,比如,如果不可以有效阻攔黑客竊聽,就會導(dǎo)致內(nèi)部信息泄露。正常運(yùn)行中,如果沒有安全軟件進(jìn)行防護(hù),就一定會被入侵,而終端數(shù)據(jù)庫以及網(wǎng)絡(luò)邊界業(yè)也均會面臨非常大的風(fēng)險,所以應(yīng)該通過安全保密措施來對這些風(fēng)險進(jìn)行防范。
摘要:檔案信息安全是辦公室檔案信息化建設(shè)中的一項(xiàng)重要保障工作。本文從制度管理及信息化下的數(shù)據(jù)管理討論了檔案信息安全管理的7 個保障措施:電子文檔歸檔及管理制度;安全保密制度、數(shù)字檔案查詢利用制度;檔案數(shù)據(jù)管理維護(hù)制度;數(shù)字檔案鑒定銷毀制度;檔案數(shù)據(jù)網(wǎng)絡(luò)和信息設(shè)備維護(hù)使用制度;檔案庫房管理制度。
關(guān)鍵詞 :檔案信息化電子文檔安全保密制度網(wǎng)絡(luò)安全
1 電子文件歸檔管理制度的安全策略
①電子文件是指單位在內(nèi)部管理和履行行政職能的過程中所產(chǎn)生并存儲在光盤、硬盤等載體中的,可進(jìn)行網(wǎng)絡(luò)傳輸,并且可作為參考資料通過計(jì)算機(jī)系統(tǒng)調(diào)閱和使用的文件。②只有文本、圖像、視頻、音頻等文件以及超媒體鏈接文件才可作為電子文件進(jìn)行歸檔處理。③從歸檔方式來看,電子文件支持邏輯歸檔方式,同時也可進(jìn)行物理歸檔?;谟?jì)算機(jī)網(wǎng)絡(luò)的邏輯歸檔可將原電子文件直接移交檔案室歸檔,不必調(diào)整其存儲方式或存儲位置。而物理歸檔則需要借助可脫機(jī)存儲的載體,先將源電子檔案網(wǎng)絡(luò)傳輸?shù)皆撦d體中,經(jīng)由其轉(zhuǎn)換加工再移交檔案室。按照存儲載體的類型,筆者首推光盤,另外還可以用磁帶、硬磁盤等。軟磁盤也不適合長期存儲數(shù)據(jù)。由專用軟件生成的電子文件必須按照通用格式轉(zhuǎn)換,然后存儲在指定磁盤。④電子文件歸檔時,機(jī)讀目錄、相關(guān)軟件、其他說明等應(yīng)與相對應(yīng)的電子文件一同歸檔保存。⑤電子檔案管理系統(tǒng)采用“計(jì)算機(jī)集中處理+電子檔案存儲數(shù)據(jù)資料+ 數(shù)據(jù)有效管理”的方式,實(shí)現(xiàn)對檔案資料“一次采集、反復(fù)利用、信息共享”。⑥歸檔方式由“紙質(zhì)”變“電子”。一改以往每年發(fā)一份表格,要求每人填完后裝入牛皮檔案盒就了事的方式,創(chuàng)新建立專門檔案管理系統(tǒng),由專人負(fù)責(zé)錄入管理,一人一檔,定期校驗(yàn)和轉(zhuǎn)存,實(shí)行檔隨人走“終身制”。⑦時間由“短期”變“長效”。新建立的電子檔案管理系統(tǒng)更具有連續(xù)性和長效性,可做到隨時可添加,隨時可變更,隨時可查閱,有利于長期保存。擯棄了以前填一年管一年,資料填報不持續(xù)完備的缺點(diǎn)。⑧需銷毀的電子文件必須編制銷毀清冊,經(jīng)上級批示后統(tǒng)一銷毀。銷毀保密等級較高的電子文件時,若其所在載體上的痕跡不可擦除,應(yīng)該一并銷毀其載體,確保不留任何痕跡。銷毀一般性文件則可邏輯刪除。行政管理人員負(fù)責(zé)監(jiān)管電子文件的接收、保管和鑒定銷毀工作。
2 安全保密制度
①辦公室行政人員必須對數(shù)字檔案系統(tǒng)的登錄帳號、密碼保密。另外,為了保證系統(tǒng)安全,應(yīng)該用數(shù)字+ 字母的形式設(shè)置登錄密碼,且不得少于八位數(shù),每隔一段時間修改一次。非單位內(nèi)部計(jì)算機(jī)未經(jīng)上級批示無權(quán)登錄檔案管理系統(tǒng)。②除業(yè)務(wù)檔案以外的電子檔案只允許單位內(nèi)部查詢。③使用者本人可查閱電子檔案資料,未經(jīng)上級批示不得外傳。涉密檔案禁止網(wǎng)絡(luò)共享。
3 數(shù)字檔案室提供各類非涉密室藏檔案查詢
①非單位內(nèi)部人員,未經(jīng)本單位領(lǐng)導(dǎo)批示不得調(diào)閱本單位檔案資料。若須查閱檔案資料,經(jīng)批示后由本單位后臺管理部門授予訪問權(quán)限方可進(jìn)入系統(tǒng)進(jìn)行調(diào)閱。單位內(nèi)部人員可通過提前申請的帳號登錄蘭臺檔案管理系統(tǒng),根據(jù)需要調(diào)閱電子文件。②根據(jù)檔案的保密等級,系統(tǒng)按照登錄權(quán)限將單位內(nèi)部人員分為三類,即普通用戶、中級用戶和高級用戶。③可以對外開放的文件有的設(shè)置了限制條件。比如調(diào)閱數(shù)字檔案時,要求調(diào)閱人提前通過網(wǎng)絡(luò)遞交調(diào)閱申請,經(jīng)檔案管理人員審查后自由調(diào)閱,調(diào)閱人不得擅自轉(zhuǎn)載文件資料。而紙質(zhì)文件則要通過上級批復(fù)再進(jìn)行調(diào)閱。
4 檔案數(shù)據(jù)管理維護(hù)制度
①認(rèn)真做好文件的收、發(fā)工作,檔案的收集整理工作,保證歸檔文件材料完整、準(zhǔn)確、系統(tǒng);做好檔案的統(tǒng)計(jì)、利用工作,對各類檔案庫存、接收、銷毀、利用等進(jìn)行準(zhǔn)確統(tǒng)計(jì),積極做好檔案信息資源的開發(fā)利用,以確保能為各局室的工作提供便捷的服務(wù)。②數(shù)字檔案由檔案管理人員和計(jì)算機(jī)管理人員分別負(fù)責(zé)管理和維護(hù),確保檔案數(shù)據(jù)安全;③各部門數(shù)字檔案經(jīng)主管部門領(lǐng)導(dǎo)簽字同意后由行政秘書交檔案室統(tǒng)一管理;④非檔案管理者不得修刪數(shù)字檔案;數(shù)字檔案至少制作三套備份(一套硬盤,兩套光盤),其中一套異地保存,另外兩套分開保管;行政秘書應(yīng)請示領(lǐng)導(dǎo)配備專用的電子文件柜,規(guī)范存放歸檔電子文件和數(shù)字檔案。
5 數(shù)字檔案鑒定銷毀制
①堅(jiān)定數(shù)字檔案時,首先由領(lǐng)導(dǎo)批示,從各部門挑選專業(yè)人員成立工作組,按照檔案保管期限定期審查逾期的數(shù)字檔案,就檔案存毀給出專業(yè)意見。然后,工作組統(tǒng)計(jì)出不再具有利用價值和存儲價值的檔案清單,編寫銷毀清冊。②檔案鑒定工作組以報告的形式向上級如實(shí)反映檔案逾期情況,并遞交銷毀清冊。經(jīng)批示后按規(guī)定流程將逾期檔案一并銷毀。但是銷毀清冊必須永久保存。禁止任何部門或個人未經(jīng)批示擅自銷毀檔案資料。
6 檔案數(shù)據(jù)網(wǎng)絡(luò)和信息設(shè)備維護(hù)使用制度
①數(shù)字檔案的使用和維護(hù)一律參照計(jì)算機(jī)操作規(guī)程操作。假設(shè)調(diào)閱時計(jì)算機(jī)突發(fā)故障,須盡快通知技術(shù)部進(jìn)行排障,切忌個人盲目處理。②指派專人保管硬盤、光盤等存儲載體,切忌將介質(zhì)外接,也不允許在本單位計(jì)算機(jī)載體上使用外來存儲載體。檔案室的計(jì)算機(jī)未經(jīng)許可不得上網(wǎng)操作或供個人娛樂。③做好防光、防潮、防蟲霉、防火、防盜、防塵、防鼠、防高溫等檔案保護(hù)工作。
參考文獻(xiàn):
[1]章素文.淺析信息化檔案管理安全防范之策略[J].科技信息,2011.9.
[2]王艷.如何確保信息化檔案管理的安全[J].中國科技信息,2010(09).
[3]馬菲.網(wǎng)絡(luò)環(huán)境下檔案信息管理安全體系初探[J].湖北檔案,2009(08).
[關(guān)鍵詞] 電子政務(wù) 信息安全 等級保護(hù) 風(fēng)險評估
1 概述
電子政務(wù)是政府管理方式的革命,它是運(yùn)用信息以及通信技術(shù)打破行政機(jī)關(guān)的組織界限,構(gòu)建一個電子化的虛擬機(jī)關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點(diǎn)等,高效快捷地向人們提供各種不同的服務(wù)選擇。政府機(jī)關(guān)之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進(jìn)行相互溝通。
電子政務(wù)的建立將使政府社會服務(wù)職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。由于電子政務(wù)信息網(wǎng)絡(luò)上有相當(dāng)多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門、各大系統(tǒng)乃至整個國家的利益,有的甚至涉及國家安全。因此,電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題,是電子政務(wù)的職能與優(yōu)勢得以實(shí)現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障,不僅電子政務(wù)的便利與效率無從保證,更會給國家利益帶來嚴(yán)重威脅。
2 電子政務(wù)信息系統(tǒng)面臨的威脅
電子政務(wù)涉及對政府機(jī)密信息和敏感政務(wù)的保護(hù)、維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施以及為保障社會提供公共服務(wù)的質(zhì)量。電子政務(wù)作為政府有效決策、管理、服務(wù)的重要手段,必然會遇到各種敵對勢力、恐怖集團(tuán)、搗亂分子的破壞和攻擊。尤其是,電子政務(wù)在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺上,他包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡(luò),自身缺少設(shè)防,安全隱患很多,使得不法分子利用互聯(lián)網(wǎng)進(jìn)行犯罪有機(jī)可乘,這就使得基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。
對電子政務(wù)的安全威脅包括網(wǎng)上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞,內(nèi)部人員的違規(guī)和違法操作,網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓,信息安全產(chǎn)品的失控等,對于這些威脅,電子政務(wù)的建設(shè)和應(yīng)用應(yīng)引起足夠警惕,采取果斷的安全措施,應(yīng)對這種挑戰(zhàn)。
3 電子政務(wù)信息安全管理體系的構(gòu)建
要有效維護(hù)電子政務(wù)信息系統(tǒng)的安全,就需要構(gòu)建電子政務(wù)安全管理體系,從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實(shí)性和可用性。電子政務(wù)安全管理體系包括安全技術(shù)體系、安全管理體系和安全服務(wù)體系,涉及從管理到組織,從網(wǎng)絡(luò)到數(shù)據(jù),從法規(guī)標(biāo)準(zhǔn)到基礎(chǔ)設(shè)施等各個方面。
3.1 加強(qiáng)安全技術(shù)力量是實(shí)現(xiàn)電子政務(wù)安全的基本方法
安全技術(shù)體系是利用技術(shù)手段實(shí)現(xiàn)技術(shù)層面的安全保護(hù),是對電子政務(wù)安全防護(hù)體系的完善,包括網(wǎng)絡(luò)安全體系、數(shù)據(jù)安全傳輸與存儲體系,功能主要是通過各種技術(shù)手段實(shí)現(xiàn)技術(shù)層次的安全保護(hù)。
網(wǎng)絡(luò)安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補(bǔ)丁管理、防火墻、身份鑒別和認(rèn)證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計(jì)等;數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等。整個電子政務(wù)的安全,涉及信息安全產(chǎn)品的全局配套和科學(xué)布置,產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自和自控權(quán)。在關(guān)鍵技術(shù)、經(jīng)營管理、生產(chǎn)規(guī)模、服務(wù)觀念等方面,要集中人力、物力,制訂相關(guān)政策,大力發(fā)展自主知識產(chǎn)權(quán)的計(jì)算機(jī)芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品,以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡(luò)安全。加強(qiáng)核心技術(shù)的自主研發(fā),并盡快使之產(chǎn)品化和產(chǎn)業(yè)化,尤其是操作系統(tǒng)技術(shù)和計(jì)算機(jī)芯片技術(shù)?,F(xiàn)階段各地政府部門目前所選用的高端軟硬件平臺,很多都是國外公司的產(chǎn)品,這也對政務(wù)安全帶來了許多隱患。因此,在構(gòu)建電子政務(wù)系統(tǒng)的時候,在可能的情況下,我們應(yīng)盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。
3.2 構(gòu)建安全管理體系是電子政務(wù)安全實(shí)施的重要基礎(chǔ)
安全管理是解決電子政務(wù)的安全問題在技術(shù)以外的另一有力保障和途徑。由于安全的防范技術(shù)與破壞技術(shù)總是“勢均力敵”、“相互促進(jìn)”的。作為防范者就更應(yīng)該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面:法律法規(guī)、安全防護(hù)體系以及等級保護(hù)政策。
3.2.1法律政策、規(guī)章制度和標(biāo)準(zhǔn)規(guī)范
電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù),它的安全關(guān)系到國家的、國家的安全和公眾利益,所以電子政務(wù)的安全實(shí)施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約。目前,世界上很多國家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),如英國的《官方信息保護(hù)法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī),如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專門法規(guī)。此外,在完善法律法規(guī)的同時,還應(yīng)該加大執(zhí)法力度,嚴(yán)格執(zhí)法,這一目標(biāo)的實(shí)現(xiàn)不僅需要政府組織的努力,更要國家立法機(jī)構(gòu)的參與和支持。
3.2.2電子政務(wù)防護(hù)體系
貫穿整個電子政務(wù)的安全防護(hù)體系,對電子政務(wù)安全實(shí)施起全面的指導(dǎo)作用,具體包括三個方面的內(nèi)容:安全組織機(jī)構(gòu)、安全人事管理、以及安全責(zé)任制度。建立安全組織機(jī)構(gòu),其目的是統(tǒng)一規(guī)劃各級網(wǎng)絡(luò)系統(tǒng)的安全、制定完善的安全策略和措施、協(xié)調(diào)各方面的安全事宜,主要職責(zé)包括制定整體安全策略、明確規(guī)章制度、落實(shí)各項(xiàng)安全措施實(shí)施,以及制訂安全應(yīng)急方案和保密信息的安全策略;安全人事管理,其主要內(nèi)容包括:人事審查與錄用、崗位與責(zé)任范圍的確定、工作評價、人事檔案管理、提升、調(diào)動與免職、基礎(chǔ)培訓(xùn)等;制定和落實(shí)安全責(zé)任制度,包括系統(tǒng)運(yùn)行維護(hù)管理制度、計(jì)算機(jī)處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機(jī)房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、安全等級保護(hù)制度、對外交流安全維護(hù)制度,以及對外合作制度等。
3.2.3等級保護(hù)制度
通過全面推行信息安全等級保護(hù)制度,逐步將信息安全等級保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評、運(yùn)行維護(hù)和使用等各個環(huán)節(jié),使信息安全保障狀況得到基本改善。通過加強(qiáng)和規(guī)范信息安全等級保護(hù)管理,不斷提高信息安全保障能力,為維護(hù)信息網(wǎng)絡(luò)的安全穩(wěn)定,促進(jìn)信息化發(fā)展服務(wù)。
4 完善安全服務(wù)是維護(hù)電子政務(wù)安全實(shí)施的有力保障
4.1 安全等級測評和風(fēng)險評估管理
電子政務(wù)信息系統(tǒng)安全測評服務(wù),其實(shí)質(zhì)是通過科學(xué)、規(guī)范、公正的測試和評估向被測評單位證實(shí)其信息系統(tǒng)的安全性能符合等級保護(hù)的要求。
由于信息安全直接涉及國家利益、安全和,政府對信息產(chǎn)品、信息系統(tǒng)安全性的測評認(rèn)證要更為嚴(yán)格。對信息系統(tǒng)和信息安全技術(shù)中的核心技術(shù),由政府直接控制,在信息安全各主管部門的支持和指導(dǎo)下,依托專業(yè)的職能機(jī)構(gòu)提供技術(shù)支持,形成政府的行政管理與技術(shù)支持相結(jié)合、相依賴的管理體制。 風(fēng)險管理是對項(xiàng)目風(fēng)險的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負(fù)面事件影響的最小化。電子政務(wù)安全風(fēng)險管理的主要任務(wù)是電子政務(wù)信息系統(tǒng)的風(fēng)險評估并提出風(fēng)險緩解措施,前者是識別并分析系統(tǒng)中的風(fēng)險因素,估計(jì)可能造成的損失,后者是選擇和實(shí)施安全控制,將風(fēng)險降低到一個可接受的水平。
4.2 安全培訓(xùn)服務(wù)
根據(jù)不同層次的人才需求,社會化的信息安全人才培養(yǎng)體系應(yīng)分為專業(yè)型教育、應(yīng)用型教育和安全素養(yǎng)教育三個層次。專業(yè)型教育主要是培養(yǎng)信息安全領(lǐng)域的專業(yè)研發(fā)、工程技術(shù)、戰(zhàn)略管理等方面的人才。應(yīng)用型(半專業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對象,培養(yǎng)目標(biāo)是要求學(xué)生具備信息安全的基本知識、網(wǎng)絡(luò)和信息系統(tǒng)安全防范技能、組織機(jī)構(gòu)或系統(tǒng)安全管理的能力等。這種應(yīng)用型的信息安全教育要求受教育對象數(shù)量要多,覆蓋面要廣,基本信息技能要強(qiáng)。通過課程、講座、宣傳等多種形式,達(dá)到讓每一個人都具備必要的安全意識和常規(guī)的信息安全自我防范技術(shù)的目的。要求單位領(lǐng)導(dǎo)應(yīng)具備必要信息安全意識和安全知識;信息管理人員應(yīng)具備一定的信息安全知識和基本技能;從事信息服務(wù)或信息安全服務(wù)的有關(guān)人員應(yīng)具備必要的信息安全知識和技術(shù)基礎(chǔ)等。
構(gòu)建安全穩(wěn)定的政務(wù)信息系統(tǒng),技術(shù)、管理、服務(wù)作為支撐體系的三大要素,缺一不可。只有這三方面都做好了,才能實(shí)現(xiàn)海西政務(wù)信息管理體系的全面提升。
參考文獻(xiàn):
[1] 何玲,電子政務(wù)環(huán)境下政府電子文件管理新探索[D].成都:四川大學(xué)碩士學(xué)位論文,2008.
第一條 為加強(qiáng)對征信機(jī)構(gòu)的監(jiān)督管理,促進(jìn)征信業(yè)健康發(fā)展,根據(jù)《中華人民共和國中國人民銀行法》、《中華人民共和國公司法》、《征信業(yè)管理?xiàng)l例》等法律法規(guī),制定本辦法。
第二條 本辦法所稱征信機(jī)構(gòu),是指依法設(shè)立、主要經(jīng)營征信業(yè)務(wù)的機(jī)構(gòu)。
第三條 中國人民銀行依法履行對征信機(jī)構(gòu)的監(jiān)督管理職責(zé)。中國人民銀行分支機(jī)構(gòu)在總行的授權(quán)范圍內(nèi),履行對轄區(qū)內(nèi)征信機(jī)構(gòu)的監(jiān)督管理職責(zé)。
第四條 征信機(jī)構(gòu)應(yīng)當(dāng)遵守法律、行政法規(guī)和中國人民銀行的規(guī)定,誠信經(jīng)營,不得損害國家利益、社會公共利益,不得侵犯他人合法權(quán)益。
第二章 機(jī)構(gòu)的設(shè)立、變更與終止
第五條 設(shè)立個人征信機(jī)構(gòu)應(yīng)當(dāng)經(jīng)中國人民銀行批準(zhǔn)。
第六條 設(shè)立個人征信機(jī)構(gòu),除應(yīng)當(dāng)符合《征信業(yè)管理?xiàng)l例》第六條規(guī)定外,還應(yīng)當(dāng)具備以下條件:
(一)有健全的組織機(jī)構(gòu);
(二)有完善的業(yè)務(wù)操作、信息安全管理、合規(guī)性管理等內(nèi)控制度;
(三)個人信用信息系統(tǒng)符合國家信息安全保護(hù)等級二級或二級以上標(biāo)準(zhǔn)。
《征信業(yè)管理?xiàng)l例》第六條第一項(xiàng)所稱主要股東是指出資額占公司資本總額5%以上或者持股占公司股份5%以上的股東。
第七條 申請?jiān)O(shè)立個人征信機(jī)構(gòu),應(yīng)當(dāng)向中國人民銀行提交下列材料:
(一)個人征信機(jī)構(gòu)設(shè)立申請表;
(二)征信業(yè)務(wù)可行性研究報告,包括發(fā)展規(guī)劃、經(jīng)營策略等;
(三)公司章程;
(四)股東關(guān)聯(lián)關(guān)系和實(shí)際控制人說明;
(五)主要股東最近3年無重大違法違規(guī)行為的聲明以及主要股東的信用報告;
(六)擬任董事、監(jiān)事和高級管理人員任職資格證明;
(七)組織機(jī)構(gòu)設(shè)置以及人員基本構(gòu)成說明;
(八)已經(jīng)建立的內(nèi)控制度,包括業(yè)務(wù)操作、安全管理、合規(guī)性管理等;
(九)具有國家信息安全等級保護(hù)測評資質(zhì)的機(jī)構(gòu)出具的個人信用信息系統(tǒng)安全測評報告,關(guān)于信息安全保障措施的說明和相關(guān)安全保障制度;
(十)營業(yè)場所所有權(quán)或者使用權(quán)證明文件;
(十一)工商行政管理部門出具的企業(yè)名稱預(yù)先核準(zhǔn)通知書復(fù)印件。
中國人民銀行可以通過實(shí)地調(diào)查、面談等方式對申請材料進(jìn)行核實(shí)。
第八條 中國人民銀行在受理個人征信機(jī)構(gòu)設(shè)立申請后公示申請人的下列事項(xiàng):
(一)擬設(shè)立征信機(jī)構(gòu)的名稱、營業(yè)場所、業(yè)務(wù)范圍;
(二)擬設(shè)立征信機(jī)構(gòu)的資本;
(三)擬設(shè)立征信機(jī)構(gòu)的主要股東名單及其出資額或者所持股份;
(四)擬任征信機(jī)構(gòu)的董事、監(jiān)事和高級管理人員名單。
第九條 中國人民銀行自受理個人征信機(jī)構(gòu)設(shè)立申請之日起60日內(nèi)對申請事項(xiàng)進(jìn)行審查,并根據(jù)有利于征信業(yè)公平競爭和健康發(fā)展的審慎性原則作出批準(zhǔn)或者不予批準(zhǔn)的決定。決定批準(zhǔn)的,依法頒發(fā)個人征信業(yè)務(wù)經(jīng)營許可證;決定不予批準(zhǔn)的,應(yīng)當(dāng)作出書面決定。
第十條 經(jīng)批準(zhǔn)設(shè)立的個人征信機(jī)構(gòu),憑個人征信業(yè)務(wù)經(jīng)營許可證向公司登記機(jī)關(guān)辦理登記,領(lǐng)取營業(yè)執(zhí)照;個人征信機(jī)構(gòu)應(yīng)當(dāng)自公司登記機(jī)關(guān)準(zhǔn)予登記之日起20日內(nèi),向中國人民銀行提交營業(yè)執(zhí)照復(fù)印件。
第十一條 個人征信機(jī)構(gòu)擬合并或者分立的,應(yīng)當(dāng)向中國人民銀行提出申請,說明申請和理由,并提交相關(guān)證明材料。
中國人民銀行自受理申請之日起20日內(nèi),作出批準(zhǔn)或者不予批準(zhǔn)的書面決定。
第十二條 個人征信機(jī)構(gòu)擬變更資本、主要股東的,應(yīng)當(dāng)向中國人民銀行提出申請,說明變更事項(xiàng)和變更理由,并提交相關(guān)證明材料。
中國人民銀行自受理申請之日起20日內(nèi),作出批準(zhǔn)或者不予批準(zhǔn)的書面決定。
第十三條 個人征信機(jī)構(gòu)擬設(shè)立分支機(jī)構(gòu)的,應(yīng)當(dāng)符合以下條件:
(一)對擬設(shè)立分支機(jī)構(gòu)的可行性已經(jīng)進(jìn)行充分論證;
(二)最近3年無受到重大行政處罰的記錄。
第十四條 個人征信機(jī)構(gòu)申請?jiān)O(shè)立分支機(jī)構(gòu),應(yīng)當(dāng)向中國人民銀行提交下列材料:
(一)個人征信機(jī)構(gòu)分支機(jī)構(gòu)設(shè)立申請表;
(二)個人征信機(jī)構(gòu)上一年度經(jīng)審計(jì)的財(cái)務(wù)會計(jì)報告;
(三)設(shè)立分支機(jī)構(gòu)的可行性論證報告,包括擬設(shè)立分支機(jī)構(gòu)的3年業(yè)務(wù)發(fā)展規(guī)劃、市場分析和經(jīng)營方針等;
(四)針對設(shè)立分支機(jī)構(gòu)所作出的內(nèi)控制度安排和風(fēng)險防范措施;
(五)個人征信機(jī)構(gòu)最近3年未受重大行政處罰的聲明;
(六)擬任職的分支機(jī)構(gòu)高級管理人員履歷材料。
中國人民銀行自受理申請之日起20日內(nèi),作出批準(zhǔn)或者不予批準(zhǔn)的書面決定。
第十五條 個人征信機(jī)構(gòu)變更機(jī)構(gòu)名稱、營業(yè)場所、法定代表人的,應(yīng)當(dāng)向中國人民銀行申請變更個人征信業(yè)務(wù)經(jīng)營許可證記載事項(xiàng)。
個人征信機(jī)構(gòu)應(yīng)當(dāng)在個人征信業(yè)務(wù)經(jīng)營許可證記載事項(xiàng)變更后,向公司登記機(jī)關(guān)申辦變更登記,并自公司登記機(jī)關(guān)準(zhǔn)予變更之日起20日內(nèi),向中國人民銀行備案。
第十六條 個人征信業(yè)務(wù)經(jīng)營許可證應(yīng)當(dāng)在個人征信機(jī)構(gòu)營業(yè)場所的顯著位置公示。
第十七條 個人征信機(jī)構(gòu)應(yīng)當(dāng)妥善保管個人征信業(yè)務(wù)經(jīng)營許可證,不得涂改、倒賣、出租、出借、轉(zhuǎn)讓。
第十八條 個人征信業(yè)務(wù)經(jīng)營許可證有效期為3年。有效期屆滿需要續(xù)展的,應(yīng)當(dāng)在有效期屆滿60日前向中國人民銀行提出申請,換發(fā)個人征信業(yè)務(wù)經(jīng)營許可證。
有效期屆滿不再續(xù)展的,個人征信機(jī)構(gòu)應(yīng)當(dāng)在個人征信業(yè)務(wù)經(jīng)營許可證有效期屆滿60日前向中國人民銀行報告,并依照本辦法第二十條的規(guī)定,妥善處理信息數(shù)據(jù)庫,辦理個人征信業(yè)務(wù)經(jīng)營許可證注銷手續(xù);個人征信機(jī)構(gòu)在個人征信業(yè)務(wù)經(jīng)營許可證有效期屆滿60日前未提出續(xù)展申請的,中國人民銀行可以在個人征信業(yè)務(wù)經(jīng)營許可證有效期屆滿之日注銷其個人征信業(yè)務(wù)經(jīng)營許可證,并依照《征信業(yè)管理?xiàng)l例》第十二條的規(guī)定處理信息數(shù)據(jù)庫。
第十九條 設(shè)立企業(yè)征信機(jī)構(gòu),應(yīng)當(dāng)符合《中華人民共和國公司法》規(guī)定的公司設(shè)立條件,自公司登記機(jī)關(guān)準(zhǔn)予登記之日起30日內(nèi)向所在地的中國人民銀行省會(首府)城市中心支行以上分支機(jī)構(gòu)辦理備案,并提交下列材料:
(一)企業(yè)征信機(jī)構(gòu)備案表;
(二)營業(yè)執(zhí)照復(fù)印件;
(三)股權(quán)結(jié)構(gòu)說明,包括資本、股東名單及其出資額或者所持股份;
(四)組織機(jī)構(gòu)設(shè)置以及人員基本構(gòu)成說明;
(五)業(yè)務(wù)范圍和業(yè)務(wù)規(guī)則基本情況報告;
(六)業(yè)務(wù)系統(tǒng)的基本情況,包括企業(yè)信用信息系統(tǒng)建設(shè)情況報告和具有國家信息安全等級保護(hù)測評資質(zhì)的機(jī)構(gòu)出具的企業(yè)信用信息系統(tǒng)安全測評報告;
(七)信息安全和風(fēng)險防范措施,包括已經(jīng)建立的內(nèi)控制度和安全管理制度。
企業(yè)征信機(jī)構(gòu)備案事項(xiàng)發(fā)生變更的,應(yīng)當(dāng)自變更之日起30日內(nèi)向備案機(jī)構(gòu)辦理變更備案。
第二十條 個人征信機(jī)構(gòu)因解散或者被依法宣告破產(chǎn)等原因擬終止征信業(yè)務(wù)的,應(yīng)當(dāng)在擬終止之日前60日向中國人民銀行報告退出方案,并依照《征信業(yè)管理?xiàng)l例》第十二條第一款規(guī)定處理信息數(shù)據(jù)庫。
個人征信機(jī)構(gòu)終止征信業(yè)務(wù)的,應(yīng)當(dāng)自終止之日起20日內(nèi),在中國人民銀行指定的媒體上公告,并辦理個人征信業(yè)務(wù)經(jīng)營許可證注銷手續(xù),將許可證繳回中國人民銀行;逾期不繳回的,中國人民銀行應(yīng)當(dāng)依法收繳。
第二十一條 企業(yè)征信機(jī)構(gòu)因解散或者被依法宣告破產(chǎn)等原因擬終止征信業(yè)務(wù)的,應(yīng)當(dāng)在擬終止之日前60日向中國人民銀行報告退出方案,并依照《征信業(yè)管理?xiàng)l例》第十二條第一款規(guī)定處理信息數(shù)據(jù)庫。
第三章 高級任職人員管理
第二十二條 個人征信機(jī)構(gòu)的董事、監(jiān)事、高級管理人員,應(yīng)當(dāng)在任職前取得中國人民銀行核準(zhǔn)的任職資格。
第二十三條 取得個人征信機(jī)構(gòu)董事、監(jiān)事和高級管理人員任職資格,應(yīng)當(dāng)具備以下條件:
(一)正直誠實(shí),品行良好;
(二)具有大專以上學(xué)歷;
(三)從事征信工作3年以上或者從事金融、法律、會計(jì)、經(jīng)濟(jì)工作5年以上;
(四)具有履行職責(zé)所需的管理能力;
(五)熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī)和專業(yè)知識。
第二十四條 有下列情形之一的,不得擔(dān)任個人征信機(jī)構(gòu)董事、監(jiān)事和高級管理人員:
(一)因貪x、賄賂、侵占財(cái)產(chǎn)、挪用財(cái)產(chǎn)或者破壞社會主義市場經(jīng)濟(jì)秩序,被判處刑罰,或者因犯罪被剝x政治權(quán)利,執(zhí)行期滿未逾5年的;
(二)最近3年有重大違法違規(guī)記錄的。
本辦法所稱重大違法違規(guī)記錄,是指除前款第一項(xiàng)所列之外的犯罪記錄或者重大行政處罰記錄。
第二十五條 個人征信機(jī)構(gòu)向中國人民銀行申請核準(zhǔn)董事、監(jiān)事和高級管理人員的任職資格,應(yīng)當(dāng)提交下列材料:
(一)董事、監(jiān)事和高級管理人員任職資格申請表;
(二)擬任職的董事、監(jiān)事和高級管理人員的個人履歷材料;
(三)擬任職的董事、監(jiān)事和高級管理人員的學(xué)歷證書復(fù)印件;
(四)擬任職的董事、監(jiān)事和高級管理人員最近3年無重大違法違規(guī)記錄的聲明;
(五)擬任職的董事、監(jiān)事和高級管理人員的個人信用報告。
個人征信機(jī)構(gòu)應(yīng)當(dāng)如實(shí)提交前款規(guī)定的材料,個人征信機(jī)構(gòu)以及擬任職的董事、監(jiān)事和高級管理人員應(yīng)當(dāng)對材料的真實(shí)性、完整性負(fù)責(zé)。中國人民銀行根據(jù)需要對材料的真實(shí)性進(jìn)行核實(shí),并對申請任職資格的董事、監(jiān)事和高級管理人員進(jìn)行考察或者談話。
第二十六條 中國人民銀行依法對個人征信機(jī)構(gòu)董事、監(jiān)事和高級管理人員的任職資格進(jìn)行審查,作出核準(zhǔn)或者不予核準(zhǔn)的書面決定。
第二十七條 企業(yè)征信機(jī)構(gòu)的董事、監(jiān)事、高級管理人員,應(yīng)當(dāng)由任職的征信機(jī)構(gòu)自任命之日起20日內(nèi)向所在地的中國人民銀行省會(首府)城市中心支行以上分支機(jī)構(gòu)備案,并提交下列材料:
(一)董事、監(jiān)事、高級管理人員備案表;
(二)董事、監(jiān)事、高級管理人員的個人履歷材料;
(三)董事、監(jiān)事、高級管理人員的學(xué)歷證書復(fù)印件;
(四)董事、監(jiān)事、高級管理人員的備案材料真實(shí)性聲明。
企業(yè)征信機(jī)構(gòu)的董事、監(jiān)事、高級管理人員發(fā)生變更的,應(yīng)當(dāng)自變更之日起20日內(nèi)向備案機(jī)構(gòu)辦理變更備案。
第四章 監(jiān)督管理
第二十八條 個人征信機(jī)構(gòu)應(yīng)當(dāng)在每年第一季度末,向中國人民銀行報告上一年度征信業(yè)務(wù)開展情況。
企業(yè)征信機(jī)構(gòu)應(yīng)當(dāng)在每年第一季度末,向備案機(jī)構(gòu)報告上一年度征信業(yè)務(wù)開展情況。
報告內(nèi)容應(yīng)當(dāng)包括信用信息采集、征信產(chǎn)品開發(fā)、信用信息服務(wù)、異議處理以及信用信息系統(tǒng)建設(shè)情況,信息安全保障情況等。
第二十九條 個人征信機(jī)構(gòu)應(yīng)當(dāng)按規(guī)定向中國人民銀行報送征信業(yè)務(wù)統(tǒng)計(jì)報表、財(cái)務(wù)會計(jì)報告、審計(jì)報告等資料。
企業(yè)征信機(jī)構(gòu)應(yīng)當(dāng)按規(guī)定向備案機(jī)構(gòu)報送征信業(yè)務(wù)統(tǒng)計(jì)報表、財(cái)務(wù)會計(jì)報告、審計(jì)報告等資料。
征信機(jī)構(gòu)應(yīng)當(dāng)對報送的報表和資料的真實(shí)性、準(zhǔn)確性、完整性負(fù)責(zé)。
第三十條 征信機(jī)構(gòu)應(yīng)當(dāng)按照國家信息安全保護(hù)等級測評標(biāo)準(zhǔn),對信用信息系統(tǒng)的安全情況進(jìn)行測評。
征信機(jī)構(gòu)信用信息系統(tǒng)安全保護(hù)等級為二級的,應(yīng)當(dāng)每兩年進(jìn)行測評;信用信息系統(tǒng)安全保護(hù)等級為三級以及以上的,應(yīng)當(dāng)每年進(jìn)行測評。
個人征信機(jī)構(gòu)應(yīng)當(dāng)自具有國家信息安全等級保護(hù)測評資質(zhì)的機(jī)構(gòu)出具測評報告之日起20日內(nèi),將測評報告報送中國人民銀行,企業(yè)征信機(jī)構(gòu)應(yīng)當(dāng)將測評報告報送備案機(jī)構(gòu)。
第三十一條 征信機(jī)構(gòu)有下列情形之一的,中國人民銀行及其分支機(jī)構(gòu)可以將其列為重點(diǎn)監(jiān)管對象:
(一)上一年度發(fā)生嚴(yán)重違法違規(guī)行為的;
(二)出現(xiàn)可能發(fā)生信息泄露征兆的;
(三)出現(xiàn)財(cái)務(wù)狀況異?;蛘邍?yán)重虧損的;
(四)被大量投訴的;
(五)未按本辦法第二十八條、第二十九條、第三十條規(guī)定報送相關(guān)材料的;
(六)中國人民銀行認(rèn)為需要重點(diǎn)監(jiān)管的其他情形。
征信機(jī)構(gòu)被列為重點(diǎn)監(jiān)管對象的,中國人民銀行及其分支機(jī)構(gòu)可以酌情縮短征信機(jī)構(gòu)報告征信業(yè)務(wù)開展情況、進(jìn)行信用信息系統(tǒng)安全情況測評的周期,并采取相應(yīng)的監(jiān)管措施,督促征信機(jī)構(gòu)整改。
整改后第一款中所列情形消除的,中國人民銀行及其分支機(jī)構(gòu)可不再將其列為重點(diǎn)監(jiān)管對象。
第三十二條 中國人民銀行及其分支機(jī)構(gòu)可以根據(jù)監(jiān)管需要,約談?wù)餍艡C(jī)構(gòu)董事、監(jiān)事和高級管理人員,要求其就征信業(yè)務(wù)經(jīng)營、風(fēng)險控制、內(nèi)部管理等有關(guān)重大事項(xiàng)作出說明。
第五章 罰 則
第三十三條 申請?jiān)O(shè)立個人征信機(jī)構(gòu)的申請人隱瞞有關(guān)情況或者提供虛假材料的,中國人民銀行依照《中華人民共和國行政許可法》的相關(guān)規(guī)定進(jìn)行處罰。
第三十四條 個人征信機(jī)構(gòu)的個人信用信息系統(tǒng)未達(dá)到國家信息安全保護(hù)等級二級或者二級以上要求的,中國人民銀行可以責(zé)令整頓;情節(jié)嚴(yán)重或者拒不整頓的,中國人民銀行依照《征信業(yè)管理?xiàng)l例》第三十八條的規(guī)定,吊銷其個人征信業(yè)務(wù)經(jīng)營許可證。
第三十五條 申請個人征信機(jī)構(gòu)的董事、監(jiān)事、高級管理人員任職資格的申請人隱瞞有關(guān)情況或者提供虛假材料的,中國人民銀行不予受理或者不予核準(zhǔn)其任職資格,并給予警告;已經(jīng)核準(zhǔn)的,取消其任職資格。
禁止上述申請人3年內(nèi)再次申請任職資格。
第三十六條 個人征信機(jī)構(gòu)任命未取得任職資格董事、監(jiān)事、高級管理人員的,由中國人民銀行責(zé)令改正并給予警告;情節(jié)嚴(yán)重的,處1萬元以上3萬元以下罰款。
企業(yè)征信機(jī)構(gòu)任命董事、監(jiān)事、高級管理人員未及時備案或者變更備案,以及在備案中提供虛假材料的,由中國人民銀行分支機(jī)構(gòu)責(zé)令改正并給予警告;情節(jié)嚴(yán)重的,處1萬元以上3萬元以下罰款。
第三十七條 征信機(jī)構(gòu)違反本辦法第二十九條、第三十條規(guī)定的,由中國人民銀行及其分支機(jī)構(gòu)責(zé)令改正;情節(jié)嚴(yán)重的,處1萬元以上3萬元以下罰款;涉嫌犯罪的,依法移交司法機(jī)關(guān)追究其刑事責(zé)任。
第六章 附 則
信息安全等級保護(hù)是國家在信息安全保障工作的一項(xiàng)基本制度,人民銀行根據(jù)國家關(guān)于信息安全等級保護(hù)工作的相關(guān)制度和標(biāo)準(zhǔn),制定了金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)系列標(biāo)準(zhǔn),2012年以由金融標(biāo)準(zhǔn)化技術(shù)委員會以中華人民共和國金融行業(yè)標(biāo)準(zhǔn)對外。即:《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引》(JR/T 0071-2012)、《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》(JR/T 0072-2012)、《金融行業(yè)信息安全等級保護(hù)測評服務(wù)安全指引》(JR/T 0073-2012)。其中:
第一,《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引》(JR/T 0071-2012)依據(jù)國家《信息系統(tǒng)安全等級保護(hù)基本要求》和《信息系統(tǒng)等級保護(hù)安全涉及技術(shù)要求標(biāo)準(zhǔn)》,結(jié)合金融行業(yè)特點(diǎn)以及信息系統(tǒng)安全建設(shè)需要,對金融行業(yè)信息安全體系架構(gòu)采用分區(qū)分域設(shè)計(jì)、對不同等級的應(yīng)用系統(tǒng)進(jìn)行具體要求,以保障將國家等級保護(hù)要求行業(yè)化、具體化,提高金融機(jī)構(gòu)重要網(wǎng)絡(luò)和信息系統(tǒng)信息安全防護(hù)水平。
第二,《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》(JR/T 0072-2012)規(guī)定了金融行業(yè)對信息系統(tǒng)安全等級保護(hù)測評評估的要求,包括對第二級信息系統(tǒng)、第三級信息系統(tǒng)和第四級信息系統(tǒng)進(jìn)行安全測評評估的單元測評要求和信息系統(tǒng)整體測評要求等。根據(jù)金融行業(yè)信息系統(tǒng)的定級情況,不存在五級系統(tǒng),而一級系統(tǒng)不需要去公安機(jī)關(guān)備案,不作為測評重點(diǎn)。
第三,《金融行業(yè)信息安全等級保護(hù)測評服務(wù)安全指引》(JR/T 0073-2012)總結(jié)了金融行業(yè)應(yīng)用系統(tǒng)多年的安全需求和業(yè)務(wù)特點(diǎn),并參考國際、國內(nèi)相關(guān)信息安全標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn),明確等級保護(hù)測評服務(wù)機(jī)構(gòu)安全、人員安全、過程安全、測評對象安全、工具安全等方面的基本要求。
二、金融行業(yè)信息安全系列管理標(biāo)準(zhǔn)應(yīng)用
人民銀行昆明中心支行在金融信息安全等級保護(hù)系列標(biāo)準(zhǔn)的基礎(chǔ)上,按照標(biāo)準(zhǔn)化技術(shù)和方法,制定《銀行業(yè)金融機(jī)構(gòu)信息安全檢查規(guī)范》(簡稱《規(guī)范》),作為落實(shí)等級保護(hù)管理要求的檢查標(biāo)準(zhǔn)。
(一)以標(biāo)準(zhǔn)化方法細(xì)化檢查依據(jù)
金融信息安全管理體系范圍與內(nèi)容復(fù)雜龐大,研究表明,金融信息安全等級保護(hù)系列標(biāo)準(zhǔn)規(guī)范涵蓋金融機(jī)構(gòu)信息化安全管理的基本管理要求和基本技術(shù)要求,應(yīng)以信息安全等保制度作為檢查依據(jù)。目前,根據(jù)人民銀行總行和公安部的統(tǒng)一部署,銀行業(yè)金融機(jī)構(gòu)有序開展網(wǎng)絡(luò)及信息系統(tǒng)的定級、評審、備案、測評和整改工作。
(二)以標(biāo)準(zhǔn)化技術(shù)明確檢查內(nèi)容
以金融信息安全等級保護(hù)的管理要求為基礎(chǔ),同時,從實(shí)際工作出發(fā),需要增加以下內(nèi)容:
1.增加信息安全概況的內(nèi)容。按照統(tǒng)一的標(biāo)準(zhǔn)化方式統(tǒng)計(jì)各銀行機(jī)構(gòu)信息化發(fā)展規(guī)劃、人員資金投入、開發(fā)建設(shè)、專項(xiàng)治理、安全保障等情況。便于檢查人員掌握了解被查行信息化建設(shè)的基本層面。
2.增加銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)管理的內(nèi)容。當(dāng)前,銀行卡犯罪呈上升趨勢,人民銀行總行高度重視銀行卡聯(lián)網(wǎng)聯(lián)合及其帶來的信息安全管理工作,在《規(guī)范》中應(yīng)增加相關(guān)檢查內(nèi)容。
3.增加金融業(yè)機(jī)構(gòu)信息管理的內(nèi)容。金融機(jī)構(gòu)代碼在我國實(shí)施的金融標(biāo)準(zhǔn)化戰(zhàn)略中,具有重要的基礎(chǔ)作用,人民銀行通過檢查金融機(jī)構(gòu)代碼證申領(lǐng)、年檢、變更和撤銷,確保金融機(jī)構(gòu)信息的真實(shí)、準(zhǔn)確、有效。因此,在《規(guī)范》中應(yīng)增加相關(guān)檢查內(nèi)容。
(三)以標(biāo)準(zhǔn)化手段細(xì)化檢查流程
一是標(biāo)準(zhǔn)化的檢查方案。由于銀行金融機(jī)構(gòu)分為法人和非法人機(jī)構(gòu),金融信息化發(fā)展水平不均衡。省、市、縣、營業(yè)網(wǎng)點(diǎn)金融信息化發(fā)展不均衡。制定的《規(guī)范》作為通用工作規(guī)范,并按照信息安全等級保護(hù)定級分別標(biāo)注出來。檢查單位要根據(jù)被檢查銀行信息安全等級保護(hù)定級情況,在通用規(guī)范的基礎(chǔ)上定制檢查方案。
二是標(biāo)準(zhǔn)化的檢查內(nèi)容。由于各銀行金融機(jī)構(gòu)的基礎(chǔ)、投入、核心系統(tǒng)等不同,導(dǎo)致各行信息安全管理具有獨(dú)立性,金融信息安全管理組織、資料名稱、歸聚存在差異。檢查單位應(yīng)關(guān)注被檢查單位的信息安全管理的實(shí)質(zhì)內(nèi)容,忽略具體表現(xiàn)形式。
三是標(biāo)準(zhǔn)化的機(jī)房核查流程。網(wǎng)絡(luò)和信息系統(tǒng)正常運(yùn)行是業(yè)務(wù)開展的基礎(chǔ),機(jī)房屬于銀行核心區(qū)域。因此,檢查人員進(jìn)入機(jī)房應(yīng)注意按照相應(yīng)管理制度執(zhí)行。
四是標(biāo)準(zhǔn)化的協(xié)查規(guī)定。信息安全涵蓋機(jī)房、網(wǎng)絡(luò)、系統(tǒng)、安全、銀行卡、機(jī)構(gòu)信息等,檢查人員需要與不同的技術(shù)人員交流,被檢查單位應(yīng)指定專人全程陪同,負(fù)責(zé)協(xié)調(diào)。
五是標(biāo)準(zhǔn)化的禁止規(guī)定。為了避免檢查人員登陸被查單位信息系統(tǒng)出現(xiàn)誤操作,造成重大損失,檢查人員應(yīng)與聯(lián)絡(luò)人進(jìn)行充分的溝通,由被查單位人員具體上機(jī)操作,嚴(yán)禁檢查人員直接登陸被查單位信息系統(tǒng)操作。
六是標(biāo)準(zhǔn)化的通報格式。檢查人員應(yīng)分析查出問題的性質(zhì),標(biāo)識風(fēng)險隱患的類別(高風(fēng)險、中風(fēng)險、低風(fēng)險),根據(jù)問題的性質(zhì)不同,分別以限期整改、風(fēng)險提示、暫停服務(wù)進(jìn)行處理,并結(jié)合實(shí)際情況,提出整改時限。
三、金融行業(yè)信息安全系列管理標(biāo)準(zhǔn)實(shí)踐
(一)首次實(shí)施統(tǒng)一的監(jiān)管標(biāo)準(zhǔn)
2013年5月,人民銀行昆明中心支行制定并對全省《規(guī)范》(昆銀發(fā)〔2013〕139號),首次統(tǒng)一了金融信息安全檢查標(biāo)準(zhǔn)。全省16個地區(qū)人民銀行各級機(jī)構(gòu)依據(jù)《規(guī)范》,組織了綜合執(zhí)法檢查金融業(yè)信息安全調(diào)查,對機(jī)房及基礎(chǔ)設(shè)施管理、網(wǎng)絡(luò)管理、信息系統(tǒng)管理、信息安全管理、金融機(jī)構(gòu)信息管理、銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)管理、網(wǎng)上銀行信息安全管理7個大類254個調(diào)查項(xiàng),204個檢查項(xiàng)實(shí)施了信息安全檢查。
1.2013年依據(jù)《規(guī)范》開展檢查發(fā)現(xiàn)問題統(tǒng)計(jì)。
2.2013年依據(jù)《規(guī)范》開展檢查結(jié)果處理情況統(tǒng)計(jì)。
3.2013年依據(jù)《規(guī)范》開展檢查整改情況統(tǒng)計(jì)。
全省首次實(shí)施上下統(tǒng)一的監(jiān)管標(biāo)準(zhǔn)、統(tǒng)一的檢查尺度,首次在一個標(biāo)準(zhǔn)下實(shí)現(xiàn)全省檢查發(fā)現(xiàn)問題數(shù)、檢查結(jié)果處理方式的統(tǒng)計(jì)、對比分析,使上級行能夠更加準(zhǔn)確地掌握轄區(qū)信息安全狀況。
(二)首次統(tǒng)一各類金融信息安全檢查
目前,人民銀行對轄內(nèi)銀行業(yè)金融機(jī)構(gòu)開展的信息安全類檢查工作,包括執(zhí)法檢查、信息安全調(diào)查、新設(shè)機(jī)構(gòu)準(zhǔn)入審批、新業(yè)務(wù)系統(tǒng)開通審批及銀行金融機(jī)構(gòu)信息安全自查。各類金融信息安全檢查都將《規(guī)范》作為一個基礎(chǔ)性規(guī)范,在使用《規(guī)范》時,根據(jù)實(shí)際情況,酌情增減檢查內(nèi)容。如:信息安全調(diào)查內(nèi)容可酌情增加,新設(shè)機(jī)構(gòu)準(zhǔn)入審批和新業(yè)務(wù)系統(tǒng)開通審批的檢查內(nèi)容可酌情減少。專項(xiàng)信息安全檢查同時遵守專項(xiàng)信息安全檢查要求。人民銀行對金融機(jī)構(gòu)的要求具有統(tǒng)一性,連續(xù)性,有效提升了人民銀行對全省地方法人機(jī)構(gòu)監(jiān)管的透明度、程序的公開化,對促進(jìn)全省地方性商業(yè)銀行信息安全管理向規(guī)范化發(fā)展起到了重要作用。
(三)首次集中解決檢查中的難點(diǎn)
基層人民銀行對于檢查結(jié)果整改及處理一直是金融信息安全檢查中的難點(diǎn),與現(xiàn)金管理、征信、國庫等人民銀行傳統(tǒng)監(jiān)管業(yè)務(wù)相比,梳理金融信息安全管理制度后會發(fā)現(xiàn)相關(guān)處罰規(guī)定模糊且操作性不強(qiáng)。對于屢查屢犯、造成城市金融網(wǎng)嚴(yán)重安全風(fēng)險等行為,缺乏處罰措施?!兑?guī)范》首次提出檢查人員應(yīng)分析查出問題的性質(zhì),標(biāo)識風(fēng)險隱患的類別(高風(fēng)險、中風(fēng)險、低風(fēng)險),根據(jù)問題的性質(zhì)不同,按照限期整改、風(fēng)險提示、暫停接入人民銀行網(wǎng)絡(luò)和信息系統(tǒng)服務(wù)、暫停新設(shè)機(jī)構(gòu)準(zhǔn)入審批及新業(yè)務(wù)系統(tǒng)開通審批等方式分別處理,在實(shí)踐中具有很強(qiáng)的操作性。解決了金融信息安全檢查中的難點(diǎn)。
《規(guī)范》的實(shí)施是人民銀行昆明中心支行應(yīng)用標(biāo)準(zhǔn)化理念和方法,貫徹金融行業(yè)信息安全等級保護(hù)系列標(biāo)準(zhǔn)規(guī)范的實(shí)踐,也是人民銀行昆明中心支行應(yīng)用金融標(biāo)準(zhǔn)化方法構(gòu)建金融信息安全體系的初步探索。這一模式,對于金融標(biāo)準(zhǔn)化的推廣應(yīng)用具有借鑒價值。
關(guān)鍵詞:金融科技 信息安全 央行履職
中圖分類號:F830 文獻(xiàn)標(biāo)識碼:A
文章編號:1004-4914(2012)07-189-02
2008年,人民銀行新“三定”方案賦予人民銀行“指導(dǎo)、協(xié)調(diào)金融業(yè)信息安全”的工作職責(zé)。幾年來,為科學(xué)履行央行科技的“三定”職責(zé),人民銀行在發(fā)揮金融信息安全指導(dǎo)、協(xié)調(diào)職能,提高金融業(yè)信息安全保障工作水平上付出了很多努力,有效保障了金融網(wǎng)絡(luò)信息安全,提高了金融機(jī)構(gòu)的信息化工作水平?;鶎友胄薪鹑诳萍脊ぷ靼凑湛傂胁渴饛倪^去偏重內(nèi)部建設(shè)轉(zhuǎn)到內(nèi)部建設(shè)與行業(yè)管理并重,在金融信息安全保障工作中作出了積極的探索。本文通過對央行履職工作的經(jīng)驗(yàn)總結(jié)探討了做好金融信息安全保障工作的實(shí)踐方法。
一、央行各級機(jī)構(gòu)的金融信息安全履職探索
近年來,人民銀行總行在承擔(dān)金融信息化協(xié)調(diào)工作職責(zé)中,積極爭取外部支持,主動與相關(guān)部委、金融監(jiān)管部門和金融機(jī)構(gòu)溝通,不斷強(qiáng)化行業(yè)協(xié)作機(jī)制,各項(xiàng)工作取得了顯著進(jìn)展。2008 年,現(xiàn)場檢查奧運(yùn)城市銀行的信息安全,組織協(xié)調(diào)銀行業(yè)完成風(fēng)險評估、應(yīng)急演練及防范網(wǎng)絡(luò)攻擊檢查,圓滿完成奧運(yùn)安保任務(wù)。2009年,針對社會普遍關(guān)注的網(wǎng)銀安全問題,制定并頒布《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范(試行)》,并組織完成對66家商業(yè)銀行的網(wǎng)銀系統(tǒng)安全檢查,增強(qiáng)了各商業(yè)銀行網(wǎng)銀系統(tǒng)交易的安全性。2010年,人民銀行建立了與公安部、工信部和電監(jiān)會跨部門協(xié)調(diào)機(jī)制,共同制定并了《金融業(yè)信息安全協(xié)調(diào)工作預(yù)案》,協(xié)調(diào)處置數(shù)十起信息安全事件,金融信息安全工作機(jī)制日漸成熟。為保障網(wǎng)絡(luò)金融服務(wù)安全,《中國人民銀行信息系統(tǒng)電子認(rèn)證應(yīng)用指引》,促進(jìn)了網(wǎng)絡(luò)金融服務(wù)安全保障機(jī)制的完善。2011年,編制印發(fā)《中國金融業(yè)信息化“十二五”發(fā)展規(guī)劃》,這是人民銀行首次立足“一行三會”管理格局制訂發(fā)展規(guī)劃,規(guī)劃中對“十二五”時期涉及數(shù)據(jù)綜合利用,銀、證、保系統(tǒng)互聯(lián)互通以及完善金融基礎(chǔ)設(shè)施、提升金融服務(wù)水平等關(guān)鍵問題都作了深入分析和闡述。
基層人民銀行貫徹總行工作思路,在金融信息安全指導(dǎo)和協(xié)調(diào)方面也取得了良好的成效。一方面充分發(fā)揮基層人民銀行指導(dǎo)職能,跟蹤落實(shí)金融機(jī)構(gòu)開展各類業(yè)務(wù)系統(tǒng)接口測試驗(yàn)收、系統(tǒng)升級、業(yè)務(wù)切換、應(yīng)急演練、系統(tǒng)上線等等,做好信息系統(tǒng)基礎(chǔ)技術(shù)保障工作。另一方面根據(jù)轄區(qū)地方特點(diǎn),建立了符合地方特色的金融信息安全管理體系,通過建立聯(lián)合協(xié)作和信息共享機(jī)制,暢通溝通渠道,加強(qiáng)金融業(yè)重要信息安全事件工作信息的通報和交流,協(xié)調(diào)解決金融信息安全工作中遇到的困難和問題,人民銀行整體信息安全管理水平得到有效提升。
二、基層央行金融信息安全履職中存在的問題及難點(diǎn)
第一,行業(yè)協(xié)調(diào)關(guān)系不順。從金融信息安全管理的現(xiàn)狀來看,按照人民銀行總行的信息安全協(xié)調(diào)部署,各大商業(yè)銀行自上而下實(shí)行縱向管理,基層人民銀行行業(yè)信息安全管理的重點(diǎn)主要在地方性商業(yè)銀行和農(nóng)村信用社。作為轄區(qū)金融體系的主要力量,各大商業(yè)銀行分支機(jī)構(gòu)的信息安全對保持轄區(qū)正常金融服務(wù)秩序具有舉足輕重的地位。但是,行業(yè)協(xié)調(diào)關(guān)系沒有捋順,造成基層人民銀行橫向管理的缺失。
第二,中小金融機(jī)構(gòu)協(xié)調(diào)滯后。為有效配置金融資源,近幾年來小額貸款公司、村鎮(zhèn)銀行、農(nóng)村資金互助社等中小金融機(jī)構(gòu)快速推廣,在金融業(yè)發(fā)展中占據(jù)了一定的份額。除部分村鎮(zhèn)銀行向人民銀行申請了網(wǎng)絡(luò)互聯(lián)外,大部分中小金融機(jī)構(gòu)因?yàn)榧夹g(shù)水平或接入費(fèi)用的問題而無法接入人民銀行網(wǎng)絡(luò),基層人民銀行難以對這類金融機(jī)構(gòu)的信息安全工作進(jìn)行協(xié)調(diào)指導(dǎo)。
第三,全局信息掌握不及時。隨著金融業(yè)務(wù)信息化程度的提升,金融業(yè)信息系統(tǒng)的正常運(yùn)行影響到國家金融安全,特別是銀行業(yè)信息系統(tǒng)直接涉及社會公眾,一旦發(fā)生故障中斷,如處置不當(dāng)會影響正常的經(jīng)營秩序?;鶎尤嗣胥y行僅僅通過定期召開座談會、聯(lián)席會以及商業(yè)銀行的事件報告很難對金融機(jī)構(gòu)的信息安全發(fā)展規(guī)劃、信息系統(tǒng)生命周期過程管理等全局性信息做到及時掌握。
三、相關(guān)建議
隨著信息技術(shù)在組織內(nèi)部應(yīng)用的深度和廣度的提高,必須像重視傳統(tǒng)風(fēng)險一樣,重視銀行的信息安全風(fēng)險,積極探索做好金融業(yè)信息安全工作的新思路新方法,扎實(shí)推動金融信息化工作是基層央行面臨的新問題。
第一,建立完善轄區(qū)金融業(yè)信息安全協(xié)調(diào)機(jī)制,對金融機(jī)構(gòu)切實(shí)防范自身風(fēng)險、提高應(yīng)急處置工作效率,建立與監(jiān)管部門、政府職能部門和相關(guān)基礎(chǔ)環(huán)境運(yùn)營商之間的互動機(jī)制具有積極的意義。充分發(fā)揮協(xié)調(diào)機(jī)制的作用,實(shí)現(xiàn)應(yīng)急事件處置的統(tǒng)一指揮、集中管理和快速響應(yīng),協(xié)調(diào)政府部門加大對金融業(yè)信息安全協(xié)調(diào)機(jī)制的扶持力度,組織開展多方參與、協(xié)作聯(lián)動的專項(xiàng)應(yīng)急演練,拓展應(yīng)急管理工作的深度和廣度。
第二,深化轄區(qū)金融業(yè)信息安全協(xié)調(diào)機(jī)制。要以建立全方位、高起點(diǎn)、全覆蓋的協(xié)調(diào)機(jī)制、監(jiān)督機(jī)制、服務(wù)機(jī)制為目標(biāo),制定相應(yīng)的管理辦法和措施,做到有指標(biāo)、能量化、有評價、有通報,實(shí)現(xiàn)任何操作都有程序性要求,準(zhǔn)確掌握區(qū)域金融業(yè)信息安全的情況,真正實(shí)現(xiàn)行業(yè)信息安全管理的科技履職。
第三,為中小金融機(jī)構(gòu)提供網(wǎng)絡(luò)接入安全技術(shù)保障。針對中小金融機(jī)構(gòu)發(fā)展迅速,有較大的網(wǎng)絡(luò)接入需求的實(shí)際,重點(diǎn)對中小金融機(jī)構(gòu)與人民銀行在貨幣信貸、征信管理、國庫、支付結(jié)算和調(diào)查統(tǒng)計(jì)等方面的業(yè)務(wù)需求,以及科技運(yùn)維能力進(jìn)行調(diào)研,出臺中小金融機(jī)構(gòu)接入人民銀行金融城域網(wǎng)技術(shù)方案,提供安全、規(guī)范、節(jié)儉、高效的金融服務(wù)。
第四,制訂轄區(qū)金融機(jī)構(gòu)自建信息系統(tǒng)項(xiàng)目備案制度。對在轄內(nèi)設(shè)立的地方性法人銀行業(yè)金融機(jī)構(gòu),要求其在自建信息系統(tǒng)上線前向當(dāng)?shù)厝嗣胥y行報備,并提交項(xiàng)目研制報告、技術(shù)報告、第三方測試報告、保密協(xié)議、應(yīng)急處置預(yù)案等備案材料,確保基層人民銀行能夠及時準(zhǔn)確掌握地方性金融機(jī)構(gòu)信息項(xiàng)目情況,并促進(jìn)地方性金融機(jī)構(gòu)信息化工作標(biāo)準(zhǔn)化、規(guī)范化,保障金融信息系統(tǒng)安全。
第五,做好金融信息安全風(fēng)險提示和通報工作。目前,業(yè)務(wù)發(fā)展與信息技術(shù)結(jié)合越發(fā)緊密,網(wǎng)上支付、移動支付等高度融合信息技術(shù)的金融服務(wù)創(chuàng)新為社會帶來便捷的同時也帶來了信息安全風(fēng)險?;鶎尤嗣胥y行要在風(fēng)險控制機(jī)制方面加以完善,及時主動掌握金融信息安全風(fēng)險,通過風(fēng)險提示對信息安全事件加以分析、督導(dǎo)和警示,提高安全信息共享程度,督促轄內(nèi)各金融機(jī)構(gòu)持續(xù)改進(jìn)信息安全工作。
參考文獻(xiàn):
1.林兆榮.抓長治促久安——建立信息系統(tǒng)應(yīng)急保障機(jī)制的探索與政策建議.金融電子化,2011(11)
2.閆力.完善信息安全體系,提供穩(wěn)健金融服務(wù)——以遼寧省銀行業(yè)為例.銀行家,2009(8)
3.李良軍.建立網(wǎng)上銀行信息安全協(xié)作機(jī)制.金融電子化,2011(10)
(一)國家法律法規(guī)建設(shè)情況
我國《民法通則》、《刑法》和《商業(yè)銀行法》均對銀行客戶個人信息保護(hù)作出規(guī)定?!睹穹ㄍ▌t》第99—101條分別對公民的姓名權(quán)、肖像權(quán)和名譽(yù)權(quán)作出保護(hù)規(guī)定?!缎谭ㄐ拚福ㄆ撸穼⑶址腹駛€人信息的行為納入刑事犯罪的范疇,規(guī)定了出售、非法提供公民個人信息罪及非法獲取公民個人信息罪兩個罪名?!渡虡I(yè)銀行法》第29條則規(guī)定:“商業(yè)銀行辦理個人儲蓄存款業(yè)務(wù),應(yīng)當(dāng)遵循存款自愿、取款自由、存款有息、為存款人保密的原則”?!盀榇婵钊吮C堋笔侵干蹄y行業(yè)對存款人的姓名、住址、存款金額、儲蓄種類、存款次數(shù)、提取情況、印鑒以及其他各種情況都要嚴(yán)格的保守秘密,不得披露。對個人儲蓄銀存款 ,商業(yè)銀行有權(quán)拒絕任何單位或者個人查詢、凍結(jié)、扣劃,但法律另有規(guī)定的除外。這一原則是保護(hù)存款人合法權(quán)益的最基本要求,是商業(yè)銀行在辦理個人存款業(yè)務(wù)時必須遵循的原則。
(二)部門規(guī)章建設(shè)情況
人民銀行、銀監(jiān)會等部門在其規(guī)章中針對電子銀行、反洗錢及信用卡業(yè)務(wù)等方面對銀行客戶個人信息保護(hù)作出規(guī)定。如《電子銀行業(yè)務(wù)管理辦法》第52條規(guī)定:“金融機(jī)構(gòu)應(yīng)采取適當(dāng)措施,保證電子銀行業(yè)務(wù)符合相關(guān)法律法規(guī)對客戶信息和隱私保護(hù)的規(guī)定”;《金融機(jī)構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》第28條規(guī)定:“金融機(jī)構(gòu)應(yīng)采取必要管理措施和技術(shù)措施,防止客戶身份資料和交易記錄的缺失、損毀,防止泄漏客戶身份信息和交易信息”;銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》第四章以專章形式規(guī)定了信息安全,對信息安全管理職能、信息安全級別劃分和信息安全措施等作出具體規(guī)定。人民銀行《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》第2條規(guī)定:“銀行業(yè)金融機(jī)構(gòu)在收集、保存、使用、對外提供個人金融信息時,應(yīng)當(dāng)嚴(yán)格遵守法律規(guī)定,采取有效措施加強(qiáng)對個人金融信息保護(hù),確保信息安全,防止信息泄露和濫用”;《商業(yè)銀行信用卡業(yè)務(wù)監(jiān)督管理辦法》第3條規(guī)定:“商業(yè)銀行經(jīng)營信用卡業(yè)務(wù),應(yīng)當(dāng)依法保護(hù)客戶合法權(quán)益和相關(guān)信息安全。未經(jīng)客戶授權(quán),不得將相關(guān)信息用于本行信用卡業(yè)務(wù)以外的其他用途”。
二、我國銀行客戶個人信息保護(hù)存在的主要問題
(一)客戶個人信息保護(hù)法律法規(guī)缺失
1.行政法責(zé)任缺失。我國尚未制訂專門的《個人信息保護(hù)法》,對個人信息的保護(hù)主要依據(jù)《民法通則》中對個人姓名權(quán)、肖像權(quán)和名譽(yù)權(quán)的規(guī)定,個人信息主體的權(quán)利難以得到全面明確和保護(hù)。從我國現(xiàn)有法規(guī)來看,對侵犯公民個人信息的行為,《民法通則》規(guī)定了損害賠償?shù)拿袷仑?zé)任,《刑法》規(guī)定了出售、非法提供及非法獲取公民個人信息應(yīng)承擔(dān)的刑事責(zé)任,而在行政法層面,對于侵犯銀行客戶個人信息但尚未構(gòu)成犯罪的行為,銀行業(yè)監(jiān)管法規(guī)沒有適用的罰則,監(jiān)管部門也缺乏對銀行違規(guī)泄露客戶信息的罰則。
2.例外規(guī)定缺失。銀行對客戶個人信息的保密與保密例外是銀行保密制度中并行的兩大部分,遺憾的是我國法律法規(guī)在規(guī)定銀行負(fù)有保密義務(wù)的同時,卻沒有系統(tǒng)地規(guī)定保密例外的情形,而僅是為了執(zhí)法與司法的方便,在《民事訴訟法》、《刑事訴訟法》、《稅收征收管理法》等法律法規(guī)中,分別賦予人民法院、人民檢察院、公安機(jī)關(guān)、稅務(wù)機(jī)關(guān)等機(jī)構(gòu)在特定情形下查詢、凍結(jié)和劃撥銀行客戶資金的權(quán)力?,F(xiàn)有法律法規(guī)沒有將基于當(dāng)事人授權(quán)、社會征信及社會公共利益而進(jìn)行的信息公開等列為銀行保密義務(wù)的例外,不利于對銀行業(yè)和社會公眾合法權(quán)益的保護(hù)。
3.監(jiān)管法規(guī)缺失。一是規(guī)定較為零散?,F(xiàn)行銀行業(yè)監(jiān)管法規(guī)僅分別針對儲蓄存款業(yè)務(wù)、電子銀行業(yè)務(wù)、信用卡業(yè)務(wù)等領(lǐng)域的客戶個人信息保護(hù)作出個別規(guī)定,無法覆蓋銀行業(yè)提供的各類業(yè)務(wù)全流程。二是針對性不強(qiáng)。如《金融機(jī)構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》雖然對客戶信息安全管理做了一些規(guī)定,但立法目的是加強(qiáng)反洗錢,不是針對客戶個人信息保護(hù)。三是原則性規(guī)定較多,缺乏具體條款,可操作性不強(qiáng)。
(二)銀行客戶個人信息保護(hù)不力的表現(xiàn)
1.管理架構(gòu)不健全。目前,部分基層銀行業(yè)金融機(jī)構(gòu)的管理重點(diǎn)更多的仍傾向于存貸款規(guī)模、資產(chǎn)質(zhì)量、利潤等業(yè)績指標(biāo)和信用風(fēng)險等常規(guī)風(fēng)險管控,而未將客戶信息保護(hù)納入銀行整體風(fēng)險管理框架中??蛻粜畔⒍囝^管理,未成立專門的客戶信息風(fēng)險管理領(lǐng)導(dǎo)機(jī)構(gòu),缺乏有效的制約機(jī)制,員工風(fēng)險意識較為薄弱,基層銀行業(yè)信息管理漏洞較為突出。
2.尺度標(biāo)準(zhǔn)不一致。由于對客戶信息保護(hù)缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn),銀行業(yè)間執(zhí)行情況參差不齊,主要表現(xiàn)在客戶信息保護(hù)的側(cè)重點(diǎn)不同、客戶信息使用管理制度不一致等方面。對客戶信息資料處理的執(zhí)行標(biāo)準(zhǔn)不一加大了外界在政策把握方面的難度,不利于引導(dǎo)客戶及時行使保護(hù)個人信息安全的權(quán)利,在銀行內(nèi)部約束機(jī)制引發(fā)客戶投訴與糾紛,加大了銀行經(jīng)營管理中的操作風(fēng)險和聲譽(yù)風(fēng)險。
信用報告電子化的意義
降低征信業(yè)務(wù)查詢成本實(shí)現(xiàn)信用報告電子化,將可大幅降低征信業(yè)務(wù)查詢成本。一是節(jié)約基層人民銀行征信查詢網(wǎng)點(diǎn)信用報告打印紙張和硒鼓。二是自助查詢機(jī)取消打印紙質(zhì)報告功能后,無須再配置價格高昂的高速雙面打印機(jī),也降低了基層人民銀行征信查詢網(wǎng)點(diǎn)征信查詢機(jī)的硬件成本,減小征信查詢點(diǎn)購置征信查詢機(jī)的費(fèi)用壓力。減少設(shè)備維護(hù)工作量目前,個人征信查詢業(yè)務(wù)均以自助查詢機(jī)查詢?yōu)橹?,但因查詢機(jī)使用年限較長,由于打印機(jī)老化導(dǎo)致卡紙、缺墨造成的系統(tǒng)故障頻發(fā),工作人員在打印機(jī)日常維護(hù)上花費(fèi)的時間較多,查詢機(jī)也無法真正做到無人值守。如實(shí)現(xiàn)信用報告電子化,征信查詢點(diǎn)工作人員在設(shè)備維護(hù)上的工作量將大幅減少。緩解征信查詢點(diǎn)營業(yè)壓力以個人信用報告查詢?yōu)槔?,盡管個人信用報告上明確注明“本報告僅供客戶了解自身信用狀況使用”,不應(yīng)隨意提供給他人,但在實(shí)際操作中,絕大部分客戶查詢信用報告均是用來提供給沒有查詢權(quán)限的放貸機(jī)構(gòu)做貸前審查用,部分單位在進(jìn)行招標(biāo)、采購、人才選拔、評先評優(yōu)等情況下也需要客戶提供其信用報告。由于互聯(lián)網(wǎng)個人信用報告查詢版本沒有提供明細(xì)版,且生成的PDF文件存在被修改的可能,信用報告的最終使用者往往不愿接受客戶提供的互聯(lián)網(wǎng)版本的信用報告,而要求客戶提供人民銀行網(wǎng)點(diǎn)打印的紙制報告,也導(dǎo)致社會公眾對互聯(lián)網(wǎng)查詢版本的認(rèn)可度較低,大量客戶仍然選擇到人民銀行網(wǎng)點(diǎn)和查詢點(diǎn)進(jìn)行查詢,導(dǎo)致人民銀行網(wǎng)點(diǎn)和查詢點(diǎn)的查詢量居高不下。如通過信用報告的電子化,并將互聯(lián)網(wǎng)查詢的版本和網(wǎng)點(diǎn)查詢的版本進(jìn)行統(tǒng)一,讓互聯(lián)網(wǎng)查詢方式真正實(shí)現(xiàn)分流功能,將能夠緩解各征信查詢點(diǎn)的壓力。防范征信查詢點(diǎn)內(nèi)部風(fēng)險實(shí)現(xiàn)信用報告電子化后,由于信用報告在生成后由客戶本人直接下載,并不在業(yè)務(wù)用機(jī)上展示或打印,征信部門查詢?nèi)藛T未經(jīng)授權(quán)不能直接接觸客戶信用報告,將能從根源上杜絕征信查詢點(diǎn)泄露信用報告的內(nèi)部風(fēng)險。提升人民銀行社會形象實(shí)現(xiàn)信用報告電子化,因人工和耗材支出大幅減少,將可明顯降低征信查詢業(yè)務(wù)成本,面向社會公眾收費(fèi)可考慮進(jìn)一步降低,有助于提升人民銀行社會形象。
信用報告電子化的實(shí)現(xiàn)方式
目前,通過中國人民銀行征信中心官網(wǎng)、個人網(wǎng)銀和企業(yè)網(wǎng)銀等方式的個人和企業(yè)信用報告查詢已經(jīng)實(shí)現(xiàn)了全流程的電子化操作,二代征信系統(tǒng)上線后,通過二代征信系統(tǒng)查詢的個人和企業(yè)信用報告也可直接生成PDF格式,在系統(tǒng)層面已經(jīng)具備電子化的條件。同時,通過前置系統(tǒng)已可實(shí)現(xiàn)征信查詢業(yè)務(wù)受理、辦理、收費(fèi)到開具發(fā)票的電子化操作,只要實(shí)現(xiàn)信用報告文件從人民銀行業(yè)務(wù)網(wǎng)到互聯(lián)網(wǎng)的安全傳輸,即可實(shí)現(xiàn)征信查詢?nèi)鞒屉娮踊僮?。增加信用報告中轉(zhuǎn)服務(wù)器實(shí)現(xiàn)信用報告電子化,將可大幅降低征信業(yè)務(wù)查詢成本由于征信系統(tǒng)運(yùn)行于人民銀行業(yè)務(wù)網(wǎng),而社會公眾下載信用報告需要在互聯(lián)網(wǎng)操作,因此需要增加信用報告中轉(zhuǎn)服務(wù)器,用于實(shí)時接收征信系統(tǒng)生成的信用報告、生成下載鏈接,并通過多種接口程序?qū)⑿庞脠蟾骐娮影骀溄影l(fā)送到客戶手機(jī)短信和經(jīng)過認(rèn)證的手機(jī)App。接入中轉(zhuǎn)服務(wù)器的手機(jī)App可由征信中心開發(fā)專用程序,也可與銀聯(lián)云閃付、各銀行的手機(jī)銀行、支付寶、微信等APP進(jìn)行深度整合,以擴(kuò)大受眾范圍。下載鏈接應(yīng)有下載時效限制,在一定時間后鏈接失效,并自動刪除服務(wù)器緩存的信用報告。由于不同網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸涉及網(wǎng)絡(luò)安全性問題,應(yīng)通過技術(shù)手段對服務(wù)器訪問業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)所需的各項(xiàng)權(quán)限進(jìn)行最小化控制,確保征信系統(tǒng)數(shù)據(jù)和客戶數(shù)據(jù)安全。
增加信用報告驗(yàn)證服務(wù)器
為確保信用報告電子版文件不被篡改,應(yīng)增加信用報告驗(yàn)證服務(wù)器,輔以信用報告真實(shí)性驗(yàn)證系統(tǒng),以網(wǎng)頁版形式提供服務(wù)。在驗(yàn)證系統(tǒng)數(shù)據(jù)庫中記錄系統(tǒng)生成的信用報告原始文件的MD5校驗(yàn)碼、信用報告所有人姓名和信用報告編號,信用報告的最終使用人通過在網(wǎng)站輸入信用報告編號來獲取該信用報告的MD5校驗(yàn)碼和信用報告所有人的姓名或企業(yè)名稱(應(yīng)脫敏顯示),同時使用公開的MD5校驗(yàn)程序?qū)π庞脠蟾嫖募M(jìn)行校驗(yàn),通過比對MD5校驗(yàn)碼是否一致來確定信用報告文件是否被篡改。落實(shí)線上授權(quán)的認(rèn)證機(jī)制在通過人工柜臺查詢信用報告的流程中,個人和企業(yè)的授權(quán)是必要而且是最重要的一個環(huán)節(jié),因此應(yīng)有相應(yīng)的技術(shù)手段來確定信用報告是由申請人本人進(jìn)行下載,防范信息泄露風(fēng)險。企業(yè)查詢可在前置系統(tǒng)引入電子營業(yè)執(zhí)照驗(yàn)證功能,由企業(yè)法定代表人通過電子營業(yè)執(zhí)照App授權(quán)企業(yè)經(jīng)辦人辦理業(yè)務(wù);個人查詢可依托“互聯(lián)網(wǎng)+”可信身份認(rèn)證平臺(CTID),由征信中心統(tǒng)一接入平臺,在充分保障申請人隱私數(shù)據(jù)安全的同時,對客戶身份進(jìn)行真實(shí)性驗(yàn)證,并實(shí)時將核查結(jié)果返回征信系統(tǒng)。
推行信用報告在全社會實(shí)行電子化查詢的幾點(diǎn)建議