互联网金融有限公司信息安全审计管理办法

互联网金融有限公司信息安全审计管理办法（共9篇）

互联网金融有限公司信息安全审计管理办法 篇1

西安北创互联网金融信息服务有限公司

信息安全审计管理办法

第一章 总则

第一条 为督促落实各项网络与信息安全管理办法、技术规范，规范各项网络与信息安全检查工作（以下简称“信息安全审计”，根据总部信息安全相关文件规定，特制订本办法。

第二条 安全审计内容分为管理和技术两个方面，管理审计检查安全管理制度的执行情况；技术审计检查企业网、局域网、互联网出口和各信息系统符合设备安全技术要求、安全配置要求以及其他技术规范的情况。第三条 安全审计通过设立独立的审计岗位或交叉审计等方式开展。

第二章 适用范围

第四条 本办法适用于西安北创互联网金融信息服务有限公司和各分公司。

第五条 可依据本办法开展企业网、局域网、互联网出口和各信息系统的安全审计，开展信息安全等其他安全管理方面的审计。

第六条 用于指导开展定期和不定期，全面和针对特定目的的安全审计。

第三章 组织与职责

第七条 发起网络与信息安全审计工作的部门是：总公司信息管理处、各分公司信息管理部门。

第八条 信息管理处在西安北创互联网金融信息服务有限公司信息安全领导小组的领导下，组织开展所辖子公司信息安全审计工作：

（一）落实总部信息安全工作总体安排；

（二）组织制定信息安全审计细则；

（三）组织制定并实施公司级的信息安全审计计划；

（四）对各分公司进行指导、审批、检查和备案；

（五）汇总、审阅信息安全审计报告，制定整改方案，解决发现的突出问题，重大问题或者需要对技术、管理流程做出重大调整时，应向西安北创互联网金融信息服务有限公司信息化领导小组汇报。第九条 各分公司信息部门职责：

（一）配合完成信息安全领导小组、信息管理处安排的信息安全审计任务；

（二）制定本单位内部信息安全审计实施细则；

（三）制定本单位信息安全审计计划和实施方案，并上报信息管理处备案审核；

（四）按照信息安全审计计划实施工作；

（五）提交信息安全审计报告，针对审计发现的问题，形成改进方案。

第四章 信息安全审计重点内容

第十条 信息安全审计原则：对重要系统、核心设备、规章制度和技术要求，进行重点检查。第十一条 信息安全审计频次：

（一）针对公司范围进行的全面审计，每年一次，不定期开展；

（二）对局部范围进行的安全策略技术审计，根据总部信息安全等级保护文件规定，三级系统每半年审计一次，三级以下系统每年审计一次，并形成分系统的审计报告。

第十二条 信息安全审计重点应包括重点要求、重点规范、重要系统中的重要设备，以及用户的操作行为等。

第五章 审计内容和审计方法

第十三条 安全审计主要依据各项安全管理规定和技术检查，检查具体要求的落实情况。

第十四条 审计方法包括：对安全运行维护等记录的抽样检查、系统检查、现场访问等。

第十五条 可以采用人工和技术手段进行。

第六章 工作步骤

第十六条 制定计划，确定审计范围、审计重点、时间安排、审计人员和配合人员安排，采用的技术手段、主要风险及规避方案等。

第十七条 细化审计内容。审计的系统范围，检查的重点项，各个系统中增删改等重点操作的指令、关键词等。第十八条 编写《信息安全审计检查表》等工作底稿。检查表应包括信息安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人员和被审计人员签字栏等。第十九条 按照《信息安全审计检查表》，采用人工和技术手段相结合的方式，进行抽样检查、系统检查、现场访问等，并逐一记录结果。

第二十条 提交《信息安全审计报告》，总结审计情况，分析主要问题，提出改进意见及下次审计重点等建议。第二十一条 被审计系统责任部门按照审计报告，形成《信息安全审计问题整改计划及实施方案》，并提交《信息安全审计改进情况报告》。

第二十二条 各方签字的《信息安全审计报告》、《信息安全审计问题整改计划及实施方案》和《信息安全审计改进情况报告》等相关文档，经过审批后提交信息安全领导小组、信息管理处存档。

第七章 监督执行

第二十三条 各信息部门应督促各级领导对办法执行情况进行有效监督和管理。第二十四条 本办法自下发之日起执行。

互联网金融有限公司信息安全审计管理办法 篇2

一、互联网金融给传统金融信息安全带来的影响

(一) 互联网金融时代的到来

阿里巴巴集团CEO马云曾说过:“如果银行不改变, 我们就改变银行。”短短几年时间, 在互联网技术飞速发展的推动下, 阿里巴巴的支付宝业务已是第三方支付领域的翘楚, 后来发布的余额宝产品更是引发了基金界地震。这些产品让同行及传统金融大亨们对其刮目相看。当下中国互联网金融发展之迅猛, 一时间不仅让金融界大吃一惊, 就连互联网金融自身也始料未及, 他们在心有余悸感触的同时, 也开始反思互联网金融未来发展的方向。虽然传统金融大亨们已经开始反击、应对新生互联网金融企业的挑战, 但互联网金融依靠虚拟化的服务方式、模糊化的业务边界、开放的经营环境和透明化的市场运行, 正在创造一个又一个的财富奇迹, 同时一场让传统金融格局发生质变的互联网金融大幕已经开启。

(二) 互联网金融对金融信息安全带来的影响

一是互联网金融让金融实现去中介化, 最终实现资金融通双方直接对接, 这一直是金融发展的一个重要目标。虽然互联网金融的实质就是以信息化为手段, 实现资金融通双方直接对接, 但是目前大多的互联网金融只是利用了互联网技术手段来从事金融中介业务, 还未能真正实现资金融通双方直接对接的目标, 不过它至少已经让人们看到“金融脱媒”最终实现的希望。

二是互联网金融让传统金融模式倍感压力。有别于传统金融, 互联网金融提供了更方便快捷的支付方式、更低的交易成本、更优化的资源配置方案, 这三大优势让传统金融的商业模式受到了史无前例的竞争压力, 这也是未来互联网金融立足金融业的根本基础。

三是互联网金融能解决一些传统金融长久以来无法很好解决的问题。互联网技术发展到今天, 云计算和大数据技术赋予互联网金融传统金融无法实现的一个最大优势——为小微客户提供成本最低的金融服务。所以占全国企业总数九成的小微企业, 在互联网金融时代到来后, 多年梦寐以求的低成本、高效率的融资服务得以实现。

四是互联网金融为创新提供了更广阔的舞台。虽然现在还不能准确预计互联网金融未来发展的方向, 但从目前互联网金融发展的三大形态——第三方支付、P2P和众筹融资, 可以基本明确未来的互联网金融发展一定是在网络IT技术突飞猛进的基础上, 将更多已有的线下金融服务变为线上金融服务, 让金融的创新空间得到大范围的扩张。

(三) 传统金融信息安全观正出现新的变化趋势

从以上互联网金融的实际发展变化看, 传统的金融安全观正在呈现出一些新的趋势。这些趋势一方面有别于传统金融信息安全观, 互联网金融虚拟化的服务方式、跨领域的业务开展、开放与透明的市场经营环境, 使其具备了互联网所包含的信息安全的动态性、综合性等特点;另一方面, 互联网金融背景下的信息安全风险, 除了具有传统金融业经营过程中存在的流动性风险、市场风险和利率风险外, 还存在基于信息技术导致的平台风险、技术风险、系统安全风险和基于虚拟金融服务的业务风险, 且风险诱因更加复杂、风险扩散传播速度快。

二、互联网金融时代, 金融信息安全面临的主要挑战

由于技术平台、安全防护机制尚不成熟, 除传统互联网自身安全风险外, 互联网金融信息安全正面临着新形势、新技术、新业态的全方位多层次的挑战。

(一) 互联网金融信息安全保障体系的建设速度滞后于互联网金融业务的发展速度

互联网金融在新兴技术的推动下, 第三方支付、在线理财、众筹网贷和在线保险等各类金融业务如雨后春笋般出现。因此病毒、木马等威胁比以往任何时候对金融信息安全的威胁都大。但是一个旨在全面支撑和保护互联网金融信息安全的保障体系还未到位, 面对互联网金融日新月异的发展速度, 符合互联网金融要求的信息安全保障体系建设已经迫在眉睫。

(二) 层出不穷的互联技术应用是当前金融信息安全面临的最大挑战

移动互联、云计算、下一代互联网和大数据等新兴技术的蓬勃发展, 是催生互联网金融时代快速到来的主要推手。一方面, 这些基于开放性网络的互联网金融服务, 使得以往金融信息安全技术防范已经不能全部适应新互联网技术的进步速度;另一方面, 这些新兴互联网技术自身还在不断发展, 其技术成熟度还不稳定, 特别是第三方支付、P2P等互联网金融新业态还处于起步阶段, 其信息安全管理水平不高。如何尽快建立一套既符合金融行业特点, 又能快速跟进互联网新技术发展需要的金融信息安全技术规范显得十分紧迫。

(三) 网络安全防控是互联网金融信息安全防范的难点

《2013年中国互联网发展报告》中指出2013年互联网遭到的网络攻击同比增长14%, 已经连续多年呈上升趋势, 其中涉及客户信用卡信息、各种资金账户信息的非法网络攻击行为增速位居前列。曾有专家说过, “互联网金融第一要素就是互联网, 安全就是生命线。”由于互联网模糊了传统金融领域的界限, 使得金融行为范畴借助互联网技术衍生到前所未有的新领域。一方面, 无论是传统金融机构还是新生的互联网金融公司, 来自互联网的各种入侵破坏行为已经成为日常信息安全防范的重点;另一方面, 在互联网开放性的影响下, 各类基于互联网平台的金融创新业务也带来一些类似网络洗钱和网上支付诈骗的社会安全问题, 这类网络安全防控不断突破传统金融安全的范畴, 让金融信息安全防范的工作变得更加复杂。

(四) 新生银行机构缺乏互联网金融信息安全防控方面的保障

随着中国银行业逐步向民营资本开放, 这些新生的民营银行机构, 包括一些地方性中小银行, 他们无论大小和成立时间的长短都想上马网上银行项目, 尽快发布互联网理财的金融业务, 目的就是搭上互联网金融的顺风车, 从互联网金融的大蛋糕中分得一份。但这些银行机构往往只看到了互联网金融低成本的一面, 却习惯性忽视了信息安全的投入, 这些机构迫切需要加大对互联网信息安全投入。

(五) 对互联网金融监管需要与时俱进的改进

2014年初, 金融监管当局多次强调互联网金融有两条红线不能碰, 一个是非法吸收公共存款, 另一个是非法集资。所以, 新时期下金融监管必须有一个符合时代发展要求的金融信息安全防范体系作保障。这一体系需要从技术和制度上确保足够的风险预警时间, 帮助金融监管当局最大限度避免互联网金融从线上向线下实体金融输出风险, 避免系统性金融风险。除此以外, 如何把控监管的度, 不让过度监管扼杀互联网金融, 也需要行之有效的信息安全防范做保证。

三、相关对策建议

(一) 完善顶层设计, 尽快构建适应互联网金融发展需要的金融信息安全保障体系

虽然我国已经建立了金融信息安全保障体系, 但这一体系是建立在原有金融信息化建设基础上, 主要是针对基于密钥管理、身份识别、核心数据访问控制等传统金融信息安全领域, 对迅速兴起的互联网金融没有充足的准备。面对新的形势, 《2013年中国互联网金融发展报告》建议尽快建立我国互联网金融安全主动防御体系, 它的核心就是建立国家层面金融与安全部门的信息安全服务保障联盟, 从而进一步完善现有的金融信息安全组织保障体系。新的金融安全保障体系要包含符合互联网金融快速发展需要的法律法规、自有知识产权技术、人才队伍建设和社会信用体系建设等内容。

(二) 加大自主知识产权的金融信息安全技术研发力度, 为金融信息安全体系建设提供可靠的技术保障

一是加快制定互联网金融信息安全标准规范, 进一步完善相关信息安全等级保护内容, 从而指导各类互联网金融业务服务平台安全建设和运营。二是深刻吸取“棱镜门”安全事件的教训, 大力研发具有自主知识产权的互联网信息安全技术, 避免出现关键核心技术受制于人的窘境。三是积极与安全部门合作, 加快研发互联网金融安全自动化实时监控技术, 及时发现和预防互联网金融犯罪。

(三) 加快安全网络体系建设, 最大限度提升金融网络防御攻击的水平

一是加快采用可信计算、可信网络等可信技术。在自主研发的基础上, 充分利用云计算和大数据分析的技术优势, 进行精准的信用习惯数据分析。通过掌握云计算分析的结果, 对网络平台可信程度进行评估。二是努力建设互联网金融征信网络。在可信网络的基础上, 通过整合互联网络、社交平台、政府征信资源等数据信息, 逐步建立面向互联网金融行业, 提供统一权威可信的征信服务网络。三是考虑建立以金融网络为基础的中国金融网 (CFNET) 。可以参考中国教育网 (CERNET) 或是中国科学技术网 (CSTNET) 的模式, 建设金融系统互联网络, 并接入公共互联网。同时根据不同行业进行接入分级, 金融行业为最高级, 其他行业根据可信级别进行区分, 这样可以很大程度解决互联网金融网络安全的问题。

(四) 加强对新生金融实体从事互联网金融业务的信息安全保障

一方面开展对新生银行机构从事互联网金融业务进行准入审批。通过建立制度提高新生银行机构从事互联金融业务的门槛, 对那些不具备实力, 信息安全保障投入不足的新生银行机构暂缓其涉足互联网金融业务;另一方面建议逐步建立由央行主导的互联网金融业务报备制度, 特别是对那些新发起涵盖银行、证券和保险综合性强的互联网金融业务实体, 进行严格的信息安全备案审查制度, 达不到标准不得开展相关业务, 或是降低开展业务规模和范围。

(五) 积极探索适合监管互联网金融的金融信息安全防范措施

互联网金融有限公司信息安全审计管理办法 篇3

一、地方金融资产管理公司（AMC）现状

伴随我国经济步入三期叠加，银行不良节节攀升，区域性的、地方性性金融风险凸显，为进一步深化金融体制改革、盘活存量信贷资产，防范和化解地方金融风险、健全地方金融组织，地方省市级政府根据《金融企业不良资产批量转让管理办法》（财金〔2012〕6号）以及《关于地方资产管理公司开展金融企业不良资产批量收购处理业务资质认可条件等有关问题的通知》（银监发[2013]45号）积极筹备组建地方金融资产管理公司。根据文件规定“各省、自治区可设立或授权一家资产管理或经营公司参与本省、自治区范围内不良资产的批量转让工作”，全国多个省市逐步开始设立或授权省级金融企业不良资产处置管理公司，设立省级资产管理公司已成趋势。

2014年7月中国银监会正式公布了全国首批试点单位名单，包括江苏、浙江、安徽、广东、上海等五地，11月，地方AMC进行二次扩容，允许北京、天津、重庆、福建和辽宁设立资产管理公司参与本省（市）范围内不良资产的批量转让工作。目前，截止2016年上半年，全国已公布第六批，省市级地方AMC达29家，其中筹备或运营的地市级AMC有4家，分别为光大金瓯资产管理有限公司（温州）、青岛市资产管理有限责任公司、苏州资产管理有限公司、厦门资产管理有限公司。其中29家省市级AMC合计注册资本金高达600多亿元，若按照12.5%的资本充足率监管标准计算，可化解处置银行不良资产规模高达4800亿元。

二、互联网金融政策依据以及主要业务类型

1.互联网金融政策依据

（1）国务院关于积极推进“互联网+”行动的指导意见（国发〔2015〕40号），在该指导意见中，经济进一步提质增效体现互联网金融的快速发展，并且设定了“互联网金融快速发展，对经济提质增效的促进作用更加凸显。”的发展目标。

此外，该指导意见还专门阐述了“互联网+”普惠金融。促进互联网金融健康发展，全面提升互联网金融服务能力和普惠水平，鼓励互联网与银行、证券、保险、基金的融合创新，为大众提供丰富、安全、便捷的金融产品和服务，更好满足不同层次实体经济的投融资需求，培育一批具有行业影响力的互联网金融创新型企业。

（2）中国人民银行、工业和信息化部、公安部等关于促进互联网金融健康发展的指导意见﹝银发〔2015〕221号﹞。在该指导意见中，积极鼓励互联网金融平台、产品和服务创新，激发市场活力；鼓励从业机构相互合作，实现优势互补；拓宽从业机构融资渠道，改善融资环境；落实和完善有关财税政策；推动信用基础设施建设，培育互联网金融配套服务体系。

2.互联网金融的主要业务模式

从我国发展状况看，互联网金融主要包括以下几种业务模式：

一是第三方支付业务。第三方支付是以非金融机构作为收、付款人的中介提供的支付结算服务，主要包括两种模式：一种是独立于电商平台的第三方支付，如PayPal、快钱等；一种是依托于电商平台并提供担保功能的第三方支付，如支付宝、财富通等。

监管政府部门：中国人民银行，政策法规：《非银行支付机构网络支付业务管理办》﹝中国人民银行公告[2015]第43号﹞。2016年7月1日起，该《办法》将正式施行。

二是网络信贷业务。网络信贷是借助网络平台提供的资金借贷服务，也主要有两种模式：一种是P2P（peer-to-peer）网贷，借款人直接在P2P公司网站平台上发布资金需求额、期限、用途、信用状况等资料，出借人了解相关信息后，可直接与借款人签署借贷合同，以获得投资回报，它是一种个人对个人，不以传统金融机构作为媒介的信贷模式；

监管政府部门：银监会，政策指导意见：《网络借贷信息中介机构业务活动管理暂行办法》（征求意见稿）以及《关于P2P有关风险提示的通知》﹝银监办发[2011]254号﹞

另一种是众筹融资（Crowdfunding），创意人在网站上展示项目，通过大众来筹集新项目或开办企业的资金，投资者根据相关信息选择投资项目，这种模式在一定程度上类似于VC/PE的融资功能。目前，众筹模式在我国还面临一定的法律障碍。

监管政府部门：证监会，政策指导意见：《私募股权众筹融资管理办法（试行）》﹝征求意见稿（2014）﹞

三是网络理财业务。网络理财是通过互联网为客户提供的投资理财服务，主要是指依托互联网进行的理财产品销售，以阿里巴巴支付宝和天弘基金联合推出余额宝为代表。

监管政府部门：由业务性质决定，互联网基金、证券由证监会负责监管；互联网保险业务由保监会负责监管；互联网信托业务、互联网消费金融业务由银监会负责监管。

政策指导意见：《关于促进互联网金融健康发展的指导意见》（银发〔2015〕221号）

三、金融资产公司开展互联网金融业务简述

伴随互联网金融的持续升温以及不良资产规模的大幅攀升，借助互联网力量成为不良资产行业发展的必然趋势。目前，四大资产管理公司以及省属地方AMC针对互联网金融主要业务类型以及运作模式，大致可分为如下五种类型：

1.搭建平台、提供数据服务

一是AMC通过网站、微博、微信公众号等互联网平台发布和提供相关债务信息、资产信息、工商信息、涉诉信息等供数据查询、浏览，方便社会公众以及交易对手或潜在交易对手。目前四大资产管理公司以及21省属地方AMC均建有自己的网站以及微信公众号，特别是四大金融资产和浙商资产借助自己金融研究院（所）强大的研究职能，微信公众号和网站网页均在业内颇受欢迎和青睐。

二是借助互联网平台强大的大数据库以及搜索引擎等功能，轻松检索不良资产相关债务人、保证人的新增或隐匿财产，以提高不良资产的回收率；同时利用数据服务实行对不良资产根据处置难度与预计回报情况进行分层，提升不良资产处置效率。如利用搜赖网。

2.借力互联网交易平台进行不良资产买卖

一是借力互联网淘宝司法拍卖处置平台。目前，四大AMC和浙商、广东粤财、湖北资产等省级AMC都已进驻阿里巴巴旗下的司法拍卖平台。另该平台拥有众多省级高院和银行、交易所、交易中心，拍卖行，投资管理公司等金融机构，以及海关、城管、环保局等。

二是借力金融资产交易所。目前各大金融资产交易所都实现了电子化和信息化，并设立了“网络交易大厅”形式的网络平台，其中明确包含不良资产转让服务的主要有北京、天津、山东、武汉的金交所。虽公开交易项目采用半匿名制，但四大和省级AMC均有介入的身影。

3.借力互联网交易平台进行不良资产委托处置

对接第三方搭建不良资产的垂直信息搜索平台，把拟处置、拟收购同处置的不良资产转介给相应的处置机构或催收方，加速不良资产处置、解决资源、信息错配。目前，此类网络平台有资产360，包之网等。其合作伙伴中也不乏有四大或省级AMC。如包之网已与华润资产、北京国通资产管理公司建有合作伙伴关系。

4.打包不良资产成理财产品进行网络众筹

将不良资产进行打包，通过“SPV”进行收益权在互联网平台转让，由合格投资者进行认购，实现网络众筹，加速资本流动，创新融资渠道。

5.自身组建或控股互联网金融公司

（1）东方资产组建互联网科技小贷公司-东方金科

东方资产是最早介入互联网金融的四大资产管理公司，于2013年12月31日成立东方邦信金融科技（上海）有限公司（简称：东方金科），注册于中国（上海）自由贸易试验区，注册资本金人民币2亿元，系中国东方资产管理公司旗下唯一一家科技公司和互联网公司。主要以搭建“东方汇”综合性互联网金融服务平台并充分利用“大数据”及“云计算”技术，整合中国东方资产管理公司旗下各平台公司金融服务，提供融资、评级、资产交易等综合服务。

（2）渝富资产控股互联网结算平台-重庆联付通

2015年6月重庆渝富资产经营管理集团有限公司收购了重庆联付通网络结算科技有限公司70%股权。重庆联付通公司（简称“联付通”）为重庆联合产权交易所集团公司（市国资委直属重点企业）倾力打造的互联网第三方支付公司，主要业务定位于国有产权交易（包括司法涉诉产权交易）的网络支付结算业务，同时为其它行业的电子商务平台提供优质、安全、便捷的互联网第三方支付服务。该公司取得了全国范围内的互联网支付牌照。

（3）粤财组建互联网金融平台ucheer

由粤财资产及其6家关联企业发起的互联网金融平台ucheer上线，目前产品暂时为与担保、小贷公司共同推出的P2P产品。Ucheer未来规划将不断争取网络借贷、网络证券、网络保险、互联网基金销售、第三方支付等互联网金融牌照。

四、地方金融资产管理公司开展互联网金融业务的建议

从四大资产管理公司与地方资产管理公司开展的业务情况来看，互联网金融的核心还是传统金融业务，通过互联网渠道加快交易速度，提高信息公开程度。但目前由于互联网金融缺少诚信体系支撑，风险仍然存在，互联网金融的社会认可度有待提高，加之国家近期政策的收紧，互联网金融创新还需要慎重。对于地方金融资产管理公司而言，应紧盯四大以及兄弟省属AMC的互联网金融业务，积极探索与有意尝试，获取互联网对金融服务的增值效应。具体建议如下：

1.通过公司战略定位，明确互联网金融业务发展方向

业务的开展需要明确的发展方向，互联网金融作为一个概念还没有真正见到效益。地方金融资产管理公司要在互联网金融领域有所作为，最重要的是在顶层设计方面下功夫。首先，应获得各方面资源的支持，通过公司战略定位，将互联网金额业务纳入公司未来战略发展方向，同时初步确定业务开展方式，从而确保相关事项能够推进；其次，需要对互联网金融实施成本进行客观/完整的测算，根据公司各阶段的盈利情况，理性的确定相关业务开展的前期投入，避免摊子铺开了，盈利预期短期内无法满足，影响公司绩效；第三，做好人员安排和阶段性考核标准，保证各项工作按照预期往下实施。

2.与大型互联网平台公司及行业协会合作

国内已有部分互联网平台公司与AMC合作，开展了互联网资产推介和处置相关业务，诸如与阿里巴巴集团或蚂蚁金服等互联网平台公司进行对接，利用地方金融资产管理公司在所在地区的独特地位，进行战略合作，共同建立区域性的资产处置平台。此举不但可以增加意向购买人的范围，提高资产出售的进度，实现公开市场的价值发现功能，还能够促进地方AMC熟悉“互联网+”金融的操作模式，规范和优化公司的业务运营方式，提高公司竞争力。

此外，积极与所在地区互联网金融协会等地区行业协会沟通，成为相关行业协会会员，通过行业协会的培训和推广，提高公司的知名度和行业认可度。

3.探索符合公司发展阶段需求的互联网融资模式

互联网金融在第三方支付，P2P网贷，股权众筹等多个领域能够实现融资功能。但是，由于近两年相关业务的野蛮发展，出现了一些影响金融稳定的事件，政策在相关领域收紧，公司较难介入。公司可以以金融产品的销售为突破口，尝试不良资产证券化的非标产品，或者与其他金融机构合作设立不良资产特殊机会基金，为不良资产的收购与处置提供自有资金和贷款以外的资金来源。此举既可以提高公司的净资产收益水平，又避免了短期内资产负债率提高过快的问题。

互联网金融在融资渠道上虽有上述诸多优势，但是就目前情况来看，国家政策对于互联网金融的融资功能处于规范阶段，需要充分考虑融资方式的可行性，避免冒进。

4.与P2P、网络小贷等合作，拓展经营范围

选择优质与P2P、网络小贷等互联网金融公司开展资产管理业务合作，最大限度地对接社会资源，减少对资本金的占用，进一步改善业务结构和盈利模式。另可以借鉴互联网企业经营经验，诸如联合互联网思维下的市场营销、品牌包装、产品推广等，进而试水电子商务等业务领域，扩大地方金融资产管理公司经营范围等。

5.提早布局互联网平台建设，实现业务信息化

互联网的大数据平台是地方金融资产管理公司开展互联网金融业务的核心要素。为此，一是要搭建门户网站、业务信息系统以及各相关职能模块一体化运行的信息化服务网络体系，将客户开发、项目运作、后期管理、内部数据共享、财务信息、人力资源、档案管理等职能实现数据化、网络化管理，满足地方金融资产管理公司经营发展需要；二是要引进互联网高端专业金融和技术人才。

参考文献：

[1]姚文平.《互联网金融》.中信出版社.2014.

[2]何力军，袁满.“互联网+”背景下不良资产业务模式创新研究，《浙江金融》.2015（1）.

[3]王志峰.“互联网+”背景下的不良资产处置新路径.《清华金融评论》，2016（1）.

互联网金融有限公司信息安全审计管理办法 篇4

发布者：admin 发布日期：2011-03-30

一、为加强管理信息系统的信息安全保护，提高管理信息系统数据的安全性、保密性，确保上海金融学院管理信息系统的安全、可靠、连续、稳定运行，特制定以下办法。

二、信息办负责管理信息系统的规划、建设、升级和维护服务；负责建立管理信息系统的日常检查、安全管理、应急处理的相关制度；负责对管理信息系统操作人员、管理人员进行培训；负责对管理信息系统的设置、运行、使用进行监控，若发现问题或隐患，将及时处理并通知有关单位或者个人。

三、各单位要规范信息维护、信息管理等方面的工作流程和机制，及时补充和更新本部门相关管理信息系统的业务数据，确保数据的完整性、时效性和准确性。

四、各单位要严格信息发布审核制度，未经审核的信息内容不得发布。各单位对发布信息的真实性、时效性和准确性负责。

五、各单位有人员变动或岗位变更时，应及时报信息办更改用户设置。

六、各系统用户要妥善保管好账号和密码，定期更新密码，防止密码外泄。在发生密码遗忘或者外泄的情况时，要及时报信息办处理。管理员密码建议不少于10个字符，采用大小写英文字母、数字、特殊字符组合。

七、各单位和个人要对自己所管理的数据负责，保证数据安全，防止数据泄漏。由帐号和密码丢失引起的任何损失由本人负责。

八、任何单位和个人不得利用管理信息系统侵犯他人隐私，窃取他人账号和密码，假冒他人名义发送信息；未经允许不得修改、删除、增加、破坏管理信息系统的功能、程序及数据；不得从事任何危害管理信息系统安全的行为。

九、违反本管理规定的，视情节轻重采用以下其中一种或多种处理措施：

（一）限期整改；

（二）封账号1至3天；

（三）封账号3天以上；

（四）报学校有关职能部门或当事人所在单位处理；

（五）触犯法律法规的，将移交司法、公安部门处理。

35互联信息安全管理协议书 篇5

一、厦门三五互联科技股份有限公司互联网接入网络用户必须自觉遵守《计算机信息网络国际联网安全保护管理办法》、《非经营性互联网信息备案管理办法》及其它有关法律、法规，不得从事任何违法行为，应严格履行国家行业管理和信息安全管理部门的各项规定，做到证照齐全、手续完备、服从监管。

二、在网站完成备案工作并取得ICP备案号前，互联网接入用户不得以任何形式为未备案网站提供接入服务。

三、互联网接入用户有权利和义务了解国家的有关法律、法规和厦门三五互联科技股份有限公司的有关规定，并有责任向自己的员工或最终用户宣传国家的有关法律、法规，有责任监督本单位员工严格遵守相关法律法规。

四、依据《非经营性互联网备案管理办法》第二十三条规定，如备案信息不真实，将关闭网站并注销备案。如因未及时更新而导致备案信息不准确，厦门三五互联科技股份有限公司有权依法对接入网站进行关闭处理。

五、根据国务院291号令《中华人民共和国电信条例》的规定，任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息：

1、反对宪法所确定的基本原则的；

2、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

3、损害国家荣誉和利益的；

4、煽动民族仇恨、民族歧视，破坏民族团结的；

5、破坏国家宗教政策，宣扬邪教和封建迷信的；

6、散布谣言，扰乱社会秩序，破坏社会稳定的；

7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

8、侮辱或者诽谤他人，侵害他人合法权益的；

9、含有法律、行政法规禁止的其他内容的。

六、对违反上述条款的，有关政府部门、司法机关将追究其行政或刑事法律责任，厦门三五互联科技股份有限公司有权对情节严重者停止服务、解除IDC业务服务协议，并追究其违约赔偿责任。

七、本协议书构成厦门三五互联科技股份有限公司与互联网接入用户所定协议的不可分割之组成部分，具有同等法律效力。

我作为互联网接入用户，已认真阅读了责任书的全部内容，并同意遵守其所有规定。

用户法定代表人签字：

单位盖章：

互联网金融有限公司信息安全审计管理办法 篇6

估管理规定

第一条 为规范开展互联网新闻信息服务新技术新应用安全评估工作,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》,制定本规定。

第二条 国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息服务新技术新应用安全评估,适用本规定。

本规定所称互联网新闻信息服务新技术新应用(以下简称“新技术新应用”),是指用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术。

本规定所称互联网新闻信息服务新技术新应用安全评估(以下简称“新技术新应用安全评估”),是指根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息内容安全风险确定评估等级,审查评价其信息安全管理制度和技术保障措施的活动。

第三条 互联网新闻信息服务提供者调整增设新技术新应用,应当建立健全信息安全管理制度和安全可控的技术保障措施,不得发布、传播法律法规禁止的信息内容。

第四条国家互联网信息办公室负责全国新技术新应用安全评估工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用安全评估工作。

国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承担新技术新应用安全评估的具体实施工作。

第五条鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律,建立健全安全评估服务质量评议和信用、能力公示制度,促进行业规范发展。

第六条互联网新闻信息服务提供者应当建立健全新技术新应用安全评估管理制度和保障制度,按照本规定要求自行组织开展安全评估,为国家和省、自治区、直辖市互联网信息办公室组织开展安全评估提供必要的配合,并及时完成整改。

第七条有下列情形之一的,互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估,编制书面安全评估报告,并对评估结果负责:

(一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的;

(二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。

国家互联网信息办公室适时发布新技术新应用安全评估目录,供互联网新闻信息服务提供者自行组织开展安全评估参考。

第八条互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估,发现存在安全风险的,应当及时整改,直至消除相关安全风险。

按照本规定第七条规定自行组织开展安全评估的,应当在应用新技术、调整增设应用功能前完成评估。

第九条互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后,应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。

第十条报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,报请主体为中央新闻单位或者中央新闻宣传部门主管的单位的,由国家互联网信息办公室组织开展安全评估;报请主体为地方新闻单位或者地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室组织开展安全评估;报请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室组织开展安全评估后,将评估材料及意见报国家互联网信息办公室审核后形成安全评估报告。

第十一条互联网新闻信息服务提供者报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,应当提供下列材料,并对提供材料的真实性负责:

(一)服务方案(包括服务项目、服务方式、业务形式、服务范围等);

(二)产品(服务)的主要功能和主要业务流程,系统组成(主要软硬件系统的种类、品牌、版本、部署位置等概要介绍);

(三)产品(服务)配套的信息安全管理制度和技术保障措施;

(四)自行组织开展并完成的安全评估报告;

(五)其他开展安全评估所需的必要材料。

第十二条国家和省、自治区、直辖市互联网信息办公室应当自材料齐备之日起45个工作日内组织完成新技术新应用安全评估。

国家和省、自治区、直辖市互联网信息办公室可以采取书面确认、实地核查、网络监测等方式对报请材料进行进一步核实,服务提供者应予配合。

国家和省、自治区、直辖市互联网信息办公室组织完成安全评估后,应自行或委托第三方机构编制形成安全评估报告。

第十三条新技术新应用安全评估报告载明的意见认为新技术新应用存在信息安全风险隐患,未能配套必要的安全保障措施手段的,互联网新闻信息服务提供者应当及时进行整改,直至符合法律法规规章等相关规定和国家强制性标准相关要求。在整改完成前,拟调整增设的新技术新应用不得用于提供互联网新闻信息服务。

服务提供者拒绝整改,或整改后未达法律法规规章等相关规定和国家强制性标准相关要求,而导致不再符合许可条件的,由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条的规定,责令服务提供者限期改正;逾期仍不符合许可条件的,暂停新闻信息更新;《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的,不予换发许可证。

第十四条组织开展新技术新应用安全评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密,不得泄露、出售或者非法向他人提供。

第十五条国家和省、自治区、直辖市互联网信息办公室应当建立主动监测管理制度,对新技术新应用加强监测巡查,强化信息安全风险管理,督导企业主体责任落实。

第十六条互联网新闻信息服务提供者未按照本规定进行安全评估,违反《互联网新闻信息服务管理规定》的,由国家和地方互联网信息办公室依法予以处罚。

第十七条申请提供互联网新闻信息服务,报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估的,参照适用本规定。

互联网金融有限公司信息安全审计管理办法 篇7

外部审计是实现宏观审慎监管和微观审慎监管相结合的有效途径之一。本文从外部审计中的公允价值审计视角阐述了公允价值审计对金融系统性风险的抑制作

一、公允价值计量对金融系统性风险的影响

(一)金融系统性风险的内容

宏观审慎监管的内涵决定了金融系统性风险包含两个层面:

第一,风险随时间而变。系统性风险受时间影响有一个累积过程,与经济周期相关。金融体系可以放大经济周期,而经济周期反过来也会恶化金融体系的稳定。因此,时间层面下强调的是逆周期监管,以抑制系统性风险被金融体系的顺周期效应放大的情形。宏观审慎监管要求建立逆周期资本缓冲机制、跨周期的贷款损失拨备,并要求改革公允价值会计准则以抑制这种波动。

第二,风险在各主体之间相互作用。大型金融机构具有系统重要性及对金融体系的风险贡献率,这可以为监管机构对那些“太大而不能倒”的大型金融机构提供监管依据。当今的金融体系已形成一个由资产负债表相互关联的网络,大型金融机构处于支付的中心环节,一旦问题出现,某种溢出效应会给其他金融机构带来冲击。所以要识别系统重要性及风险在金融体系中的分布情况,具有系统重要性金融机构的风险主要暴露在哪些行业,以便对其实施有效监管。

(二)公允价值计量对金融系统性风险的影响路径

从宏观审慎监管内涵角度出发,探讨公允价值计量对金融系统性风险的影响(见图1)。

1. 公允价值计量的顺周期效应对金融系统性风险的影响

顺周期性是指金融部门与实体经济之间的相互动态作用(正向反馈机制),这种相互增强效应可以放大实体经济周期的波动并引起或加剧金融体系的不稳定(FSF,2009)。影响顺周期性的影响因素有:资本监管制度、公允价值会计准则、信用评级、盯市原则和按模型定价原则、贷款损失拨备等。当经济高涨时市场价值的上升推高了相应资产的账面价值,导致银行资产与利润虚增,刺激银行扩大信贷规模,实体经济不断滋生泡沫与风险。公允价值计量主要通过资本监管、风险管理和心理反应这三个机制传导顺周期效应(黄世忠,2009)。因此,公允价值计量虽然增加了信息的透明度,但也可能会形成内部蔓延的渠道并成为金融系统性风险的一个重要来源。

2. 公允价值计量对系统重要性金融机构产生的影响

(1)系统重要性概念

为了解决金融危机暴露出的“大而不倒”的金融机构监管缺失,强化宏观审慎监管、防范系统性风险,IMF、BIS and FSB(2009)提出系统重要性的概念,强调的是该机构对金融系统和实体经济具有巨大的负面影响的潜在能力。2011年11月,包括中国银行在内的首批29家全球系统重要性金融机构公布,在特定条件下,最具系统重要性的银行可能面临最高3.5%的附加资本要求。

(2)系统重要性评估的三个维度

系统重要性的评估应包括规模、可替代性和相互联系三个维度,我国监管当局也拟通过“规模、关联度、不可替代性以及复杂性”四个指标各占25%来衡量国内系统重要性银行。自然地,系统重要性金融机构的公允价值计量的资产或负债的占比会更大。研究发现,我国上市银行的资产负债表中的交易性金融资产和可供出售金融资产占比越高,未来预期的系统性风险就会越大。

(3)公允价值可以引发系统重要性金融机构管理层的道德风险

Stern and Feldman(2004)提出,“大而不倒”的监管政策会带来大银行的道德风险。公允价值计量的不确定性,很可能成为管理层盈余管理的手段,或者引发道德风险。如果存在活跃市场,公允价值计量很容易验证,如权益证券。但若像衍生金融产品这种没有直接市场定价或需要借助模型估价的,公允价值很大程度上取决于管理层自主权。若公允价值计量引发的道德风险导致系统重要性银行采取更加激进的风险偏好策略,或更加冒险的行为,会因为风险传染和风险集中而引发更大的系统性风险。

二、公允价值审计在抑制金融系统性风险中的作用

(一)外部审计对金融系统性风险的监控机制

外部审计对金融机构的业务主要包括财务报表审计和内部控制审计,长期以来被认为更多地是服务于微观审慎监管。我们认为,外部审计通过服务于微观审慎监管作用于宏观审慎监管,将微观审慎监管与宏观审慎监管相结合。因此,外部审计功能作用的发挥,是微观审慎监管与宏观审慎监管有效结合的一条途径(见图2),从而有助于实现对银行业系统性风险的监控。

从图2可以看到,首先,外部审计通过对单个金融机构的审计,为金融系统性风险的监控提供基础数据。外部审计提供的财务报表审计报告和内部控制审计报告等,有助于金融监管机构获取可靠的财务数据,评价其经营状况和业绩,监控其现在和未来的生存能力。其次,金融监管机构利用收集到的有可能影响金融系统性风险的信息,对金融系统性风险进行估计;通过对金融系统性风险的分配,确定系统重要性金融机构等监管重点;最后,金融监管机构可进一步利用外部审计的作用,对系统重要性金融机构进行有效监控,从而防范和化解金融系统性风险。

(二)公允价值审计对金融系统性风险的监控机制

概而言之,公允价值审计有助于金融系统性风险监控的作用路径主要有两条:一是为系统性风险的估计提供可靠的基础数据;二是强化系统重要性金融机构的风险管理。

1. 抑制管理层偏差,提高公允价值信息的价值相关性

公允价值计量的不确定性,若与管理层的激励机制相结合,就易导致有偏差的报告,管理层会运用其自主权来避免商誉减值以满足薪酬和声誉激励。研究表明,这种偏差也存在于贷款公允价值,对冲基金的资产估值,以及资产减值的延迟等。因为管理层可能会为了个人利益而操纵公允价值估计(Aboody et al.,2006;Bartov et al.,2007),公允价值第三层次就比第一层次的价值相关性更低(Kolev,2008;Song et al.,2010)。因此,外部审计对公允价值的审计,可在一定程度上抑制管理层的这种偏差。

审计师对于第三层次的资产比第一层次的资产付出的努力更多,并且当公允价值资产的可验证性越差时,审计师所付出的努力也就越多,进而审计费用也就越高。所以公允价值审计可增强公允价值计量的价值相关性,从而为金融系统性风险的估计提供更为可靠的基础数据。

2. 加强系统重要性金融机构的风险管理

公允价值计量的运用,可能引发系统重要性银行更高的道德风险。公允价值计量运用最大的难度在于不存在活跃市场报价的,需借助模型估值,而这种主观性估值技术的运用就可能影响公允价值的可靠性,也可能成为管理层进行盈余管理的工具。因此,外部审计可借助其行业专长,或利用专家工作等,对主观性估值技术的运用进行有效审计,识别管理层是否存在盈余管理动机,减少信息不对称,降低道德风险,从而加强系统重要性银行的风险管理。

三、公允价值审计对金融资产管理公司的风险监控

(一)公允价值计量对金融资产管理公司业务的影响

1. 公允价值计量对行业选择的影响

对于以金融工具为主的金融机构而言,可供出售的金融资产交易部分包括非衍生金融工具和衍生金融工具,这类资产在财务报表中以公允价值进行计量确认能比较合理、准确地反映上市银行的金融资产和投资情况,投资者可以通过财务报表更直接地了解上市银行这些金融工具的财务信息质量。房地产行业中存在影响每年投资收益率波动幅度增大的因素,公允价值计量在投资房地产的后续计量模式中的应用也势必影响到投资房地产行业的表现。在以收购、兼并为主要扩张方式的钢铁、电力行业,公允价值计量在非货币资产交换、长期股权投资、债务重组等具体准则的应用中也会对该行业股价与业绩产生一定的影响。

金融资产管理公司除了关注三大报表,更关键是看表外资产、企业与银行之间的关系、公司的声誉、公司在当地资源的盘活能力等。在制定项目具体内容与触发条款时,一定会充分考虑公允价值。在不良资产包的打包处置过程中突出的是对不良资产定价问题。由于受政策性时期“免责文化”的影响和长期以来谨慎保守的定价思维,分公司较依赖于中介机构的定价,公司核心定价能力不足。特别是现阶段通过公开竞价方式收购不良资产成为主要方式,所以需要构建自己的动态定价数据库,实现专业工具与动态数据的有效结合。

2. 公允价值计量对业务审查的影响

金融资产管理公司的业务收入主要集中在商业化收购业务中,特别是集中在收购并实施债务重组类业务上,因为这类业务具有见效快、收益高的特点,但受宏观政策影响大,资金投入高。AMC在业务审查过程中,充分考虑了风险问题,对于商业化项目辅以担保措施(抵押、质押、保证),由于在承接业务的过程,一般都以市场价来交易,财务信息的相关性和透明度相对较高,有利于风险管理,促进经营的稳定。商业化收购中对不良资产进行管理、经营和处置,最终以回收现金、沉淀资产,或通过债务重组、资产整合等手段提升资产价值。

另一方面,公允价值是一种紧盯市场变化的计量方式,使得相应的资产计价或财务报告系统以更短的回报周期来评价,这将会加重项目短视的程度。

3. 公允价值计量对相关业务的影响

以四家资产管理公司中唯一有银行牌照的中国华融为例。中国华融控股的华融湘江银行也会受到公允价值计量的影响。该影响主要体现在公允价值变动损益科目上,该科目综合反映了交易性金融资产、投资性房地产等项目的公允价值变动对上市银行当期损益的影响程度。从2007年到2011年上市银行的公允价值变动损益与净利润的比率的数据中可以看到,在2008年比率为1.26%(用证监会金融保险业大类计算为10.83%),是近5年中占比最高的一年,其他近5年的公允价值变动损益没有超过净利润1%,所占比例也较小,2007年占比只有0.01%,2011年占比为0.25%。相对而言公允价值计量模式对银行净利润的影响小于普遍预期。这16家银行的公允价值变动损益与净利润比率的极差为0.3146,标准差为0.0448,这说明公允价值变动对个别银行的净利润造成了一定的影响。

(二)公允价值审计对金融资产管理公司控制系统性风险的作用

1. 公允价值审计对控制系统性风险的作用机理

我国审计准则与国际审计准则中公允价值审计准则IAS545及美国AICPA发布的公允价值审计准则SAS101一致认为,公允价值审计包括了四个关键环节:风险评估、评价公允价值计量的适当性和披露的充分性、利用专家工作、实质性测试。公允价值审计注重通过“分析程序”获取审计证据,审计人员通过自己的比较、汇总、分析、判断获得的数据可靠性更强。

金融系统性风险产生于金融系统内部(内生性风险)或产生于外部(外生性风险)。内生性风险可能由于金融系统内部三个构成要素——金融机构、金融市场及金融基础设施出现了问题。外生性风险来源于金融系统外部,金融系统受到外部冲击而导致的风险如自然灾害与政治事件等。

会计信息是分析、评价和监控金融系统稳定的重要信息来源之一,在提高金融系统的效率及维护金融稳定方面发挥重要作用。第一,会计信息是审慎监管的重要基础,各国审慎监管当局对金融机构监测指标都包含大量的财务指标。第二,会计信息在防范金融风险方面也发挥积极作用。会计信息还可能成为防止金融危机蔓延的重要手段。其中公允价值会计信息是审慎监管的核心,直接关系到系统性风险的评价,所以公允价值审计通过对公允价值相关信息的鉴证来达到抑制系统性风险的目的。

2. 公允价值审计对控制系统性风险的具体作用

(1)健全了金融资产管理公司的公司治理

公司治理是公允价值信息控制机制的重要组成部分,对控制公允价值选择权的潜在风险并抑制管理层的道德风险有着积极的作用。Bhat(2012)认为,公司治理可能影响公允价值估计质量的路径有三条:第一,公司治理可以最大限度地减少计量偏差;第二,公司治理通过对风险管理过程的影响来影响计量偏差;第三,公司治理的监控作用可延伸到信息披露。

(2)建立了外部审计与外部监管机构有效的沟通机制

良好的监管可以提高公允价值审计质量(Bratten et al.,2012)。BCBS早在1999年发布的“审慎监管领域最重要的全球性标准”——《有效银行监管的核心原则》中,就明确提出了银行监管机构和外部审计师之间的相互合作关系。《中国注册会计师审计准则第1613号——与银行监管机构的关系》也首次明确了外部审计与银行监管机构的关系,并就审计师应予以关注并需提请银行监管机构采取紧急措施、以及协助银行监管机构履行监管职能等事项做了明确的规定。

(3)有利于提升公允价值的客观性并建立公允价值数据库

目前的公允价值计量的假设性、未实现性和非客观性加大了审计风险,而金融资产管理公司目前最需解决的是不良资产的定价问题,也是和公允价值息息相关。在公允价值的审计过程中也会明晰相应的定价策略。同时公允价值审计有利于建立公允价值数据库,拓展审计证据获取渠道。由于公允价值审计具有相当的难度,因此审计技术势必要与审计的难度相适应。

互联网金融有限公司信息安全审计管理办法 篇8

国家电网公司办公计算机信息安全管理办法

第一章 总 则

第一条 为加强国家电网公司（以下简称“公司”）办公计算机信息安全管理，依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《中央企业商业秘密信息系统安全技术指引》制定本办法。

第二条 本办法是对公司信息内外网办公用台式机、笔记本和云终端等办公计算机及其外设信息安全管理的职责及管理要求做出的具体规定。

（一）信息内外网办公计算机分别运行于信息内网和信息外网；

（二）信息内网定位为公司信息业务应用承载网络和内部办公网络；

（三）信息外网定位为对外业务应用网络和访问互联网用户终端网络；

（四）公司信息内外网执行等级防护、分区分域、逻辑强隔离、双网双机策略。

第三条 本办法适用于公司总（分）部、各单位及所属各级单位（含全资、控股、代管单位）（以下简称“公司各级单位”）。

第四条 国家电网公司办公计算机信息安全管理遵循“涉密不上网、上网不涉密”的原则。

严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接，严禁在信息内网办公计算机上处理、存储国家秘密信息，严禁在信息外网办公计算机上处理、存储涉及国家秘密和企业秘密信息，严禁信息内网和信息外网办公计算机交叉使用。

第二章 职责分工

第五条 公司办公计算机信息安全工作按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则，公司各级单位负责人为本部门和本单位办公计算机信息安全工作主要责任人。

第六条 公司各级单位信息通信管理部门负责办公计算机的信息安全工作，按照公司要求做好办公计算机信息安全技术措施指导、落实与检查工作。

第七条 办公计算机使用人员为办公计算机的第一安全责任人，未经本单位运行维护人员同意并授权，不允许私自卸载公司安装的安全防护与管理软件，确保本人办公计算机的信息安全和内容安全。

第八条 公司各级单位信息通信运行维护部门负责办公计

算机信息安全措施的落实、检查实施与日常维护工作。

第三章 办公计算机管理要求

第九条 办公计算机要按照国家信息安全等级保护的要求实行分类分级管理，根据确定的等级，实施必要的安全防护措施。信息内网办公计算机部署于信息内网桌面终端安全域，信息外网办公计算机部署于信息外网桌面终端安全域，桌面终端安全域要采取安全准入管理、访问控制、入侵监测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理、保密检测、数据保护与监控等措施进行安全防护。

第十条 加强办公计算机信息安全管理：

（一）办公计算机、外设及软件安装情况要登记备案并定期进行核查，信息内外网办公计算机要明显标识；

（二）严禁办公计算机“一机两用”（同一台计算机既上信息内网，又上信息外网或互联网）；

（三）办公计算机不得安装、运行、使用与工作无关的软件，不得安装盗版软件；

（四）办公计算机要妥善保管，严禁将办公计算机带到与工作无关的场所；

（五）禁止开展移动协同办公业务；

（六）信息内网办公计算机不能配置、使用无线上网卡等无线设备，严禁通过电话拨号、无线等各种方式与信息外网和互联

网络互联，应对信息内网办公计算机违规外连情况进行监控；

（七）公司办公区域内信息外网办公计算机应通过本单位统一互联网出口接入互联网；严禁将公司办公区域内信息外网办公计算机作为无线共享网络节点，为其它网络设备提供接入互联网服务，如通过随身Wifi等为手机等移动设备提供接入互联网服务；

（八）接入信息内外网的办公计算机 IP 地址由运行维护部门统一分配，并与办公计算机的MAC地址进行绑定；

（九）定期对办公计算机企业防病毒软件、木马防范软件的升级和使用情况进行检查，不得随意卸载统一安装的防病毒（木马）软件；

（十）定期对办公计算机补丁更新情况进行检查，确保补丁更新及时；

（十一）定期检查办公计算机是否安装盗版办公软件；

（十二）定期对办公计算机及应用系统口令设置情况进行检查，避免空口令，弱口令；

（十三）采取措施对信息外网办公计算机的互联网访问情况进行记录，记录要可追溯，并保存六个月以上；

（十四）采取数据保护与监管措施对存储于信息内网办公计算机的企业秘密信息、敏感信息进行加解密保护、水印保护、文件权限控制和外发控制，同时对文件的生成、存储、操作、传输、外发等各环节进行监管；

（十五）加强对公司云终端安全防护，做好云终端用户数据信息访问控制，访问权限应由运行维护部门统一管理，避免信息泄露；

（十六）采用保密检查工具定期对办公计算机和邮件收发中的信息是否涉及国家秘密和企业秘密的情况进行检查；

（十七）加强对办公计算机桌面终端安全运行状态和数据级联状态的监管，确保运行状态正常和数据级联贯通，按照公司相关要求及时上报运行指标数据；

（十八）加强数据接口规范，严禁修改、替换或阻拦防病毒（木马）、桌面终端管理等报送监控数据接口程序。

第十一条 公司各级单位要使用公司统一推广的计算机桌面终端管理系统，加强对办公计算机的安全准入、补丁管理、运行异常、违规接入安全防护等的管理，部署安全管理策略，进行安全信息采集和统计分析。

第四章 外设管理要求

第十二条 严禁扫描仪、打印机等计算机外设在信息内网和信息外网上交叉使用；严禁采用非公司安全移动存储介质拷贝信息内网信息。

第十三条 计算机外设要统一管理，统一登记和配置属性参数。第十四条 严禁私自修改计算机外设的配置属性参数。如需修改，必须报知运行维护部门，按照相关流程进行维护。

第十五条 计算机外设的存储部件要定期进行检查和清除。第十六条 加强安全移动存储介质管理

（一）公司安全移动存储介质主要用于涉及公司企业秘密信息的存储和内部传递，也可用于信息内网非涉密信息与外部计算机的交互，不得用于涉及国家秘密信息的存储和传递；

（二）安全移动存储介质的申请、注册及策略变更应由人员所在部门负责人进行审核后交由本单位运行维护部门办理相关手续；

（三）应严格控制安全移动存储介质的发放范围及安全控制策略，并指定专人负责管理；

（四）安全移动存储介质应当用于存储工作信息，不得用于其它用途。涉及公司企业秘密的信息必须存放在安全移动存储介质的保密区，不得使用普通存储介质存储涉及公司企业秘密的信息；

（五）禁止将安全移动存储介质中涉及公司企业秘密的信息拷贝到信息外网或外部存储设备；

（六）应定期对安全移动存储介质进行清理、核对；

（七）安全移动存储介质的维护和变更应遵循本办法的第五章相关条款执行。

第十七条 涉及国家秘密安全移动存储介质的安全管理按照公司有关保密规定执行。

第五章 维护和变更要求

第十八条 办公计算机及外设需进行维护时，应由本单位对办公计算机和外设中存储的信息进行审核，通过本单位负责人的审批后报送运行维护部门进行维护。

第十九条 办公计算机及外设在变更用途，或不再用于处理信息内网信息，或不再使用，或需要数据恢复时，要报运行维护部门，由运行维护部门负责采取安全可靠的手段恢复、销毁和擦除存储部件中的信息，原则上禁止通过外部单位进行数据恢复、销毁和擦除工作。

第六章 人员管理要求

第二十条 加强对办公计算机使用人员的管理，开展经常性的信息安全教育培训，提高办公计算机使用人员的信息安全意识与技能。

第二十一条 加强外来人员和第三方人员对办公计算机使用的管理，对外来人员和第三方人员使用办公计算机进行审批，加强外来人员和第三方人员使用办公计算机的监督与审计。

第二十二条 办公计算机及外设使用人员离岗离职，人员所在原部门不得对其办公计算机及外设擅自进行处理，要及时报运行维护部门对存储的企业秘密信息、敏感信息进行清理后清退至固定资产管理部门，并取消离岗离职人员办公计算机及应用系统的访问权限。

第七章 检查考核

第二十三条 应建立常态检查机制，同时辅以不定期抽查，及时发现问题并督促整改。

第二十四条 违反本办法情节较轻的由本单位予以批评教育，情节严重的按公司相关规定进行处理。

第八章 附 则

互联网金融有限公司信息安全审计管理办法 篇9

前 言

为防范银行业金融机构信息科技风险，保障信息系统运行和操作安全，根据中国银监会《银行业金融机构信息系统风险管理指引》，提出对银行业金融机构信息科技风险内部和外部审计要点，以切实加强银行业金融机构对战略性风险、操作风险、声誉和法律风险的管理

和控制，强化银行业金融机构作为信息安全第一责任人的责任，建立和完善信息科技风险管理机制，进行有针对性的分类监管。银行业金融机构的内部和外部审计机构应按评价审计要点确定审计目标和范围，制定审计计划、实施审计行为并提供审计报告。

一、信息科技治理和组织结构

目的：确立信息科技治理、组织结构和相关权责，使董事会、独立的审计部门和相关业务部门定期借助于真实业务数据和使用效果识别和明确信息系统操作的实施效果；在充分考虑银行业金融机构及其服务供应各方的变化的基础上，采取有针对性措施加强信息科技治理和组织结构。

(一)制度建设

1、信息科技管理制度体系的建设情况；

2．已发布实施的主要制度规章和管理办法； 3．管理制度规章和管理办法的制定、审批和修订流程．

(二)组织结构

1．信息科技管理的领导和决策机构设置，其职能和工作机制；

2．长期和短期信息科技发展规划的制定、审批和修订；

3．信息科技部门的设置、职责和相互关系，重点包括：系统开发、技术支持、系统操作维护和系统安全；

4．专门的技术风险管理部门设置，其职责和工作机制；

5．技术风险审计部门或岗位设置，审计频率以及问题纠正机制情况：

6．信息科技人员的专业素质和培训情况； 7．信息科技风险内部审计人员的素质和培训情况。

二、信息安全管理

目的：充分考虑与信息科技系统相关的风险，维护金融业务的正常操作：保证被认可的用户能够通过科学高效的系统架构、操作流程和管理措施迅速地访问所需信息；确保数据和系统的完整性、机密性和稳定性等。

(一)信息安全基本要求

l.信息安全工怍的基本原则、基本规划；

2.信息安全管理的流程、组织架构和职责分配；

3．信息安全的技术体系；

4.信息安全风险评估和分级控制；

5．信息安全的教育培训，包括法规教育、安全知识教育和职业道德教育等。

(二)逻辑访问的风险与控制

1．访问控制原则；

2．访问授权的授权与核准；

3.逻辑访问风险的定义、分类和应对措施；

4．访问控制软件的使用情况；

5．磁卡、钥匙和口令密码等重要身份凭证的管理。

(三)网络安全控制

1．内网的安全管理(Intranet的接入安全)； 外网的安全管理(Internet和Extranet的接入安全)；

3．加密技术应用和私钥的管理：

4．防火墙的设置、维护和管理： 5．入侵检测系统。

(四)环境的风险和控制 1．消防及防水设施： 2．不间断电源保护： 3．人员疏散计划和通道。

(五)物理访问的风险与控制 1．出入通道锁具的可靠性：

2.摄像监测设施、警报系统和警卫配备；

3．访客、外包服务人员、勤务人员出入管理规定； 4．入口数量控制；

5．计算机终端无人看管时的锁定； 6．敏感性设施及场所的标识隐匿； 7．文件柜的锁定和监控．

(六)软件的风险与控制 1．软件的病毒防护和管理； 2．软件的升级和补丁管理； 3．软件使用许可和授权管理。

三、信息科技项目开发和变更管理

目的：提高信息科技管理效率，实现信息科技对主体业务发展的有效支持保证信息科技与企业战略的协调一致。

(一)项目开发管理

1．项目管理的主要规章制度，包括：项目的审批流程，参与部门的职责划分、时间进度和财务预算管理、质量检测、风险评估等；

2．项目周期管理的涵盖范围，包括：立项、可行性分析、制定需求、方案设计、程序开发．系统测试、系统验收、使用培训、实施操作和维护等； 3．开发环境、测试环境、生产环境严格分离情况；

4.外部技术资源(包括软件、硬件、服务等)管理，包括申请、测评、购买(合同)、使用等。

(二)项目变更管理

1．变更管理的主要规章制度；

2．变更管理的审批授权机制和工作流程： 3.变更管理的登记、备案和存档；

(三)项目资料文档管理体系

1．项目资料文档的管理职责；

2．资料文档的起草和审批职责；

3．资料文档格式标准化规范：

4．程序资料文档的完整保存：程序设计和代码标准、程序描述程序设计资料、代码清单、源代码命名规则、系统操作指南等；

5．项目资科文档的完整保存：项目需求、可行性分析、阶段实施记录(启动、计划、设计、开发、测试、实施、后评价等)。

(四)系统设计开发外包缺陷风险管理

1．代码检查；

2．文档管理(包括：功能规则说明书，系统设计规则说明书，操作运行手册)； 3.技术传送．

四、信息系统运行和操作管理

目的：保证当前和规划的信息科技营运体系能够充分满足董事会及高级管理层战略目标实现的需要，围绕战略目标合理配置人力资源、系统设备和管理资料，建立并完善适当的内部控制环境，并依照规范程序有效识别、测量、控制和化解操作风险。

(一)信息系统运行体系建设情况

1.信息系统运行体系的组织架构；

2.信息系统运行体系的总体规划、管理办法、技术标准和信息系统运行体系各组成部分的管理细则；

3.对于银行核心业务系统的持续性或阶段性监测：响应时间和处理量、系统承载能力、任务处理失败的次数、比例、类型和原因、系统使用的峰值和均值，系统使用趋向和容量等。

(二)操作环境控制和预防性维护情况

1．信息科技资产清单登记，包括计算机设备(供贷商和型号)、网络组件、应用和系统软件(品名、发布日期和版本号)、应用处理模式(实时处理、批赴理和延时处理)；

2．对信息系统性能和容量的管理： 制定反映各类连接物理位置和交互关系的系统图和拓扑图；

4.信息系统环境控制和预防性维护应对方案，包括：不间断电源、不间断网络通信、物理环境适宜度控制(温度、灰尘．湿度等)、计算机连线、消防、防渗水、内部和服务商日常预防性维护的管理等。

(三)生产变更管理

l.变更管理的主要准则和规章制度：

2.变更管理的审批授权机制和工作流程：

3.变更管理的登记、备案和存档；

4.非计划性紧急变更的实施方案、备份和恢复。

(四).信息科技操作风险控制措施

1．信息系统操作风险控制机制和流程；

2．人力资源管理方案：对所有敏感性岗位人员的持续性背景检查，充分的职责分离和岗位轮换，有效避免人员过度流失的政策．有效的岗位职权中止规定；

3．信息资料档案管理：对信息输出文件的控制和管理(电子和纸质文档的调阅、打印、复制、存放、销毁等)。信息文件的传输管理(网络隔离、加密技术的应用)．存储介质废弃和处理，内容的备份和恢复等。

(五)日志管理

1．对网络设备、防火墙、主机、数据库等系统产生的日志．实现100%的采集； 2.对采集的日志设定的保存期限； 3.日志资料的安全保护和调阅管理制度； 4.日志监控和管理的岗位和人员设置情况。

五、业务持续性规划

目的：制定并不断完善书面的信息科技系统风险应急处理方案，使信息科技风险管理涵盖整个机构的信息科技系统的管理、维护、重启、恢复等各环节。

(一)董事会和高级管理层在业务持续性规划中的职责和工作机制 1.规划与业务发展策略的一致性；

2.资源和专业人员的配备情况； 管理体系架构和风险控制策略制定情况； 4.商业保险的使用和覆盖情况；

(二)．业务持续性规划的制定和实施

1.业务持续性规划的涵盖范围；

2.预测性的业务影响分析机制；

3.业务恢复的组织机构和应对措施；

4．业务持续性规划中涉及的各类文档和资料管理。

(三)备份中心的管理与操作 备份中心的建设、配置、组织机构和操作机制；

2．备份中心的使用状况： 3.备份中心的检测、维护和更新。

(四)业务持续性规划的测试和维护

1.对业务持续性规划的定期或不定期测试，包括：测试范围、频率、对测试结果的评估分析等：