银行信息

银行信息（共12篇）

银行信息 篇1

银行业随着信息化工作的不断深入, 信息系统的开发、维护与运行均面临较大的挑战。如何保障业务的持续运营, 如何支撑银行各项业务的风险管理, 如何保障客户与自身信息的安全, 成为各商业银行信息科技部门与风险管理部门的重要任务, 因此信息科技风险的管理就显得迫在眉睫。

银监会为加强商业银行的信息科技风险管理, 提升信息科技风险管理能力发布了一系列的监管文件后, 在2009年3月份银监会正式发布了《商业银行信息科技风险管理指引》 (以下简称《指引》) 。该《指引》适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。本文试图让中小商业银行的IT人员了解《商业银行信息科技风险管理指引》, 以及如何建立满足《商业银行信息科技风险管理指引》的信息安全架构。

一、对《商业银行信息科技风险管理指引》的理解

本次颁布的《商业银行信息科技风险管理指引》共11章76条, 涵盖了信息科技风险管理的各个领域, 同时针对银行现有的组织架构, 对各部门也明确提出了风险管理的要求。下面将主要条款做一个深入的解析。

第一章总则, 明确了指引的目标和适用范围, 指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术, 在商业银行业务交易处理、经营管理和内部控制等方面的应用, 并包括进行信息科技治理, 建立完整的管理组织架构, 制定完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制, 实现对商业银行信息科技风险的识别、计量、监测和控制, 促进商业银行安全、持续、稳健运行, 推动业务创新, 提高信息技术使用水平, 增强核心竞争力和可持续发展能力。

第二章信息科技治理, 明确提出了信息科技治理的概念, 明确了信息科技风险管理的责任人和董事会的相关职责, 并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作, 并直接向首席信息官或首席风险官 (风险管理委员会) 报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责, 互相协作、共同完善信息科技风险管理的架构。

第三章信息科技风险管理, 明确要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划, 制定全面的信息科技风险管理策略, 建立持续的信息科技风险计量和监测机制。本章是从信息科技风险管理部门的角度, 提出商业银行信息科技风险管理的事前控制 (第一道防线) 。

第四章信息安全, 明确要求信息科技部门负责落实信息安全管理职能, 负责建立和实施信息分类、保护体系, 通过建立有效管理用户认证和访问控制的流程保障业务安全, 通过设立物理安全保护区域保障物理安全, 通过将网络划分为不同的逻辑安全域保障网络安全, 通过操作系统和系统软件的安全控制保障系统安全, 同时加强信息系统、终端设备、传输控制、信息保护等方面的安全, 并对员工进行持续培训, 通过建立信息安全体系, 全面控制信息安全方面风险。此章是参考了国内外信息安全最佳实践 (ISO27000与等级保护) , 针对信息科技部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第五章系统开发、测试与维护, 明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废, 制定制度和流程, 采取适当的项目管理方法, 控制信息科技项目相关的风险。采取适当的系统开发方法, 控制信息系统的生命周期。应制定相关控制信息系统变更的制度和流程, 确保系统的可靠性、完整性和可维护性;应制定并落实相关制度、标准和流程, 确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求。此章是针对软件开发与项目实施部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第六章信息科技运行, 明确了商业银行数据中心物理环境要求、人员岗位职责要求, 并要求商业银行制定详尽的信息科技运行操作说明, 建立事故管理与处置机制及时响应信息系统运行事故, 建立服务水平管理相关的制度和流程, 建立连续监控信息系统性能的相关程序, 制定容量规划应及时进行维护和适当的系统升级, 制定有效的变更管理流程以确保生产环境的完整性和可靠性等。此章主要参考了ITIL最佳实践, 针对数据中心与运行部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第七章业务连续性管理, 明确要求商业银行根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划, 以确保在出现无法预见的中断时, 系统仍能持续运行并提供服务, 定期对规划进行更新和演练, 以保证其有效性。此章主要参考了BCP最佳实践, 针对业务运营部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第八章外包管理, 明确商业银行不得将其信息科技管理责任外包, 应合理谨慎监督外包职能的履行, 针对外包方选择、外包谈判、外包协议, 外包执行中的信息安全等方面提出了明确要求。此章是针对商业银行各部门的外包合作, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第九章内部审计, 明确商业银行内部审计部门应根据业务的性质、规模和复杂程度, 对相关系统及其控制的适当性和有效性进行监测, 至少应每三年进行一次全面审计。在进行大规模系统开发时, 要求信息科技风险管理部门和内部审计部门参与, 进行专项审计等。此章主要针对内部审计部门职责, 提出信息科技风险管理的事后控制 (第三道防线) 的重要组成部分。

第十章外部审计, 明确商业银行在符合法律、法规和监管要求的情况下, 委托具备相应资质的外部审计机构进行信息科技外部审计。此章主要从外部审计角度, 提出信息科技风险管理的事后控制 (第三道防线) 的重要组成部分。

通过《指引》解析可以看出, 《指引》的编写借鉴了Cobit, ISO27000, ITIL, CMM, BCP等国内外的最佳实践, 为商业银行的信息科技风险管理指明了方向。同时, 本《指引》从商业银行信息科技相关的每一个主要部门的角度出发, 分别提出具体的监管要求, 从而使得其具备非常强的可操作性。

二、商业银行的应对措施

依据IT风险管理原则与IT风险管理生命周期方法论, 综合通过差距风险获得的具体需求, 设计、规划IT风险管理的目标框架, 指导IT风险管理机制与体制建设。其目标框架如图1所示。

(一) 组织体系建设

建立IT风险管理组织, 采用条线与层级相结合的矩阵式管理模式;建立常设IT风险管理的专业团队, 采用虚拟团队的方式向全行提供IT风险管理专业服务;并设立必要的实体化专业支撑中心。

(二) 管理流程制定

融合IT风险管理生命周期与主要IT流程, 针对IT操作风险与信息安全风险, 建立总体与具体两个层面的风险管理流程, 明确各层面IT风险评估流程的触发机制, 将风险与安全管理工作制度化、日常化, 确保其有效执行。

(三) 控制体系建立

根据风险评估结果、IT风险管理原则及控制策略设计控制措施, 通过完善的IT风险制度体系加以明确, 并通过风险监测与再评估实现对IT风险控制的持续改进。

(四) 技术架构完善

完善信息安全规划的基础设施/技术架构, 设计IT风险管理技术架构, 并推动安全信息管理技术平台的建设以及推广;通过IT风险管理框架, 商业银行可以形成3道防线。

1. 第一道防线

由策略保障体系、组织保障体系、技术保障体系构成完备的信息科技风险管理体制与基础安全控制设施, 形成事前防范的第一道防线, 为业务运行安全打下良好的基础。

2. 第二道防线

由运行保障体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警, 及时排除安全隐患, 确保业务系统持续、可靠地运行。

3. 第三道防线

由应用恢复保障体系与内外部审计构成事后控制的第三道防线。针对各种突发灾难事件, 建立灾难恢复与业务持续性计划, 进行应急演练, 形成快速响应、快速恢复的机制, 将灾难造成的损失降到组织可以接受的程度。通过内外部审计, 保障IT风险管控体系的有效运行。

(五) 利用两种风险控制手段

1. 事件识别

为获得组织的第一手的风险资料, 需要对IT风险事件进行分类, 建立IT风险事件的管理组织与流程, 制定风险事件响应机制。事件的收集与分析也可用于预测未来发生系统故障的可能性, 及时采取必要的控制。

2. 风险管理

风险管理包括风险评估与风险控制。风险评估是指从风险管理角度, 运用科学的方法和手段系统地分析信息与信息系统所面临的威胁及其存在的脆弱性, 评估风险事件一旦发生可能造成的危害程度;风险控制是对已经评估出来的风险要进行风险控制措施的规划与实施, 以建立有效的IT风险控制及日常运作机制, 把IT风险降到组织可以接受的水平。

(六) 利用两种监督措施

1. 风险检查

安全检查工作一般由风险管理部门和信息安全管理部门来负责实施, 经常性的检查有利于落实信息风险管理的方针与策略, 及时发现在技术、人员及流程方面存在的风险隐患, 也有利于提高员工安全意识, 保证业务的持续运行。

2. IT审计

审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建审核组, 培训审核员, 有效地管理在组织中开展的信息安全审核工作, 也可由外聘的第三方审计机构对组织进行外部审核。

银行信息 篇2

信息技术快速发展以及客户对高效便捷金融服务的迫切需求，带来了电子银行业务快速发展的机遇。“把业务搬到网上”成为银行业务发展的一大趋势，银行服务体系对网银等电子渠道的依赖不断加深，电子银行替代率越来越高。网络攻击随之增加，攻击行为的性质也从个人炫耀转为组织化的经济利益获取。在这种网络环境下，客户信息的保密和安全保障已经成为公众最为关注和忧虑的问题，信息技术的安全运行和健康发展，已直接影响银行的稳健经营，甚至关乎银行声誉、金融安全和社会稳定。

我国银行业正处于改革发展的关键时期，既存在着难得的机遇，也面临严峻的挑战。提升银行业信息科技实力，以科技进步和创新支持银行业提高竞争力，促进可持续健康发展，是银行业迎接挑战，提高整体综合实力的战略选择，也是健全金融体系，支持实体经济的必然要求。

银行对信息科技的依赖程度日益加深，信息科技的安全运行和健康发展直接影响到银行的稳健经营，关乎银行的声誉、金融安全和社会稳定，监管部门越来越重视信息化建设与信息科技风险管理，银行业要围绕“自主可控、持续发展、科技创新”三大战略切实加强信息科技建设，集银行业与监管者的共同智慧，不断研究探索并发挥信息科技的支撑作用，运用信息科技的创新作用，切实提高银行业的竞争力。

近年来，我国银行业坚持数量与质量并重、基础建设与科技创新并行、提升服务与保障发展并举的科学发展观。在推进信息化建设，建立健全信息安全保障体系，加快科学创新等方面不懈努力，取得了显著的成绩。信息科技基础设施日臻完善，科技投入保持较高增长，信息系统数量、建设速度同比增长，科技总投入增长较快。与此同时，银行业总规模连年保持两位数增长，资产质量不断提高，盈利能力、风险抵抗能力不断增强。银行以客户为中心的理念深入人心，积极应用信息科技推进业务模式的创新，网上银行、手机银行蓬勃发展，建设了一批紧密服务民生的特色业务、系统，服务渠道日益多元，服务效率日益提高，社会体验日益改善，在进一步方便人民基本生活的同时，在引导金融消费理念、规范金融消费行为方面发挥了积极作用。层次化、立体化的保障体系初步形成，为维护金融信息安全发挥了基础支撑作用。

东亚银行紧抓客户信息 篇3

随着中国银行业“以客户为中心”的经营理念的不断深入，对优质客户资源的竞争正愈演愈烈。银行掌握全面、完整、一致、准确的客户信息是赢得市场竞争、真正实现“以客户为中心”的关键。在这样的环境中，东亚银行也开始考虑如何获得优质的客户资源。

近年来，东亚银行内地业务发展迅速，客户规模越来越大。但是，银行业务发展和IT系统建设的历程，使得客户信息往往分散在不同的部门和系统中，缺乏覆盖全行的统一的客户信息管理和应用。这就造成客户信息的维护成本不但高，而且还会造成数据冗余、管理不便的问题，同时，数据信息不完整、不一致的数据质量问题，也给银行客户办理业务带来了不便。

在这种情况下，东亚银行意识到要解决现有企业级客户信息共享、识别与质量问题，就需要建立一套独立的、客户分类准确、信息收集完整、可全行共享的客户信息系统，以此提升银行的客户服务能力、营销能力和风险防范能力，为东亚银行建设“以客户为中心”的服务体系奠定重要基础。

东亚银行相关负责人表示，对任何一家银行来说，业务的变革、组织架构的调整和IT系统三者缺一不可。银行之间全方位的竞争，不仅体现在金融产品创新上，还体现在内部的经营管理上，其实质就是如何做到“以客户为中心”，更好地为客户服务。正是在这样的背景下，东亚银行决定建立自己的ECIF（Enterprise Customer Information Facility，即企业客户信息管理）系统。

近日，东亚银行“企业级客户信息管理系统ECIF”项目正式立项，并携手神州信息旗下公司神州数码融信软件有限公司（简称“神州数码融信”），对银行内核心业务系统、客户关系管理系统、财富管理系统、私人银行系统、数据平台系统等各类应用系统中的客户信息进行整合，形成一个集中的、独立于其他具体应用的客户数据源，并作为客户渠道访问的第一接触点，实现客户信息的采集、管理、共享与应用，提供具有惟一性、完整性、正确性和时效性的全行客户信息服务。

通常，ECIF是银行核心应用中最复杂的部分之一，涉及银行的各个方面，是核心系统中的核心，实施难度较大，需要各业务部门的通力合作。神州信息副总裁兼神州数码融信总裁刘盛蕤表示，此次神州信息赢得东亚银行的合作机会，除因拥有先进的软件产品外，包括解决方案能力、项目实施经验、项目管理能力等在内的综合实力更为东亚银行所看重。

银行信息 篇4

1 信息安全管理现状

受经营规模小、服务范围窄、科技力量薄弱等因素制约,村镇银行信息化建设在满足基本业务需要的基础上,倾向于低投入和方便维护,各村镇银行均建立了支持银行业务开展的基本信息系统,核心业务系统全面依托发起行,业务系统数据库存储在发起行的服务器中,数据备份、系统维护也由发起行全面负责。身份信息核查系统、人民币银行结算账户管理系统、人行对账系统、征信系统等通过发起行或其他银行机构间接接入人民银行金融城域网,技术维护由自身负责,初步制订了信息安全管理办法和系统故障应急处理预案。

2 村镇银行信息安全存在的问题

2.1 信息安全认识不足,治理架构不到位

信息科技发展意识不到位,村镇银行管理层目前关注点仍立足利润、收息、不良贷款等传统经济效益指标,对信息安全管理、科技力量投入很少,缺乏信息科技长期发展规划,而且管理层对信息系统面临的威胁认识不足,没有形成合理的信息安全机制来指导信息安全管理工作,缺乏明确的信息安全策略。

2.2 信息化基础建设薄弱,抗风险能力差

信息安全建设不系统。村镇银行的信息系统依托发起行或外包合作银行,核心数据安全存在风险隐患。部分村镇银行核心数据完全依托发起行备份管理,存在数据泄密隐患。村镇银行普遍未建立专业的机房,科技设备及系统运行整体环境较差,没有安装专门的监控系统来监视网络设备区域。这不仅不利于网络设备的管理与维护,而且会带来水、火、偷盗、静电、鼠患等多方面隐患。核心系统及网络设备普遍为单机,网络线路普遍为单线路,管理人员为单人,业务中断风险较为严重。

2.3 科技人员不足,约束机制不健全

村镇银行整体科技人员不足,各类约束制约机制不到位,使得村镇银行在信息科技方面普遍存在操作风险及案件隐患。缺少专职、稳定的信息安全管理人才,科技人员短缺,无法保障各项业务的正常开展。村镇银行在信息科技管理方面较为粗放,未制订完善的信息科技管理制度及操作流程,存在科技人员权限过大的风险隐患,数据备份、系统管理、安全管理等职责集于一身,大大增加了操作风险及案件发生的可能性。

3 加强村镇银行信息安全的建议

针对当前村镇银行信息安全管理存在的问题,村镇银行应首先从自身出发,加强信息安全管理,提高对信息化建设的重视,切实防范安全事件的发生,作为监管机构人民银行也应该在以下几个方面加强组织领导,履行监督职能,促进村镇银行健康发展。

3.1 创新接入机制,加强指导培训

建议人民银行创新金融城域网接入管理机制,提高村镇银行的接入标准,细化村镇银行接入人民银行金融城域网的条件和要求,形成接入规范。加强对村镇银行标准化、金融机构编码、信息安全和灾备体系建设的培训,进一步规范村镇银行的管理体系,防范村镇银行系统性风险,促进村镇银行发展。

3.2 提高信息安全认识,量身选择发展模式

村镇银行应提高对信息安全的重视程度,建立合理的安全管理制度,制订信息科技长期发展规划,加大对信息科技的投入。同时,村镇银行应立足长远,在发展中树立科技先行的理念,不仅将信息科技作为支撑,而且把它作为引领业务实现跨越式发展并最终走向成熟的引擎,切实以科技驱动业务发展并提升管理水平。

3.3 加强信息安全体系建设,防范信息安全风险

建立有效、实用的应急预案,并定期进行应急演练和风险评估。对核心网络设备等重要设备实现热备,接入金融城域网的通信线路至少采用2 条以上不同电信运营商提供的通信线路。加大科技投入,规范基础设施建设。按照国家机房C级标准建设中心机房,对村镇银行来说存在着很大的资金难题。可以采取折中的方案,划分一个独立的房间进行综合布线作为机房,安装门禁系统与独立的视频监控系统,安装机房综合监控系统,对火灾、供电异常、漏水、温湿度异常进行监测。以上这些措施投入少、见效快,能达到机房安全基本要求。

3.4 加强科技队伍建设,建立完善的管控机制

积极培养一批技术能力强的信息管理人才、运维技术人才、信息安全人才,适应业务发展的需要,从而真正解决好金融机构信息化安全建设的发展问题。认真实行重要岗位A B角制度,避免人员变动带来的安全风险。

3.5 将信息安全风险管理纳入村镇银行整体风险管理框架

银行复工信息简报 篇5

齐心协力迎复工

为做好复工复产工作，根据政府及监管出台的各项政策，上海分行在分行党委的领导下快速响应、积极落实，第一时间结合各区域金融办、街道等对复工复产的具体要求，梳理工作安排，全面落实责任到位、分区管理、营业动线、网点消杀、物资储备等防疫管控要求，全方面地应对可能面临的多重复杂问题，保障员工与客户的人身安全和健康。

踏实放心好办公

为给所有复工人员和营业网点营造安全复工环境，分行还提前准备和采购了多项防疫物资，包括n95口罩、防护服、防护面屏、手套、消毒水、抗原检测试剂等，同时结合市政府和各区的要求，准备好了场所码、数字哨兵等，为分行大楼和各支行网点的正式复工奠定了物资基础。

正式复工前，分行对所有办公区域逐层、逐区提前做好清洁消杀，工作人员特别对长期封闭区域，以及食堂餐厅等员工切身相关的重点区域做好全方位清洁消杀，让员工能放心办公后顾无忧。

压实责任措施全

分行要求各部门负责人作为本单位疫情防控的第一责任人要逐级压实责任，签订复工复产安全责任书;分行大楼和各支行网点均落实逐步返岗的方案，首周返岗人员控制在总人数的30%以内。各部门制定a、b组轮换人员名单，隔周交替，采用现场和居家办公轮换和相结合方式上班。后续，分行和各支行网点将逐步、有续地恢复员工返岗现场办公，在保障业务连续性开展的前提下，同时保证各项防疫措施落实到位。

各家网点均于正式复工前制定了周密详实的复工预案，让员工和客户们吃下一颗“定心丸”。恢复营业的网点实行每日健康检测、人员登记管理、现金消毒等防疫措施，每日做好环境消杀，定期对自助设备等公共物品和设施进行消毒。为防范因聚集产生的感染风险，每个网点都明确了进出口动线，布设了“场所码”、防疫登记台和隔离帐篷，严格落实“逢进必扫、逢扫必验、不漏一人”。同时，网点根据自身厅堂布局，实时做好限流引导，设置“两米线”，控制大厅内客流数量。一线员工牢记“防疫三件套”“防护五还要”，身着防护服，佩戴n95口罩、手套和防护面屏，耐心服务每一位客户，保障业务的有序办理。

仔细贴心办业务

随着宁波通商银行上海分行首批网点的.复工营业，各项需网点现场办理的业务也逐步恢复正常运作，全方位满足个人及公司客户的金融服务需求。此外，上海分行及时通过官方公众号公布网点恢复营业时间、地址等信息，方便需求客户了解查询。

恢复营业首日，分行营业部、奉贤支行和金山支行便迎来了业务办理的高峰，各网点工作人员严格按照防疫办和总分行的要求，做好客户引导和耐心沟通，全副武装的柜面人员一整天的忙碌下来，也真正体会到了防疫工作人员的辛苦。根据首日业务办理情况分析，个人金融服务需求较多，对私业务相对活跃。复工当天，分行营业部到访47人，奉贤支行接待客户近100位，金山支行业务操作笔数也达到约230笔。

宁波通商银行总行副行长兼上海分行党委书记张正寅、上海分行行长金朝晖等领导陆续赴分行各楼层、分行营业部进行视察，并通过监控设备查看了另两家复工支行疫情防控措施的落实情况，亲切慰问职守一线的干部员工，向他们在疫情期间不畏艰难的工作作风表达崇高的敬意。总行副行长兼上海分行党委书记张正寅强调，各支行网点要做好厅堂服务管理，保持每个客户的距离间隔，采取限流等方法控制厅堂内的客户人数，持续改进客户服务体验，力争在特殊时期有限的条件下提升客户满意度。同时，要继续落实常态化疫情防控的工作要求，坚决确保来人核验到位、环境消杀到位，紧盯疫情防控各项环节，严格落实好网点疫情防控措施，坚持疫情防控和复工复产“两手抓、两手硬、两手赢”。

解密银行卡信息买卖链条 篇6

贩卖银行卡信息已经形成一张遍布全国的网络。这些信息的最终买家是私人侦探、盗窃卡内资金的不法分子甚至是洗钱组织。最让人担心的是，信息提供者皆是银行内部员工。

钱不翼而飞

上海的陈女士今年2月到一家知名股份制银行查询卡内金额，蹊跷的是密码竟然不对。工作人员告诉她，卡内金额没少，但是密码被改过。陈女士并没在意，将密码改回。3月，奇怪的事情再次发生，陈女士的密码再次被人改过，但资金没少。陈女士还是把密码改回，仍未理会。直到3月14日公安机关告诉她，其卡内资金被人划走4万多元，而且今年1月就已被划走。

“我的卡没有开通网上银行，也从来没丢过。”陈女士百思不得其解。当时银行员工为何说卡内金额没少成了不解之谜。差不多与陈女士的事件发生在同一时期，上海的黄先生忽然收到上述银行的短信提醒，被自动电话缴费7千多元。因为根本没有操作过类似交易，黄先生随即到银行交涉。银行员工让黄先生报案。

上海的六名被害人都有上述遭遇：在银行卡和密码都未丢失及泄露的情况下，卡内资金不翼而飞，被用于支付手机费、电话费等公用事业费，金额近30万元。他们不知道，一条买卖银行客户信息的链条通过互联网伸展开来，不法分子通过QQ群和手机短信完成了他们的“黑色交易”。

盗窃客户银行卡内资金的主犯朱某远在江西，只有初中文化程度。

从2010年起朱某在网上购买了上万条上海机动车车主信息，包括姓名、身份证号码、联系电话、地址等。朱某把车主姓名、身份证号通过QQ群发给可以查询相关银行信息的下家。每查出一个人的银行卡卡号、余额，朱某即支付200元酬劳。

而朱某的下家并非最终掌握客户银行卡信息的人，而是层层转发信息的中介。往往要通过三至四层中介才能最终联系到掌握银行卡信息的“核心人士”。这些中介联系的途径只有两个：QQ和手机短信。

通过上述方式，朱某得到了不少上海市上述股份制银行持卡人的卡号。然后以持卡人的生日或简单的数字组合猜出银行卡密码。被他猜出密码的就包括陈女士、黄先生在内的六名银行卡持卡人。

朱某没有直接将被害人卡内资金打到自己账上，而是用被害人的钱替网吧等电话费大户缴纳费用。朱某甚至在淘宝开了家专门代缴公用事业费的网店，以九折优惠招揽网吧之类的用费大户。替客户缴费成功后，网吧再把资金打到朱某账上。这样一来，朱某不仅可以顺利套现，还不易被查出谁是盗窃卡内资金的元凶。

最低卖10元

客户的银行卡信息从银行员工处泄漏，而银行员工卖出一条信息最低只收10元。

据某股份制银行原信用卡员工胡某供述，他2009年7月通过应聘进入该行上海信用卡中心工作，在征信岗位任职，可以根据客户提供的身份证资料查询开户资料及交易明细以及客户在他行的信用记录。

从2010年11月起，胡某开始通过QQ群出卖客户信息。为了接收赃款，胡某买了一张建行龙卡和与之对应的身份证。

“我有3个QQ号用来这种交易联络。并且起名‘金融毕业生’、‘银行黄牛’这样的名字来暗示别人我能弄到银行内部客户资料。”胡某事后交代。

胡某是通过该行信用卡中心员工办公室的公用电脑登录银行内部网站进行查询，用户名和密码都是员工公用的。令人难以置信的是，从开始到案发，胡某基本天天“接单”，多时每天查几十条，少时每天查一两条。胡某通过QQ或手机短信收到待查的客户身份证号，然后到单位的公用电脑上查，将查询结果通过电脑及手机短信的方式发给上家。胡某对每条信息收取40元到180元不等的费用，共获利5万多元。

在朱某、胡某等银行卡诈骗案中还发现四大行中的两家存在相似案例。

与胡某一样，某四大行之一的武汉黄陂支行员工曹某同样通过QQ群结识了买卖个人信息的中介，并从今年3月开始出售该行客户信息。在曹某做柜台时，把查到的客户账号、开户行、开户时间、余额等编短信发给上家。如果要查流水，就用手机拍下来再发到上家的QQ邮箱。曹某共出售一千余条客户信息。

“刚开始查余额、流水都是50元一个，后来查询余额30元一个，流水70元一份。”曹某说。另一家四大行之一的无锡荣龙支行员工董某以10元一条的价格，以类似方式出售116条客户信息。

银行员工通常帮中介查“包行”。“包行”是业内“术语”，就是指包括银行卡卡号、余额、开户时间、开户行、持卡人姓名在内的全套信息。

监管空白区

银行员工很清楚他们所出售信息的最终去向。

“向他们要客户信息的是私人侦探、洗钱以及盗取卡里资金者……”胡某事后坦白。

实际上买卖客户信息的行为已非常泛滥。

某保险公司人士向记者证实，保险公司以每条200元左右的价格从电信部门购买客户电话、姓名、住址等信息；房产中介也坦言会从银行、交易中心等处花大价钱购买客户信息；医院把孕妇信息卖给妇婴用品公司等也都屡见不鲜。

“在个人信息管理方面，我国还没有相应的法规，处于非常落后的状态。一旦出现信息泄露情况，该处罚谁、怎么处罚都无法可依。连最重要的金融信息都得不到保护，更别说其他信息了。”一位不愿透露姓名的征信行业人士表示。

该人士介绍，金融信息涉及个人的资产情况，是个人信息中最重要、最敏感的部分，但至今别说立法，连管理条例也没有公布。央行的《征信管理条例》还在第二次征求意见中。

但他表示，央行的征信系统具有这样的技术手段：能够查到是哪家银行、曾经在哪台电脑上、因何原因查询个人信息。“个人可以到当地人民银行查询。如果发现有哪家银行在没有发生业务的情况下无故查询你的信息，你完全可以向这家银行提出质疑并索赔。以此慢慢培养银行等机构对擅查个人信息的敬畏。”该人士说。

银行信息 篇7

随着互联网技术的发展,其在金融领域的应用越来越广泛,并彻底改变了传统金融业的服务模式。商业银行通过网上银行系统将一些传统的柜台业务变为线上业务,还推出了一系列创新金融业务。关于网上银行的定义有多种,本文所讨论的网上银行是指银行通过互联网为个人或企业所提供的金融业务和服务。网上银行方便快捷,为银行提供了更加高效和优质的服务。而且由于无纸化和非人工操作,降低了银行的经营成本。更重要的是能够通过网络为客户提供更加个性化的金融服务。因此其将成为未来银行业的主要发展趋势之一。网上银行承载着大量的客户信息和资金安全,因此容易受到钓鱼网站、网络诈骗、网络黑客等不法分子的觊觎。如何保证网上银行的信息安全,是整个银行业乃至社会都非常关注的问题。笔者通过调查和实践,就如何有效防范网上银行的信息安全风险给出了相关建议。

1 严格遵守央行发布的《网上银行系统信息安全通用规范》

为切实提高网上银行信息安全水平,引导网上银行业务健康发展,保护金融消费者权益,中国人民银行于2012年正式发布了《网上银行系统信息安全通用规范》(JR/T0068-2012)。该规范来源于人民银行多年来网上银行安全工作实的践经验和对网上银行安全案件的调研,内容涵盖了网上银行系统的各个部分和交易的全过程。因此其具有全面性和针对性的特点,是商业银行做好网上银行信息安全工作的指南。因此,商业银行应严格按照规范要求在安全技术、安全管理和业务运作三个方面做好防范工作。

2 加强自身技术防护

2.1 增强网站的防钓鱼措施

据中国反钓鱼网站联盟发布的数据显示,今年以来联盟已处理钓鱼网站2186个,钓鱼网站涉及的行业前两位分别为支付类交易和金融证券类;而联盟接到的钓鱼网站举报中,涉及淘宝网、建设银行、中国银行、工商银行四家单位的钓鱼网站总量占全部举报网的82.62%。钓鱼网站的频繁出现,已经损害了银行的声誉,妨碍了银行金融业务的拓展,同时还危害到社会公众的利益。

对于银行来说,一是应该主动出击,改变过去被动依赖客户投诉或举报的方式,对钓鱼网站进行主动的监控和预警。通过主动监控获取更多的信息,并及时预警客户,将不良影响减至最小。例如与国内的安全公司合作,由他们对网络上的各种钓鱼网站进行搜索与监控,当发现有钓鱼网站出现时,及时通知银行,银行可以迅速的采取应对措施;二是应形成完善的应急处理机制,发现问题后应及时报告行业主管部门,同时积极与公安机关合作,做好信息系统等级保护工作;三是应该加固自身的技术防范,如在网站上部署https证书中的最高级别证书--EVSSL证书。该EV证书不仅对网站上传输的信息采取最高强度的加密技术,更由第三方公正机构对网站真实身份进行了严格的审核,确保只有真实的银行才能取得该证书。部署EV证书后,在主流浏览器的地址栏处将显示锁形标志并可通过“https”访问,同时地址栏将变为绿色,让用户清楚地辨识到该网站是否可信。

2.2 加强客户端的技术防护

客户端是整个网上银行系统的最薄弱部分。首先,客户端部署在用户的PC机、手机或其他移动终端上,安全防护普遍不足。其次,犯罪分子非常容易通过操作系统程序的漏洞进行攻击,或通过植入木马获取用户的账户、密码等敏感信息,或通过客户端漏洞远程控制用户的硬件数字证书(USBKey)冒充客户进行交易。因此,建立客户端程序的检测和定期检查机制非常重要。银行应在客户端程序上线前进行严格的代码测试和漏洞扫描,上线后银行也可以在客户每次交易前,主动的发起对客户端程序的检测,对一些可能被不法分子利用的漏洞进行主动扫描,及时帮助客户发现安全漏洞并提醒客户进行漏洞修复。为了确保检测的有效性和权威性,在银行自身进行检测后,还可以邀请合作的安全公司或者第三方检测机构来共同进行。

2.3 加强服务器端的技术防护

相对于客户端的薄弱各银行服务器端的防护措施均较为严密,因此目前的网上银行安全事件大都集中在对客户端的攻击。但一些中小银行的网上银行系统大量使用外包开发,机房等基础设施达不到国家标准、日常安全管理松懈、IT运维管理人员素质较差,也形成了一些风险隐患。这些安全隐患可能会造成网上银行系统通信中断、后台数据被篡改等严重后果。特别是近年来,所有银行系统之间通过金融城域网进行互联,任何一家银行系统出现漏洞,都有可能影响到所有银行,甚至影响到国家的金融稳定。因此,对于中小银行来说需要加强服务器端的基础设施建设和安全防护设施建设,保证机房和数据库系统的安全,降低服务器端被攻击的风险。

2.4 采用高安全级别的电子认证服务

电子认证服务是各银行通过向其网上银行用户颁发电子证书来实现交易过程中的身份认证、交易信息加密和交易的不可抵赖。电子认证本身的可靠性对保障网上银行的交易安全起到了关键作用,能够为网上银行系统提供电子认证服务的机构应具有权威性、可信赖型和公正性。目前我国建立了网上银行系统的商业银行均可使用电子认证服务系统——中国金融认证中心(CFCA),但有少数银行采用自建的CA系统为用户签发数字证书,这不仅加重了商业银行本身的技术负担,还对证书颁发、管理等过程提出了较高的要求。因此商业银行在准备开展网上银行业务时,应尽量选择合规的、安全级别较高的第三方电子认证服务,例如CFCA。

3 加强对个人隐私信息的保护

网上银行由于使用互联网进行银行和个人之间信息的传送,因此用户个人信息暴露的风险较大。针对这种风险,为了更好的保护金融消费者权益,商业银行应更加关注对网上银行个人隐私信息的保护,通过有效措施保护用户个人隐私:一是如前所述,加强客户端的安全防护,确保客户端所存放的个人隐私数据加密存放,即使客户端文件被他人窃取,也无法取得跟银行有关的关键信息;二是在客户端与服务器端的信息传输,做好加密保护,防止网络上有不法分子采取窃听网络报文的方式来窃取交易信息;三是做好服务器端数据库中个人隐私信息加密与分块存放,这样即使数据库中的数据被盗取,如果没有拿到所有的数据块,或者没有数据库的解密密码,也无法得到真实的隐私交易信息;四是加强数据操作管理,并设置岗位制约制度,防止单一员工通过某个前台业务操作或后台数据管理操作就能轻易窃取到用户隐私数据。

4 加强对用户的风险提示和安全常识宣传

如前所述,商业银行应提升自身客户端程序的质量,及时封堵漏洞。但很多网络安全事件同时也是因为用户自身安全意识淡薄和使用习惯不良所造成的。因此银行对于网上银行用户应给予必要的风险提示和安全教育。一是通过发放安全手册等方式提示客户;二是在客户端程序中要设置多项安全提示,指导用户养成良好的使用习惯,如设置强壮的口令、业务完成后及时拔出USBKey等;三是及时向用户预警可能出现的安全事件,例如提醒钓鱼网站的防范技巧等,提醒用户加以防范。

5 加强内控内管制度的建设

近年来中国人民银行和银监会都出台了多项有关网上银行信息安全规范的文件。但少数商业银行内部重视程度不够,缺少内控内管制度。在缺少相关制度保证的情况下,信息安全保障措施难以实施到位,员工对于网上银行信息安全风险的认识也不够。因此商业银行还须进一步加强内控内管制度、规范岗位责任与制约、建立标准规范的操作流程,通过管理手段来促进各项措施落实到位。

参考文献

[1]李东荣主编.网上银行系统信息安全通用规范解读[M].北京:中国金融出版社.2013.

[2]郑岩.如何跨越“网银安全”这道坎[J].金融电子化.2011.

[3]李晓枫.规范网银安全控制网银风险[J].中国金融电脑.2011.

[4]胡晓荷.加强防护措施,给力网银安全[J].信息安全与通信保密.2012.

宁夏银行信息披露事务探析 篇8

作为一家跨区域经营的城市商业银行, 宁夏银行自2002年起编制年度报告, 2008年起发布社会责任报告, 经过不断的努力和探索, 信息披露逐步走上常态化、规范化轨道, 信息量日益丰富。

一、监管政策变迁

随着金融环境日益复杂化和信息需求多样化的不断发展, 我国监管部门从上世纪90年代末开始致力于推动金融业信息披露工作。

中国人民银行在2002年颁布的《商业银行信息披露暂行办法》, 要求城商行从2003年起到2006年分步实施信息披露。

2007年中国银监会出台了《商业银行信息披露办法》, 在进一步规定银行信息披露最低要求的同时, 将信息披露范围扩大到全部商业银行。

2009年底银监会颁布的《商业银行资本充足率信息披露指引》, 要求从2011年起由董事会负责信息披露, 通过公开载体向投资者和社会公众进行披露。

2012年6月, 银监会发布《商业银行资本管理办法 (试行) 》, 办法进一步细化了商业银行资本充足率信息披露的内容和频率。

宁夏银行当前信息披露工作参照的法规依据, 主要有《商业银行公司治理指引》、《商业银行信息披露办法》、《商业银行资本管理办法 (试行) 》之附件15-信息披露要求, 公司章程及其内部信息披露管理办法。

二、宁夏银行信息披露事务概况

(一) 明确责任主体和工作程序

董事会负责信息披露工作。董事长为信息披露的负责人, 授权董事会秘书负责信息披露具体事务, 董事会办公室为公开信息披露的日常工作部门, 统筹组织和协调信息披露工作的具体事宜。

(二) 拓宽披露渠道

除了将年报、决议等文书文件备置于董事会办公室和主要营业场所, 供利益相关者查阅之外, 宁夏银行自2005年起在地方性媒体《宁夏日报》披露年报摘要, 2007年又增加《金融时报》同时披露。此外, 成本低、时效性强和传播范围广的官方网站, 也是其重要的信息披露渠道之一。

(三) 规范披露内容

按照相关法规, 遵循真实性、准确性、完整性和可比性的原则, 宁夏银行对财务会计报告、风险管理、公司治理、年度重大事项等信息进行披露。披露内容按照披露时间分为定期报告 (社会责任报告、年度报告及年度报告摘要等) 和临时报告 (董事会、监事会、股东大会决议, 以及关联交易、公司治理和其他重大事项等) 。

三、年度报告的披露

年度报告是信息披露最重要的载体, 宁夏银行的年度报告内容完整、形式规范, 具备规定的基本要素, 且突出了自身经营管理和业务品种的特色。

(一) 内容构成

1. 重要提示;

2.公司基本情况;3.会计数据和业务指标摘要;4.股份变动及股东情况;5.董事、监事、高级管理人员和员工情况;6.公司治理;7.董事会报告摘要;8.监事会报告摘要;9.重要事项;10.财务报告。

根据投资者和监管重点的变化, 除传统的财务报告外, 该行逐渐强化了对于非财务信息的披露。

(二) 良好做法

1. 聘请专业外审机构, 提升年报公信力。

按照监管规定, 年度财务会计报告须经具有相应资质的会计师事务所审计。该行自1998年成立起至2007年, 先后由宁夏五联会计师事务所、宁夏天华会计师事务所进行年报审计;2008年起聘请全球四大会计师事务所之一的德勤华永会计师事务所进行审计, 并在年报中完整引述其审计报告, 主动接受市场和社会多方监督, 并以此作为改进管理的基本依据。

2. 恪守信息披露的基本原则。

要保证所披露信息的真实性、准确性、完整性和可比性, 需要多个部门的密切配合和较高的公司治理水平来保障。一是保证董事会秘书对公司重大决策充分知情。董秘作为经董事长授权的信息披露事务负责人, 出席或列席经营层的重要会议, 通过这种双向沟通获得充分信息, 作出对年报信息是否披露、如何披露的专业判断。二是定期组织信息披露人员进行理论学习。涉及产品业务、公司治理以及信息披露等方面的监管要求, 每年都有变化, 该行定期组织董办及相关部门人员进行专题学习和讨论, 及时搜集、整理相关法规背景和政策解读等资料供高级管理层参考。三是明确工作流程, 建立重大信息报告制度。制定实施重大事项报告制度, 明确重大信息的内部沟通机制、报告内容和路径以及问责机制等事项。

3. 重视满足投资者日益增长的获取非财务信息的需求。

如果说财务报告是一家公司过去表现及历史信息的反映, 那么非财务信息更强调的是前瞻性信息的披露。非财务信息披露有助于加强财务报告信息的可比性、相关性以及表内外信息之间的联系, 大幅度扩大财务报告的信息量, 方便使用者更深入地理解财务报告, 因此, 非财务信息的披露也是必不可少的。[1]

宁夏银行通过对年度报告中公司治理、股权信息、管理层讨论与分析等方面的阐述, 进一步解读相关财务数据, 向投资者揭示管理层对于过去经营状况的评价分析以及对未来发展趋势的前瞻性判断, 这对财务报告是一个必要和有益的补充。

四、完善信息披露事务的措施和建议

由于区域性特点和自身条件所限, 宁夏银行的信息披露事务与上市银行等先进同业相比, 还存在一定差距, 尚需在风险识别管控、信息系统建设以及丰富自愿性披露信息等方面做出努力。

(一) 完善风险管理体系, 确保信息披露内容合规

该行对风险管理的披露, 除2013年年报增加披露了几类风险加权资产的定量信息, 追溯以前年度, 均为以定性信息为主的描述。新资本办法的实施, 对商业银行转变发展方式和提升抗风险能力提出了更具体、更严格、更高层次的要求, 建议引入外部专业咨询提供技术和智力支持。

(二) 夯实信息化建设, 提高信息披露标准化程度

随着自身业务的创新发展、管理逐步精细化的趋势, 信息处理量越来越大, 传统的依靠总行职能部门提供数据、信息的处理方式越来越难以适应信息披露的要求。因此, 建立一套能够灵活定制, 并且后台能够与目前多个信息系统共享数据的信息披露系统迫在眉睫。

(三) 进一步丰富社会责任报告的内容

社会责任报告, 秉承了自愿信息披露原则, 是企业对自身责任理念与责任绩效的系统信息披露, 也是与各利益相关方全面沟通的重要载体。全球报告倡议组织 (GRI) 发布的《可持续发展报告指南》G4版, 是全球使用最为广泛的可持续发展信息披露规则和工具, 也是目前我国上市公司编制社会责任报告的重要参考。建议宁夏银行在条件具备时, 参考G4和同业经验, 在不涉及敏感财务信息、商业秘密的基础上, 进一步充实公司治理、发展战略、项目推进等方面内容。

综上所述, 披露事项事无巨细, 如何在确保合规性的前提下逐步提升信息披露的质量, 为投资者发掘他们所真正需要的信息, 切实满足投资者和监管之需, 将是宁夏银行一个长期的课题。

参考文献

银行信息安全问题及建议 篇9

一、银行信息存在的安全问题

(一) 木马程序大规模入侵

木马程序是一种由攻击者秘密安装在受害者计算机上的窃听及控制程序, 通常包含控制端和被控制端两部分, 被控制端植入受害者计算机, 控制端则安装在不法分子的计算机上, 不法分子利用控制端远程与被控制端交互, 以控制受害者的计算机资源, 盗取其个人信息和各种重要数据资料, 给个人和单位造成很大损失。

国家计算机网络应急技术处理协调中心 (CNC ERT/CC) 发布的《CNCERT/CC 2007年上半年网络安全工作报告》披露, CNCERT/CC抽样监测表明, 2006年我国大陆地区有44717个IP地址被植入木马程序, 而2007年上半年被植入木马程序的IP地址达1000372, 仅半年就增长了21.37倍。

艾瑞市场咨询有限公司 (IResearch) 发布的《中国个人网络安全研究报告·2007年》披露, 2007年上半年瑞星科技有限公司、金山软件有限公司和江民新科技术有限公司等杀毒软件厂商所截获的电脑新病毒数量比去年同期相比都有显著增长, 其中木马程序占据主流地位。瑞星科技有限公司2007年上半年截获的计算机新病毒数量比去年同期增长11.90%, 木马程序数量占比62.10%。江民新科技术有限公司2007年上半年截获的计算机新病毒数量比去年同期增长221%, 木马程序数量占比67.4%。金山软件有限公司2007年上半年截获的计算机新病毒数量比去年同期增长23%, 木马程序数量占比68.70%。

该报告披露, 木马程序给我国互联网造成了严重的经济损失, 仅以窃取网上银行用户银行卡密码的“网银木马“为例, 2006年该木马就给我国网上银行用户带来了约1亿元的经济损失。

据搜狐网报道, 2006年9月光大证券网上交易系统遭“网银木马”入侵, 光大证券阳光网站点上提供的“光大证券新版网上交易系统”、“光大证券专业分析版2003”、“光大证券金典2005”等多套软件的安装程序均被捆绑了木马程序。用户运行这些安装程序时, 用户机器会自动下载“网银木马”。“网银木马”运行后, 将诱骗用户输入登录密码和支付密码等秘密信息, 然后该木马程序通过邮件将窃取到的信息发送到某不法分子的服务器上。

一旦银行互联网服务器被植入木马程序, 将可能使大量客户敏感信息被盗取, 后果将更为严重。

(二) 僵尸网络数量巨大

僵尸网络是指由不法分子通过控制服务器间接并集中控制的被植入了僵尸程序的计算机群组成的网络。被植入僵尸程序的计算机犹如“僵尸”一般被远程控制服务器完全控制, 控制服务器可指挥其实施信息窃取、网络假冒、拒绝服务攻击等各种恶意活动。僵尸网络破坏性极大, 已成为当前互联网安全的最大威胁。CNCERT/CC抽样监测表明, 2007年上半年我国大陆约有3百多万个IP地址的主机被植入僵尸程序。这将为不法分子利用如此大量的“僵尸计算机”进行各种恶意破坏提供极大方便。如果不法分子利用这些“僵尸计算机”攻击银行挂接在互联网上的服务器, 将可能使服务器上的所有敏感信息被盗取, 也可能使服务器拒绝所有用户的服务请求, 进而给大量用户带来不便, 甚至引发社会恐慌、严重影响社会稳定。

(三) 带毒硬盘危害不可小觑

通常, 病毒软件是通过移动设备或计算机网络传播的, 带毒硬盘的出现从根本上改变了病毒软件的传统传播途径。安装了带毒硬盘的计算机即使禁止移动设备接入, 即使不主动发起网络请求, 也可能被病毒软件控制, 存储其中的敏感信息也可能被窃取。

(四) Windows XP克隆版的安全问题

对于那些电脑城装机和维护系统的人来说, Windows XP的Ghost安装盘几乎已经成了必备的工具, 为一台电脑安装一个系统时, 仅仅需要二三十分钟的时间, 由于版本众多, 有的系统经过镜像文件恢复后, 需要安装一些驱动程序就可以使用, 如果是自带了驱动的Ghost盘, 就更省事了, 连驱动都不用安装了, 装好后直接就可以使用了。通过Windows XP的Ghost安装盘安装机器, 虽然节约了不少的时间, 但是, 有些Ghost版本系统光盘暗留了后门的陷阱, 植入了病毒或木马, 这些病毒或木马窃取了用户的账号和密码等重要信息, 给用户留下了一定的安全隐患。目前已知的有问题版本有:雨林木风系列雨林木风Ghost Windows XP v2.0装机版纯净会员版v1.7、v1.85以及新版本;番茄花园系列番茄花园Windows XP Professional SP2免激活版v2.8和2.9版本;东海电脑公司版Ghostxp_SP2电脑公司特别版v4.0、v4.1、v5.0、v5.1、和v5.5等版本。

二、对银行信息安全管理的对策建议

(一) 实施服务器安全强制行业标准

2007年10月, 国家标准化管理委员会公布了由浪潮牵头起草的国家标准GB/T 21028-2007《信息安全技术服务器安全技术要求》。该标准为国内外服务器信息安全领域的首个标准, 其对服务器安全作了详细规定。但该标准为国家推荐标准而不是国家强制标准。鉴于银行业的重要性以及银行挂接在互联网上的服务器所面临的严重安全威胁, 建议银行业监督管理部门参照该标准制定发布银行业互联网在线服务器安全技术强制行业标准, 并将该标准的实施情况纳入其日常监管工作范围, 以增强银行互联网服务器的安全性。

(二) 加强银行服务网络日常监控

当前, CNCERT/CC负责我国大陆地区互联网安全日常监控, 并定期发布网络安全工作报告。CNCERT/CC监控的对象为我国大陆地区整个互联网, 监控方式通常为抽样监测。因此, 其对银行服务网络的日常监控覆盖率不高, 缺乏针对性。鉴于银行业的重要性, 建议由中央银行或银行业监督管理部门组织技术力量, 专门针对我国大陆地区银行服务网络实施日常监控, 定期发布工作报告, 为各银行和各银行网络客户提供行政指导。

(三) 加强宣传教育, 提高用户安全意识

当前, 我国网上银行用户数量正逐渐增加, 但其网络安全意识尚待提高。一些用户弃用高安全的CA证书而偏爱普通密码便是一例。用户安全意识的淡薄正好给不法分子利用木马程序等恶意软件盗取其敏感信息提供了便利。因此, 使普通用户了解木马程序、僵尸程序等恶意软件的危害、预防措施以及应对策略。

(四) 不使用Windows XP的Ghost安装盘

使用Windows XP的Ghost安装盘, 虽然为我们节约了一些宝贵时间, 但是也埋下了隐患。因此我们尽量不用Windows XP的Ghost安装盘, 而使用正版操作系统和应用软件。如果使用了Windows XP的Ghost安装盘安装机器, 那么要进行安全检查并进行相应设置。操作系统安装完成后, 检查默认的IPC$共享是否都打开, 如果发现共享权限为Everyone完全控制, 要及时关闭默认共享。

银行信息 篇10

关键词：会计信息质量要求,商业银行,实证分析

随着金融全球化的不断发展和深化, 外资商业银行逐渐进入我国金融市场, 我国商业银行也在积极的迈出国门, 走向世界。但是, 由于我国商业银行发展较晚, 在会计信息披露上尚难与国际标准接轨, 这必将导致我国商业银行在同世界各大知名商业银行的竞争中处于劣势。因此, 如何利用《企业会计准则》中对会计信息的质量要求提高我国商业银行会计信息披露的质量越来越受到我国银行界的重视。笔者通过对近几年中国工商银行会计信息披露的分析, 简要阐述下会计信息质量要求对我国上市商业银行会计信息披露质量产生的影响。

一、会计信息质量要求对资本金业务披露质量的影响

2008年末工商银行的核心资本充足率为10.75%, 2009年末有所下降, 为9.90%。我们知道, 核心资本充足率和资本充足率是银行业监管当局监管的重要指标之一。银监会近来表示, 我国将在十二五期间逐步实施《巴赛尔协议Ⅲ》的资本充足率标准, 要在2013年底达到核心资本充足率不低于11.5%的目标。这对包括工商银行在内的商业银行势必产生影响。由于中国商业银行目前的核心资本充足率计算方法不科学, 计算口径不一致, 为了达到监管当局规定的资本充足率最低限额, 商业银行在披露资本充足率时可能存在主观高估现象。《企业会计准则》要求会计信息披露要具有可靠性, 即会计信息应当如实反映符合确认和计量要求的各项会计要素及其他相关信息, 保证会计信息真实可靠, 内容完整。这就要求商业银行通过外源资本策略和内源资本策略提高资本充足率, 而不是通过人为主观的高估来达到监管目标。

另外, 目前工商银行只披露核心资本和附属资本的数据, 资本结构披露过于简单, 不能有效准确的反映出银行真实的资本状况。这不符合会计信息披露明晰性和谨慎性的要求。银行应该逐步合理划分资本结构, 准确反映资本的真实情况。

二、会计信息质量要求对负债业务披露质量的影响

2009年工商银行资产负债表中以公允价值计量的交易性金融负债为254.46亿元, 而以公允价值计量的金融资产却高达5850.52亿元, 两者差距很大, 这种不对称的计量方式可能导致资产负债比率波动变大, 进而影响到会计信息披露的质量。《企业会计准则》要求会计信息披露具有一致性, 银行应该逐步统一计量方法, 使得会计信息纵向和横向可比。

三、会计信息质量要求对资产业务披露质量的影响

2009年工商银行在资产信用风险管理中给出了按照正常、关注、可疑、次级、损失划分的各类贷款金额, 并且表明贷款质量持续改善。这当然是投资者高兴看到的事情, 但是我们不禁要问, 商业银行究竟是按照什么标准划分五级贷款的, 其划分方法是否科学, 是否与国际惯例接轨。同时, 为了粉饰数据, 商业银行是否会人为降低划分标准, 这些我们都不得而知。前面我们提到, 《企业会计准则》要求会计信息披露具有可靠性和谨慎性, 那商业银行究竟做到了没有, 我国目前还缺少这样的评判标准。这就要求我们监管当局和业界一起努力, 共同制定出和国际惯例接轨的划分标准, 这样才能赢得广大投资者的信任, 提高会计信息披露的质量。

工商银行在对资产披露中还存在披露深度不够的问题, 在五级分类法中, 究竟哪类资产评级较低, 为什么较低, 投资者都无从得知, 这点同样是我们商业银行在披露会计信息时需要加强的。

目前我国商业银行在资产风险管理中, 定性分析较多, 而定量分析较少。从巴塞尔委员会提供的披露建议看, 银行应露, 既要有定性信息, 也要有定量信息。工商银行在贷款风险管理中给出了不良贷款的数据, 但是在信用卡风险, 利率风险, 汇率风险等项目中, 缺少一个量化的标准, 这明显与巴塞尔委员会的建议不符, 也与会计信息质量要求的可靠性不符。我国商业银行应该逐步探索风险量化机制, 使得风险在同一标准下得以度量, 进而提高会计信息披露质量。

四、会计信息质量要求对中间业务披露质量的影响

目前, 中间业务因其风险小, 收益稳定的特点在我国商业银行经营中越来越受到重视, 但是我国商业银行对中间业务的披露却不是很详细, 这与《企业会计准则》中对会计信息披露的重要性相悖。工商银行2009年会计信息中对资产管理业务, 个人理财业务等做了一定的披露, 但是均只有一个总体的营业数据, 披露不够深入。同时, 虽然中间业务风险较小, 但依然是存在风险的, 商业银行却对其风险几乎没有说明。随着中间业务量的迅速增加, 商业银行应该逐步提高中间业务的披露质量。

我国商业银行在会计信息披露中还存在披露内容不够准确和规范, 披露范围不充分和广泛, 管理信息披露不充分等问题。但是, 随着我国《企业会计准则》中会计信息质量要求的逐渐完善, 我国商业银行的会计信息披露质量势必不断提高, 最终和国际接轨, 为我国商业银行参与国际间合作与竞争创造有利条件。

【作者简介】

1、李鸿志 (1989—) , 籍贯:河南, 西安交通大学经济与金融学院08级本

科生, 专业:金融学;

2、桂卜统 (1989—) , 籍贯:福建, 西安交通大学经济与金融学院08级本

我国商业银行信息披露问题探析 篇11

关键词:商业银行;信息披露;不对称信息

一、我国商业银行信息披露质量特征

商业银行披露的信息的质量特征,是指披露的信息对使用者有用的那些性质。商业银行披露的信息的重要性来源于信息的有用性,而信息的有用性又必须联系其用途来作出评价。目前对商业银行信息披露质量特征还没有国际统一标准,国际上巴塞尔银行监管委员会在其一系列文件中提出了对银行披露信息的质量要求,包括全面性、相关性、及时性、可理解性、可靠性、前瞻性、可比性和重要性等。《商业银行信息披露暂行办法》第五条中明确了信息披露“真实性、准确性、完整性和可比性”的原则,对商业银行信息披露做出了原则上的质量规定,但并没有给出具体的质量特征评价标准。

二、我国商业银行信息披露的制约因素分析

(一)制度因素

目前,商业银行所遵循的会计信息披露法规制度是很多的,不同的法规制度从不同的目的和角度提出了所规范的内容及要求,对同一信息有些法规制度的披露要求也不尽相同。这样,就造成了下面的情况:一家银行和另一家同性质银行所遵循的规范可能不同。目前,商业银行在信息披露方面遵循较多的是《企业会计准则》、《金融企业会计制度》和《商业银行信息披露暂行办法》。同时,新会计准则在许多重大方面作了颠覆性的历史变革,除历史成本以外引入了公允价值等计量属性、存货管理办法变革、资产减值准备计提变革、债务重组方法变革、企业合并会计处理方法变革、合并报表基本理论变革和金融工具准则变革等等。这些变革的核心都是为了有效地提高会计信息的相关性和可靠性;提高境内外股票估值可比性,降低交易费用、提高市场效率,提升我国资本市场的国际竞争力;促进财务信息透明度的提高。

尽管如此,我国商业银行在信息披露方面仍受到一些来自制度方面的制约。

首先,披露内容的要求不充分。披露制度中对所应披露信息要求不充分,是导致我国商业银行信息披露内容不全面的关键因素。其次,有效监管所需的法律法规不健全,使得监管部门监管控制的实施无法可依,从而导致商业银行在信息披露钻空子,大大降低了信息披露的及时性、全面性、真实性等等。最后,对会计信息披露的要求比较低。《暂行办法》对上市商业银行来说,作为最低的标准并不影响其会计信息披露的质量,因为上市银行的规范主体是证券立法的法律体系。但对于非上市商业银行来讲,该《暂行办法》就是唯一专项标准。商业银行无论是投资者、债权人、证监会还是国际银行会计信息披露的发展趋势,都不容许国有商业银行的会计信息披露只受最低要求的限制,因此,非上市商业银行应完善自身的会计信息披露,以适应上市后的挑战。

(二)监督体系

我国信息披露监管体系,尚存在一些缺陷和不足。

首先,信息披露监管部门的职权设置不合理。人民银行从商业银行上呈的报告中发现问题后,只能向银监会提出建议,无权直接对有问题的商业银行进行调查取证。只有当问题十分严重时,还得经国务院批准后才有权深入直接调查问题。这时其实质上唯一能做的就是充当最后的贷款人,向问题银行提供资金。却不能行使参与治理不当行业的权利。其次,各监管部门拥有的人力和物力资源相当有限。根本没有足够的能力有效监管银行的信息披露行为。

最后,尚没有建立一个新的有效的协调合作机制。目前,我国实行的是银行业、证券业和保险业分业经营、分业监管体制,随着银行业的不断发展这种体制的弊端会逐渐凸现,对金融控股公司和金融集团如何监管。

三、提高我国商业银行信息披露质量的对策

(一)加快金融改革进程

随着金融在我国经济发展中所起的作用越来越大,金融业的进一步改革发展己成为目前的重中之重。必须加快推进金融改革,完善现代金融企业制度,尤其是推进国有商业银行改革。通过按步推进实现我国国有商业银行股份制产权制度改革,建立商业银行的公司治理结构,形成一整套有激励、有约束、高效率的企业经营机制,通过产权的多元化,有利于将所有权与经营权分离,更有利于建立起经营决策、执行、监督相互制约的机制。随着股份制改造的进行,培养真正对银行所有权负责的委托人,增强对商业银行经营管理层的约束,加大对他们的监督力度,有助于健全银行业的委托一代理机制,这将从制度上保证我国信息披露主体对信息披露提出更高的质量要求。

(二)加强内控制度改革

近年来,西方各国政府及商业银行斥巨资建设的银行电子化风险管理与控制系统,将商业银行的经营方针、政策、业务操作规范及经营活动,特别是信贷管理、国际结算及衍生交易风险的识别、防范、控制与化解制度纳入系统管理,不仅提高了银行业务管理效率,而且将银行内部的监督控制制度引入规范的轨道。我们可以借鉴西方改革的经验,加快实现实时数据传输网络系统,将所有业务数据全部纳入计算机管理系统,使各业务部门和审计部门都能够方便地调阅和进行及时业务信息监控。这有利于加强对各种信息的监督管理,能够提供全面、准确与及时的信息,确保银行业务能根据董事会制定的政策以谨慎的方式进行,使管理层能够发现、评估、管理和控制业务风险。

(三)加强监管部门的监管

新巴塞尔资本协议将银行外部监管作为三大支柱中的第二支柱,巴塞尔委员会针对金融市场不发达国家的情况提出由于市场约束作用微弱,公开信息披露制度暂时还不能充分发挥作用,因此监管当局为达到其目标就必须发挥其应有的作用,弥补市场机制的缺陷,为此提出了较为详尽的配套措施。目前我国金融市场的约束力还很不强,各经济主体缺乏内在约束,因此迫切要求银监会完善我国的银行监管体系,并且要加强对信息披露的监管,促使商业银行提高信息披露质量。可通过以下途径实现监管部门的监管:一是加大对信息披露违规、违法行为的处罚。二是加强对商业银行信息披露的管理和监督。三是加强监管合作,实现信息共享。

参考文献:

[1]李杨等译.米什金.货币金融学(第四版)[M].北京:中国人民大学出版社,1998.

人民银行信息系统安全探讨 篇12

一、系统存在的主要问题

常见系统安全问题有:一是系统受到计算机病毒、蠕虫和木马程序的破坏, 导致系统不能运行或者变慢;二是收到别的机器传来的垃圾文件或邮件;三是服务器连接不上或拒绝服务、网络变慢等。原因在以下几方面。一是员工安全防范意识还比较薄弱, 安全管理制度没有完全落实。如有的员工不按照制度要求进行计算机安全设置, 自行安装了从网上下载的软件, 防病毒软件没有及时升级, 操作系统没有及时打补丁。二是计算机安全产品不能满足要求。如诺顿防病毒软件对有些病毒不能查杀。三是系统存在安全漏洞与技术安全隐患。尽管有以上3方面原因, 但最主要还是每个系统都存在漏洞, 不管在系统安全性上投入多少财力, 攻击者仍然可以发现一些可利用的特征和配置缺陷。发现一个已知的漏洞, 远比发现一个未知漏洞要容易得多, 这就意味着多数攻击者所利用的都是常见的漏洞。因此, 采用适当的工具, 就能在别人利用这些常见漏洞攻击之前, 查出网络的薄弱之处。现常见的漏洞有以下几种。

权限攻击:攻击者无需账号就能登录到本地, 直接获得远程系统管理员权限, 通过攻击以超级用户身份执行的有缺陷的系统守护进程来完成。大部分漏洞来源于缓冲区溢出, 少部分来自守护进程本身的逻辑缺陷。

读取受限文件:攻击者通过利用某些漏洞, 读取系统中攻击者没有权限的文件, 这些文件通常是与安全相关的。这些漏洞的存在可能是文件设置权限不正确, 或者是特权进程对文件的不正确处理, 或者意外使受限文件的一部份溢出到不安全文件中。

拒绝服务:攻击者利用这类漏洞, 无须登录即可对系统发起拒绝服务攻击, 使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。

口令恢复:用户因为采用了很弱的口令加密方式, 使攻击者可以很容易地分析出口令的加密方法, 从而使攻击者通过某种方法得到密码后还原出明文来。

服务器信息泄露:利用这类漏洞, 攻击者可以收集到对进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷, 一般是对错误的不正确处理。漏洞的存在是个客观事实, 但漏洞只能以一定的方式被利用, 每个漏洞都要求攻击处于网络空间一个特定的位置, 因此按攻击的位置划分, 攻击方式分为以下4类:物理接触、主机模式、客户机模式、中间人方式。

二、防范解决系统安全问题的主要措施