时间:2023-03-15 14:55:21
导语:在信息安全整改方案的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
为了全面贯彻落实信息安全等级保护制度,公安部会同有关部门在全国范围内组织开展了信息系统安全等级保护工作。该项工作主要分为定级、备案、建设整改、等级测评和监督检查五个环节。其中安全建设整改工作是信息安全等级保护工作的重要组成部分。主要内容包括制定信息系统安全建设整改工作规划并部署;信息系统安全现状分析;确定安全策略,制定安全建设整改方案;开展信息系统安全管理建设整改工作;开展信息系统安全技术建设整改工作;开展安全自查和等级测评。公安部于2009年了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号),强调依据信息安全等级保护有关政策和标准,开展信息安全等级保护安全建设整改工作。通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少。
本文主要依据信息系统安全等级保护基本要求,结合信息安全等级保护安全技术建设整改工作内容,提出了基于“安全建设整改”的服务器安全加固方案设计、安全加固流程和安全加固方法等。基于“安全建设整改”的服务器安全加固工作贯穿了安全技术建设整改工作的多个方面,主要内容涉及物理安全、主机安全、应用安全和数据安全及备份恢复等。下面重点对基于“安全建设整改”的服务器安全加固可行性分析、方案设计和加固内容进行详细的叙述。
服务器安全加固以实际需求为牵引
首先服务器安全加固是以《信息系统安全等级保护基本要求》为依据,以信息系统为最小加固单位,对信息系统范围内的服务器操作系统、数据库、中间件以及虚拟机集群或小机分区,以技术手段通过更改安全配置、加强审计备份、升级补丁等直接操作方式,从而达到提升服务器自身的安全防护能力的目标。
其次,通过对等保要求类、等保控制点和等保要求项的仔细分析、梳理,确定信息系统服务器加固项目中能够执行的等保要求项,并将这些加固项从技术实现角度分为可以实现的加固项,部分可加固项和安全建议项。
在此基础上,进一步结合实际安全需求,分析现有安全技术和安全策略要求,从加固实施的角度,引入了“等保要求加固子项(简称加固子项)”的概念。所谓“加固子项”是对 “等保要求项”的进一步细分,将每一个检查动作和加固动作相对应,达到每一个“加固子项”可以确定为一个独立的检查动作,并且有一个对应的加固动作,按照等保基本要求,实现每一个加固动作。
表1中列举了适合于进行直接加固的操作项,主要包括了物理安全、主机安全、应用安全和数据安全及备份恢复四个方面。
服务器安全加固方案要构建闭环系统
基于“信息安全等级保护安全建设整改”的服务器安全加固方案设计是服务器安全加固实施过程中的关键环节,是做好服务器安全加固工作的基础,其中的内容主要包括安全加固工作概述、安全加固工作的流程与方法、安全加固工作的准备、安全加固工作实施、安全加固工作总结等方面。
服务器安全加固工作概述主要将加固的目的和意义进行简要的叙述,讲明服务器安全加固需要遵循的原则,对服务器安全加固的依据进行说明,并进一步明确服务器加固的工作范围、工作组织和工作安排等方面的内容。通过工作概述的描述,对服务器安全加固的工作概况有一个全面的了解。
通过对服务器安全加固的流程与方法描述,使得安全加固主线和脉络有较为清晰。其中服务器安全加固的流程如图1所示,主要包括加固准备、加固实施和加固总结三个方面的内容。服务器安全加固的方法主要采用文档清分、人员访谈、信息采集、论证确认、现场加固和验证审核等方式进行。
加固准备工作是以《信息安全等级保护基本要求》为指导形成服务器安全加固总体方案,依据总体方案对基本要求项进行梳理、拆分和论证确认需要加固的项目形成服务器加固可行性分析报告。进一步依据可行性分析报告编制服务器安全加固实施方案,在此基础上依据基本要求编写服务器安全加固操作表单和脚本,并在测试环境中对加固表单进行测试。通过对被加固单位信息系统安全等级保护测评的结果分析与整理,梳理出服务器的安全加固项,初步确认加固范围,经过测试确认可加固项,进一步形成被加固单位服务器加固实施方案,对加固操作表单和脚本进行修改,制定被加固单位现场实施计划。
加固实施工作主要包括加固范围现场确认、加固方法和内容的现场确认、加固现场实施、加固过程中的异常处置、加固结果现场确认、加固后服务器的安全监控、加固后服务器的试运行报告,在安全监控期结束后应对加固的效果进行验证分析。
加固总结工作主要是对加固的结果进行验收和确认,建立较为成熟的加固方法和流程,并对加固工作进行总结。
服务器安全加固的流程把控
通过上述对服务器安全加固的可行性分析以及对服务器安全加固的方案设计的描述,已对服务器安全加固的流程和方式有了初步了解。基于“安全建设整改”的服务器安全加固内容应与安全加固的流程相一致,具体分为三个阶段,即安全加固准备阶段工作内容、安全加固实施阶段的工作内容和安全加固总结阶段的工作内容。下面对服务器安全加固在三个阶段的具体内容进行详细叙述。
1.安全加固准备
成立加固实施团队 在完成服务器安全加固实施工作时,实施团队应负责完成服务器操作系统、数据库和中间件等的加固任务,同时还需要信息系统开发、运维人员的配合。需要建立一支由加固实施人员、信息系统开发人员和信息系统运维人员共同组成的加固团队。
加固对象清分 依据等级保护测评工作确认的范围,确定实施加固的信息系统,并进一步提取出需要加固信息系统中的服务器信息,服务器信息主要包括操作系统类型及版本号、数据库类型及版本号、中间件类型及版本号、是否采用虚拟技术、应用软件使用服务和端口以及补丁更新情况等。
等保测评结果梳理 服务器安全加固主要是依据信息系统安全等级保护测评结果对服务器进行安全配置和补丁更新等操作,需要对等保测评结果进行较为深入的分析,并参照安全加固可行性分析结果梳理服务器加固的内容。
加固内容初步确认 由项目实施组对等级保护测评结果梳理中产生表单的内容进行逐项的测试,在测试中排除存在问题的加固项和加固内容,测试的内容主要包括服务器安全配置更改、补丁更新、加固操作后服务器重新启动、加固后补丁卸载和加固异常后系统恢复等。
2.安全加固实施
安全加固内容现场确认 服务器安全加固现场确认工作主要是指对准备阶段确定的服务器加固方法、加固内容和操作步骤,由被加固单位的服务器管理员、数据库管理员和应用系统管理员共同确认可加固的内容与可实施的操作步骤。
安全加固现场实施 服务器安全加固应依据以下操作顺序进行。首先对服务器操作系统、数据库和中间件的补丁进行更新操作,补丁更新操作完成后重启服务器,监测服务器能否正常运行,如果正常运行则进入安全配置操作,如果运行出现异常则进行补丁回退等操作或启动应急恢复流程。其次,对服务器操作系统、数据库和中间件进行安全配置更新,并重启服务器,监测服务器能否正常运行,如果运行正常则对加固结果进行确认,如果运行出现异常则进行安全配置回退操作或启动应急恢复流程。最后对不能实施加固的内容进行确认并提出安全建议。
安全加固结果分析 主要是对安全加固的内容进行的分析和总结,对每个服务器上安装的操作系统、数据库、中间件以及采用虚拟技术中已加固成功的项和未加固的成功项进行区分整理,进一步对照信息系统安全等级保护测评报告中服务器安全测评结果验证加固的效果。
安全运行监控 主要是对服务器安全加固后的工作进行监控和确认。安全监控的作用在于服务器进行加固处理后,某些隐藏的问题没有当场暴露,而是运行一定时间后才显露出来,影响业务系统的正常运行。因此加固人员需要在完成现场加固结果确认后,进行一定时间的服务器运行状态监控。
3.安全加固总结
安全加固效果验证 安全加固效果验证主要依据信息安全等级保护基本要求,对已经完成操作的加固项是否达到等级保护要求进行判定,对照被加固单位信息系统安全等级保护测评报告的结果,验证原不符合项通过加固后成为符合项或部分符合项,以验证结果为依据编写服务器安全加固效果验证报告。由于被加固单位的加固内容存在差异性,各单位服务器安全加固效果验证应存在不同,安全加固效果验证应在安全监控期结束后进行。
安全加固工作完善 对安全加固的文档、安全加固的方法和安全加固的内容进行修订与完善,形成一套完整的安全加固措施。
服务器安全加固提升信息系统防护能力
目前服务器安全加固的方式多种多样,主要包括服务器物理安全保护加固方式、服务器硬盘加固方式、通过第三方软件对服务器操作系统和数据库进行加固的方式、通过更改配置和补丁更新等进行直接加固的方式。
自2020年12月加入***医疗集团以来担任信息安全经理一职,在这六个月的试用期中通过与各位同事、领导的相处,使我渐渐开始适应现在的工作环境和节奏,在工作中体会到的领导和同事踏实认真的工作态度,让我更加严格的要求主机,把工作做好做细。在此,我需真诚的向各位领导和同事表达我深深的谢意,感谢大家在这段时间给予我足够的宽容、鼓励和帮助。下面就我六个月的试用期工作进行总结。
1. 已完成项目总结:
1)三级等保测评:根据国家相关法律法规要求,北京和睦家医院需通过等级保护三级测评。入职时,此项目已过初测阶段进入到整改阶段,根据测评机构给出的差异分析报告进行高风险项和中风险项的整改工作,作为整个项目的执行者,之前的工作经验在整改过程中起到了一定的作用,提高了整改工作的效率并编写了等级保护要求相关文档,例如:信息安全应急预案,操作系统基线检查模板等,同时也存在一些不足,例如对于等级保护要求的一些条例理解不够深刻,对于等保测评的算分公式不够熟悉等。在最终测评时,积极配合测评机构的测评工作,回答测评机构提到的关键问题,使得终测过程较为顺利的完成,并以优异的分数通过了三级等保测评,拿到了三级等保报告,当然这也少不了其他同事的共同努力。
2)安全体系建设--评估阶段:根据领导要求,负责和睦家信息安全体系建设,作为此项目的负责人,我将此项目分为三个阶段完成,分别为:评估阶段,建设阶段,以及运营阶段。在评估阶段的主要目标是需要评估和睦家现状,以及为安全体系建设第二阶段做准备,如不做评估的话是无法进行从0-1的安全体系建设,在评估的过程中利用自己的专业知识并结合等级保护三级的要求,进行了多维度的评估。完成评估后,列出了安全体系建设架构图,但由于做评估时有些方向没有做深入的调研,导致安全体系架构图的某些模块无法实现,后期会进行一系列的调整及优化。
3)安全意识培训:企业无时无刻都面临着信息安全的威胁及风险,根据领导要求,作为该项目的负责人,已于近期针对于和睦家内部IT部门进行了安全意识培训工作,培训内容包括安全意识概念、密码安全、系统安全、邮件安全、物理安全、社会工程攻击等内容,通过安全意识培训,提升了企业内部对于信息安全的理解以及信息安全的重要性,同时也在一定程度上提升了员工识别信息安全风险的技能和意识,但美中不足的是培训内容过多,培训时间较长,所以需要对培训的素材进行优化。
4)支持其他Site网络安全工作情况:
远程支持**网安检查,配合IT Manger通过青岛市网安的例行检查,并提出与网安检查相关的检查项及关键点,最终***以较高的分数通过检查。
青岛互联网医院上线前审查,配合IT Manager通过青岛互联网医院上线前审查,提供了网络安全应急预案的培训以及相关检查项的整改方案,并在审查当天进行远程技术支持。
***三级等保测评工作,远程配合***在三级等保终测,并提供相关漏扫报告,以及技术答疑等,最终***复核等保三级测评要求,通过三级等保测评。
2. 正在进行中的项目:
a)安全运营中心部署:根据三级等保要求以及安全体系建设需求,需成立安全运营中心,和睦家购买了IBM的SIEM平台QRadar,目前该项目已完成北京区域部署,进入到优化策略阶段,目前已将AD认证类的告警策略优化完成,下一步准备优化病毒类告警以及服务器相关告警,待策略优化完成后,部署全国各Site日志采集器和流量采集器,预计本年度完成全国部署。
b)Knowbe4钓鱼邮件测试平台:由于钓鱼邮件对企业造成的安全风险较高,威胁较大,所以准备采购响应的钓鱼邮件测试平台,通过该平台的钓鱼邮件测试来提升员工对于防钓鱼的安全意识,目前该项目已将报价提交给采购进行价格评估,待采购评估价格后进行购买实施。
c) ***全国安全意识培训:为提升和睦家员工的信息安全意识,计划于本年度完成***全国员工的信息安全意识培训,目前已完成北京***部门的培训,下一步进行***的信息安全意识培训。
3. 个人能力自我评估:
通过六个月的工作,我发现了自身存在的一些优点与不足:
a)沟通能力方面:乐于与同事及领导积极沟通,并了解自己的任务和角色,乐于与同事合作以达成目标,但有的时候沟通方式存在一定的问题,导致沟通效果欠佳。在今后的工作中,也会注意自己与领导和同事之间的沟通方式及方法,做到高效沟通。
b)项目管理能力:擅长项目管理,因为之前系统的学习过项目管理的知识,所以在工作中可以利用学习到的知识去进行高效工作,但偶尔会出现不熟悉企业内部的工作流程导致对于项目的管理出现偏差,我会在未来的工作中尽快的熟悉各项工作流程,避免再次出现同样的问题。
c) 岗位知识方面:在信息安全体系建设、安全运营、安全意识培训以及安全事件分析方面较为擅长,由于网络安全涉及到的知识面非常广,在工作的过程中也意识到我所在的岗位上,有些需要用到的信息安全相关知识自己并不够专业,所以在今后的工作和生活中还需要加强学习相关岗位知识,并实际运用到工作中。
d)工作态度方面:工作态度积极、主动,时常保持良好的状态完成工作或解决问题。
目前,我国商业银行种类繁多,所以商业银行在风险管理方面涉及的范围也很广泛。本文将从宏观角度研究探索,主要从我国商业银行的经营过程中信息安全风险分析,该安全风险包括技术和管理风险两类。文章将侧重讲述我国商业银行信息安全风险管理体系构架。
【关键词】商业银行 信息安全 风险管理 体系构架
在我国加入世贸组织后,在市场经济的影响下逐步形成一个与全球经济同步的开放整体,我国很多商业银行都开始设立国外分行,同时,国外银行也在不断开拓国内市场,这就表明,我国商业银行信息系统安全隐患也将由国内范围加深到世界范围。这时候,应该从分析了解我国商业银行信息系统特性着手,准备把握我国商业银行信息系统的安全风险信息,也可借鉴国外已经成熟了的银行信息系统安全管理体制,再根据本行的信息安全系统的特点,构建并完善我国商业银行信息系统安全风险管理体制,及时防范并有效降低我国商业银行信息的安全损害,确保我国商业银行的信息安全,已经成为我国金融机构热议的话题,必须引起银行以及监督管理机构的重视。
1 我国商业银行信息安全风险管理现状
1.1 信息安全与风险管理
广义上来说,信息安全是在特定社会背景下,国家为维护自身信息安全、低于国外信息威胁利用信息安全的通讯技术、网络IT技术的一种能力。从狭义上来讲,信息安全就是信息内容不被随意泄漏和改变,信息体统不受威胁与攻击。当前,风险管理已经在国际上越来越广泛地被运用,有效的风险管理不但可以削减企业经营风险,还能够在企业决策上提供一定的支持,保障企业的可持续发展。所以,风险管理有非常巨大的存在意义。风险管理是信息安全的基本观念。目前,普遍认为信息安全是识别信息系统风险,并能够采取相应措施不断完善信息系统的一个过程。
1.2 网络风险
在管理商业银行信息系统时,一定要非常谨慎的对待风险管理过程。在评估风险时,可能会发现网络被没有被充分的保护,需要增加一些软件、硬件或者是加强安全管理意识等进行充分保护。网络安全能够平衡银行业务、客户功能和速度。要证明减少某些操作是无误的,比如关闭Active,该行为的发生必须在能够保证银行业务和用户在一个安全的环境下。企业最高决策机构必须时刻强调时刻注意企业的安全,以风险管理为原则不断识别企业网络存在的安全隐患,能准确判断网络容易受到攻击地方,并能够从根本上加强保护。风险评估是风险管理的基础,主要根据三个步骤来实现风险评估:
1.2.1 网络价值的判断
一定要从银行的有形资产和无形资产两方面考虑来评估商业银行的网络价值。比如,在系统出现故障的时候,要考虑到该故障会对企业的财政收入造成的影响;在网络出现故障时,要考虑修复网络需要花费的人力、物力成本,重建网络信息要消耗的资金;在商业银行网络中有重要信息被泄漏,要考虑到整个公司的财政将会受到多大的影响。
1.2.2 定义威胁
商业银行的网络和网络数据经常会很容易被内外部环境的威胁攻击。所以,了解每种类型的威胁是非常必要的,还要尽可能多的鉴别可能存在的威胁。目前,很多管理网络的人员都并不能清楚理解环境自身的威胁。内部威一般很常见也很容易定义、识别。外部威胁就相对较难定义,首先要做的是判断破坏机密文件的以未授权方式的患者记录或者信用卡号。可能是企业的竞争对手为了找到银行客户资料,也可能是为了改变银行的数据并破坏数据的可用性的黑客所为;准确判断网络容易受攻击的地方。安全弱点就是已经被识别的威胁,按等级分类所识别的威胁:威胁的关注度、威胁的可行性。
1.2.3 设定方案
如何执行一个安全的解决方案是网络风险管理过程中的最后一步。该方案需要从以下几方面着手:加强客户以及网络管理人员的安全防范意识;改变并创新网络结构;稳固安全硬件;关闭银行中有安全威胁的并不常用或者根本就不需要的测试、服务以及补丁程序。
网络风险主要表现在这几个方面:安全性风险、网络故障风险、法律媒体风险。防范网络风险需要对网络安全进行风险评估,建立网络安全管理构架,最后制定一系列安全防范措施。评估风险首先需要企业内部专门的网络安全管理人员分析并诊断企业网络安全的状况,然后从管理与技术两个方面探讨研究网络安全问题的存在。网络安全管理体系架构需要考虑到的网络风险的几个方面:通过完善网络设备性能、提高网络承受力、先进传输技术的引进以及定期核查网络设备的方式来避免网络故障风险;通过加强宣传并提高社会成员法律安全意思制定一定的法律条款来防范法律媒体风险;通过增加设立持续不断的电源、增加投保企业保险、加强网络机器安全管理等方法来避免网络安全风险中如断电、火灾等的自然风险。针对网络自身的风险以及网络攻击风险,需要遵循一定的有限级有条理有选择的来解决来自数据、应用、系统、网络的信息安全问题。利用防火墙技术、安全监督体制、IT设计工具、VNP设备、数据加密技术以及数字签名等技术保障网络风险的最小化,并制定符合法律规则的有一定安全标准的全面完善的网络安全风险管理体制。
1.3 外包业务风险
当前,我国商业银行中有一大部分的银行属于中小型银行,在资金水平以及信息技术能力的限制下,缺乏独立的信息系统开发能力,只有通过业务的外包来满足银行信息系统,导致大量的银行核心代码分散到外包公司信息系统中。如果商业银行在这种情况下没有谨慎对待外包商、依据法律条款签订相应的协议、明确协议双方的职责,那么,银行信息系统的信息安全以及系统业务的可持续性将会受到加大的威胁。与此同时,在银行维护信息系统的时候,外包公司审核的不够严谨,没能积极修复系统漏洞、优化信息系统,也会威胁到银行信息系统的安全。银行在与外包公司签订合同协议的时候,如果没有做好协议数据保密工作、外包公司蓄意泄密或者转包服务等情况,都会产生信息安全风险,甚至会给银行带来销毁性的打击。
2 我国商行银行信息安全风险管理体系架构
我国商业银行存在一定信息安全风险是必然的,即使不能避免和杜绝这种风险,也要采取相应的措施最大程度的控制、削减、化解风险的发生频率。我国商业银行信息安全风险管理体系架构主要从技术、运作以及管理组织平台三方面设计。
2.1 管理组织平台
风险管理组织平台处于我国商行银行信息安全风险管理体系的最高层,为整个管理体系提供策略性的引导。主要从商业银行信息安全风险管理的制度与策略、管理人才以及组织机构三方面着手。
2.2 运行平台
我国商业银行信息安全风险管理体系的中间部分就是风险管理的运行平台,也是商业银行信息安全风险管理体系的核心与主体部分。风险运行的整个过程包含了风险的识别、评估以及应对等诸多活动,着重体现一种风险管理持续完善的理念。该过程依据PDCA模式,严格按照计划、实施、改进的管理模式管理商业银行信息安全风险,持续完善商业银行信息安全风险管理体系架构,有利于银行创建良好的安全的信息环境。
2.3 技术平台
商业银行信息安全风险管理体系的最底层便是风险管理的技术平台。技术平台为运行与组织平台的创建和实施提供有力的技术支持,也为我国商业银行信息安全风险管理体系提供了安全性技术保障。从时效上将技术平台分为预防、实时跟踪以及事后恢复三大技术。
我国商业银行信息安全风险管理体系架构主要从技术平台、运行平台、组织平台三方面的构建组成。风险管理组织平台的构建是我国商业银行信息安全风险管理体系的重要组成部分,为整个管理体系提供策略性的引导;风险管理运行平台的构建是我国商业银行信息安全风险管理体系的核心组成部分,风险管理的运行过程严格遵循PDCA的循环定律。通过资产、威胁、脆弱性三方面的评估形成对应的资产、威胁、脆弱性信息,为满足银行业务的需求,可以采取转移风险法、规避风险法、接受风险法以及消减风险法加以应对我国商业银行信息安全风险。具体利用数字加密技术、身份认证技术、控制访问技术、检测入侵技术、数据备份以及恢复技术为我国商业银行信息安全风险管理体系的构架提供安全有力的技术支持。
在我国商行银行信息安全风险管理体系基本构建完成后,还需要对该体系做出评审、改建意见以及相关说明等后期工作。该后期工作的主要内容包括内部审计、外部审计以及文件管理。需要注意的是,在审计过程中,常常会遇到银行信息系统中的大量的铭感信息,假若不能够正确处理审计过程中遇到的银行敏感信息将会给银行的信息安全带来不可忽视的威胁,所以,加强严格管理与控制我国商业银行的外部审计是我国商业银行当前面临的一项刻不容缓的任务。银行最高决策机构应该依据法律制度,设计出相应的整改方案,并定期实施有效方案,提高我国商业银行信息的安全度,保障我国商业银行信息安全风险管理体系的成功构建。
3 结束语
信息在网络信息迅速发展的背景下已经成为一项可贵的必不可少的资源。一般来讲,掌握的信息越多、越准确就越有取胜以及权威的先机。信息对于我国商业银行这样一个特别的行业更是非常重要。在商业银行网络与业务规模不断扩大的背景下,我国商业银行在信息安全保护方面面临严峻的考验,所以,保障商业银行信息安全风险管理体系的安全已经成为目前金融行业重要的使命。
参考文献
[1]陈小娟.我国银行信息安全风险管理体系研究[D].苏州大学,2013.
2019年业务管理部认真执行总行及支行各项规章制度,紧紧围绕支行年初的工作目标,在业务管理、贷款投放、业务检查、客户经理培训等方面狠下功夫,能够有效完成部门工作,现将业务管理部2019年半年主要工作总结如下:
一、主要经营指标完成情况
(一)贷款情况
截止2019年6月30日,支行贷款余额 万元,其中个人贷款 万元,较年初上升 万元,占比 %,个人住房按揭类贷款 万元,较年初上升 万元;企业贷款 万元,较年初上升 万元,占比 %。
(二)利息收入
截止2019年6月30日,支行各项利息收入 万元。
(三)不良贷款
截止2019年6月30日,支行不良贷款余额 万元,较年初下降 %,不良占比 %。
(四)双逾贷款情况
截止2019年6月30日,支行双逾贷款余额 万元,较年初下降 %,占比 %。
二、工作措施及成效
(一)从严管理,确保资产质量
1、严把贷款审查关。一是上报的贷款合法性、合规性进行认真审查,从源头上充分识别客户和业务风险,加大对一线操作人员的指导,对存在较大风险隐患的业务及时进行提示;二是对贷款审查过程中出现的各类问题风险,及时与经办人员沟通,在调动经办行积极性的同时,严格把控风险点,确保贷款质量;三是严格执行国家产业政策和信贷政策,对国家限制和淘汰的行业坚决不予支持。
2.制定贷款管理办法。为规范我支行授信业务操作,防范信贷风险,提高授信业务办理时间,根据总行授信业务管理办法及我支行经营管理措施,先后制定了秦农银行高新支行授信审查委员会工作实施细则等各文件的制定,有利于我支行在业务中统一管理,合规经营。
3.加大检查力度。
2019年为严监管的关键事件,不仅总行及各监管部门加大了检查力度,我支行也在合规方面先后进行了反洗钱、征信、信贷基础、个人按揭贷款等相关检查,针对检查中存在的问题,做到每个问题都有回复,限期整改和责任人处罚并行的方式,规范业务操作过程中的合规性,做到事事必须合规,进一步加强了各机构合规操作意识。
在外部检查不断强化的同时,我支行对检查问题严格落实整改,在贷后检查、银保监会检查、稽核检查等检查中,将存在的问题暴露出来,针对问题及时提出整改方案和整改期限,并形成总结规范,对后期工作起到一定的指导作者用。
(三)做好统计分析、沟通协调工作
我部门充分发挥了“上传下达”的作用,多方获取金融政策信息,及时向分支机构传达了上级文件精神和金融政策,确保信贷政策落实到位。做好了资产数据及信贷报表的统计分析工作,为各级领导及时提供了准确、完整的经营参考依据。
(四)做好案件防控、扫黑除恶工作,防范和化解金融风险
1、按季开展案件风险排查,使各项业务经营合规合法,通过排查案件风险工作,进一步提高广大员工的政治、业务素质、道德素养和遵纪守法、防范案件发生的自觉性,进一步完善案件防控实施方案,提高内控和案防制度执行力,扎实推进支行案防工作有效开展,促进支行各项业务安全稳健运行。
2、严格依照总行部署,坚决贯彻金融机构扫黑除恶的各项工作和措施,从人员、业务、客户等维度全面对黑恶势力进行排查。同时做好扫黑除恶的各项宣传工作,切实做好扫黑除恶日报、周报、月报的上报工作,全面防范、根除黑恶势力在我支行的发展空间。
3、巩固治乱象成果,促进合规建设工作。在2018年整治市场乱象和合规建设深化年的基础上,2019年以部门牵头各条线分别负责对可能出现风险隐患的各个环节进行排查,对存在问题进行积极整改。
(五)做好反洗钱工作,严防洗钱风险
业务管理部汲取历年来反洗钱工作的经验,建立、健全了我支行反洗钱相关的制度、流程及工作规范,制定了系统深入、实践性强的反洗钱培训计划,要求各二级支行按照该计划坚持培训制度,每月组织一次反洗钱相关知识培训,尤其对秦农银行新下发的反洗钱相关制度规定中的新规定、新要求组织集中重点学习以深入学习理解,并且要求各支行员工做好学习笔记,加强学习效果。组织反洗钱宣传活动,确保全员树立对反洗钱工作的重视,增强反洗钱工作的紧迫感、主动性;严格履行反洗钱义务、切实打击洗钱活动。
(六)做好不良贷款化解工作
支行在2019年不良贷款清降压力巨大,反弹形式不容乐观。在我部门的积极推动下,采取多种措施对企贷中心、个贷中心、消贷中心进行全面排查与督导,确保户户有人抓,高压清收,积极转贷。截至2019年六月末支行全面完成不良贷款清降任务。
双逾贷款管理方面,部门对双逾贷款实行每周监测,及到期贷款预警制度。每季度出对本季度到期贷款进行预警,要求提前着手解决,对已经逾期的到款每周报告解决进度。同时配合个贷、消贷、企贷中心积极进行逾期贷款的化解工作。
(七)做好征信查询、异议、宣传工作。征信系统上先后,我部门对支行的征信查询人员进行了全面的培训,组织学习了征信管理办法和系统操作规范,制定了《高新支行违反征信信息安全处罚办法》;同时对征信的查询工作进行定期检查,资料及时归档,防范征信相关风险问题发生。
三、半年工作完成情况
1、顺利完成了高新支行和锦业支行的合并工作,对贷款账务、系统顺利进行合并,档案资料全部进行规范整理,并高新支行档案中心
2、成立个贷中心,并对个贷中心业务操作进行规范,完善支行个人按揭贷款操作审批流程。
3、个人类及公司类授信业务强化管理。对贷款受理、审批流程,受理半径等进行了严格规范。
4、在信贷管理方面。支行在前半年对外部检查中存在的问题查漏补缺,主动查找揭示风险,并进行了全面整改,同时结合稽核每季度序时检查情况,对我支行存在问题进行了逐一核实,对相关责任人依据我行规章进行了问责处理。通过一系列的自查整改,使得我支行的信贷管理水平逐步得到了提高。
5、严格问责。根据内外部检查及自查问题及总行专项信贷检查问题,积极进行整改的同时,对违规违纪人员进行严肃问责,强化回归意识、守法意识。每季度针对稽核中存在的问题,对相关责任人也做到“有错必纠”、“违规必处”。
6、加强消费者权益保护工作,不间断对相关人员进行消保培训,并举办了“反假币”、“反洗钱”、“非法集资”、“反电信诈骗”等多项宣传活动。同时加强消保的培训工作,我部门派出人员参加总行组织的消保培训后,及时组织我支行相关人员对消保领域存在的问题及处理方式进行了全面的培训,使我支行人员对处理问题的能力得到了显著的提高。
关键词:证券行业信息安全网络安全体系
近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。
目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。
1证券行业倍息安全现状和存在的问题
1.1行业信息安全法规和标准体系方面
健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。
虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。
1.2组织体系与信息安全保障管理模型方面
任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照ISO/IEC27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。
1.3IT治理方面
整个证券业处于高度信息化的背景下,IT治理已直接影响到行业各公司实现战略目标的可能性,良好的IT治理有助于增强公司灵活性和创新能力,规避IT风险。通过建立IT治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题,自我评估IT管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。
2003年lT治理理念引入到我国证券行业,当前我国证券业企业的IT治理存在的问题:一是IT资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是IT治理缺乏明确的概念描述和参数指标;是lT治理的责任与职能不清晰。
1.4网络安全和数据安全方面
随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。
1.5IT人才资源建设方面
近20年的发展历程巾,证券行业对信息系统日益依赖,行业IT队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有IT人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任,IT队伍建设是行业信息安全IT作的根本保障。但是,IT人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。
2采取的对策和措施
2.1进一步完善法规和标准体系
首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。
2.2深入开展证券行业IT治理工作
2.2.1提高IT治理意识
中国证券业协会要进一步加强IT治理理念的教育宣传工作,特别是对会员单位高层领导的IT治理培训,将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识,提高他们IT治理的积极性。
2.2.2通过设立IT治理试点形成以点带面的示范效应
根据IT治理模型的不同特点,建议证券公司在决策层使用CISR模型,通过成立lT治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以COBIT模型、ITFL模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lT试点单位,进行IT治理模型选择、剪裁以及组合的实践探索,形成一批成功实施IT治理的优秀范例,以点带面地提升全行业的治理水平。
2.3通过制定行业标准积极落实信息安全等级保护
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。
2.4加强网络安全体系规划以提升网络安全防护水平
2.4.1以等级保护为依据进行统筹规划
等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。
2.4.2通过加强网络访问控制提高网络防护能力
对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。
2.4.3提高从业人员安全意识和专业水平
目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。
2.5扎实推进行业灾难备份建设
数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。
2.6抓好人才队伍建设
证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lT人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。
第一条 为全面贯彻落实《人身保险业务基本服务规定》,建立人身保险公司服务评价体系,提升人身保险公司服务品质和服务效率,切实维护保险消费者合法权益,促进人身保险行业持续健康发展,制定本办法。
第二条 人身保险公司应当通过实施服务评价,建立评价、查找、整改、提高的良性循环机制,不断优化服务流程,改善服务质量。
第三条 人身保险公司服务评价工作应当遵循下列原则:
(一)全面评价。服务评价应当覆盖人身保险售前、售中、售后各个环节中与客户的所有接触点。
(二)客户导向。服务评价应当以客户感受为中心,对人身保险公司服务的过程和结果进行评价。
(三)持续改进。服务评价应充分发挥导向作用,引导人身保险公司不断改善服务水平。
(四)客观透明。服务评价应当考虑不同人身保险公司因发展阶段、经营模式和服务地域导致的客观差异,评价过程公正、规范、科学,评价结果真实、客观、透明。
第四条 服务评价工作由服务评价委员会统一组织、指导和协调。服务评价委员会的秘书处设在中国保险行业协会。服务评价委员会接受中国保监会的管理和指导,中国保监会人身保险监管部为服务评价委员会直接主管部门。
第五条 服务评价委员会下设人身险行业客户满意度指数(ICSI)专家委员会,负责满意度指数测评机制的制定、评估和修订。
第二章 评价体系
第六条 开业满三个会计年度的人寿保险公司、健康保险公司总公司,以及上述公司所辖的开业满三个会计年度的省级分公司、计划单列市分公司应当参与服务评价。
第七条 服务评价应当从影响服务质量的销售、承保、保全、理赔、咨询回访、投诉等环节,对人身保险公司的服务品质和服务效率进行全面评估。
第八条 除特别说明外,服务评价应当覆盖人身保险公司所有个人业务的销售和服务渠道,包括经公司授权委托提供销售或其他服务的第三方渠道。
第九条 服务评价由人身保险公司在服务评价委员会的指导下统一组织实施,覆盖总公司、省级分公司和计划单列市分公司两个层级。
第十条 服务评价指标体系由定性指标、定量指标和客户满意度指数构成。
(一)定性指标包括基本原则、基本要求和创新指引三部分。其中,基本原则是指人身保险公司各服务环节应当遵循的原则。基本要求是指人身保险公司提供服务过程中根据相关法律、法规和规范性文件应当达到的最低要求。创新指引是指部分人身保险公司在提供服务过程中提高客户服务体验,并值得其他公司学习、借鉴的创新做法。
(二)定量指标以保监会和各人身保险公司系统数据为基础,根据特定口径和计算公式,对公司与客户各环节接触点的服务品质和服务效率进行客观评价的指标体系。
(三)客户满意度指数是以客户感受为中心,委托独立第三方从客户角度对人身保险公司服务品质和服务效率进行评价的体系。
第十一条 服务评价采取定性评价和定量评价相结合的方式,评价最终结果由定性评价得分、定量评价得分和满意度评分构成,并分别列示。
(一)定性评价基础分为零,服务评价委员会根据人身保险公司申报的服务创新项目加1至10分,并在最后总分中单独列示。
(二)定量评价模型采用百分制,根据定量评价模型分别由定量指标、单项定量指标、指数评分逐级计算汇总得到保险公司定量评价的总分。定量评价模型由服务评价委员会制定并披露。
(三)客户满意度评价采用百分制,由客户满意度指数专家委员会根据满意度指数模型计算得出满意度评分。
(四)服务评价委员会可根据评价工作需要增设服务评价扣分项,并制定扣分规则。
第三章 评价方法及要求
第十二条 人身保险公司应当成立服务评价执行小组,共同推动和执行服务评价工作。执行小组成员应当至少包括公司总经理、各服务环节的提供和支持部门负责人、绩效考核部门负责人。
第十三条 人身保险公司应当于每年12月31日前,对照服务评价的定性指标从制度和操作层面对公司本年度的服务质量进行评估。
第十四条 人身保险公司从制度层面开展服务质量定性评估时,应当遵循定性指标的基本原则,符合但不限于定性指标的基本要求,探索改进服务质量的方法和途径,不断完善相关的服务制度。
第十五条 人身保险公司从操作层面开展服务质量定性评估时,应当评估相关操作流程及奖惩制度在落实定性指标中的有效性,并采取抽样、实地检查等方式评估定性指标的落实效果。
第十六条 人身保险公司可于每年12月31日前将公司在评价年度采用的服务创新举措(包括方法、技术、模式等)向服务评价委员会秘书处申报,由服务评价委员会对服务举措的创新度和创新效果进行评估和公示,公示结束后根据反馈意见进行相应加分。
第十七条 人身保险公司应当对照服务评价体系的定量指标,对数据来源于公司的各项定量指标进行统计、测评和分析。保监会相关部门根据职责分工对数据来源于保监会的各项定量指标进行统计、测评和分析。
第十八条 定量评价原则上每年开展一次,除特别说明外,评价区间为每年1月1日至12月31日。各保险公司应于次年3月1日前将总公司、各省级分公司和计划单列市分公司的评价结果提交服务评价委员会的秘书处。
第十九条 人身保险公司应当自行开发数据提取程序,实现来源于公司的指标数据全部由系统自动生成,不得人为操作影响数据真实性。
第二十条 人身保险公司应当完整记录和保存定量指标测评过程中的方法、程序和数据,并可在事后再现测评过程和结果,确保测评结果的可验证性。
第四章 客户满意度测评
第二十一条 人身保险公司客户满意度测评工作由服务评价委员会组织、保险公司参与、第三方机构实施。
第二十二条 服务评价委员会应组织人身保险行业客户满意度指数专家委员会建立人身险行业客户满意度指数(ICSI,Insurance Customer Satisfaction Index),作为衡量客户服务质量的关键指标。服务评价委员会应当每年组织开展人身保险公司客户满意度测评工作,鼓励人身保险公司建立面对终端客户的满意度测评体系。
第二十三条 人身保险行业客户满意度指数体系(ICSI)包括人身保险行业整体客户满意度指数、各人身保险公司客户满意度指数、各地区人身保险行业客户满意度指数、人身保险各业务环节客户满意度指数。
第二十四条 人身保险行业客户满意度指数模型采用结构方程模型。模型由企业形象、客户期望、感知质量、感知价值、客户满意度、客户关系管理和客户忠诚度等7个潜变量构成。每个潜变量由与之对应的观测变量决定。所有观测变量的基础数据通过问卷调查方式获得。
第二十五条 人身保险行业客户满意度指数专家委员会每年应依据人身保险行业发展情况、社会关注的服务热点问题及客户满意度指数测评的连续性要求,建立和及时修订满意度指数模型,并拟定具体的《人身保险行业客户满意度指数测评实施方案》,指导客户满意度测评数据的科学采集、参与测评公司及行业的客户满意度指数的测算,每年向服务评价委员会报告人身保险公司服务质量状况和人身保险行业客户满意度指数(ICSI)。
第二十六条 《人身保险行业客户满意度指数测评实施方案》实行版本管理,每年度根据专家委员会的意见进行方案修订和版本升级,具体内容包括但不限于:调查对象、观测变量的选定,
调查问卷、抽样方案、有效样本数量的设计,第三方调查机构的遴选标准、调查过程及结果的管理。
第二十七条 客户满意度测评数据每年采集一次,由具备调查资质的第三方调查机构依据当年颁布的《人身保险行业客户满意度指数测评实施方案》执行。调查数据采集过程中,第三方调查机构必须确保客户信息安全。
第二十八条 负责客户满意度测评数据采集的第三方调查机构由服务评价委员会招标选定。服务评价委员会在选择第三方调查机构前制定遴选标准、建立招投标机制。第三方调查机构应当接受服务评价委员会对测评数据质量的监管,并与接受委托的人身保险公司签署客户信息保密协议。
第二十九条人身保险行业客户满意度调查数据采集完成后,由指数专家委员组织进行《人身保险行业年度客户满意度指数》课题研究并撰写调查报告,报告应对各测评项目的测评结果及其相关信息进行详细阐述。每年测评结束后,由指数专家委员会就客户满意指数的测评结果进行解释。
第三十条 负责满意度测评数据采集的第三方调查机构应当按照指定格式向服务评价委员会提供所有客户满意度测评的原始答卷数据、受访者姓名和联系方式以及调研原始录音。
第三十一条 为有效地指导人身保险公司持续改进服务质量,所有客户满意度测评的原始资料,包括问卷、原始答卷数据和调研原始录音,将通过服务评价委员会专设的公示站点,向参与测评的保险公司公开,便于保险公司及时了解自身客户的意见。但保险公司不得查询非本公司客户的满意度测评原始资料。
第五章 评价组织及管理
第三十二条 服务评价委员会委员由科研院校、人寿保险公司、健康保险公司、保监会、保监局和中国保险行业协会的学者和代表组成。其中,保险公司委员人数不低于50%。人身险行业客户满意度指数(ICSI)专家委员会由科研院校、保监会和保险公司专家担任委员。
第三十三条 服务评价委员会应建立消费者、人身保险公司、监管部门对服务评价工作意见的收集和采纳机制,审议和推进下列工作:
(一)审议服务评价定性标准,更新和公布创新实践标准的具体内容;
(二)审议定量评价指标、客户满意度评价的观测变量、满意度调查问卷的科学性和合理性,组织完善评价体系;
(三)审定年度人身保险行业客户满意度指数测评实施方案,选定第三方调查机构;
(四)组织开展人身保险公司年度服务评价工作;
(五)审核认定公司服务创新项目,分析公司服务质量,编制并管理行业服务评价结果;
(六)总结行业服务工作经验,制定行业服务改进倡议和指引,推广优秀实践,树立行业标准;
(七)其他人身保险服务评价重要工作。
第三十四条 在服务评价工作中可能接触到人身保险公司保单和客户等数据信息的机构和人员,包括但不限于监管机构、服务评价委员会、第三方调查机构,以及上述机构的工作人员或成员,未经授权不得将上述信息用于服务评价以外用途,不得接触、复制、保存、传播或向第三方提供上述信息。
第三十五条 服务评价委员会应当在保监会指导下不断完善服务评价模型,根据各人身保险公司上报的指标数据,计算行业标准值,确定各公司评价结果,并做好服务评价结果的管理和工作。
第三十六条 服务评价试点运行的前两个年度,所有评价结果仅在行业内部。从第三个年度开始,由服务评价委员会向社会公布各人身保险公司及其省级和计划单列市分公司的服务评价结果。
第三十七条 人身保险公司应当对照服务评价结果,查找评价指标及客户满意度显示服务质量不高的环节,深入分析原因、制定整改方案,并将服务评价工作纳入公司日常管理及考核。
第三十八条 保监会及其派出机构应当根据服务评价结果,对评价结果不高的公司加大检查频率和力度,并对评价指标及客户满意度显示服务质量不高的环节进行重点检查。
第三十九条 参与服务评价测评的人身保险公司应当积极配合测评工作,如实提供相关测评数据资料,不得干扰测评活动,不得弄虚作假。针对测评中发现的服务质量问题,监管部门有权要求并督促人身险公司采取有效措施进行整改,提升人身险行业整体服务质量。
第四十条 保监会及其派出机构应当根据需要对人身保险公司报送评价结果涉及的相关资料和数据进行核实,并选择公司进行现场抽查。
第六章 罚 则
第四十一条 人身保险公司未按规定保存评价过程中的方法、程序和数据,导致监管机构在检查中无法以再现方式验证公司评价数据和评价结果真实性的,由监管机构依据《保险法》第171条对责任机构和人员予以处罚。
第四十二条 人身保险公司在服务评价过程中存在虚报、瞒报、漏报等行为,导致服务评价结果不真实的,由监管机构责令公司改正,并向社会公开通报。情节严重的,依据《保险法》第172条对责任机构和人员予以处罚。
第四十三条 保险监管机构工作人员、服务评价委员会成员、第三方调查机构及其工作人员违反本办法第34条规定的保密义务,尚不构成犯罪的,由相关部门依法给予行政处罚,并承担对相关主体的民事责任。情节严重的,移交司法机关追究其他相应的法律责任。
第七章 附 则
第四十四条 服务评价委员会由保监会人身保险监管部指导中国保险行业协会组织设立,并拟定章程报保监会审定后实施。
一、总体思路
认真贯彻落实县联社工作会议精神,以完善制约和监督机制,强化科技安全防范为宗旨;加快科技建设,不断普及科技应用水平,实现全辖业务电子信息化、办公自动化、操作规范化;整合信息资源,在金融服务创新方面求突破,不断拓展业务品种,以优异的科技手段有力支撑我县联社持续的科学发展。
二、工作目标
1、严格内部管理,确保计算机全年安全运行无事故。
2、加大系统运行维护力度,确保系统平衡高效运行。
3、优化用卡环境,做活中间业务,提高业务竞争力。
4、增强科技人员技术本领,有效提升部门形象。
5、强化业务技能培训,提高一线人员操作水平。
6、强化网站更新,施行OA系统,提升联社形象。
7、加大设备保障力度,确保基层正常营业。
8、补充管理制度,加强检查辅导,提高科技管理水平。
9、采取有力措施,切实防范计算机突发风险。
10、积极探索新业务,努力拓展业务品种。
三、主要工作措施
为实现以上目标,我部将采取以下措施,精心组织、逐步开展。
1、完善制度,规范联社科技管理流程。
为确保联社科技信息安全稳定运行,我部将继续完善和补充联社的科技管理制度,对联社金融科技的发展、建设、服务、管理等工作进行全面细化、规范。准备建立《电子设设管理办法》、《科技档案管理办法》、《计算机系统故障处理办法》、《局域网管理办法》、《联社中心机房管理办法》、《科技机构及岗位设置办法》等制度。进一步完善联社内控管理,建立有效的督促约束机制,规范电子设备、科技档案、局域网、中心机房的管理,进一步明确科技人员的岗位职责,有效防范制度管理风险。
2、注重实效,推动各项制度落实到位。
在制度建设时注重做好以下三个方面的工作,首先要仔细研究,字斟句酌,确保有法可依、有章可循。其次要充份调研,民主讨论,确保切合实际、方便操作。最后狠抓落实,推动实施,确保得到执行到位。一是组织培训和学习,在制度出台之后立即组织相关人员进行培训和学习;二是组织检查和辅导,实行定期辅导和不定期检查,辅导时贯彻“量、质”方针,即辅导每月不少于一次,每次不少于一天,力求足“量”;辅导结果要达到让被辅导对象完全理解、熟练操作,力求足“质”。检查时贯彻“全、细、深、实、纠”五字方针,即:检查内容面面俱到;检查过程深入细致,一丝不苟;发现线索,一查到底,坚决不搞下不为例;对发现的问题,有证有据;查处的问题及时督促改正。通过检查辅导,将制度规定及时传达到基层业务一线,普及科技应用水平,有效防范操作风险。
3、防患未然,强化突发事件处置预案。
在增强抗击计算机突发性事件能力方面,我部将做好以下五项工作。一是硬件备份,对县中心与基层和省中心网络实行电信、联通2M光纤双备份,计划对联社中心机房核心的7206路由器进行备份,对报表系统、信贷系统、中间业务系统的服务器进行备份,配备若干台备用主机和安装好程序的硬盘,对联社中心机房和各信用社实行UPS热备份;二是实时监控,首先实施内、外网的物理分离,其次在所有系统安装防火墙和杀毒软件,最后在联社中心机房明确专人,在业务高峰期随时监控主机CPU、内存、交换空间、页面调度、I/O的负荷情况,发现瓶颈环节及时主动处理;三是外部沟通,与省中心、电信部门做好沟通,在故障自身不能解决时,能够迅速得到帮助;四是做好物防,计划对联社中心机房、各信用社机房深化改造,努力达到安全合格标准,坚决达到防火、防潮、防静电、防雷击的要求;五是长期备战,我部所有人员将继续执行24小时工作制度,对全辖系统故障随叫随到,并在最短的时间内处置完毕。通过多种措施,能够有郊防范突发意外风险。
4、尽心竭力,精心维护保养硬件设备。
在终端、办公电脑,特别是打印机、监控等硬件设备维护方面我部将做好以下四项工作。一是主动维护、定期保养基层业务设备,以损坏频率较高的打印机为重点,按使用单位、型号、购置日期登记台账,详细掌握每台设备动态情况,按新旧程度进行每季不少于一次的主动上门保养,延长使用寿命,有损坏的立即调剂更换,集中修理,对已超过使用寿命没有修理价值的,及时淘汰更新,对因业务发展需要增加设备的单位,做到上门安装到位。二是积极协助监察保卫部做好监控设备的维护工作,对故障立即督促维保单位进行排除,对达不到安全保卫要求的,立即提出切实可行的整改方案。三是做好联社机关办公设备的维护工作,对机关各部门办公设备的保障做到随叫随修。四是严格考核,开展设备管理竞赛活动,对能合规使用的先进单位进行奖励,对因不按规定使用设备的人员进行经济处罚,造成损坏的,坚决要求当事人进行现金赔偿。通过优质维保,坚决保证不发生因硬件损坏影响正常办理业务的情况。
5、严谨务实,强化二级管理中心管理职能。
在核心业务系统管理和提高一线柜员操作能力方面,我部将做好以下四项工作,一是进一步提高维护速度,对合规的账务修改、业务需求,按照流程到达我部后,保证在5分钟之内处理完毕。二是进一步提高业务指导能力,对基层的业务咨询做到耐心细致,并举一反三的进行解释指导,对每次的程序升级及时下发书面通知,传达升级精神,同时每季下发一份综合业务系统运行简报,对新业务介绍、新问题注意事项进行全县通报。三是进一步提高业务培训力度,计划在每个季度举办一期一线柜面青年员工操作实用技能培训班,推行汉字五笔输入、规范输入指法,实现数字小键盘和英文大键盘的盲打输入,切实提高柜面人员业务办理速度。四是进一步提高系统操作监督力度,从机房管理入手,直至操作号、密码、授权卡使用和加班监督、机构签退管理等相互制约制度的执行,进行全方面的监督,切实履行岗位职责。
6、推陈出新,优化开发中间业务外挂程序。
在中间业务程序开发、维护方面我部将努力做到人无我有、人有我新、人新我优。一是对财政集中支付、国税代扣、代收交通罚款程序进一步优化,不断提高稳定性,同时将根据财政、国税、公安等客户的需求,对程序进一步升级改造,不断提高适用性。二是进一步简化工资程序,简便操作过程,方便基层操作。三是适时开发各类程序,将根据业务发展需要,自主开发适应性、针对性强的程序。通过优化开发各类程序,为业务创新提供强有力的技术支持。
7、循序渐进,安装推广自助银行和POS机。
在优化用卡环境,有效推广圆鼎卡,有力抢占市场份额方面,我部将做好以下六项工作,一是迅速安装ATM,对已购置的ATM计划在1月底前安装到位,使得ATM基本履盖全部网点。二是主动协助业务拓展部,开展驻城商铺POS消费刷卡机的安装,今年计划在人民路、新建路繁华地段的商铺至少安装20台。三是适时开展卡积分活动,准备在春节期间开展圆鼎卡刷卡消费积分奖励活动,提高圆鼎卡的使用频率。四是大力开办无人自动银行,以为客户提供昼夜存取款、账务查询、转账、自动缴费服务的自助场所,逐步取代效益低的网点。五是加大培训和维护力度,对基层操作人员定期进行培训,经常督促维保单位进行日常保养,保证ATM良好的使用状态。六是搞好宣传,计划利用现有自助银行的空间,进行全县统一模式的广告宣传。通过有效推广使用圆鼎卡,有效增加卡业务手续费收入。
8、提高效率,实现自动无纸化网络办公。
在提高全县办公水平和现代化办公能力,进一步提升联社对外形象方面我部将做到,一是加大网站更新力度,今年我部将与联社办公室继续共同维护联社网站,及时刷新主页,开办信合论坛,力求办成象信合369一样高点击率的网站,从多方面提升联社形象。二是开发使用OA系统,实行办公自动化,实现公文流转、数据采集、三户经济档案、报表传送、信息通知、业务咨询、制度汇编、财产保管、物资领用、任务进度、考核兑现、检查通报、人事教育、企业文化建设、党务建设、纪检监察、工作请示等全部网络共享。通过实现办公网络化,进一步促进提高整个联社部门的办事效率。
9、不甘人后,积极摸索现代银行科技思路。
随着十七大的顺利闭幕,我国经济社会发展进入新的阶段,金融业的重要地位和作用更加突出。但随着外资银行携带的新金融工具、业务品种、营销理念和新服务手段进入中国市场,金融机构之间的竞争日趋激烈,农村信用社传统的金融产品和服务手段,越来越无法适应发展的新要求。因此,金融创新势在必行,只有不断创新才能持续健康发展,才能提高我联社的竞争力。在金融创新中科技创新是保障、是基础,所以我部将做到一是加强自身学习,本着缺什么补什么,干什么学什么,将来需要什么、现在准备什么的原则,开展学习竞赛活动,做到有计划、有笔记、有体会、有进步,提高科技人员的业务本领。二是探索新业务、做好理论准备,在项目评估、公司理财、信息咨询、代保管、国际业务、贷记信用卡、基金代销与托管、代客理财、企业年金、账户管理、网上银行、VIP客户服务、债券代销等方面做好科技准备。
购物车(0)