下面小编为大家带来诠释央行构筑风险防范安全体系的探索论文,本文共7篇,希望大家喜欢!本文原稿由网友“满堂花醉三千客”提供。
篇1:诠释央行构筑风险防范安全体系的探索论文
诠释央行构筑风险防范安全体系的探索论文
基层央行要探索一条联防群治,查防结合,以防为主的风险防范之路,从案件的预防到措施的落实,从人员的选配到岗位的设置,从整章建制到日间操作规范,从风险责任追究到内部管理强化,整体构筑立体式多层面风险防范安全体系,实现安全生产无事故的目标。
一、注重提高安防、责任意识,从“人防、物防、技防、联防”多层面建立四道安全防线
(一)人作为风险防范的'第一要素,其把握员工思想动态尤为重要。
在选拔、任用人员上把好“三关”,一是人员进入关。挑选政治素质好、思想品德高、业务能力强、工作责任心强的人员充实到会计、国库等要害岗位,确保重要岗位队伍人员素质过硬,工作作风过硬;二是人员思想关。关心要害岗位员工,既从静态的角度掌握了解重要岗位员工的一贯表现,又从动态的角度掌握了解重要岗位员工的思想状况,注意员工的心态变化,注重领导与员工的沟通,并将对重要岗位人员的思想关注延伸到“八小时”以外;三是人员教育关。开展多种形式的人生观、价值观、艰苦朴素作风教育,职业道德教育,法制教育,增强员工的敬业奉献精神和遵纪守法观念。
(二)在风险防范设备等硬件的购置经费上,实行重点倾斜。
应投入资金对会计、国库业务核算系统、监控防范系统、计算机安全防雷系统都进行大量的防护隔离改造,选配安全督导员,定期检查,发现问题,及时纠正,确保各业务程序操作安全可靠,万无一失。
(三)建立健全岗位责任制,规范日间操作行为,确保各重要岗位职责分明。
在计算机安全管理上,对各核算系统主机安装屏幕保护,设置进机号令和密码,对操作终端设置人离机后10分钟自动退出,防止他人进入操作系统,对大额资金汇划启用扫描仪进行凭证预先传输,对办公场所实施全方位监控布控。
(四)建立联防互动机制。
应成立风险防范、安全生产领导小组,不定期组织对会计、国库、等重要岗位进行检查,定期召开安防例会,分析各股室岗位间存在的风险隐患,提出改进建议,形成书面报告。同时,与公安、金融机构建立金融安防工作联系会议制度,形成上下配合,协调一致的联防机制,防止不稳定因素的发生。
二、规范操作行为,强化监督管理,构筑资金风险防范安全屏障
在重要岗位设置上,遵循不相容则相分离的原则,做到不该兼岗的不兼,不该代班的不代,避免出现混岗、替岗、乱岗,杜绝业务处理“一手清”行为;在账务核对上,发行基金、行库往来每天的发生额和余额由会计、国库人员在营业终了后互相核对签章,与所辖开户单位、财政、税务部门每月实行面对面对账,由业务主管签署核对意见,在计算机的使用管理上,对业务核算系统实行防护隔离和物理隔离,建立主机房进入签到制度和计算机维护登记簿,防止非业务人员接触核算系统,规定操作人员按要求设置口令、密码,定期更换,填制《口令更换卡》。
三、严格制度执行,完善“四制原则”,预防和控制各类资金风险扩张
层层签订责任状,将分管领导、部门负责人、工作人员的安全管理、直接责任、连带责任通过责任状形式加以明确。进一步完善“领导负责制、岗位责任制、事后监督制、责任追究制”风险防范四制原则,将风险责任分解落实到相关人员。要求各级业务操作员严格执行各项规章制度。建立重要岗位人员考核制度,发现风险苗头及时处理,防止风险进一步扩张。
四、在风险防范上实现“三个转变”
(一)实现由事后被动防范向事前主动预防的转变。
一改过去“亡羊补牢”的事后被动防范,运用事前预测,科技监测,事中评估等手段,对整个工作流程、操作环节、规章执行进行综合评价,建立资金风险预警预报机制,将风险防范管理纳入规范化、科学化管理轨道。
(二)实现由单一局部防范向立体全面防范转变。
过去的风险防范主要以部门防范为主,没有全局一盘棋观念,缺乏整体联防意识,体现在“头痛医头,脚痛医脚”。如今的风险防范强调整体防范,以联防群治为主线,从“人、物、技、联”等多层面进行防范,做到事前预测、事中监测、事后检测,确保支行从资金、发行基金到人、财、物安全。
(三)实现由简单粗放防范向慎密科学防范转变。
随着业务管理规范化、办公自动化、业务操作科技化,以往采用自查、检查、整改及近距离监督等简单粗放的防范手段已落后,已不能适应新形势发展需要。取而代之的是风险防范预警预报机制,风险等级评估,风险量化考核,重要岗位轮换,重要岗位考核等一套规范、科学的防范体系。
篇2:银行会计核算体系风险防范论文
银行会计核算体系风险防范论文
一、中央银行会计集中核算系统的新特点
中央银行会计核算系统(ABS)是现代化支付系统运行的重要基础。中央银行会计集中核算系统改变了原有会计核算的管理体制和运转模式,在核算方式、账务管理、业务操作流程等方面都发生了很大的变化。为有效支持支付系统的建设和运行,并有利于加强会计管理,提高会计核算质量和效率,中央银行会计核算集中到地市中心支行,并由地市中心支行的会计集中核算系统与支付系统城市处理中心(CCPC)远程连接。中央银行会计集中核算系统的特点。一是中央银行会计活动和支付清算服务,是通过网点柜、联行柜的录入、复核、传输等环节,将会计核算信息转换为电子信息进行传输。二是中央银行会计集中核算系统设置了双层处理结构,实现了前后台的分离。集中核算系统营业网点直接面对商业银行等开户单位,录入所有账务信息,传送到核算中心,核算中心进行后台处理。三是清算账户的集中管理,改变了核算和运行管理方式。中央银行会计集中核算系统对清算账户的设置采取“物理上集中摆放,逻辑上分散管理”的模式,即各金融机构在当地人民银行开设的所有清算账户物理上在国家处理中心存储,由中央银行分支机构的ABS进行处理,涉及清算账户的业务日终接收国家处理中心(简称NPC)有关账务数据后,进行所有账务的核算平衡。清算账户的设置,改变了中央银行各核算主体对所辖账户的控制管理,一方面,人民银行可以处理清算账户的借贷业务;另一方面,支付系统各参与者也可以通过前置机系统处理借贷业务,实现对账户的访问。
二、中央银行会计集中核算系统运行的风险分析
(一)道德风险
有些会计人员法律意识淡薄,抛弃职业道德,风险防范及自我保护的意识缺乏,违规操作行为时有发生,对制度执行情况不到位,工作人员没有认真履行职责,审核不严、操作失误。
(二)信用风险
济南市同城票据交换使用票据清分机方式,将票据在各家银行之间交换后,资金清算差额凭证传递到营业室在ABS系统中进行录入清算,如各开户银行在人民银行头寸不足影响资金的清算。
(三)制度性风险
ABS系统和支付系统运行以来,运行管理方式和具体操作内容都必须依靠制度的约束来完成,约束不力就容易造成管理和操作的随意性,从而引发风险。一是支付运行的管理模式不明确,影响支付系统的运行效率,如营业室会计核算业务具体应有哪个部门管理;二是制度的执行流于形式,没有认真按章办事,或者制度的监督执行不到位,如对联行查询查复对其他参与行的时限没有具体要求等。
(四)系统性风险
一是对大额往账没有提供会计主管的认证功能;二是系统中有些重要事项可以由业务主管独立完成,不符合风险控制的`原则,例如系统中对于查询查复的处理和计息账户参数的设定和修改等;三是对支付来账的修改事项不能实施有效的监控,操作人员可以对收款单位账号、户名进行手工干预,而会计主管无法进行事前监督,易造成操作的随意性,从而产生风险。
(五)运行风险
中央银行会计集中核算系统每天通过NPC和CCPC处理大量的业务数据和支付信息,保障网络畅通是系统正常运行的关键,一旦系统或网络发生故障,又不能及时发现,极易造成账务积压,不能进行资金的实时发送,从而造成较大的运行风险。
三、风险控制的对策
(一)明晰风险控制目标,建立风险管理机制
中央银行会计集中核算系统的风险控制目标就是促进会计集中核算和支付清算安全、持续、高效进行,为制定货币政策提供真实完整的会计信息,为银行业提供优质、迅捷的服务,防范资金风险,保障资金安全。同时要确保有效使用资源,最大限度地降低成本。风险管理就是围绕这个目标,针对存在的各种风险,确定防范重点,监督控制过程,做到每一个环节紧密相连,并对控制的过程、结果进行评价、分析,及时调整、解决风险管理中存在的问题,实现发现风险、采取措施、产生进一步管理决策的控制效果,确保系统风险的最小化。
(二)增强风险管理意识,培育内部控制文化
风险控制决不单单是管理者的事情,每一个岗位、每一个人处理每一笔业务时都要考虑风险因素,应通过一定的方法使员工充分认识到风险管理和内控的内涵。一是对员工从严管理,制定完备的行为操守准则;二是增强他们的法制观念及风险防范意识,及时掌握各类风险特征和动态,提高风险的识别能力,同时对会计人员思想教育与业务工作有机结合起来,培育员工良好的职业道德,使遵纪守法、严格执行各项内控制度成为员工的自觉行动;三是通过分配机制和激励机制把人才留在重要岗位、关键岗位;四是通过业务操练和学习,提高会计人员的综合业务素质,使员工树立正确的风险观和风险控制意识,有效地防范道德风险。
(三)健全风险管理制度,整合优化业务流程
制度建设是完善内控和风险管理的基础,健全完善内控制度必须以防范支付清算风险为出发点,将各项内控制度的建设与新系统运行状态下的新增风险点相结合,与系统功能设置相结合。由总行对各核算中心制定的业务制度和操作流程进行整合、完善,解决规章制度缺乏相互制约的问题,加强对重要环节和重要岗位的控制,并随着工作内容的变化,不断地修改、完善、更新,实现风险管理的标准化和规范化,使员工对自己的工作流程与职责有明确认识,将防范风险落实到每一个环节。第一,对现有的管理和内控制度进行修订完善:一是建立健全运行管理制度和内控机制;二是对各参与行的查询查复情况由各城市处理中心ccpc进行监测,并形成制度,增强参与者的自律意识,监督资金及时入账;四是进一步完善数据备份,形成异地备份双保险。第二,明确界定重大事项的内容,严格审批程序,规范对处理结果的检查制度。第三,建立有效落实制度的长效机制,强化管理责任,制度分解到岗,责任到人,建立风险控制的奖惩制度,赏罚分明。
(四)扩大中央银行信用管理范围,加强对参与者的监督和制约
中央银行应在对资信情况进行认真审核的基础上,扩大清算账户的开设范围,充分发挥支付系统容量大、速度快的优势,随时监督各金融机构的资金流量和账户余额,中央银行应充分发挥最后贷款人的作用,通过提供日拆性贷款和高额罚息贷款解决金融机构流动性不足问题,以确保ABS的正常运作和资金汇路的畅通无阻,合理地规避信用风险。
(五)完善权限设置管理,细化系统相互牵制功能
在ABS系统中增设以下功能:一是增设大额往账业务主管认证功能,明确联行柜对大金额业务的审核要素,做到监督严密,职责明确。二是在综合柜计息管理操作中增加复核菜单,由四级权限操作员对计息账户参数设定和修改等业务进行复核,以减少差错,防范风险;合理设定权限,对联行柜三级别操作员独立完成的查询查复等事项增设复核功能,杜绝一手清的行为。三是优化行名行号查询系统,以提高工作效率,减少联行差错,加速资金周转,降低银行风险。四是加强支付信息统计和监测功能,以便做好业务数据的统计分析,为制定和实施货币政策及时提供基础信息。
(六)强化网络维护和灾难备份管理,防范控制运行风险
应制定完善ABS应急处理方案,对可能发生的各种紧急异常情况制定出明确具体、便于操作的解决方案。完善ABS灾难备份方案,建立省份灾难备份中心,通过定期测试,增强应对突发事件的能力,最大限度发挥抗灾防险作用,保障系统的不间断性、业务的连续性和数据的完整性。同时建立统一高效的支付系统运行维护体系,使设备和网络的日常技术维护和技术检查规范化和制度化,从而减少系统发生故障的几率。增改系统部分功能,使系统能够及时检测到网络连接故障,并发出报警提示,以便系统管理人员即时检查排除故障,有效地防范系统性的支付风险。
(七)构建业务监督和制度执行检查相结合的风险监督体系
事后监督部门对同城票据交换、联行业务及是否按权限操作等风险管理的关键环节,应采取业务信息及时采集,对照会计凭证核对电子信息的相关要素,及时、有效地发现和纠正各类差错,实现事前、事中、事后的全方位监督,以达到提高会计核算质量、防范支付清算风险的目的;同时,应经常性开展内控制度执行情况的监督检查,定期监督整个核算系统运行中内控制度的执行情况和风险管理效果。
篇3:个人信息安全风险与防范论文
个人信息安全风险与防范论文
摘要:云计算时代的个人信息安全体系初步形成,但个人信息安全技术风险和管理风险还大量存在,可能导致个人信息的违法收集、利用和处理,因而有必要构建云计算下的个人信息安全监控机制、侦查机制和应急机制,确保个人信息安全可控和云计算产业健康发展。
关键词:云计算;个人信息;安全风险
一、云计算及其潜在风险概述
云计算是继分布式计算、网格计算、对等计算之后的一种新型计算方式,通过互联网上异构、自治的服务,为用户提供定制化的计算。云计算是将网络储存技术、虚拟化技术、网格计算技术、并行处理技术、分布式处理技术等软硬件技术融合发展的集大成者,也是集合了网络、服务器、计算、储存、应用软件等资源并提供快速便捷、即需即取服务的共享平台。云计算具有按需服务、广泛的网络接入、资源池化、快速弹性以及按使用量计费等5个特点;涵盖私有云、社区云、公有云、混合云等4种开发模式]。云计算有3大优势:
一是具有强大的存储和计算能力,能提供即需即取的服务。最大的云计算平台的服务器数量达到百万级别,一般的云计算企业的服务器数量在几十万台,比较小的企业私有云服务器数量也要数百上千台。另外,云计算还能够弹性配置、动态伸缩,以满足用户规模和计算量增长的需要。二是具有开放性,能实现资源共享。云计算将虚拟化技术、分布式计算技术、效用计算技术和定制、计量、租用的商业模式相结合,最大效率地利用了随时连接、随时访问、分布存取的各个服务器,实现了资源的共享。三是具有管理成本最小化以及与服务供应商的交互最小化的优势,能降低使用成本。云计算具有规模效应和网络效应,在硬件成本、管理成本、电力成本、资源利用率方面都有极大的成本优势,企业和个人也省去了服务器的磨损、闲置和管理成本,只需按需要使用相应功能、按服务量支付费用。云计算潜在的安全风险与云计算的技术优势和经济效益总是如影随形。用户对于个人信息安全的担忧是云计算服务推广应用的首要障碍,云计算的理念是开放和共享,而个人信息安全注重封闭和私权,两者之间存在一定的矛盾。个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可识别特定个人的信息[5]。个人信息涉及用户的人身自由、人格尊严、财产权利等基本权利,事关重大,一般具有极高的敏感性。用户在决定是否使用云计算之前会对云计算的安全风险加以衡量。使用云计算功能在线存储的文档、图片、视频等文件大量涉及个人信息,一旦云计算的安全体系被攻破,则可能发生个人信息泄露、贩卖等事件,严重危及用户的人身财产安全,甚至会造成社会恐慌。与传统的互联网技术相比,云计算环境下保护个人信息的必要性更加突出。一是因为云计算下个人信息脱离了用户的控制范围,一旦云计算服务商的数据中心发生事故,用户无法知悉,也无法及时采取措施,只能被动挨打。
二是因为云计算的交互式、参与性、网络化的特点,用户几乎将所有个人信息被动或者主动地全部暴露在云计算服务商平台上,存在信息不对称和能力不对称的问题,一旦发生侵权事件,用户损失巨大,而且难以维权。
三是因云计算的普及性和规模性,小的漏洞都会造成巨大的破坏,损害具有连锁反应。比如,亚马逊的EC2业务由于出现一点小的漏洞,整个云计算数据中心出现全范围宕机;微软的WindowsAzure平台由于个人服务的设置问题,导致所有集群的功能不能使用。目前,研究云计算时代个人信息安全保护的学者大多从国家立法、行业立规的角度展开。针对个人信息保护的建章立法固然重要,特别是构建规制云计算环境下个人信息保护问题的法律规范和行业标准正当其时,法律的具体执行,特别是建立个人信息安全风险的防控机制和措施更是迫在眉睫,本文拟从这一角度进行探析。
二、云计算中的个人信息安全体系与技术风险
云计算架构分为基础设施层、平台层和软件服务层3个层次,分别对应简称IaaS、PaaS和SaaS3个服务类型。IaaS是由政府或者企业建立的大规模服务器和网络传输连接装置等基础设施,同时采用虚拟技术将分散到各个数据中心的服务器集中起来。PaaS包括基本硬件、基础软件、储存设备等,起到应用支持的作用。SaaS的作用是制定一系列标准和协议,构建公共平台,提供最终的应用服务。分层是横向的、纵向的管理系统将这些资源进行统一的配置和统一运行,实现一站式的服务。不同的云计算服务模式意味着不同的个人信息安全体系,目前大多数个人信息安全体系就是基于云计算服务模型构建的。
(一)IaaS层的个人信息安全体系与技术风险IaaS服务提供商将基础设施,包括服务器、储存、网络等IT设施进行组合,形成不同规模、不同用途的服务产品,大到集网络、数据计算、数据处理于一体的应用系统,小到一台处理简单业务的服务器,然后以套餐的形式提供给用户。用户可以像在麦当劳点餐一样,租用产品目录上的IT基础设施服务套餐,将自己的应用部署在上面,开展各种业务。使用IaaS服务的信息安全风险比较大,无论是物理设施、虚拟化技术、接口设施、还是应用程序,如果发生自然灾害或者操作错误,将会对信息安全造成釜底抽薪般的巨大影响。其中,虚拟化安全风险是防范重点。一方面是虚拟机自身存在的安全风险,包括可能面临用户劫持、脆弱的防火墙等;另一方面是虚拟化软件带来的安全风险,包括未经授权的访问、非法删除、非法添加等[6]。在传统计算机技术下,对于个人信息的保护已经有比较成熟的技术,包括加密和密钥管理、身份识别和访问控制、安全事件管理等。云计算环境更加复杂,更加开放。云计算环境下的IaaS个人信息安全体系的关键是将这些技术进行融合,按照一定的技术标准,形成兼容的、完备的安全闭环,确保物理安全、网络安全、虚拟化安全、接口安全。一是要加入安全防护技术,利用防火墙、病毒防护墙等对整个IaaS进行防护;二是要加入访问控制技术,利用加密和解密管理、身份识别等技术为用户提供用户登录管理、用户认证、数字签名等安全管理服务;三是要加入审计技术,对用户的登录和使用情况进行统计分析,按照不同的风险级别区分不同的安全域,实施不同等级的安全干预[7]。
(二)PaaS层的个人信息安全体系与技术风险
PaaS层处在云计算的中间层,具有承上启下的作用,其对于个人信息的整体安全具有重要作用。PaaS服务商提供的是应用基础设施服务,即中间件服务。PaaS用户可以将其应用系统布置到PaaS平台上,应用系统服务器、网络、操作系统、信息管理等应用系统运行的环境,由PaaS服务商提供保障。所有PaaS服务商不仅提供平台,还提供安全服务。他们的职责是提供安全可靠的运行环境,保证用户的信息安全。PaaS个人信息安全体系要求数据处理符合国家法律法规的要求,主要包括:数据存放位置、数据删除或持久性、数据备份和恢复重建、数据发现;同时禁止一些不当的个人信息处理行为,比如:不同客户数据的混合、数据聚合和推理。PaaS个人信息安全体系重点在于对价值较高的个人信息的保护,尤其是防范对个人信息的交叉查询。
(三)SaaS层的个人信息安全体系与技术风险
与等软件服务模式类似。在SaaS平台上,用户不用购买软件,也不用维护管理,只需要按照服务类型和服务时间支付费用,就可以选择使用符合自己需求的软件。SaaS服务商不仅要管理维护自身的软件,而且要将用户的个人信息储存在自己的服务器上,以便用户随时随地可以接着使用软件。个人信息违法犯罪的概率总是与管理权限成正比。特别是在SaaS层下,存在一个基本的矛盾,一方面,SaaS需要将用户的个人信息进行备份,保存在多个不同位置的服务器上,防止数据丢失、数据删除,提供及时的数据恢复服务;另一方面,SaaS可能涉嫌秘密保存和永久保存用户的个人信息,在用户不知情或者已经删除软件上的个人信息的情况下,仍然保留电子痕迹并随时可以恢复数据。所以SaaS应该提供给用户透明的个人信息储存、删除和保护方案。当然,由于SaaS的共享性,用户的个人信息安全风险主要来自第三方的攻击、窃取和篡改等。SaaS层的个人信息安全体系应该包括以下4个方面内容:
一是应用的安全,软件运行的环境安全可靠,软件能够及时更新换代,确保没有漏洞;
二是个人信息数据库的安全,数据库与应用软件数据应该隔离分开,多个服务器进行分别储存,并使用防火墙、密钥管理等技术进行数据库的保护;
三是个人信息的传输安全,采用加密的传输协议,确保用户在客户端和云计算服务器之间传输个人信息时不被截留;四是访问控制机制,由于多个用户共用云计算服务器,需要对个人信息进行分块隔离,采用身份识别、数字签名和访问控制技术对访问登录进行严格管理。上述分析是着眼于云计算平台3个层次本身的技术漏洞,除此之外,云计算用户的服务终端也是个人信息安全风险的重要源头。一方面,云计算环境下,服务终端与云计算平台连为一体,构成一个统一的系统,具有极强传染性和破坏性的病毒很可能从服务终端侵入到整个云平台,导致整个云的崩溃或者瘫痪。特别是现在手机服务端日益普及,APP使用率日益增高,手机病毒的传播更加猖獗,也极易侵入云计算网络。另一方面,操控电脑的也很可能通过云计算网络对服务端发起攻击,即使用户的计算机采取防火墙、杀毒软件等安全措施,但毕竟防范投入和水平有限,未必能阻挡病毒的侵袭。恶意代码制作者、病毒邮件发送者以及其他恶意攻击者可能直接窃取用户服务端的个人信息,这种窃取采取各个击破、蚂蚁搬家的形式,更加难以觉察和防范。他们也可能破解或者盗取用户在云计算平台上的登录名称和登录密码,盗取用户储存在云计算数据中心上的海量个人信息。
三、云计算中的个人信息安全管理风险
除了云计算技术风险,云计算的'管理不善也可能带来个人信息的安全风险。天灾易避,人祸难防,云计算时代个人信息安全管理风险更大,后果也更为严重。技术风险多为概率事件,偶然性较强,而管理风险存在主观故意,发生的可能性更高。技术风险可能造成个人信息的破坏或者丢失,但不一定立即引起直接损失,而管理风险一般伴随着恶意商业目的,紧接着就可能造成用户财产的损失或者人格权利的侵害。技术风险可以由云计算服务商通过技术改进进行补漏,通过人工操作进行补救,但是,在信息不对称的现状下,道德缺失造成的云计算服务商监守自盗所带来的风险几乎是难以防范的。下面笔者将从个人信息的收集、利用、处理3个方面归纳总结各种安全风险。
(一)道德的失范导致的个人信息收集风险
在云计算产业巨大利益的驱使下,云计算服务商可能有意或者无意地大量收集用户的个人信息。云计算的主要商业模式是由云计算服务商运用数据挖掘技术,海量收集各类政府机关、企事业单位、个人用户的信息,进行储存、信息交换、个性服务、定向营销等。信息量越大,服务功能越强,商业价值就越大,这直接激发了云计算服务商收集个人信息的动力。首先,用户在使用云计算上的软件时,并不知悉个人信息已经被计算服务商获取。虽然法律规定服务商必须履行告知义务,但是软件的告知明细往往过于复杂,用户如果不仔细阅读一般都难以发现。特别是信息收集技术的不断进步,云计算服务商的信息收集能力不断增强,信息收集的种类和数量往往超出了用户能够知晓的范围。有时候,云计算服务商秘密收集或者备份用户的个人信息,但有时用户知道自己的个人信息要被收集,为了享有便利的服务,不得不放弃个人信息权。其次,由于数据挖掘、数据比对等众多信息收集技术的出现,云计算服务商具备了强大的信息比对、分析、归纳、推理、整理能力,能够将用户在不同平台不同服务中的碎片化个人信息整理成完整的个人信息图谱,能够掌握用户完整的特征和清晰的活动轨迹。虽然这些个人信息能够更方便地为用户提供优质的个性化服务,但这些脱离信息主体的个人信息,往往处于事实上的权利失控状态,信息主体并不知道谁收集、处理和利用了他们的信息,以及以何种手段收集、处理和利用他们的信息,这构成了巨大的个人信息收集风险[8]。第三,不同云计算平台之间可能存在不正当的个人信息交换,秘密签订个人信息共享协议,实现云计算服务商的商业利益最大化。特别是在云计算不区分国界的情况下,个人信息的跨境传输更难以管控。斯诺登事件就曝光了一些云计算企业在国家力量的支持下,收集其他国家公民的个人信息。这样的跨境收集个人信息的行为,不仅侵害了公民的民事权利,还侵害了一个国家的信息主权。
(二)规则的缺失导致的个人信息利用风险
云计算产业发展迅猛,但是云计算领域的规则和标准的建构与完善却相对滞后,这种不对称的发展造成了个人信息安全领域的无序状况,容易造成个人信息利用的违法和犯罪。首先,云计算安全技术标准还有待强化和细化。没有统一的云安全技术标准,无法强制要求云计算服务商布设有关安全技术措施,导致一些服务商重视能够带来盈利的商业技术,而忽视了不能带来直接利益的安全技术。没有安全技术标准的约束,一些云计算服务提供商还可能在云计算系统中插入秘密收集个人信息的软件,比如等等。其次,云计算行业的制度规范也尚未制定。云计算产业需要一套关于个人信息保护的完整的行为准则,确立个人信息数据库的管理制度,明确个人信息处理人员、安全管理人员、系统开发人员和系统操作人员的职责范围和操作规程。云安全规则的缺失极其容易造成个人信息的滥用。云计算服务商可能将个人信息应用于定向推送广告、不断骚扰下的强迫交易、信息销售等。在现实生活中,用户将身份证复印件提供给服务商时,往往在身份证上注明“仅限用作……”等字样,确保身份证复印件的有限使用和特定用途使用。但是电子数据形式的个人信息极易被复制,很难保证服务商不将其挪作他用。第三,由于个人信息相关法律不够健全,云计算环境下个人信息的保护法更是少之又少,个人信息缺乏有力的司法强制力的保护。云计算用户在个人信息遭受侵犯时,往往难以获得有效的救济。云计算没有地域性,个人信息案件的管辖难以明确,造成立案难;云计算具有虚拟性,电子数据极易篡改,造成个人信息案件的取证难;另外,个人信息具有非物质性,其价值难以计量,造成个人信息案件的赔偿难。
(三)管理的失位引发的个人信息处理风险
我国云计算产业刚刚起步,无论是监管机构还是云计算企业,都尚未建立完整有效的管理机制。一方面,政府监管力度不够。目前,我国云计算的监管部门是国家工信部,由于其职能主要是促进产业发展,因此往往重发展而轻安全。个人信息的违法犯罪涉及司法权和行政执法权,信息化管理部门还无法行使调查取证、强制措施、搜查冻结、罚款没收等权力。另外,由于条件的限制,信息化管理部门进行个人信息安全执法的力量较为薄弱。另一方面,企业管理动力不足。云计算服务商利用个人信息的利益和用户保护个人信息的权利存在一定的矛盾,企业没有足够的动力投入更多的人力物力进行个人信息的管理。云计算企业对于能够产生经济价值的个人信息的利用较为重视,而对于不能直接产生经济效益,甚至有可能产生负效益的个人信息的管理重视不够。云计算服务提供商如果不加强内部操作人员的管理,不加强个人信息保护内部控制的建设,操作人员违规处理个人信息的现象将不断出现。云计算时代,所有IT设备或数据被放到一起集中管理,内部人员拥有的权限让其能轻易获取重要个人信息甚至得到整个云服务平台的完全控制权。用人失察或监管缺位都会给个人信息安全带来灾难性的损失。
四、云计算下的个人信息安全防控措施
云计算下的个人信息安全已经不是一个纯技术问题,仅仅依靠云计算企业采用先进的云安全技术去遏制个人信息的违法犯罪是不够的。唯有法律才能明确管理责任,才能明晰处理个人信息的权限,才能惩罚和防范一些犯罪分子利用个人信息谋取私利。违法收集、利用、处理行为主要承担民事责任、行政责任和刑事责任[9]。个人信息相关法律法规的制定非常重要,而且迫在眉睫。但是个人信息安全防控机制的构建、个人信息安全防范措施的完善同样非常重要。作为以保障公共安全、保护人民生命财产安全为职能的公安机关,在防范和控制个人信息安全违法犯罪中,具有得天独厚的优势。我国应该构建以公安机关为主,信息化管理部门协调配合,法律规制与行业管理相结合的个人信息安全防控体系,构建并完善云计算下的个人信息安全监控机制、侦查机制和应急机制。
(一)云计算下的个人信息安全监控机制
信息的公开具有不可逆性,云计算个人信息安全事故一旦发生,造成的损害无法恢复原状。因而个人信息的保护不能依赖事后的被动处理,而应该着重于监控与预警,从事后救济、被动维护向事前设计、事中报告、主动监控转移,形成常态的监控机制[10]。首先,应该制定统一的技术标准,要求云计算服务商在系统中植入安全监控技术;制定统一的行业规范,要求云计算服务商建立完善的内部控制制度。利用安全监控技术,公安机关、信息化管理部门和云计算服务商都能及时了解云计算系统运行状态。监控技术不仅起到预警作用,也为云计算安全的内部控制提供数据支撑。其次,应该建立常态的个人信息安全报告机制,要求云计算服务商及时报告个人信息流动的异常情况。个人信息安全的报告机制可以借鉴我国《法律中的“大额交易和可疑交易监控与报告”制度,要求云计算服务商将可疑的个人信息流动报告给公安机关和信息化管理部门。可疑的个人信息流动是指个人信息流动在数量、频率、流向和性质等方面表现异常,或与客户身份、登录状况、活动规律不符,存有个人信息违法犯罪嫌疑的流动。
(二)云计算下的个人信息安全侦查机制
严格的侦查机制和过硬的侦查能力是个人信息安全保护的根本保障。要整合公安机关、信息化管理部门、行业自律组织的资源,司法、行政与行业之间无缝对接,协调配合,共同执法。在行政和刑事执法过程中,取证难严重降低了打击违法犯罪行为的力度。在云计算环境下,某些电子证据依靠目前的侦查技术,还难以充分侦测与提取。如在云应用服务中,有许多服务通过运行的虚拟专用网络(VPA)访问,现有侦查技术几乎检测不到[11]。对此,可以采用面向取证的现场迁移技术等进行侦查,采取迁移取证监管来调度和监控镜像证据提取层的每一次迁移操作,并记录下全部的迁移过程信息,保证取证数据符合证据法要求的可靠性和完整性[12]。
(三)云计算下的个人信息安全应急机制
云计算服务提供商应当设置个人信息安全监控中心,负责系统安全的全面维护、个人信息安全的总体监控、个人信息安全情况报告和个人信息安全事件的处置等[13]。公安机关和信息化管理部门要根据云计算服务商提交的可疑个人信息流动报告,进行认真研判、仔细甄别。对筛选出来的违反法律规定的个人信息安全事件,要根据严重程度,启动个人信息安全应急机制。应急机制分为轻微、一般、重大、特别重大等不同等级。不同等级的警报对应不同级别的应急方案。应急方案包括提醒客户、数据隔离、数据恢复、停止运行等。其中数据隔离可以保证用户的个人信息运行于封闭且安全的范围内,防止进一步地泄露,避免用户间的相互影响,减少用户错误操作或受到计算机病毒攻击时对整个系统带来的安全风险。数据恢复是针对计算机病毒攻击的重要应急措施,包括恢复个人信息和遭受病毒侵害的软件等。数据恢复是典型的事后应急措施,可以保证云计算服务可靠性和可用性。
五、结语
技术的进步必然引起法律制度的变革,产业的发展必须依赖法律机制的完善。云计算时代,个人信息安全的法律规制迫在眉睫。随着云计算成为人类基本的工作、生活环境,个人信息都无法避免地集中到云上,海量个人信息的安全问题是公安机关必须面对的难题。个人信息安全监控机制旨在防范犯罪,个人信息安全侦查机制旨在打击犯罪,个人信息安全应急机制则是处理已经发生的犯罪。建立系统的个人信息安全防控机制,多方位协同发挥效力,方能最大程度确保个人信息安全可控和云计算产业健康发展。
参考文献:
[1]周汉华.个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,:3.
[2]姜茸,张秋瑾,李彤,等.电子政务云安全风险分析[J].现代情报,(12):14-15.
[3]李连,朱爱红.云计算安全技术研究综述[J].信息安全与技术,(5):44-45.
[4]齐爱民,陈星.云计算时代的个人信息安全危机与法律对策[J].中国信息安全,(11):83-84.
[5]何培育.个人信息盗窃的技术路径与法律规制问题研究[J].重庆理工大学学报(社会科学),(2):159-162.
[6]林闯,苏文博,孟坤,等.云计算安全:架构、机制与模型评价[J].计算机学报,2013(9):1775-1776.
[7]丁秋峰,孙国梓.云计算环境下取证技术研究[J].信息网络安全,(11):36-38.
[8]周刚.云计算环境中面向取证的现场迁移技术研究[D].华中科技大学,2011:29.
[9]魏光禧.电子商务中个人信息的利用与保护[J].中国商论,2015(5):41-42.
篇4:信息安全风险与信息安全体系论文
信息安全风险与信息安全体系论文
信息安全风险与信息安全体系论文【1】
摘要:信息概念是由信息论的创立者申农提出的,他把信息定义为在信宿中用来消除对于在信源中发出的消息的不确定性的东西。
它包含的两个特质也揭示了成熟的信息的存在与能动主体的目的性行为是不可分的,本文就信息安全进行讨论主要包括信息安全风险与体系结构、漏洞扫描技术与信息安全管理等。
关键词:信息;安全
信息是客观世界中物质和能量存在和变动的有序形式,和组织系统对这个形式的能动的反映及改组。
其中前一个表语表述了信息概念的广义内涵,后一个表语表述了信息概念的狭义内涵。
一、信息的概述
信息是物质的普遍性,是物质运动的状态与方式。
信息的一般属性主要包括普遍性、客观性、无限性、动态性、异步性、共享性 、可传递性等。
信息的功能是信息属性的体现 ,主要可以分为两个层次:基本功能和社会功能。
信息的功能主要体现在以下几个方面:信息是一切生物进化的导向资源,是知识的来源,是决策的依据,是控制的灵魂,是思维的材料。
二、信息安全的重要性
在当今的信息时代,必须保护对其发展壮大至关重要的信息资产,因此,保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。
安全漏洞会大大降低公司的市场价值,甚至威胁企业的生存。
当今世界已进入信息社会,随着计算机、通信技术的迅猛发展,计算机信息系统的广泛应用,促使它渗透到社会各个行业和部门,人们对它的依赖性越来越大。
在军事、经济、科学技术、文化教育商业等行业中,重要的信息资源是通过计算机网络进行输入、处理、存储、传递、输出, 给人们提供迅速、高效的各种信息服务,因此如果不重视计算机信息系统的保护,国家的机要信息资源如不加保护,势必容易被非法窃取、更改、毁坏,将会造成国民经济的巨大损失,国家安全的严重危害。
三、信息安全体系结构
(1)息安全的保护机制
信息安全保护存在的主要问题与政策: 正确的信息安全政策和策略是搞好国家信息安全保护工作的关键, 引发信息安全问题的因素有有外部因素和内部两方面,主要的因素在于内部如信息安全政策不确定;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱、安全管理与技术规范不统一;信息安全市场和服务混乱、不规范;国家监管机制不健全,监管手段缺乏等。
信息安全等级保护要贯彻国家保护重点和基础信息网络与重要信息系统内分区重点兼顾一般的原则。
(2)信息安全体系框架
依据信息安全的多重保护机制,信息安全系统的总要求是物理安全、网络安全、信息内容安全、应用系统安全的总和,安全的最终目标是确保信息的机密性、完整性、可用性、可空性和抗抵赖性,以及信息系统主体对信息资源的控制。
完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。
为了适应信息技术的迅速发展以及信息安全的突出需求,国际上许多标准化组织和机构很早就开始了信息安全标准的研究和制定工作,如美国的国防部DOD(Department Of Defense),国际标准化组织ISO,英国标准化协会BSI(British Standards Institute)等。
四、漏洞扫描技术与信息安全管理
(1)漏洞扫描技术
一般认为,漏洞是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。
随着Internet的不断发展,信息技术已经对经济发展、社会进步产生了巨大的推动力。
不管是存储在工作站、服务器中还是流通于Internet上的信息,都已转变成为一个关系事业成败的策略点,因此,保证信息资源的安全就显得格外重要。
目前,国内网络安全产品主要是以硬件为主,防火墙、入侵检测系统、VPN应用较为广泛。
漏洞扫描系统也是网络安全产品中不可缺少的一部分,有效的安全扫描是增强计算机系统安全性的重要措施之一,它能够预先评估和分析系统中存在的各种安全隐患。
换言之,漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。
随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷,预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。
漏洞扫描的结果实际上就是系统安全性能的一个评估报告,因此成为网络安全解决方案中的一个重要组成部分。
(2)信息安全管理
随着社会信息化的深入和竞争的日益激烈,信息安全问题备受关注。
制定信息安全管理策略及制度才能有效的保证信息的安全性。
制定信息安全管理策略及制度
目前关于信息安全的理论研究,一个是信息安全问题不仅仅是保密问题,信息安全是指信息的保密性、完整性和可用性的保持,其最终目标是降低组织的业务风险,保持可持续发展;另一个观点是,信息安全问题不单纯是技术问题,它是涉及很多方面如历史,文化,道德,法律,管理,技术等方面的综合性问题,单纯从技术角度考虑是不可能得到很好解决的。
这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织,其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。
作为这样一个组织实体应该有一个完整的信息安全策略。
信息安全策略也叫信息安全方针,是组织对信息和信息处理设施进行管理,保护和分配的原则,以及使信息系统免遭入侵和破坏而必须采取的措施,它告诉组织成员在日常的工作中哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全的行为规范。
制定信息安全管理制度应遵循如下统一的安全管理原则:
(1)规范化原则。
各阶段都应遵循安全规范要求,根据组织安全信息需求,制定安全策略。
(2)系统化原则。
根据安全工程的要求,对系统个阶段,包括以后的升级、换代和功能扩展进行全面统一地考虑。
(3)综合保障原则。
人员、资金、技术等多方面 综合保障。
(4)以人为本原则。
技术是关键,管理是核心,要不断提高管理人员的技术素养和道德水平。
(5)首长负责原则。
(6)预防原则。
安全管理以预防为主,并要有一定的超前意识。
(7)风险评估原则。
根据实践对系统定期进行风险评估以改进系统的安全状况。
(8)动态原则。
根据环境的改变和技术的进步,提高系统的保护能力。
(9)成本效益原则。
根据资源价值和风险评估结果,采用适度的保护措施。
(10)均衡防护原则。
信息安全系统工程
安全系统工程运用系统论的观点和方法 ,结合工程学原理及有关专业知识来研究生产安全管理和工程的新学科,是系统工程学的一个分支。
其研究内容主要有危险的识别、分析与事故预测;消除、控制导致事故的危险;分析构成安全系统各单元间的关系和相互影响,协调各单元之间的关系,取得系统安全的最佳设计等。
目的是使生产条件安全化,使事故减少到可接受的水平。
安全系统工程不仅从生产现场的管理方法来预防事故,而且是从机器设备的设计、制造和研究操作方法阶段就采取预防措施,并着眼于人——机系统运行的稳定性,保障系统的安全。
信息安全风险评估与安全预算【2】
随着我国信息化建设进程不断加速,各类企事业都在积极运用网络带来的便利,对各种信息系统的依赖性也在不断增强,但是信息系统的脆弱性也日益暴露,如何通过有效的手段,保证有限的安全预算发挥出最大的效果,以保证信息安全,成为大家共同面临的问题。
一、如何看待安全预算
篇5:电子档案安全管理与风险防范的论文
电子档案是通过计算机磁盘进行存储,相互关联的各种电子档案文件的集合。主要有磁盘、磁带和光盘,通过文字、数字、图表、图画的形式表达出来的一种真实信息,这些信息既可以存储在以上的介质中,还可以存储在云端的网络空间。电子档案具备一些众人皆知的便捷,如信息存储的高密度、多种信息媒体的继承、信息与载体可以分离等。那么电子档案在具备较大优势的同时也会出现一些风险。所以,加强电子档案安全管理与风险防范研究很有必要。
一、电子档案的安全管理
由于电子档案存在着一定风险因素,所以,加强安全管理很有必要。主要可以通过人员监管、严格制度、技术措施、人才培养、政府监管等几个方面加强管理。(一)具体人员监管。电子档案存在着高度保密性,需要具体人员专门对电子档案进行负责和监管,对保存的相关文字、图表、数据和图像等需要一个有经验、有知识、有责任心的专人负责此项工作,做到精益求精。要对工作人员进行专业培训,使他们能够用专业知识加强安全管理,强化责任监督,把电子档案的安全性通过专业技能加以提升。除了有专业人员负责这项工作外,还需要有专门人员加强网络监管,随时对网络进行安全管理,通过技术防备进行监督和处理。(二)落实严格的保护制度。有了专门的人员负责之外,还需要严格的制度加以落实。从制度上要对档案的`真实性、完整性、保密性加以落实,对于那些需要经过处理的电子档案应该加强技术完善,以确保电子档案的准确性。同时还要保证电子档案是否与纸质版文本的内容相一致,是否完成最终稿本,以及是否有病毒存在,是否已经保存完整等等,这些都需要严格的执行与落实。对所有的归档落实保护制度,对于转换硬件和软件的时候要转换打开格式,防止信息失效,在发生安全隐患存在时,要及时进行安全处理,进行修复或者拷贝。(三)技术措施的处理。技术措施的处理需要专门精通计算机网络使用的人来操作和处理,当遇到一些技术性难题时,需要对电子档案的真实性、保密性、安全性进行技术处理。当电子档案需要变更载体时,需要做好防护措施,对每份电子档案做好修改、删除、保存的措施,以密码形式进行保存。(四)专业人员培训和政府监管。定期对专业人员进行培训,及时更新计算机网络新的知识,用最新知识武装自己,在遇到电子档案处理时,能够用新的知识及时处理,以保证信息的安全性和真实性。政府作为社会监管者,有责任把网络监管到位,解决和打击网络犯罪。当然,加强电子档案安全管理的措施不止这些,只有把以上措施落实得当就基本可以保障电子档案的安全性和真实性。
二、电子档案的风险防范
电子档案的风险是多方面的,必须采取牢固的风险防范措施,加强网络监管,这也是做好电子档案工作的必备要求。主要可以从以下几个方面入手,加强风险防范。(一)实施规范化管理。规范化管理首先对人的管理,因为电子档案从建立到流转到存储甚至销毁都是人在操作,所以加强人的职业素质培训很重要。其次,应对整个内部流程进行规范化管理,每一个环节都应该高度重视,防范风险应该从每个环节开始防范。加强内部管理显得很重要。确保电子档案的形成、鉴定、销毁整个流程的把握,保障工作的连续。(二)技术措施处理。电子档案进行安全处理需要高端技术措施,这是风险防范的必用手段,这些常用的技术措施有数据加密处理、网络安全技术、病毒防护技术、身份认证技术和病毒修复以及防火墙等。所以,计算机网络技术的前沿知识必须让责任人员学习和理解透彻,各种规范应该让操作人员灵活掌握,在遇到各种技术问题时还得加强学习或者资料的查阅,保障电子档案信息的真实性、准确性、连续性。(三)风险处理。当风险即将发生之时,应该立即通过一定的技术处理把风险进行拦截或者解除。这就需要采取预期措施在即将出现时立刻处理,进行事先控制,防止风险的继续恶化和蔓延。当风险已经发生后,应该立即通过技术手段把风险带来的损失降至最低。所以,对风险的处理对于防范风险来说也非常重要,要做到识别风险、回避风险、转移风险、分散风险、控制风险等每个步骤。(四)相关法规的完善。形成一个健全的法规体系,依法防范和控制风险是完善电子档案工作的必要前提。虽然电子文件归档与管理的相关规范已经在实施,但是,电子档案的效率化、规范化还是应该加强与改善。电子档案的安全管理与风险防范是各位电子档案工作人员理应具备的基础知识,只有强化理论与实践规范化、实践化、效率化,才可以满足在信息技术高速发展下的各项需求。
【参考文献】
[1]罗芳,谢钰荣.电子档案安全管理措施的研究[J].兰台世界,(14):76-77.
[2]罗金光.从风险管理视角透视电子档案安全管理[J].兰台世界,2013(26):95-96.
[3]乔振涛.从风险管理视角加强电子档案安全管理[J].档案管理,(05):43.
[4]于建光.浅议电子档案的安全管理与利用[J].企业改革与管理,(08):48.
篇6:基于风险导向原则构建基层央行内控评价体系的建设方法论文
基于风险导向原则构建基层央行内控评价体系的建设方法论文
随着组织环境和管理模式的巨大变化,新的科技运用和法治理念对组织治理提出了更高要求,促使组织更加重视治理与风险管理工作。1月1日起施行的《行政事业单位内部控制规范(试行)》对于提高人民银行内部管理水平、规范内部控制、防范各类风险具有重要的指导意义。近年来,中国人民银行抚州市中心支行结合COSO委员会5月发布的新版《内部控制整合框架》,定期或不定期对内部控制运行情况进行评估,探索建立内部控制的动态调整和持续完善机制,初步建立完备的内控评价体系。
一、内控评价体系的基本模型
内控评价体系在设计时就牢牢抓住业务高风险点控制、非现场监管控制、内控风险自我评估三个要点,并适时根据“要点”监控所收集的信息进行分析判断,有针对性地开展内部控制专项审计。业务高风险点控制侧重于对会计、营业室、国库、发行、科技、保卫、外管、信贷等高风险部门的内控评价;非现场监管控制侧重于对辖内县支行内部管理动态指标与静态指标变化情况的内控评价;内控风险自我评估侧重于对全行性各类监督检查结果所反映的屡查屡犯和机制管理缺陷的问题进行综合分析。内控评价体系就是通过对一定时段内业务高风险点控制、非现场监管控制、内控风险自我评估所反馈的信息进行筛选、判断与甄别,并根据风险控制有效性的原则,有针对性地选择判断与甄别结果为风险控制相对较弱的单位、部门作为内控被审计对象,对其内控管理的情况进行现场审计,并提出相应的控制建议与对策。
1.业务高风险点控制。
以“业务高风险点管理办法”为依据,以分级分类风险控制为核心,以高风险业务为对象的控制机制,其最高领导机构为内控领导小组(行长室),日常办事机构为内控领导小组办公室(设在内审部门),管控对象为八个业务高风险部门,各业务高风险部门配备一名内控检查员。业务高风险点控制采取日常检查评价与年度考评相结合方式实施控管及评价。一是日常检查实行三级纵向监督和分级分类区别性监督方式:三级监督由内控领导小组办公室现场检查、分管行领导及部门负责人定期检查、部门内控检查员自我检查构成,自上而下,三位一体,全方位开展监督管理工作;分级分类是将各风险点根据风险高低分为一、二级风险点。抚州市中支每年进行风险识别确定,并编制风险控制图册。度中支机关确定高风险业务36项,高风险点55个,其中一级高风险点27个,二级高风险点28个。同时,将各风险部门根据业务性质分为核算类和非核算类部门,并根据分级分类情况进行针对性、区别性检查评价。二是年度考评由内控领导小组办公室实行,每年对各业务高风险部门实行百分制评价方式,并将结果报内控领导小组审核。以上控制与评价的各项要素信息借助中支大监督会议和审计例会两个交流平台实现有效传导,作为抚州市中支内控审计立项的重要参考依据,有效提升审计项目的针对性、科学性和有效性。
2.非现场监管控制。
主要通过设定监测指标进行分析评估,监测指标的.设置和运用是整个机制的核心,实行静态数据和动态数据相结合的监督评价管理办法。其中:静态数据监测指标4类18项,内容包括行政管理、国库业务存量信息、外汇业务存量信息和计算机业务存量信息,表现为需关注但反映的信息数据基本固定不变或变化次数不多的特点,对其实行年初核查上报备案,适时根据变化情况予以上报反映的操作办法;动态监测数据共6类29项,内容包括财务费用管理、国库管理流量信息、外汇管理流量信息、货币信贷流量信息、计算机业务流量信息和安全保卫,主要指反映的信息数据每月频繁变动,需时常关注和掌握的监测指标,要求通过各类报表、登记簿等反映的相对应数据进行印证核实后实行实时上报,以确保监测数据和反映信息的真实、准确和有效。机制运行的具体步骤为信息收集、信息分类、信息分析、风险评价、形成报告和落实整改。信息收集主要由县支行内审人员完成;信息分析主要采用定性分析和定量分析相结合的方法,将每个月的月末数据分别与上个月、去年同期进行对比;风险评价主要依据信息分析得出的风险点,采用权重的方式,评估出个体的整体风险状况,最终形成文字材料提交中支内审部门,内审部门负责形成综合评价报告,报告行长。
3.内控风险自我评估。
近年来,抚州市中支内审部门在武汉分行的指导下,积极探索内控自我评估的新方法、新途径,在开展“内部控制自我评估”活动基础上,要求机关各部门上报上一年内外部监督检查与被监督检查的数据信息,由内审部门进行汇总、分类、提炼,整理出上一年中支机关接受或开展的各类监督检查情况,重点描述发现主要问题和对应整改措施,并经相关部门核对签字确认无误后,将这些基础数据作为风险评估的依据。在此基础上,探索建立内控风险评估的数学模型,设立问题评估和控制评估为子模型的分层评估方法,借助矩阵评级法,将发现问题的性质和数量、整改情况、监督情况等均纳入评估因素,明确评估标准,划分评估等级,实施风险评估。同时,将收集整理好的基础数据信息导入数学评估模型,按评估发现问题的严重程度和整改控制措施的有效性,评出内控风险等级,提出审计关注建议。通过“自评”,既强化了员工的内控风险意识,促进了业务高风险特色控管工作水平的提升,又为武汉分行在辖内开展内控审计提供了有价值的审计建议,达到了“风险引导审计,审计关注风险”目的。
二、深化内控评价体系建设的思考
1.内控评价数据采集的全面性有待提升。
抚州市中支内控评价数据的采集主要来自于三个方面:一是特色内控管理的监督信息;二是内外部各类监督检查信息;三是内审监督审计信息。虽然这三方面的信息涵盖了一个单位,或一个部门高风险领域规范化信息的基本情况,是内控评价信息来源的基础。但由于设计者在风险评价信息采集的内容上,只考虑了重要性原则,未充分考虑全面性的要求,因此,内控评价数据采集的全面性有待提升。如对一些非高风险领域的评价,或与人财物关联度不高的部门和业务往往重视不够,分析评价的信息数据采集不多。同时,内控评价除了对制度性、规范性的风险信息需要进行收集、整理外,道德风险、法律风险也是内控评价不可或缺的重要组织部分,这有待于我们在今后内控评价实践中加以充实和完善,使之评价更为全面、结论更为客观公正。
篇7:基于技防的高校校园安全防范体系建设研究论文
基于技防的高校校园安全防范体系建设研究论文
摘 要:随着社会环境的日益复杂,高校校园的安全问题逐步得到重视,传统的物防、人防的安全防范模式已不能满足安全保卫的要求,本文提出应构建基于技术防范的人防、物防相结合的三位一体安全防范体系建设,并对如何构建这一体系进行分析。
关键词:高校;安全防范;体系建设
伴随着高校改革和社会的快速发展,高校校园安全问题越来越得到人们的高度重视,创造一个安全和谐的校园环境对高校的健康发展起到决定性作用。城市建设脚步的加快、物质条件的改善等都会给高校校园的安全状况带来冲击。只有提出基于技术防范和和人防、物防相结合的安全防范体系,才能实现科学化、正规化管理,最大限度的保障校园环境安全和师生员工的安全。
1.高校校园安全技术防范体系综述
1.1高校校园构建安全技术防范体系建设的必要性
(1)新的环境要求必须提出技术防范理念
传统的物防和人防要基于这样一个前提:学校的规模比较小且封闭性管理;学校的人力成本相对较低;校园价值昂贵的东西少;犯罪智能化较低。但是,随着社会的发展,这些情况已经产生了根本性变化。目前,高校的校园面积成倍扩大,有的出现一校多区现象,且校园大多是开放式的,一些高校还承担着国家或政府的重点实验室或研究室,昂贵的器材及设备也在成倍增加,且现代犯罪的手段方法也在提高。显然传统的人防物防已适应不了新的环境的要求,需要提出技术防范。
(2)高校校园的构成要素发生了很大的变化
为适应高校的多元化发展,学校的构成要素较之以前发生了很大变化。一是人员结构的变化。当前我国的高校出现的人员结构已不仅仅是以前的教师和学生,而是增加了诸如服务机构的职工,老师家属等难以确定身份的流动性人员。二是建筑结构的变化。为满足需要,高校也由原来简单的教学楼、食堂、活动场馆和学生宿舍等建筑,逐步发展成为拥有现代性服务功能的多元化建筑,如科研中心、学术中心、会展培训中心、超市、宾馆等社区化特征的建筑。三是服务功能的变化。高校已不只是提供教学和科研等基本服务功能,为满足师生的需求,各种服务业也渗入到高校中,如电信服务、银行服务、饮食服务、零售服务等等。
(3)社会安全问题增多
高校的开放性以及校园内人员成分的复杂性使得高校安全性面临着多重考验,一些灾害事故、突发事件等社会潜在危险因素也时刻影响着高校的安全,并且随着学生的生活学习方式的改变,以及大多的在校生和社会的接触非常多,这些都对高校的安全防范体系提出了更高的要求。
1.2高校校园安全技术防范体系
(1)概念的提出
校园的安全防范体系是以环境安全防范体系作为基础,结合高校人员复杂密集、建筑物较多等特点,通过技术方法和手段,依据国家教育及公安部门相关的`规定,对高校中的重点部位进行有效监控,通过科学的措施,使得技防和人防、物防相结合的安全防范体系。
(2)安全技术防范体系建设的组成。
安全技术防范体系主要分为信息采集、信息传输及信息处理三部分。信息采集是通过红外探测、人工采集和电视监控来实现,第一时间取得校园内各区域的信息。收集信息后通过信息传输部分传送至处理系统,传输介质是构建安全防范体系中的一个重要部分。信息处理是安全防范体系中的核心,它将为校园的安全管理提供最有效的信息支撑。三个部分的通力协作,将相关信息递交到校园的相关部门,以提出应对的决策。
2.高校校园安全防范体系的构建
2.1设计目标及内容。
高校内建立安全防范体系的目标是建立起校园内重点部位的监控,对其进行动态化管理,实现技防、人防和物防相结合的新型校园安全防范模式。为达到这一要求,高校的安全防范体系内容主要有通过图像系统建立的监控部分、通过传感器建立的报警系统以及其它辅助单元。监控部分主要有摄相机、显示和传输设备,对校园内区域的车辆人员进行动态实时监控。报警系统主要有红外及微波探测、离子感烟和磁敏感探测等,对校园内的重点部门财务进行管理,实现实时报警。辅助单元主要有电源和接地防雷等系统组成。
2.2构建安全防范体系的具体步骤
构建安全防范体系时,要结合具体的高校环境特点来制定相应的实施步骤。
(1)分析校园基本情况
要了解校园内建筑物总数、功能和人员布局情况等等,以确定出校园内的要害部门和防范的等级,这是构建整个安全防范体系的基础工作,将直接影响着安全防范体系的最终效果。
(2)对重点部位进行布防
确定好了校园内的要害和重点部位以后,就要进行布防,一般划分为涉密、重点、次重点、一般防范部位四个等级。布防实际上就是科学布置系统的前端设备,因为信息的采集都是由这些前端来完成的,这是安全防范体系的一个重要方面,是能否让安全防范体系形成合力的前提。
(3)规划建设信息处理中心
信息处理中心是安全防范体系的核心,规划及建设一定要细上加细。要使得信息处理中心具有处理各类报警信息的基本功能,在选择信息处理中心位置时要尽量减少信息的传输距离,一般可选择校园的中心位置处。
(4)线路铺设及设备选择
重点部位布防完成和信息处理中心位置确定后,就要进行传输线路的铺设,如果是通过DTMF(双音多频)方式进行传输,就可以依托校园内电话系统线路完成,但如果是通过光纤来传输信息,就要重新对线路进行铺设。设备的选择也很重要,要按照具体的需求,来选择相应的功能设备实现安全防范体系的高效运转。
3.安全防范体系的保障管理
构建好安全防范体系以后,要做好后期的保障管理,保证安全防范体系发挥出其应有的作用。
3.1技术人才培养和保障。
安全防范体系建立以后,第一要解决的就是技术人才的培养和保障,要使得人力资源与技术防范系统良性融合,发挥最大效益。首先要提高安保部门人员的学习理念,认清安全防范体系的重要意义。其次要做好人才保障支撑,高校可建立起三个层次的保障梯队。一是技术性人才,主要是对安全防范体系内的设备安装、维护和保养。二是安保理念和技术结合的复合型人才,要求他们既能接受和懂得安全保卫的理念的同时,也要熟悉安全防范的相关技术。三是有技术防范设计理念的领导人才,直接参与技术防范的建设筹划,使得安全防范体系更加科学有效。
3.2建立安全防范体系的机制建设
要保证安全防范体系能够发挥其正常效益,一套严格的完整的制度建设是基础。首先是要做好安全防范体系进行操作的人员管理,建立起相应的规章制度,对操作人员进行相应的培训和教育,完善日常考评等制度。其次要建立完善的安全防范设备的维护保养制度。安防设备的维护保养是一项重要工作,目前容易被一些高校所忽视,或者是对于日常的保养维护没有起到应有的作用。
结 语
高校校园安全防范体系的建立是实现校园稳定的基础工作,只有把技防和人防、物防相结合,构建起安全技术防范体系,才能实现对高校校园环境的整体防范和控制。
参考文献:
[1] 石婷萍.校园综合安防监控系统的设计与管理研究[D]. 华南理工大学, 2010 .
[2] 马川鑫. 高校校园综合安防系统的设计与研究[D]. 西安建筑科技大学, 2006 .
[3] 孙勤. 校园安防系统的设计与研究[D]. 南京理工大学, 2009 .
[4] 王国斌.校园安防系统建设方案.中国现代教育装备,2007(11)
- 矿业资金安全预警体系的建设论文2023-06-10
- 信息安全专业培训体系构建的研究论文2025-05-26
- 国有资本投融资平台公司融资风险控制探索论文2023-05-22
- 青岛市大学生创业财务风险分析及防范对策研究的论文2023-06-09
- 煤矿通风安全管理及事故防范策略论文2023-12-17
- 风险管理视角下的电子档案安全管理论文2024-09-23
- 中心渔港水域通航风险及安全管理论文2022-12-11
- 风险管理在冶金企业安全生产管理中的应用论文2023-08-11