银行科技信息部工作总结

银行科技信息部工作总结（精选10篇）

1.银行科技信息部工作总结 篇一

提升基层人民银行科技信息工作水平的思考

一、基层央行科技人员的业务工作量情况

目前县级人民银行运行的重要业务系统包括：会计集中核算系统、国库会计核算系统、国库收支统计系统、同城票据清算系统、货币发行信息管理系统、金融统计系统、信贷登记咨询系统、办公自动化系统等8个。一般业务系统有固定资产管理系统、人事劳资管理系统、档案管理系统、现金管理系统、财务会计报表系统、账户管理系统。

这些业务系统几乎涵盖县级支行90%以上的业务工作量。由于近年来人行县支行人员调入受到很大的限制，人手十分紧张，硬件、软件、培训和安全管理等等工作往往是科技人员兼任，同时还要承担其他业务工作，因此，支行科技人员事情多且杂、压力大、工作难做。

二、基层央行信息安全管理中存在的问题

(一)基层行工作人员安全意识淡薄

一是县支行大部分员工对计算机安全认识不到位。一些业务人员对防范金融科技风险的意义认识不清，依然认为计算机安全管理是单位领导和科技人员的工作，与自己关系不大，安全意识淡薄。二是对计算机安全保密工作缺乏认识。部分县支行领导对计算机犯罪危害性没有引起足够重视和认真对待，对其安全控制、有效监管认识不足，忽略银行计算机工程安全保密设施等问题普遍存在.(二)科技力量不强，科技人才匮乏

一是科技人员配备少。基层央行科技人员每行平均1人，占其人员总数的3%左右，远远低于人总行规定的6%的标准。二是科技人员年龄偏大。基层行科技人员都是身兼多职，业务量大，科技工作与业务工作同时兼顾。且科技人员年龄偏大，知识老化，业务素质差。平均年龄在35岁左右，30岁以下的科技人员寥寥无几，知识结构单一，新知识和新技术掌握不多，科技人员疲于应付各种日常业务工作，无暇顾及较深层次的电子化应用学习。只能适应基层系统的推广和维护，业务素质跟不上金融电子化的发展。三是科技人才管理机制不健全。目前人民银行系统对支行科技人员的重视程度较低，虽然名称是科技专管员，但实际上是科技兼管员。科技人员每年的工作量要比其他员工多一倍.薪酬却与其他员工没有区别。四是在科技方面的培训少，培训只限于新系统上马和升级的安装培训.没有专门的计算机知识提高培训。支行缺乏有关电子化教育培训的环境和氛围.员工在信息安全知识方面获得的教育与培训机会少。造成支行科技后备人员匮乏。科技人员如果不在，大家都束手无策。五是科技人员干劲不足。县支行不单独设立科技部门，且工作兼职较多，工作干得多，责任大，提职机会少，干一段时间就要求换岗位的较多。六是关键技术个人化现象严重。由于人员的不足，日常技术维护和上级技术培训都由一人参与，所有技术只有一人掌握，一个人承担网络、业务系统和设备维护工作，并负责计算机日常管理和安全管理，工作任务重，很容易顾此失彼，科技人员一旦调动，技术衔接困难，直接影响科技工作。

(三)计算机硬件配置低，影响安全管理工作

1.硬件配置低与软件安装需求高之间存在矛盾。据调查，县支行业务用计算机软件安装情况为：所有计算机均安装有wIND0WSXP(或win2k)、Symantec、LANDesk、lotus notes、360安全卫士、Ofice2003。以上为必须安装软件。大部分计算机还安装有一到两种以上应用程序软件。以上软件在正常启动计算机后，在待机状态内存使用量在99.5M(包括必要的系统进程)左右。系统启动时间平均为l5分钟。在计算机使用状态下，内存占用平均在210M，内存为256M的计算机，占用率82%。当Symantec、LANDesk中某一软件工作时间，cpu使用率达90%以上。

2.硬件配置低导致能耗加大。

据调查.基层央行各项能耗中.用电量占比为15%。其中计算机及网络设备用电量占总用电量的85%。年费用为15000元左右。计算机设备耗电量大主要是由于硬件老化，运行速度慢，用电时间长所致。

3.硬件配置低加大了科技人员的维护难度。

近年来，人民银行对推进信息化建设高度重视，建立了较为完善的业务系统。目前在基层央行已建成、平稳运行着大大小小20多套计算机应用系统，这些系统基本覆盖了人民银行所有的业务，涉及到各个部门。管理维护好这些信息系统，确保其安全稳定运行，已经成为基层人民银行科技管理工作的核心。同时，随着信息系统的数据集中和应用整合，对信息系统的运行维护就不只是开机关机、维持系统正常运行这么简单.而是要对信息系统的运转提供支撑和综合保障，实现信息系统运转的预期目标。然而，由于县级人民银行使用的计算机大部分为2003年以前配置，硬件配置低，科技人员在维护计算机系统过程中要耗费大量的时间和精力，这样必然会影响科技人员的运维能力，进而对计算机信息系统的安全产生不良影响。

三、发挥科技人员安全保障作用的建议

(一)加强领导，完善制度建设

一是要加强领导。把科技工作渗透到人民银行系统各项工作的每个环节。要明确基层央行第一把手为支行信息安全管理的第一责任人，确保信息安全。同时，由上级行制定详细明确的绩效考核制度，严格执行。监督基层行因地制宜的建立、健全支行信息安全管理各项责任制。给支行以适当的压力，迫使支行领导重视计算机安全管理问题的重要性和紧迫性。二是要完善内控机制，把好制度关。每年要结合新业务、新形势的要求，本着“授权有限、相互牵制”的原则.以全面、具体、精炼、有针对性和时效性、便于操作为出发点，建立健全各项科技管理制度，做到“有法可依”，认真落实。三是要抓好基础建设，把好硬件关。硬件过关是计算机系统安全的前提和基础.基层央行应重视科技实体建设，科学合理投入资金，保证硬件设施安全。

(二)充实科技力量，重视人员选配

应转变观念，拓宽思路.把科技应用作为开展各项工作的基础和基本技能，实现科技工作方式由科技一人负责向领导挂帅、科技牵头、部门配合的转变.落实科技安全组织建设，成立以行领导为组长，由科技人员和各部门负责人为成员的计算机安全管理组织，认真履行确定金融信息化发展规划、部署安全检查和落实岗位安全责任制等职责，真正发挥计算机安全组织的领导作用。同时，要加强科技人员人数的配备，解决因科技人员休假、学习或公出等原因出现的科技工作缺岗问题。

在各部门设立计算机专管员.负责日常的简单维护和联系沟通，把科技人员从繁杂的简单维护工作中解放出来，使科技人员专心做好信息安全、网络和重要业务系统维护等关系全局的工作。

(三)大力提升科技人员业务水平县支行科技队伍单薄，技术力量弱小，而且存在人员老化现象。面对困难和新的发展趋势，我们要有过硬的业务技能，否则难以应付日益增长的科技需要.尤其在人民银行信息化电子进程飞速发展的今天.大量的数据集中，无所不在的计算机应用.各项业务对科技支持的依赖性也越来越强。当务之急是要开展多层次的业务培训，进一步提高县支行科技人员的技术水平

2.银行科技信息部工作总结 篇二

银监会为加强商业银行的信息科技风险管理, 提升信息科技风险管理能力发布了一系列的监管文件后, 在2009年3月份银监会正式发布了《商业银行信息科技风险管理指引》 (以下简称《指引》) 。该《指引》适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。本文试图让中小商业银行的IT人员了解《商业银行信息科技风险管理指引》, 以及如何建立满足《商业银行信息科技风险管理指引》的信息安全架构。

一、对《商业银行信息科技风险管理指引》的理解

本次颁布的《商业银行信息科技风险管理指引》共11章76条, 涵盖了信息科技风险管理的各个领域, 同时针对银行现有的组织架构, 对各部门也明确提出了风险管理的要求。下面将主要条款做一个深入的解析。

第一章总则, 明确了指引的目标和适用范围, 指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术, 在商业银行业务交易处理、经营管理和内部控制等方面的应用, 并包括进行信息科技治理, 建立完整的管理组织架构, 制定完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制, 实现对商业银行信息科技风险的识别、计量、监测和控制, 促进商业银行安全、持续、稳健运行, 推动业务创新, 提高信息技术使用水平, 增强核心竞争力和可持续发展能力。

第二章信息科技治理, 明确提出了信息科技治理的概念, 明确了信息科技风险管理的责任人和董事会的相关职责, 并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作, 并直接向首席信息官或首席风险官 (风险管理委员会) 报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责, 互相协作、共同完善信息科技风险管理的架构。

第三章信息科技风险管理, 明确要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划, 制定全面的信息科技风险管理策略, 建立持续的信息科技风险计量和监测机制。本章是从信息科技风险管理部门的角度, 提出商业银行信息科技风险管理的事前控制 (第一道防线) 。

第四章信息安全, 明确要求信息科技部门负责落实信息安全管理职能, 负责建立和实施信息分类、保护体系, 通过建立有效管理用户认证和访问控制的流程保障业务安全, 通过设立物理安全保护区域保障物理安全, 通过将网络划分为不同的逻辑安全域保障网络安全, 通过操作系统和系统软件的安全控制保障系统安全, 同时加强信息系统、终端设备、传输控制、信息保护等方面的安全, 并对员工进行持续培训, 通过建立信息安全体系, 全面控制信息安全方面风险。此章是参考了国内外信息安全最佳实践 (ISO27000与等级保护) , 针对信息科技部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第五章系统开发、测试与维护, 明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废, 制定制度和流程, 采取适当的项目管理方法, 控制信息科技项目相关的风险。采取适当的系统开发方法, 控制信息系统的生命周期。应制定相关控制信息系统变更的制度和流程, 确保系统的可靠性、完整性和可维护性;应制定并落实相关制度、标准和流程, 确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求。此章是针对软件开发与项目实施部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第六章信息科技运行, 明确了商业银行数据中心物理环境要求、人员岗位职责要求, 并要求商业银行制定详尽的信息科技运行操作说明, 建立事故管理与处置机制及时响应信息系统运行事故, 建立服务水平管理相关的制度和流程, 建立连续监控信息系统性能的相关程序, 制定容量规划应及时进行维护和适当的系统升级, 制定有效的变更管理流程以确保生产环境的完整性和可靠性等。此章主要参考了ITIL最佳实践, 针对数据中心与运行部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第七章业务连续性管理, 明确要求商业银行根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划, 以确保在出现无法预见的中断时, 系统仍能持续运行并提供服务, 定期对规划进行更新和演练, 以保证其有效性。此章主要参考了BCP最佳实践, 针对业务运营部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第八章外包管理, 明确商业银行不得将其信息科技管理责任外包, 应合理谨慎监督外包职能的履行, 针对外包方选择、外包谈判、外包协议, 外包执行中的信息安全等方面提出了明确要求。此章是针对商业银行各部门的外包合作, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第九章内部审计, 明确商业银行内部审计部门应根据业务的性质、规模和复杂程度, 对相关系统及其控制的适当性和有效性进行监测, 至少应每三年进行一次全面审计。在进行大规模系统开发时, 要求信息科技风险管理部门和内部审计部门参与, 进行专项审计等。此章主要针对内部审计部门职责, 提出信息科技风险管理的事后控制 (第三道防线) 的重要组成部分。

第十章外部审计, 明确商业银行在符合法律、法规和监管要求的情况下, 委托具备相应资质的外部审计机构进行信息科技外部审计。此章主要从外部审计角度, 提出信息科技风险管理的事后控制 (第三道防线) 的重要组成部分。

通过《指引》解析可以看出, 《指引》的编写借鉴了Cobit, ISO27000, ITIL, CMM, BCP等国内外的最佳实践, 为商业银行的信息科技风险管理指明了方向。同时, 本《指引》从商业银行信息科技相关的每一个主要部门的角度出发, 分别提出具体的监管要求, 从而使得其具备非常强的可操作性。

二、商业银行的应对措施

依据IT风险管理原则与IT风险管理生命周期方法论, 综合通过差距风险获得的具体需求, 设计、规划IT风险管理的目标框架, 指导IT风险管理机制与体制建设。其目标框架如图1所示。

(一) 组织体系建设

建立IT风险管理组织, 采用条线与层级相结合的矩阵式管理模式;建立常设IT风险管理的专业团队, 采用虚拟团队的方式向全行提供IT风险管理专业服务;并设立必要的实体化专业支撑中心。

(二) 管理流程制定

融合IT风险管理生命周期与主要IT流程, 针对IT操作风险与信息安全风险, 建立总体与具体两个层面的风险管理流程, 明确各层面IT风险评估流程的触发机制, 将风险与安全管理工作制度化、日常化, 确保其有效执行。

(三) 控制体系建立

根据风险评估结果、IT风险管理原则及控制策略设计控制措施, 通过完善的IT风险制度体系加以明确, 并通过风险监测与再评估实现对IT风险控制的持续改进。

(四) 技术架构完善

完善信息安全规划的基础设施/技术架构, 设计IT风险管理技术架构, 并推动安全信息管理技术平台的建设以及推广;通过IT风险管理框架, 商业银行可以形成3道防线。

1. 第一道防线

由策略保障体系、组织保障体系、技术保障体系构成完备的信息科技风险管理体制与基础安全控制设施, 形成事前防范的第一道防线, 为业务运行安全打下良好的基础。

2. 第二道防线

由运行保障体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警, 及时排除安全隐患, 确保业务系统持续、可靠地运行。

3. 第三道防线

由应用恢复保障体系与内外部审计构成事后控制的第三道防线。针对各种突发灾难事件, 建立灾难恢复与业务持续性计划, 进行应急演练, 形成快速响应、快速恢复的机制, 将灾难造成的损失降到组织可以接受的程度。通过内外部审计, 保障IT风险管控体系的有效运行。

(五) 利用两种风险控制手段

1. 事件识别

为获得组织的第一手的风险资料, 需要对IT风险事件进行分类, 建立IT风险事件的管理组织与流程, 制定风险事件响应机制。事件的收集与分析也可用于预测未来发生系统故障的可能性, 及时采取必要的控制。

2. 风险管理

风险管理包括风险评估与风险控制。风险评估是指从风险管理角度, 运用科学的方法和手段系统地分析信息与信息系统所面临的威胁及其存在的脆弱性, 评估风险事件一旦发生可能造成的危害程度;风险控制是对已经评估出来的风险要进行风险控制措施的规划与实施, 以建立有效的IT风险控制及日常运作机制, 把IT风险降到组织可以接受的水平。

(六) 利用两种监督措施

1. 风险检查

安全检查工作一般由风险管理部门和信息安全管理部门来负责实施, 经常性的检查有利于落实信息风险管理的方针与策略, 及时发现在技术、人员及流程方面存在的风险隐患, 也有利于提高员工安全意识, 保证业务的持续运行。

2. IT审计

3.商业银行的信息科技风险管理 篇三

关 键 词： 商业银行；信息科技；风险管理

中图分类号： F830.33 文献标识码：A 文章编号：1006-3544（2013）05-0031-02

一、商业银行信息科技风险

在信息技术与银行业务深度融合的今天，信息科技风险事件往往涉及范围广、客户多、金额大，在给银行造成经济损失的同时，也会带来很大的声誉损失。银监会前主席刘明康曾表示：“如果银行系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2～3天以上不能恢复，将直接危及其他银行乃至整个金融系统的稳定。”因此，可以毫不夸张地说信息科技安全运行和健康发展是银行业务正常开展的重要保障和基本前提， 关乎银行声誉、金融安全和社会稳定。表1显示了近年来商业银行发生的几起典型信息科技风险事件。

根据中国银监会发布的《商业银行信息科技风险管理指引》，信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在巴塞尔新资本协议体系中，信息科技风险被视为操作风险的一种。它具有区别于一般操作风险的特殊性：（1）风险因素复杂，大量使用外包和新技术使得风险控制的复杂度大幅提高。（2）潜伏性、偶发性和不确定性突出。比如，通过充分风险论证的生产系统，短期内无风险隐患，而随着生产环境的压力逐步扩大， 系统的脆弱性就会逐步暴露；一个具有很高安全性的电子银行，随着病毒的不断变种，黑客技术的提高，新的安全问题就会出现。（3）信息科技风险一般不直接造成经济损失，其造成的间接损失难以计量且极可能引发声誉风险。（4）影响范围广。单个信息系统的故障就可能影响银行多项业务。 在银行数据大集中的形势和背景下，信息科技风险也趋于集中，成为惟一能使银行瞬间瘫痪的风险。

从国内的监管导向看，笔者认为信息科技风险管理有两个重要的目标：一是保证银行业务的稳定和连续；二是保护客户信息安全。如果不能实现这两个目标，则可能引发直接或间接的经济损失以及声誉风险和法律风险。

二、信息科技风险的影响因素

从前述信息科技风险管理的两个目标出发，可以通过分析影响目标实现的因素来了解引致信息科技风险的原因。影响银行业务的稳定和连续的因素主要有软硬件故障、人员误操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、病毒传播、应用系统及版本出现异常、数据缺失或丢失、外包服务不到位、自然灾害或人为损坏设备、缺少业务连续性计划、灾备基础设施不健全、日常应急演练不充分，等等。影响客户信息安全的因素主要有内部人员利用流程、权限漏洞盗用客户数据；外部人员运用技术手段侵入系统盗用客户信息；内外勾结盗用客户信息、外包服务商泄密等等。

以上这些因素在巴塞尔新资本协议中也有相关的描述。巴塞尔新资本协议对操作风险的损失事件形态分为7个类型，吴博（2010）将其中与信息科技风险的损失事件有关的三个类型整理后大致覆盖了引发信息科技风险的因素，见表2。

当然，上述这些影响信息科技风险管理目标实现的因素仍只是引发信息科技风险的中间变量，其本身也可被视作信息科技风险的表现形式。透过这些表现可以很容易发现管理不到位才是导致信息科技风险的最根本原因。

从实践来看，近年来信息科技快速发展有力支持了商业银行各项业务的快速扩张。但同时，管理、运行维护跟不上的矛盾也日渐突出，“重建设、轻管理、重开发、轻运维”的现象较为普遍。有监管部门研究表明，近年来发生的信息科技风险事件中，多数事件发生都源于制度不健全、流程不完善、落实不到位，很少有纯粹技术原因引发的事件。因此，可以说管理到位是防范信息科技风险的关键。

三、信息科技风险管理措施

信息科技风险管理应贯穿于信息科技工作的全流程，涉及到信息科技风险管理的“三道防线”，需要由信息科技部门和各业务部门共同完成。具体管理措施如下：

1. 完善风险治理架构，各司其职。构建和完善信息科技风险管理的三大防线，即信息科技管理、信息科技风险管理、信息科技风险审计，从三个不同角度、不同纬度，对风险进行立体防控。需要注意的是三大防线的安排不应是简单的对应信息科技风险管理的事前、事中、事后三阶段，风险管理部门、审计部门应积极参与到业务连续性计划制定、应急演练、系统开发、外包管理等信息科技日常风险管理工作中，实现风险管理的前移。

2. 健全管理制度体系，重在执行。建立、健全信息科技管理制度和业务操作流程并认真执行。制度建设要从新产品上线或新系统投产前开始，要建立完善的上线或投产方案以及上线或投产后相关的管理制度和业务流程，并制定回退机制或应急预案以应对意外情况。同时，要积极研究各类信息安全风险案例，总结归纳新的风险点，有针对性地完善制度。要建立制度执行的监督评价机制，商业银行的董事会、监事会、高级管理层以及审计部门要切实监督评价信息科技各项制度的执行情况，对制度执行不到位的责任人要进行问责或处罚。

3. 合理规划系统资源， 未雨绸缪。（1） 纵向规划发展进度。在系统规划设计阶段就要评估能否满足未来较长时间的业务需求，合理安排系统升级、版本切换等工作。（2）横向匹配系统资源。在系统资源短期内不变的情况下，合理分配资源，通过系統分级，将资源优先分配给等级高的系统以保障重要系统的稳健运行。

4. 密切监测系统运行，防患未然。通过技术平台对信息系统的运行状况进行全程监控。一、二级骨干网是否畅通、网点终端和自助设备是否运行正常、应用系统是否正常服务、是否有异常交易、网络是否遭到非法入侵等，都必须纳入实时监控范围，以确保在第一时间发现问题和风险点，及时采取应对措施，防患于未然。

5. 落实业务连续计划，加强演练。要在全行层面建立和完善可操作性强、覆盖各信息科技系统的业务连续性计划和应急预案，包括业务恢复机制、风险化解和转移措施、数据备份以及应对媒体的统一策略等。针对新发生的突发事件以及新发现的薄弱环节，要及时对预案进行总结更新。加强应急预案演练，以保障银行在突发重大事件面前，能从容应对，迅速恢复生产运营，尽可能降低损失。

6. 推进科技队伍建设，提升能力。首先，要明确岗位职责，因岗定人，岗位匹配，并落实岗位制衡。其次，要完善激励约束机制，以激发员工的主观能动性，并使科技队伍保持基本稳定。最后，要加强培训，培养员工风险防范意识和风险防范能力，提高员工的信息科技业务水平。

4.银行科技信息部工作总结 篇四

2012年将是《邮政金融IT总体规划》全面落实的一年，根据总行2012年工作思路，结合我区实际，特制定《中国邮政储蓄银行广西区分行2012年信息科技工作要点》。

一、指导思想

2012年，我分行将以科技理念强化服务支撑，紧抓信息化规划、建设、运维和安全管理等多层面工作的落实：加快金融信息化建设，加大创新，提高科技研发能力；加快新业务、新功能的发展，加速科技成果应用和转化有效支撑业务整体发展，不断推动服务水平上台阶；加强数据分析的开发利用，通过对数据的深度加工、分析，实现对经营管理、风险监测、决策分析等工作的支持，使信息技术的应用从业务操作层提升到管理决策层，为各项业务管理和服务提供强有力的支撑；加强全区信息科技人员的配备，组建“软件开发、数据分析、系统维护”三支队伍，建立健全各分支行科技支撑体系，不断满足邮政金融信息化建设和运行的需求；继续强化安全运维，增强科技支撑能力，保障金融计算机系统安全稳定持续运行，为优质服务提供坚实可靠的保障。

二、2012年信息科技主要工作

（一）加强队伍建设

根据总行的统一规划，逐步推进各级行科技组织架构和科技队伍的建设，适时充实区、市两级行的运行维护、科技管理、数据分析、软件开发队伍，快速建成一支与邮储银行规模相适应的高素质的技术队伍，以满足信息化发展对科技工作的要求，从而支撑行内各项生产、经营和管理的需要。

（二）加强运维管理 1.推进运维模式转型

推进运维工作由“应急型”向“预防型”转变，以预防为主，减少系统运行故障。要建立运行维护计划体系，将信息系统性能分析、定期巡检等各项预防性维护工作纳入技术运维全年计划中；要进一步完善应急管理体系，不断提高突发事件的应急处理机制。

推进技术支持工作由“支撑型”向“服务型”转变，以服务为导向，不断强化服务意识，提供优质的技术支持。逐步建立科学、规范的运维体系和工作流程，促进运维生产管理工作的规范化和科学化。

2.深入开展安全运行年竞赛活动

始终坚持“领导重视、竞赛引领、多方配合、重点突破、持续进步”的指导方针，制定并下发《2012年广西邮政金融系统安全运行竞赛活动实施方案》，组织各级技术业务人员通力协作，不断提升邮政金融信息系统安全运行水平，提高服务质量，为客户提供更加快捷、方便、优质的服务。

3.强化科技风险管理

进一步加强信息科技风险管理，完善管理体系，提高风险管理水平，推动信息科技风险管理工作稳步健康发展。统筹信息系统项目建设，加强识别、计量、评价、预警和控制，通过定期评估、报告，不断提升我分行计算机系统风险防范能力，保障信息系统安全、持续、健康运行，完善数据分析相关制度、流程，提高业务数据安全性。

同时，完善应急预案建设和提高演练的可操作性。一是不断补充场景，细化流程，提高预案的可操作性。二是推进周期性演练，提升预案质量和人员应急处置能力。三是研究建设预案、演练等支持系统，促进相关工作更好更快跟进。

（三）加快系统建设

以抓好总行信息化建设为主线，同时加快推进省内区域性业务建设，从而不断加快产品投产速度，加快战略转型，不断满足我分行向现代化商业银行转型的信息化需要，不断提升我分行的核心竞争力。

根据初步安排，今年集团公司和总行的信息工程项目共计有14个，主要包括：

1.邮储银行个人信贷评分系统

项目计划于2012年2月底前完成，该系统采用全国大集中模式构建，全国中心负责业务的集中处理和数据的集中存储。应用软件采用B/S架构，各级业务人员通过浏览器方式，完成各项业务和管理操作。系统功能包括：实现评分模型开发和管理、个人信用评分、审批规则审核等功能。

2.邮储银行银企直联系统

项目计划于2012年2月底前完成，该系统采用全国大集中模式构建，在区分行配置前置系统，负责与地方性企业客户连接。系统功能包括：实现邮储银行公司业务系统、中间业务平台、集团客户现金管理等系统，与企业客户生产经营、财务管理系统间的交易转接和分发处理。

3.邮储银行信息统计系统

项目计划于2012年3月底前完成，该系统采用全国大集中模式构建，应用B/S架构，各级业务和管理人员通过浏览器方式，完成数据管理、报表管理和数据分析等各项操作。系统功能包括：实现数据报送、经营监测和决策支持功能。

4.邮政金融计算机系统运维安全管理平台

项目计划于2012年5月底前完成，主要对现有邮政金融计算机系统安全管理平台进行升级改造，新增登录信息加密传输、运维操作安全审计等功能，并对硬件设备进行扩容，消除系统单点故障。

5.邮政金融客户信息平台

项目计划于2012年6月底前完成，该系统采用全国大集中模式构建，实现个人客户、公司客户和同业客户信息的统一管理功能。

6.邮政金融机构管理系统

项目计划于2012年6月底前完成，该系统采用全国集中模式构建，应用B/S架构，各级管理人员通过浏览器方式，完成机构管理各项操作，实现统一机构编码、机构审批管理、机构信息维护、机构撤并管理、机构信息查询统计、机构信息交互等功能。

7.邮政金融柜员管理系统

项目计划于2012年6月底前完成，该系统采用全国集中模式构建，应用B/S架构，各级管理人员通过浏览器方式，完成柜员管理各项操作，实现柜员身份核实、柜员代码统一生成、柜员岗位及用工信息记录、柜员基础信息管理分析等功能。

8.邮储银行资金管理系统

项目计划于2012年9月前完成，该系统采用全国大集中模式构建，应用B/S架构，各级业务人员通过浏览器方式，完成各项业务管理和查询操作。通过系统建设，实现内部资金转移定价、利率风险管理、流动性风险管理功能。

9.邮储银行人行支付前置系统

项目计划于2012年10月底前完成，通过系统建设，将现有大额支付、小额支付前置功能从公司业务系统剥离，建设独立的人行支付前置系统，与人民银行支付前置系统对接，实现邮政储蓄银行大额支付、小额支付业务的统一转接、统一处理和集中统一清算。

10.邮储银行集中清算系统

项目计划于2012年11月底前完成，该系统采用全国大集中模式构建，实现全行各项业务交易的集中清分、资金的统一结算和统一调拨功能。

11.邮储银行会计处理平台

项目计划于2012年11月底前完成，该系统采用全国大集中模式构建，实现各业务系统交易的集中、统一会计核算。

12.邮储银行渠道管理平台

项目计划于2012年12月底前完成，该系统采用全国大集中模式构建，实现人工渠道、自助渠道和外部渠道的统一接入、安全认证、交易分发等功能，实现柜员的统一签到、统一签退和统一轧账功能。

13.邮政储蓄统版中间业务平台改造

目前中间业务平台建设，已完成我分行现有中间业务的数据移植和系统切换，实现个人客户和公司客户的代收、代付、预约转账等功能。计划于2012年2月底前完成非税、社保、广西电网、脱期批量、国库以及代收高速罚没款等现省内所有中间业务项目移植。

14.邮政储蓄系统逻辑集中工程

项目计划于2012年12月底前完成，该系统采用全国逻辑大集中模式构建，实现与会计处理平台、集中清算系统、渠道管理平台、客户信息平台等系统的互联，实现本外币、储蓄汇兑业务的整合，并新增本外币活期一本通、本外币定期一本通、对账簿、预付卡、跨省补登存折、三省三地转账等功能。

（四）加强数据分析

为积极引导各级机构开展数据分析需求挖掘与项目分析工作，2012年计划在全区范围内开展数据分析“贴近业务、走进基层”系列活动。通过深入各市分行，开展实地调研，收集基层需求，并通过将数据分析成果落地应用与各级机构的生产经营活动相结合，为各级机构的精准营销、精细化管理提供数据支撑。每期活动内容，均通过OA系统下发《中国邮政储蓄银行广西区分行数据分析工作简报》的形式，对活动进行概述及总结，及时向全区各市分行通报分析成果和工作动态，强化各分支行对数据分析的认识，逐步提高数据分析水平。

此外，为进一步加强科技支撑业务发展的能力建设，提升科技服务理念，要加强与各业务条线的沟通和交流，主动服务生产经营，汇集各种业务需求开展分析工作。2012年一季度计划开展数据分析项目主要有4个：（1）示范网点客户类型及交叉营销效益分析；（2）公司授信及供应链融资业务的资金往来分析；（3）消费类贷款借款人从事行业分析；（4）电子渠道交易分析。

通过活动的开展，将进一步提升数据分析工作的科技水平，达到提高分析工作效率、提高分析成果应用和推广能力的良好效果。

（五）加强基础网络建设

5.村镇银行信息科技整改报告 篇五

内审合规部于1-2月份对我部门的信息科技相关情况进行了内部审计，审计中发现了一些问题，我部高度重视，认真整改，现将整改情况汇报如下：

一、加强信息技术内控制度的建设

加强与外包行兴业银行的互动，建立本行与兴业银行的良性运行机制，积极参与到兴业银行的相关内部控制流程来，做到托管行和外包行之间的相互牵制和协调。

加强本行内部控制制度的建设，贯彻执行国家有关信息系统相关法律、法规和技术标准，落实人民银行和银监会相关监管要求，履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责，建立、健全村镇银行信息科技风险管理相关规章、制度，并严格执行。

建立健全良好的控制环境，控制环境是村镇银行信息科技的风险基调；做好各项信息系统的风险评估；进一步做好信息科技的不相容职责相分离、相关业务流程的授权审批制度、信息安全管理等控制活动；加强信息系统建设，信息系统不仅处理内部资料，而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。我行应加强与外包银行、监管机构、高级管理层、股东以及治理层之间的信息沟通；做到对信息科技内部控制的持续监控。

二、提高系统维护运行效率

进一步加强与承包方的沟通管理，沟通管理是企业组织的生命线。管理的过程，也就是沟通的过程。企业是个有生命的有机体，而沟通则是机体内的血管，通过流动来给组织系统提供养分，实现机体的良性循环。沟通管理是企业管理的核心内容和实质。

我行应采用书面与口头沟通相结合的沟通制度，例如，提交运维申请单书面文件后，相关人员应及时电话通知兴业相关运行维护人员。采用正式沟通和非正式沟通向结合的沟通方法，正式沟通是通过明文规定的渠道进行信息传递的交流方式，非正式沟通不仅可以获得信息，也是建立信任和关系的沟通。

强化运维体系建设，提升系统服务水平。要进一步完善运维管理流程，健全运维管理制度和标准，确保配置足够的人力、物力、财力来维持安全、稳定的信息科技环境，提升信息科技运维保障能力。在高度上做好管理流程整合，在深度上做好业务流程分解，强化事件分级制度，建立起一个有效的事件分级及响应机制，加强对业务连续性的管理，保障金融服务持续稳定。

三、加强员工的信息科技安全知识培训

进一步提高信息科技人员履职能力。采取有效方式和途径，通过求助发起行或聘请其他外部专业技术人员对现有科技人员进行培训，提高信息科技人员的综合素质和履职能力。

针对银行一线员工，集中开展关于银行业务所需的相关设备的操作和维护的培训，使一线工作人员掌握基本的相关设备耗材更换，灰尘清理等一些简单维护技能，这样一来既能缩短业务等待时间，提高工作的效率，又能节省科技人员的工作精力，使信息科技人员得以专注信息科技日常管理工作。

铁岭新星村镇银行信息科技部

6.银行业信息科技风险监管报告 篇六

银行业信息科技风险监管概述

信息科技风险是随着信息科技技术广泛应用而新生的词汇，最早出现在上世纪九十年代，目前业界对此缺乏统一的定义。中国银监会定义的信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

2001年巴塞尔新资本协议草案明确了银行业资本监管的发展趋势，即将资本要求与银行风险管理紧密相连。新资本协议以监管当局对资本计量的要求为基础，通过约束银行资本，达到控制行业规模和风险的目的。在新资本协议关注的三大风险中，信息科技风险被默认为操作风险的一部分，未对信息科技风险的管理提出具体要求。

信息科技稳定运行是银行业务正常经营的基本条件，银行数据集中造成了风险的高度集中，科技风险成为唯一能使银行瞬间瘫痪的风险。信息科技风险具有区别于其他操作风险的特殊性：一是风险因素复杂，大量使用外包和新技术使得风险控制的复杂度大幅提高；二是由于管理因素、技术因素多重作用，导致偶发性和不确定性突出；三是信息科技一般不直接造成经济损失，其造成的间接损失难以计量；四是单个信息系统可影响多个业务，影响范围广且具有不确定性。

科技风险与操作风险当前处在不同的发展阶段，其管理理论、管理方法等方面有着一定的差异性。在管理体系方面，信息科技风险管理的理论已进入风险导向的科技风险管理阶段，但以风险为导向的识别、监测、计量方面尚不成体系；在管理方法方面，信息科技风险的特殊性在于产品和技术层面的风险也是其重要风险因素；在损失特点方面，信息科技风险通常不产生直接的风险损失，这决定了通常情况下科技风险损失往往难以使用货币金额方式进行表示；在风险计量方面，目前尚缺乏有效计量信息科技风险资本的方法。

当前银行业大多将信息科技风险作为操作风险的一部分，纳入银行全面风险管理体系。但是，随着行业发展和技术进步，在操作风险模式下管理信息科技风险也存在一定的困难：一是目前的操作风险管理方法中对科技风险的管理方法涉及较少，难以兼顾到信息科技风险的专业技术特性，难以实现对信息科技风险的有效管理 ；二是风险监管资本计量未能充分考虑信息科技风险因素，信息科技风险造成的损失及其相应的监管资本计量存在困难。基于科技风险特点及其作为操作风险一部分进行管理遇到的问题，将信息科技风险从操作风险中拆分并独立管理，能更有效的管理信息科技风险。

信息科技风险应被视为一种独立的、重要的风险类型被单独管理，与操作风险的管理分开；应根据信息科技损失的特点设计与操作风险标准法和高级法匹配的计量模型，体现信息科技风险对银行资本的影响和敏感性。

银行业信息科技风险核心监管指标

在实施“风险为本”的监管框架中，需要探索建立一套可量化、相对简单、可动态监测的核心监管指标体系，来动态监测信息科技风险状况，直观评估银行信息科技风险的管理水平。

核心监管指标作为监管机构识别和预警银行风险的重要手段和方法，对健全内部风险制衡机制，完善风险管理政策和流程，优化风险计量工具，进行有效的风险控制起到了积极的促进作用。信息科技风险核心监管指标可以分为两类，一类是结果性指标，另一类是过程性指标。结果性指标是以目标为导向，对已经发生的科技风险事件和信息安全事件进行统计后建立的量化指标，其反映的是风险状况和发展趋势。过程性指标主要反映银行风险控制和管理能力。这样两类指标相互补充，起到全面评估机构风险水平的目的。

信息科技风险监管具体目标包括业务连续性、信息安全、公众满意度以及合法合规。从信息科技风险监管目标出发，可逐层分解出系统可利用率、业务量等指标，它们相对简单、直观、容易测算和计量，可以成为结果性指标。另外一类是过程性指标，这类指标基于当前银行业信息科技管理最佳实践，对信息科技的每个领域都能够起关键控制作用。监管指标一方面可以用来监测银行业整体风险状况，评估银行业风险水平，同时也可以与监管手段相结合，提高信息科技风险监管水平。

银行业信息科技风险资本计量

信息科技风险是巴塞尔新资本协议全面风险计量框架中的组成部分，科技风险资本计量是科技风险管理的重要手段。

计量信息科技风险可以借鉴当前相对成熟的操作风险的计量方法。但是，直接用操作风险计量方法计量信息科技风险存在挑战，主要表现如下：一是信息科技风险与总收入、业务交易量、客户数或业务交易金额等指标的关联并不密切；二是大部分信息科技风险的损失不是显性的，除少数信息科技风险事件（如引发客户索赔、延误罚息）有“直接损失”外，大部分信息科技风险事件的影响体现为业务中断、声誉受损等“间接损失”；三是信息科技风险损失数据相对较少，极端严重事件的数据更少，计量 “尾部风险”面临挑战。

基于高级法的计量思路是在操作风险的统一计量框架下对信息科技风险这一类型单独计量，可将信息风险损失定义为金额损失和时间损失两个维度，建立时间与金额的转换关系，拟合频率分布和严重度分布，之后整合为总损失分布，根据置信度确定未来一定时期内的非预期损失，最后用内部衡量法进行调整得出计量结果。将科技风险持续时间转换为间接损失金额有两种方法，分别为解析法和映射法。解析法是考量信息系统对银行利润贡献度，即某个信息系统单位时间对银行产生的利润，根据系统中断时间、影响范围、系统重要性进行计算，得出信息科技风险事件的间接损失。映射法是根据影响范围和系统重要程度将影响时间加权计算转化为“标准”的影响时间，然后建立标准影响时间与损失金额之间的映射关系，从而确定损失。

未来，随着信息技术的飞速发展，银行业对信息科技的依赖越来越大，云计算、物联网等新技术既加快了银行创新发展，对信息科技风险管理提出了更高的要求；快速变化的外部环境，开放的互联网环境，技术类企业、第三方平台等非金融机构与银行业的业务服务不断融合等，所有这些都使得信息科技风险管理与监管面临着更加现实的挑战，需要我们不断地思考和研究，提高信息科技风险管理能力。

7.我国银行信息科技风险监管研究 篇七

1 银行信息科技风险分析

1.1 信息科技风险概述

银行信息科技风险是指银行在使用计算机、网络等技术进行产品、服务或信息传输时, 所产生或引发的不确定性因素。我国银监会出台的《商业银行信息科技风险管理指引》中对此做了如下界定:信息科技在银行运行过程中, 由于自然因素、人为因素、技术漏洞以及管理缺陷产生的操作、法律或声誉等风险。可见, 科技信息风险不仅涉及银行内部程序和流程, 还关系到银行的组织结构、政策以及操作风险的管理流程。

1.2 银行信息科技风险特征分析

银行信息科技风险兼具信息技术和银行业务的特点, 可从风险属性和管理角度对其进行分类。

第一, 从属性方面分析, 银行信息科技风险具有技术含量高、突发性强、快速蔓延和覆盖面广的特点。与传统风险相比, 信息科技涉及计算机技术、网络通信技术和安全技术, 因此其技术含量较高;信息技术风险多数是由于自然灾害或不可抗力造成技术设备被破坏, 从而导致业务连续性风险;信息技术的任何一个环节出现故障, 都会迅速蔓延, 加剧风险的严重性;信息科技风险故障源责任无法准确确认, 电信部门、电力部门或外包服务商都可能对其正常运行产生影响。

第二, 从管理方面分析, 信息科技风险具有历史短、范围广、标准化不足、评估和计量困难的特点。信息科技在银行业务中的应用历史较短, 因此仅被视作业务处理技术手段, 而未上升到战略决策的高度;信息科技与银行业务层、操作层、管理层和决策层有不同程度的关联, 增大了管理范围;信息科技的硬件、软件、网络等没有形成标准化, 不同银行的实现方式不同, 增大了管理难度;信息科技风险引发的财产损失无法衡量, 而与之相关的法律风险、战略风险更是难以进行评估和计量。

可见, 银行信息科技风险具有自身特点, 若不对其进行严格的防范和管理, 将严重影响银行企业的运行, 甚至对国家的经济稳定产生威胁, 因此, 加强银行信息科技风险的监督管理意义重大。

2 我国银行信息科技风险监管存在的问题

2.1 监管法规和政策方面

首先, 银监会出台的一系列政策并不含国际监管准则的基本要素, 仅对监管目标进行了笼统的概述, 还没有建立明确的监管程序和监管要求, 这些要素的缺失, 降低了监管的可操作性。其次, 目前的信息技术风险监管多是发布风险提示, 如针对“网银安全问题”发布的“网上银行安全风险提示”, 这种做法存在的主要弊端是银行和监管人员不清楚违反要求操作, 会给业务带来哪些不利影响, 因此降低了监管的有效性。最后, 信息科技风险监管法律法规的框架已经具备, 但建立的不同法规之间会存在重复或遗漏问题, 对科技信息重点问题缺乏监管和指引, 需要进一步的协调和完善。

2.2 监管手段和方法

目前, 我国银行还未建立有效的信息科技风险评估方法和评价体系。传统风险可用特定方法进行度量, 但科技信息风险具有极强的不确定性, 且造成的损失存在隐蔽性, 难以估量, 因此还没有建立比较完善的评价体系。风险评估手段的缺失, 导致银行部门无法利用传统的方法对信息科技风险进行抵御和防范;在非现场监管方面, 无法有进一步的作为, 只能对科技投入进行监测, 无法对由于内部操作引起的损失进行全面掌握, 监管处于事后应对的被动阶段。信息科技风险监管不仅缺乏量化指标, 还缺少有效的评价体系, 难以对银行信息科技风险形成较为全面的理解, 监管处于割裂、无序的状态。

2.3 监管人力资源

我国银行信息科技风险监管人员配备上存在很大不足, 据统计, 全国银监会系统内专职从事信息科技风险监管工作的专业人员仅为总数的0.4%左右, 与国外发达国家相比, 存在很大差距;从人员素质方面上看, 我国银行信息科技风险监管人员多为计算机专业, 对银行业务了解不多, 因此只能承担着本单位内部系统维护的职能;银行信息科技风险监管是需要懂技术、懂业务的复合型人才, 否则难以发现信息科技系统内存在的风险隐患。

3 加强我国银行信息科技风险监管的对策研究

3.1 完善银行信息科技风险监管机制

3.1.1 健全银行信息科技风险监管的法律法规体系

监管机构应积极学习国外银行的先进理念, 结合我国国情制定完善的法律法规体系。为有效应对我国银行机构在信息科技方面治理缺失、重视不够、规划不足和管理不到位等原因, 带来的系统性风险不断增大等问题, 将风险管理关口前移, 监管机构应在机构、业务和信息准入方面加大管理力度, 将信息科技准入纳入相关的行政许可法规中, 确保银行在金融机构设立、业务开办与系统运行之前就能符合业务发展的需要, 为业务的正常运行提供安全的环境;要制定银行信息科技风险治理意见, 从组织结构、战略规划、运行机制、激励约束等方面明确监管要求, 指导银行建立完善的风险管理组织结构。制定银行信息安全管理规范, 组织银行金融机构总结经验, 明确目标, 制定符合我国银行发展实际的信息安全管理规范, 从安全策略、管理体系、技术要求、风险评价与监督四个方面形成完善的信息安全管理体系。

3.1.2 增加信息科技风险监管资本投入力度

信息科技与银行业务高度融合, 这就要求我们不仅要从科技角度对其风险进行识别、评估和处理, 还应将信息科技与监管资本密切联系。首先, 将信息科技风险纳入银行机构全面风险管理框架中, 使信息科技风险得到量化评估;其次, 建立信息科技风险监管协作机制, 将风险专业评估结果纳入风险评估报告中, 在机构、高管和业务准入及退出环节增加信息科技条件, 防止信息科技风险防控不达标的机构、高级管理人员和有关业务进入;最后, 将信息科技风险与监管资本结合, 提高机构对信息科技管理及风险防控的重视力度。

3.1.3 完善信息科技风险评估体系

信息科技风险评估的有效开展是以非现场监管为基础的, 建立一套科学、合理的监管风险体系可为监管人员的业务开展提供便利, 促使其准确识别、监测、评估和分析信息科技风险, 并为风险预警、监管评级、分类管理和持续改善提供参考和依据。我国科技信息风险监管处于起步阶段, 要尽快积累历史数据, 对其进行分析, 然后根据不同机构的特点制定一套标准模型分值和权重, 使其在实际应用过程中不断完善和修正;充分发挥信息监管人员的积极性, 鼓励他们不断学习, 提高自身的学习的积极性;学习国内外企业的先进监管经验, 吸收和借鉴最新的实践成果, 对现有的评价体系进行调整和补充。

3.2 提升信息科技风险监管科技水平

银行机构应建立信息技术实验室, 为监管人员模拟银行业务操作, 近距离了解信息科技风险提供条件。信息技术实验室主要职能有:信息科技风险培训, 实验室可由两部分组成, 其中一部分为小型的数据中心, 配备网络、服务器等设备, 同时安装银行业务模拟系统, 供监管人员了解二维码、云计算、家庭银行、在线测试技术的发展情况, 保障监管机构在技术风险管理领域处于领先地位。

3.3 强化信息科技风险监管队伍建设

信息科技风险监管专业性强、进入门槛高, 是否具备足够的高素质专业人才是决定监管有效性的重要因素。我国银行业信息科技风险监管人才匮乏, 应大力加强人才队伍的建设。建立学习型团队, 将监管人员从大量、繁杂的技术维护工作中解放出来, 使其能够继续学习专业技能;进一步加强合作交流, 可派技术骨干前往其他机构学习考察, 学习先进的管理经验和预防技巧;通过交流, 分享经验, 探讨形势及其应对策略;鼓励业务监管人员掌握信息科技监管知识, 增加信息科技风险监管人员的来源途径, 减轻人力资源紧张问题。

4 结束语

综上所述, 信息技术、网络技术和通信技术与银行业务的融合, 一定程度上促进了银行业务的拓展, 方便了人们的消费, 提高了银行工作效率;同时我们也应该意识到, 信息技术的应用也会给银行业务造成威胁, 应从监管体系、资本投入以及人才培养三个方面采取措施, 降低信息科技风险带来的损失, 提升我国银行应对信息科技风险的能力, 保障我国金融行业的稳定发展。

参考文献

[1]孙一飞.商业银行信息科技风险管理研究[D].上海交通大学, 2013.

[2]潘勇, 邢燕.论我国网上银行的监管及其完善[J].河南省政法管理干部学院学报, 2010 (05) .

[3]王海颍.银行信息科技风险现状研究与对策建议[J].时代金融, 2015 (21) .

8.银行科技信息部工作总结 篇八

一、基层人民银行信息安全现状

人民银行于2010年印发了《中国人民银行计算机系统信息安全管理规定》（以下简称《规定》），其中关于基层人民银行的信息安全风险集中体现在三个方面：应用系统（包括业务和管理）风险、机房环境风险和网络安全风险。

近几年来，随着金融电子化的不断推进，越来越多的应用系统相继投入使用。对县支行目前正在使用的重要应用系统的调查结果显示，县支行的应用系统都采用了B/S模式与架设在总分行的服务器进行数据交换，地市级仅进行数据采集和筛选工作，业务数据通过网络集中存储到各大数据中心和清算中心，采用数据集中模式的应用系统比重达到lOO%。由此可见，在数据集中模式下，保障网络安全平稳运行意义重大。

二、待改进的方面

随着《规定》下发和信息安全基线的制定，基层人民银行在信息安全制度的建立和执行、网络安全管理、应用安全管理等诸方面取得一定的成效，但仍存在一些问题亟需解决。

（一）网络安全方面

1.管理人员业务能力参差不齐

网络管理和维护工作对于网络管理人员的能力要求比较高，需要熟知路由器、交换机等核心网络设备的工作原理和配置，能够快速排查网络故障。《规定》中要求网络管理人员实行AB角备份制度并定期轮换，在基层人民银行，B角往往是名义上的替补人员，并不具备网络知识，一旦在A角出差或休假期间网络出现紧急故障，将会导致业务系统无法正常运行，造成重大影响。

2.安全管理机制建设尚存隐患

目前，计算机安全管理的基本组织框架、管理框架、管理机制、策略方法、工作流程还在初步探索之中，内部缺乏信息安全监督机制，各单位、各部门、各岗位的信息安全管理职责及相互间的协作和制约关系未系统化地建立起来。

（二）应用系统安全方面

1.技术防范手段不足，功能有待完善

防病毒系统、非法外联监测系统、补丁分发系统和中安源系统、XP盾甲构成了目前基层人民银行的内联网安全防护体系。但在使用过程中发现防护体系存在一些缺陷；由于检测策略自总行安全中心下发到支行需要一周左右甚至更长时间，病毒定义码分发的滞后性以及防病毒软件版本不能及时升级的问题，也给支行病毒防治工作及计算机的安全运行带来一定影响；补丁分发系统在多台主机同时进行补丁更新时常常更新失败：中安源系统有效防止了大多移动存储设备的使用，但是不能防止苹果手机的USB端口接入，光盘的使用一定程度上也会给计算机、网络的安全运行带来了隐患。此外，针对Windows XP客户端设置中禁用Guest账户和本地策略的一些安全设置会影响打印机等设备的共享使用。

2.系统存在安全漏洞，补丁分发滞后

在第二代支付系统和ACS系统上线之后，绝大多数业务系统都统一到了Windows平台上，随着这一平台安全漏洞的不断暴露，内部信息安全和业务系统的正常稳定运行不断受到考验。微软公司已宣布于2014年4月停止为Windows XP系统提供漏洞补丁服务，2015年1月360 XP盾甲系统有效保证XP系统后继补丁的发放。目前，基层人民银行存在着多种操作系统版本并存的局面，由于操作系统不统一，增加了系统补丁及时安装的难度。

三、对策建议

（一）高度重视网络运维，确保网络平稳运行 一是努力提高网络管理人员的业务水平，加强培训使其熟练掌握核心网络设备的参数配置，迅速诊断网络故障，并及时采取措施，增强网络管理维护能力。二是做好网络资源日常管理维护工作，定期或不定期对设备进行维护检查，加强与电信、联通运营商的联系，确保线路出现故障时可立即联系上维修人员。三是制订切实可行的网络系统应急预案，做好预案动态维护工作，提高预案响应能力。

（二）加强信息安全管理，推进安全环境建设

一是完善措施，防范病毒入侵。建立计算机病毒通报制度，包括近期病毒易发种类、本单位病毒“感染”情况、处理结果等信息。在日常工作中，应严格做好外来光盘的病毒检测工作。二是建议总分行升级业务系统和补丁分发系统，保证操作系统平台的顺利过渡。三是加强对数据集中模式下科技管理制度建设的探索，按照全面覆盖、互相制约、责任明确、便于操作的原则，对原有制度进行补充、修订，建立健全网络运维、系统维护、安全、设备、人员管理等全方位的科技管理制度体系，建立严格的岗位职责制度，以制度保障网络和系统的安全稳定运行。

（三）继续解放思想，更新观念，提升安全意识

一是要加强组织领导，完善信息安全保障组织机制，不再将信息安全视为单一的科技工作，也不能只从技术层面来定义信息安全范畴，而是要将终端应用层，甚至要将业务操作流程纳入其中，形成全员共同抵御风险、共同承担责任的新机制。二是要真正从思想上重视科技工作，支持科技工作，只有这样才能够把本单位敬业爱岗的业务骨干安排到科技岗位上。三是要学会换位思考，牢固树立大局理念，通过技术更新，防范风险，为基层央行金融系统稳定做好服务和保障工作。

9.科技信息发展下银行会计论文 篇九

一、科技信息速猛发展对银行会计从业人员能力素质的要求

(一)具有新的知识结构及计算机和网络技术知识

在目前的会计信息化环境下，对会计人员的知识结构也有了新的要求，已经不能仅仅局限在本专业上面，在有一定深度的同时，还要有一定的广度，尤其是在信息化条件下，在网络技术革命的带动下，对会计信息的处理更是产生了重要影响，这就要求银行会计人员必须要熟练的掌握好网络和应用软件知识。流程银行的普及，清算系统和清算手段层出不穷，清算渠道多种多样，各种系统的应用，对于设计流程和系统建设的银行会计人员来讲，具有很高的知识要求，不仅懂得整个的运营流程、扎实的会计基础知识，还要有相当的计算机和网络知识，有创新的思维方式，通过系统实现流程再造、风险控制、账务的自动处理；对于使用人员，要熟悉和了解系统原理，才能熟练操作，完成日常的工作。所以，他们的知识结构，就好像是金字塔，在最上端，应该存储着专业学科知识，而中间部分，则是专业学科的相关基础知识，在下端，则是对专业学科知识进行有效运用的其他知识。换句话来讲，在会计信息化背景下，银行会计人员必须要更多、更丰富的掌握常规知识，计算机操作知识、数据库知识以及网络信息技术知识。当然。同时，还应该熟知专业知识以及一系列金融知识。

(二)良好的业务操作技能

伴随着科技信息的不断发展，要求银行会计人员也朝着新的高度迈进，传统的纸笔账簿，传统的算盘早已与目前的形势不相适应。而伴随着计算机技术在银行业应用的日益广泛，在经历了“会计电算化”、“银行电子化”后，现已进入“银行信息化”时期，信息技术和网络技术早已成为了各大银行会计业务处理的工具。熟练掌握和操作各支付系统、管理系统、行内核心系统、业务系统等，才能提高工作效率，有效防范风险，保证业务的正常处理，系统的正常运行。

(三)良好的沟通和解决问题的能力

随着银行IT技术的运用与发展，实现数据大集中，IT正在向与业务深度融和的方向发展，各项业务与管理依赖IT技术的支持，从系统的建设、运行、处理都需要与技术人员有良好的沟通，达成共识，才能有效地合作和解决问题。不管从业人员再怎么有经验，他们也总会有没有接触过的问题，他们也不可能对所有比较复杂的问题有一个熟练的解决思路。因此，对于每一个银行会计从业人员来讲，经验确实重要，但更重要的是要具备熟练的问题解决能力。良好的问题解决能力，要求会计人员要能够在遇到问题的时候，在问题引发的一系列接踵而至的更复杂的问题的时候，能过正确地把问题产生的原因找出来，并能够有针对性且及时的把问题解决好。而这一问题解决的能力，不应该局限在银行高层会计人员，更应该普及到所有的银行业务人员。

(四)具有较强的分析能力

1、业务需求的提炼和分析

业务部门根据自身的`业务战略、市场机遇、效率改进、风险控制等要求，向IT部门提出业务需求，该需求要经过全面的分析、论证形成，编制符合计算机软件系统需求，可以将业务目标和要求转换为技术人员需要的规格说明书，起到业务和技术两种话语体系之间翻译的作用。

2、系统处理和风险的分析

系统完成后，对系统的每一个编码、步骤、环节、可能出现的情况和可能发生的风险进行大量的、全面的、细致的测试，业务人员除了具备精悍的专业知识、银行各岗位工作积累的经验，较强的风险意识和防范手段外，还必须具备较强的分析能力，才能保质保量完成新系统的功能测试，有了高质量的测试，新系统上线运行才能确保功能正常、风险得到控制。

(五)具有优良的思想品德

对于银行从业会计人员来讲，职业道德是他们开展会计工作所需要遵循的第一标准。职业道德标准，可以分为思想观念、价值观念、工作作风以及工作态度等等，期所体现出来的是银行会计工作的基本特征，也是会计职业的一个基本责任要求。在这一标准中，详细对银行会计人员在具体的从业过程中需要做好的职责做出了规定。我们知道，只有思想正确了，会计人员的行为才能够正确，而职业道德标准，正是银行会计人员实现自我约束和自我控制的标准，所以，这是目前银行会计人员所需要遵循的一项最基本素质要求。

(六)开阔的视野、创新的思维，能快速适应瞬息万变的环境

在信息技术高速发展的背景下，在全球经济一体化背景下，对银行会计人员的分析能力、判断能力、控制能力以及抉择能力等等，都有了更加高的要求。而伴随着银行日常会计工作中一系列不确定因素的日益增加，伴随着银行业务处理的日趋多样化，伴随着业务处理难度的日益增加。每一个银行会计从业人员，除了要掌握好相关的管理学原理，熟知本专业必备的基础知识、基本方法以及基本技能及计算机、互联网知识外，还要具备长远的见识、创新的思维、良好的分析能力和判断能力。要善于运用现代管理知识和方法，来把会计工作中所出现的一系列问题解决好，从容的应对会计工作中出现的各种问题。

二、结束语

10.银行科技信息部工作总结 篇十

信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的 重要手段。银行业对信息科技的高度依赖，决定了信息系统的安全性、可靠性和有效性对维 系整个银行业的安全和金融体系的稳定具有至关重要的作用。

银监会党委对信息科技风险监管工作高度重视，刘明康主席多次召开专项工作会议并做 出重要批示和指示，明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念，把信息科技风险纳入银行总体风险监管框架，切实加强制 度建设和风险监控，确保银行业信息系统安全稳定。

在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的 新形势下，银监会坚持“风险为本”的监管原则，提出了信息科技风险功能性监管的新思路，突出“制度先行”，完善监管框架，借鉴和吸收国际先进标准及业界最佳实践，不断丰富信息 科技风险监管方式方法，制定了一系列的监管规范，结合奥运保障开展现场检查，并针对性 地发出有关风险提示，建立非现场监管体系和监管评级体系，从而构建了信息科技风险监管 的基础框架，全面展开信息科技风险的监管工作。

按照郭利根副主席提出的“集成资源，形成信息科技风险监管合力”和“搞好规划，全面加 强信息科技风险监管制度建设”要求，银监会强化机制建设、优化资源配置，整合科技人力资 源，集中全国银监会系统科技骨干力量，在北京成立了信息科技监管“专项工作组”，又在上 海、深圳两地分别成立信息科技风险监管工作室，按照统一调度、统一指挥、统一培训的工 作原则，制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举，形成了矩阵式 的监管工作模式，快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。

《手册》的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、天津、重庆、大连、云南、贵州银监局派出精锐技术骨干，参加《手册》编写工作；银监会 各部门与各银监局提出了许多宝贵意见；上海银监局为编写工作提供了大量支持和保障工作。整个《手册》内容融合了银监系统内信息科技人员的经验和智慧，汇聚了银监会各部门与各 银监局的宝贵意见和建议，应属于银监会系统及科技人员共同努力的成果和结晶。在此，向 所有参与工作的单位和个人致以诚挚的谢意！

编写人员

林 丽 朱永扬 怿卫飞 李 丹 骆絮飞 邹 伟 房世晖

崔维琪 朱 斌 冯业伟 叶 照 乔昱瑞 纪奀 武 齐兴利

吴瑞麟 陈宏宇

谭 杨 李 鹏 张 伟 周嘉弘 史文明 李海波

张惠芳 郝海峰 何 禹 包 龙

李晓东 杨中华 靖雪晶 殷有超 陆 阳 崔 晨 怿美东

陆 翔 盛于南 怿殿南

陈云龙

游 琨

刘 楠

目 录

第一部分 概述.............................................2

1.银行信息科技风险及其监管...............................2

1.1 银行信息科技风险................................................................2 1.2 银行信息科技风险特点............................................................2

1.3 风险成因分析....................................................................3

1.4 信息科技风险监管意义............................................................4 2.现场检查一般流程.......................................5

2.1 现场检查准备阶段................................................................5 2.2 现场检查实施阶段................................................................7

2.3 现场检查后续阶段................................................................8 3.常用检查方法...........................................9 第二部分 科技管理.......................................11 4.科技治理..............................................11

4.1 董事会及高管层.................................................................11 检查项 1 ：董事会和高级管理层............................................................................................11

4.2 信息科技工作的管理机构.........................................................12

检查项 1 ：全行信息科技工作的管理机构.............................................................................12

4.3 信息科技部门...................................................................13

检查项 1 ：信息科技部门.......................................................................................................13

4.4 信息科技战略规划...............................................................15

检查项 1 ：信息科技战略规划................................................................................................15

4.5 信息科技风险管理部门...........................................................15

检查项 1 ：信息科技风险管理部门........................................................................................15

4.6 信息科技风险审计...............................................................16

检查项 1 ：信息科技风险审计机制........................................................................................16

4.7 知识产权保护...................................................................17

检查项 1 ：敉识产权制度.......................................................................................................17

4.8 信息披露.......................................................................17

检查项 1 ：信息披露..............................................................................................................17 5.连续性管理............................................18

5.1 信息系统连续性组织.............................................................18 检查项 1：系统连续性管理组织..............................................................................................18 检查项 2：系统连续性管理组织职责......................................................................................19 检查项 3：系统连续性计划编制、维护...................................................................................20 检查项 4：系统连续性计划编制、维护职责...........................................................................20 检查项 5：系统连续性计划执行组织......................................................................................20 检查项 6：系统连续性计划执行组织职责...............................................................................21 检查项 7：人员变动管理.........................................................................................................22 5.2 信息系统连续性计划.............................................................22 检查项 1：系统连续性计划.....................................................................................................22 检查项 2：测试及持续更新.....................................................................................................24 检查项 3：信息系统连续性计划管理......................................................................................25 检查项 4：系统连续性计划培训..............................................................................................25 检查项 5：系统连续性计划审计..............................................................................................25 6.应急管理..............................................26

6.1 应急组织.......................................................................26 检查项 1：应急管理团队.........................................................................................................26 检查项 2：应急管理职责.........................................................................................................27 检查项 3：应急管理制度.........................................................................................................27 6.2 应急预案.......................................................................27

检查项 1：应急预案制订.........................................................................................................27

检查项 2：应急预案内容.........................................................................................................28

检查项 3：应急预案更新.........................................................................................................29 检查项 4：外包服务应急.........................................................................................................29 检查项 5：应急培训................................................................................................................29 6.3 应急演练.......................................................................30 检查项 1：应急演练前............................................................................................................30 检查项 2：应急演练过程.........................................................................................................30 检查项 3：应急演练后............................................................................................................30 6.4 应急响应.......................................................................31 检查项 1：应急响应流程.........................................................................................................31 检查项 3：应急事件报告.........................................................................................................32 检查项 4：与第三方沟通.........................................................................................................32 检查项 5 ：向新闻媒体通报制度............................................................................................32 检查项 6：应急处置总结.........................................................................................................33 6.5 应急保障.......................................................................33 检查项 1：人员保障................................................................................................................33 检查项 2：物质保障................................................................................................................33 检查项 3：技术保障................................................................................................................34 检查项 4：沟通保障................................................................................................................34 6.6 持续改进.......................................................................34 检查项 1：应急事件评估、改进..............................................................................................34 检查项 2：应急响应评估.........................................................................................................35 检查项 3：应急管理评估.........................................................................................................35 检查项 4：纳入全面风险管理机制..........................................................................................35 7.信息系统安全管理......................................35

7.1 安全管理组织...................................................................36 检查项 1：管理目标................................................................................................................36

检查项 2：人员风险................................................................................................................36

7.2 安全管理制度...................................................................37 检查项 1：规章制度................................................................................................................37 检查项 2：制度合规................................................................................................................38 查项 3：制度执行....................................................................................................................38 检查项 4：宣传和教育培训.....................................................................................................39 检查项 5：事件响应和处理.....................................................................................................39 8.外包管理..............................................40

8.1 服务外包管理制度...............................................................40 检查项 1：服务外包管理制度.................................................................................................40 检查项 2：对重要外包项目评估..............................................................................................41 检查项 3：外包安全保密措施.................................................................................................41 8.2 服务外包管理风险评估...........................................................41 检查项 1：对服务外包商评估.................................................................................................41 检查项 2：对服务外包商审查.................................................................................................42 8.3 服务外包审批...................................................................42

检查项 1：服务外包审批流程.................................................................................................42

8.4 服务外包应急响应...............................................................42 检查项 1：服务外包应急计划.................................................................................................42 检查项 2：服务外包商联络机制..............................................................................................43 检查项 3：服务外包应急演练.................................................................................................43 8.5 外包合同.......................................................................43 检查项 1：外包合同................................................................................................................43 检查项 2：服务外包商访问权限..............................................................................................44 检查项 3：外包服务法律风险.................................................................................................44 8.6 服务外包文档的完备性...........................................................45