体彩p3试机号走势图_助手彩吧|p3试机号今天彩吧网
返回首頁
專家觀點CURRENT AFFAIRS
專家觀點 / 正文
重視財務公司信息科技風險與防范

  企業集團財務公司承擔著集團資金集中平臺的重要責任,作為非銀行金融機構,財務公司的信息科技安全問題一直是信息化建設面臨的首要問題。

  財務公司的信息科技風險不小于商業銀行。在財務公司的各類風險中,信息科技風險能夠導致公司全部業務在瞬間癱瘓,信息科技風險防范應該成為財務公司全面風險管理的重要任務。

  財務公司信息科技風險尚存

  部分財務公司對信息科技缺少長遠規劃,導致信息系統跟不上新業務的開展,對信息科技方面進行同期規劃而對信息系統進行新功能開發或是更新換代都會對財務公司造成很大影響,不僅造成財務公司投資的損失,還影響集團整體資金管理戰略部署的實施。

  部分財務公司僅在公司董事會、分管綜合事務的高級管理層進行信息科技的工作決策,而有的財務公司雖然建立了信息科技管理委員會,但沒有信息科技人員參與,無法做出專業的判斷。

  財務公司信息科技管理制度也存在3個方面的問題。一是制度的內容不完整,制定方法不科學;二是制度滯后于實際情況,部分財務公司并未及時根據實際情況對制度內容進行及時調整和修改;三是制度流于形式,缺乏必要的約束力,影響到信息科技制度工作的權威性。

  財務公司的信息科技能力較弱,大部分財務公司只能采購科技廠商的通用產品,難以及時應對新業務創新或監管部門的新要求。同時,在信息系統整體架構上缺乏全面布局,不同廠商軟件產品之間缺乏標準化接口,導致信息系統之間的業務處理越來越復雜,改造難度越來越大,業務處理能力越來越低。

  在外包開發過程中,有些財務公司信息科技管理部門僅請業務部門和廠商共同討論需求及技術實施方案,缺少技術論證和評審,信息科技管理部門缺乏有效的測試過程和方法,而業務部門未對待上線的功能進行詳細完整的測試,導致新功能投產后出現業務處理錯誤。

  財務公司信息科技安全形勢嚴峻。

  一是外部網絡接入安全方面的管理難度大。財務公司在互聯網上的應用系統面臨安全風險,如果互聯網應用系統被入侵,進而可能對財務公司內網進行滲透。

  二是身份認證體系有待健全。有些財務公司沒有建設統一的身份認證及統一登錄系統,存在著身份認證方式簡單、強密碼安全策略執行困難的安全問題。

  三是工作終端的安全防護薄弱。大多數財務公司沒有建立準入控制系統,缺乏對終端設備有效及時的監控管理手段,容易發生病毒傳播、木馬植入、信息泄露、外接互聯網等風險。

  四是網絡的安全防護有待加強。很多財務公司雖然在網絡上設置了防火墻,并將網絡進行分級管理,但在網絡設置上將二級系統與三級系統置于同一安全域,一旦二級系統遭受攻擊,可能導致該安全域全面失守。

  五是系統主機安全加固不及時。信息科技管理部門通過購買廠商維保服務來保障應用的正常運行。而廠商的服務響應時間無法及時保證,存在著業務間斷的風險。

  六是運行維護管理不夠精細。在信息系統日常運維操作的管理上,有些財務公司缺乏有效的維護操作流程,缺乏有效的監督管理,系統運維人員一旦在維護過程中有錯誤操作,將造成不可挽回的損失。

  提升信息科技安全的可行之法

  財務公司應在治理架構、制度體系、基礎設施、風險評估和整改等方面采取有效措施,不斷完善科技治理框架,建立符合財務公司發展戰略的信息科技發展戰略,搭建信息科技風險管理三道防線,才能有效控制和化解信息科技風險。

  一方面,健全信息科技治理架構,制定信息科技風險策略。

  財務公司應持續健全并完善信息科技治理框架,明確董事會、高管層、信息科技領導委員會、信息科技管理部門關于信息科技風險管理的職責分工,建立職責明確、報告關系清晰的信息科技治理組織結構和信息科技風險管理、決策機制,確保信息科技建設戰略符合總體發展戰略;建立以信息技術部、風險控制部、稽核部為主體的信息科技風險防范三道防線,分清職責、理順流程、落實責任,形成較為完備的管理、監督和問責機制。

  財務公司還應制定符合實際情況的信息科技風險管理策略,明確信息科技風險管理的指導原則及工作開展的基本思路,根據監管機構有關信息科技風險管理的要求,結合自身業務和信息化發展遠景,通過實施具體的風險管控措施,將信息科技風險降低或控制在適當的水平。

  另一方面,推進信息科技制度體系建設,加強人才隊伍建設。

  財務公司需要不斷完善信息科技規章制度,明確信息科技規章制度的層級關系,將信息科技制度按制度層級、實施范圍、執行對象等分級分類覆蓋全面信息科技工作。財務公司要重視信息科技隊伍的建設,通過外聘、內部培養雙通道來保證信息科技人才隊伍的來源,并在激勵考核機制上下工夫,提高信息科技人員的工作主動性。

  此外,還要加強信息科技基礎設施建設,筑牢安全防護基礎。

  財務公司應制定業務連續性管理體系建設規劃,可依托集團公司,采用運營外包方式建立災難備份中心,將主要信息系統納入災備管理中。在進行系統架構規劃時,應至少滿足5年的性能要求,并定期進行評估。財務公司可依托集團公司的網絡規劃和設計理念,遵循安全標準,根據金融機構的特點,采用集約化理念設計網絡安全策略,并定期聘請有資質的信息安全測評單位對主要信息系統進行滲透性測試和持續監控,及時發現問題并及時處理,提升應用系統的整體安全性。

  財務公司還需要制定符合本單位信息科技實際情況的安全預案,并要做到及時更新和定期演練,確保安全預案的切實可行。同時,應建立覆蓋全公司計算機終端的桌面管理系統和計算機病毒防治系統,有條件的財務公司可采用業務專機或虛擬桌面辦理業務,實現業務終端與互聯網上網終端的安全分離,降低信息泄露的風險。 (本文作者供職于中國石化財務有限責任公司)

責任編輯:袁浩
体彩p3试机号走势图_助手彩吧