① 急求我國法律在對銀行網路安全的相關規定
我國對網路銀行和網上交易缺乏相應的法規。如:如何徵收與管理網上稅收、數字簽名是否具有法律效力、交易的跨國界問題、知識產權問題、電子合同問題、電子貨幣問題、電子轉賬問題。應充分利用和執行《網路銀行業務管理暫行辦法》,應充分利用《合同法》、《會計法》、《票據法》、《支付結算辦法》等法律擬訂網路銀行相關協議,制定有關業務流程和業務處理規定,應充分利用目前執行的關於網路安全方面的行政法規,如《計算機信息系統安全保護條例》、《計算機信息網路國際聯網管理暫行規定》等,充分利用中國金融認證中心在認證技術方面的權威性和第三方認證的合理性。網路銀行應注重交易數據的保管,為可能的糾紛或訴訟過程做好證據准備。
建立網路銀行法律監管體系,制定網路銀行的外部懲罰措施以及網路銀行的市場退出機制。建立網路銀行業務運營法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規,同時對已有法律法規進行充實、修改。完善網路銀行配套法律法規建設,主要有稅收征管法、國際稅收法、電子商務法、刑法、訴訟法、票據法、證券法、商業銀行法、消費者權益保護法、反不正當競爭法等相關法律法規。加強與國際立法、司法實踐的交流與合作,加大打擊網上洗錢、網上盜竊等電子犯罪的力度。
② 互聯網金融企業內部審計的風險管理措施有哪些
互聯網金融企業的風險管理就是在經營過程之中對企業可能發生的風險進行識別、評估、以及應對。互聯網金融企業是互聯網和金融企業的有機結合,由於互聯網企業具有的虛擬化、交易對象以及交易流程難以確定等特點,其所面對的風險比傳統的金融機構要高很多,因此對互聯網金融行業內部審計的風險管理極其重要。所以針對上述存在的問題,提出了幾點內部審計的風險管理措施:
(一)利用計算機改善內部審計方法
1.深入計算機的審計方法。
該種方法就是對計算機內數據投入、投出的過程進行全面審計,主要內容是考核企業內部控制的體制機制設計和有效運行,評價企業管理制度執行情況。深入計算機的審計方法能夠簡化傳統金融行業手工做賬的工作,減輕工作負擔,並且利用計算機來處理數據能夠減少由人工計算失誤引起的固有風險。
2.計算機輔助審計方法。
計算機輔助方法是指將計算機技術引入內部審計工作並構建內部審計信息系統,對企業的網路運行安全及時進行監控和防衛。同時這種方法也是收集、評價審計證據的過程,通過收集的數據來檢查計算機管理系統或企業內部控制使企業資產、數據以及隱私安全得以保證。這種方法能夠提高互聯網金融企業的審計效率,降低審計成本,解決企業內審綜合能力低下的難題。
(二)重視內部審計的建設
1.提高內部審計地位。
內部審計能夠幫助企業評價和改善風險管理和內部控制體系。內部審計以其獨特的檢驗和詢問功能與企業組織結構相協調,增加了企業的價值。故可以通過以下方法提高內審地位,改善企業經營與組織效率。
(1)互聯網企業高管重視內審作用,定期開展有關宣傳活動。高管帶領員工參觀行業優秀公司的內審工作流程,使每位員工意識到內審的重要性並對表現優秀的內部審計人員予以獎勵。
(2)成立由企業股東直接領導的內部審計部門,內部審計工作的開展直接對股東負責,減輕管理層的控制,遏制管理層凌駕於內控之上所帶來的危害。
2.提高內部審計的獨立性。
獨立性是審計的靈魂。內部審計部門需要保持客觀中立,人員不可以參與經營活動,內審人員的聘請需由專人來執行。互聯網金融企業在設立審計機構時應首先成立審計委員會,該成員包括公司的主管、主要債權人和投資者,內審部門的人員聘用、調動、許可權、考核等方面直接隸屬於審計委員會,對委員會負責,從形式和實質兩個方面保持其獨立性。 (三)完善互聯網金融企業監督
我國經濟信息化程度不高,互聯網金融企業的發展尚處於起步階段,因此我國對互聯網金融業務的監管應採取慎重態度。通過適當的金融監管可以促進我國網路金融更好更快發展,降低內審中的法律風險。具體措施如下:
1.完善管理互聯網金融企業的法律法規。
補充適用於互聯網金融業務的相關法律條文。既要對現有法律不適合的部分進行修訂和補充,又要對未來發展情況進行分析預測。當前互聯網金融最突出的法律問題是非法集資、融資問題。中國人民銀行應當與證券、保險監管機構聯手,充分披露互聯網金融產品的投資風險,禁止非法融資活動,禁止使互聯網金融企業既做裁判員又做運動員。
2.完善現行業務營運監管辦法。
結合互聯網金融企業業務特點,從業務經營的合法合規、資本充足、資產質量、管理水平和內部控制等方面適時進行調整,構造一個符合互聯網金融發展的監管指標體系。互聯網金融企業的獨特性使其在某種程度上脫離金融監督管理機構的監管,但其資本充足率對客戶、消費者具有重大影響,監管部門應當對其作出相應規定,同時考慮實施准備金制度將部分市場風險內部化。
3.提升金融監管部門的網路安全技術。
互聯網金融企業的網路安全問題日益突出,其涉及的不僅僅是客戶的隱私,更甚的是涉及到客戶利益。金融監管部門要求互聯網金融企業加強技術力量,不斷完善網路安全技術,如防火牆技術、加密技術。同時應大力發展我國先進的信息技術,提高計算機系統的關鍵技術水平,在硬體設備方面縮小與發達國家之間的差距,提高關鍵設備的安全防禦能力。
4.提高內審人員的專業能力。
互聯網金融的內部審計比傳統企業內部審計更加復雜,需要審計人員具備扎實的專業技能,這是審計工作開展的前提條件。故可以通過以下途徑提高內審人員的專業勝任能力。
(1)加強自身學習,培育綜合人才。內審人員不僅要學習財會方面的知識,還需要學習風險管理、計算機與互聯網金融行業知識,包括互聯網金融行業經營特點、經濟技術指標,企業的經營戰略、經營環境、經營風險等。
(2)加強專業技能培訓,進行輪崗交流。內審人員應具備全方位知識與技能,進行大量的審計實踐。通過輪崗,審計人員應熟悉單位的各項業務及其操作流程,提高審計的實踐能力。
5.培育具有綜合能力的內審人員。
隨著內部審計在互聯網金融業的治理結構中地位日益重要。而我國互聯網金融企業發展現狀需要企業提高現有審計人員的管理能力,完善內部審計管理工作建設。通過後續教育、業務培訓等各種途徑提升互聯網金融企業的審計整體隊伍素質,為互聯網金融企業內部審計的風險管理提供符合要求的監督控制資源和後備力量。
③ 網路安全審查辦法中國的網路安全不容忽視中國人壽保險公司百萬醫療做
摘要 (二)《網路安全審查辦法》對保險機構之行為適用
④ 銀行業金融機構信息系統風險管理指引的主要要求是什麼
機構職責
第六條 銀行業金融機構應建立有效的信息系統風險管理架構,完善內部組織結構和工作機制,防範和控制信息系統風險。
第七條 銀行業金融機構應認真履行下列信息系統管理職責:
(一)貫徹執行國家有關信息系統管理的法律、法規和技術標准,落實銀監會相關監管要求;
(二)建立有效的信息安全保障體系和內部控制規程,明確信息系統風險管理崗位責任制度,並監督落實;
(三)負責組織對本機構信息系統風險進行檢查、評估、分析,及時向本機構專門委員會和銀監會及其派出機構報送相關的管理信息;
(四)及時向銀監會及其派出機構報告本機構發生的重大信息系統事故或突發事件,並按有關預案快速響應;
(五)每年經董事會或其他決策機構審查後向銀監會及其派出機構報送信息系統風險管理的年度報告;
(六)做好本機構信息系統審計工作;
(七)配合銀監會及其派出機構做好信息系統風險監督檢查工作,並按照監管意見進行整改;
(八)組織本機構信息系統從業人員進行信息系統有關的業務、技術和安全培訓;
(九)開展與信息系統風險管理相關的其他工作。
第八條 銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理;信息科技管理委員會、風險管理委員會或其他負責風險監督的專業委員會應制定信息系統總體策略,統籌信息系統項目建設,定期評估、報告本機構信息系統風險狀況,為決策層提供建議,採取相應的風險控制措施。
第九條 銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。
第十條 銀行業金融機構應設立信息科技部門,統一負責本機構信息系統的規劃、研發、建設、運行、維護和監控,提供日常科技服務和運行技術支持;建立或明確專門信息系統風險管理部門,建立、健全信息系統風險管理規章、制度,並協助業務部門及信息科技部門嚴格執行,提供相關的監管信息;設立審計部門或專門審計崗位,建立健全信息系統風險審計制度,配備適量的合格人員進行信息系統風險審計。
第十一條 銀行業金融機構從事與信息系統相關工作的人員應符合以下要求:
(一)具備良好的職業道德,掌握履行信息系統相關崗位職責所需的專業知識和技能;
(二)未經崗前培訓或培訓不合格者不得上崗;經考核不適宜的工作人員,應及時進行調整。
第十二條 銀行業金融機構應加強信息系統風險管理的專業隊伍建設,建立人才激勵機制,適應信息技術的發展。
第十三條 銀行業金融機構應依據有關法律法規及時和規范地披露信息系統風險狀況。
總體風險控制
第十四條 總體風險是指信息系統在策略、制度、機房、軟體、硬體、網路、數據、文檔等方面影響全局或共有的風險。
第十五條 銀行業金融機構應根據信息系統總體規劃,制定明確、持續的風險管理策略,按照信息系統的敏感程度對各個集成要素進行分析和評估,並實施有效控制。
第十六條 銀行業金融機構應採取措施防範自然災害、運行環境變化等產生的安全威脅,防止各類突發事故和惡意攻擊。
第十七條 銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等;明確與信息系統相關人員的職責許可權,建立制約機制,實行最小授權。
第十八條 在境外設立的我國銀行業金融機構或在境內設立的境外銀行業金融機構,應防範由於境內外信息系統監管制度差異等造成的跨境風險。
第十九條 銀行業金融機構應嚴格執行國家信息安全相關標准,參照有關國際准則,積極推進信息安全標准化,實行信息安全等級保護。
第二十條 銀行業金融機構應加強對信息系統的評估和測試,及時進行修補和更新,以保證信息系統的安全性、完整性。
第二十一條 銀行業金融機構信息系統數據中心機房應符合國家有關計算機場地、環境、供配電等技術標准。全國性數據中心至少應達到國家A類機房標准,省域數據中心至少應達到國家B類機房標准,省域以下數據中心至少應達到C類機房標准。數據中心機房應實行嚴格的門禁管理措施,未經授權不得進入。
第二十二條 銀行業金融機構應重視知識產權保護,使用正版軟體,加強軟體版本管理,優先使用具有中國自主知識產權的軟、硬體產品;積極研發具有自主知識產權的信息系統和相關金融產品,並採取有效措施保護本機構信息化成果。
第二十三條 銀行業金融機構與信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程,選用的設備應經過技術論證,測試性能應符合國家有關標准。信息系統所用的伺服器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性,並配置適當的備品備件。
第二十四條 信息系統的網路應參照相關的標准和規范設計、建設;網路設備應兼備技術先進性和產品成熟性;網路設備和線路應有冗餘備份;嚴格線路租用合同管理,按照業務和交易流量要求保證傳輸帶寬;建立完善的網管中心,監測和管理通信線路及網路設備,保障網路安全穩定運行。
第二十五條 銀行業金融機構應加強網路安全管理。生產網路與開發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離;加強無線網、互聯網接入邊界控制;使用內容過濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段,有效降低外部攻擊、信息泄漏等風險。
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理,使用符合國家安全標準的密碼設備,完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度。密鑰、密碼應定期更改。
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的有效管理,不得脫離系統採集加工、傳輸、存取數據;優化系統和資料庫安全設置,嚴格按授權使用系統和資料庫,採用適當的數據加密技術以保護敏感數據的傳輸和存取,保證數據的完整性、保密性。
第二十八條 銀行業金融機構應對信息系統配置參數實施嚴格的安全與保密管理,防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途,確定存取許可權、方式和授權使用范圍,嚴格審批和登記手續。
第二十九條 銀行業金融機構應制定信息系統應急預案,並定期演練、評審和修訂。省域以下數據中心至少實現數據備份異地保存,省域數據中心至少實現異地數據實時備份,全國性數據中心實現異地災備。
第三十條 銀行業金融機構應加強對技術文檔資料和重要數據的備份管理;技術文檔資料和重要數據應保留副本並異地存放,按規定年限保存,調用時應嚴格授權。信息系統的技術文檔資料包括:系統環境說明文件、源程序以及系統研發、運行、維護過程中形成的各類技術資料。重要數據包括:交易數據、賬務數據、客戶數據,以及產生的報表數據等。
第三十一條 銀行業金融機構在信息系統可能影響客戶服務時,應以適當方式告知客戶。
研發風險控制
第三十二條 研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。
第三十三條 銀行業金融機構信息系統研發前應成立項目工作小組,重大項目還應成立項目領導小組,並指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成,具體負責整個項目的開發工作。
第三十四條 項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識,小組負責人需具備組織領導能力,保證信息系統研發質量和進度。
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略,在充分進行市場調查、產品效益分析的基礎上制定信息系統研發項目可行性報告。
第三十六條 銀行業金融機構業務部門編寫項目需求說明書,提出風險控制要求,信息科技部門根據項目需求編制項目功能說明書。
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書,設計和編碼應符合項目功能說明書的要求。
第三十八條 銀行業金融機構應建立獨立的測試環境,以保證測試的完整性和准確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產數據。
第三十九條 銀行業金融機構信息科技部門應根據測試結果修補系統的功能和缺陷,提高系統的整體質量。
第四十條 銀行業金融機構業務人員、技術人員應根據職責范圍分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃,並進行演練。
第四十一條 開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認並歸檔保存。
第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告,驗收不合格不得投產使用。
第五章運行維護風險控制
第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離,運行人員應實行專職,不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護,除應急外,其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求:
(一)制定詳細的運行值班操作表,包括規定巡檢時間,操作范圍、內容、辦法、命令以及負責人員等信息;
(二)提供常見和簡便的操作菜單或命令,如信息系統的啟動或停止、運行日誌的查詢等;
(三)提供機房環境、設備使用、網路運行、系統運行等監控信息;
(四)記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求:
(一)除對信息系統設備和系統環境的維護外,對軟體或數據的維護必須通過特定的應用程序進行,添加、刪除和修改數據應通過櫃員終端,不得對資料庫進行直接操作;
(二)具備各種詳細的日誌信息,包括交易日誌和審計日誌等,以便維護和審計;
(三)提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求:
(一)制訂嚴密的變更處理流程,明確變更控制中各崗位的職責,並遵循流程實施控制和管理;變更前應明確應急和回退方案,無授權不得進行變更操作;
(二)根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性;
(三)應採用軟體工具精確判斷變更的真實位置和內容,形成變更內容核實清單,實現真實、有效、全面的檢驗;
(四)軟體版本變更後應保留初始版本和所有歷史版本,保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內,應組織對系統的後評價,並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢,明確信息系統及機房環境設施出現故障時的應急處理流程和預案,有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度,發生信息系統造成重大經濟、聲譽損失和重大影響事件,應即時上報並處理,必要時啟動應急處理預案。
外包風險控制
第五十一條 外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商時形成的風險。
第五十二條 銀行業金融機構在進行信息系統外包時,應根據風險控制和實際需要,合理確定外包的原則和范圍,認真分析和評估外包存在的潛在風險,建立健全有關規章制度,制定相應的風險防範措施。
第五十三條 銀行業金融機構應建立健全外包承包方評估機制,充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平,並進行必要的盡職調查。評估工作可委託經國家相應監管部門認定資質,具有相關專業經驗的獨立機構完成。
第五十四條 銀行業金融機構應當與承包方簽訂書面合同,明確雙方的權利、義務,並規定承包方在安全、保密、知識產權方面的義務和責任。
第五十五條 銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響,並將其納入總體安全策略和風險控制之中。
第五十六條 銀行業金融機構應建立完整的信息系統外包風險評估與監測程序,審慎管理外包產生的風險,提高本機構對外包管理的能力。
第五十七條 銀行業金融機構的信息系統外包風險管理應當符合風險管理標准和策略,並應建立針對外包風險的應急計劃。
第五十八條 銀行業金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制,並制定在意外情況下能夠實現承包方的順利變更,保證外包服務不間斷的應急預案。
第五十九條 銀行業金融機構將敏感的信息系統,以及其他涉及國家秘密、商業秘密和客戶隱私數據的管理與傳遞等內容進行外包時,應遵守國家有關法律法規,符合銀監會的有關規定,經過董事會或其他決策機構批准,並在實施外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。
⑤ 制定《網路安全審查辦法(修訂草案徵求意見稿)》的主要目的是什麼
7月10日,大成律師事務所合夥人孫鵬程向時代周報記者表示,制定該《辦法》最主要目的、最主要變化是將《數據安全法》的安全審查制度落地,將數據安全審查包含在網路安全審查中。
同日,資深投行人士王驥躍告訴時代周報記者,《辦法》提出「掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查」,其中「掌握超過100萬用戶個人信息」的限定基本上涵蓋了所有具備上市融資能力和需求的互聯網公司,影響深遠。
王驥躍表示,「國外上市」不包括港股,因此部分互聯網公司在選擇上市地時,將優先考慮港股而非美股。
掌握超百萬用戶信息者需經審查:
7月10日,國家互聯網信息辦公室發布了《網路安全審查辦法(修訂草案徵求意見稿)》(下稱《辦法》)。有關關鍵信息基礎設施運營者和數據處理者(以下均稱「運營者」)赴國外上市的條款引發關注。
《辦法》指出,掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查,承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或必要的技術支持服務等。
以上內容參考 金融界-科技巨頭國外上市管控收緊:掌握超百萬用戶信息者需經審查,港股市場或受益
⑥ 金融行業對信息安全方面相關法規有哪些
多了去了。
既有針對整體的,又有針對某業務的。
下面列一些:
《商業銀行外包風險管理指引(徵求意見稿)》.doc
關於印發銀監會《銀行業金融機構信息系統安全保障問責方案》的通知.doc
關於做好網上銀行風險管理和服務的通知 銀監辦發[2007]134號.doc
(銀監辦發〔2011〕26號)關於徵求銀行業「十二五」信息科技發展規劃相關意見的通知.pdf
(銀監辦發〔2011〕62號)關於進一步加強網上銀行風險防控工作的通知.pdf
網上銀行安全風險管理指引(徵求意見稿).pdf
銀發[2011]17號中國人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知.PDF
轉發中國人民銀行辦公廳《金融業信息安全風險提示》的通知.pdf
⑦ 金融信息安全如何解釋
金融指金融行業,包括銀行、證券、保險等。
金融行業的信息安全要從安全管理、安全技術和業務連續性進行闡述。
安全管理可以從以下方面:安全策略、制度、組織、人員等
安全技術可以從以下方面:物理、網路、系統、應用、數據等
業務連續性可以從以下方面:業務連續性分析、風險、應急等
⑧ 我國目前有哪些控制網路金融風險的措施
我國的網路銀行必須有足夠強的安全措施,否則將會影響到金融業的可持續發展。網路安全保障是一個綜合集成的系統,它的規劃、管理要求國家有關部門和金融機構、IT界通力合作,進行科學的、強有力的干預和導向,同時還應開展國際合作,共同打擊網路金融犯罪。
(一)加快電子商務和網路銀行的立法進程。一般來說,網路系統安全問題和網路金融立法的滯後與模糊是造成法律風險的原因之一。針對目前網路金融活動中出現的問題,加快法制建設步伐,盡快出台有關網上交易和網上銀行的法律法規,降低銀行的法律風險,規范網路金融參與者的行為。電子商務立法首先要解決電子交易的合法性、如怎樣取用交易的電子證據,法律是否認可這樣的證據,以及電子貨幣、電子銀行的行為規范,跨國銀行的法律問題。其次,對電子商務的安全保密也必須有法律保障,對計算機犯罪、計算機泄密、竊取商業和金融機密等也都要有相應的法律制裁,以逐步形成有法律許可、法律保障和法律約束的電子商務環境。再次,充分運用政策手段,鼓勵網上銀行按健康的發展方向開展業務。最後,提升整個社會的信用水平,建立和完善我國的信用制度。
(二)銀監會應提高對網路銀行的監管水平。由銀監會牽頭,其他銀行參加,統一制定一套關於網上銀行業務結算、電子設備使用等的規范標准,以便實現與國際金融業的接軌;要建立一套完整的網上銀行業務審批和監管機制,結合我國國情,借鑒國外發展經驗,成立專門機構對網上銀行的設立、管理、具體業務功能的實現及硬體和軟體系統的應用等進行研究,為網上銀行的發展提供技術服務、支持和指導,並利用網路等先進計算機技術進行非現場監管;針對網路銀行的安全問題,選擇安全標准,建立安全認證體系;針對黑客程序和病毒分別著手建立一套行之有效的程序免疫體系;建立金融信息管理分析系統和金融科技風險監測、預警體系;制定有關數字化電子貨幣的發行、支付與管理的規章制度。
(三)大力發展先進的、具有自主知識產權的信息技術,建立網路安全防護體系。網路金融的安全,最終是通過網路技術的應用來實現和支撐的,其關鍵技術有防火牆技術、數據加密技術和智能卡技術等,主要是通過採取物理安全策略、訪問控制策略、構築防火牆、安全介面、數字簽名等高新網路技術來實現。從硬體方面來說,目前我國在金融電子化業務中使用的計算機、路由器等軟、硬體系統大部分由國外引進,而且信息技術相對落後;從軟體方面來說,我國目前的加密技術、密鑰管理技術及數字簽名技術都落後於網路金融發展的要求,增大了我國網路金融發展的安全風險和技術選擇風險。因此,迅速縮小在硬體設備方面與發達國家之間的差距,並開發擁有自主知識產權的信息技術,是防範減少安全風險和技術選擇風險,提高網路安全性能的根本性措施。
(四)建立大型共享型網路銀行資料庫。要保障網路銀行的資產安全,必須要解決信息不對稱以及信息透明度的問題。依靠資料庫技術儲存、管理和分析處理數據,這是現代化管理必須要完成的基礎性工作。網路銀行資料庫的設計應該採用社會化大協作的思路,以客戶為中心進行資產、負債和中間業務的科學管理,不同銀行可實行借款人信用信息共享制度,建立不良借款入的預警名單和「黑名單」制度。對有一定比例的資產控制關系、業務控制關系、人事關聯關系的企業或企業集團,通過資料庫進行歸類整理、分析、統計,統一授信的監控。
(五)建立網路金融統一的技術標准。目前我國金融系統電子化建設存在規劃不統一、商業銀行技術標准不統一、技術規范不統一、商業銀行之間使用的安全協議各不相同的問題。應制定金融業統一的技術標准。中國金融認證中心的成立為此奠定了基礎。確立統一的發展規劃和技術標准,才有利於統一監管,增強網路金融系統內的協調性,減少支付結算風險,並有利於其它風險的監測。我們要盡快熟悉和掌握國際上有關計算機網路安全的標准和規范,如掌握和應用國際ISO對銀行業務交易系統的安全體系結構等,制定一套較為完整的國際標准,以便我國網路銀行在風險防範上與國際接軌。
(六)加強對金融創新的研究、開發和利用。我國對金融創新的研究,特別是其應用目前還處於比較低的水平,許多金融衍生工具尚沒有得到利用,學術界和實務界應聯合攻關,不斷創造、設計、開發出各種新的組合金融工具,使我國金融衍生工具創新和風險控制能得以加強,以期在一定風險度內獲得最佳收益。
⑨ 我國互聯網金融發展中面臨哪些風險,如何監管
網路金融風險:我國的監管狀況及完善對策 摘要:我國的網路金融風險監管存在法律體系不完善、行業協調及風險監管不理想、現行的風險管理模式與網路金融的發展不適應等諸多不足。因此,要通過健全法律制度、加強市場准入管理、完善監管體制、調整監管策略、構建安全體系等措施來加強我國的網路金融風險監管。 關鍵詞:網路金融,風險,監管網路金融是金融與網路技術全面結合的產物,其內容包括網上銀行、網上證券、網上保險、網路期貨、網上支付、網上結算等金融業務。網路金融的發展使我們面臨著不同於傳統金融的新的金融風險形式和類別,認真分析網路金融風險,加強防範和管理,是深化我國金融改革、實現穩健持續發展的必然選擇,對促進我國社會經濟又好又快地發展具有重要意義。一、網路金融風險分析(一)風險來源網路金融主要經營電子貨幣和電子結算等虛擬金融業務,因而除了具有傳統金融活動過程中存在的信用風險、流動性風險、利率風險、匯率風險和市場風險外,從技術、業務和法律角度分析,還存在以下特定風險:1.技術風險。主要表現在兩個方面:(1)安全風險。由於網路金融建立在計算機網路基礎之上,因此計算機網路技術方面的缺陷必然形成其安全隱患:一是目前許多金融機構採用UNIX系統主機終端模式,而UNIX系統未提供主機與終端之間的通訊加密,它本身是一個開放的系統,其源代碼已經公開,如從一台聯網的UNIX工作站上使用「跟蹤路由」命令,就可以看見數據從客戶機傳送到伺服器要經過的許多不同節點和系統,因而存在嚴重的安全漏洞。二是TCP/IP協議安全性差。由於Internet採用的是TCP/IP協議,該協議在實現上力求簡單高效,而較少考慮安全因素,大多數網上的信息加密程度不高,在電子郵件傳輸過程中很容易被窺探和截獲。三是防火牆安全性不高。目前許多防火牆在配置上無意識地擴大了訪問許可權,從而可能被外部人員利用,從中獲得有用信息。四是未能對來自網路的電子郵件攜帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX4控制項進行有效控制,病毒通過網路擴散與傳染,傳播速度是單機的幾十倍,一旦某個程序被感染,則整台機器、整個網路也很快被感染。在傳統金融中,安全風險可能只帶來局部損失,但在網路金融中,安全風險會導致整個網路的癱瘓,是一種系統性風險。(2)技術選擇風險。網路金融業務的開展必須選擇一種技術解決方案來支撐,因而存在技術選擇失誤的風險。這種風險既來自於選擇的技術系統與客戶終端軟體的兼容性差可能導致的信息傳輸中斷或速度降低,也來自於選擇了被淘汰的技術方案,造成技術相對落後、網路過時的狀況,導致技術和商業機會的巨大損失。對於傳統金融而言,技術選擇失誤,只是導致業務流程趨緩,業務處理成本上升,但對網路金融機構而言,則可能失去全部的市場,甚至失去生存的基礎。2.業務風險。網路金融的業務風險主要包括:(1)操作風險。操作風險來源於系統可靠性、穩定性和安全性的重大缺陷而導致潛在損失的可能性,可能來自網路金融客戶的疏忽,也可能來自網路金融安全系統和其產品的設計缺陷及操作失誤。操作風險主要涉及網路金融賬戶的授權使用、網路金融的風險管理系統、網路金融機構和客戶間的信息交流、真假電子貨幣識別等。(2)市場信號風險。市場信號風險是指由於信息非對稱導致網路金融機構面臨不利選擇和道德風險而引發的業務風險。如由於網路銀行無法在網上鑒別客戶的風險水平而處於不利地位,網上客戶可能利用他們的隱蔽信息和行動做出對自己有利但損害網路銀行利益的決策,以及由於不利的公眾評價而使網路銀行面臨喪失客戶和資金來源的風險等。在虛擬金融服務市場上,客戶不了解每家金融機構提供服務的質量優劣程度,大多數會按照他們對網路金融機構提供服務的平均質量來確定預期的購買價格,往往出現提供低質量服務的網路金融機構可以被客戶接受,而高質量的網路金融機構卻被排擠出網上市場的現象。(3)信譽風險。信譽風險是指網路金融機構無法建立良好的客戶關系,不能樹立自身的良好信譽,從而無法從事金融業務。一旦網路金融機構提供的虛擬金融服務不能達到公眾所預期的水平,或者在社會上產生不良反應,或者網路金融機構的安全系統曾經遭到破壞,就形成了網路金融的信譽風險。無論這種破壞的原因是來自內部還是來自外部,都會影響社會公眾對網路金融的商業信心。3.法律風險。網路金融的法律風險主要來自兩個方面:一是違反相關法律、規章和制度規定,以及在網上交易中沒有遵守有關權利義務的規定。這些法律和規章制度包括消費者權益保護法、財務披露制度、隱私保護法、知識產權保護法和貨幣發行制度等。二是網路金融法律的缺乏。我國網路金融還處於起步階段,相應的法規還相當缺乏,如在網路金融市場准入、交易者的身份認證、電子合同的有效性確認等方面尚無明確而完備的法律規范。因此,利用網路提供或接受金融服務,簽定經濟合同在有關權利與義務等方面面臨相當大的法律風險,容易陷入不應有的糾紛之中,不僅增加了網路金融的交易費用,甚至還影響網路金融的健康發展。(二)類別形式由於網路技術的不斷升級更新,網路金融風險也呈現出復雜性和多樣性的特徵,目前國際國內網路金融風險可以歸納為以下幾種類別:1.電子扒手。一些被稱為「電子扒手」的金融偷竊者專門竊取別人的網路地址,這類竊案近年呈迅速上升趨勢,因為Internet服務在給金融機構和用戶提供共享資源的同時,也為竊取金融機構、用戶秘密數據的非法「侵入者」提供了機會,一些竊賊盜取金融機構、企業秘密賣給競爭對手,甚至因好奇盜取金融機構和企業密碼,瀏覽企業核心機密。據美國官方統計,每年銀行在網路上被偷竊的資金達6000萬美元,而每年在網路上企圖利用電子化盜竊作案的總數高達5~100億美元。「電子扒手」多數為解讀密碼的高手,作案手段隱蔽,不易被抓獲,通常能夠查獲的約為1/6,而只有2%的網路竊賊被抓獲。2.網上詐騙。網上詐騙已成為世界上第二種最常見的網路風險,一些不法分子通過發送電子郵件或在互聯網上提供各種吸引人的免費資料等作為誘餌,當用戶選擇接受時,病毒也隨之進入用戶的計算機中,並偷偷修改用戶的金融軟體。當用戶使用這些軟體進入銀行的網址時,修改後的軟體就會自動將用戶賬戶上的資金轉移到不法分子的賬號上。網上詐騙包括市場操縱、知情人交易、無照經紀人、投資顧問活動、欺騙性或不正當銷售活動、誤導進行高科技投資等10種形式,據北美證券管理者協會調查,估計每年網上詐騙使投資者損失100億美元。3.電腦黑客。「黑客」是指非法入侵電腦系統者。克羅埃西亞3名中學生「闖入」了美國軍方的電腦系統,破譯了五角大樓的密碼,從一個核資料庫中復制了美國軍方的機密文件。據美國參議院一個小組委員會的估計,1995年全球企業界損失在「黑客」手中的財富達8億美元,其中美國企業損失4億美元。出於對「黑客」闖入國家安全防務系統的擔憂,甚至對未來「電子珍珠港襲擊」的防範,目前已經有許多國傢具有製造電子炸彈的能力,這對金融安全問題造成了極大的潛在風險。4.計算機病毒。計算機病毒已經對金融機構電腦系統形成了巨大的威脅,據英國《金融時報》報道,全世界已知的計算機病毒已達18000種,另外尚有上百種待查明的也在流傳。1999年4月26日CIH病毒的爆發,就使我國4萬多台電腦不能正常運行,大多數電腦的C盤數據被毀,其中中國民航的20多台電腦也被感染,部分航班時刻表數據被毀。近期公布的一份調查報告顯示,從2005年8月到2007年10月間,全國感染各類網路銀行木馬及其變種的用戶數量增長了600倍,用戶每月感染病毒及其變種的數量約有160種左右,而且病毒發展正在呈加速上升趨勢。5.信息污染。信息時代帶來信息污染和信息過剩,大量無序的信息不是資源而是災難。互聯網用戶數和網路業務量的急劇增加,帶來了新的問題,包括大量商品廣告等網上「垃圾」,不僅影響到網路金融機構發送和接受信息的效率,更嚴重的是使潛在的風險與日俱增。二、目前我國網路金融風險監管現狀自1998年3月6日,中國銀行成功進行第一筆電子交易,開啟網路銀行序幕以來,網路金融業務獲得了高速發展,但對其風險監管仍然存在著諸多不足。1.風險監管的法律體系不完善。目前,涉及網路金融的法律和制度僅有2004年8月發布的《中華人民共和國電子簽名法》(以下簡稱《法》)和2001年6月發布實施的《網路銀行業務管理暫行辦法》、《網路交易平台服務規范》等幾個辦法。「辦法」顯然帶有一些過渡性特徵,對於一些重大問題的規定不夠深入或並未觸及,且條文空洞,可操作性較差,已經不適應網路金融業務的發展實踐。《法》的出台有利於確定電子簽名的法律地位,但對客戶的安全教育並沒有相應的要求,對目前證書存放和容易被導出的風險沒有相應的防範規定,對中國金融認證中心(CFCA)與其他商業銀行自建認證中心的法律地位問題也沒有明確的解決方案。就風險監管的法律體系而言,還存在諸多空白領域,如:對網路金融交易主體各方的關系(即客戶、金融機構、網路服務商、網上商戶和金融認證機構等)不能依法進行調節,責、權、利及糾紛界定不清;作為跨國界的業務交易平台,網路金融容易產生管轄權、法律適用性、知識產權等法律界定問題,目前尚無專門法規來規范;黑客問題深深困擾著網路金融,在我國金融法規中,對黑客問題的處理和預防存在著模糊之處,《刑法》中量刑也很輕,不足以威懾其犯罪行為;作為故意犯罪,網路金融機構內部工作人員作案可能造成更大的損害,但目前並沒有相應的法律來制裁。2.行業協調及風險監管不理想。(1)缺乏統一的行業規劃。由於我國網路金融在起步階段沒有一個負責統籌規劃的部門,整體上缺乏統一和長遠的規劃,各商業銀行或其他金融機構各自為政。(2)缺乏統一的行業技術標准。由於缺乏行業協調,各金融機構網路業務採用的硬軟體標准、數據加密強度、密碼設定、通訊安全控制等核心安全技術、傳輸數據包括格式、用戶介面(如IC卡)標准等關系安全的技術參數,目前仍沒有相應的行業標准。(3)缺乏統一的行業權威。由於統一的金融認證制度建設滯後,一些主要金融機構的網路金融認證大都採用自己的認證體系,致使已建成的中國金融認證中心(CFCA)頒發的電子證書覆蓋率較低。不僅影響網路金融證書的服務效率,而且各家金融機構重復開發認證系統,對社會資源也是一種巨大的浪費。以上問題的存在,不利於同業服務聯合與行業間的深度合作,也不利於網路金融行業的統籌發展和整體風險防控。3.現行的風險管理模式已經不適應網路金融的發展。(1)分業監管體制面臨挑戰。網路金融的發展已經逐步突破了傳統金融業的分工,模糊了銀行業、證券業和保險業之間的界限,尤其是銀行業可以為客戶提供超越時空的服務,這不僅是對傳統銀行業務的挑戰,更是對現階段分業監管模式的挑戰。(2)外部監管體制面臨沖擊。網路金融是以全球客戶為服務對象,和傳統金融活動相比,它超越了分支機構設置的局限性,實現了服務對象的廣泛性,這為小金融機構和大金融機構的公平競爭和進一步推動全球金融一體化創造了條件,但同時也增加了監管難度,特別是對我國按經濟區域設置人民銀行和按行政區域建立銀行業監管機構的體制沖擊較大。(3)監管內容亟待充實。網路金融的發展不僅改變了金融機構與客戶的聯系方式,而且改變了傳統的金融服務方式、產品銷售方式和交易處理方式,如B2B(Business to Business,指在網上企業對企業的商務活動)和B2C(Business to Customer,指在網上企業和消費者之間的商務活動)結算支付方式等。這一系列變化直接或間接地加快了貨幣流通速度,擴張了電子貨幣的發行與創造功能,不僅促使金融市場潛在風險日益加大,而且使現行的金融監管內容亟待充實。(4)風險控制策略急需調整。金融機構在風險控制過程中,主要是表現為事後控制,事前規劃、事中監測與控制明顯不足,風險控制措施表現出很強的事後補救性,在風險控制手段上,表現出靜態性、滯後性,不能隨著業務的發展而不斷地調整控制策略與方法,這與網路金融的發展態勢極不適應。4.監管人才缺乏。網路金融業務的綜合性、高科技性對監管人員的素質提出了更高的要求,既要熟悉金融業務和管理知識,又要具有計算機信息系統工程實踐經驗;既要有豐富、扎實的金融法規功底,又要有開拓金融服務等方面的寬廣視野,但目前在我國金融監管部門中,遠沒有形成一支能滿足網路金融業務監管需要的專業人才隊伍。三、完善對網路金融風險的防範和監控網路金融面臨的風險點多、涉及的利益面廣,有必要從完善法制環境、加強准入管理、健全監管體制、調整監管策略等方面入手,多管齊下,綜合治理。1.健全法律制度。可考慮以《商業銀行法》、《電子簽名法》和《網上銀行業務管理暫行辦法》等法規為基礎,制定或完善關於網路金融業務的法律和規定。(1)加大網路金融的立法力度。盡快制定《數據保護法》、《電子資金劃撥法》、《信息和通信服務規范法》等,明晰網路金融各相關主體的權利義務。(2)對現有法律不適應網路金融發展的部分進行修訂。補充和完善《刑法》中關於金融計算機犯罪的內容及相關條款,對利用電腦實施的犯罪行為加大量刑力度,威懾「黑客」等不法分子。在《民法》中應體現社會經濟的時代特點,明確造成網路金融風險應根據不同情況相應承擔民事責任。(3)制定網路公平交易規則。在數字簽名的識別和確認、交易證據的保存、交易雙方當事人責任的分擔以及消費者個人信息的保護方面做出詳細規定,以保證交易安全、出現糾紛時數字證據的真實有效和交易中的個人隱私。2.加強市場准入管理。(1)將技術設施狀況作為市場准入的條件之一。申請開辦網路金融業務的金融機構不僅要有相當規模的網路設備,而且還需要有確認交易對象的合法性、防止篡改交易信息以及防止信息泄露等方面的關鍵技術。(2)制定嚴密的內控制度。對網路金融業務的公示、信息披露和系統設計等要有制度性安排,對網路金融機構的設立或新業務的開展,必須具備完善的風險識別、鑒定、管理、風險彌補和處置方案。(3)制定、完善各類交易操作規程。對客戶申請開立賬戶、客戶授權的聲明、一般交易程序等擬定細則,防止違法交易和侵害網路金融交易系統的違法犯罪活動。(4)對網路金融業務實行類別管理。制定分類標准,對銀行金融業務能力和資信能力進行分級,從而對網路金融各種業務的開展加以限制和許可。(5)實施靈活的市場准入監管。按照開辦網路金融業務主體和其申報經營的業務不同,除對其資本充足率、流動性等進行檢查外,還要對其交易系統的安全性、電子記錄的准確性和完整性等進行檢查,對網路金融機構普遍建立相關信息資料、獨立評估報告的備案制度進行審查,保證網路金融機構在退出市場時客戶不會因信息缺失而造成損失。3.完善監管體制。(1)健全網路金融風險監管體系。成立「國家(網路)金融風險管理委員會」,由國務院分管領導任主任,人民銀行、銀監會、保監會、證監會、國家工業與信息產業部、公安部等部門為成員單位,負責推動網路金融風險管理立法,制定網路金融風險管理工作規劃,協調網路金融風險管理的重大工作事宜。在銀監會內設立「網路金融風險監管司」,作為「委員會」日常辦事機構。在「委員會」各成員單位建立「網路金融風險監管小組」,服從「委員會」和「監管司」的工作安排,組成能夠統一指揮、調度靈活的網路金融監管隊伍。(2)加強協同監管。「委員會」各成員單位和其他相關監管部門之間實現信息資源共享,相互開放各自的信息資料庫,並定期通報各自的監管情況,促進聯動監管,提高網路金融風險監管的准確性和時效性。(3)加強國際間的網路金融監管合作。我國金融監管部門應積極同有關國際組織(如巴塞爾銀行監管委員會)或與有關國家的金融監管當局建立網路金融監管合作制度,學習國際上的最新技術,對於可能出現的國際司法管轄權沖突等與相關國際組織或有關國家的金融監管當局及時進行有效協調。同時,藉助國際間的網路金融監管合作,加強對借用網路銀行方式進行非法避稅、洗錢等行為,對利用網路銀行方式進行跨國走私、非法販賣軍火武器及販賣毒品等活動,對利用網路銀行非法攻擊其他國家網路銀行的電腦黑客網站,以及其他國際犯罪活動進行全方位的監管,形成能有力保障我國網路金融健康運行和對全球網路金融負責的監管體系。4.調整監管策略。(1)不斷提升網路金融監管的現代化水平。在監管實踐中,應提高全面掌握網路金融機構業務經營情況的能力和對網路金融風險的預測水平,增強宏觀控制的系統性和前瞻性,還要加強網路金融監管規范化建設,提高網路金融監管的現代化、科學化水平。(2)完善對網路金融的現場和非現場檢查內容體系。在現場檢查中要著重對技術要素進行檢查:對網路金融客戶口令管理、網路防火牆功能、網路金融的場地與關鍵設備的安全情況進行檢查,確定網路金融是否恰當選擇適用於其環境的加密技術、關於網路金融系統病毒檢測和預防程序。在非現場檢查中要著重檢查業務發展規模,包括交易額、網上銀行客戶數、業務覆蓋區域和盈利能力,監測受到黑客攻擊和入侵的次數、受到病毒感染的次數、業務運作系統出現問題的次數等。(3)建立強制信息披露制度。遵循「公開、公平、公正」的原則,制定比傳統金融業務更為嚴格的信息披露規則,規范信息披露的內容、格式、頻度及職責等,通過財務報表、網上公示等手段披露有關網路金融業務的信息。(4)創新監管方式。充分利用網路信息優勢,建立實時跟蹤監測系統,加強監控,同時還可以在網路上採取「制定規則,巡邏抽查」的方式,對網路金融的運行狀況及是否「違規」進行抽查,一旦發現,及時糾正或採取處罰措施。5.構建安全體系。(1)加快研製和開發具有我國自主知識產權的先進信息技術。包括各種計算機設備、通訊設備、系統軟體、加密演算法等,從保護國家金融安全和國家經濟安全的角度提高網路安全性能。(2)改進網路運行環境。加強計算機網路和中心機房的管理,加大對計算機物理安全措施的投入,增強計算機系統的關鍵技術和關鍵設備的防攻擊、防病毒能力,維護計算機硬體安全,保證網路銀行所依賴的網路等硬體環境能夠安全正常運轉。(3)實現安全訪問。一方面通過網路的物理隔離和邏輯隔離方式,將非法用戶與物理資源相互隔離,另一方面通過應用系統的身份驗證和分級授權等登錄方式,限制非法用戶的訪問。(4)加強數據管理。統一數據標准,保證全國各金融機構之間的數據交換,實現信息共享,同時對網上數據進行實時監測和跟蹤,建立容災備份,避免數據丟失。(5)建立信任及信任服務機制,通過數字證書為參與網上交易的各方提供安全方面的基礎保障,防範交易及支付過程中的不法行為。6.加快人才培養。(1)進行學科培養。金融或財經院校要把握網路金融發展趨勢,加大金融知識的融合力度,對銀行、證券、保險、基金、信託、網路技術等相關課程要進行交叉教學、重合教學,著力培養復合型、綜合型金融管理人才,為網路金融監管提供高水平後備人才。(2)適度引進。可以有計劃地從國際市場上引進急需的專業人才,一定程度上改變我國網路金融監管隊伍人才結構,同時也可以借機學習國際同行的監管經驗和技術。(3)注重對現有監管人員的培訓提高。要積極採取舉辦培訓班、考察學習、交流訪問、異地異行實習、委託培養等多種方式,加強對現有監管人員的培訓,努力建設一支既懂信息技術又熟悉網路金融運作和風險管理的高素質復合型人才隊伍,迅速、有效地促進我國網路金融的健康發展。作者:中國農業銀行安徽省分行 馮靜生3.現行的風險管理模式已經不適應網路金融的發展。(1)分業監管體制面臨挑戰。網路金融的發展已經逐步突破了傳統金融業的分工,模糊了銀行業、證券業和保險業之間的界限,尤其是銀行業可以為客戶提供超越時空的服務,這不僅是對傳統銀行業務的挑戰,更是對現階段分業監管模式的挑戰。(2)外部監管體制面臨沖擊。網路金融是以全球客戶為服務對象,和傳統金融活動相比,它超越了分支機構設置的局限性,實現了服務對象的廣泛性,這為小金融機構和大金融機構的公平競爭和進一步推動全球金融一體化創造了條件,但同時也增加了監管難度,特別是對我國按經濟區域設置人民銀行和按行政區域建立銀行業監管機構的體制沖擊較大。(3)監管內容亟待充實。網路金融的發展不僅改變了金融機構與客戶的聯系方式,而且改變了傳統的金融服務方式、產品銷售方式和交易處理方式,如B2B(Business to Business,指在網上企業對企業的商務活動)和B2C(Business to Customer,指在網上企業和消費者之間的商務活動)結算支付方式等。這一系列變化直接或間接地加快了貨幣流通速度,擴張了電子貨幣的發行與創造功能,不僅促使金融市場潛在風險日益加大,而且使現行的金融監管內容亟待充實。(4)風險控制策略急需調整。金融機構在風險控制過程中,主要是表現為事後控制,事前規劃、事中監測與控制明顯不足,風險控制措施表現出很強的事後補救性,在風險控制手段上,表現出靜態性、滯後性,不能隨著業務的發展而不斷地調整控制策略與方法,這與網路金融的發展態勢極不適應。4.監管人才缺乏。網路金融業務的綜合性、高科技性對監管人員的素質提出了更高的要求,既要熟悉金融業務和管理知識,又要具有計算機信息系統工程實踐經驗;既要有豐富、扎實的金融法規功底,又要有開拓金融服務等方面的寬廣視野,但目前在我國金融監管部門中,遠沒有形成一支能滿足網路金融業務監管需要的專業人才隊伍。
⑩ 網路安全審查辦法
《網路安全審查辦法》是為了確保關鍵信息基礎設施供應鏈安全,維護國家安全,由國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局等12部門聯合制定的辦法。2020年4月27日,《網路安全審查辦法》正式發布,自2020年6月1日起實施。
網路安全審查主要審查的內容如下:
1、產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險。
2、產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害。
3、產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險。
4、產品和服務提供者遵守中國法律、行政法規、部門規章情況。
5、其他可能危害關鍵信息基礎設施安全和國家安全的因素。
其中電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網路和信息系統運營者在采購網路產品和服務時,應當在與產品和服務提供方正式簽署合同前申報網路安全審查。通常情況下,網路安全審查在45個工作日內完成,情況復雜的會延長15個工作日。進入特別審查程序的審查項目,可能還需要45個工作日或者更長。關鍵信息基礎設施運營者或產品和服務提供者認為審查人員有失客觀公正,或未能對審查工作中獲悉的信息承擔保密義務的,可以向網路安全審查辦公室或有關部門舉報。