個人信息安全管理辦法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的個人信息安全管理辦法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：個人信息安全管理辦法范文

在國際信息安全環(huán)境日趨惡劣，國家全面倡導信息安全的大環(huán)境下，為了確保信息安全工作的可持續(xù)性開展及業(yè)務信息系統(tǒng)的穩(wěn)定運行，依據(jù)集團總部《關于建立集團公司網(wǎng)絡與信息安全組織保障體系的通知》、鄂通信局發(fā)[2013]127號《關于進一步落實基礎電信企業(yè)網(wǎng)絡與信息安全責任考核及有關工作的意見》等相關文件精神，同時參考《GA/T708-2007信息安全技術-信息系統(tǒng)安全等級保護體系框架》、《GB/T22239-2008信息安全技術-信息系統(tǒng)安全等級保護基本要求》《GB/T20269-2006信息安全技術-信息系統(tǒng)安全管理要求》、《GB/T0984-2007信息安全技術-信息安全風險評估規(guī)范》等國家標準，制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規(guī)范》規(guī)范等，率先在企業(yè)內(nèi)建立并實施該體系，全面倡導企業(yè)向信息安全生產(chǎn)經(jīng)營轉型，同時積極引導合作伙伴樹立信息安全意識，規(guī)范自身的生產(chǎn)及合作行為，明確安全風險責任、細化管理要求，立足自身，兼顧第三方，共同打造信息安全的綠色長城，確保企業(yè)長足健康發(fā)展。通過該安全管理體系的實施，從中全面深入地挖掘現(xiàn)有安全體系的不足之處，并針對現(xiàn)有業(yè)務系統(tǒng)中的各類安全隱患制定了有效的整改方案并予以實施、預警，確保了移動互聯(lián)網(wǎng)業(yè)務的可持續(xù)性發(fā)展及業(yè)務信息系統(tǒng)的穩(wěn)定運行。首先，組織完成企業(yè)的自有業(yè)務信息系統(tǒng)和合作業(yè)務信息系統(tǒng)的安全等級劃分工作，將平臺安全管理工作落實到具體的責任人，并簽署責任狀，從而樹立全員安全責任意識，實現(xiàn)人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術對業(yè)務信息系統(tǒng)進行安全掃描、安全審計，并應用HIVE、Waka、PIG、Mahout等工具對海量日志、數(shù)據(jù)進行分析和審核，發(fā)現(xiàn)相關漏洞與脆弱點，并針對自有及合作業(yè)務信息系統(tǒng)編寫了整改建議和系統(tǒng)層面的加固方案。通過持續(xù)對自有及合作信息系統(tǒng)的檢查，共發(fā)現(xiàn)自有業(yè)務信息系統(tǒng)存在各類安全漏洞攻擊39處，合作業(yè)務信息系統(tǒng)存在各類安全漏洞14處，目前這些漏洞已經(jīng)全部整改與加固完畢，消除了安全隱患。其次，以信息安全管理為導向，組建了由電信營運商、合作伙伴、專業(yè)公司三方共同構成的一支業(yè)務信息系統(tǒng)安全管理團隊，通過從合作業(yè)務管理規(guī)范的建立到合作伙伴安全技能培訓，從信息安全制度宣貫到系統(tǒng)安全處罰辦法的落實執(zhí)行，從系統(tǒng)安全的定期評估到系統(tǒng)漏洞的及時加固等一系列舉措，最終創(chuàng)建一套業(yè)務信息系統(tǒng)全新的安全管理模型，提高業(yè)務信息系統(tǒng)運行質(zhì)量和服務能力，提升創(chuàng)新業(yè)務品牌形象。從安全管理模型啟用至今，未發(fā)生一起信息安全事故，這樣強化了合作伙伴的信息安全概念，督促合作伙伴在發(fā)展業(yè)務的同時也重點關注信息安全問題，極大地降低了由于合作系統(tǒng)的信息安全漏洞導致的中病毒或木馬、假冒網(wǎng)站、賬號或密碼被盜、個人信息泄露等客戶信息安全事件的發(fā)生概率，此類原因造成創(chuàng)新業(yè)務投訴比率和往年相比降低了15%，改變了用戶對創(chuàng)新業(yè)務的固有印象，建立了良好的創(chuàng)新業(yè)務服務品牌形象。此模型具備良好的可復制性，可指導通信領域運營企業(yè)開展信息安全工作。在全國率先打造這套移動互聯(lián)網(wǎng)業(yè)務安全管理體系，包含一系列業(yè)務系統(tǒng)信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規(guī)范等相關業(yè)務系統(tǒng)管理制度及規(guī)范，業(yè)務系統(tǒng)安全管理體系的先進性和時效性在通信行業(yè)內(nèi)名列前茅，同時通過近兩年的安全理論研究和安全評估加固實踐，針對當前企業(yè)業(yè)務平臺系統(tǒng)在信息安全監(jiān)管中面臨的一些問題，對當前主流關聯(lián)分析技術進行研究的基礎上，提出了一種新的安全事件關聯(lián)分析技術。該技術涉及到多源數(shù)據(jù)預處理、報警聚合、關聯(lián)分析、大數(shù)據(jù)分析和安全狀況態(tài)勢評估等相關技術。此技術運用到電信行業(yè)的信息安全監(jiān)管上，就能夠對監(jiān)控設備收集的日志及安全設備產(chǎn)生的告警進行關聯(lián)分析和挖掘，從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息，通過對此類信息的統(tǒng)計、濃縮、總結、關聯(lián)和分類，抽象出利于進行判斷和比較的特征庫，并智能地學習和維護其特征庫，從而在提高安全事件報警準確率的情況下保證極高的識別效率。同時該安全管理體系成功應用到與百度公司合作開發(fā)的愛奇藝視頻業(yè)務系統(tǒng)、與騰訊科技公司聯(lián)合開發(fā)的微信平臺、與奇虎科技公司共同開發(fā)的安全衛(wèi)士手機應用系統(tǒng)，得到部分在美國納斯達克上市的中國互聯(lián)網(wǎng)精英公司的高度認可和贊許，并表示今后與電信運營商共同開發(fā)產(chǎn)品都依照此安全管理規(guī)范和體系，確保產(chǎn)品的各項安全性能指標。

2創(chuàng)新點

為順應移動互聯(lián)網(wǎng)時代，運營商從基礎通信運營向流量運營轉型的新趨勢，湖北移動確定了“業(yè)務轉型，安全先行”的發(fā)展思路，堅持“以安全保發(fā)展、以發(fā)展促安全”。在已有的網(wǎng)絡與信息安全管理辦法的基礎上，積極開展適應移動互聯(lián)網(wǎng)時代安全管理體系建設，不斷推進科學的安全管理方法，做到六“注重”六“突出”，即：（1）注重整體規(guī)劃，突出體系建設，促進職責高效履行。制定下發(fā)安全標準化管理與評價體系建設計劃，內(nèi)容涵蓋安全工作方針目標、安全目標、各方職責、安全管理體系和模式、安全設施和機房環(huán)境保護設施標準、安全文明操作保證金、安全考核與獎懲、過程的主要控制措施、應急準備和響應等方面。嚴格按計劃有序開展體系建設工作；嚴格按體系文件要求開展業(yè)務或系統(tǒng)試運行工作；加強保證與監(jiān)督體系的建設。（2）注重文化建設，突出信息安全特色，促進習慣養(yǎng)成。以人為本，加強企業(yè)安全文化建設，促使安全文化落地，提高員工安全與風險防范意識。（3）注重教育培訓，突出行業(yè)特色，達到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓方式，組織各單位安全管理人員開展安全教育和培訓工作：一是安排專家和行業(yè)資深人士進行專題講座；二是在專題培訓的基礎上，做好網(wǎng)絡與信息安全專項工作如何開展的培訓。（4）注重設備管理，突出針對特色，實現(xiàn)安全管理精細化。首先，網(wǎng)絡設備較多，加強網(wǎng)絡安全管理提高設備安全可靠性是首要任務，為此各維護單位對每臺設備均建立了安全技術臺帳，臺帳包括運行記錄、檢查保養(yǎng)記錄和定期檢驗記錄。其次，組織精干力量先后兩次對所有設備、流程、機房進行全面的安全評估工作。第三，使隱患排查整改形成機制。（5）注重安全投入，突出專用特色，合理使用安全生產(chǎn)費用。認真落實安全管理費用投入長效機制，加大安全費用的管理，做到專款專用，確保安全生產(chǎn)費用規(guī)范化、合理化和足額投入。并加強安全生產(chǎn)保證金的管理，建立安全生產(chǎn)保證金并實行年底考核的機制，有效促進了安全管理工作。（6）注重應急預案，突出超前特色，安全管理贏在主動。在安全管理中，把預防工作落到實處，建立健全了應急處置機構，將應急處置工作進一步制度化，規(guī)范化，形成了完整的安全事故預防體系。同時，開展形式多樣、符合實際的應急演練。

3結語

第2篇：個人信息安全管理辦法范文

關鍵詞 網(wǎng)絡信息安全；安全系統(tǒng)；維護

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2013）87-0211-01

0引言

網(wǎng)絡信息時代來臨，小至個人，大至國家都在使用網(wǎng)絡信息技術更好的進行生活與學習。網(wǎng)絡信息安全牽涉到個人隱私與國家穩(wěn)定、社會經(jīng)濟發(fā)展問題。所以維護好網(wǎng)絡信息安全系統(tǒng)的技術手段在網(wǎng)絡信息時代下顯得至關重要。隨著國家對網(wǎng)絡信息安全的重視，開始以立法的手段對網(wǎng)絡信息安全做出有效的維護。

1 中國網(wǎng)絡信息安全現(xiàn)狀

人們利用網(wǎng)絡傳遞各類信息，個人信息與企業(yè)信息甚至是國家安全信息都會通過網(wǎng)絡渠道進行信息的傳遞。但是網(wǎng)絡信息的傳遞過程中，會因為網(wǎng)絡信息保密性能不到位，出現(xiàn)安全信息的泄露。較為嚴重的影響到國家與社會的發(fā)展穩(wěn)定。

1.1網(wǎng)絡信息的安全隱患

1）垃圾信息與病毒的傳播威脅。在國際網(wǎng)絡信息的傳播過程中，垃圾信息與病毒傳播的現(xiàn)象在網(wǎng)絡上十分的普遍。在中國上億的網(wǎng)民都會經(jīng)常性的在郵箱接收到垃圾郵件，而很多網(wǎng)絡病毒都會通過垃圾郵件進行病毒的傳播。網(wǎng)絡用戶在無意間打開垃圾郵件的過程中，就會感染到計算機病毒，病毒在感染過程中，就會盜取計算機用戶的有價值的信息。私人電腦的信息被計算機病毒盜取之后，就會造成個人隱私的泄露。而國家機關單位的電腦信息如果一旦就病毒竊取，就會對國家的安全發(fā)展帶來較大的阻力；2）公共的網(wǎng)頁計算機信息也會被竊取，很多網(wǎng)頁信息在黑客的攻擊下，會發(fā)生網(wǎng)頁原有信息的變更。網(wǎng)頁的安全信息在計算機病毒的影響下，可能會形成正常網(wǎng)頁信息的篡改，把一些負面的信息在網(wǎng)絡上進行傳播。造成不良的社會影響，減緩社會健康的發(fā)展穩(wěn)定。很多不法分子也開始利用網(wǎng)絡技術，對銀行等金融部門的開戶號及密碼等信息進行盜取。研制出專門的黑客攻擊軟件進行對銀行信息的盜取之后，進行經(jīng)濟盜取；3）釣魚網(wǎng)站本身不僅具有大量的病毒，用戶在點擊瀏覽網(wǎng)站的過程中，會發(fā)現(xiàn)網(wǎng)站里很多詐騙信息。電腦用戶如果不慎點入，就會騙走大量的金錢并盜走大量有用的個人信息。

2 網(wǎng)絡違法問題

網(wǎng)絡信息技術不斷的發(fā)展與進步，但是網(wǎng)絡信息問題卻仍然缺乏較為完善的法律保護措施進行較好的維護網(wǎng)絡信息安全。近年來，網(wǎng)絡違法犯罪行為在不斷的增多，越來越多的相關部門開始制定有關的立法保護措施對網(wǎng)絡信息進行相應的保護。但是相對于國際而言，中國的網(wǎng)絡信息技術發(fā)展還顯得不太成熟，網(wǎng)絡信息安全的立法保護措施如果失去了相應網(wǎng)絡信息安全技術作為保障，就不能夠把立法保護措施進行較好的落實。

2.1網(wǎng)絡違法人群的低齡化

很多網(wǎng)絡違法問題都在一定程度上影響著社會的發(fā)展與進步。網(wǎng)絡違法問題可以在病毒的制造與傳播二個方面得以集中的表現(xiàn)。網(wǎng)絡黑客不斷的制造計算機病毒，并且把病毒不斷的在網(wǎng)絡上進行傳播，利用病毒盜取有用的計算機個人信息。黑客非法的對計算機信息進行盜取，并把盜取而來的計算機信息進行泄露，對國家與社會的發(fā)展造成了一定的危害。現(xiàn)在計算機網(wǎng)絡違法行為已經(jīng)較多的出現(xiàn)在青少年人群中。

2.2網(wǎng)絡立法保護程序的缺陷

網(wǎng)絡立法保護程序實際上就是對保障網(wǎng)絡信息安全不泄露，那就需要網(wǎng)絡信息安全評判。在網(wǎng)絡立法保護的同時，應該把網(wǎng)絡安全維護系統(tǒng)進行相應的開發(fā)出來。在當前所有的《計算機信息系統(tǒng)安全保護等級劃分標準》把計算機網(wǎng)絡安全系統(tǒng)劃分成為五個等級，而且分成十個安全的考核標準，這些標準包涵了各個不同的級別安全指標。除了這些硬性的網(wǎng)絡安全指標以外，還必須有效的維護網(wǎng)站信息的安全，網(wǎng)站信息的傳播具有非常重要的作用，可以極大的保證社會信息的正面有效的傳播。國內(nèi)相應所出臺的法律法規(guī)也包括，《計算機信息系統(tǒng)安全保護條例》還有《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》以及《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》與《中國公眾多媒體管理辦法》等。

3 網(wǎng)絡信息安全系統(tǒng)的維護辦法

網(wǎng)絡信息安全技術手段不斷的完善與改進，但是也不能夠完全的避免網(wǎng)絡違法行為的出現(xiàn)與產(chǎn)生。制訂完善的網(wǎng)絡信息安全法律法規(guī)，可以在危害網(wǎng)絡信息安全行為出現(xiàn)的時候使用相應的法律手段對違反網(wǎng)絡信息安全的問題與網(wǎng)絡犯罪手段進行對應的法律制裁。在文中，可以主要采用以下幾點手段進行對網(wǎng)絡信息安全系統(tǒng)進行維護。

首先，必須對我國網(wǎng)絡信息安全系統(tǒng)的保護制定出相應較為細致的法律法規(guī)，在制定有關法律的過程中，對法律法規(guī)進行具體化與細致化的法規(guī)制定。在法律的制定過程中，在原有的法律基礎上，進行較好的補充與完善。網(wǎng)絡信息安全具有一定的適用性，很多網(wǎng)絡信息所包含的領域非常多，法律在頒布與實施的過程也非常具有局限性。所以在問題出現(xiàn)與解決的時候，必須把維護網(wǎng)絡信息的安全性法律法規(guī)制定得具有相對的針對性。只有這樣，才能夠保證法律條例有效的實施。

其次，中國的法律法規(guī)還具有不少沒有涉及到的領域，那就是政府信息資源的有效管理以及網(wǎng)絡信息的安全管理。對于這些沒有任何相關法律所涉及到的地方，必須盡快的制定好有關法律法規(guī)進行有效的完善與規(guī)范保障網(wǎng)絡信息安全性法律法規(guī)。

參考文獻

[1]蘇孝青，盛志華.計算機網(wǎng)絡安全技術發(fā)展與防火墻技術探討[J].科技創(chuàng)新導報，2009（25）.

第3篇：個人信息安全管理辦法范文

關鍵詞：信息安全網(wǎng)絡措施

一、信息安全的概念

目前，我國《計算機信息安全保護條例》的權威定義是：通過計算機技術和網(wǎng)絡技術手段，使計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)庫等受到保護，最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密,系統(tǒng)能夠正常運行，使用戶獲得對信息使用的安全感。信息安全的目的是保護信息處理系統(tǒng)中存儲、處理的信息的安全，其基本屬性有：完整性、可用性、保密性、可控性、可靠性。

二、計算機網(wǎng)絡系統(tǒng)安全因素剖析

（一）來自計算機網(wǎng)絡的病毒攻擊

目前，計算機病毒的制造者大多利用Internet網(wǎng)絡進行傳播，所以廣大用戶很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統(tǒng)，也可能會大量占用網(wǎng)絡帶寬，阻塞正常流量，如：發(fā)送垃圾郵件的病毒，從而影響計算機網(wǎng)絡的正常運行。

（二）軟件本身的漏洞問題

任何軟件都有漏洞，這是客觀事實。就是美國微軟公司，全球的軟件霸主，也不例外。但是這些漏洞恰恰是非法用戶竊取用戶信息和破壞信息的主要途徑。針對固有的安全漏洞進行攻擊，主要有：①協(xié)議漏洞。利用POP3等協(xié)議的漏洞發(fā)動，獲得系統(tǒng)管理員的特權；②緩沖區(qū)溢出。攻擊者利用該漏洞發(fā)送超長的指令，超出緩沖區(qū)能處理的限度，造成系統(tǒng)運行的不穩(wěn)定，使用戶不能正常工作；③口令攻擊。黑客通過破譯，獲得合法的口令，而入侵到系統(tǒng)中。還有IP地址轟擊等方法，不一一舉例。

（三）來自競爭對手的破壞

俗話說：同行是冤家。有的企業(yè)利用不正當手段，對同行進行破壞。攻擊對方的網(wǎng)站或篡改對方的信息，或在其他網(wǎng)站上散布謠言，破壞競爭對手的良好形象。有的轟擊對方的IP地址，使對方的網(wǎng)站不能正常工作。

（四）用戶使用不慎產(chǎn)生的后果

計算機管理人員平時工作馬虎，不細心，沒有形成規(guī)范的操作，也沒有制定相應的規(guī)章制度。很多管理人員安全意識不強，將自己的生日或工號作為系統(tǒng)口令，或將單位的賬號隨意轉借他人使用，從而造成信息的丟失或篡改。

三、網(wǎng)絡信息安全的應對措施

（一）加強入網(wǎng)的訪問控制

入網(wǎng)訪問控制是網(wǎng)絡的第一道關口，主要通過驗證用戶賬號、口令等來控制用戶的非法訪問。對用戶賬號、口令應作嚴格的規(guī)定，如：口令和賬號要盡可能地長，數(shù)字和字母混合，避免用生日、工號等常見的東西作口令，盡量復雜化，而且要定期更新，以防他人竊取。目前安全性較高的是USBKEY認證方法，這種方法采用軟硬件相結合，很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設備，用戶的密鑰或數(shù)字證書無需存于內(nèi)存，也無需通過網(wǎng)絡傳播。因此，大大增強了用戶使用信息的安全性。

（二）加強病毒防范

為了能有效地預防病毒并清除病毒，必須建立起有效的病毒防范體系，這包括漏洞檢測、病毒預防、病毒查殺、病毒隔離等措施，要建立病毒預警機制，以提高對病毒的反應速度，并有效加強對病毒的處理能力。主要從以下四個方面來闡述：

1．漏洞檢測。主要是采用專業(yè)工具對系統(tǒng)進行漏洞檢測，及時安裝補丁程序，杜絕病毒發(fā)作的條件。

2．病毒預防。要從制度上堵塞漏洞，建立一套行之有效的制度；不要隨意使用外來光盤、移動硬盤、U盤等存儲設備。

3．病毒查殺。主要是對病毒實時檢測，清除已知的病毒。要對病毒庫及時更新，保證病毒庫是最新的。這樣，才可能查殺最新的病毒。

4．病毒隔離。主要是對不能殺掉的病毒進行隔離，以防病毒再次傳播。

（三）進行數(shù)據(jù)加密傳輸

為防止信息泄漏，被競爭對手利用，可對傳輸數(shù)據(jù)進行加密，并以密文的形式傳輸。即使在傳輸過程中被截獲，截獲者沒有相應的解密規(guī)則，也無法破譯，從而保證信息傳輸中的安全性。比如：微軟公司的WindowsXP就有這樣的數(shù)據(jù)加密功能。

（四）采用防火墻技術

應用過濾防火墻技術能實現(xiàn)對數(shù)據(jù)包的包頭進行檢查，根據(jù)其IP源地址和目標地址做出放行或丟棄決定，但對其攜帶的內(nèi)容不作檢查；應用防火墻技術能對數(shù)據(jù)包所攜帶的內(nèi)容進行檢查，但對數(shù)據(jù)包頭無法檢查。因此，綜合采用包過濾防火墻技術和防火墻技術，既能實現(xiàn)對數(shù)據(jù)包頭的檢查，又能實現(xiàn)對其攜帶內(nèi)容的檢查。

（五）應建立嚴格的數(shù)據(jù)備份制度

一要重視數(shù)據(jù)備份的重要性，認為它很有意義，是一個必要的防范措施；二要嚴格執(zhí)行數(shù)據(jù)備份制度。要定期或不定期備份，對重要數(shù)據(jù)要有多個備份。因為殺毒軟件不是萬能的，以防萬一，很有必要建立數(shù)據(jù)備份制度。

（六）加強安全管理

安全管理對于計算機系統(tǒng)的安全以及可靠運行具有十分重要的作用。就目前而言，應做到以下幾點：

1．樹立守法觀念，加強法制教育。有關計算機和網(wǎng)絡的一些法律知識，要了解并熟悉，如：《中國信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》等條例，培養(yǎng)良好的法律意識。:

2．制定并嚴格執(zhí)行各項安全管理規(guī)章制度。包括出入機房制度、機房衛(wèi)生管理制度、在崗人員責任制、機房維護制度、應急預案等。

3．建立檢查機制。定期或不定期地對計算機系統(tǒng)進行安全例行檢查，要有記錄，看落實情況，以免流于形式。

（七）培養(yǎng)用戶的信息安全意識

第4篇：個人信息安全管理辦法范文

【關鍵詞】船岸網(wǎng)絡；信息安全；航運企業(yè)

0引言

一些航運企業(yè)已開始實施“數(shù)字化+互聯(lián)網(wǎng)”戰(zhàn)略，船舶運營參數(shù)及管理量化指標被轉移至信息更加透明的互聯(lián)網(wǎng)平臺，船舶所有人可以通過互聯(lián)網(wǎng)平臺隨時隨地查看船舶動態(tài)。航運企業(yè)將船舶全權委托給第三方船舶管理公司管理，并通過互聯(lián)網(wǎng)平臺監(jiān)控船舶動態(tài)。這種管理模式帶來一個全新的課題：船岸網(wǎng)絡信息化程度越高，信息系統(tǒng)遭受攻擊導致數(shù)據(jù)泄露的風險越大。近年來已發(fā)生多起船員個人信息泄露導致的詐騙案件。這些個人信息泄露的源頭是船舶管理公司的信息系統(tǒng)。信息泄露會給個人造成損失，而信息系統(tǒng)遭受病毒攻擊則會給航運企業(yè)造成巨大損失。因此，信息安全對航運企業(yè)而言極為重要。

1船岸網(wǎng)絡管理現(xiàn)狀

船岸網(wǎng)絡技術的發(fā)展非常迅速，特別是海上衛(wèi)星通信服務商提供的海上高速網(wǎng)絡在資費下降后極大地提高了船舶與管理方、服務供應商、租船人和船舶所有人/經(jīng)營人之間的信息交換頻率。海上高速網(wǎng)絡的普及給信息安全帶來更大的隱患。網(wǎng)絡沒有物理界限，任何具有網(wǎng)絡攻防知識并熟悉船舶扁平化網(wǎng)絡架構的人或組織都可以通過Shodan搜索引擎獲得相關信息，對船岸網(wǎng)絡實施遠程攻擊。通過對衛(wèi)星通信服務商IP地址段批量掃描發(fā)現(xiàn)：眾多安裝VSAT、FBB設備的船舶未加安全措施就向公網(wǎng)開放了21/80/445/3389等弱口令TCP、UDP端口；供應商為節(jié)約成本、方便遠程維護管理，將Cobham、KVHCommBox、Inmarsat、Marlink等產(chǎn)品內(nèi)建的管理后臺映射到外網(wǎng)；絕大部分船舶沒有配置專業(yè)的硬件防火墻，岸基管理人員缺乏專業(yè)技能，最終導致船舶網(wǎng)絡安全得不到保障。

要做好船岸網(wǎng)絡安全工作，首先要了解船岸網(wǎng)絡設備運行機制和原理。船舶內(nèi)網(wǎng)GPS、ECDIS、主機監(jiān)控系統(tǒng)服務器等多網(wǎng)卡設備既通過串口總線和CANBUS、MODBUS等協(xié)議控制舵機、智能電站及壓載水調(diào)平系統(tǒng)等設備，又通過網(wǎng)卡和SNMP、NMEA等協(xié)議進行網(wǎng)絡通信，從而形成了一個可以網(wǎng)絡遠程控制的船舶物聯(lián)網(wǎng)。由于某些船用通信協(xié)議存在設計缺陷，例如NMEA0183協(xié)議通過明文傳輸，缺乏加密、身份認證和校驗機制，為實施網(wǎng)絡攻擊制造了機會――攻擊者只需遠程更改一兩個字符就可以命令船舶轉向。

2常見的網(wǎng)絡攻擊方式

廣義上對船岸網(wǎng)絡的攻擊主要有兩類：（1）無目標的攻擊。岸基或船舶內(nèi)網(wǎng)操作系統(tǒng)和第三方軟件漏洞是潛在受攻擊目標之一，攻擊者利用0day漏洞進行廣撒網(wǎng)式的無差別化攻擊，近幾年馬士基航運集團和中遠海運集運北美公司遭遇的網(wǎng)絡攻擊屬于此類。（2）有針對性的攻擊。攻擊者將某船岸信息系統(tǒng)設定為滲透目標，利用專門開發(fā)的繞過技術和工具躲避網(wǎng)絡防御機制（如震網(wǎng)病毒事件），實施多步驟攻擊，其破壞程度較無目標的攻擊更大。

有針對性攻擊又分為以下6種類型：

（1）主動攻擊。攻擊者主動攻擊網(wǎng)絡安全防線。主動攻擊的方式為修改或創(chuàng)建錯誤的數(shù)據(jù)流，主要攻擊形式有假冒、重放、篡改消息和使網(wǎng)絡拒絕服務等。

（2）被動攻擊。攻擊者監(jiān)視相關信息流以獲得某些信息。被動攻擊基于網(wǎng)絡跟蹤通信鏈路或系統(tǒng)，用秘密抓取數(shù)據(jù)的木馬程序代替系統(tǒng)部件。

（3）物理攻擊。未被授權者在物理上接入網(wǎng)絡、系統(tǒng)或設備，以達到修改、收集信息或使網(wǎng)絡拒絕訪問的目的。

（4）內(nèi)部攻擊。被授權修改信息安全處理系統(tǒng)，或具有直接訪問信息安全處理系統(tǒng)權力的內(nèi)部人員，主動傳播非法獲取的信息。

（5）邊界攻擊。網(wǎng)絡邊界由路由器、防火墻、入侵檢測系統(tǒng)（IDS）、虛擬專用網(wǎng)（VPN、DMZ）和被屏蔽的子網(wǎng)等硬件和軟件組成。硬件的操作系統(tǒng)與其他軟件一樣存在安全漏洞，攻擊者可利用操作系統(tǒng)漏洞，繞過已知安全協(xié)議達到攻擊的目的。

（6）持續(xù)性威脅。商業(yè)間諜組織可能會通過“釣魚手法”進行攻擊。如以“某某船公司2020中期戰(zhàn)略企劃書”為關鍵詞投放電子誘餌，通過文檔追蹤工具進行精準定位，誘騙受害人打開附件或點擊郵件鏈接從而入侵或破壞其信息系統(tǒng)。

3船岸網(wǎng)絡中易受攻擊的系統(tǒng)

船岸網(wǎng)絡中易受攻擊的系統(tǒng)有綜合船橋和電子海圖系統(tǒng)、配載儀和船舶維修保養(yǎng)系統(tǒng)、主機遙控和能效系統(tǒng)、保安限制區(qū)域閉路電視監(jiān)控系統(tǒng)和各重點艙室門禁系統(tǒng)、乘員服務和管理系統(tǒng)、面向船員娛樂的公共網(wǎng)絡系統(tǒng)、船岸網(wǎng)絡通信系統(tǒng)、計算機操作系統(tǒng)及常用軟件等。

4船舶網(wǎng)絡安全配置建議

（1）禁用公網(wǎng)IP，使用URA系統(tǒng)遠程管理。

（2）修改系統(tǒng)默認密碼并使用高強度密碼。

（3）將船岸網(wǎng)絡操作系統(tǒng)和第三方軟件補丁、病毒特征庫升級至最新版本。

（4）對工控網(wǎng)絡、辦公網(wǎng)絡、娛樂網(wǎng)絡實施網(wǎng)絡隔離和訪問控制。

（5）通過策略制定公用電腦進程白名單，禁用USB接口。

（6）向船員普及網(wǎng)絡安全風險防范知識。

（7）要求設備供應商提供必要的網(wǎng)絡安全事件應對措施。

（8）不過度依賴遠程網(wǎng)絡監(jiān)控技術，增加現(xiàn)場勘查頻率。

5網(wǎng)絡攻擊事件的處置步驟

（1）風險識別。定義相關人員的崗位和職責，確保在日常管理中能夠及時發(fā)現(xiàn)可疑風險。

（2）事件預防。制定風險控制流程和應急計劃，降低網(wǎng)絡風險，防范網(wǎng)絡攻擊。

（3）事件發(fā)現(xiàn)。檢查已確認的網(wǎng)絡攻擊事件，評估損失并制定后續(xù)恢復方案。（4）事件恢復。制定計劃使系統(tǒng)恢復正常運行。

（5）免疫措施。制定措施避免類似網(wǎng)絡攻擊事件再次發(fā)生。

6網(wǎng)絡信息安全團隊崗位職責

航運企業(yè)應設立信息安全官（CISO）崗位，其職責為：建立船岸網(wǎng)絡安全團隊并管理成員，牽頭制定全面的船舶網(wǎng)絡安全應急保護計劃（CSP），以持續(xù)保障船岸網(wǎng)絡安全。團隊成員崗位職責如下：

（1）對船舶VSAT/FBB設備端口映射及防火墻規(guī)則進行審核、分發(fā)、監(jiān)控，熟悉Infinity、XchangeBox等通信管理系統(tǒng)的后臺設置，監(jiān)控船岸網(wǎng)絡的可疑流量。

（2）對船岸內(nèi)網(wǎng)信息設備和辦公電腦軟硬件及時更新維護，熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識。

（3）定期優(yōu)化單船拓撲結構和更新船岸網(wǎng)絡病毒特征庫和漏洞補丁庫，不斷完善船岸網(wǎng)絡信息事故應急預案。

（4）收集供應商技術文件并集中存儲，向設備和服務供應商提交并跟蹤審核通導信息類設備保修工單（如KVH、Marlink、GEE、OneNet等）。

（5）跟蹤記錄新造船F(xiàn)BB、銥星移動通信系統(tǒng)、VSAT和船載物聯(lián)網(wǎng)設備安裝調(diào)試情況，審核通信類費用憑證。

（6）具備防火墻、路由器、入侵檢測系統(tǒng)、交換機的豐富知識，MacOS、Windows、Linux等3大操作系統(tǒng)及域控、數(shù)據(jù)庫的基礎知識，并能熟練使用SQL、CrystalReports提取分析數(shù)據(jù)。

（7）參與船岸網(wǎng)絡的設計開發(fā)和信息系統(tǒng)的迭代開發(fā)，提出必要的安全策略規(guī)范要求。

（8）具備妥善監(jiān)控并處理網(wǎng)絡安全事件的能力和獨立撰寫網(wǎng)絡安全事件調(diào)查報告的能力，并提出改進措施。

7船岸網(wǎng)絡信息安全管理目標

船岸網(wǎng)絡信息安全問題從根本上說是人的問題，如何在制度上讓人遵守規(guī)則，如何在技術上減少或避免人為惡意攻擊，這是船岸網(wǎng)絡信息安全組織架構設計的目標。船岸網(wǎng)絡信息安全組織架構設計的總體目標可定義為：針對船岸網(wǎng)絡和信息安全需要，構建系統(tǒng)的網(wǎng)絡安全技術和信息防護策略及措施，通過制度管理和技術防范來規(guī)范員工行為，達到網(wǎng)絡和信息資產(chǎn)安全可控的目的，最終達到“外人進不來、進來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監(jiān)的基本職責是建立船岸網(wǎng)絡和信息安全團隊并確保團隊成員各司其職。團隊成員既包括企業(yè)內(nèi)部的計算機安全專家，也包括企業(yè)外部的資深律師、會計師、技術專家等。

8經(jīng)驗交流

網(wǎng)絡信息安全對于大部分人而言比較陌生。在實踐中，大部分航運企業(yè)由總裁辦（行政事務部）或保密部門負責網(wǎng)絡信息安全，而網(wǎng)絡信息安全職能又隸屬話語權不高的IT部門，最終導致企業(yè)網(wǎng)絡信息安全工作進展遲滯，制度實施緩慢。因此，建議由公司領導牽頭，技術保障部門負責具體實施。有條件的航運公司應該定期針對船岸網(wǎng)絡信息系統(tǒng)進行安全演習并配置網(wǎng)絡信息安全設備，以便當船岸網(wǎng)絡信息系統(tǒng)被攻擊時，能夠迅速作出應急反應，盡快恢復網(wǎng)絡系統(tǒng)，盡可能挽回損失。此外，在員工手冊、船員上船協(xié)議中應該賦予航運公司相關職能部門通過技術手段來防止內(nèi)部威脅的權力，打擊隱蔽性較強的涉及船岸網(wǎng)絡的職務犯罪。

以某航運企業(yè)為例，2018年初由公司領導牽頭與某船級社聯(lián)合成立了船岸網(wǎng)絡信息安全專項課題組，針對公司船岸網(wǎng)絡的特殊性制定了一套通用船舶網(wǎng)絡安全管理體系，并在超大型集裝箱船試行《船舶網(wǎng)絡信息安全實施指南（征求意見稿）》和相關配套制度，如《船舶網(wǎng)絡信息資產(chǎn)管理辦法》《船舶VSAT、局域網(wǎng)及防火墻設置規(guī)范》《船舶網(wǎng)絡信息安全員崗位職責》《船員網(wǎng)絡信息安全應知手冊》等。此外，還對試點船舶就域控服務器（解決內(nèi)網(wǎng)信息審計問題）、KMS激活服務器（解決操作系統(tǒng)、辦公軟件授權問題）、自建CA授權機構頒發(fā)數(shù)字證書（解決SHA256數(shù)據(jù)加密問題）、某開源局域網(wǎng)遠程管理軟件以及等級保護一體機硬件部署（解決病毒庫、補丁庫離線升級問題）等項目進行技術驗證，為下一步推廣應用船岸網(wǎng)絡信息安全課題研究成果奠定了良好基礎。

第5篇：個人信息安全管理辦法范文

【關鍵詞】個人金融信息；規(guī)范；法律分析

一、規(guī)范個人金融信息保護的現(xiàn)實意義

隨著我國金融改革的深化和金融市場的發(fā)展，金融產(chǎn)品和金融服務的種類、數(shù)量不斷豐富，公眾的金融資產(chǎn)迅速擴張，社會成員參與金融活動的積極性空前高漲，這對我國加強個人金融信息保護提出了現(xiàn)實的要求。同時，后危機時代深受危機沖擊的各個國家著手加強個人金融信息保護的做法，也促使我國金融監(jiān)管當局日益關注金融消費者權益保護的問題。2006年實施的《商業(yè)銀行金融創(chuàng)新指引》第一次明確提出了金融消費者的概念。而2011年頒布實施的《商業(yè)銀行保險業(yè)務監(jiān)管指引》也明確提出要加強對金融保險消費者權益的保護。

從我國的情況來看，由于對個人金融信息的保護工作尚未引起足夠重視，消費者個人金融權益被侵犯的現(xiàn)象時有發(fā)生，事后救濟途徑也不夠明朗，這就增加了金融發(fā)展與金融運行中的不穩(wěn)定、不和諧因素。一些個人金融信息被侵犯的案例還引發(fā)了媒體和社會的廣泛關注和討論。因此規(guī)范個人金融信息保護的工作已成為我國當前和今后一個時期金融業(yè)發(fā)展的重要目標之一。

二、個人金融信息保護的域外模式

從世界范圍來看，無論是發(fā)達國家，還是發(fā)展中國家，都十分重視金融消費者個人信息保護問題。在一些經(jīng)濟金融發(fā)展比較好的國家，普遍建立起符合本國國情的個人金融信息保護體制，較好地支持和維護了金融消費者的合法利益。

1.美國模式

第一，在個人金融信息保護法制建設方面。美國通過了《華爾街改革和消費者保護法令》，成立了消費者金融保護局，致力于保護美國金融消費者不受非法金融活動對個人金融信息權益的侵害。第二，在個人金融信息公示方面，《2009信用卡法令》重點強調(diào)銀行應提前20天以上將還款信息告知持卡人，對延遲公示信用信息的相關懲罰性措施也做出了有利于保護金融消費者權益的規(guī)定，同時對營銷過程中的信用欺詐行為做出了禁止性規(guī)定。第三，在《2009信用卡法令》綜合性規(guī)定中，就小企業(yè)信貸過程中的信息安全保護、信貸產(chǎn)品主動營銷行為、信用卡業(yè)務相關知識等方面都做出了相應的規(guī)定。

2.英國模式

第一，加強對客戶借貸行為的保護。重點包括：一是對客戶參與的金融產(chǎn)品和金融服務及時披露信息。二是對利率等重要條款的變更要提前通知客戶。三是非有正當充分理由，銀行未經(jīng)客戶授權的交易無效。四是確保借貸免受欺詐。包括：客戶提前還款時，免收任何費用和利息；客戶還款可以選擇先還欠款后付罰息。第二，加強消費者投訴處理情況的信息披露以及侵權行為的賠償。第三，把是否有利于保護消費者個人金融信息保護作為重要的評估指標，將平等對待客戶（TCF）計劃融入整個監(jiān)管框架，并納入英國金管局的評級內(nèi)容。第四，加大對侵害行為的懲戒力度。對那些侵害消費者個人金融信息證據(jù)確鑿的案件，消費者有權直接向監(jiān)管當局申訴追討損失。對一些采取不正當銷售策略、不能公平對待消費者的金融機構進行懲罰甚至關閉；對各類信息欺詐，加強金融消費者警示和案件查處力度。

3.其他模式

歐盟通過制定《歐盟個人信息保護法案》、《保護隱私及跨國交流個人信息法則》、《電子通訊數(shù)據(jù)保護法》等相關文件法規(guī)，強化對金融消費者個人信息的保護。而法國的《信息技術與自由指令》，規(guī)定了征信數(shù)據(jù)庫必須公布其搜集資料的授權、目的和種類等。日本的《個人信用信息中心規(guī)則》規(guī)定了本人有權了解個人信用信息正確與否，可以提出消除有關錯誤金融信息。我國臺灣地區(qū)在民法典債編第195條第1項將信用權確定為人格權，從而使得被害人就非財產(chǎn)上的損害也可以請求賠償。

三、個人金融信息權益被侵犯的表現(xiàn)形式

1.侵害消費者知情權

金融消費者受到損失一般源于兩種情形，一種為金融機構未全面真實的告知消費者相關信息，另一種是消費者獲取金融信息的渠道有限。實踐中，前一種情況更為普遍，具體表現(xiàn)為：一是銀行不進行風險提示。如業(yè)務人員在宣傳金融產(chǎn)品時，一味夸大產(chǎn)品的優(yōu)勢或盡可能多的介紹業(yè)務流程，而忽略或回避了相關風險和負面信息，從而導致消費者的經(jīng)濟損失或信用風險產(chǎn)生。二是偷換概念誤導消費者。如部分金融機構將有一定風險的理財產(chǎn)品或者保險產(chǎn)品介紹為高息存款，誤導一些老年客戶進行了投資消費。三是告知義務履行不充分。如消費者在開立銀行賬戶環(huán)節(jié)，業(yè)務人員未經(jīng)其同意擅自開通網(wǎng)銀功能或短信提示功能；再有，個別銀行在系統(tǒng)升級時或者業(yè)務發(fā)生變更時不及時通知消費者，給客戶帶來了很大的損失和被動。

2.侵犯消費者隱私權

一般而言，銀行內(nèi)部接觸和使用個人金融信息的人員范圍特別廣泛，既包括柜員、客戶經(jīng)理、征信管理人員、信貸管理人員、風險管理人員，又包括運營管理人員、信息科技人員及國際金融業(yè)務相關人員。不同崗位工作人員都存在泄漏消費者個人信息的條件和可能性。而銀行開展的某些外包業(yè)務則極有可能演變?yōu)樾孤﹤€人信息的“重災區(qū)”，如在辦理銀行卡收單業(yè)務時，如不能嚴格審查和評估外包服務供應商的信用和服務能力，或者在收單外包服務協(xié)議中未明確個人金融信息保密條款，未采取定期巡檢等措施對外包機構開展監(jiān)督、檢查，則個人金融信息被侵犯就會變得輕而易舉。有的銀行為了追回債務，直接在媒體上曝光欠債消費者的真實姓名，更是對金融消費者個人隱私權裸的侵犯。

3.網(wǎng)上銀行漏洞易被不法分子利用

近年來，銀行網(wǎng)絡建設取得很大進展，開通網(wǎng)上銀行的客戶迅猛增長，在現(xiàn)實環(huán)境中，網(wǎng)上銀行的確給消費者帶來了方便快捷的服務，但網(wǎng)銀系統(tǒng)還很脆弱，安全性不夠高，網(wǎng)絡安全管理工作仍然處于不斷完善的階段，主要表現(xiàn)為：一是缺乏系統(tǒng)的安全防護機制。除部分金融機構運行了網(wǎng)絡防病毒工具外，多數(shù)銀行還未使用網(wǎng)絡監(jiān)測系統(tǒng)、防火墻、入侵防護、漏洞掃描等網(wǎng)絡安全產(chǎn)品，網(wǎng)絡安全管理機制還未實質(zhì)形成。二是網(wǎng)絡信息的管控能力薄弱，基礎信息采集不全。IP地址按段分配，導致網(wǎng)管中心對IP地址等資源占用和客戶信息了解有限。網(wǎng)絡IP地址和計算機名亂用、冒用現(xiàn)象時有發(fā)生，信息中心缺乏有效的管控手段。三是對安全隱患的技術防范能力不強。金融機構即便依靠網(wǎng)絡管理工具發(fā)現(xiàn)了竊取客戶金融信息的行為，也不能快速、準確的反應、定位，不能及時有效的阻止并快速查出侵害主體；在網(wǎng)絡侵害事件調(diào)查中，由于無相關日志記錄，取證也會非常困難。上述網(wǎng)上銀行系統(tǒng)漏洞致使金融機構的客戶信息時刻面臨被非法入侵、非法竊取或篡改的危險。

四、規(guī)范個人金融信息保護的幾點建議

1.加強法制建設

（1）建立并逐步完善個人金融信息法律體系

我國立法層面的滯后和法律體系的不完備已經(jīng)嚴重影響了金融消費者個人權益保護。因此，必須盡早將《個人金融信息保護法》的制定提上日程，從法律層面將金融消費者權益上升到人格權的高度來加以保護，重點明確個人金融信息的含義、范圍、保護程序等，并對個人金融信息的收集、使用、加工、處理加以規(guī)范。同時，在基本法律的指引下，逐步完善涉及金融消費者權益的部門規(guī)章，細化對個人金融信息保護的具體措施和方式。

（2）豐富個人金融信息法律保護的內(nèi)容

在相關法律法規(guī)中注意明確以下內(nèi)容：第一，提升金融機構侵權的違法成本，強化金融機構的保密責任.明確個人金融信息保護的內(nèi)容，規(guī)定金融機構不得要求消費者提供與業(yè)務無關緊要的信息，特別要加大對金融機構工作人員泄露消費者個人信息的懲戒力度。第二，引導金融機構與金融監(jiān)管部門、政府執(zhí)法機構建立良好的個人金融信息共享機制或合作制度。嚴厲打擊超范圍提供個人金融信息的違法行為；有權機構查詢、凍結及扣劃個人存款時，也應嚴格按照相關法律規(guī)范或合作制度執(zhí)行。第三，明確金融消費者權益的保護范圍。凡是涉及個人賬戶、個人理財、信用卡等業(yè)務收集個人金融信息的行為必須通過法律加以規(guī)范。

2.構建金融機構個人信息保護的風險防火墻

（1）加強內(nèi)控機制建設

各金融機構應建立并完善個人金融信息保護的管理辦法、操作規(guī)范、監(jiān)督檢查、責任追究等內(nèi)控制度；制定個人金融信息保護應急處置預案，規(guī)范個人金融信息保護突發(fā)事件的處置方式。同時，還應與每位員工簽署保密及竟業(yè)限制的條款，明確崗位職責和行為守則，并強化對接觸個人金融信息的從業(yè)人員在離崗時的保密紀律。

（2）防范擅自對外提供信息的風險

金融機構在開展外包業(yè)務時，比如銀行卡收單業(yè)務的外包過程中，需仔細審查和評估外包服務供應商保護個人金融信息的能力，收單外包服務協(xié)議中設定個人金融信息保密條款，明確其職責和保密義務，并采取定期巡檢等措施進行監(jiān)督、檢查。發(fā)生境外儲存、處理和分析境內(nèi)個人金融信息的情況時，未經(jīng)個人信息主體的明示同意，不得擅自對外提供。

（3）提高信息安全技術的防范水平

為減少個人信息的流轉環(huán)節(jié)，各銀行可關閉分支機構客戶信息系統(tǒng)操作終端的USB接口和光驅刻錄功能，限制信息的批量復制、保存功能；信息轉移過程可由總行信息技術部門統(tǒng)一管理。同時，定期對信息系統(tǒng)進行風險評估、及時更新和改進信息系統(tǒng)安全程序及個人金融信息系統(tǒng)數(shù)據(jù)庫和相關存儲制度，確保個人金融信息在收集、傳輸、加工、保存、使用、銷毀等環(huán)節(jié)中不被泄露。

（4）妥善保管個人信息檔案資料

金融機構的個人金融信息檔案資料在業(yè)務發(fā)生后，涉及到前臺業(yè)務的傳票類檔案應安排運營管理部門負責保管，涉及到信貸檔案的應主要由信貸管理部負責保管，采取專人、專柜的保管方式；檔案查閱要嚴格履行審批程序；超過留存期限的檔案資料要及時集中銷毀。

（5）多維度開展個人金融信息主題培訓活動

對接觸個人金融信息崗位的從業(yè)人員要定期開展個人信息保護制度的培訓，培訓內(nèi)容應涉及征信管理、個人賬戶、貸款業(yè)務、理財業(yè)務、信用卡業(yè)務等多個方面。

參考文獻：

[1]管斌.金融消費者保護散論[J].華中科技大學學報.2010（1）

[2]馬洪雨，康耀坤.危機背景下金融消費者保護法律制度研究[J]，證劵市場導報，2010（2）.3

第6篇：個人信息安全管理辦法范文

2013年，我國掀起了一場互聯(lián)網(wǎng)金融的浪潮，互聯(lián)網(wǎng)金融為中小企業(yè)融資提供了新渠道、為網(wǎng)民提供便捷支付、為市場降低交易成本。互聯(lián)網(wǎng)金融的飛速發(fā)展對傳統(tǒng)商業(yè)銀行產(chǎn)生了巨大沖擊。一些高收益率的互聯(lián)網(wǎng)金融產(chǎn)品可以在短時間內(nèi)迅速吸引大量資金，類似余額寶的互聯(lián)網(wǎng)金融產(chǎn)品搶奪了商業(yè)銀行的活期存款來源，存款數(shù)額的減少嚴重影響到商業(yè)銀行的放款、轉賬結算等其他經(jīng)營業(yè)務進而影響其盈利。互聯(lián)網(wǎng)金融的興起對商業(yè)銀行產(chǎn)生的沖擊動搖了商業(yè)銀行作為金融中介的地位。互聯(lián)網(wǎng)金融是指依托于支付、云計算、社交網(wǎng)絡以及搜索引擎等互聯(lián)網(wǎng)工具，實現(xiàn)資金融通、支付和信息中介等業(yè)務的一種新興金融。互聯(lián)網(wǎng)金融不是互聯(lián)網(wǎng)和金融業(yè)的簡單結合，而是在實現(xiàn)安全、移動等網(wǎng)絡技術水平上，被用戶熟悉接受后，自然而然為適應新的需求而產(chǎn)生的新模式及新業(yè)務，是傳統(tǒng)金融行業(yè)與互聯(lián)網(wǎng)精神相結合的新興領域。互聯(lián)網(wǎng)金融通過互聯(lián)網(wǎng)、移動互聯(lián)等工具，使得傳統(tǒng)金融業(yè)務具備透明度更強、參與度更高、協(xié)作性更好、中間成本更低、操作上更便捷等一系列特征。然而，互聯(lián)網(wǎng)金融為大眾提供便捷服務的同時也帶來了前所未有的風險。互聯(lián)網(wǎng)金融風險與互聯(lián)網(wǎng)技術密切相關，除具有傳統(tǒng)的信用風險、流動性風險、市場風險、操作風險外，還有其特有的信息泄露風險、信譽風險、支付風險和法律風險。這些風險的成因不僅來自于金融業(yè)自身的高風險性，而且互聯(lián)網(wǎng)與金融的結合也使得風險具有擴大效應，同時互聯(lián)網(wǎng)時代金融監(jiān)管難度的加大也使金融風險更難控制。因此傳統(tǒng)商業(yè)銀行應如何有效控制風險、建立風險管理內(nèi)部控制體系來從容面對這場金融浪潮值得深思。

二、互聯(lián)網(wǎng)金融快速發(fā)展給商業(yè)銀行帶來的風險

（一）商業(yè)銀行面臨的傳統(tǒng)風險

商業(yè)銀行面臨的傳統(tǒng)風險主要有操作風險、信用風險、利率風險、市場風險。操作風險和信用風險基本來自于銀行內(nèi)部的經(jīng)營操作程序，信用風險還有一部分來自于銀行對外投資失敗和貸款客戶的還款能力下降。市場風險和利率風險主要歸因于銀行外部環(huán)境的變化，是由市場價格、利率、匯率和股票價格的不斷變動給商業(yè)銀行帶來的不確定性風險。操作風險、信用風險、利率風險以及市場風險等商業(yè)銀行傳統(tǒng)風險都可以通過加強內(nèi)部控制的監(jiān)管、規(guī)范銀行員工的操作、嚴格信貸審查、靈活應對市場變化來預防、降低風險，經(jīng)過我國商業(yè)銀行近百年的發(fā)展歷程，其應對傳統(tǒng)風險的內(nèi)部控制體系已相對健全，風險管理水平也逐步提高。

（二）互聯(lián)網(wǎng)金融快速發(fā)展給商業(yè)銀行帶來的風險

與商業(yè)銀行面臨的傳統(tǒng)風險不同的是，互聯(lián)網(wǎng)金融發(fā)展給商業(yè)銀行帶來法律風險、信息泄露風險、信用風險、支付風險等。1.法律風險。由于互聯(lián)網(wǎng)金融發(fā)展迅速，與互聯(lián)網(wǎng)金融相關的法律法規(guī)還不完善，用于規(guī)范電子商務銀行的法規(guī)更是少之又少。2006年，中國人民銀行的《電子銀行業(yè)務管理辦法》是我國目前唯一關于電子銀行監(jiān)管的法規(guī)。辦法第一條指出：為加強電子銀行業(yè)務的風險管理，保障客戶及銀行的合法權益，促進電子銀行業(yè)務的健康有序發(fā)展，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》和《中華人民共和國外資金融機構管理條例》等法律法規(guī)，制定本辦法。該辦法所指電子銀行業(yè)務是商業(yè)銀行等銀行業(yè)金融機構利用面向社會公眾開放的通訊通道或開放型公眾網(wǎng)絡，以及銀行為特定自助服務設施或客戶建立的專用網(wǎng)絡，向客戶提供的銀行服務，電子銀行業(yè)務包括利用計算機和互聯(lián)網(wǎng)開展的銀行業(yè)務（簡稱網(wǎng)上銀行業(yè)務），利用電話等聲訊設備和電信網(wǎng)絡開展的銀行業(yè)務（簡稱電話銀行業(yè)務），利用移動電話和無線網(wǎng)絡開展的銀行業(yè)務（簡稱手機銀行業(yè)務），以及其他利用電子服務設備和網(wǎng)絡，由客戶通過自助服務方式完成金融交易的銀行業(yè)務。該辦法第六條指出，金融機構應根據(jù)電子銀行業(yè)務特性，建立健全電子銀行業(yè)務風險管理體系和內(nèi)部控制體系，設立相應的管理機構，明確電子銀行業(yè)務管理的責任，有效地識別、評估、監(jiān)測和控制電子銀行業(yè)務風險。據(jù)2014年《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》的統(tǒng)計數(shù)據(jù)顯示，截至2013年12月，中國網(wǎng)民規(guī)模達6.18億，互聯(lián)網(wǎng)普及率為45.8%。龐大的網(wǎng)民數(shù)量以及互聯(lián)網(wǎng)金融的迅猛發(fā)展使得互聯(lián)網(wǎng)金融糾紛發(fā)生的概率大大增加。在支付領域，各種支付轉移的信息為洗錢提供了便利的通道，融資領域、理財領域存在爆發(fā)的風險或者潛在的風險，所以從監(jiān)管來看國內(nèi)對商業(yè)銀行的監(jiān)管體系已經(jīng)比較成熟，但是對網(wǎng)絡金融存在一定的空白，這就導致網(wǎng)絡風險的聚集，不利于整個金融體系的穩(wěn)定，也給電子銀行帶來法律風險。2.信息泄露風險。互聯(lián)網(wǎng)金融的運作依賴于大數(shù)據(jù)的龐大信息量，通過分析客戶的個人信息得出客戶的偏好、負債、還款能力等，進而針對客戶設計出合適的金融產(chǎn)品。然而，互聯(lián)網(wǎng)金融的安全管理機制還不健全，用戶、消費者、儲戶、企業(yè)等的個人信息安全無法得到保證。互聯(lián)網(wǎng)是個開放、互動的平臺，其信息具有透明、公開的特點，一旦發(fā)生信息泄露事件必將威脅到大量網(wǎng)民、企業(yè)、銀行的利益。2014年3月27日，有網(wǎng)友曝出通過“谷歌”搜索引擎，輸入特定關鍵字可以查看到大量支付寶用戶的詳細信息，包括轉賬信息、收付款賬戶、額度、用途等，該事件爆發(fā)后，馬上引起了“隱私泄露”恐慌。因此，商業(yè)銀行在建立自己的電商公司時，應特別關注信息安全問題，保障銀行本身及客戶的信息安全。3.信用風險。互聯(lián)網(wǎng)金融本質(zhì)上已脫離傳統(tǒng)的金融媒介，是依托于互聯(lián)網(wǎng)技術的金融創(chuàng)新，但是其本質(zhì)仍然離不開金融，金融是互聯(lián)網(wǎng)金融的核心，因此互聯(lián)網(wǎng)金融同樣存在信用風險，傳統(tǒng)金融工具所具有的風險也都存在于互聯(lián)網(wǎng)風險中。當前活躍于公眾視野的各大互聯(lián)網(wǎng)金融產(chǎn)品以其高收益率掩蓋了自身的信用擔保問題，網(wǎng)上理財產(chǎn)品的高收益率吸引來的資金額度巨大，托管銀行和金融企業(yè)都無法為如此巨大的資金做信用擔保，投資者的資金安全讓人堪憂，更無從談起融資者承諾的高收益。網(wǎng)絡金融服務方式的虛擬性可以使交易、支付雙方在不見面的情況下就可以通過網(wǎng)絡銀行發(fā)生交易，對交易雙方的身份、真實性驗證具有很大難度，增大了網(wǎng)絡信用風險。因此，商業(yè)銀行內(nèi)部控制體系應從評估潛在的信用風險入手，實現(xiàn)事前發(fā)現(xiàn)信用風險、事中控制風險、事后及時反饋的一整套風險控制系統(tǒng)。4.支付風險。網(wǎng)上支付作為電子商務的中心環(huán)節(jié)存在著重大的潛在風險，網(wǎng)上支付是采用先進的技術通過數(shù)字流轉來完成信息傳輸?shù)模畔?shù)字化后數(shù)據(jù)傳輸過程中信息丟失、重復、錯序、篡改等安全性問題飽受網(wǎng)民的質(zhì)疑。網(wǎng)上支付的工作環(huán)境是基于一個開放的系統(tǒng)平臺之中，交易雙方的身份有網(wǎng)絡的遮蓋而難以透明、虛擬的網(wǎng)絡更增加了電子支付的風險。如若電商公司的電子信息技術不夠成熟，非常容易為黑客等不法分子提供可乘之機。同時，也存在有網(wǎng)民用虛假的信用卡行駛詐騙行為，或者采用虛假個人信息進行詐騙。

三、商業(yè)銀行依托內(nèi)部控制體系完善應對

互聯(lián)網(wǎng)金融風險的對策為順應互聯(lián)網(wǎng)金融的發(fā)展趨勢，增強市場競爭力，商業(yè)銀行也紛紛推出了自己的電子商務銀行，中信銀行在2010年8月推出B2B電子商務，是國內(nèi)首次針對B2B電子商務客戶提供資金監(jiān)管、支付結算和資金融通功能于一體的電子商務解決方案；交通銀行于2011年底也推出了自有的電子商城平臺——交博匯，提供在線理財、在線融資、公共繳費、企業(yè)收款、行業(yè)資訊等眾多服務功能；建設銀行于2012年推出了“善融商務”，提供從支付結算、托管、擔保到融資服務的全方位服務；農(nóng)業(yè)銀行、中國銀行、華夏銀行也都紛紛建立了自己的電子商務銀行。然而，互聯(lián)網(wǎng)金融的發(fā)展帶給商業(yè)銀行的不僅有挑戰(zhàn)還有風險，除具有商業(yè)銀行經(jīng)營過程中的操作風險、利率風險、市場風險、信用風險等還帶來了法律風險、信息泄露風險、信譽風險、支付風險等一系列新的風險。應對商業(yè)銀行傳統(tǒng)風險的內(nèi)部控制體系已經(jīng)不能滿足新形勢下互聯(lián)網(wǎng)金融帶來的風險。傳統(tǒng)的商業(yè)銀行內(nèi)部控制體系包括風險與資本管理委員會、獨立的審計委員會以及內(nèi)部控制評審委員會，各個內(nèi)部控制部門相互獨立、相互制衡。風險管理的內(nèi)部控制流程包括風險管理環(huán)境分析、風險管理目標設定、風險識別、風險評估、風險應對、風險控制活動、風險及管理信息披露。傳統(tǒng)的內(nèi)部控制體系對風險監(jiān)控的程序復雜、耗時長，難以適應電子銀行業(yè)務信息傳遞迅速、服務便捷、風險爆發(fā)快速的特點，因此，商業(yè)銀行在發(fā)展電子商務銀行時，應依據(jù)互聯(lián)網(wǎng)金融的特點適度調(diào)整內(nèi)部控制程序，提高風險防范水平，創(chuàng)新內(nèi)控風險管理體系，有效識別、評價、控制風險。

（一）加強互聯(lián)網(wǎng)金融核心技術，構建主動型的風險管理模式

互聯(lián)網(wǎng)金融時代，信息技術是一切工作的核心，擁有先進的技術是保障商業(yè)銀行風險識別與控制的前提條件，也是保障銀行及客戶信息安全的前提，信息泄露風險、支付風險、信用風險的監(jiān)控都依賴于強大的互聯(lián)網(wǎng)技術，互聯(lián)網(wǎng)金融時代數(shù)據(jù)信息安全的重要性不言而喻，一旦發(fā)生數(shù)據(jù)信息泄露事件，銀行損失的將不僅是客戶資源還有自身的信譽。商業(yè)銀行在構建自己的電商公司時應同步建立信息技術管理與研發(fā)部門，部門內(nèi)部不僅應有熟練的技術人員，還應有風險管理人員，將技術研發(fā)與風險識別、風險控制相結合，加強信息網(wǎng)絡安全管理，對重要的客戶信息及數(shù)據(jù)進行加密處理，增強銀行信息系統(tǒng)防御黑客攻擊、過濾非法數(shù)據(jù)侵入的功能，在開發(fā)核心技術的同時將風險水平降到最低。

（二）精簡風險管理體系，提高風險控制效率

商業(yè)銀行開設電子商務銀行應在建立健全網(wǎng)絡風險管理體系的基礎上，精簡內(nèi)部控制風險管理體系的程序，提高風險識別、評價、控制的效率。風險管理體系包括風險目標設定、風險識別、風險評估、風險控制、風險反饋。首先，商業(yè)銀行應根據(jù)銀行對風險的承受能力、銀行盈利目標、風險識別能力、客戶信息的數(shù)量、互聯(lián)網(wǎng)技術等因素確定風險管理目標。風險識別從最基本的嚴格審查客戶身份信息、數(shù)據(jù)信息及舉債能力入手，建立一整套高效可行的審查程序，對已經(jīng)通過信息審查的客戶及銀行接手項目還應進行不定時的后續(xù)檢查，實時監(jiān)測、排除風險因素。銀行可以采用成本效益分析法、權衡分析法、風險效益分析法、統(tǒng)計型評價法、綜合分析法等對風險進行評估，以確定風險的大小值、銀行損失的范圍或獲益的可能性，從而綜合評定金融產(chǎn)品的可行性。風險控制和風險反饋是在風險發(fā)生時的應急處理及事后的總結反饋。建立機動靈活的風險處理系統(tǒng)，當風險突然爆發(fā)時可以迅速作出反應，在最佳時間內(nèi)控制風險的擴散、將風險損失降到最低。

（三）加強人才培養(yǎng)以適應商業(yè)銀行

第7篇：個人信息安全管理辦法范文

關鍵詞：公共信用信息；開放與保護機制；管理制度

中圖分類號：G252 文獻標識碼：A 文章編號：1001-828X（2014）09-00-02

信用是現(xiàn)代化市場機制的基礎，構建人人誠信，守法文明的社會是我國建設社會主義市場機制的重要內(nèi)容。信用信息的征集和使用是社會信用體系建設的基礎，可有效解決市場中主體信息不對稱的問題。個人信用信息是指與個人信用狀況密切相關的基本信息，用來反映個人的身份、信用意愿、信用能力方面的基本狀態(tài)和特征，分布面很廣，涉及個人的身份識別、公共信息、商業(yè)信息等多方面。其中個人公共信用信息主要指行政機關、司法機關以及行使管理公共事務職能的組織，在履行職責過程中形成的反映個人信用狀況的數(shù)據(jù)和資料。我國個人公共信用信息在征集和使用還處在起步階段，面臨很多問題，本文主要分析現(xiàn)階段面臨的主要問題，并提出幾點建議。

一、我國個人公共信用信息征集與使用面臨的困境

1.個人公共信用信息征集與使用的相關法律法規(guī)不健全

（1）我國個人公共信用信息征集與使用法律法規(guī)現(xiàn)狀

我國目前現(xiàn)行的有關個人公共信用信息征集的立法主要集中于部委規(guī)章以及地方立法中。2005年8月18日，央行制定了《個人信用信息基礎數(shù)據(jù)庫管理暫行辦法》。該辦法第四條規(guī)定：“本辦法所稱個人信用信息包括個人基本信息、個人信貸交易信息以及反映個人信用狀況的其他信息。”這樣的規(guī)定略顯粗糙，沒有明確個人公共信用信息的征集情況，具有一定的局限性。在地方立法方面，《深圳市個人信用征信及信用評級管理辦法》（以下簡稱《深圳辦法》）第八條規(guī)定了僅限于可能影響個人信用狀況的信息。主要包括四類：一是個人身份情況，包括姓名、性別、出生日期、身份證號、居所、婚姻狀況、家庭成員狀況、收入狀況、工作單位、學歷等；二是商業(yè)信用記錄，主要是指在各商業(yè)銀行的個人貸款及償還記錄、個人信用卡使用等有關記錄、在商業(yè)銀行發(fā)生的其他信用行為記錄以及個人與其他商業(yè)機構發(fā)生的信用交易記錄；三是社會公共信息記錄，即個人納稅、參加社會保險以及個人財產(chǎn)狀況變動情況；四是特別記錄，包括可能影響個人信用狀況的民事、刑事、行政訴訟和行政處罰記錄。《深圳辦法》中較為明確的將個人公共信用信息納入了個人信用信息中。如第八條規(guī)定了可能影響個人信用狀況的信息。主要包括四類：一是個人身份情況，包括姓名、性別、出生日期、身份證號、居所、婚姻狀況、家庭成員狀況、收入狀況、工作單位、學歷等；二是商業(yè)信用記錄，主要是指在各商業(yè)銀行的個人貸款及償還記錄、個人信用卡使用等有關記錄、在商業(yè)銀行發(fā)生的其他信用行為記錄以及個人與其他商業(yè)機構發(fā)生的信用交易記錄；三是社會公共信息記錄，即個人納稅、參加社會保險以及個人財產(chǎn)狀況變動情況；四是特別記錄，包括可能影響個人信用狀況的民事、刑事、行政訴訟和行政處罰記錄。隨后，其他一些省市也制定了相關的規(guī)章和法規(guī)，也都涉及到個人公共信用信息，但從界定范圍上會有些許差異。

（2）我國個人公共信用信息征集與使用法律法規(guī)缺陷

第一，我國目前的個人公共信用信息相關的立法位階較低。我國目前現(xiàn)行的有關個人公共信用信息的立法主要集中于地方立法中，位階較低，適用范圍也相對有限。

第二，個人公共信用信息的征集范圍、標準規(guī)范缺乏統(tǒng)一的界定。由于缺乏統(tǒng)一的立法，對于個人公共信用信息的征集內(nèi)容、范圍、標準格式、共享程度等基本問題，缺乏權威的、系統(tǒng)、統(tǒng)一的規(guī)定，也就致使部門法規(guī)與地方性法規(guī)在個人公共信用信息范圍的界定上標準不一。

第三，對個人公共信用信息的使用沒有明確的規(guī)定和相關制度。現(xiàn)行的法規(guī)對于征集到的個人公共信用信息如何使用，在哪些領域和場合應用個人公共信用信息，使用流程制度等都缺失，導致個人公共信用信息無法使用，無法有效發(fā)揮其作用。

2.個人隱私信息保護機制不完善

個人信用信息的征集就是要求信息主體將自己的個人信息進行部分的讓渡，其設立的目的就決定了它與個人隱私保護存在著天然的矛盾。個人公共信用信息中包含一些敏感的個人隱私信息，一旦遭到肆意泄露或者被非法使用，則會給當事人造成極大的損失。在立法方面，我國還沒有專門保護個人隱私的法律法規(guī)。在這樣的環(huán)境下，個人隱私信息很難得到有效的保護。

3.各部門信息征集難度大

個人公共信用信息主要分布與各政府部門、司法機關，各部門從各自利益角度考慮，信息的征集難度大，協(xié)調(diào)問題多，目前這一問題存在的難點主要有以下幾方面原因。

（1）個人公共信用信息有些涉及個人隱私，各部門擔心信息征集后的安全問題，擔心個人信息的泄露。由于信息征集涉及的鏈條越長，部門越多，越容易產(chǎn)生安全問題，管理問題，一旦發(fā)生信息泄露，查處難度加大，數(shù)據(jù)源部門可能將承擔較大責任。

（2）數(shù)據(jù)質(zhì)量不高。我國個人公共信用信息分散于多個部門，各部門內(nèi)部的個人信息也存在由于管理問題導致的數(shù)據(jù)質(zhì)量問題，導致信息征集過程中會存在很多信息比對核實，重新調(diào)查等問題，將增加各部門的工作量，并且此項工作難度較大，導致各部門參與積極性降低，并出于保護自身，不愿暴漏問題等原因考慮，不愿參與。

（3）出于部門自身利益考慮。個別部門領導在思想認識上落后，將本部門掌握的個人信息當作部門自己的信息，不愿提供給其他機構，或者向其他機構收取費用，當作牟利的工具。

4.個人公共信用信息使用較少

目前，我國在個人信用信息的使用上還處在起步階段，沒有形成社會上普遍使用認可的社會環(huán)境，個人信用產(chǎn)品嚴重缺失，政府部門在相關注冊登記、審批環(huán)節(jié)也都不重視個人信用問題，社會上在招聘用工環(huán)節(jié)也都幾乎不對個人信用進行審查，造成整個社會個人信用產(chǎn)品使用上缺乏支持、認知度低的現(xiàn)象。目前個人信用信息大多只在個人信用貸款時，銀行對個人信貸情況進行查詢，并不涉及個人公共信用信息內(nèi)容，因此個人公共信用信息的使用較少，認知度較低。

5.個人對公共信用信息不夠重視

由于缺乏相關的聯(lián)動機制，個人信用信息使用又不涉及個人公共信用信息，社會上對個人公共信用信息的使用少，個人幾乎很少關心自己的公共信用信息記錄，多數(shù)人即使違規(guī)違法了，還照常可以進行各種經(jīng)營、消費活動，并未受任何影響，因此也造成了大家對個人公共信用信息情況的漠視。

6.個別部門缺乏公信力

我國部分公共事業(yè)管理部門，如水、電、電信等行業(yè)屬于壟斷行業(yè)，在交易過程中雙方當事人并不具有平等的地位。個人消費者在交易過程中處于弱勢地位，消費者對于某些服務不滿或認為達不到標準，但仍會被收費，無法取消合同，可能會導致消費者欠費等。且這些行業(yè)并沒有與之相配套的異議處理機制，或者異議處理機制很不完善。當個人在感到權益遭到侵害的時候，沒有申訴的渠道，或者在申訴后得不到有效、迅速地處理。所以在目前我國壟斷行業(yè)缺乏公信力的情況下，此類信息如納入個人公共信用信息不合適。

7.信息征集涉及人數(shù)多、部門多，規(guī)模大

個人公共信用信息涉及所有我國公民以及一些在我國登記的涉外人口，人人都有公共信用信息，涉及面廣，人數(shù)多、規(guī)模大，所有人群信息都征集到難度大，問題多。

二、對我國個人公共信用信息征集與使用的幾點建議

1.建立健全我國個人公共信用信息征集與使用法律法規(guī)

（1）界定個人公共信用信息征集范圍

個人公共信用信息的征集范圍應該按照能夠反映個人信用狀況的能力和素質(zhì)方面考慮，應該包括個人身份識別信息、戶籍信息、婚姻信息、社會保障信息、不動產(chǎn)信息、從業(yè)資質(zhì)資格信息、行政監(jiān)管信息、判決裁定信息、獎懲信息等。由于水、電、氣、通信等公共事業(yè)單位的壟斷地位問題，公共事業(yè)單位欠費信息建議不納入。

（2）制定個人公共信用信息征集標準規(guī)范

個人公共信用信息分散于多個部門，各部門數(shù)據(jù)標準和格式不盡相同，在征集過程中必須按照統(tǒng)一的數(shù)據(jù)標準和格式實現(xiàn)多部門的信息統(tǒng)一，同一主體的信息整合。

（3）制定個人公共信用信息使用制度

個人公共信用信息涉及很多敏感信息，信息的使用必須要有相應的制度，既要保護個人隱私，也要方便信息在行政監(jiān)管、社會市場中的使用，國家層面應該出臺統(tǒng)一的個人信用信息使用制度，規(guī)范個人公共信用信息在不同領域的使用，防止信息濫用。

2.健全個人隱私保護相關制度

國家層面必須出臺專門的個人隱私法律法規(guī)，對個人隱私信息進行界定，保護制度等，個人信用信息征集個人隱私信息時如何操作，避免個人公共信用信息征集法律法規(guī)與個人隱私產(chǎn)生沖突。

3.加大個人公共信用信息征集與使用的宣傳力度

必須加強對社會公眾的宣傳教育，營造全社會更加重視個人公共信用信息狀況，誠實守信的壞境氛圍。使得信用主體更加關注本身的信用狀況，積極了解自身的公共信用信息情況，更好的利用自身的守信優(yōu)勢，注重個人隱私的保護，消除信用主體對信息保護方面的擔憂。另外對公共信用信息來源部門的宣傳教育將有利于信息征集和使用工作。

4.建立個人公共信用信息征集與使用安全管理制度

個人公共信用信息的征集與使用的安全管理制度也是一個非常重要的環(huán)節(jié)。管理制度應主要從以下幾方面考慮。

（1）建立統(tǒng)一的個人公共信用信息平臺，依法征集個人的公共信用信息，對各部門征集來的信息進行進一步整理、加工，按照統(tǒng)一的格式規(guī)范。

（2）確保準確性。應對來自不同部門的信息進行清洗、比對，對于差異化數(shù)據(jù)和錯誤數(shù)據(jù)及時反饋相關部門，進行調(diào)查核實并予以更正，確保征公共信用信息的準確性。同時，需保證信息主體的異議權及更正權。

（3）確保時效性。應及時更新信用數(shù)據(jù)庫，并對數(shù)據(jù)來源單位提出數(shù)據(jù)更新要求，以保證信用信息的新鮮及時，對于經(jīng)過較長的時期而趨于陳舊的信息，應當予以刪除，特別是對于超過一定年限的負面信息，應當予以刪除，而不能再提供給信息需求者，以保障信息主體免遭不必要的風險，維護信息主體的隱私權。

（4）信息安全管理。公共信用信息征信機構及其工作人員應當采取適當?shù)淖銐虻陌踩胧Ｗo數(shù)據(jù)庫中公共信用信息，使其免受無根據(jù)的更改丟失竊取或破壞。

5.促進個人公共信用信息在多領域的使用

個人公共信用信息的廣泛使用才能存進社會公眾對個人信用的重視，營造良好的社會環(huán)境。建議在政府的行政管理、審批事項中，對申請低保救助、保障房，注冊企業(yè)，申請企業(yè)政策性補貼等方面對個人公共信用進行審查，防止騙保、騙取補助，對信用狀況良好個人優(yōu)先考慮等，對信用狀況存在問題的個人，限制其注冊企業(yè)等。促進在個人信用貸款、金融交易中使用個人公共信用信息可有效補充個人金融信用信息的不足，更好了解個人信用狀況，防范金融風險。促進在公務員、事業(yè)單位以及企業(yè)的社會招考、招聘中使用個人公共信用信息，幫助用人單位了解招聘對象的信用狀況，優(yōu)先考慮信用狀況優(yōu)良的人員，限制信用狀況惡劣對象。通過個人公共信用信息的有效使用，可使守信者得到激勵，失信者處處受限，營造良好的社會信用環(huán)境。

第8篇：個人信息安全管理辦法范文

關鍵詞:檔案處 網(wǎng)站 建設

中圖分類號:TP39 文獻標識碼:A 文章編號:1007-3973 (2010) 01-049-02

1網(wǎng)站的建設原則

檔案處的門戶網(wǎng)站是隸屬于院門戶網(wǎng)站的子站,是檔案管理和服務信息系統(tǒng)的結合,此外還承擔展示宣傳的功能,因此在這個建設中考慮了以下原則。

(1) 優(yōu)先性原則:用戶的需求是網(wǎng)站建設中必須優(yōu)先滿足的條件,無法找到或者無法迅速方便的找到需要的信息,再好網(wǎng)站建設都是沒有意義的。網(wǎng)站的建設要符合用戶瀏覽習慣,并且要考慮大多數(shù)用戶的連線狀況。

(2)實用性原則:網(wǎng)站設計制作要方便實用,既要引導用戶清晰快捷的查詢到所需信息,同時又要做到網(wǎng)站的維護簡單方便,網(wǎng)站的結構層次清晰,并按照用戶的使用習慣和使用需求來建設網(wǎng)站。此外,作為企業(yè)門戶網(wǎng)站的用戶,可能并不是都能熟練的使用網(wǎng)絡,不能完成復雜的操作,要求任何一個功能都要簡單,好用。

(3)擴展性原則:網(wǎng)站的建設要考慮到發(fā)展的需要,考慮網(wǎng)站在信息化建設中所處的位置,要盡可能地將網(wǎng)站建設成便于擴展的,能與院內(nèi)其他信息化工作兼容的。采用的開發(fā)技術不僅要滿足現(xiàn)在的應用需求,而且要適應未來的發(fā)展趨勢,便于今后的升級、擴展工作。

(4)安全、穩(wěn)定性原則:門戶網(wǎng)站,作為對外的網(wǎng)上形象窗口和交流平臺,要格外重視站點的安全和穩(wěn)定性問題,對外信息的和對內(nèi)信息的處理都應該設置不同的權限,采用權限控制、虛擬主機服務器等安全措施等,從而保證網(wǎng)站的安全運行。

(5)交互性原則:門戶網(wǎng)站的一個重要的功能是交流,通過網(wǎng)站設置的有關模塊,及時了解用戶的需求,對網(wǎng)站模塊設置的反饋等等。

(6)信息門戶網(wǎng)站的現(xiàn)狀

廣大用戶對目前網(wǎng)站的現(xiàn)狀很不滿意,認為其內(nèi)容枯燥、形式呆板、缺乏吸引力且管理較亂。檔案處門戶網(wǎng)站數(shù)據(jù)缺乏標準化、信息交流不暢,有價值資料無法充分利用;界面比較單一,缺乏指引導向標志;后臺管理手段落后,信息更新不及時;沒有使用聲音,動畫,影像等多媒體手段展示相關信息;由于沒有有效整合,信息交流不暢,形成“信息孤島”,無法發(fā)揮檔案信息整體優(yōu)勢,不能實現(xiàn)一門式檢索。

2網(wǎng)站的目標

檔案信息門戶網(wǎng)站將掛接到華東電力設計院的內(nèi)部門戶網(wǎng)站上,面向全體企業(yè)員工開放。要求網(wǎng)站設計符合企業(yè)檔案工作的特點和要求,信息豐富,界面生動,操作簡便。支持一般文檔,圖片,影像等多媒體信息的,通過文字,聲音,圖片,圖像等方式,動態(tài)展示各種信息,開放檔案查詢檢索,網(wǎng)上預約檔案借閱申請等功能。使用戶能夠從單一的渠道訪問其所需的個性化信息。

3網(wǎng)站的功能和結構

3.1功能實現(xiàn)

根據(jù)處實際情況,網(wǎng)站應實現(xiàn)以下功能

(1)提供檔案處的一些基本的信息。

(2)宣傳檔案法律法規(guī)和本院有關檔案工作的規(guī)章制度。

(3)展示檔案處的最新工作動態(tài)。

(4)檔案工作信息成果平臺。

(5)網(wǎng)上查詢各類檔案信息,并完成網(wǎng)上借閱。

(6)指導業(yè)務部門完成檔案專業(yè)技術性工作。

(7)查看聯(lián)系方式。

(8)發(fā)表留言板的帖子。

3.2網(wǎng)站總體結構

3.3模塊描述

檔案處的門戶網(wǎng)站的使用用戶基本上可以細分為普通設計人員和檔案內(nèi)部人員,門戶網(wǎng)站中的不同模塊就是分別針對普通設計人員和檔案內(nèi)部人員。

3.3.1首頁

首頁主要承擔著樹立部門形象的作用,利用一系列與部門形象、服務有關的圖像、文字信息,組成一幅生動的畫面,向瀏覽者展示一種形象、一個氛圍,從而吸引用戶進入瀏覽。

網(wǎng)站的首頁的另一個作用是向用戶展示網(wǎng)站的框架,引導用戶查詢所需信息內(nèi)容。

首頁由網(wǎng)站名稱、網(wǎng)站LOGO、一級類目索引、主內(nèi)容區(qū)和次內(nèi)容區(qū)等構成。網(wǎng)站首頁安排遵循突出重點、平衡協(xié)調(diào)的原則,將一級類目索引等最重要的內(nèi)容放在最顯眼,最突出的位置,然后再考慮主內(nèi)容區(qū)和次內(nèi)容區(qū)的位置排放。用戶在一級類目索引區(qū),即可清晰看清整個網(wǎng)站的基本構架,按圖索驥,尋找到自己需要的信息。同時在醒目的主內(nèi)容區(qū),放置了最新通知欄目,向用戶在第一時間傳達檔案處的相關通知信息。在相對次要區(qū)域放置新到圖書資料標準和聯(lián)系方式等內(nèi)容。

3.3.2服務指南

服務指南的主要服務對象是主要是對網(wǎng)站瀏覽者中的普通用戶。

在服務指南的二級類目中,有檔案應用軟件安裝指導和檔案處歸口辦理等兩部分內(nèi)容。在檔案軟件安裝指導中會提供檔案處負責管理的有關應用軟件的客戶端的下載程序、安裝和使用說明等。在檔案處歸口管理中介紹有關檔案處負責歸口辦理的工作的流程,手續(xù)等等,讓用戶提前知曉相關的信息內(nèi)容,提高辦事效率。

3.3.3法律法規(guī)

法律法規(guī)是國家有關檔案工作的法律文件。

3.3.4管理制度

網(wǎng)站的管理制度模塊為檔案內(nèi)部人員提供了一個查閱各種現(xiàn)行檔案管理規(guī)章制度的平臺。

檔案處管理范圍包括檔案,圖書,資料等,涉及面廣而雜,執(zhí)行的標準紛繁復雜,既有集團公司的檔案管理工作的有關標準,制度,也有企業(yè)內(nèi)部的控制質(zhì)量文件和企業(yè)標準。利用網(wǎng)站上管理制度這一模塊,將相關的管理辦法,規(guī)定,質(zhì)量文件等按照檔案類型相對集中,用戶在進入科技檔案、電子檔案、科技圖書等二級類目下,可以直接查閱相對應的由集團公司的管理辦法或由院的質(zhì)量控制文件和企業(yè)標準。這樣有效的整合了各類管理制度,提供統(tǒng)一的平臺,既方便有效版本的的控制管理,同時也減少了原先對紙質(zhì)版本的依賴。

3.3.5表格下載

表格下載,提供了用戶諸如原始文件歸檔的備考表,歸檔目錄,消防送審光盤制作等表格的下載。

3.3.6檔案查詢

檔案查詢是檔案網(wǎng)站的重點,網(wǎng)站內(nèi)的檔案圖書資料信息是檔案網(wǎng)站建設的核心,用戶登錄檔案網(wǎng)站的主要目的是獲取相關檔案信息。

檔案處的網(wǎng)頁是掛接到華東電力設計院的內(nèi)部網(wǎng)站平臺上,用戶可在企業(yè)網(wǎng)首頁上“一站式”登錄后,檔案處網(wǎng)站會根據(jù)由企業(yè)網(wǎng)傳遞過來的登錄用戶的個人信息,依據(jù)其專業(yè),職務等個人信息開放不同的檔案類型。 檔案查詢中將可供查閱的檔案細分為工程檔案,數(shù)字圖書館,文書檔案,標準規(guī)程規(guī)范,報刊雜志,榮譽檔案等多種類目,內(nèi)容涵蓋檔案處全部管理的檔類。用戶在進入檔案信息查詢后,選擇檔案類型,進行該檔案類型的檔案的數(shù)據(jù)條目或者電子文件的查閱。

網(wǎng)站提供分類樹形檢索和模糊檢索兩種方式。兩種檢索方式針對不同的用戶。樹形目錄結構可以強有力表現(xiàn)層次關系。初始顯示時只顯示根節(jié)點,在點擊根節(jié)點后顯示下一級目錄,每個節(jié)點在建立后都就有相同的功能。如在工程檔案類型下,有發(fā)電工程,送電工程等子節(jié)點,按照從上至下進行逐層展開,該檢索方式適用對檔案數(shù)據(jù)庫結構較為熟悉的檢索者,可以通過點擊相應的父節(jié)點查詢子節(jié)點,檢索結果明確。 模糊檢索,類似于Goolge的檢索方式,將符合檢索條件的檢索結果顯示出來。對于不熟悉檔案數(shù)據(jù)庫結構的檢索者,較為適合,但是檢索的范圍比較大,結果不明確。也可以將兩種檢索方式組合使用。

在檢索到相應的數(shù)據(jù)條目后,可實現(xiàn)檔案實物網(wǎng)上預約借閱。查詢系統(tǒng)除了各種檔案提供查詢外,還提供了用戶的檔案借閱信息,提示用戶及時歸還。

3.3.7留言板

網(wǎng)絡很重要的一個優(yōu)勢就是交互性,利用在網(wǎng)站上設置留言板等,就可以有效地迅速地得到大量用戶對于檔案工作和網(wǎng)站建設的反饋和建議,及時掌握用戶的需求。

3.3.8系統(tǒng)維護

網(wǎng)站的系統(tǒng)維護的主要工作有對網(wǎng)站的內(nèi)容及時更新,對網(wǎng)站運行的數(shù)據(jù)進行分析,將訪問量較高的頁面置于顯著位置,方便用戶使用,及時將有關的用戶的留言反收集整理。

4網(wǎng)站建設的相關事宜

4.1網(wǎng)站頁面

檔案網(wǎng)站欄目設置應做到合理科學,欄目間分類標準要科學明確,不容易引起歧義,同時欄目名稱要與提供內(nèi)容要一致。頁面設置簡單美觀,在設計頁面時需考慮到頁面文件的大小,傳輸速率,客戶端的軟硬件條件,網(wǎng)絡狀況。

此外,要避免彈出式窗口。有些網(wǎng)站喜歡利用彈出式窗口向用戶提供公告或者重要信息。出于防范間諜軟件、惡意網(wǎng)站等多種因素考慮,相當多的用戶在網(wǎng)絡瀏覽器上安裝了阻止彈出窗口的軟件或者換用了不支持彈出窗口的瀏覽器。這些用戶往往是看不到彈出窗口的,也因此不能通過彈出窗口獲取信息。彈出窗口往往會事倍功半。

4.2網(wǎng)站安全性

計算機病毒、黑客的入侵,系統(tǒng)的缺陷漏洞,以及檔案信息系統(tǒng)工作人員對信息網(wǎng)絡整體安全的防范意識薄弱和防范能力不足,違規(guī)操作,管理不善,都直接威脅著檔案網(wǎng)站的安全,危害檔案信息資源的開發(fā)利用。因此,建立嚴密可靠的安全保障機制十分重要,面對檔案網(wǎng)站中的安全問題,應當從安全技術、安全管理諸方面采取措施,積極應對。技術層面上,應采用備份、加密、只讀、防火墻、身份驗證、內(nèi)外網(wǎng)物理隔離等安全技術措施,選擇并使用安全性高的數(shù)據(jù)庫產(chǎn)品,以防范病毒侵入和黑客攻擊。安全管理上應建立嚴密可靠的信息制度,確保信息“上網(wǎng)不,不上網(wǎng)”。完善并執(zhí)行檔案信息系統(tǒng)工作人員的操作規(guī)章和管理制度,對工作人員加強管理,增強信息安全保密意識,切實從內(nèi)部堵塞安全漏洞,消除安全隱患,確保網(wǎng)站安全。

第9篇：個人信息安全管理辦法范文

關鍵詞：網(wǎng)絡條件下；人格權；保護

一、網(wǎng)絡時代的人格權

人格權是指為維護主體的獨立人格，主體所享有的法律規(guī)定的人格利益的規(guī)定。人格權在網(wǎng)絡上的表現(xiàn)形態(tài)被稱為網(wǎng)絡人格權。具體指民事主體依法固有的人格利益為客體，以維護和實現(xiàn)人格獨立、人格平等、人格最嚴和人格自由為目標的權利。

二、網(wǎng)絡時代解決人格權侵犯面臨的問題

（1）權利主體身份的確認

傳統(tǒng)條件下人身權的主體是擁有權利能力的公民，在網(wǎng)絡環(huán)境下確定人身權的主體往往建立在公民在網(wǎng)絡中的虛擬身份基礎之上。但是，如何將公民的虛擬身份與現(xiàn)實身份聯(lián)系起來在實踐中卻成為了非常棘手的問題。

（2）侵權主體身份的確認

在現(xiàn)實生活中，侵犯人身權的主體往往都有很明確的指向性，屬于那種看得見、摸得著的，在網(wǎng)絡環(huán)境里卻不是這樣。很多時候，你發(fā)現(xiàn)自己被侵權了，但卻不知道被誰侵犯了。此外，這種侵權還涉及到網(wǎng)絡運營商和各大網(wǎng)站、論壇，牽扯到整個網(wǎng)絡的方方面面。

（3）同名權利主體身份的確認

在網(wǎng)絡環(huán)境中，用戶名雷同的現(xiàn)象往往屢見不鮮。現(xiàn)實生活中，同名同姓的人往往只占很少的比例，但在網(wǎng)上則不同。網(wǎng)絡帶給我們巨大的改變之一就是使人與人之間的距離縮小到零。對一個網(wǎng)名進行侵權可能同時造成多個網(wǎng)民的人格權遭受到傷害，網(wǎng)絡中信息傳播的速度遠遠超過了我們的想象，可以使一點點傷害無限擴大化。同名權利主體的身份確定亦成為我們保護網(wǎng)絡環(huán)境下人身權的一大阻礙。

（4）網(wǎng)絡時代人格權侵害更易發(fā)生，后果更為嚴重

傳統(tǒng)條件下，侵犯一個公民的人格權往往限制很多，成本很高而且風險很大。這些活動往往在受害人生活的環(huán)境附近，手段很有限而且被發(fā)現(xiàn)的可能性相當高。但是在網(wǎng)上，情況就完全不同了。在網(wǎng)上由于侵權主體的不確定性和隱密性和使用手段的多樣性導致被發(fā)現(xiàn)的風險基本為零。再加上網(wǎng)絡上的一些人推波助瀾，將這些信息迅速傳播給網(wǎng)絡世界的每個角落，使得人格權的侵權變得更為容易，風險變得更加微弱，而后果變得更為嚴重。

（5）網(wǎng)絡時代人身權侵犯的司法救濟更為困難

司法機關介入人格權的保護非常重要的一點在于證據(jù)。不管是關于侵權事實是否成立還是如何認定侵權責任關鍵的一點就在于證據(jù)是否充分、真實。網(wǎng)絡環(huán)境下人格權要得到司法救濟所需要的證據(jù)不僅涉及到確認侵權主體身份，同時也涉及在對侵權事實的確認過程中確認網(wǎng)上的侵權言論，這就引發(fā)出電子證據(jù)的認定問題。基于這點在網(wǎng)絡環(huán)境下人身權的司法救濟存在著很多困難。

三、網(wǎng)絡人格權的保護

（1）加強網(wǎng)絡管理

計算機互聯(lián)網(wǎng)技術涵蓋了部分高新技術，一般不易被普通公民所掌握，因此運營商應為大眾提供最先進的技術、高水平的管理與優(yōu)質(zhì)服務《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》第十條規(guī)定：“互聯(lián)單位接人單位及使用計算機信息網(wǎng)絡國際聯(lián)網(wǎng)的法人和其他組織應當履行安全保護職責。”我們知道，人們要成為網(wǎng)民就要填寫部分個人資料，網(wǎng)站由于受商業(yè)利益驅使，利用各種軟件或其他手段任意盜用網(wǎng)民信息，對人們蘊涵著經(jīng)濟價值的個人資料進行使用傳播$政府等其他各部門由于信息化管理的需要對公民個人信息的收集，缺乏有效的安全管理手段。用戶使用網(wǎng)絡在信息的轉發(fā)中被竊取資料，事實上這與私拆他人的信件是一樣的。人們使用自己的網(wǎng)名，并借助這一名稱發(fā)表見解和與他人交往，其實已經(jīng)建立起了一種現(xiàn)實的聯(lián)系，應得到相互的尊重。

（2）加強網(wǎng)絡安全的建設及公民的教育

2011年，我國網(wǎng)絡和信息安全狀況有所改善：一方面，政府積極加強基礎設施，推動技術標準，網(wǎng)絡信任體系等方面的建設。另一方面，基于網(wǎng)絡互動性的特點應加強對公民使用網(wǎng)絡行為的規(guī)范與管理，教育公民文明使用網(wǎng)絡，樹立保護人格權利意識$要開展有針對性地上網(wǎng)安全防范與指導，引導公民做好自我約束與管理，發(fā)揮文明網(wǎng)絡行為的正面導向作用，因目前網(wǎng)絡法制建設相對滯后，虛擬環(huán)境下也需要建立一套道德規(guī)范，公民必須以合法的言行介入網(wǎng)絡，否則應承擔責任，受到制裁，使人們養(yǎng)成文明使用網(wǎng)絡的習慣，自覺遵守網(wǎng)絡法規(guī)或有關規(guī)定，對網(wǎng)絡人格權的保護將起到促進作用。