感想由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“儿发展感想”。
心得体会
行组织员工学习了《关于广东省分行客户信息泄露情况的通报》、《进一步加强电子银行业务管理的通知》等文件,让我意识到随着随着电子银行与电子商务的日益普及,个人信息安全与财产安全的关联度越来越高。如果银行客户信息泄露事件频发,比如银行客户资料惊现闹市垃圾堆、银行把客户资料当成废纸卖给废品收购站、银行向第三方出售客户信息牟利等等,这样不仅给客户、银行和国家造成了资金损失,而且还严重影响了公众对银行的信任。针对这种现象的出现,有必要对银行客户信息泄露的原因进行分析,并针对这种问题的成因提出银行业加强客户信息保护的建议。
一、客户信息泄露的渠道
客户敏感信息的泄露的渠道,我认为可以从人员和物理渠道两方面进行分析。
(一)人员。数据的产生、存储、传递、使用、销毁,数据生命周期管理中人是最重要的参与者和数据的使用者,人员的信息安全意识差,安全策略的执行力低,人员管理是信息泄密管理的难点。
1、不法分子直接盗取或者黑客非法入侵系统服务器窃取客户信息。客户信息存储介质。一些不法分子利用工作之便,内外勾结,寻找银行或中介公司安全防范工作中的薄弱环节,伺机窃取存有大量客户信息的电脑存储介质。以金融欺诈为目的的恶意黑客长期耐心地“盯”住银行机构、中介服务机构的系统服务器,一旦发现系统安全漏洞,就伺机植入木马程序,以窃取海量客户信息。
2、银行、中介机构等受利益驱使贩卖客户信息。物管、中介公司以及掌握客户资料的航空、医疗、电信等机构的内部工作人员,违反法律法规,无视职业道德和商业伦理,向不法分子贩卖客户信息,以获取非法收益。
3、银行员工及关联人员利用工作之便截留客户信息。例如2008年9月《青年报》披露,设在上海的渣打银行分支机构的一名员工王某,利用职务之便盗用一秦姓客户办理个人贷款时向银行提供的身份证、收入证明等复印件,冒用秦某名义到浦东发展银行办理一张信用卡,并利用该信用卡先后透支2.3万元。
(二)物理渠道
1、通过互联网渠道泄密。
互联网高速发展的今天,企业很难和互联网隔绝。因此,互联网泄密是信息泄密的主要渠道,常见的有即时通讯软件、文件共享与传输软件以及BBS、论坛、微薄等。
1)即时通讯软件,如QQ、MSN等。主要表现在利用即时消息软件文件传输传输功能、QQ空间,这些软件的不当使用会传播木马,好奇和无知有助于木马的传播,当然这些软件也给主动泄密者提供了很大的方便。
2)文件共享与传输软件。BT、迅雷、等P2P传输软件,FTP文件传输,邮件,互联网“云”资源,如网盘、云盘的不当使用。
3)BBS、论坛、微薄。
互联网对外服务如网站或论坛,系统或应用漏洞被暴露或被黑客攻破。
2、移动终端。
企业使用的笔记本电脑,由于其移动性应是企业泄密防控的重点管理对象,这些电脑染毒、木马或者设备本身丢失和被盗会导致员工存在本地存档的电子邮件和文件或将永久丢失,维修或报废的电脑或硬盘。残留数据造成泄密。由于员工可能在本地保存重要或敏感数据,对企业也带来非常大的风险。
二、客户信息泄露的原因
(一)银行客户信息保护机制不完善。一是银行未认识到客户敏感信息对客户隐私保护和银行声誉的重要性,未将客户敏感信息泄漏视为一种重要风险,纳入到银行整体风险管理框架中。二是缺乏完善的客户敏感信息保护管理制度,现行制度零星分散于各类业务管理规定中,大多为原则性规定,不成体系,也无法覆盖信息的采集、保管和销毁等所有工作环节。
(二)银行客户敏感信息管理内控机制不健全、信息系统建设管理不完善。一是在内控方面,没有形成专业化的个人信息管理组织架构,缺乏个人信息保护专职岗位设置,内部监督检查力度弱,没有对个人信息保护的专项检查制度;信息查询审计跟踪能力不足,缺乏信息调阅查询等行为以及信息交接过程的记录,难以跟踪个人信息使用的过程;对外包人员行为的控制缺乏有效性,对外包商的保密管理情况审计不足。二是在信息系统方面,银行系统建设管理不完善,未对客户信息进行统一整合。当前多数银行的客户敏感信息分散在存款、支付结算、银行卡、电子银行等有业务中,业务又分属不同运营部门,且分别由不同的信息系统予以支持,形成了许多信息“孤岛”,使得信息保护更加困难。
(三)公众教育缺乏、客户风险防范意识淡薄。一是社会对客户敏感信息保护开展的公众教育相对不足,银行重营销、轻告知,造成客户未能完整阅读有关权责条款即签字确认,未来争执隐患大;二是部分银行客户风险防范意识较弱,缺乏对客户敏感信息保护的关注和重视。
三针对这种问题的成因,提出银行业加强客户信息保护的如下建议:
(一)督导银行提高认识,构建机制,强化客户敏感信息的保护管理。按照银监会风险防范的有关要求,结合监管实践,建议督导银行机构围绕分解任务、明确分工、落实责任的原则,一是强化内控建设。第一,督促银行机构尽快完善客户个人信息管理的规章制度,对客户个人信息的采集、使用、存储的生命周期管理做出明确规定,有效保护客户个人信息安全;第二,明确以电子银行部或其它相关部门为客户信息保护工作的牵头部门,协调推动工作开展;第三,强化监督问责,分流程、按环节、逐部门,定期对信息安全状况进行评估、审计和检查监督,及时发现和纠正客户信息管理工作中的隐患和漏洞。二是完善信息系统建设与管理。一方面,督导银行在数据大集中基础上进一步整合信息系统,真正实现由“以账户为中心”到“以客户为中心”的转变,全面整合客户敏感信息,以便于进行统一保护管理。另一方面,要进一步提升信息安全管理能力。应对信息系统可能遇到的各种技术风险进行评估,加大信息技术的科技含量,有效防范来自于外部的攻击,确保信息及信息系统安全。三是加强员工管理。银行机构加强员工保密教育,增强员工法律意识,严格遵守“为客户保密”的原则。同时加强对业务外包单位及合作单位工作人员管理,及时消除风险隐患。
(二)完善监管规章,加强银行业客户敏感信息保护工作的监管。一是将客户敏感信息保护纳入对银行的总体风险监管框架中,根据法律中有关公民信息保护的原则性规定,对银行客户个人信息的采集、使用、保密等环节作出详细规定。二是依托银行业标准化委员会,建立客户信息保护的规范和标准,督促银行业构建客户信息保护工作机制。三是加强对银行客户敏感信息保护工作的现场检查和非现场监测,切实督促银行业加强信息系统安全管理,规范其个人信息数据库的管理,防止信息被滥用和窃取。
(三)拓展信息保护教育覆盖面,减少银行声誉风险各商业银行要充分发挥直接面对公众、传播渠道广、队伍专业的优势,广泛开展形式多样的金融消费安全教育,提醒客户在日常生活中注意保护个人信息,并在发现风险隐患时第一时间开展风险提示。同时通过强化信息披露等手段提高市场约束力,让客户了解银行加强信息管理方面的具体措施,保障公众知情权,减少逆向选择的机会。
信息安全管理就是一个不断平衡风险和投入的过程,漏洞和缺陷永远存在,这些漏洞缺陷被利用的难度决定着残余风险的大小,而这部分风险的管理往往不是仅有制度规定就可以解决的。
因为虽然有了比较完善的制度,但如果人和制度不能很好的配合,同样会产生很大的风险。银行政策只有营造出人、规章、管理这三者和谐的氛围,以此来防范信息泄露风险,保障我行信息资产安全和各项业务安全运营。
以前不爱写日记,想把经历过的事情都忘记。只是后来发现被时间筛选,留下来的美好的东西我怕忘记。 我想,人都是被逼出来的在毕业前,我很惶恐,我怕自己找不到人生的坐标,也许是我太......
怀爱国之心,立报国之志 “新疆精神”贯穿于新疆各族人民建设美好家园,创造灿烂地域文化的进程中。是新疆各族人民把握现实,开创美好未来的强打精神力量,是激励着各族人民在前进......
党课感想39051729——张超3月30日,北航沙河校区航空科学与工程学院学生党校请来了年过古稀,有着五十多年党员工作经历的曾妙南老师。曾老师以“端正入党动机,争取早日入党”为......
在这三讲三整顿活动中,我清楚地认识到自己在部队的生活、学习、工作中存在的不足,认识到如果不加以纠正,将势必影响部队和个人的发展进步。现在,我就存在的问题剖析如下:一、政治......
姓名:李伟班级:电气1班学号:2012330301013 任课老师:苏丽辉/叶净招聘会感想作为一个即将踏入大四的大三学生,毕业就等于失业的就业压力也变得越来越现实。以前看着学长学姐们参......
