【正文】 建立業(yè)務(wù)連續(xù)性總體應(yīng)急預(yù)案制定重要業(yè)務(wù)應(yīng)急預(yù)案和相應(yīng)的信息系統(tǒng)技術(shù)應(yīng)急預(yù)案，明確應(yīng)急工作流程、應(yīng)急操作步驟、應(yīng)急資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式、業(yè)務(wù)及信息系統(tǒng)運(yùn)行恢復(fù)的優(yōu)先順序、內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機(jī)構(gòu)、客戶和媒體等）的溝通安排等。..制定信息系統(tǒng)投產(chǎn)變更管理制度，規(guī)范信息系統(tǒng)投產(chǎn)變更的行為，確保投產(chǎn)變更在可控和安全的前提下進(jìn)行，防控信息系統(tǒng)投產(chǎn)變更導(dǎo)致的風(fēng)險(xiǎn)。日常運(yùn)維管理可以從環(huán)境管理、資產(chǎn)管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、防病毒管理、監(jiān)控管理、密碼管理、變更管理、備份與恢復(fù)管理等幾方面進(jìn)行考慮。(三) 信息安全技術(shù)體系建設(shè)信息安全技術(shù)體系建設(shè)應(yīng)通過物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全及數(shù)據(jù)安全五個(gè)維度進(jìn)行設(shè)計(jì)，安全技術(shù)體系建設(shè)可以參照信息安全等級(jí)保護(hù)要求執(zhí)行，財(cái)務(wù)公司根據(jù)行業(yè)特點(diǎn)具體可按等級(jí)保護(hù)三級(jí)的要求來進(jìn)行建設(shè)。(二) 備份及容災(zāi)的運(yùn)行應(yīng)建立日常備份制度和災(zāi)難恢復(fù)措施。三、 基礎(chǔ)硬件建設(shè)(一) 空調(diào)系統(tǒng)信息系統(tǒng)機(jī)房中的機(jī)房、支持區(qū)和輔助房間的空氣調(diào)節(jié)系統(tǒng)應(yīng) 根據(jù)信息系統(tǒng)機(jī)房的等級(jí)，按照標(biāo)準(zhǔn)執(zhí)行。這類財(cái)務(wù)公司對(duì)外托管IT基礎(chǔ)配套設(shè)施，如系統(tǒng)及維護(hù)完全托管在招行機(jī)房，并使用招行提供的災(zāi)備系統(tǒng)。目前比較常見的有諸如：銀財(cái)接口、財(cái)企接口、1104接口、人行接口、賬務(wù)系統(tǒng)接口、OA系統(tǒng)接口等等。(二)探索應(yīng)用系統(tǒng)最佳實(shí)踐的特點(diǎn)財(cái)務(wù)公司目前信息化建設(shè)的模式和成功得以應(yīng)用是有其必然的內(nèi)在因素，集團(tuán)公司不同的資金管理模式、不同的規(guī)模、業(yè)務(wù)特點(diǎn)和復(fù)雜度的不同直接導(dǎo)致了不同的建設(shè)模式，適合自己的才是最好的。相繼成立了自身的信息化開發(fā)、運(yùn)維隊(duì)伍，如中國(guó)電力財(cái)務(wù)公司、中油財(cái)務(wù)公司。但帶來了新、舊平臺(tái)系統(tǒng)的遷移和開發(fā)風(fēng)險(xiǎn)，要充分考慮新平臺(tái)引入后，在安全穩(wěn)定運(yùn)行的前提下，老系統(tǒng)遷移的風(fēng)險(xiǎn)。業(yè)務(wù)運(yùn)營(yíng)層：是財(cái)務(wù)公司總部及分支機(jī)構(gòu)的業(yè)務(wù)操作平臺(tái)，包括財(cái)務(wù)公司提供的主要的業(yè)務(wù)，結(jié)算、存款、貸款、資金、證券及中間業(yè)務(wù)等。但是，由于金融業(yè)業(yè)務(wù)運(yùn)行特點(diǎn)的特殊性和社會(huì)影響的廣泛性，外包業(yè)務(wù)同時(shí)存在著極大的風(fēng)險(xiǎn)隱患。數(shù)據(jù)挖掘及分析技術(shù)助推企業(yè)經(jīng)營(yíng)發(fā)展在業(yè)務(wù)體系建設(shè)基礎(chǔ)上，銀行業(yè)金融機(jī)構(gòu)已普遍開始采用數(shù)據(jù)倉(cāng)庫(kù)、數(shù)據(jù)分析等技術(shù)，開展了客戶定向營(yíng)銷和個(gè)性化營(yíng)銷服務(wù)上的大量創(chuàng)新和實(shí)踐，以通過差異化服務(wù)創(chuàng)造競(jìng)爭(zhēng)優(yōu)勢(shì)。(三)信息化建設(shè)要充分利用集團(tuán)信息化資源信息化建設(shè)本身就是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及到應(yīng)用、存儲(chǔ)、網(wǎng)絡(luò)、安全、治理等方方面面；而財(cái)務(wù)公司的金融機(jī)構(gòu)屬性對(duì)數(shù)據(jù)安全及連續(xù)性運(yùn)行的要求又極大地強(qiáng)化了這種復(fù)雜性。(三)信息技術(shù)是提高客戶服務(wù)能力的載體為適應(yīng)企業(yè)集團(tuán)內(nèi)部資金管理和財(cái)務(wù)管控的發(fā)展，財(cái)務(wù)公司需要利用信息技術(shù)實(shí)現(xiàn)客戶服務(wù)能力的提升和轉(zhuǎn)變。近年來各財(cái)務(wù)公司根據(jù)所處行業(yè)及環(huán)境特點(diǎn)，走出一條符合自身發(fā)展規(guī)律的信息化之路，2010年財(cái)務(wù)公司協(xié)會(huì)信息技術(shù)委員會(huì)課題組完成了《財(cái)務(wù)公司行業(yè)信息系統(tǒng)建設(shè)調(diào)研分析報(bào)告》，對(duì)財(cái)務(wù)公司信息化建設(shè)和發(fā)展情況進(jìn)行分析，根據(jù)報(bào)告調(diào)查分析結(jié)果，并以行業(yè)信息系統(tǒng)性質(zhì)、信息化建設(shè)的規(guī)律特點(diǎn)、小型商業(yè)銀行系統(tǒng)建設(shè)特點(diǎn)等為主要參考依據(jù)，初步歸納了財(cái)務(wù)公司行業(yè)信息化建設(shè)中需關(guān)注的以下問題，如：大多數(shù)財(cái)務(wù)公司沒有指定明確信息化發(fā)展建設(shè)規(guī)劃，信息化沒有為公司戰(zhàn)略發(fā)展提供有效支撐；財(cái)務(wù)公司信息化管理組織結(jié)構(gòu)需要明確，專業(yè)技術(shù)隊(duì)伍力量需要不斷加強(qiáng)，管理制度需要落實(shí)到位；部分財(cái)務(wù)公司機(jī)房災(zāi)備配套建設(shè)不足，數(shù)據(jù)備份沒有形成機(jī)制，基礎(chǔ)網(wǎng)絡(luò)配套建設(shè)水平較弱；絕大多數(shù)財(cái)務(wù)公司信息系統(tǒng)應(yīng)用水平需要不斷提高，應(yīng)用數(shù)據(jù)需要深入挖掘和利用等。四是提供符合監(jiān)管要求的報(bào)表，提升合規(guī)性管理效率。這就要求財(cái)務(wù)公司在業(yè)務(wù)及信息化規(guī)劃中，將未來集團(tuán)財(cái)務(wù)管控的發(fā)展模式、財(cái)務(wù)公司可能承擔(dān)的職能、集團(tuán)ERP系統(tǒng)相關(guān)建設(shè)內(nèi)容一并考慮，并在信息化規(guī)劃中有所準(zhǔn)備。在未來網(wǎng)點(diǎn)建設(shè)方面，招商銀行提出了“凡是能夠電子化解決的渠道都要電子化，凡是可以遠(yuǎn)程解決的絕不到柜臺(tái)”的發(fā)展思路。為此，進(jìn)一步加強(qiáng)對(duì)信息技術(shù)風(fēng)險(xiǎn)的重視程度，進(jìn)一步重視業(yè)務(wù)的連續(xù)性管理，切實(shí)采取措施防范技術(shù)風(fēng)險(xiǎn)，已在金融業(yè)信息化建設(shè)中獲得高度共識(shí)，其中，災(zāi)難備份成為信息化建設(shè)重點(diǎn)內(nèi)容。同時(shí)受制于財(cái)務(wù)公司自身信息化開發(fā)和運(yùn)維力量，使得從產(chǎn)品、客戶化開發(fā)、系統(tǒng)運(yùn)維依賴于軟件開發(fā)商。針對(duì)以上問題，有些軟件商和財(cái)務(wù)公司已經(jīng)在開始合作進(jìn)行系統(tǒng)的升級(jí)換代，采用的方式有如下幾點(diǎn)：一是在現(xiàn)有系統(tǒng)架構(gòu)下，根據(jù)管理和業(yè)務(wù)發(fā)展需要進(jìn)行功能的擴(kuò)充，但并沒有從技術(shù)架構(gòu)的安全、效率、開放性進(jìn)行統(tǒng)一規(guī)劃。此模式較適合于新成立的或規(guī)模較小、業(yè)務(wù)開展不復(fù)雜的財(cái)務(wù)公司，能較快的依托于商業(yè)銀行的技術(shù)力量和資源，快速的開展業(yè)務(wù)。財(cái)務(wù)公司應(yīng)利用已經(jīng)積累多年的業(yè)務(wù)數(shù)據(jù)，形成研究決策指標(biāo)體系，更好的支持管理層的決策并且對(duì)金融風(fēng)險(xiǎn)進(jìn)行全面的預(yù)警和控制，同時(shí)為客戶與集團(tuán)領(lǐng)導(dǎo)提供針對(duì)性更強(qiáng)，更具價(jià)值的金融服務(wù)。一套優(yōu)質(zhì)的應(yīng)用系統(tǒng)應(yīng)該在此類新增業(yè)務(wù)出現(xiàn)時(shí)，能夠?qū)崿F(xiàn)可配置性，以最小的工作量、最少的成本、最低的風(fēng)險(xiǎn)、最快的速度實(shí)現(xiàn)管理和業(yè)務(wù)流程變化的需求。二是自建相對(duì)獨(dú)立IT基礎(chǔ)配套設(shè)施，以國(guó)電電力財(cái)務(wù)公司為例。核心網(wǎng)絡(luò)設(shè)備必須提供冗余引擎和電源，消除單點(diǎn)故障。根據(jù)自身的實(shí)際情況，選擇合適的備份措施，包括磁盤鏡像、磁盤陣列、雙機(jī)容錯(cuò)、數(shù)據(jù)拷貝等。財(cái)務(wù)公司安全保障體系框架搭建的一種方法示例如下：(二) 安全策略體系安全策略體系是指導(dǎo)財(cái)務(wù)公司信息系統(tǒng)安全設(shè)計(jì)、建設(shè)和維護(hù)管理工作的基本依據(jù)，所有相關(guān)人員應(yīng)根據(jù)工作實(shí)際情況履行相關(guān)安全策略，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實(shí)施細(xì)則，做好安全標(biāo)準(zhǔn)體系相關(guān)工作。系統(tǒng)建設(shè)管理應(yīng)覆蓋自主開發(fā)項(xiàng)目、外包開發(fā)項(xiàng)目、工程實(shí)施項(xiàng)目及安全服務(wù)類項(xiàng)目的建設(shè)管理。其目標(biāo)是建立并持續(xù)完善信息科技運(yùn)行維護(hù)規(guī)章制度和流程，有效防范和控制信息科技運(yùn)行風(fēng)險(xiǎn)，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。生產(chǎn)系統(tǒng)變更管理制定信息系統(tǒng)變更管理制度，并按制度規(guī)定實(shí)施信息系統(tǒng)生產(chǎn)變更管理，防范生產(chǎn)變更操作風(fēng)險(xiǎn)，提高生產(chǎn)系統(tǒng)安全保障的綜合管理水平，包含以下管理要求：1）緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進(jìn)行備份,以便必要時(shí)可以恢復(fù)原來的系統(tǒng)版本和數(shù)據(jù)文件；2）緊急變更成功后,應(yīng)通過正常的驗(yàn)收測(cè)試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。保障敏感信息外包安全1) 從技術(shù)和管理上實(shí)現(xiàn)客戶資料與外包服務(wù)商客戶資料的有效隔離；2) 按照“必需知道”和“最小授權(quán)”原則對(duì)外包服務(wù)商人員授權(quán)；3) 在合同保密條款中補(bǔ)充明確對(duì)外包服務(wù)商保證及其相關(guān)人員的保密要求條款；4) 將涉及本公司客戶資料的外包作為重要外包，并告知相關(guān)客戶；5) 不允許外包服務(wù)商再次對(duì)外轉(zhuǎn)包；6) 在中止外包協(xié)議時(shí)收回或銷毀外包服務(wù)商保存的所有客戶資料。4) 信息系統(tǒng)在投產(chǎn)前需要對(duì)軟件質(zhì)量進(jìn)行管理，利用第三方機(jī)構(gòu)對(duì)軟件本身的性能和存在漏洞不足進(jìn)行充分評(píng)估。(七) 信息安全服務(wù)信息安全服務(wù)由風(fēng)險(xiǎn)評(píng)估、安全加固和安全培訓(xùn)服務(wù)等依賴專業(yè)信息安全技術(shù)人員能力實(shí)現(xiàn)的具體工作任務(wù)組成。(四) 信息安全管理體系建設(shè)信息安全管理體系建設(shè)應(yīng)通過安全組織梳理、安全管理制度梳理、人員安全管理、系統(tǒng)建設(shè)管理等幾個(gè)維護(hù)進(jìn)行設(shè)計(jì)。要根據(jù)災(zāi)難恢復(fù)措施，定期或不定期組織數(shù)據(jù)恢復(fù)的演練。大型機(jī)房空調(diào)系統(tǒng)宜采用冷水機(jī)組空調(diào)系統(tǒng)，冷源采用水冷方式。下面就其中自建IT基礎(chǔ)配套設(shè)施部分提出最佳實(shí)踐要求。l 充分考慮系統(tǒng)的安全性、靈活性和可擴(kuò)展性。l 滿足財(cái)務(wù)公司業(yè)務(wù)發(fā)展的系統(tǒng)基礎(chǔ)架構(gòu)由于業(yè)務(wù)的發(fā)展、科技的進(jìn)步，想在系統(tǒng)建設(shè)上實(shí)現(xiàn)一步到位幾乎是不可能的，但是以現(xiàn)有的業(yè)務(wù)種類、技術(shù)程度，完全可以形成一套能夠支持財(cái)務(wù)公司未來510年業(yè)務(wù)發(fā)展需要的軟件產(chǎn)品。重新梳理和構(gòu)建了基于司庫(kù)管理理念的系統(tǒng)應(yīng)用架構(gòu)和技術(shù)架構(gòu)，司庫(kù)管理的引入對(duì)財(cái)務(wù)公司應(yīng)用系統(tǒng)結(jié)算賬戶管理及架構(gòu)帶來比較大的改變，配合此自上而下的管理要求，重新梳理組織結(jié)構(gòu)、業(yè)務(wù)系統(tǒng)、業(yè)務(wù)流程、管理控制、管理制度、合理衡量，從業(yè)務(wù)、數(shù)據(jù)、應(yīng)用系統(tǒng)和基礎(chǔ)架構(gòu)四個(gè)緯度分析和搭建一個(gè)安全、可靠并且具有易用性和可擴(kuò)展性的系統(tǒng)。二、 利用商業(yè)銀行的信息技術(shù)資源商業(yè)銀行利用其在金融業(yè)務(wù)知識(shí)和信息技術(shù)平臺(tái)的優(yōu)勢(shì)推出了針對(duì)財(cái)務(wù)公司的信息系統(tǒng)。主要的業(yè)務(wù)包括財(cái)務(wù)管理、預(yù)算、票據(jù)、風(fēng)險(xiǎn)、客戶關(guān)系和稽核審計(jì)。正如其指示中所說：“當(dāng)前，銀行業(yè)對(duì)信息科技的高度依賴，使得信息技術(shù)系統(tǒng)的安全性、可靠性和有效性直接關(guān)系到整個(gè)銀行業(yè)的安全和金融體系的穩(wěn)定。財(cái)務(wù)公司可以很好的借鑒和把握銀行業(yè)發(fā)展方向，為企業(yè)集團(tuán)深入開展資金使用分析提供有力支撐，為企業(yè)經(jīng)營(yíng)發(fā)展提供數(shù)據(jù)支持?；A(chǔ)設(shè)施建設(shè)方面。三、 課題研究的目標(biāo)及內(nèi)容結(jié)合財(cái)務(wù)公司信息化建設(shè)意義及現(xiàn)狀的分析，本課題研究的目標(biāo)是：通過分析財(cái)務(wù)公司行業(yè)信息化建設(shè)與管理過程中的共性特點(diǎn)，探索實(shí)現(xiàn)行業(yè)信息化最佳實(shí)踐的模式，從信息化的戰(zhàn)略規(guī)劃體系、應(yīng)用系統(tǒng)建設(shè)、基礎(chǔ)建設(shè)、信息安全建設(shè)、信息科技治理等方面，為財(cái)務(wù)公司信息化的發(fā)展提供參考和依據(jù)，使信息化成為推動(dòng)財(cái)務(wù)公司戰(zhàn)略發(fā)展的重要力量。信息化綜合應(yīng)用水平的巨大進(jìn)步，大大提高了財(cái)務(wù)公司行業(yè)的整體競(jìng)爭(zhēng)能力和現(xiàn)代化水平，信息化在財(cái)務(wù)公司戰(zhàn)略轉(zhuǎn)型中的作用愈發(fā)明顯，已成為支撐和促進(jìn)財(cái)務(wù)公司行業(yè)穩(wěn)定快速發(fā)展的重要基礎(chǔ)保障，是財(cái)務(wù)公司核心力競(jìng)爭(zhēng)力的構(gòu)成要素之一。利用信息技術(shù)，一是可以在系統(tǒng)中固化業(yè)務(wù)流程和規(guī)則，并提供適當(dāng)?shù)膮?shù)化功能，從而提高業(yè)務(wù)流程的操作風(fēng)險(xiǎn)控制能力。但考察近年來方興未艾的司庫(kù)模式這一發(fā)展趨勢(shì)，我們發(fā)現(xiàn)：集中的司庫(kù)管理職能，是以資金的流動(dòng)與管理為核心，實(shí)現(xiàn)集中的現(xiàn)金管理、風(fēng)險(xiǎn)管理與投融資管理職能（見下圖）。二、 緊密把握金融行