信息安全管理機(jī)制報(bào)告.doc

.XX村鎮(zhèn)銀行信息安全管理機(jī)制報(bào)告根據(jù)中國(guó)人民銀行有關(guān)文件要求，我行嚴(yán)格執(zhí)行科技信息安全管理的有關(guān)制度，認(rèn)真履行信息安全工作，部署我行上下積極開展信息安全管理工作，我行高度重視此項(xiàng)工作，認(rèn)真學(xué)習(xí)相關(guān)文件內(nèi)容，結(jié)合我行實(shí)際現(xiàn)將我行信息安全管理機(jī)制報(bào)告如下：一、信息安全標(biāo)準(zhǔn)在我行信息科技制度體系框架和制度名錄基礎(chǔ)上，對(duì)全行的信息科技流程進(jìn)行梳理，借鑒科學(xué)的、國(guó)際通用的方法、模型和工具，找出管理流程中存在的風(fēng)險(xiǎn)點(diǎn)，從防范風(fēng)險(xiǎn)、提高效率的角度優(yōu)化、完善信息科技管理制度，并建立相應(yīng)的信息安全技術(shù)管理標(biāo)準(zhǔn)。信息科技管理制度的內(nèi)容涵蓋信息科技治理、信息科技風(fēng)險(xiǎn)管理、信息安全、信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)、信息科技運(yùn)行、業(yè)務(wù)連續(xù)性管理、外包、內(nèi)部審計(jì)、外部審計(jì)9 個(gè)方面，具體內(nèi)容包括信息科技組織管理、培訓(xùn)、報(bào)告、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估管理、風(fēng)險(xiǎn)計(jì)量監(jiān)測(cè)、信息安全管理、信息系統(tǒng)檢查管理、用戶認(rèn)證和訪問(wèn)控制、網(wǎng)絡(luò)安全、操作系統(tǒng)管理、生產(chǎn)系統(tǒng)日志管理、加密管理、設(shè)備管理、數(shù)據(jù)安全、項(xiàng)目管理、規(guī)劃管理、需求管理、軟件開發(fā)管理、測(cè)試管理、變更管理、問(wèn)題缺陷管理、版本管理、質(zhì)量管理、運(yùn)行管理、機(jī)房管理、軟硬件運(yùn)行維護(hù)、網(wǎng)絡(luò)運(yùn)行維護(hù)、監(jiān)控、應(yīng)急管理及處置、外包管理、審計(jì)管理等內(nèi)容。信息安全技術(shù)管理標(biāo)準(zhǔn)的內(nèi)容包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面的內(nèi)容。二、信息科技風(fēng)險(xiǎn)管理實(shí)施策略按照銀行信息科技風(fēng)險(xiǎn)應(yīng)對(duì)策略的四個(gè)維度，在治理上，落實(shí)信息科技風(fēng)險(xiǎn)管理模型；在流程上，對(duì)現(xiàn)有信息科技制度體系進(jìn)行梳理、完善，并根據(jù)本策略要求更新、補(bǔ)充；在人員上，充實(shí)信息技術(shù)人員，加強(qiáng)人員專業(yè)技能和信息科技風(fēng)險(xiǎn)管理知識(shí)培訓(xùn)，防范關(guān)鍵人員流失風(fēng)險(xiǎn)；在技術(shù)上，通過(guò)信息安全技術(shù)手段和措施，從物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等方面出發(fā)，強(qiáng)化信息科技風(fēng)險(xiǎn)管控。（一） 信息科技風(fēng)險(xiǎn)管理體系通過(guò)進(jìn)一步完善我行的信息科技風(fēng)險(xiǎn)管理體系，了解和分析全行信息科技風(fēng)險(xiǎn)情況、全面展開信息科技風(fēng)險(xiǎn)管理工作，初步實(shí)現(xiàn)信息科技風(fēng)險(xiǎn)全周期管理，逐步將信息科技風(fēng)險(xiǎn)管理納入銀行全面風(fēng)險(xiǎn)管理中。在全行信息科技風(fēng)險(xiǎn)管理策略的基礎(chǔ)上， 信息科技風(fēng)險(xiǎn)管理體系重點(diǎn)包括落實(shí)信息科技風(fēng)險(xiǎn)治理模型、信息科技戰(zhàn)略規(guī)劃審核與修訂、建立信息科技風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制、完善風(fēng)險(xiǎn)監(jiān)督和報(bào)告制度，并評(píng)估指引在我行的貫徹落實(shí)情況等方面。（二）落實(shí)信息科技風(fēng)險(xiǎn)治理模型按照指引要求，“設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作”，形成分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)，由科技信息部門具體負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理，合規(guī)風(fēng)險(xiǎn)部（信息科技風(fēng)險(xiǎn)管理部門）負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作的統(tǒng)籌、支持和督促工作，審計(jì)部門負(fù)責(zé)對(duì)信息科技風(fēng)險(xiǎn)管理體系運(yùn)行的有效性進(jìn)行評(píng)估，構(gòu)建信息科技風(fēng)險(xiǎn)管理“三道防線”，滿足監(jiān)管部門的要求。（三）信息科技戰(zhàn)略規(guī)劃審核與修訂信息科技管理委員會(huì)對(duì)銀行信息科技戰(zhàn)略規(guī)劃進(jìn)行審核，重點(diǎn)關(guān)注信息科技戰(zhàn)略與全行業(yè)務(wù)戰(zhàn)略的一致性，信息科技戰(zhàn)略與目前全行信息科技化建設(shè)情況和發(fā)展方向一致性，配置足夠人力、財(cái)力資源，保持穩(wěn)定、安全的信息科技環(huán)境。相關(guān)部門根據(jù)審核意見對(duì)信息科技戰(zhàn)略規(guī)劃進(jìn)行修訂。修訂后的信息科技戰(zhàn)略規(guī)劃內(nèi)容至少應(yīng)包括：1. 信息科技管理組織和制度建設(shè)規(guī)劃；2. 信息科技基礎(chǔ)架構(gòu)規(guī)劃；3. 信息科技應(yīng)用架構(gòu)規(guī)劃；4. 信息科技人力資源配置規(guī)劃；5. 信息科技產(chǎn)品開發(fā)計(jì)劃；6. 信息科技服務(wù)水平建設(shè)計(jì)劃；7. 信息科技風(fēng)險(xiǎn)管理政策。（四）建立信息科技風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系依據(jù)監(jiān)管機(jī)構(gòu)要求，以指引為主，同時(shí)借鑒ISO27001、COBIT、COSO、ITIL、等級(jí)保護(hù)、五部委企業(yè)內(nèi)部控制規(guī)范等國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)與金融業(yè)最佳實(shí)踐，結(jié)合我行實(shí)際，形成我行信息科技風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系。信息科技風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系涵蓋以下方面：信息科技治理、信息科技風(fēng)險(xiǎn)管理、信息安全、信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)、信息科技運(yùn)行、業(yè)務(wù)連續(xù)性管理、外包、審計(jì)（內(nèi)部審計(jì)和外部審計(jì)）。（五）完善風(fēng)險(xiǎn)報(bào)告和監(jiān)督機(jī)制完善全行信息科技風(fēng)險(xiǎn)報(bào)告體系，明確全行信息科技風(fēng)險(xiǎn)事件匯報(bào)、響應(yīng)和處置機(jī)制，加強(qiáng)業(yè)務(wù)管理部門、科技信息部門、信息科技風(fēng)險(xiǎn)管理部門、管理層、董事會(huì)之間的溝通和協(xié)調(diào)，規(guī)范、統(tǒng)一與監(jiān)管機(jī)構(gòu)、外部其它方面（如媒體）的溝通機(jī)制，建立清晰的與內(nèi)、外部溝通（或報(bào)告）路線。建立以風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)審計(jì)三個(gè)層面的全行信息科技風(fēng)險(xiǎn)報(bào)告和監(jiān)督機(jī)制，即： 風(fēng)險(xiǎn)控制：科技信息部門應(yīng)定期（至少每年一次）負(fù)責(zé)本行數(shù)據(jù)中心信息科技風(fēng)險(xiǎn)的自我評(píng)估，并將評(píng)估結(jié)果上報(bào)信息科技風(fēng)險(xiǎn)管理部門；在發(fā)生重要或重大事件時(shí)，必須根據(jù)相關(guān)規(guī)定及時(shí)上報(bào)；風(fēng)險(xiǎn)管理：合規(guī)風(fēng)險(xiǎn)部（信息科技風(fēng)險(xiǎn)管理部門）負(fù)責(zé)組織和實(shí)施全行信息科技風(fēng)險(xiǎn)總體評(píng)估和監(jiān)控，并負(fù)責(zé)總結(jié)全行年度信息科技風(fēng)險(xiǎn)管理情況，形成年度信息科技風(fēng)險(xiǎn)管理報(bào)告報(bào)董事會(huì)。年度報(bào)告同時(shí)作為年度風(fēng)險(xiǎn)管理情況報(bào)告組成部分之一； 風(fēng)險(xiǎn)審計(jì)：審計(jì)部門在信息科技風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，至少每三年進(jìn)行一次全面地信息科技審計(jì)，形成銀行信息科技風(fēng)險(xiǎn)管理審計(jì)報(bào)告報(bào)董事會(huì)或監(jiān)事會(huì)審定。同時(shí)，對(duì)于信息科技管理的特殊或重大事件（或事故），審計(jì)部門應(yīng)當(dāng)進(jìn)行不定期的專項(xiàng)審計(jì)或提出專項(xiàng)意見。（六）評(píng)估指引在我行的貫徹落實(shí)情況根據(jù)我行信息科技風(fēng)險(xiǎn)管理體系建設(shè)情況，以指引為準(zhǔn)繩，以信息科技風(fēng)險(xiǎn)管理體系為基礎(chǔ)，利用信息科技風(fēng)險(xiǎn)監(jiān)測(cè)指標(biāo)體系，全面評(píng)估指引在銀行的貫徹落實(shí)情況，并形成<指引>落實(shí)情況報(bào)告。評(píng)估對(duì)象包括全行信息科技風(fēng)險(xiǎn)管理開展的主要工作、各工作的分類描述、工作標(biāo)準(zhǔn)、計(jì)劃時(shí)限的實(shí)現(xiàn)情況（包括已落實(shí)項(xiàng)、部分落實(shí)項(xiàng)及跟進(jìn)計(jì)劃、未落實(shí)項(xiàng)及原因）等。三、信息分類及保護(hù)體系方面（一）網(wǎng)絡(luò)安全方面1. 物理和環(huán)境安全：加強(qiáng)支撐性基礎(chǔ)設(shè)施、數(shù)據(jù)中心等的安全管理；對(duì)機(jī)房的物理環(huán)境和數(shù)據(jù)保存環(huán)境控制進(jìn)行檢查和評(píng)估，包括：溫濕度控制、UPS、門禁控制、消防、防水、防磁、防雷、防盜、防鼠、逃生通道、抗震能力等；所有生產(chǎn)設(shè)備、開發(fā)設(shè)備、測(cè)試設(shè)備之間相互物理或邏輯分離；所有機(jī)房設(shè)立門禁系統(tǒng)；進(jìn)一步加強(qiáng)數(shù)據(jù)中心機(jī)房進(jìn)出管理，對(duì)非運(yùn)行人員一事一授權(quán)；（二）網(wǎng)絡(luò)安全方面1. 訪問(wèn)控制安全：進(jìn)一步完善應(yīng)用系統(tǒng)權(quán)限管理制度，所有的權(quán)限變更均嚴(yán)格按照授權(quán)審批流程進(jìn)行，發(fā)生人員離職、崗位變動(dòng)時(shí)及時(shí)對(duì)其權(quán)限進(jìn)行更新維護(hù)；對(duì)所有重要信息系統(tǒng)建立訪問(wèn)控制策略，所有的授權(quán)均嚴(yán)格按照授權(quán)審批流程進(jìn)行；制定密碼安全策略；禁止外部機(jī)構(gòu)在本機(jī)構(gòu)外的場(chǎng)所訪問(wèn)或使用重要信息系統(tǒng)的交易日志；每年至少進(jìn)行一次滲透性測(cè)試并編寫滲透性測(cè)試報(bào)告；（三）安全保護(hù)區(qū)域方面1. 應(yīng)用安全：進(jìn)行電子銀行系統(tǒng)的安全評(píng)估，完善系統(tǒng)交易處理和客戶端安全防護(hù)手段，對(duì)高風(fēng)險(xiǎn)交易采用雙因素的認(rèn)證方式，并建立代碼安全檢測(cè)制度，加強(qiáng)電子銀行風(fēng)險(xiǎn)監(jiān)控；2. 系統(tǒng)軟件安全：通過(guò)制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求；制定最高權(quán)限系統(tǒng)賬戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察；定期檢查可用的安全補(bǔ)丁，并報(bào)告補(bǔ)丁管理狀態(tài)；在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問(wèn)、對(duì)用戶賬戶的修改等有關(guān)重要事項(xiàng)。3. 網(wǎng)絡(luò)安全：進(jìn)一步完善生產(chǎn)網(wǎng)入侵檢測(cè)/防御系統(tǒng)和非法入侵事件的甄別、處理、報(bào)告流程；加強(qiáng)網(wǎng)絡(luò)監(jiān)控并編制網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)分析報(bào)告；將網(wǎng)絡(luò)劃分為不同的邏輯安全域，根據(jù)域的性質(zhì)定義生產(chǎn)域或測(cè)試域、內(nèi)部域或外部域，結(jié)合不同域之間的連通性和域的可信程度等，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)；進(jìn)一步加強(qiáng)內(nèi)部區(qū)域間邊界安全措施、外聯(lián)網(wǎng)邊界安全措施、互聯(lián)網(wǎng)邊界安全措施、網(wǎng)絡(luò)設(shè)備遠(yuǎn)程訪問(wèn)管理措施等；定期進(jìn)行漏洞掃描；采取拉網(wǎng)式檢查等形式，提高全行WINDOWS 系統(tǒng)防病毒軟件安裝覆蓋率，完善病毒庫(kù)升級(jí)策略和掃描策略, 確保病毒特征碼的及時(shí)更新和升級(jí)；在全行部署網(wǎng)絡(luò)接入認(rèn)證系統(tǒng)，采取集中部署、分權(quán)管理的模式，通過(guò)與防病毒系統(tǒng)、補(bǔ)丁系統(tǒng)的聯(lián)動(dòng)，加強(qiáng)對(duì)全行內(nèi)部網(wǎng)接入用戶的安全管理；4. 終端安全：定期對(duì)所有設(shè)備進(jìn)行安全檢查，包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷售終端（POS）、電話自助終端支農(nóng)便民終端、萬(wàn)村千鄉(xiāng)終端、移動(dòng)營(yíng)銷終端和個(gè)人數(shù)字助理（PDA）等，確保所有終端用戶設(shè)備的安全；5. 移動(dòng)安全：完善移動(dòng)設(shè)備安全使用規(guī)定，嚴(yán)格限制移動(dòng)設(shè)備在生產(chǎn)環(huán)境中的使用。生產(chǎn)環(huán)境中使用移動(dòng)設(shè)備時(shí)應(yīng)嚴(yán)格限制和監(jiān)督，如采取開辟有安防監(jiān)控的專門區(qū)域、屏幕錄像、專人陪同監(jiān)督、指定機(jī)房專用移動(dòng)存儲(chǔ)設(shè)備、專用移動(dòng)存儲(chǔ)設(shè)備使用情況登記等；6. 數(shù)據(jù)安全：根據(jù)信息的重要性和敏感程度進(jìn)行分級(jí)，實(shí)行分級(jí)管理，參照相應(yīng)的信息系統(tǒng)等級(jí)保護(hù)要求執(zhí)行；完善相關(guān)制度和流程，嚴(yán)格管理數(shù)據(jù)（特別是客戶信息）的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀；采用加密、數(shù)字證書等技術(shù)手段防范數(shù)據(jù)在傳輸、處理、存儲(chǔ)過(guò)程中出現(xiàn)泄露或被篡改的風(fēng)險(xiǎn)。不允許以明文方式存儲(chǔ)和傳送用戶密碼等涉密敏感信息。7. 安全檢查：組織進(jìn)行年度信息安全檢查，并根據(jù)主管、監(jiān)管和我行工作要求，進(jìn)行專項(xiàng)信息安全檢查，對(duì)檢查發(fā)現(xiàn)問(wèn)題進(jìn)行跟蹤、督導(dǎo)并落實(shí)整改。精選word范本！