信息安全管理機制報告.doc
《信息安全管理機制報告.doc》由會員分享,可在線閱讀,更多相關《信息安全管理機制報告.doc(8頁珍藏版)》請在裝配圖網(wǎng)上搜索。
.XX村鎮(zhèn)銀行信息安全管理機制報告根據(jù)中國人民銀行有關文件要求,我行嚴格執(zhí)行科技信息安全管理的有關制度,認真履行信息安全工作,部署我行上下積極開展信息安全管理工作,我行高度重視此項工作,認真學習相關文件內(nèi)容,結(jié)合我行實際現(xiàn)將我行信息安全管理機制報告如下:一、信息安全標準在我行信息科技制度體系框架和制度名錄基礎上,對全行的信息科技流程進行梳理,借鑒科學的、國際通用的方法、模型和工具,找出管理流程中存在的風險點,從防范風險、提高效率的角度優(yōu)化、完善信息科技管理制度,并建立相應的信息安全技術(shù)管理標準。信息科技管理制度的內(nèi)容涵蓋信息科技治理、信息科技風險管理、信息安全、信息系統(tǒng)開發(fā)、測試和維護、信息科技運行、業(yè)務連續(xù)性管理、外包、內(nèi)部審計、外部審計9 個方面,具體內(nèi)容包括信息科技組織管理、培訓、報告、風險管理、風險評估管理、風險計量監(jiān)測、信息安全管理、信息系統(tǒng)檢查管理、用戶認證和訪問控制、網(wǎng)絡安全、操作系統(tǒng)管理、生產(chǎn)系統(tǒng)日志管理、加密管理、設備管理、數(shù)據(jù)安全、項目管理、規(guī)劃管理、需求管理、軟件開發(fā)管理、測試管理、變更管理、問題缺陷管理、版本管理、質(zhì)量管理、運行管理、機房管理、軟硬件運行維護、網(wǎng)絡運行維護、監(jiān)控、應急管理及處置、外包管理、審計管理等內(nèi)容。信息安全技術(shù)管理標準的內(nèi)容包括物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等方面的內(nèi)容。二、信息科技風險管理實施策略按照銀行信息科技風險應對策略的四個維度,在治理上,落實信息科技風險管理模型;在流程上,對現(xiàn)有信息科技制度體系進行梳理、完善,并根據(jù)本策略要求更新、補充;在人員上,充實信息技術(shù)人員,加強人員專業(yè)技能和信息科技風險管理知識培訓,防范關鍵人員流失風險;在技術(shù)上,通過信息安全技術(shù)手段和措施,從物理安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全等方面出發(fā),強化信息科技風險管控。(一) 信息科技風險管理體系通過進一步完善我行的信息科技風險管理體系,了解和分析全行信息科技風險情況、全面展開信息科技風險管理工作,初步實現(xiàn)信息科技風險全周期管理,逐步將信息科技風險管理納入銀行全面風險管理中。在全行信息科技風險管理策略的基礎上, 信息科技風險管理體系重點包括落實信息科技風險治理模型、信息科技戰(zhàn)略規(guī)劃審核與修訂、建立信息科技風險監(jiān)測機制、完善風險監(jiān)督和報告制度,并評估指引在我行的貫徹落實情況等方面。(二)落實信息科技風險治理模型按照指引要求,“設立或指派一個特定部門負責信息科技風險管理工作”,形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結(jié)構(gòu),由科技信息部門具體負責信息科技風險管理,合規(guī)風險部(信息科技風險管理部門)負責信息科技風險管理工作的統(tǒng)籌、支持和督促工作,審計部門負責對信息科技風險管理體系運行的有效性進行評估,構(gòu)建信息科技風險管理“三道防線”,滿足監(jiān)管部門的要求。(三)信息科技戰(zhàn)略規(guī)劃審核與修訂信息科技管理委員會對銀行信息科技戰(zhàn)略規(guī)劃進行審核,重點關注信息科技戰(zhàn)略與全行業(yè)務戰(zhàn)略的一致性,信息科技戰(zhàn)略與目前全行信息科技化建設情況和發(fā)展方向一致性,配置足夠人力、財力資源,保持穩(wěn)定、安全的信息科技環(huán)境。相關部門根據(jù)審核意見對信息科技戰(zhàn)略規(guī)劃進行修訂。修訂后的信息科技戰(zhàn)略規(guī)劃內(nèi)容至少應包括:1. 信息科技管理組織和制度建設規(guī)劃;2. 信息科技基礎架構(gòu)規(guī)劃;3. 信息科技應用架構(gòu)規(guī)劃;4. 信息科技人力資源配置規(guī)劃;5. 信息科技產(chǎn)品開發(fā)計劃;6. 信息科技服務水平建設計劃;7. 信息科技風險管理政策。(四)建立信息科技風險評價指標體系依據(jù)監(jiān)管機構(gòu)要求,以指引為主,同時借鑒ISO27001、COBIT、COSO、ITIL、等級保護、五部委企業(yè)內(nèi)部控制規(guī)范等國內(nèi)外相關標準與金融業(yè)最佳實踐,結(jié)合我行實際,形成我行信息科技風險評價指標體系。信息科技風險評價指標體系涵蓋以下方面:信息科技治理、信息科技風險管理、信息安全、信息系統(tǒng)開發(fā)、測試和維護、信息科技運行、業(yè)務連續(xù)性管理、外包、審計(內(nèi)部審計和外部審計)。(五)完善風險報告和監(jiān)督機制完善全行信息科技風險報告體系,明確全行信息科技風險事件匯報、響應和處置機制,加強業(yè)務管理部門、科技信息部門、信息科技風險管理部門、管理層、董事會之間的溝通和協(xié)調(diào),規(guī)范、統(tǒng)一與監(jiān)管機構(gòu)、外部其它方面(如媒體)的溝通機制,建立清晰的與內(nèi)、外部溝通(或報告)路線。建立以風險控制、風險評估、風險審計三個層面的全行信息科技風險報告和監(jiān)督機制,即: 風險控制:科技信息部門應定期(至少每年一次)負責本行數(shù)據(jù)中心信息科技風險的自我評估,并將評估結(jié)果上報信息科技風險管理部門;在發(fā)生重要或重大事件時,必須根據(jù)相關規(guī)定及時上報;風險管理:合規(guī)風險部(信息科技風險管理部門)負責組織和實施全行信息科技風險總體評估和監(jiān)控,并負責總結(jié)全行年度信息科技風險管理情況,形成年度信息科技風險管理報告報董事會。年度報告同時作為年度風險管理情況報告組成部分之一; 風險審計:審計部門在信息科技風險評估的基礎上,至少每三年進行一次全面地信息科技審計,形成銀行信息科技風險管理審計報告報董事會或監(jiān)事會審定。同時,對于信息科技管理的特殊或重大事件(或事故),審計部門應當進行不定期的專項審計或提出專項意見。(六)評估指引在我行的貫徹落實情況根據(jù)我行信息科技風險管理體系建設情況,以指引為準繩,以信息科技風險管理體系為基礎,利用信息科技風險監(jiān)測指標體系,全面評估指引在銀行的貫徹落實情況,并形成落實情況報告。評估對象包括全行信息科技風險管理開展的主要工作、各工作的分類描述、工作標準、計劃時限的實現(xiàn)情況(包括已落實項、部分落實項及跟進計劃、未落實項及原因)等。三、信息分類及保護體系方面(一)網(wǎng)絡安全方面1. 物理和環(huán)境安全:加強支撐性基礎設施、數(shù)據(jù)中心等的安全管理;對機房的物理環(huán)境和數(shù)據(jù)保存環(huán)境控制進行檢查和評估,包括:溫濕度控制、UPS、門禁控制、消防、防水、防磁、防雷、防盜、防鼠、逃生通道、抗震能力等;所有生產(chǎn)設備、開發(fā)設備、測試設備之間相互物理或邏輯分離;所有機房設立門禁系統(tǒng);進一步加強數(shù)據(jù)中心機房進出管理,對非運行人員一事一授權(quán);(二)網(wǎng)絡安全方面1. 訪問控制安全:進一步完善應用系統(tǒng)權(quán)限管理制度,所有的權(quán)限變更均嚴格按照授權(quán)審批流程進行,發(fā)生人員離職、崗位變動時及時對其權(quán)限進行更新維護;對所有重要信息系統(tǒng)建立訪問控制策略,所有的授權(quán)均嚴格按照授權(quán)審批流程進行;制定密碼安全策略;禁止外部機構(gòu)在本機構(gòu)外的場所訪問或使用重要信息系統(tǒng)的交易日志;每年至少進行一次滲透性測試并編寫滲透性測試報告;(三)安全保護區(qū)域方面1. 應用安全:進行電子銀行系統(tǒng)的安全評估,完善系統(tǒng)交易處理和客戶端安全防護手段,對高風險交易采用雙因素的認證方式,并建立代碼安全檢測制度,加強電子銀行風險監(jiān)控;2. 系統(tǒng)軟件安全:通過制定每種類型操作系統(tǒng)的基本安全要求,確保所有系統(tǒng)滿足基本安全要求;制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程,并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察;定期檢查可用的安全補丁,并報告補丁管理狀態(tài);在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關重要事項。3. 網(wǎng)絡安全:進一步完善生產(chǎn)網(wǎng)入侵檢測/防御系統(tǒng)和非法入侵事件的甄別、處理、報告流程;加強網(wǎng)絡監(jiān)控并編制網(wǎng)絡監(jiān)控數(shù)據(jù)分析報告;將網(wǎng)絡劃分為不同的邏輯安全域,根據(jù)域的性質(zhì)定義生產(chǎn)域或測試域、內(nèi)部域或外部域,結(jié)合不同域之間的連通性和域的可信程度等,對整個網(wǎng)絡進行物理或邏輯分區(qū);進一步加強內(nèi)部區(qū)域間邊界安全措施、外聯(lián)網(wǎng)邊界安全措施、互聯(lián)網(wǎng)邊界安全措施、網(wǎng)絡設備遠程訪問管理措施等;定期進行漏洞掃描;采取拉網(wǎng)式檢查等形式,提高全行WINDOWS 系統(tǒng)防病毒軟件安裝覆蓋率,完善病毒庫升級策略和掃描策略, 確保病毒特征碼的及時更新和升級;在全行部署網(wǎng)絡接入認證系統(tǒng),采取集中部署、分權(quán)管理的模式,通過與防病毒系統(tǒng)、補丁系統(tǒng)的聯(lián)動,加強對全行內(nèi)部網(wǎng)接入用戶的安全管理;4. 終端安全:定期對所有設備進行安全檢查,包括臺式個人計算機(PC)、便攜式計算機、柜員終端、自動柜員機(ATM)、存折打印機、讀卡器、銷售終端(POS)、電話自助終端支農(nóng)便民終端、萬村千鄉(xiāng)終端、移動營銷終端和個人數(shù)字助理(PDA)等,確保所有終端用戶設備的安全;5. 移動安全:完善移動設備安全使用規(guī)定,嚴格限制移動設備在生產(chǎn)環(huán)境中的使用。生產(chǎn)環(huán)境中使用移動設備時應嚴格限制和監(jiān)督,如采取開辟有安防監(jiān)控的專門區(qū)域、屏幕錄像、專人陪同監(jiān)督、指定機房專用移動存儲設備、專用移動存儲設備使用情況登記等;6. 數(shù)據(jù)安全:根據(jù)信息的重要性和敏感程度進行分級,實行分級管理,參照相應的信息系統(tǒng)等級保護要求執(zhí)行;完善相關制度和流程,嚴格管理數(shù)據(jù)(特別是客戶信息)的采集、處理、存貯、傳輸、分發(fā)、備份、恢復、清理和銷毀;采用加密、數(shù)字證書等技術(shù)手段防范數(shù)據(jù)在傳輸、處理、存儲過程中出現(xiàn)泄露或被篡改的風險。不允許以明文方式存儲和傳送用戶密碼等涉密敏感信息。7. 安全檢查:組織進行年度信息安全檢查,并根據(jù)主管、監(jiān)管和我行工作要求,進行專項信息安全檢查,對檢查發(fā)現(xiàn)問題進行跟蹤、督導并落實整改。精選word范本!- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關 鍵 詞:
- 信息 安全 管理機制 報告
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經(jīng)上傳用戶書面授權(quán),請勿作他用。
鏈接地址:http://italysoccerbets.com/p-5401457.html