信息安全管理機制報告

1、XX村鎮(zhèn)銀行信息安全管理機制報告根據(jù)中國人民銀行有關(guān)文件要求，我行嚴格執(zhí)行科技信息安全管理的有關(guān)制度，認真履行信息安全工作，部署我行上下積極開展信息安全管理工作，我行高度重視此項工作，認真學(xué)習(xí)相關(guān)文件內(nèi)容，結(jié)合我行實際現(xiàn)將我行信息安全管理機制報告如下：一、信息安全標準在我行信息科技制度體系框架和制度名錄基礎(chǔ)上，對全行的信息科技流程進行梳理，借鑒科學(xué)的、國際通用的方法、模型和工具，找出管理流程中存在的風(fēng)險點，從防范風(fēng)險、提高效率的角度優(yōu)化、完善信息科技管理制度，并建立相應(yīng)的信息安全技術(shù)管理標準。信息科技管理制度的內(nèi)容涵蓋信息科技治理、信息科技風(fēng)險管理、信息安全、信息系統(tǒng)開發(fā)、測試和維護、信息科技

2、運行、業(yè)務(wù)連續(xù)性管理、外包、內(nèi)部審計、外部審計9 個方面，具體內(nèi)容包括信息科技組織管理、培訓(xùn)、報告、風(fēng)險管理、風(fēng)險評估管理、風(fēng)險計量監(jiān)測、信息安全管理、信息系統(tǒng)檢查管理、用戶認證和訪問控制、網(wǎng)絡(luò)安全、操作系統(tǒng)管理、生產(chǎn)系統(tǒng)日志管理、加密管理、設(shè)備管理、數(shù)據(jù)安全、項目管理、規(guī)劃管理、需求管理、軟件開發(fā)管理、測試管理、變更管理、問題缺陷管理、版本管理、質(zhì)量管理、運行管理、機房管理、軟硬件運行維護、網(wǎng)絡(luò)運行維護、監(jiān)控、應(yīng)急管理及處置、外包管理、審計管理等內(nèi)容。信息安全技術(shù)管理標準的內(nèi)容包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等方面的內(nèi)容。二、信息科技風(fēng)險管理實施策略按照銀行信息科技風(fēng)險應(yīng)

3、對策略的四個維度，在治理上，落實信息科技風(fēng)險管理模型；在流程上，對現(xiàn)有信息科技制度體系進行梳理、完善，并根據(jù)本策略要求更新、補充；在人員上，充實信息技術(shù)人員，加強人員專業(yè)技能和信息科技風(fēng)險管理知識培訓(xùn)，防范關(guān)鍵人員流失風(fēng)險；在技術(shù)上，通過信息安全技術(shù)手段和措施，從物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等方面出發(fā)，強化信息科技風(fēng)險管控。（一） 信息科技風(fēng)險管理體系通過進一步完善我行的信息科技風(fēng)險管理體系，了解和分析全行信息科技風(fēng)險情況、全面展開信息科技風(fēng)險管理工作，初步實現(xiàn)信息科技風(fēng)險全周期管理，逐步將信息科技風(fēng)險管理納入銀行全面風(fēng)險管理中。在全行信息科技風(fēng)險管理策略的基礎(chǔ)上， 信息科技風(fēng)險管理

4、體系重點包括落實信息科技風(fēng)險治理模型、信息科技戰(zhàn)略規(guī)劃審核與修訂、建立信息科技風(fēng)險監(jiān)測機制、完善風(fēng)險監(jiān)督和報告制度，并評估指引在我行的貫徹落實情況等方面。（二）落實信息科技風(fēng)險治理模型按照指引要求，“設(shè)立或指派一個特定部門負責(zé)信息科技風(fēng)險管理工作”，形成分工合理、職責(zé)明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)，由科技信息部門具體負責(zé)信息科技風(fēng)險管理，合規(guī)風(fēng)險部（信息科技風(fēng)險管理部門）負責(zé)信息科技風(fēng)險管理工作的統(tǒng)籌、支持和督促工作，審計部門負責(zé)對信息科技風(fēng)險管理體系運行的有效性進行評估，構(gòu)建信息科技風(fēng)險管理“三道防線”，滿足監(jiān)管部門的要求。（三）信息科技戰(zhàn)略規(guī)劃審核與修訂信息科技管理委員

5、會對銀行信息科技戰(zhàn)略規(guī)劃進行審核，重點關(guān)注信息科技戰(zhàn)略與全行業(yè)務(wù)戰(zhàn)略的一致性，信息科技戰(zhàn)略與目前全行信息科技化建設(shè)情況和發(fā)展方向一致性，配置足夠人力、財力資源，保持穩(wěn)定、安全的信息科技環(huán)境。相關(guān)部門根據(jù)審核意見對信息科技戰(zhàn)略規(guī)劃進行修訂。修訂后的信息科技戰(zhàn)略規(guī)劃內(nèi)容至少應(yīng)包括：1. 信息科技管理組織和制度建設(shè)規(guī)劃；2. 信息科技基礎(chǔ)架構(gòu)規(guī)劃；3. 信息科技應(yīng)用架構(gòu)規(guī)劃；4. 信息科技人力資源配置規(guī)劃；5. 信息科技產(chǎn)品開發(fā)計劃；6. 信息科技服務(wù)水平建設(shè)計劃；7. 信息科技風(fēng)險管理政策。（四）建立信息科技風(fēng)險評價指標體系依據(jù)監(jiān)管機構(gòu)要求，以指引為主，同時借鑒ISO27001、COBIT、COS

6、O、ITIL、等級保護、五部委企業(yè)內(nèi)部控制規(guī)范等國內(nèi)外相關(guān)標準與金融業(yè)最佳實踐，結(jié)合我行實際，形成我行信息科技風(fēng)險評價指標體系。信息科技風(fēng)險評價指標體系涵蓋以下方面：信息科技治理、信息科技風(fēng)險管理、信息安全、信息系統(tǒng)開發(fā)、測試和維護、信息科技運行、業(yè)務(wù)連續(xù)性管理、外包、審計（內(nèi)部審計和外部審計）。（五）完善風(fēng)險報告和監(jiān)督機制完善全行信息科技風(fēng)險報告體系，明確全行信息科技風(fēng)險事件匯報、響應(yīng)和處置機制，加強業(yè)務(wù)管理部門、科技信息部門、信息科技風(fēng)險管理部門、管理層、董事會之間的溝通和協(xié)調(diào)，規(guī)范、統(tǒng)一與監(jiān)管機構(gòu)、外部其它方面（如媒體）的溝通機制，建立清晰的與內(nèi)、外部溝通（或報告）路線。建立以風(fēng)險控制、

7、風(fēng)險評估、風(fēng)險審計三個層面的全行信息科技風(fēng)險報告和監(jiān)督機制，即：· 風(fēng)險控制：科技信息部門應(yīng)定期（至少每年一次）負責(zé)本行數(shù)據(jù)中心信息科技風(fēng)險的自我評估，并將評估結(jié)果上報信息科技風(fēng)險管理部門；在發(fā)生重要或重大事件時，必須根據(jù)相關(guān)規(guī)定及時上報；·風(fēng)險管理：合規(guī)風(fēng)險部（信息科技風(fēng)險管理部門）負責(zé)組織和實施全行信息科技風(fēng)險總體評估和監(jiān)控，并負責(zé)總結(jié)全行年度信息科技風(fēng)險管理情況，形成年度信息科技風(fēng)險管理報告報董事會。年度報告同時作為年度風(fēng)險管理情況報告組成部分之一；· 風(fēng)險審計：審計部門在信息科技風(fēng)險評估的基礎(chǔ)上，至少每三年進行一次全面地信息科技審計，形成銀行信息科技風(fēng)險管

8、理審計報告報董事會或監(jiān)事會審定。同時，對于信息科技管理的特殊或重大事件（或事故），審計部門應(yīng)當(dāng)進行不定期的專項審計或提出專項意見。（六）評估指引在我行的貫徹落實情況根據(jù)我行信息科技風(fēng)險管理體系建設(shè)情況，以指引為準繩，以信息科技風(fēng)險管理體系為基礎(chǔ)，利用信息科技風(fēng)險監(jiān)測指標體系，全面評估指引在銀行的貫徹落實情況，并形成<指引>落實情況報告。評估對象包括全行信息科技風(fēng)險管理開展的主要工作、各工作的分類描述、工作標準、計劃時限的實現(xiàn)情況（包括已落實項、部分落實項及跟進計劃、未落實項及原因）等。三、信息分類及保護體系方面（一）網(wǎng)絡(luò)安全方面1. 物理和環(huán)境安全：加強支撐性基礎(chǔ)設(shè)施、數(shù)據(jù)中心等的

9、安全管理；對機房的物理環(huán)境和數(shù)據(jù)保存環(huán)境控制進行檢查和評估，包括：溫濕度控制、UPS、門禁控制、消防、防水、防磁、防雷、防盜、防鼠、逃生通道、抗震能力等；所有生產(chǎn)設(shè)備、開發(fā)設(shè)備、測試設(shè)備之間相互物理或邏輯分離；所有機房設(shè)立門禁系統(tǒng)；進一步加強數(shù)據(jù)中心機房進出管理，對非運行人員一事一授權(quán)；（二）網(wǎng)絡(luò)安全方面1. 訪問控制安全：進一步完善應(yīng)用系統(tǒng)權(quán)限管理制度，所有的權(quán)限變更均嚴格按照授權(quán)審批流程進行，發(fā)生人員離職、崗位變動時及時對其權(quán)限進行更新維護；對所有重要信息系統(tǒng)建立訪問控制策略，所有的授權(quán)均嚴格按照授權(quán)審批流程進行；制定密碼安全策略；禁止外部機構(gòu)在本機構(gòu)外的場所訪問或使用重要信息系統(tǒng)的交易日

10、志；每年至少進行一次滲透性測試并編寫滲透性測試報告；（三）安全保護區(qū)域方面1. 應(yīng)用安全：進行電子銀行系統(tǒng)的安全評估，完善系統(tǒng)交易處理和客戶端安全防護手段，對高風(fēng)險交易采用雙因素的認證方式，并建立代碼安全檢測制度，加強電子銀行風(fēng)險監(jiān)控；2. 系統(tǒng)軟件安全：通過制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求；制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察；定期檢查可用的安全補丁，并報告補丁管理狀態(tài)；在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項。3. 網(wǎng)絡(luò)安全：進一步完善生產(chǎn)網(wǎng)入侵檢測/防御系統(tǒng)和非法入侵事

11、件的甄別、處理、報告流程；加強網(wǎng)絡(luò)監(jiān)控并編制網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)分析報告；將網(wǎng)絡(luò)劃分為不同的邏輯安全域，根據(jù)域的性質(zhì)定義生產(chǎn)域或測試域、內(nèi)部域或外部域，結(jié)合不同域之間的連通性和域的可信程度等，對整個網(wǎng)絡(luò)進行物理或邏輯分區(qū)；進一步加強內(nèi)部區(qū)域間邊界安全措施、外聯(lián)網(wǎng)邊界安全措施、互聯(lián)網(wǎng)邊界安全措施、網(wǎng)絡(luò)設(shè)備遠程訪問管理措施等；定期進行漏洞掃描；采取拉網(wǎng)式檢查等形式，提高全行WINDOWS 系統(tǒng)防病毒軟件安裝覆蓋率，完善病毒庫升級策略和掃描策略, 確保病毒特征碼的及時更新和升級；在全行部署網(wǎng)絡(luò)接入認證系統(tǒng)，采取集中部署、分權(quán)管理的模式，通過與防病毒系統(tǒng)、補丁系統(tǒng)的聯(lián)動，加強對全行內(nèi)部網(wǎng)接入用戶的安全管理；4. 終端安全：定期對所有設(shè)備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）、電話自助終端支農(nóng)便民終端、萬村千鄉(xiāng)終端、移動營銷終端和個人數(shù)字助理（PDA）等，確保所有終端用戶設(shè)備的安全；5. 移動安全：完善移動設(shè)備安全使用規(guī)定，嚴格限制移動設(shè)備在生產(chǎn)環(huán)境中的使用。生產(chǎn)環(huán)境中使用移動設(shè)備時應(yīng)嚴格限制和監(jiān)督，如采取開辟有安防監(jiān)控的專門區(qū)域、屏幕錄像、專人陪同監(jiān)督、指定機房專用移動存儲設(shè)備、專用移動存儲設(shè)備使用情況登記等；6. 數(shù)據(jù)安全：根據(jù)信息的重要性和敏感程度進行分級，實行分級管理，參照相應(yīng)的信息系統(tǒng)等級保護要求執(zhí)行