信息安全管理機(jī)制報(bào)告

XX村鎮(zhèn)銀行信息安全管理機(jī)制報(bào)告根據(jù)中國人民銀行有關(guān)文件要求，我行嚴(yán)格執(zhí)行科技信息安全管理的有關(guān)制度，認(rèn)真履行信息安全工作，部署我行上下積極開展信息安全管理工作，我行高度重視此項(xiàng)工作，認(rèn)真學(xué)習(xí)相關(guān)文件內(nèi)容，結(jié)合我際現(xiàn)將我行信息安全管理機(jī)制報(bào)告如下：一、信息安全標(biāo)準(zhǔn)在我行信息科技制度體系框架和制度名錄基礎(chǔ)上，對全行的信息科技流程進(jìn)行梳理，借鑒科學(xué)的、國際通用的方法、模型和工具，找出管理流程中存在的風(fēng)險(xiǎn)點(diǎn)，從防范風(fēng)險(xiǎn)、提高效率的角度優(yōu)化、完善信息科技管理制度，并建立相應(yīng)的信息安全技術(shù)管理標(biāo)準(zhǔn)。信息科技管理制度的內(nèi)容涵蓋信息科技治理、信息科技風(fēng)險(xiǎn)管理、信息安全、信息系統(tǒng)開發(fā)、測試和維護(hù)、信息科技運(yùn)行、業(yè)務(wù)連續(xù)性管理、外包、內(nèi)部審計(jì)、外部審計(jì)9個(gè)方面，具體內(nèi)容包括信息科技組織管理、培訓(xùn)、報(bào)告、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評估管理、風(fēng)險(xiǎn)計(jì)量監(jiān)測、信息安全管理、信息系統(tǒng)檢查管理、用戶認(rèn)證和訪問控制、網(wǎng)絡(luò)安全、操作系統(tǒng)管理、生產(chǎn)系統(tǒng)日志管理、加密管理、設(shè)備管理、數(shù)據(jù)安全、項(xiàng)目管理、規(guī)劃管理、需求管理、軟件開發(fā)管理、測試管理、變更管理、問題缺陷管理、版本管理、質(zhì)量管理、運(yùn)行管理、機(jī)房管理、軟硬件運(yùn)行維護(hù)、網(wǎng)絡(luò)運(yùn)行維護(hù)、監(jiān)控、應(yīng)急管理及處置、外包管理、審計(jì)管理等內(nèi)容。信息安全技術(shù)管理標(biāo)準(zhǔn)的內(nèi)容包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面的內(nèi)容。二、信息科技風(fēng)險(xiǎn)管理實(shí)施策略按照銀行信息科技風(fēng)險(xiǎn)應(yīng)對策略的四個(gè)維度，在治理上，落實(shí)信息科技風(fēng)險(xiǎn)管理模型；在流程上，對現(xiàn)有信息科技制度體系進(jìn)行梳理、完善，并根據(jù)本策略要求更新、補(bǔ)充；在人員上，充實(shí)信息技術(shù)人員，加強(qiáng)人員專業(yè)技能和信息科技風(fēng)險(xiǎn)管理知識培訓(xùn)，防范關(guān)鍵人員流失風(fēng)險(xiǎn)；在技術(shù)上，通過信息安全技術(shù)手段和措施，從物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等方面出發(fā)，強(qiáng)化信息科技風(fēng)險(xiǎn)管控。（一）信息科技風(fēng)險(xiǎn)管理體系通過進(jìn)一步完善我行的信息科技風(fēng)險(xiǎn)管理體系，了解和分析全行信息科技風(fēng)險(xiǎn)情況、全面展開信息科技風(fēng)險(xiǎn)管理工作，初步實(shí)現(xiàn)信息科技風(fēng)險(xiǎn)全周期管理，逐步將信息科技風(fēng)險(xiǎn)管理納入銀行全面風(fēng)險(xiǎn)管理中。在全行信息科技風(fēng)險(xiǎn)管理策略的基礎(chǔ)上，信息科技風(fēng)險(xiǎn)管理體系重點(diǎn)包括落實(shí)信息科技風(fēng)險(xiǎn)治理模型、信息科技戰(zhàn)略規(guī)劃審核與修訂、建立信息科技風(fēng)險(xiǎn)監(jiān)測機(jī)制、完善風(fēng)險(xiǎn)監(jiān)督和報(bào)告制度，并評估《指引》在我行的貫徹落實(shí)情況等方面。（二）落實(shí)信息科技風(fēng)險(xiǎn)治理模型按照《指引》要求，“設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作”，形成分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)，由科技信息部管理，對非運(yùn)行人員一事一授權(quán)；（二）網(wǎng)絡(luò)安全方面1.訪問控制安全：進(jìn)一步完善應(yīng)用系統(tǒng)權(quán)限管理制度，所有的權(quán)限變更均嚴(yán)格按照授權(quán)審批流程進(jìn)行，發(fā)生人員離職、崗位變動時(shí)及時(shí)對其權(quán)限進(jìn)行更新維護(hù)；對所有重要信息系統(tǒng)建立訪問控制策略，所有的授權(quán)均嚴(yán)格按照授權(quán)審批流程進(jìn)行；制定密碼安全策略；禁止外部機(jī)構(gòu)在本機(jī)構(gòu)外的場所訪問或使用重要信息系統(tǒng)的交易日志；每年至少進(jìn)行一次滲透性測試并編寫滲透性測試報(bào)告；（三）安全保護(hù)區(qū)域方面1.應(yīng)用安全：進(jìn)行電子銀行系統(tǒng)的安全評估，完善系統(tǒng)交易處理和客戶端安全防護(hù)手段，對高風(fēng)險(xiǎn)交易采用雙因素的認(rèn)證方式，并建立代碼安全檢測制度，加強(qiáng)電子銀行風(fēng)險(xiǎn)監(jiān)控；2.系統(tǒng)軟件安全：通過制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求；制定最高權(quán)限系統(tǒng)賬戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察；定期檢查可用的安全補(bǔ)丁，并報(bào)告補(bǔ)丁管理狀態(tài)；在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項(xiàng)。3.網(wǎng)絡(luò)安全：進(jìn)一步完善生產(chǎn)網(wǎng)入侵檢測/防御系統(tǒng)和非法入侵事件的甄別、處理、報(bào)告流程；加強(qiáng)網(wǎng)絡(luò)監(jiān)控并編制網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)分析報(bào)告；將網(wǎng)絡(luò)劃分為不同的邏輯安全域，根據(jù)域的性質(zhì)定義生產(chǎn)域或測試域、內(nèi)部域或外部域，結(jié)合不同域之間的連通性和域的可信程度等，對整個(gè)網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)；進(jìn)一步加強(qiáng)內(nèi)部區(qū)域間邊界安全措施、外聯(lián)網(wǎng)邊界安全措施、互聯(lián)網(wǎng)邊界安全措施、網(wǎng)絡(luò)設(shè)備遠(yuǎn)程訪問管理措施等；定期進(jìn)行漏洞掃描；采取拉網(wǎng)式檢查等形式，提高全行WINDOWS系統(tǒng)防病毒軟件安裝覆蓋率，完善病毒庫升級策略和掃描策略,確保病毒特征碼的及時(shí)更新和升級；在全行部署網(wǎng)絡(luò)接入認(rèn)證系統(tǒng)，采取集中部署、分權(quán)管理的模式，通過與防病毒系統(tǒng)、補(bǔ)丁系統(tǒng)的聯(lián)動，加強(qiáng)對全行內(nèi)部網(wǎng)接入用戶的安全管理；4.終端安全：定期對所有設(shè)備進(jìn)行安全檢查，包括臺式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷售終端（POS）、電話自助終端支農(nóng)便民終端、萬村千鄉(xiāng)終端、移動營銷終端和個(gè)人數(shù)字助理（PDA）等，確保所有終端用戶設(shè)備的安全；5.移動安全：完善移動設(shè)備安全使用規(guī)定，嚴(yán)格限制移動設(shè)備在生產(chǎn)環(huán)境中的使用。生產(chǎn)環(huán)境中使用移動設(shè)備時(shí)應(yīng)嚴(yán)格限制和監(jiān)督，如采取開辟有安防監(jiān)控的專門區(qū)域、屏幕錄像、專人陪同監(jiān)督、指定機(jī)房專用移動存儲設(shè)備、專用移動存儲設(shè)備使用情況登記等；6.數(shù)據(jù)安全：根據(jù)信息的重要性和敏感程度進(jìn)行分級，實(shí)行分級管理，參照相應(yīng)的信息系統(tǒng)等級保護(hù)要求執(zhí)行；完善相關(guān)制度和流程，嚴(yán)格管理數(shù)據(jù)（特別是客戶信息）的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀；采用加密、數(shù)字證書等技術(shù)手段防范數(shù)據(jù)在