信用社（銀行）今年信息安全檢查方案

1、信用社（銀行）今年信息安全檢查方案為了解全省農(nóng)信社信息安全情況，進一步提高全省重要信息系統(tǒng)的安全管理和運行維護水平，省聯(lián)社信息科技中心（以下簡稱省中心）特制定此方案：一、總體要求各市農(nóng)信辦信息科技中心、濟源市農(nóng)信聯(lián)社信息科技中心（以下簡稱市中心），要站在維護社會安定和農(nóng)信社信譽的高度，充分認(rèn)識到做好農(nóng)信社今年信息安全檢查工作的重要性和迫切性，切實增強責(zé)任感。保障信息安全是考核科技工作的重要內(nèi)容之一，各單位要加強領(lǐng)導(dǎo)，精心組織，認(rèn)真落實，把工作做細、做實、做到位。通過檢查，使農(nóng)信社的重要信息系統(tǒng)安全風(fēng)險防范與運營維護能力取得明顯提高，切實保障全年特別是在奧運會期間全省農(nóng)信社重要信息系統(tǒng)安全穩(wěn)定運

2、行。二、檢查內(nèi)容本次檢查的主要內(nèi)容是：（一）重點檢查內(nèi)容：有關(guān)信息科技方面文件的貫徹落實情況、制度和管理是否缺位、設(shè)備和人員的單點運行風(fēng)險、冗余設(shè)備與備份數(shù)據(jù)的可用性、關(guān)鍵生產(chǎn)設(shè)備的運行可靠性、運行監(jiān)控和安全審計系統(tǒng)的有效性、安全防護設(shè)施的有效性、系統(tǒng)配置的合理性與安全性等。（二）具體檢查內(nèi)容：1.管理脆弱性。檢查下發(fā)文件執(zhí)行、組織建設(shè)、制度制訂、操作規(guī)程、文檔資料管理、崗位設(shè)置與職責(zé)分工、權(quán)限控制、執(zhí)行監(jiān)督、監(jiān)控機制等。2.技術(shù)脆弱性。檢查通信網(wǎng)絡(luò)線路、設(shè)備備份的有效性；檢查網(wǎng)絡(luò)接入、網(wǎng)間互聯(lián)、網(wǎng)絡(luò)設(shè)備配置參數(shù)、子網(wǎng)劃分以及子網(wǎng)間訪問控制措施的合理性與安全性；檢查機房供配電系統(tǒng)、空調(diào)系統(tǒng)、消

3、防系統(tǒng)、監(jiān)控系統(tǒng)、發(fā)電機、UPS以及接地、防雷等方面存在的薄弱環(huán)節(jié)和安全隱患；對服務(wù)器、存儲系統(tǒng)等重要設(shè)備進行一次深度健康檢查（包括補丁更新情況）；檢查國際互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的安全配置、訪問控制措施、邊界防護安全強度等，對商業(yè)網(wǎng)站定期進行滲透性攻擊檢查，及時修補漏洞，防范網(wǎng)站漏洞被攻擊利用或頁面被篡改；檢查運維監(jiān)控系統(tǒng)的有效性，保證具備應(yīng)有的隱患發(fā)現(xiàn)和預(yù)警能力；檢查安全防護設(shè)施的有效性，主要檢查PKI/CA設(shè)施、傳輸與存儲加密、防病毒、防火墻、補丁管理、入侵檢測、安全網(wǎng)關(guān)、安全審計以及服務(wù)端口的關(guān)閉情況；檢查金融專用和非金融專用計算機的保密管理、移動存儲介質(zhì)的管理使用情況等。三、檢查方式和時間安排

4、本次檢查采取市中心先進行自查和整改，再由省中心組織檢查組進行檢查（或抽查）的方式。具體安排是：（一）自查階段（7月1日至10日）市中心按照方案要求，認(rèn)真組織開展本單位和轄內(nèi)縣級聯(lián)社安全運營自查工作，如實填寫有關(guān)表格（附件1-5）和編寫自查報告，對發(fā)現(xiàn)的問題進行徹底整改，并于7月10日前將有關(guān)表格和自查報告上報省中心。（二）檢查（抽查）階段（7月11日至20日）由省中心組織檢查小組開展全面信息安全檢查（抽查）工作，對市中心的檢查和整改情況進行核實和復(fù)查，認(rèn)真填寫復(fù)查結(jié)果（附件1-5）和編寫檢查報告，并于7月20日前上報省中心。（三）總結(jié)整改階段（7月20日到7月30日）省中心將根據(jù)檢查（抽查）情

5、況，對各市存在的問題進行匯總和通報。市中心對發(fā)現(xiàn)的安全隱患必須在7月底前完成整改，并于7月25日前將整改方案上報省中心審查。存在問題的市整改前要制定周密的整改計劃和可行性方案，對重大生產(chǎn)性變更整改應(yīng)做好充分測試，防止引發(fā)新的安全風(fēng)險。四、檢查（抽查）范圍本次檢查（抽查）的范圍是市農(nóng)信辦信息科技中心、縣聯(lián)社信息科技中心、部分（所轄營業(yè)網(wǎng)點的10%左右）對社會影響較大的營業(yè)網(wǎng)點。五、檢查（抽查）方式本次檢查（抽查）的方式是： （一）省中心檢查組聽取被檢查單位信息安全情況的工作匯報。（二）省中心檢查組進 入現(xiàn)場檢查。針對在檢查中發(fā)現(xiàn)的問題，要了解實情，做好筆錄，填寫信息安全檢查情況表。填寫的安全檢查

6、情況表必須有被檢查單位的簽章認(rèn)可。（三）針對查出的問題，檢查組要向被檢查單位提出整改意見或建議。六、檢查依據(jù)本次信息安全檢查的主要依據(jù)是：（一）河南省農(nóng)村信用社計算機機房建設(shè)規(guī)范（豫農(nóng)信科20063號）。（三）河南省農(nóng)村信用社計算機系統(tǒng)安全管理辦法（試行）（豫農(nóng)信科20065號）。（四）河南省農(nóng)村信用社計算機生產(chǎn)運行管理辦法（試行）（豫農(nóng)信科20067號）。（五）河南省農(nóng)村信用社聯(lián)合社信息科技中心生產(chǎn)系統(tǒng)主機密碼管理辦法（豫農(nóng)信科20068號）。（六）省聯(lián)社（省中心）下發(fā)的有關(guān)信息科技方面的文件。七、有關(guān)要求（一）加強領(lǐng)導(dǎo)，精心組織。信息安全管理工作關(guān)系到農(nóng)信社數(shù)據(jù)安全和業(yè)務(wù)正常運行，各級領(lǐng)導(dǎo)

7、要充分認(rèn)識到這次檢查工作的重要性和必要性，精心組織好這次檢查工作。針對這次檢查，市中心要成立由分管主任任組長的檢查工作領(lǐng)導(dǎo)小組，認(rèn)真組織本單位和轄內(nèi)各單位做好自查工作，并集中力量進行檢查。通過檢查，全面掌握農(nóng)信社信息系統(tǒng)建設(shè)現(xiàn)狀以及相關(guān)規(guī)章制度制訂貫徹執(zhí)行情況，及時發(fā)現(xiàn)并堵塞安全漏洞，防范計算機犯罪和各類事故的發(fā)生，確保計算機信息系統(tǒng)安全、穩(wěn)定、高效運行。（二）檢查人員在檢查工作中要堅持“實事求是、客觀公正”的原則，真實反映被檢查單位的計算機制度建立、執(zhí)行和運行安全等情況。按照“誰檢查、誰負責(zé)”的要求，對檢查中發(fā)現(xiàn)的問題，要及時提出整改意見和建議。對檢查不認(rèn)真或檢查后對問題避重就輕、隱瞞不報，形成安全隱患的，省聯(lián)社將從嚴(yán)追究有關(guān)人員的責(zé)任。同時，檢查中還要積極收集基層的意見和建議，為改進全省農(nóng)信社的信息系統(tǒng)管理工作提供參考。（三）認(rèn)真寫好自查報告和檢查報告。報告的主要內(nèi)容包括：基本情況、組