信息安全管理機制報告

XX村鎮(zhèn)銀行信息安全管理機制報告根據中國人民銀行有關文件要求，我行嚴格執(zhí)行科技信息安全管理的有關制度，認真履行信息安全工作，部署我行上下積極開展信息安全管理工作，我行高度重視此項工作，認真學習相關文件內容，結合我際現(xiàn)將我行信息安全管理機制報告如下：一、信息安全標準在我行信息科技制度體系框架和制度名錄基礎上，對全行的信息科技流程進行梳理，借鑒科學的、國際通用的方法、模型和工具，找出管理流程中存在的風險點，從防范風險、提高效率的角度優(yōu)化、完善信息科技管理制度，并建立相應的信息安全技術管理標準。信息科技管理制度的內容涵蓋信息科技治理、信息科技風險管理、信息安全、信息系統(tǒng)開發(fā)、測試和維護、信息科技運行、業(yè)務連續(xù)性管理、外包、內部審計、外部審計9個方面，具體內容包括信息科技組織管理、培訓、報告、風險管理、風險評估管理、風險計量監(jiān)測、信息安全管理、信息系統(tǒng)檢查管理、用戶認證和訪問控制、網絡安全、操作系統(tǒng)管理、生產系統(tǒng)日志管理、加密管理、設備管理、數據安全、項目管理、規(guī)劃管理、需求管理、軟件開發(fā)管理、測試管理、變更管理、問題缺陷管理、版本管理、質量管理、運行管理、機房管理、軟硬件運行維護、網絡運行維護、監(jiān)控、應急管理及處置、外包管理、審計管理等內容。信息安全技術管理標準的內容包括物理安全、網絡安全、主機安全、應用安全、數據安全等方面的內容。二、信息科技風險管理實施策略按照銀行信息科技風險應對策略的四個維度，在治理上，落實信息科技風險管理模型；在流程上，對現(xiàn)有信息科技制度體系進行梳理、完善，并根據本策略要求更新、補充；在人員上，充實信息技術人員，加強人員專業(yè)技能和信息科技風險管理知識培訓，防范關鍵人員流失風險；在技術上，通過信息安全技術手段和措施，從物理安全、網絡安全、應用安全、數據安全等方面出發(fā)，強化信息科技風險管控。（一）信息科技風險管理體系通過進一步完善我行的信息科技風險管理體系，了解和分析全行信息科技風險情況、全面展開信息科技風險管理工作，初步實現(xiàn)信息科技風險全周期管理，逐步將信息科技風險管理納入銀行全面風險管理中。在全行信息科技風險管理策略的基礎上，信息科技風險管理體系重點包括落實信息科技風險治理模型、信息科技戰(zhàn)略規(guī)劃審核與修訂、建立信息科技風險監(jiān)測機制、完善風險監(jiān)督和報告制度，并評估《指引》在我行的貫徹落實情況等方面。（二）落實信息科技風險治理模型按照《指引》要求，“設立或指派一個特定部門負責信息科技風險管理工作”，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構，由科技信息部管理，對非運行人員一事一授權；（二）網絡安全方面1.訪問控制安全：進一步完善應用系統(tǒng)權限管理制度，所有的權限變更均嚴格按照授權審批流程進行，發(fā)生人員離職、崗位變動時及時對其權限進行更新維護；對所有重要信息系統(tǒng)建立訪問控制策略，所有的授權均嚴格按照授權審批流程進行；制定密碼安全策略；禁止外部機構在本機構外的場所訪問或使用重要信息系統(tǒng)的交易日志；每年至少進行一次滲透性測試并編寫滲透性測試報告；（三）安全保護區(qū)域方面1.應用安全：進行電子銀行系統(tǒng)的安全評估，完善系統(tǒng)交易處理和客戶端安全防護手段，對高風險交易采用雙因素的認證方式，并建立代碼安全檢測制度，加強電子銀行風險監(jiān)控；2.系統(tǒng)軟件安全：通過制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求；制定最高權限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權限用戶的操作日志被記錄和監(jiān)察；定期檢查可用的安全補丁，并報告補丁管理狀態(tài)；在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關重要事項。3.網絡安全：進一步完善生產網入侵檢測/防御系統(tǒng)和非法入侵事件的甄別、處理、報告流程；加強網絡監(jiān)控并編制網絡監(jiān)控數據分析報告；將網絡劃分為不同的邏輯安全域，根據域的性質定義生產域或測試域、內部域或外部域，結合不同域之間的連通性和域的可信程度等，對整個網絡進行物理或邏輯分區(qū)；進一步加強內部區(qū)域間邊界安全措施、外聯(lián)網邊界安全措施、互聯(lián)網邊界安全措施、網絡設備遠程訪問管理措施等；定期進行漏洞掃描；采取拉網式檢查等形式，提高全行WINDOWS系統(tǒng)防病毒軟件安裝覆蓋率，完善病毒庫升級策略和掃描策略,確保病毒特征碼的及時更新和升級；在全行部署網絡接入認證系統(tǒng)，采取集中部署、分權管理的模式，通過與防病毒系統(tǒng)、補丁系統(tǒng)的聯(lián)動，加強對全行內部網接入用戶的安全管理；4.終端安全：定期對所有設備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）、電話自助終端支農便民終端、萬村千鄉(xiāng)終端、移動營銷終端和個人數字助理（PDA）等，確保所有終端用戶設備的安全；5.移動安全：完善移動設備安全使用規(guī)定，嚴格限制移動設備在生產環(huán)境中的使用。生產環(huán)境中使用移動設備時應嚴格限制和監(jiān)督，如采取開辟有安防監(jiān)控的專門區(qū)域、屏幕錄像、專人陪同監(jiān)督、指定機房專用移動存儲設備、專用移動存儲設備使用情況登記等；6.數據安全：根據信息的重要性和敏感程度進行分級，實行分級管理，參照相應的信息系統(tǒng)等級保護要求執(zhí)行；完善相關制度和流程，嚴格管理數據（特別是客戶信息）的采集、處理、存貯、傳輸、分發(fā)、備份、恢復、清理和銷毀；采用加密、數字證書等技術手段防范數據在