第一篇:数据保护这一块按照等保有关要求
数据保护这一块按照等保有关要求,分系统描述。数据备份的规则是一样的 下面有描述:
加密存储方面 数据库层面是对密码等关键字段做了加密存储。
互联网应用系统防泄密应对方案
1)系统架构层面,互联网WEB应用服务器都部署在DMZ区,只向互联网客户端提供接入服务,不存放数据。2)在应用架构层面,针对敏感信息采取加密传输和加密存储的方式,确保信息的安全性。
3)在业务规则层面,互联网应用系统上线前都经过行方和第三方安全服务公司的安全评估,对输入内容和上传内容通过内容校验和文件校验规避SQL注入风险和木马植入风险,确保业务规则的合理性和安全性。
4)在客户端安全层面,网银系统采用二代KEY进行登录认证,移动客户端集成了防界面劫持SDK。
5)手机银行客户开户需要到营业室面签,并关联客户的账户信息和手机号码,在动账交易时以短信的方式发送验证码至客户的签约手机上。
6)通过外包合同授权第三方安全服务厂商在我行移动客户端发布前进行安全加固服务。针对安卓客户端通过对编译后的客户端进行安全加壳规避客户端被破解的风险,针对IOS客户端,通过源代码混淆技术防止源代码泄露风险。
我行重要数据主要涉及核心账务数据、业务交易数据、用户敏感信息以及重要的其他数据等部分。目前对于这些数据的存储,我行主要采取的安全防护措施是分级别分区分域存储、在传输过程中采用校验方式来保障数据的安全性、完整性。
目前,我行对于最重要的核心数据库的存储采用的方法是单独启用两台日立高端存储阵列配置为双机实时同步的方式进行数据存储。核心部分的所有数据都有两份实时存在于存储阵列中。同时对于核心数据库的存储还采用了昆腾硬件物理带库的方法备份于昆腾的高端带库中,保障了数据的安全可靠,此外还将核心数据库的数据通过远程数据库复制技术实时同步到异机的数据库中进行脱离生产主机的数据保护。传输过程则通过带库软件的传输校验和数据库远程复制的校验来保障数据的传输准确性,保障实际存储的数据的可用性。
我行核心业务系统在软件和硬件方面都部署了密码相关应用软件和设备:密码应用软件方面,采用密码加密保护构件;在密码设备方面,部署了江南科友sjl06e金融数据加密机和吉大正元签名服务器。相关软硬件,采用DES和3DES等数据加密算法,为核心系统提供了密钥管理、消息验证、数据加密等安全的密码服务,保证数据从产生、传输、接收、处理到存储整个过程的安全性、有效性、完整性、不可抵赖性等安全问题。
我行已于2016年9月建设完成《银行卡国密改造项目》,该项目将国密SM4算法应用在IC银联卡业务中,实现了商用密码国产化的在我行的应用案例,满足监管要求,后续我行将按照主管部门要求,在全行各重要系统推行国密应用。
我行重要数据主要涉及核心账务数据、业务交易数据、用户敏感信息以及重要的其他数据等部分。目前对于这些数据的存储,我行主要采取的安全防护措施是分级别分区分域存储、在传输过程中采用校验方式来保障数据的安全性、完整性。
目前,我行对于最重要的核心数据库的存储采用的方法是单独启用两台日立高端存储阵列配置为双机实时同步的方式进行数据存储。核心部分的所有数据都有两份实时存在于存储阵列中。同时对于核心数据库的存储还采用了昆腾硬件物理带库的方法备份于昆腾的高端带库中,保障了数据的安全可靠,此外还将核心数据库的数据通过远程数据库复制技术实时同步到异机的数据库中进行脱离生产主机的数据保护。传输过程则通过带库软件的传输校验和数据库远程复制的校验来保障数据的传输准确性,保障实际存储的数据的可用性。
我行核心业务系统在软件和硬件方面都部署了密码相关应用软件和设备:密码应用软件方面,采用密码加密保护构件;在密码设备方面,部署了江南科友sjl06e金融数据加密机和吉大正元签名服务器。相关软硬件,采用DES和3DES等数据加密算法,为核心系统提供了密钥管理、消息验证、数据加密等安全的密码服务,保证数据从产生、传输、接收、处理到存储整个过程的安全性、有效性、完整性、不可抵赖性等安全问题。
我行在与人民银行、支付宝等外联单位互联采用天融信的VPN安全设备接入,对数据链路采用3DES加密算法,加强了信息传输过程中的安全防范,切实保障了信息通讯安全。
我行银行卡业务系统部署了4台江南科友sjl06e金融数据加密机,采用3DES数据加密算法,实现了交易数据加密保护、密钥管理等密码安全服务,保证数据从产生、传输、接收、处理到存储整个过程的安全性、有效性、完整性、不可抵赖性等安全问题。网络通讯的安全性方面,网上银行系统部署了2台信安世纪的应用安全网关NSAE2500,采用了加密传输交易信息的措施,使用最广泛的SSL数据加密协议。保证了数据传输的机密性和完整性。在用户的身份认证上依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。我行部署了2台信安世纪数字签名服务器NetSign-E进行签名验签。USBKEY采用飞天诚信生产的二代USBKEY,并且根据国家密码管理局下发的《关于做好公钥密码算法升级工作的通知》,我行已对CA系统密钥升级为RSA2048位,二代USBKEY均采用RSA2048位证书,规避了RSA1024位密钥可能带来的安全风险。
我行二代支付系统部署了2台信安世纪NetSign 3000数字签名服务器进行签名验签,2台兴唐SJL10密押机负责人行一代大小额支付业务的加押解押,2台信雅达SJL1111数据密押机负责城商行清算中心承兑汇票、本票业务的加押解押,以上设备均采用3DES数据加密算法,实现了交易数据加密保护、密钥管理等密码安全服务,保证数据从产生、传输、接收、处理到存储整个过程的安全性、有效性、完整性、不可抵赖性等安全问题。
一、按照监管要求,成立了国产密码推广领导小组 2015年下半年,经我行2015年第11次行长办公会审议通过,决定成立“宁夏银行国产密码推广工作领导小组”,负责制定全行国产密码推广工作目标和计划,监督各部门工作完成情况,统一协调国产密码推进过程中所需的各类资源,确保国产密码推进工作顺利进行。领导小组办公室设在总行信息技术部,组织架构如下: 组 长:居光华(副行长)
副组长:崔彦刚(信息技术部总经理)成 员:总行信息技术部、个人业务部、运营管理部、网络金融部、信用卡中心、机构发展部主要负责人。
二、按照监管计划,完成了国密改造任务
根据《银行业金融机构密码应用2015年工作安排》、《金融领域国产密码应用推进工作2016年工作安排》及人民银行银川中心支行要求,在2016年年底完成金融IC发卡、受理、收单相关系统的国密改造工作,使其支持受理国密算法IC银行卡;2016年年底完成网上银行后台系统改造(产业不支持的环节除外),具备条件的上线运行,已发放的客户端数字证书或动态令牌按照生命周期逐步替换,新发放的基本支持SM系统算法;手机银行网银客户端力争支持SM系列算法,在产品成熟的情况下,力争实现广泛应用。为此,我行于2016年5月启动了国密改造一期项目,重点升级改造我行银联卡业务系统、IC卡发卡系统和受理终端,并适时推广网上银行、手机银行等信息系统的国密应用工作。详细改造内容如下:
(一)完成了银联卡业务系统国密改造工作。2016年9月9日凌晨5点,我行在宁夏地区率先完成了银联卡业务系统国密版本的投产工作,投产后,我行系统支持受理国际算法IC卡、国际和国密双算法IC卡,且与中国银联之间已切换成国密算法,加密报文均采用国密算法传输,同时银联卡系统内部各前置均采用国密算法交互。
(二)完成了发卡系统国密改造工作。2016年11月,我行完成了贷记卡和借记卡发卡系统国密改造开发和测试工作;2017年3月完成了国密卡片检测工作,具备批量发卡条件;目前待将国密密钥加载至我行银联卡业务系统、发卡系统、制卡系统后,我行将正式发送国际和国产双密码算法IC卡。
(三)受理终端国密改造基本完成。目前,我行具备改造条件和新采购ATM、POS终端均已支持国密算法IC卡,其中ATM总计200多台,POS终端2600多台,90%的终端设备支持国密算法IC卡。
(四)网上银行后台加密机和加密服务平台均支持国密算法,其他国密改造工作正在研究阶段,尚未实施。
(五)手机银行和电子支付平台登录密码和交易密码的加解密方面均才用国密算法。
三、按照监管要求,在其他信息系统推广国密算法
(一)我行二代支付系统支持国密算法。在二代支付系统建设初期,我行已将国密算法考虑在项目建设中,因此二代支付系统投产后,本身支持国密算法,同时在2015年下半年通过了人民银行国密算法联网测试。
(二)我行自助终端采用国密算法。2016年2月,我行自助终端管理系统成功上线,在建设初期,已经将国产密码算法作为系统加解密算法的首选。
(三)我行已投产的客户关系(CRM)系统,移动终端和前置通讯采用国密算法,目前运行良好。
(四)我行新采购加密机、加密服务平台等设备和平台中均要求产品支持国密算法,为后续应用改造提供支持。
四、按照监管要求,结合我行实际情况,2017年国密推广计划
根据人民银行2017年国密改造工作安排(口头传达,文件尚未发送),重点改造内容:一是新增发送IC卡,国密卡需达到15%。二是ATM、POS终端改造需达到50%(此项指标我行已达到)。三是网上银行新增产品、KEY、证书等应支持国密算法。四是推广国密算法在其他信息系统领域的应用。依据上述要求,我行2017年国密推广计划。
(一)推进我行国密IC卡的发卡进度,力争2017年发行我行国密算法IC银行卡。
(二)重点研究国密算法在我行网上银行各个加密环节应用的可行性。
(三)要求各应用系统在进行重大改造、新系统建设时,如具备条件,务必将国密算法改造列入改造内容。
(四)要求新采购密码设备或平台时,优先考虑支持国密算法或纯国密算法的设备。
宁夏银行关于客户数据保护与电子银行信息安全专项检查问题的整改情况汇报
中国银行业监督管理委员会检查组:
2013年8月12日-8月23日中国银监会检查组对我行客户数据保护与电子银行信息安全进行专项检查,并下达了《中国银监会办公厅关于宁夏银行客户数据保护与电子银行信息安全的现场检查意见书》,指出了我行在信息科技风险管理和信息安全保障中存在的问题和不足。我行董事会、党委会、监事会和高级管理层高度重视银监会监管意见,召开专题会议,传达银监会的检查意见书,听取相关部门信息科技风险管理情况和信息安全保障情况汇报,要求各相关部门认真贯彻监管要求,切实抓好整改落实工作。2014年1月我行向银监会、宁夏银监局分别报送了整改报告。
一、提高认识,加强对监管整改的领导
为了进一步加强我行信息科技治理建设工作,深入落实中国银监会、宁夏银监局监管意见,经我行董事会和总行党委研究决定,成立由赵其宏行长担任组长,居光华副行长、祁河首席风险官担任副组长,董事会、监事会和经营管理层相关部门负责人参加的“宁夏银行信息科技治理建设工作领导小组”,董事会下达了《宁夏银行关于进一步加强信息科技治理建设的意见》,要求领导小组向总行党委和董事会负责并按程序报告工作,研究提出信息科技风险体系建设、业务连续性管理体系建设中的重大决策和重要举措,强化信息科技高层治理及风险管控顶层设计。
按照董事会《宁夏银行关于进一步加强信息科技治理建设的意见》和《监事会关于加强信息科技风险管理的几点建议》安排,领导小组研究制定了《宁夏银行信息科技治理建设2014年重点工作方案》,明确了2014年我行信息科技工作重点是在总行信息科技治理建设工作领导小组的统一领导下,以信息科技整改工作为重心,以监管合规为目标,制定信息科技风险管理控制目标、组织框架,规范工作流程,不断完善信息科技风险体系;进一步加强信息科技安全管理,提升核心网络及电子银行安全管理水平,做好科技外包风险管控;建立健全行业务连续性管理组织体系和制度体系,完善应急机制,提高突发事件应急处置能力。
二、统筹计划,切实加强整改工作落实
(一)信息科技风险管理方面
按照监管指引要求,我行已初步建立由信息技术部、风险管理部、审计部组成的信息科技风险“三道防线”组织体系,并将信息科技风险纳入全面风险管理范畴。2013年我行风险管理部、审计部配备信息科技风险管理和信息科技审计人员,确定了风险管理部信息科技风险管理职责和风险经理岗位职责,并向信息技术部派驻了风险经理,具体开展信息科技风险管理工作。2013年四季度,审计部派出科技审计人员开展信息科技维保服务专项审计,2014年审计部计划聘请德勤会计师事务所开展信息科技风险外部审计。启动信息科技管理组组织架构改革,以“分级管理、权责明确、提升效能、有效制约”为原则,以“大科技管理”为目标,逐步实现应用开发、运行维护和安全管理岗位的分离,实现层次化、矩阵式的科技管理架构,有效提高信息科技风险管控能力和关键岗位制约效力。改革方案已经行长办公会审议通过,上报董事会审批后开始实施。
(二)业务连续性管理体系建设方面
我行风险管理部会同信息技术部已制定了全行业务连续性保障体系建设工作方案,草拟了《宁夏银行业务连续性管理总体办法》(讨论稿),明确了风险管理部门、业务管理部门、信息技术部门、审计部门、支撑保障部门的职责,提出了成立宁夏银行业务连续性管理委员会的意见并上报行长办公会审议。近期将启动信息科技风险及业务连续性管理建设咨询项目,借助专业咨询,帮助我行全面制定业务连续性管理组织体系、制度体系、业务连续性计划、重要业务应急预案体系和应急管理体系。同时,信息技术部已制定完成全行灾备体系架构规划方案,正在积极推进新数据中心、同城灾备中心建设,将进一步改善业务连续性管理基础设施条件。
(三)信息科技制度体系建设方面
2013年,我行启动了内控评价和操作风险管理体系建设项目,审议颁布了系统及数据库维护、数据备份恢复、网络运行、系统变更、支行安全应急等操作规程。2014年,信息技术部启动了信息科技制度体系整章建制工作,已制定完成信息科技管理规章制度体系,本着急用先行的原则,进行制度、操作规程和技术规范的编写修订,截止目前已经制定了《宁夏银行信息安全管理办法》、《宁夏银行信息系统应急管理办法》、《宁夏银行应用系统开发与维护管理规定》、《宁夏银行信息科技运行管理办法》、《宁夏银行网络安全管理办法》、《宁夏银行信息系统变更管理办法》等制度,并在信息技术部内部开式试运行,待科技管理组织架构方案批准后,计划在2014年6月底完成行内发文流程,9月底基本完成我行信息科技整章建制工作。
(四)生产网络、系统运行、安全管理方面
通过细化网络策略部署,加强网络变更控制提升生产网络的安全性,通过建设IT审计平台、数据脱敏平台、更换超期服役设备等措施加强对系统运行能安全管控能力,通过不断程序优化解决网银网站、电子邮件系统存在的安全漏洞,通过规范ATM机具管理、制卡、呼叫中心录音管理的操作流程不断完善信息安全技术防控体系建设。截止目前,我行对现场检查意见书提出的网上银行、电子银行、网络边界访问控制、ATM机具管理、网银系统权限设置、信用卡制卡、呼叫中心录音文件管理等多个环节存在的漏洞,关键客户数据存在泄漏风险安全隐患已修补完善,客户数据保护等问题已经整改完成。
三、具体整改落实情况
(一)生产网络安全管控过度粗放,系统运行安全存在较大风险
1、检查发现“内部网络与行外系统的边界隔离基本失效,第三方外联服务区域的防火墙长期处于允许全部外部网络访问通过的状态。”
整改情况:我行已对第三方外联区防火墙进行了策略梳理和细化,取消了测试保底策略,同时优化了防火墙的其他安全策略,访问控制粒度到外部源主机、内部目的主机,内部目的端口,今后将继续根据来往应用数据端口梳理,加强外部网络访问安全管控。
2、检查发现“位于外部公共区域的离行式ATM设备可不受控制地访问内部生产网络。” 整改情况:我行在离行ATM汇聚路由器上部署了访问控制策略,限定ATM设备仅能访问核心网络中的特定设备IP及特定服务端口,保障了内部生产网络安全。
3、检查发现“ATM等自助设备终端安全管控缺失,对内网系统安全运行产生严重威胁,随机抽查你行两台ATM自助终端发现,未对ATM设备进行安全控制管理,ATM外包人员可使用自带USB设备在不受你行控制的情况下对ATM进行操作,并可进一步进入内网生产系统。”
整改情况:针对ATM设备安全管控等问题我行采取以下措施手段,加强自助设备安全管控能力。一是签署安全、保密条款,与ATM等外包服务厂商的合同中签署安全、保密条款,在合同中明确外包人员应遵从的保密条款;二是从技术层面加强安全防护能力,在所有的ATM终端上安装了赛门铁克杀毒软件,定期升级病毒库,增加了禁用USB接口和光驱的策略,未经授权不允许在ATM上使用U盘及光驱,卸载了ATM终端上无关的软件和程序;三是从安全管理机制层面杜绝安全隐患,建立了严格的维护人员登记制度,要求维护人员必须在支行专管员的陪同下才能对设备进行维护操作,严格控制ATM终端的U口使用,因维护需要使用U口必须提出申请由电子银行部审批后方可使用,且严禁从ATM终端向外拷贝电子文件,从而彻底杜绝了客户信息泄露的风险。
4、检查发现“内部网络安全管控过度粗放,未划分网络生产控制域,核心生产服务器区防火墙策略允许总行办公区技术部所有源地址访问生产核心服务器区的任意主机、任意端口和任意服务,防火墙限制的远程控制端口也可被其它方式绕过或取代。由于访问控制策略过于松散,很容易通过离行式ATM或以办公终端为跳板侵入生产核心网络,生产系统存在较大风险敞口。”
整改情况:我行已经通过部署IT运维审计系统,优化网络安全策略的方法,加强了核心生产网络的安全防护。一是我行已部署了IT运维审计系统,所有对核心生产系统和网络设备的访问,已通过安全域边界防火墙访问策略控制,只允许通过具有双因子密码认证的IT审计系统登入维护。二是优化核心防火墙的安全策略,所有对核心网络的维护访问,都必须经过IT审计系统登陆,所有的业务管理访问,都制定了严格的策略控制,各类对核心生产网路的访问都必须通过精确策略匹配才能够通过,保障了核心生产网络的安全性。
5、检查发现“信息安全体系建设严重不足,你行尚未制定全行统一的信息安全策略,未设立专职安全管理岗位,工作缺乏独立性和专业性。无项目安全需求、安全设计、安全测试等相关规定,抽查信贷、ODS两项目实际执行过程也缺乏安全需求分析、应用安全专项设计等环节,安全体系建设严重缺失。”
整改情况:在信息安全体系建设方面,我行已经制定了《宁夏银行信息安全管理办法》,并完成信息技术部组织架构调整方案,设立了专职安全管理岗,并配备专职技术人员开展信息科技安全管理工作。同时,今年我行采用外包的方式签订了系统安全扫描服务,在重大项目投产变更前进行安全检查和安全测试。在项目建设中将按照《宁夏银行信息安全管理办法》开展安全评估,并进行代码扫描和安全漏洞修复。我行正在编制系统应用安全规范,新建系统将开展应用安全需求方案和安全设计工作。(二)电子银行系统安全漏洞
1、检查发现“网上银行程序会话安全存在缺陷。检查发现,你行网上银行部分会话可被劫持和篡改,用以查询或更改他人信用卡信息(包括网银绑定的手机号码、进而可实现对他人账号下的购买理财、电子支付签约等操作,存在客户账户信息被非法窃取以及账户被恶意操作等风险。”
整改情况:我行已经强化了网上银行业务处理安全验证机制,增加会话要素与客户信息和签约账号进行合法性校验,确保交易的合法性。经过测试新机制能够有效防范客户账户信息被非法窃取或恶意操作等风险。
2、检查发现“网上银行业务操作流程安全验证机制不完善,网银查询版在自助修改网银密码时无需USB-Key或短信验证,导致恶意篡改网银密码的难度大大降低。”
整改情况:我行已经停止个人网银查询版的使用,并将个人网银查询版的程序包进行卸载,杜绝了通过个人网银查询版恶意篡改密码的安全隐患;在企业查询版的密码修改功能中增加短信验证的限制条件,通过企业查询版修改密码必须通过短信验证码的验证,增加了修改密码的安全保障手段。
3、检查发现“互联网商旅平台存在struts2远程命令执行高危漏洞,可在系统内远程执行攻击命令;互联网邮件系统存在跨站脚本攻击漏洞,同时邮件登录页面无验证码设计且明文传输,存在外部暴力破解和链路拦截获取口令等敏感信息进而非法访问邮件的风险。”
整改情况:一是针对互联网商旅平台存在远程命令执行高危漏洞,我行已经将问题反馈至银联数据公司,并责成银联数据公司对商旅平台进行漏洞扫描,对存在的漏洞进行加固。同时要求银联数据公司按照银监会的有关规定,加强风险防控手段、杜绝类似问题的出现并提供安全评估报告,目前银联数据公司已向我行提交了商旅平台加固后的安全评估报告。二是针对外网邮箱存在跨站脚本攻击漏洞的问题,我行采用了xssProject的防护手段,已经在系统中部署了相关程序包,修复了跨站脚本攻击的漏洞。三是我行在外网邮箱上增加了登陆验证码功能,对系统中存在简单密码进行检查,要求使用简单密码的个人限期修改密码,并增加了密码防猜功能,将频繁出现的密码嗅探IP地址加入黑名单,同时,我行外有邮件系统使用了base64的编码方式,所编码的数据均采用加密方式传输。
4、检查发现“在已知晓一代USB-Key存在签名信息可被窃取实施转账攻击的风险,且2013年5月已上线使用二代USB-Key的情况下,电子银行部仍允许网点向客户发放存量一代USB-Key。”
整改情况:我行于2013年11月起正式停止一代USBKEY的发放,并制定了一代USBKEY替换退出计划,通过网银网站发布了替换二代UBSKEY的公告,全面启动一代USBKEY的替换工作。
(三)数据安全问题
1、检查发现“外包人员可接触的ATM机具上留存的交易日志及交易流水中完整记录了账号、卡号和交易情况。”
整改情况:建立严格的登记制度,要求维护人员必须在支行专管员陪同下才能对设备进行维护操作。同时密切关注ATM客户信息安全,禁止所有人员从ATM终端向外拷贝电子文件,如有特殊需要只能由总行特定人员进行拷贝。
2、检查发现“个人网银信用卡“客户信息查询”模块完整显示了卡号、姓名、电话、手机、邮箱和地址等个人隐私信息;“卡片信息查询”模块完整显示卡号、姓名、有效期等信用卡账户关键信息,容易造成信息泄露。”
整改情况:将个人网银信用卡客户资料维护查询结果中的家庭电话、手机号码进行了部分屏蔽,将信用卡卡片信息查询结果中的卡号信息进行了部分屏蔽,有效的防止了客户信息泄露。
3、检查发现“网银系统业务管理员访问控制权限设置不合理。检查发现,网银内管平台所有总行级管理员均可查询到全部个人网银客户信息及企业网银客户信息,同时系统提供下载功能,本地无输入输出管控及监控,在技术上无法控制客户信息外泄。”
整改情况:针对网银系统业务管理员访问控制权限设置不合理的问题,我行对网银系统后台管理进行了功能完善,一是增加网银系统管理员模块,设立网银系统管理员,负责总行级别操作员的新增、修改、删除、权限分配等工作;二是限定操作员的查询权限,总行级操作员可以查询全行网银客户信息,分、支行操作员只能查询所辖分、支行的企业客户信息,同时,在查询企业网银客户信息时必须输入企业名称(关键字即可)、企业登录名、证书编号中的一项或者多项,查询个人网银客户信息时必须输入完整的账户或证件号码。三是屏蔽了客户关键信息,将企业客户的机构代码证号、加挂账户,个人客户的证件号码、加挂账户进行了屏蔽处理,同时取消了客户信息下载功能。
4、检查发现“关键客户数据存在泄露风险。检查发现,信用卡制卡文件以明文形式暂存本地;制卡操作终端保存了部分含有客户敏感信息的文件;呼叫中心的录音文件允许明文下载并保存在本地,缺乏有效的管控手段对录音文件的使用范围、传输和转储销毁等进行控制。制卡文件以及交易录音文件等关键信息一旦外泄将产生制作“伪卡”、窃取客户密码和交易欺诈等风险。”
整改情况:为规范本地制卡流程,加强卡数据管理,落实安防要求,一是增强信用卡制卡环境的安全保障,设立了单独的制卡室,配备防盗门窗,安装了监控设备,并由专人负责监控设备的数据更新和调取;二是加强制卡用机的安全防护,制卡设备专机专用,安装杀毒软件,清理不必要的软件和程序,并采用专线传输制卡数据;三是完善制卡流程管控,采用双人管理,制卡和数据传输由专人负责分别操作,双人签字确认,相互监督并及时销毁;四是严格落实安保制度,各项工作严格遵从《宁夏银行安全保卫工作管理规定》,并完善工作登记制度,制定了《宁夏银行信用卡制卡工作登记簿》和《监控室调阅登记簿》。
在呼叫中心录音文件管理方面,一是制定了《宁夏银行呼叫中心录音文件管理暂行规定》,规范录音文件的使用管理,明确了录音文件调阅、使用的流程。同时制定了《呼叫中心录音调取申请表》,对使用人、具体使用的录音文件、用途进行登记。二是规范中心内部录音文件的下载使用管理。要求所有录音文件下载均由系统管理员专人操作。三是规范录音文件的下载过程控制。中心重新梳理系统用户的使用权限,除系统管理员外,其他用户均无下载录音文件的权限,确保录音文件下载行为的规范安全。
(四)生产系统开发、运行及连续性问题
1、检查发现“软件测试、系统运维不规范,系统安全运行存在隐患。你行软件测试管理体系不完善,无测试管理制度或规程,无专职测试管理岗位,软件功能测试工作仅凭项目组或个人经验,较少开展非功能性测试,测试缺乏规范、指导和监督,测试合规性和有效性亟待提升。另外,生产变更存在薄弱环节,相关制度不完善,缺乏必要的风险评估过程。”
整改情况:我行应用系统业务测试主要由业务主管部门完成,系统测测试和压力测试由信息技术部门完成。2014年我行将采取有效措施,进一步加强测试管理。一是制定《宁夏银行信息系统开发与维护管理规定》,明确了信息系统开发与维护的测试规范,并设立需求审查小组,制定测试工作管理规范,负责全行业务需求的审核和业务测试方案的审核,指导和监督业务部门测试人员,提高测试合规性和有效性。二是初步拟定了信息系统代码安全基线和系统安全配置标准。在系统投产上线前将由安全管理岗位和项目组共同进行系统压力测试,系统安全策略检查和代码安全检查。三是初步制定应用系统安全规范和测试规范,提高系统测试的合规性和有效性。四是重新编写了《宁夏银行信息系统变更管理制度》,进一步规范了应用系统的投产变更流程,明确了各节点的职责,增加了重要系统投产变更前的业务影响评估和风险评估。五是计划成立测试中心,强化测试管理及变更管理。
2、检查发现“运维人员可在个人办公终端上实现对生产环境的搡作、访问核心系统以及监控等,运维审计平台存在漏洞,运维人员能够绕过该平台访问网银数据库主机。”
整改情况:在运维人员操作、访问监控方面,我行已通过运维审计系统全面采用4A授权认证方式,完成了对安全域边界防火墙访问控制策略的调整完善,对访问生产主机和数据进行严格控制和全面监控,通过技术措施严格杜绝运维人员绕过运维审计平台访问后台主机和数据库。
3、检查发现“应急管理、数据中心管理存在违规现象。你行2012年8 月15日发生网银系统故障三级突发事件,事后未按照银监会《银行业重要信息系统突发事件应急管理规范(试行》要求及时向监管部门报告;你行2012年开展的两次生产系统应急切换演练均未提前向宁夏银监局报告;你行新数据中心在规划选址阶段未按照监管要求向宁夏银监局报备,违反了《商业银行数据中心监管指引》第九条“商业银行应在数据中心规划筹建阶段,以及在数据中心正式运营前至少20个工作日,向中国银监会或其派出机构报告”相关要求。”
整改情况:我行已明确风险管理部派驻信息技术部的风险经理作为监管报送责任人,负责各项信息科技监管上报工作。同时根据监管要求,完善了监管报送制度,制定了《宁夏银行重大事件报告制度》、《宁夏银行计算机安全事件报告制度》,严格按照银监会信息科技管理要求,全面、及时、准确的开展监管报送工作。2013年4季度以来,我行严格遵守监管报送要求和行内报告制度,按照指引要求报送了新数据中心筹建报告,及时报送重大事项、重大变更、例外事件共9次。
4、检查发现“业务连续性管理存在疏漏。业务连续性组织架构不完整,未明确执行部门、保障部门、业务部门、审计部门在业务连续性管理方面的职责;业务连续性体系建设滞后,未制定业务连续性管理制度,缺乏突发事件总体应急预案,同时各业务条线、各重要信息系统的应急预案不完整。”
整改情况:我行已明确风险管理部作为我行业务连续性管理的牵头部门,将负责建立业务连续性管理体系,目前已经制定了《宁夏银行业务连续性管理总体办法》(讨论稿),明确了业务连续性管理的组织架构与职责,计划启动了信息科技风险及业务连续性管理建设咨询项目,拟通过咨询项目逐步完善我行的业务连续性管理体系。同时,我行信息技术部已经制定了《宁夏银行信息系统应急管理办法》,对重要信息系统应急预案进行了梳理、完善,并针对重要信息系统应急预案制定了培训计划。
5、检查发现“业务连续性资源建设存在薄弱环节,如呼叫中心设备巳运行10年,平均每月出故障18次左右,系统可用性不足。”
整改情况:2013年11月,我行启动了呼叫中心设备升级工作,对超期服役的设备进行了更换,同时对呼叫中心供配电环境进行了加固,更换了UPS电池组,增配了柴油发电机,提升了呼叫中心系统可用性。
四、监管意见落实情况
为了落实监管意见,推动全行信息科技风险体系建设、业务连续性管理体系建设,我行董事会下发了《宁夏银行关于进一步加强信息科技治理建设的意见》,成立了“宁夏银行信息科技治理建设工作领导小组”,全面加强信息科技治理建设工作的组织和领导,并通过信息科技风险及业务连续性管理建设专业咨询项目,进一步优化我行信息科技治理架构,健全信息科技决策体系和组织架构,完善信息科技风险管理制度体系和业务连续性管理体系。
(一)加强内网安全管理
2014年,我行信息技术部进行了组织架构调整,设置了专职安全管理岗位,制定了《宁夏银行信息安全管理办法》,开展信息安全管理工作。一是签订第三方安全服务协议,定期开展信息安全检查。我行与专业的安全服务公司签订了安全服务协议,借助专业的外部技术力量,加强信息系统安全管理,今年已经进行了两次信息系统专项安全检查,我行也针对安全检查内容进行了漏洞修复与整改工作。二是加强网络安全管理。从核心网络到边界接入网络,全面梳理了网络的控制策略,强化了网络访问控制力度,提高了整体网络的安全性,同时网络调整严格遵循变更审批制度,全面加强网络安全管理。三是加强对ATM,POS等电子银行机具设备的安全管理,完善机具设备接入的集中管控。我行电子银行部加强对自助终端设备的安全管理,与服务厂商签署了安全保密协议,在终端设备上安装防病毒软件、封闭USB端口,并不断完善自助终端设备的管理机制,加强自助设备系统、应用和物理安全策略审查,以及外部维护人员维护操作规程检查。
(二)加强电子银行应用安全防护
为了加强电子银行应用安全防护,从2014年1月起,我行通过与第三方安全专业机构合作的方式,开展网站实时监控,定期开展互联网外部渗透测试,内部漏洞检查和系统、网络安全审计评估,并对发现了安全隐患进行了及时的整改。同时,制定整体安全策略和开发、运维安全规范,编制程序代码安全基线和系统安全配置标准,加强系统投产变更的风险管控,开展上线前的安全评估和合规审查。
(三)加强数据安全管理
为了加强客户数据安全管理,防止客户数据非法泄露,我行采取了以下具体措施。一是加强后台维护管理。通过IT审计系统,所有的后台维护操作必须经过需要双因子认证的IT审计系统,并且采用“最小授权”原则,控制访问权限,同时,对测试环境的客户数据进行脱敏处理,防止客户数据从后台维护、开发测试中泄露。二是优化业务程序。对涉及客户信息的信息系统进行不断的优化,控制操作员的访问权限,并对敏感客户信息进行屏蔽处理,防止客户数据从业务渠道泄露。三是进一步加强全行信息安全管理,特别是加强互联网和外联业务网络的安全管控,定期开展网络边界访问控制策略的审计检查和互联网应用安全检查,提高网络边界的防护水平,防范外部非法入侵和数据泄露风险。四是完善制度体系。对客户数据的提取、访问、销毁制定严格、完整的制度,从制度、技术等多个层面保障客户数据的安全。
(四)加强业务连续性建设
一是我行已经制定业务连续性保障体系建设工作方案,起草完成《宁夏银行信息系统应急管理办法》,完善了各信息系统的应急预案修订,制定了应急预案培训计划,初步建立了全行应急组织体系。二是风险管理部草拟了《宁夏银行业务连续性管理总体办法》(讨论稿),明确了相关部门的管理职责,提出了成立宁夏银行业务连续性管理委员会的意见并上报行长办公会审议,后续将启动信息科技风险及业务连续性管理建设咨询项目,指导我行开展业务连续性保障体系建设工作,建立完善组织架构,健全管理制度,完善全行应急管理组织体系,应急预案体系,梳理全行业务重要性级别,制定重要业务连续性管理规划,管理策略和应急预案,协助开展应急演练,提高业务应急能力。三是按照全行业务连续性管理制度体系分工和总体计划,各业务主管部门以及法律合规部、办公室、人力资源部和安全保卫部年底前制定所负责的业务条线的应急预案和连续性管理计划。四是加快推进总行新数据中心、同城灾备中心选址和系统建设以及天津、西安分行级同城灾备中心选址和系统建设。
二〇一四年五月十二日
关于网银业务存在问题整改情况说明
问题
1、网上银行程序会话安全存在缺陷。检查发现,你行网上银行部分会话可被劫持和篡改,用以查询或更改他人信用卡信息(包括网银绑定的手机号码),进而可实现对他人账号下的购买理财、电子支付签约等操作,存在客户账户信息被非法窃取以及账户被恶意操作等风险。
整改措施:针对(1)个人网银信用卡信息查询;(2)个人网银帐户信息通开通,修改,查询;(3)个人网银理财开通,修改,查询;(4)普通电子支付签约等四种签约类交易,我行已于2013年8月21日提交新版本,添加账号合法性校验,验证操作账号必须为用户网银已绑定的账号,从而避免此类风险的发生。
技术方案:将需要校验账号的交易和账号字段配置在数据库中,通过一个账号权限控制类(QueryAcControlCommandForNX),获取当前交易需要校验的账号字段,通过上下文获取账号字段的内容,然后根据条件查询数据库中是否存在此账号信息,如果不存在则属于非法篡改账号,阻止当前交易并报错。
问题
2、网银查询版在自助修改网银密码时无需USBKEY或短信验证。
整改措施: 当企业查询版网银客户自助进行密码修改时进行发送短信验证码,界面输入短信验证码进行验证
业务截图:
问题
3、个人网银信用卡“客户信息查询”模块完整显示了卡号、姓名、电话、手机、邮箱和地址等个人隐私信息;“卡片信息查询”模块完整显示卡号、姓名、有效期等信用卡账户信息外泄。整改措施:
1、将信用卡客户资料维护查询结果中,对家庭电话、手机号码进行了部分屏蔽;
2、将信用卡卡片信息查询结果中的卡号信息进行了部分屏蔽。
业务信息截图:
(1)信用卡客户资料维护功能: 点击查询后:
(2)信用卡卡片信息修改
他行网上银行信用卡信息查询截图:
问题
4、网银连续登陆失败5次,账户被锁定,但不通知客户,30分钟后自动解锁。
整改措施:密码输入错误5次后,账户被锁定时,系统自动客户发送短信通知
短信通知内容:个人客户:您好,您的个人网银因登陆时密码输入连续错误5次,已被锁定,30分钟后将自动解锁,如不是本人操作,请及时通知我行。
企业客户:您好,您的企业网银用户因登陆时密码输入连续错误5次,该用户已被锁定,30分钟后将自动解锁,如不是您本人操作,请及时通知我行。
登陆页面提示及发送短息信息图片:
个人短信截屏:
企业短信截屏:
问题5、2013年5月已上线使用二代USB-Key的情况下,仍允许网点向客户发放存量一代USB-Key。
整改情况说明:我行与2013年11月20日以纸质文件报送银监局,并于13年11月25日在网银网站进行了替换二代USBJKEY的公告 公告截图:
问题
6、网银内管平台所有总行级管理员均可查询到全部个人网银客户信息及企业网银客户信息,同时系统提供下载功能,本地无输入输出管控及监控,在技术上无法控制客户信息外泄。具体整改措施:
一、开发网银系统管理员模块
设立网银系统管理员,由电子银行部主管网银业务的领导担任,负责总行级操作员的新增、修改、删除、权限分配、密码重置等工作。
二、限定操作员查询权限
1、总行级操作员可以查询全行网银客户信息,分行级操作员只能查询所辖支行网银客户信息。总、分级操作员查询企业网银客户信息时必须输入企业名称(关键字即可)、企业登录名、证书编号中的一项或多项,查询个人网银客户信息时必须输入完整的账号、证件号码、证书编号中的一项或多项。
2、支行级操作员可以查询全行个人网银客户信息和本机构注册的企业网银客户信息,其中3300机构(呼叫中心)操作员需要特殊处理,允许查询全行企业和个人客户信息。查询企业客户信息时无须输入客户有关信息,查询个人客户信息时必须输入完整的账号、证件号码、证书编号中的一项或多项。
三、屏蔽客户关键信息
将企业客户的机构代码证号、加挂账号,个人客户的证件号码、加挂账号中间部分做屏蔽处理,同时取消客户信息“下载”功能。以总行为例相关查询界面截图:(1)个人用户信息管理
模糊查询后:
输入具体的证件号后:
点击登录名后详情显示:
(2)企业用户信息管理:
模糊信息查询后:
输入企业登录名:
链接核心客户号查看详情:
第二篇:等保二级管理要求
1.1管理要求
1.1.1
安全管理制度
1.1.1.1
管理制度(G2)
本项要求包括:
a)
应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;
b)
应对安全管理活动中重要的管理内容建立安全管理制度;
c)
应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
1.1.1.2制定和发布(G2)
本项要求包括:
a)
应指定或授权专门的部门或人员负责安全管理制度的制定;
b)
应组织相关人员对制定的安全管理制度进行论证和审定;
c)
应将安全管理制度以某种方式发布到相关人员手中。
1.1.1.3评审和修订(G2)
应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。
1.1.2
安全管理机构
1.1.2.1岗位设置(G2)
本项要求包括:
a)
应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
b)
应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
1.1.2.2人员配备(G2)
本项要求包括:
a)
应配备一定数量的系统管理员、网络管理员、安全管理员等;
b)
安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
1.1.2.3授权和审批(G2)
本项要求包括:
a)
应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;
b)
应针对关键活动建立审批流程,并由批准人签字确认。
1.1.2.4沟通和合作(G2)
本项要求包括:
a)
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;
b)
应加强与兄弟单位、公安机关、电信公司的合作与沟通。
1.1.2.5审核和检查(G2)
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
1.1.3人员安全管理
1.1.3.1人员录用(G2)
本项要求包括:
a)
应指定或授权专门的部门或人员负责人员录用;
b)
应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核;
c)
应与从事关键岗位的人员签署保密协议。
1.1.3.2人员离岗(G2)
本项要求包括:
a)
应规范人员离岗过程,及时终止离岗员工的所有访问权限;
b)
应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
c)
应办理严格的调离手续。
1.1.3.3人员考核(G2)
应定期对各个岗位的人员进行安全技能及安全认知的考核。
1.1.3.4安全意识教育和培训(G2)
本项要求包括:
a)
应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)
应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;
c)
应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。
1.1.3.5外部人员访问管理(G2)
应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
1.1.4系统建设管理
1.1.4.1系统定级(G2)
本项要求包括:
a)
应明确信息系统的边界和安全保护等级;
b)
应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;
c)
应确保信息系统的定级结果经过相关部门的批准。
1.1.4.2安全方案设计(G2)
本项要求包括:
a)
应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b)
应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案;
c)
应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
d)
应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
1.1.4.3产品采购和使用(G2)
本项要求包括:
a)
应确保安全产品采购和使用符合国家的有关规定;
b)
应确保密码产品采购和使用符合国家密码主管部门的要求;
c)
应指定或授权专门的部门负责产品的采购。
1.1.4.4自行软件开发(G2)
本项要求包括:
a)
应确保开发环境与实际运行环境物理分开;
b)
应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c)
应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
1.1.4.5外包软件开发(G2)
本项要求包括:
a)
应根据开发要求检测软件质量;
b)
应确保提供软件设计的相关文档和使用指南;
c)
应在软件安装之前检测软件包中可能存在的恶意代码;
d)
应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
1.1.4.6
工程实施(G2)本项要求包括:
a)
应指定或授权专门的部门或人员负责工程实施过程的管理;
b)
应制定详细的工程实施方案,控制工程实施过程。
1.1.4.7
测试验收(G2)
本项要求包括:
a)
应对系统进行安全性测试验收;
b)
在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
c)
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
1.1.4.8
系统交付(G2)
本项要求包括:
a)
应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
b)
应对负责系统运行维护的技术人员进行相应的技能培训;
c)
应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。
1.1.4.9
安全服务商选择(G2)
本项要求包括:
a)
应确保安全服务商的选择符合国家的有关规定;
b)
应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
c)
应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。
1.1.5系统运维管理
1.1.5.1环境管理(G2)
本项要求包括:
a)
应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
b)
应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
c)
应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
d)
应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。
1.1.5.2资产管理(G2)
本项要求包括:
a)
应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;
b)
应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
1.1.5.3介质管理(G2)
本项要求包括:
a)
应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;
b)
应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点;
c)
应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏;
d)
应根据所承载数据和软件的重要程度对介质进行分类和标识管理。
1.1.5.4设备管理(G2)
本项要求包括:
a)
应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b)
应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;
c)
应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作; d)
应确保信息处理设备必须经过审批才能带离机房或办公地点。
1.1.5.5网络安全管理(G2)
本项要求包括:
a)
应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b)
应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;
c)
应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
d)
应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
e)
应对网络设备的配置文件进行定期备份;
f)
应保证所有与外部系统的连接均得到授权和批准。
1.1.5.6
系统安全管理(G2)
本项要求包括:
a)
应根据业务需求和系统安全分析确定系统的访问控制策略;
b)
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
c)
应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;
d)
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定;
e)
应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作;
f)
应定期对运行日志和审计数据进行分析,以便及时发现异常行为。
1.1.5.7
恶意代码防范管理(G2)
本项要求包括: a)
应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查;
b)
应指定专人对网络和主机进行恶意代码检测并保存检测记录;
c)
应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。
1.1.5.8
密码管理(G2)
应使用符合国家密码管理规定的密码技术和产品。
1.1.5.9
变更管理(G2)
本项要求包括:
a)
应确认系统中要发生的重要变更,并制定相应的变更方案;
b)
系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。
1.1.5.10
备份与恢复管理(G2)
本项要求包括:
a)
应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b)
应规定备份信息的备份方式、备份频度、存储介质、保存期等;
c)
应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。
1.1.5.1
1安全事件处置(G2)
本项要求包括:
a)
应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
b)
应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
c)
应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分; d)
应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。
1.1.5.12 应急预案管理(G2)
本项要求包括:
a)
应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b)
应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。
第三篇:2015年南京职称材料要求等
2015年南京职称工作要求
一、申报中小学、幼儿园系列教师职称有关学历、资历要求: 1.初定二级教师专业技术资格:2012年前(含)大专学历;2014年前(含)本科学历。
2.初定一级教师专业技术资格:2012年前(含)研究生学历。3.申报一级教师专业技术资格:
A.小学2009年前(含)大专学历并且受聘二级教师。
B.2010年前(含)本科学历并且受聘二级教师。
4、申报高级教师专业技术资格:,2009年前(含)本科以上学历受聘一级教师。
5.幼儿园系列初定三级教师资格:2011年前中专学历。
6.初定三级或二级专业技术资格者,所学专业与所所教学科不一致时,须参加市初级专业技术资格考试。初级考试7月底8月初到市人才大厦报名,具体时间见网上通知,要从网上下载表格,填表盖章、带齐材料。
7.中小学、幼儿园初定需要网上申报,一级、高级教师不需要网上申报。中职系列全部需要网上申报。
二、分类讲解各类职评人员需申报的表格
(一)、初定一级教师、二级教师、三级教师填报专业技术资格初定申报表
1.申报资格:对应按一级教师、二级教师、三级教师填写。2.第1页专业工作年限计算到2015年,用年减年,如2014年参加工作,年限填1年。
3.初定专业技术资格需提供学历验证报告或电子注册表、教师资格证书复印件(复印件请人事干部与原件核对后签字盖章)4.此表请正反打印,上报二份。
(二)、申报一级教师、高级教师教师个人需填报表格及要求 1.第一分册 :
第一分册不需要装订,要求用最小号的长尾票夹夹住。申报一级教师上报2份、高级教师上报3份中小学、幼儿园教师专业技术资格评审申报表。情况简介表一级教师上报1份、高级教师上报3份,简介表用A3纸打印。必须由本人亲笔填写,不要打印,也不要复印。
中小学、幼儿园教师专业技术资格评审申报表(地区代码、学科代码、申报评审学科(专业)(语数外音体美信息技术学科前要加中学或小学)见宁教人[2015]11号文中附件2(南京市中小学高级教师专业技术资格评审“地区代码”、“学科代码”一览表);编号不填;单位名称填全称;拟评审专业技术资格:对应按一级教师、高级教师填写。
《诚信承诺书》已印在“资格评审申报表”填表说明的下方,请各单位收材料的时候注意本人是否已签字。
第1页取得教师资格种类、时间及证书号码;现专业技术资格及取得时间、批准单位;现专业技术职务及聘任时间请将相关证书拿出来对应填写;教龄计算到2014年用年减年(如:1994年参加工作,教龄为20年)。申报表第3页、第4页、第7页要签审核意见,审核人签字,按要求加盖公章。第10页任现职以来考核情况由人事干部依据档案记录填写并签字。第4页课堂教学满意度要与业务档案、“申报教师专业技术资格人员情况简介表”一致。第4页中的学平均听课多少节,仅由中层以上管理人员填写,一般教师不需要填写。
申报一级教师、高级教师专业技术资格人员情况简介表,课堂教学满意度栏目中分上下两行如实填写填报(与业务档案一致,2年2个数据)。上报一份,此表要填完整,特别是需签字盖章的地方。
现申报单位为其累积缴纳1年以上的社会保险参保缴费证明清单放在第一分册。社保证明清单需携带身份证、社保卡到区社保中心打印。
申报表中填报的相关情况应与汇总表中的情况一致。2.第二分册:
第二分册材料要求按目录顺序,用线绳装订,切勿用大铁夹装订,也不准用透明的硬塑料片做封面装订,因为以上二种材料会刺穿材料袋,造成材料失散。
专业技术人员任期考核表1份,任期考核表下括号内的时间填任现职开始的时间,截止到2014年;聘任专业技术职务:填职称过渡后现在的专业技术职务,如:一级教师或二级教师;现从事专业工作(工作岗位):填所教所申报的学科;聘任部门时间:现职务首次聘任部门和时间,如中途调动工作的分上下行写;聘期:计算到2015年,年减年。任期考核如果是优秀等次,在任期考核表后附考核“优秀证书”或没有优秀证书的附考核表,不是优秀等次的就不必附,破格人员需附考核表。
业务考核档案及附页。南京市中小学、幼儿园教师业务档案,此业务档案教师不论评职称与否每学年均因建立,文件要求提供任现职以来近二学年的业务档案(2012-2013、2013-2014)。该业务档案请用A4纸正反打印,1、2页为1张;
3、4页为1张;第5页附页单独打印。学生评教的意见栏填课堂满意度。申报高级教师、一级教师专业技术资格的教师,必须对其任课班级学生(不少于95%)进行课堂教学满意度测评,每学年学生对其课堂教学满意度达到85%以上,测评结果应录入业务档案的学生评教的意见栏目中,“中小学、幼儿园教师专业技术资格评审申报表”和“申报教师专业技术资格人员情况简介表”。有关学生课堂满意度调查表、汇总表不需上报,留在单位备查。幼儿园教师申报中高级课堂满意度调查表不作要求。
破格申报表:由破格人员填报
第二分册中的学历证书、学位证书、教师资格证书和现专业技术资格证书是复印件的材料,不要装原件,防止丢失,复印件单位要审核盖章,审核人要签字,所有学历的复印件都要放进去。同时请各单位把申报人员的学历证书、学位证书和教师资格证书的原件装在透明文件袋中,一人一个透明袋,并且贴上姓名标签,在标签上逐一列清楚所上交的原件。(透明文件袋由学校统一另外上交,不要放在评审材料袋中)备查的证书原件和材料袋里的证书原件不要放壳子。继续教育证书、职称计算机证书、现职务评审表、聘书和各种获奖证书、奖状等要附原件。第二分册中的各种获奖证书与第三分册的获奖证书不要重复。
第二分册中的聘书可直接将聘书原件装订在内,不需要多张复印。原聘书用完的,可直接将电子版聘书打印出来使用。
中层以上管理人员的听课笔记、教师的教案(备课本)不要装订,单独放在材料袋内即可。
公开课需交开课证明及教案、评价表等过程性材料。
第二分册最后要附任现职以来近二年所教学科一学年的教案。教案是否合格及满工作量,由评委确定。
申报高级教师的人员,指导青年教师材料包括签定的协议书、青年教师获奖证书等。限3人,每人证书不超过5份。
义务教育学校教师申报高级教师及以上专业技术资格时,须有2年以上在薄弱学校或非热点学校交流任教经历。(男年满55周岁、女年满50周岁者除外)。
3.第三分册: 提供的教科研材料份数中级3篇(含1篇教学案例)、高级5篇(含1篇教学案例),所提供的论文、论著、教案、教科研项目批文和鉴定书等均需原件。发表的论文原件不需要装订,论文获奖要将获奖证书原件及论文装订在内。获奖的论文做好标记便于评委查找。将材料按按目录顺序装订。论文材料按照要求提供,如果有超过规定篇目的,在报到局里来之前,请各单位把多余的材料去掉。请各单位严格执行。一级教师及以上专业技术资格申报人员,凡申报评审条件中要求在公开刊物发表的论文,需提供该论文的期刊查询及论文检索情况,通过国家新闻出版总署网站进行期刊信息查询并打印查询页面,通过“万方数据资源系统”、“清华同方中国知网”、“重庆维普中文科技期刊数据库”等主流数据库进行本人论文信息的检索并打印检索页面。《南京教育》和《南京教研》已分别在南京市教科所和南京市教研室的官方网站做了论文查询目录。
4.第二、第三分册材料装订的要求:为评委提供方便。要规范、整齐,按分册目录顺序装订(左边、下边要对齐),二分册、三分册用线装订,所附材料尽可能朝一个方向装订(竖打材料标题朝上、横打材料标题朝左边装订线),为便于装订和美观小的证书用A4白纸衬托。请单位申报职称人员按照各分册的编号顺序装订成册,不要到我们交材料的地方装订,搞得乱轰轰的。
5.评审材料中的学历证书、教师资格证书、各类获奖证书、获奖论文和在刊物上公开发表论文应在评审的上一年底(2014年12月31日)之前获得或发表。职称计算机合格证、继续教育证书在申报前获得。
申报职称材料每人一袋,不能多袋,职称材料袋子的封面和封底及1、2、3分册封面的有关栏目要认真填写完整,不要开天窗。今年的材料袋和申报表全部是新表,申报人员一人一套,我们这里没有多余的备用,请认真填写。
三、单位需填报的表格: 1.申报一级教师、高级教师填:《南京市2015年**区(学校)****级教师专业技术资格报审人员名册》,严格按照填表说明填报,不能复制粘贴,若有格式错误,将无法导入系统。上交的名册请用A3纸打印。
2.初定一、二、三级教师填:浦口区初定专业技术人员名册。3.初级考试人员填:浦口区初级考试专业技术名册。
4.以上3个表一式二份,上报一份,另一份单位留底备查。
四、今年的收费标准
收费标准是申报高级教师500(高级讲师400);一级教师(讲师)300 ;初定二级教师(助理讲师)、三级教师80;初定一级教师(讲师)200,费用请于送审材料时缴纳。
五、时间安排:见“浦口区教育系统2015年职称工作时间安排表”
六、各单位可申报的岗位数(见小纸条)
教师专业技术资格的申报,依据岗位设置的要求,按岗申报,无岗不得申报。
七、上报材料、局审核后,个人一般不再送补充材料。
八、中高级职称申报人员的专业学历验证,今年不做硬性要求,明年起强制执行。2001年(含)之后取得的学历均可在学信网上打印出来,2000年之前的学历需到省教育厅咨询办理。
第四篇:关于要求批转《关于鼓励发明创造保护知识产权政策的实施细则》的请示(20100601)
关于要求批转《关于鼓励发明创造保护知识产权政策的实施细则》的请示
区人民政府:
余杭区《关于加强专利工作促进知识产权保护的若干意见》(余政发[2006]41号)颁布实施四年来,在鼓励企业自主创新,减轻知识产权保护成本,调动企业创新发明积极性等方面发挥了十分重要的作用。但随着知识产权事业的迅猛发展,也暴露出原有政策与实际需求不相适应的问题。
为进一步加强专利工作,促进知识产权保护,全面提高企业的核心竞争能力,推动余杭经济可持续发展。根据区委、区政府《关于加快发展高新技术产业的若干政策意见》(区委办[2010]27号)要求,借鉴各地知识产权工作经验与做法,兼顾与省市知识产权新政的衔接问题,结合余杭实际,我们研究拟定了《关于鼓励发明创造保护知识产权政策的实施细则》,特报请区政府审定。
如无不妥,请予以批转实施。
附件:《关于鼓励发明创造保护知识产权政策的实施细则》
杭州市余杭区科技局 杭州市余杭区财政局
2010年6月1日 关于鼓励发明创造保护知识产权政策的实施细则
为贯彻落实余杭区委、区政府《关于加快发展高新技术产业的若干政策意见》(区委办[2010]27号文件,以下简称《意见》),进一步明确《意见》第七条关于鼓励发明创造、保护知识产权的具体补助奖励范围和标准,规范资金管理,特制订本实施细则。
一、补助奖励对象
本区镇乡、街道、企事业单位、社会团体和个人,区内外知识产权服务机构。
二、补助奖励条件
(一)知识产权补助奖励要符合《意见》的要求,专利申请人地址必须在本区行政区域范围;
(二)专利和相关知识产权获权及专利维权案件结案后2年内,《专利合作条约》(PCT)申请进入指定国家审查阶段起3年内均可申请补助,超过期限视为自动放弃;
(三)专利维权补助必须是《意见》颁布实施后结束的维权案件,被判侵权和维权失败案件不予补助;
(四)已享受过本级补助的专利不得重复补助。
三、补助奖励内容和标准
(一)专利技术研发及产业化实施项目的补助:重点支持专利技术研发及产业化实施项目,鼓励企业通过自主研发、受让等方式获得自主知识产权。每年挑选一批企业发明和实用新型专利研发项目,列入科技计划项目给予补助。鼓励本区企事业单 位申报市级以上科技项目(含市级),被列入的市级以上专利项目,根据配套要求最高可按1:1比例给予配套补助。对获得中国专利金奖、中国专利优秀奖的专利和授权的发明专利,以及在市级以上(含市级)政府和科技(知识产权)主管部门组织的评比竞赛中获奖的专利技术与成果,优先列入区级专利技术研发及产业化实施项目。
(二)职务发明专利及其他知识产权获权的补助(专利权人为企业的):美国、日本和欧洲专利局授权的发明专利每件补助人民币5万元,实用新型或外观设计专利授权后每件补助人民币1万元,其他国家和地区授权的发明专利每件补助人民币1.5万元,实用新型或外观设计专利授权后补助人民币0.5万元,《专利合作条约》(PCT)申请进入指定国家审查阶段后,每件补助人民币1万元(以上国外专利每件限补助两个国家或地区)。国内授权发明专利每件补助1.1万元,授权实用新型专利每件补助0.15万元,授权外观设计专利每件补助0.1万元。植物新品种授权,每件补助1万元。集成电路布图设计完成登记,每件补助0.2万元。海关知识产权保护完成备案,每件补助0.1万元。
(三)专利试点、示范企业及专利技术职称认定的奖励:培育专利试点示范企业和专利管理专业人才,提高企业知识产权创造、管理、保护和运用能力。对首次认定的国家和省、市级专利试点、示范企业,分别给予50万元、20万元、10万元奖励。对从区外新引进已认定的国家和省、市级专利试点、示范企业,经审核确认在有效期内的,按首次认定的同级专利试点、示范企业 标准给予奖励。企业专利管理人员参加专利管理专业技术职称考试,获得专利管理工程师职称的奖励个人0.2万元,获得专利管理助理工程师职称的奖励个人0.1万元。
(四)专利维权及知识产权(专利)信息服务平台建设的补助:区内企事业单位(含法人代表)在专利权受到不法侵害或受到不实侵权指控时,积极开展维权行动并获得成功的,对其维权直接费用给予50%的补助,最高补助额不超过20万元。行业协会和市级以上(含市级)专利试点示范企业,建立知识产权(专利)信息平台的,一次性补助5万元。
(五)专利申请优惠服务活动及知识产权(专利)代理服务机构的补助奖励:每年组织开展一次专利申请优惠服务活动,期间对指定服务对象个人新申请的发明和实用新型专利按每件0.05万元给予补助,外观设计专利按每件0.03万元给予补助;对以学校和企事业单位名义申请专利的补助,分别在此基础上各增加0.05万元(具体活动方案另发)。鼓励区内外知识产权人才来余杭创办具有独立法人资格的知识产权(专利)代理机构,支持区内外知识产权(专利)代理机构按计划在我区各组团中心、重点工业功能区块设立办事处或知识产权服务平台,经确认运作良好的,连续三年对该代理机构(含办事处)和知识产权服务平台工作场所实际支付租金的30%给予补助(每年补助额最高不超过20万元)。区内外各类专利代理服务机构参加本区组织的专利申请优惠服务活动,积极组织专利知识宣讲培训,垫付服务对象相关费用,按时完成任务,保证服务质量的,待专利授权后,按每100件专利1万元标准给予奖励(不满100件不予奖励)。
(六)专利技术交流与竞赛活动的补助奖励:本区企事业单位和个人,参加区科技局或上级主管部门统一组织的各种专利技术成果展示交易活动,对其参展的直接费用给予50%补助,每个参展单位或个人最高补助金额为1万元。鼓励区内企业参加“创意杭州”工业设计等大赛,对在大赛中承办分项赛事的企业或行业协会给予补助,每家企业或行业协会最高补助额不超过10万元;对在大赛中获奖的项目和组织单位,按照大赛组委会奖励标准给予同等额度的配套奖励。鼓励企业参加优秀专利评选活动,对被联合国世界知识产权组织(WIPO)和国家知识产权局授予中国专利金奖的单位(含企业法人代表)一次性奖励20万元,对被国家知识产权局授予中国专利优秀奖的单位(含企业法人代表)一次性奖励10万元;对获得“余杭区十佳专利”的单位(含企业法人代表),其专利项目可优先立项,专利产品优先推荐参加“创意杭州”工业设计大赛和专利成果展。
(七)专利工作先进单位与个人的奖励:对专利授权量排名首次进入杭州市前20强的镇乡(街道),分别给予前10强5万元奖励,后10强3万元奖励(以杭州市知识产权网公布结果为准)。对当年专利授权量比上年增长50%以上的镇乡(街道)科技联络员、专利授权量计分排名列区前10强的企事业单位专利管理人员和专利授权量计分排名列区前10强的区内专利权个人,分别给予0.3万元奖励(其中授权总量不足10件的镇乡(街道)不予奖励,企业法人代表授权的专利可以参加企事业单位排 名,专利分值按发明5分、实用新型2分、外观设计1分计算)。
四、申请与受理方法
(一)专利授权,植物新品种申请获权,集成电路布图设计登记、海关知识产权备案和专利技术交流与竞赛活动完成后,即可向区科技局(知识产权局)提出补助申请;《专利合作条约》(PCT)申请进入指定国家审查阶段后办理;新设立的专利代理机构(含办事处)和知识产权服务平台场地租金补助,由企业提出申请,每年年初集中办理一次上补助。
(二)专利申请优惠服务活动申请专利的补助,在活动结束后统一办理。由专利代理机构代理并垫付申请费用的专利,可直接向专利代理机构拨付补助费用。市级以上(含市级)专利试点示范企业的奖励、国家专利金奖和专利优秀奖的奖励、专利管理工程师和专利管理助理工程师的奖励、专利工作先进单位和个人的奖励以及企业专利信息平台建设项目的补助,采取年终一次性结算的方式办理。
(三)企事业单位专利维权案件的补助(含对他人假冒企事业单位或单位法人代表专利的维权案件),在维权案件结束后提出,结束时间以行政执法部门或法院最后裁定文书下达时间为准。经调解达成的专利维权案件的补助,在行政执法部门或法院作出案件结论和调解协议书后提出。
以上各项奖励与补助项目的具体办理时间、方法及申请补助所需提供的材料等,由区科技局(知识产权局)通过《余杭科技网》对外发布。
五、有关要求
(一)申请本区专利和其他知识产权补助奖励的单位与个人,必须以保护知识产权、推进项目实施、专利授权及其产业化实施为目的,获得的补助资金要专项用于专利工作及有关人员的奖励。
(二)为确保专利申请优惠服务活动惠及更多单位和个人,每年专利申请优惠服务活动期间,对同一单位或个人申请专利给予补助的件数,学校和竞赛组织等名义申请的专利补助件数,以及活动期间总的专利补助件数,由区科技局(知识产权局)根据实际需要设定限额。
(三)为提高专利质量和补助效果,限制“非正常专利申请”,对以获取专利补助和满足数量指标为主要目的申请的专利(主要指申请的专利与申请人自身条件、产品种类、研发能力、发展规划严重不符,且数量较大的),专利补助审核时将给予限量或限额控制。对被上级知识产权主管部门确认的“非正常专利申请”,即:“内容明显相同的重复的专利申请”和“明显抄袭现有技术(现有设计)的专利申请”,不列入专利考核数量统计,不享受补助奖励政策。对弄虚作假,骗取专利补助奖励资金者,将依法给予追究。
本实施细则由区科技局和财政局负责解释。
杭州市余杭区科技局
杭州市余杭区财政局 2010年6月1日
点击咨询 