等保二级管理要求（优秀范文5篇）

第一篇：等保二级管理要求

1.1管理要求

1.1.1

安全管理制度

1.1.1.1

管理制度（G2）

本项要求包括：

应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；

应对安全管理活动中重要的管理内容建立安全管理制度；

应对安全管理人员或操作人员执行的重要管理操作建立操作规程。

1.1.1.2制定和发布（G2）

本项要求包括：

应指定或授权专门的部门或人员负责安全管理制度的制定；

应组织相关人员对制定的安全管理制度进行论证和审定；

应将安全管理制度以某种方式发布到相关人员手中。

1.1.1.3评审和修订（G2）

应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订。

1.1.2

安全管理机构

1.1.2.1岗位设置（G2）

本项要求包括：

应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；

应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。

1.1.2.2人员配备（G2）

本项要求包括：

应配备一定数量的系统管理员、网络管理员、安全管理员等；

安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。

1.1.2.3授权和审批（G2）

本项要求包括：

应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；

应针对关键活动建立审批流程，并由批准人签字确认。

1.1.2.4沟通和合作（G2）

本项要求包括：

应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通；

应加强与兄弟单位、公安机关、电信公司的合作与沟通。

1.1.2.5审核和检查（G2）

安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。

1.1.3人员安全管理

1.1.3.1人员录用（G2）

本项要求包括：

应指定或授权专门的部门或人员负责人员录用；

应规范人员录用过程，对被录用人员的身份、背景和专业资格等进行审查，对其所具有的技术技能进行考核；

应与从事关键岗位的人员签署保密协议。

1.1.3.2人员离岗（G2）

本项要求包括：

应规范人员离岗过程，及时终止离岗员工的所有访问权限；

应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；

应办理严格的调离手续。

1.1.3.3人员考核（G2）

应定期对各个岗位的人员进行安全技能及安全认知的考核。

1.1.3.4安全意识教育和培训（G2）

本项要求包括：

应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；

应告知人员相关的安全责任和惩戒措施，并对违反违背安全策略和规定的人员进行惩戒；

应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训。

1.1.3.5外部人员访问管理（G2）

应确保在外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监督，并登记备案。

1.1.4系统建设管理

1.1.4.1系统定级（G2）

本项要求包括：

应明确信息系统的边界和安全保护等级；

应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由；

应确保信息系统的定级结果经过相关部门的批准。

1.1.4.2安全方案设计（G2）

本项要求包括：

应根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；

应以书面形式描述对系统的安全保护要求、策略和措施等内容，形成系统的安全方案；

应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案；

应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施。

1.1.4.3产品采购和使用（G2）

本项要求包括：

应确保安全产品采购和使用符合国家的有关规定；

应确保密码产品采购和使用符合国家密码主管部门的要求；

应指定或授权专门的部门负责产品的采购。

1.1.4.4自行软件开发（G2）

本项要求包括：

应确保开发环境与实际运行环境物理分开；

应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；

应确保提供软件设计的相关文档和使用指南，并由专人负责保管。

1.1.4.5外包软件开发（G2）

本项要求包括：

应根据开发要求检测软件质量；

应确保提供软件设计的相关文档和使用指南；

应在软件安装之前检测软件包中可能存在的恶意代码；

应要求开发单位提供软件源代码，并审查软件中可能存在的后门。

1.1.4.6

工程实施（G2）本项要求包括：

应指定或授权专门的部门或人员负责工程实施过程的管理；

应制定详细的工程实施方案，控制工程实施过程。

1.1.4.7

测试验收（G2）

本项要求包括：

应对系统进行安全性测试验收；

在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；

应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

1.1.4.8

系统交付（G2）

本项要求包括：

应制定系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；

应对负责系统运行维护的技术人员进行相应的技能培训；

应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。

1.1.4.9

安全服务商选择（G2）

本项要求包括：

应确保安全服务商的选择符合国家的有关规定；

应与选定的安全服务商签订与安全相关的协议，明确约定相关责任；

应确保选定的安全服务商提供技术支持和服务承诺，必要的与其签订服务合同。

1.1.5系统运维管理

1.1.5.1环境管理（G2）

本项要求包括：

应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理；

应配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理；

应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定；

应加强对办公环境的保密性管理，包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。

1.1.5.2资产管理（G2）

本项要求包括：

应编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；

应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。

1.1.5.3介质管理（G2）

本项要求包括：

应确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理；

应对介质归档和查询等过程进行记录，并根据存档介质的目录清单定期盘点；

应对需要送出维修或销毁的介质，首先清除其中的敏感数据，防止信息的非法泄漏；

应根据所承载数据和软件的重要程度对介质进行分类和标识管理。

1.1.5.4设备管理（G2）

本项要求包括：

应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理；

应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理；

应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现关键设备（包括备份和冗余设备）的启动/停止、加电/断电等操作； d)

应确保信息处理设备必须经过审批才能带离机房或办公地点。

1.1.5.5网络安全管理（G2）

本项要求包括：

应指定人员对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；

应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定；

应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份；

应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；

应对网络设备的配置文件进行定期备份；

应保证所有与外部系统的连接均得到授权和批准。

1.1.5.6

系统安全管理（G2）

本项要求包括：

应根据业务需求和系统安全分析确定系统的访问控制策略；

应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；

应安装系统的最新补丁程序，在安装系统补丁前，应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装；

应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定；

应依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作；

应定期对运行日志和审计数据进行分析，以便及时发现异常行为。

1.1.5.7

恶意代码防范管理（G2）

本项要求包括： a)

应提高所有用户的防病毒意识，告知及时升级防病毒软件，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查；

应指定专人对网络和主机进行恶意代码检测并保存检测记录；

应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。

1.1.5.8

密码管理（G2）

应使用符合国家密码管理规定的密码技术和产品。

1.1.5.9

变更管理（G2）

本项要求包括：

应确认系统中要发生的重要变更，并制定相应的变更方案；

系统发生重要变更前，应向主管领导申请，审批后方可实施变更，并在实施后向相关人员通告。

1.1.5.10

备份与恢复管理（G2）

本项要求包括：

应识别需要定期备份的重要业务信息、系统数据及软件系统等；

应规定备份信息的备份方式、备份频度、存储介质、保存期等；

应根据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。

1.1.5.1

1安全事件处置（G2）

本项要求包括：

应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；

应制定安全事件报告和处置管理制度，明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；

应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分； d)

应记录并保存所有报告的安全弱点和可疑事件，分析事件原因，监督事态发展，采取措施避免安全事件发生。

1.1.5.12 应急预案管理（G2）

本项要求包括：

应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容；

应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次。

第二篇：数据保护这一块按照等保有关要求

数据保护这一块按照等保有关要求，分系统描述。数据备份的规则是一样的下面有描述：

加密存储方面数据库层面是对密码等关键字段做了加密存储。

互联网应用系统防泄密应对方案

1)系统架构层面，互联网WEB应用服务器都部署在DMZ区，只向互联网客户端提供接入服务，不存放数据。2)在应用架构层面，针对敏感信息采取加密传输和加密存储的方式，确保信息的安全性。

3)在业务规则层面，互联网应用系统上线前都经过行方和第三方安全服务公司的安全评估，对输入内容和上传内容通过内容校验和文件校验规避SQL注入风险和木马植入风险，确保业务规则的合理性和安全性。

4)在客户端安全层面，网银系统采用二代KEY进行登录认证，移动客户端集成了防界面劫持SDK。

5)手机银行客户开户需要到营业室面签，并关联客户的账户信息和手机号码，在动账交易时以短信的方式发送验证码至客户的签约手机上。

6)通过外包合同授权第三方安全服务厂商在我行移动客户端发布前进行安全加固服务。针对安卓客户端通过对编译后的客户端进行安全加壳规避客户端被破解的风险，针对IOS客户端，通过源代码混淆技术防止源代码泄露风险。

我行重要数据主要涉及核心账务数据、业务交易数据、用户敏感信息以及重要的其他数据等部分。目前对于这些数据的存储，我行主要采取的安全防护措施是分级别分区分域存储、在传输过程中采用校验方式来保障数据的安全性、完整性。

目前，我行对于最重要的核心数据库的存储采用的方法是单独启用两台日立高端存储阵列配置为双机实时同步的方式进行数据存储。核心部分的所有数据都有两份实时存在于存储阵列中。同时对于核心数据库的存储还采用了昆腾硬件物理带库的方法备份于昆腾的高端带库中，保障了数据的安全可靠，此外还将核心数据库的数据通过远程数据库复制技术实时同步到异机的数据库中进行脱离生产主机的数据保护。传输过程则通过带库软件的传输校验和数据库远程复制的校验来保障数据的传输准确性，保障实际存储的数据的可用性。

我行核心业务系统在软件和硬件方面都部署了密码相关应用软件和设备：密码应用软件方面，采用密码加密保护构件；在密码设备方面，部署了江南科友sjl06e金融数据加密机和吉大正元签名服务器。相关软硬件，采用DES和3DES等数据加密算法，为核心系统提供了密钥管理、消息验证、数据加密等安全的密码服务，保证数据从产生、传输、接收、处理到存储整个过程的安全性、有效性、完整性、不可抵赖性等安全问题。

我行已于2016年9月建设完成《银行卡国密改造项目》，该项目将国密SM4算法应用在IC银联卡业务中，实现了商用密码国产化的在我行的应用案例，满足监管要求，后续我行将按照主管部门要求，在全行各重要系统推行国密应用。

我行在与人民银行、支付宝等外联单位互联采用天融信的VPN安全设备接入，对数据链路采用3DES加密算法，加强了信息传输过程中的安全防范，切实保障了信息通讯安全。

我行银行卡业务系统部署了4台江南科友sjl06e金融数据加密机，采用3DES数据加密算法，实现了交易数据加密保护、密钥管理等密码安全服务，保证数据从产生、传输、接收、处理到存储整个过程的安全性、有效性、完整性、不可抵赖性等安全问题。网络通讯的安全性方面，网上银行系统部署了2台信安世纪的应用安全网关NSAE2500,采用了加密传输交易信息的措施，使用最广泛的SSL数据加密协议。保证了数据传输的机密性和完整性。在用户的身份认证上依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验，全部通过后才能确认该用户的身份。数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站，另外还确保了客户提交的交易指令的不可否认性。我行部署了2台信安世纪数字签名服务器NetSign-E进行签名验签。USBKEY采用飞天诚信生产的二代USBKEY，并且根据国家密码管理局下发的《关于做好公钥密码算法升级工作的通知》，我行已对CA系统密钥升级为RSA2048位，二代USBKEY均采用RSA2048位证书，规避了RSA1024位密钥可能带来的安全风险。

我行二代支付系统部署了2台信安世纪NetSign 3000数字签名服务器进行签名验签，2台兴唐SJL10密押机负责人行一代大小额支付业务的加押解押，2台信雅达SJL1111数据密押机负责城商行清算中心承兑汇票、本票业务的加押解押，以上设备均采用3DES数据加密算法，实现了交易数据加密保护、密钥管理等密码安全服务，保证数据从产生、传输、接收、处理到存储整个过程的安全性、有效性、完整性、不可抵赖性等安全问题。

一、按照监管要求，成立了国产密码推广领导小组 2015年下半年，经我行2015年第11次行长办公会审议通过，决定成立“宁夏银行国产密码推广工作领导小组”，负责制定全行国产密码推广工作目标和计划，监督各部门工作完成情况，统一协调国产密码推进过程中所需的各类资源，确保国产密码推进工作顺利进行。领导小组办公室设在总行信息技术部，组织架构如下：组长：居光华（副行长）

副组长：崔彦刚（信息技术部总经理）成员：总行信息技术部、个人业务部、运营管理部、网络金融部、信用卡中心、机构发展部主要负责人。

二、按照监管计划，完成了国密改造任务

根据《银行业金融机构密码应用2015年工作安排》、《金融领域国产密码应用推进工作2016年工作安排》及人民银行银川中心支行要求，在2016年年底完成金融IC发卡、受理、收单相关系统的国密改造工作，使其支持受理国密算法IC银行卡；2016年年底完成网上银行后台系统改造（产业不支持的环节除外），具备条件的上线运行，已发放的客户端数字证书或动态令牌按照生命周期逐步替换，新发放的基本支持SM系统算法；手机银行网银客户端力争支持SM系列算法，在产品成熟的情况下，力争实现广泛应用。为此，我行于2016年5月启动了国密改造一期项目，重点升级改造我行银联卡业务系统、IC卡发卡系统和受理终端，并适时推广网上银行、手机银行等信息系统的国密应用工作。详细改造内容如下：

（一）完成了银联卡业务系统国密改造工作。2016年9月9日凌晨5点，我行在宁夏地区率先完成了银联卡业务系统国密版本的投产工作，投产后，我行系统支持受理国际算法IC卡、国际和国密双算法IC卡，且与中国银联之间已切换成国密算法，加密报文均采用国密算法传输，同时银联卡系统内部各前置均采用国密算法交互。

（二）完成了发卡系统国密改造工作。2016年11月，我行完成了贷记卡和借记卡发卡系统国密改造开发和测试工作；2017年3月完成了国密卡片检测工作，具备批量发卡条件；目前待将国密密钥加载至我行银联卡业务系统、发卡系统、制卡系统后，我行将正式发送国际和国产双密码算法IC卡。

（三）受理终端国密改造基本完成。目前，我行具备改造条件和新采购ATM、POS终端均已支持国密算法IC卡，其中ATM总计200多台，POS终端2600多台，90%的终端设备支持国密算法IC卡。

（四）网上银行后台加密机和加密服务平台均支持国密算法，其他国密改造工作正在研究阶段，尚未实施。

（五）手机银行和电子支付平台登录密码和交易密码的加解密方面均才用国密算法。

三、按照监管要求，在其他信息系统推广国密算法

（一）我行二代支付系统支持国密算法。在二代支付系统建设初期，我行已将国密算法考虑在项目建设中，因此二代支付系统投产后，本身支持国密算法，同时在2015年下半年通过了人民银行国密算法联网测试。

（二）我行自助终端采用国密算法。2016年2月，我行自助终端管理系统成功上线，在建设初期，已经将国产密码算法作为系统加解密算法的首选。

（三）我行已投产的客户关系（CRM)系统，移动终端和前置通讯采用国密算法，目前运行良好。

（四）我行新采购加密机、加密服务平台等设备和平台中均要求产品支持国密算法，为后续应用改造提供支持。

四、按照监管要求，结合我行实际情况，2017年国密推广计划

根据人民银行2017年国密改造工作安排（口头传达，文件尚未发送），重点改造内容：一是新增发送IC卡，国密卡需达到15%。二是ATM、POS终端改造需达到50%（此项指标我行已达到）。三是网上银行新增产品、KEY、证书等应支持国密算法。四是推广国密算法在其他信息系统领域的应用。依据上述要求，我行2017年国密推广计划。

（一）推进我行国密IC卡的发卡进度，力争2017年发行我行国密算法IC银行卡。

（二）重点研究国密算法在我行网上银行各个加密环节应用的可行性。

（三）要求各应用系统在进行重大改造、新系统建设时，如具备条件，务必将国密算法改造列入改造内容。

（四）要求新采购密码设备或平台时，优先考虑支持国密算法或纯国密算法的设备。

宁夏银行关于客户数据保护与电子银行信息安全专项检查问题的整改情况汇报

中国银行业监督管理委员会检查组：

2013年8月12日-8月23日中国银监会检查组对我行客户数据保护与电子银行信息安全进行专项检查，并下达了《中国银监会办公厅关于宁夏银行客户数据保护与电子银行信息安全的现场检查意见书》，指出了我行在信息科技风险管理和信息安全保障中存在的问题和不足。我行董事会、党委会、监事会和高级管理层高度重视银监会监管意见，召开专题会议，传达银监会的检查意见书，听取相关部门信息科技风险管理情况和信息安全保障情况汇报，要求各相关部门认真贯彻监管要求，切实抓好整改落实工作。2014年1月我行向银监会、宁夏银监局分别报送了整改报告。

一、提高认识，加强对监管整改的领导

为了进一步加强我行信息科技治理建设工作，深入落实中国银监会、宁夏银监局监管意见，经我行董事会和总行党委研究决定，成立由赵其宏行长担任组长，居光华副行长、祁河首席风险官担任副组长，董事会、监事会和经营管理层相关部门负责人参加的“宁夏银行信息科技治理建设工作领导小组”，董事会下达了《宁夏银行关于进一步加强信息科技治理建设的意见》，要求领导小组向总行党委和董事会负责并按程序报告工作，研究提出信息科技风险体系建设、业务连续性管理体系建设中的重大决策和重要举措，强化信息科技高层治理及风险管控顶层设计。

按照董事会《宁夏银行关于进一步加强信息科技治理建设的意见》和《监事会关于加强信息科技风险管理的几点建议》安排，领导小组研究制定了《宁夏银行信息科技治理建设2014年重点工作方案》，明确了2014年我行信息科技工作重点是在总行信息科技治理建设工作领导小组的统一领导下，以信息科技整改工作为重心，以监管合规为目标，制定信息科技风险管理控制目标、组织框架，规范工作流程，不断完善信息科技风险体系；进一步加强信息科技安全管理，提升核心网络及电子银行安全管理水平，做好科技外包风险管控；建立健全行业务连续性管理组织体系和制度体系，完善应急机制，提高突发事件应急处置能力。

二、统筹计划，切实加强整改工作落实

（一）信息科技风险管理方面

按照监管指引要求，我行已初步建立由信息技术部、风险管理部、审计部组成的信息科技风险“三道防线”组织体系，并将信息科技风险纳入全面风险管理范畴。2013年我行风险管理部、审计部配备信息科技风险管理和信息科技审计人员，确定了风险管理部信息科技风险管理职责和风险经理岗位职责，并向信息技术部派驻了风险经理，具体开展信息科技风险管理工作。2013年四季度，审计部派出科技审计人员开展信息科技维保服务专项审计，2014年审计部计划聘请德勤会计师事务所开展信息科技风险外部审计。启动信息科技管理组组织架构改革，以“分级管理、权责明确、提升效能、有效制约”为原则，以“大科技管理”为目标，逐步实现应用开发、运行维护和安全管理岗位的分离，实现层次化、矩阵式的科技管理架构，有效提高信息科技风险管控能力和关键岗位制约效力。改革方案已经行长办公会审议通过，上报董事会审批后开始实施。

（二）业务连续性管理体系建设方面

我行风险管理部会同信息技术部已制定了全行业务连续性保障体系建设工作方案，草拟了《宁夏银行业务连续性管理总体办法》（讨论稿），明确了风险管理部门、业务管理部门、信息技术部门、审计部门、支撑保障部门的职责，提出了成立宁夏银行业务连续性管理委员会的意见并上报行长办公会审议。近期将启动信息科技风险及业务连续性管理建设咨询项目，借助专业咨询，帮助我行全面制定业务连续性管理组织体系、制度体系、业务连续性计划、重要业务应急预案体系和应急管理体系。同时，信息技术部已制定完成全行灾备体系架构规划方案，正在积极推进新数据中心、同城灾备中心建设，将进一步改善业务连续性管理基础设施条件。

（三）信息科技制度体系建设方面

2013年，我行启动了内控评价和操作风险管理体系建设项目，审议颁布了系统及数据库维护、数据备份恢复、网络运行、系统变更、支行安全应急等操作规程。2014年，信息技术部启动了信息科技制度体系整章建制工作，已制定完成信息科技管理规章制度体系，本着急用先行的原则，进行制度、操作规程和技术规范的编写修订，截止目前已经制定了《宁夏银行信息安全管理办法》、《宁夏银行信息系统应急管理办法》、《宁夏银行应用系统开发与维护管理规定》、《宁夏银行信息科技运行管理办法》、《宁夏银行网络安全管理办法》、《宁夏银行信息系统变更管理办法》等制度，并在信息技术部内部开式试运行，待科技管理组织架构方案批准后，计划在2014年6月底完成行内发文流程，9月底基本完成我行信息科技整章建制工作。

（四）生产网络、系统运行、安全管理方面

通过细化网络策略部署，加强网络变更控制提升生产网络的安全性，通过建设IT审计平台、数据脱敏平台、更换超期服役设备等措施加强对系统运行能安全管控能力，通过不断程序优化解决网银网站、电子邮件系统存在的安全漏洞，通过规范ATM机具管理、制卡、呼叫中心录音管理的操作流程不断完善信息安全技术防控体系建设。截止目前，我行对现场检查意见书提出的网上银行、电子银行、网络边界访问控制、ATM机具管理、网银系统权限设置、信用卡制卡、呼叫中心录音文件管理等多个环节存在的漏洞，关键客户数据存在泄漏风险安全隐患已修补完善，客户数据保护等问题已经整改完成。

三、具体整改落实情况

（一）生产网络安全管控过度粗放，系统运行安全存在较大风险

1、检查发现“内部网络与行外系统的边界隔离基本失效，第三方外联服务区域的防火墙长期处于允许全部外部网络访问通过的状态。”

整改情况：我行已对第三方外联区防火墙进行了策略梳理和细化，取消了测试保底策略，同时优化了防火墙的其他安全策略，访问控制粒度到外部源主机、内部目的主机，内部目的端口，今后将继续根据来往应用数据端口梳理，加强外部网络访问安全管控。

2、检查发现“位于外部公共区域的离行式ATM设备可不受控制地访问内部生产网络。” 整改情况：我行在离行ATM汇聚路由器上部署了访问控制策略，限定ATM设备仅能访问核心网络中的特定设备IP及特定服务端口，保障了内部生产网络安全。

3、检查发现“ATM等自助设备终端安全管控缺失，对内网系统安全运行产生严重威胁,随机抽查你行两台ATM自助终端发现，未对ATM设备进行安全控制管理，ATM外包人员可使用自带USB设备在不受你行控制的情况下对ATM进行操作，并可进一步进入内网生产系统。”

整改情况：针对ATM设备安全管控等问题我行采取以下措施手段，加强自助设备安全管控能力。一是签署安全、保密条款，与ATM等外包服务厂商的合同中签署安全、保密条款，在合同中明确外包人员应遵从的保密条款；二是从技术层面加强安全防护能力，在所有的ATM终端上安装了赛门铁克杀毒软件，定期升级病毒库，增加了禁用USB接口和光驱的策略，未经授权不允许在ATM上使用U盘及光驱，卸载了ATM终端上无关的软件和程序；三是从安全管理机制层面杜绝安全隐患，建立了严格的维护人员登记制度，要求维护人员必须在支行专管员的陪同下才能对设备进行维护操作，严格控制ATM终端的U口使用，因维护需要使用U口必须提出申请由电子银行部审批后方可使用，且严禁从ATM终端向外拷贝电子文件，从而彻底杜绝了客户信息泄露的风险。

4、检查发现“内部网络安全管控过度粗放，未划分网络生产控制域，核心生产服务器区防火墙策略允许总行办公区技术部所有源地址访问生产核心服务器区的任意主机、任意端口和任意服务，防火墙限制的远程控制端口也可被其它方式绕过或取代。由于访问控制策略过于松散，很容易通过离行式ATM或以办公终端为跳板侵入生产核心网络，生产系统存在较大风险敞口。”

整改情况：我行已经通过部署IT运维审计系统，优化网络安全策略的方法，加强了核心生产网络的安全防护。一是我行已部署了IT运维审计系统，所有对核心生产系统和网络设备的访问，已通过安全域边界防火墙访问策略控制，只允许通过具有双因子密码认证的IT审计系统登入维护。二是优化核心防火墙的安全策略，所有对核心网络的维护访问，都必须经过IT审计系统登陆，所有的业务管理访问，都制定了严格的策略控制，各类对核心生产网路的访问都必须通过精确策略匹配才能够通过，保障了核心生产网络的安全性。

5、检查发现“信息安全体系建设严重不足，你行尚未制定全行统一的信息安全策略，未设立专职安全管理岗位，工作缺乏独立性和专业性。无项目安全需求、安全设计、安全测试等相关规定，抽查信贷、ODS两项目实际执行过程也缺乏安全需求分析、应用安全专项设计等环节，安全体系建设严重缺失。”

整改情况：在信息安全体系建设方面，我行已经制定了《宁夏银行信息安全管理办法》，并完成信息技术部组织架构调整方案，设立了专职安全管理岗，并配备专职技术人员开展信息科技安全管理工作。同时，今年我行采用外包的方式签订了系统安全扫描服务，在重大项目投产变更前进行安全检查和安全测试。在项目建设中将按照《宁夏银行信息安全管理办法》开展安全评估，并进行代码扫描和安全漏洞修复。我行正在编制系统应用安全规范，新建系统将开展应用安全需求方案和安全设计工作。(二）电子银行系统安全漏洞

1、检查发现“网上银行程序会话安全存在缺陷。检查发现，你行网上银行部分会话可被劫持和篡改，用以查询或更改他人信用卡信息(包括网银绑定的手机号码、进而可实现对他人账号下的购买理财、电子支付签约等操作，存在客户账户信息被非法窃取以及账户被恶意操作等风险。”

整改情况：我行已经强化了网上银行业务处理安全验证机制，增加会话要素与客户信息和签约账号进行合法性校验，确保交易的合法性。经过测试新机制能够有效防范客户账户信息被非法窃取或恶意操作等风险。

2、检查发现“网上银行业务操作流程安全验证机制不完善，网银查询版在自助修改网银密码时无需USB-Key或短信验证，导致恶意篡改网银密码的难度大大降低。”

整改情况：我行已经停止个人网银查询版的使用，并将个人网银查询版的程序包进行卸载，杜绝了通过个人网银查询版恶意篡改密码的安全隐患；在企业查询版的密码修改功能中增加短信验证的限制条件，通过企业查询版修改密码必须通过短信验证码的验证，增加了修改密码的安全保障手段。

3、检查发现“互联网商旅平台存在struts2远程命令执行高危漏洞，可在系统内远程执行攻击命令；互联网邮件系统存在跨站脚本攻击漏洞，同时邮件登录页面无验证码设计且明文传输，存在外部暴力破解和链路拦截获取口令等敏感信息进而非法访问邮件的风险。”

整改情况：一是针对互联网商旅平台存在远程命令执行高危漏洞，我行已经将问题反馈至银联数据公司，并责成银联数据公司对商旅平台进行漏洞扫描，对存在的漏洞进行加固。同时要求银联数据公司按照银监会的有关规定，加强风险防控手段、杜绝类似问题的出现并提供安全评估报告，目前银联数据公司已向我行提交了商旅平台加固后的安全评估报告。二是针对外网邮箱存在跨站脚本攻击漏洞的问题，我行采用了xssProject的防护手段，已经在系统中部署了相关程序包，修复了跨站脚本攻击的漏洞。三是我行在外网邮箱上增加了登陆验证码功能，对系统中存在简单密码进行检查，要求使用简单密码的个人限期修改密码，并增加了密码防猜功能，将频繁出现的密码嗅探IP地址加入黑名单，同时，我行外有邮件系统使用了base64的编码方式，所编码的数据均采用加密方式传输。

4、检查发现“在已知晓一代USB-Key存在签名信息可被窃取实施转账攻击的风险，且2013年5月已上线使用二代USB-Key的情况下，电子银行部仍允许网点向客户发放存量一代USB-Key。”

整改情况：我行于2013年11月起正式停止一代USBKEY的发放，并制定了一代USBKEY替换退出计划，通过网银网站发布了替换二代UBSKEY的公告，全面启动一代USBKEY的替换工作。

（三）数据安全问题

1、检查发现“外包人员可接触的ATM机具上留存的交易日志及交易流水中完整记录了账号、卡号和交易情况。”

整改情况：建立严格的登记制度，要求维护人员必须在支行专管员陪同下才能对设备进行维护操作。同时密切关注ATM客户信息安全，禁止所有人员从ATM终端向外拷贝电子文件，如有特殊需要只能由总行特定人员进行拷贝。

2、检查发现“个人网银信用卡“客户信息查询”模块完整显示了卡号、姓名、电话、手机、邮箱和地址等个人隐私信息；“卡片信息查询”模块完整显示卡号、姓名、有效期等信用卡账户关键信息，容易造成信息泄露。”

整改情况：将个人网银信用卡客户资料维护查询结果中的家庭电话、手机号码进行了部分屏蔽，将信用卡卡片信息查询结果中的卡号信息进行了部分屏蔽，有效的防止了客户信息泄露。

3、检查发现“网银系统业务管理员访问控制权限设置不合理。检查发现，网银内管平台所有总行级管理员均可查询到全部个人网银客户信息及企业网银客户信息，同时系统提供下载功能，本地无输入输出管控及监控，在技术上无法控制客户信息外泄。”

整改情况：针对网银系统业务管理员访问控制权限设置不合理的问题，我行对网银系统后台管理进行了功能完善，一是增加网银系统管理员模块，设立网银系统管理员，负责总行级别操作员的新增、修改、删除、权限分配等工作；二是限定操作员的查询权限，总行级操作员可以查询全行网银客户信息，分、支行操作员只能查询所辖分、支行的企业客户信息，同时，在查询企业网银客户信息时必须输入企业名称（关键字即可）、企业登录名、证书编号中的一项或者多项，查询个人网银客户信息时必须输入完整的账户或证件号码。三是屏蔽了客户关键信息，将企业客户的机构代码证号、加挂账户，个人客户的证件号码、加挂账户进行了屏蔽处理，同时取消了客户信息下载功能。

4、检查发现“关键客户数据存在泄露风险。检查发现，信用卡制卡文件以明文形式暂存本地；制卡操作终端保存了部分含有客户敏感信息的文件；呼叫中心的录音文件允许明文下载并保存在本地，缺乏有效的管控手段对录音文件的使用范围、传输和转储销毁等进行控制。制卡文件以及交易录音文件等关键信息一旦外泄将产生制作“伪卡”、窃取客户密码和交易欺诈等风险。”

整改情况：为规范本地制卡流程，加强卡数据管理，落实安防要求，一是增强信用卡制卡环境的安全保障，设立了单独的制卡室，配备防盗门窗，安装了监控设备，并由专人负责监控设备的数据更新和调取；二是加强制卡用机的安全防护，制卡设备专机专用，安装杀毒软件，清理不必要的软件和程序，并采用专线传输制卡数据；三是完善制卡流程管控，采用双人管理，制卡和数据传输由专人负责分别操作，双人签字确认，相互监督并及时销毁；四是严格落实安保制度，各项工作严格遵从《宁夏银行安全保卫工作管理规定》，并完善工作登记制度，制定了《宁夏银行信用卡制卡工作登记簿》和《监控室调阅登记簿》。

在呼叫中心录音文件管理方面，一是制定了《宁夏银行呼叫中心录音文件管理暂行规定》，规范录音文件的使用管理，明确了录音文件调阅、使用的流程。同时制定了《呼叫中心录音调取申请表》，对使用人、具体使用的录音文件、用途进行登记。二是规范中心内部录音文件的下载使用管理。要求所有录音文件下载均由系统管理员专人操作。三是规范录音文件的下载过程控制。中心重新梳理系统用户的使用权限，除系统管理员外，其他用户均无下载录音文件的权限，确保录音文件下载行为的规范安全。

（四）生产系统开发、运行及连续性问题

1、检查发现“软件测试、系统运维不规范，系统安全运行存在隐患。你行软件测试管理体系不完善，无测试管理制度或规程，无专职测试管理岗位，软件功能测试工作仅凭项目组或个人经验，较少开展非功能性测试，测试缺乏规范、指导和监督，测试合规性和有效性亟待提升。另外，生产变更存在薄弱环节，相关制度不完善，缺乏必要的风险评估过程。”

整改情况：我行应用系统业务测试主要由业务主管部门完成，系统测测试和压力测试由信息技术部门完成。2014年我行将采取有效措施，进一步加强测试管理。一是制定《宁夏银行信息系统开发与维护管理规定》，明确了信息系统开发与维护的测试规范，并设立需求审查小组，制定测试工作管理规范，负责全行业务需求的审核和业务测试方案的审核，指导和监督业务部门测试人员，提高测试合规性和有效性。二是初步拟定了信息系统代码安全基线和系统安全配置标准。在系统投产上线前将由安全管理岗位和项目组共同进行系统压力测试，系统安全策略检查和代码安全检查。三是初步制定应用系统安全规范和测试规范，提高系统测试的合规性和有效性。四是重新编写了《宁夏银行信息系统变更管理制度》，进一步规范了应用系统的投产变更流程，明确了各节点的职责，增加了重要系统投产变更前的业务影响评估和风险评估。五是计划成立测试中心，强化测试管理及变更管理。

2、检查发现“运维人员可在个人办公终端上实现对生产环境的搡作、访问核心系统以及监控等，运维审计平台存在漏洞，运维人员能够绕过该平台访问网银数据库主机。”

整改情况：在运维人员操作、访问监控方面，我行已通过运维审计系统全面采用4A授权认证方式，完成了对安全域边界防火墙访问控制策略的调整完善，对访问生产主机和数据进行严格控制和全面监控，通过技术措施严格杜绝运维人员绕过运维审计平台访问后台主机和数据库。

3、检查发现“应急管理、数据中心管理存在违规现象。你行2012年8 月15日发生网银系统故障三级突发事件，事后未按照银监会《银行业重要信息系统突发事件应急管理规范（试行》要求及时向监管部门报告；你行2012年开展的两次生产系统应急切换演练均未提前向宁夏银监局报告；你行新数据中心在规划选址阶段未按照监管要求向宁夏银监局报备，违反了《商业银行数据中心监管指引》第九条“商业银行应在数据中心规划筹建阶段，以及在数据中心正式运营前至少20个工作日，向中国银监会或其派出机构报告”相关要求。”

整改情况：我行已明确风险管理部派驻信息技术部的风险经理作为监管报送责任人，负责各项信息科技监管上报工作。同时根据监管要求，完善了监管报送制度，制定了《宁夏银行重大事件报告制度》、《宁夏银行计算机安全事件报告制度》，严格按照银监会信息科技管理要求，全面、及时、准确的开展监管报送工作。2013年4季度以来，我行严格遵守监管报送要求和行内报告制度，按照指引要求报送了新数据中心筹建报告，及时报送重大事项、重大变更、例外事件共9次。

4、检查发现“业务连续性管理存在疏漏。业务连续性组织架构不完整，未明确执行部门、保障部门、业务部门、审计部门在业务连续性管理方面的职责；业务连续性体系建设滞后，未制定业务连续性管理制度，缺乏突发事件总体应急预案，同时各业务条线、各重要信息系统的应急预案不完整。”

整改情况：我行已明确风险管理部作为我行业务连续性管理的牵头部门，将负责建立业务连续性管理体系，目前已经制定了《宁夏银行业务连续性管理总体办法》（讨论稿），明确了业务连续性管理的组织架构与职责，计划启动了信息科技风险及业务连续性管理建设咨询项目，拟通过咨询项目逐步完善我行的业务连续性管理体系。同时，我行信息技术部已经制定了《宁夏银行信息系统应急管理办法》，对重要信息系统应急预案进行了梳理、完善，并针对重要信息系统应急预案制定了培训计划。

5、检查发现“业务连续性资源建设存在薄弱环节，如呼叫中心设备巳运行10年，平均每月出故障18次左右，系统可用性不足。”

整改情况：2013年11月，我行启动了呼叫中心设备升级工作，对超期服役的设备进行了更换，同时对呼叫中心供配电环境进行了加固，更换了UPS电池组，增配了柴油发电机，提升了呼叫中心系统可用性。

四、监管意见落实情况

为了落实监管意见，推动全行信息科技风险体系建设、业务连续性管理体系建设，我行董事会下发了《宁夏银行关于进一步加强信息科技治理建设的意见》，成立了“宁夏银行信息科技治理建设工作领导小组”，全面加强信息科技治理建设工作的组织和领导，并通过信息科技风险及业务连续性管理建设专业咨询项目，进一步优化我行信息科技治理架构，健全信息科技决策体系和组织架构，完善信息科技风险管理制度体系和业务连续性管理体系。

（一）加强内网安全管理

2014年，我行信息技术部进行了组织架构调整，设置了专职安全管理岗位，制定了《宁夏银行信息安全管理办法》，开展信息安全管理工作。一是签订第三方安全服务协议，定期开展信息安全检查。我行与专业的安全服务公司签订了安全服务协议，借助专业的外部技术力量，加强信息系统安全管理，今年已经进行了两次信息系统专项安全检查，我行也针对安全检查内容进行了漏洞修复与整改工作。二是加强网络安全管理。从核心网络到边界接入网络，全面梳理了网络的控制策略，强化了网络访问控制力度，提高了整体网络的安全性，同时网络调整严格遵循变更审批制度，全面加强网络安全管理。三是加强对ATM，POS等电子银行机具设备的安全管理，完善机具设备接入的集中管控。我行电子银行部加强对自助终端设备的安全管理，与服务厂商签署了安全保密协议，在终端设备上安装防病毒软件、封闭USB端口，并不断完善自助终端设备的管理机制，加强自助设备系统、应用和物理安全策略审查，以及外部维护人员维护操作规程检查。

（二）加强电子银行应用安全防护

为了加强电子银行应用安全防护，从2014年1月起，我行通过与第三方安全专业机构合作的方式，开展网站实时监控，定期开展互联网外部渗透测试，内部漏洞检查和系统、网络安全审计评估，并对发现了安全隐患进行了及时的整改。同时，制定整体安全策略和开发、运维安全规范，编制程序代码安全基线和系统安全配置标准，加强系统投产变更的风险管控，开展上线前的安全评估和合规审查。

（三）加强数据安全管理

为了加强客户数据安全管理，防止客户数据非法泄露，我行采取了以下具体措施。一是加强后台维护管理。通过IT审计系统，所有的后台维护操作必须经过需要双因子认证的IT审计系统，并且采用“最小授权”原则，控制访问权限，同时，对测试环境的客户数据进行脱敏处理，防止客户数据从后台维护、开发测试中泄露。二是优化业务程序。对涉及客户信息的信息系统进行不断的优化，控制操作员的访问权限，并对敏感客户信息进行屏蔽处理，防止客户数据从业务渠道泄露。三是进一步加强全行信息安全管理，特别是加强互联网和外联业务网络的安全管控，定期开展网络边界访问控制策略的审计检查和互联网应用安全检查，提高网络边界的防护水平，防范外部非法入侵和数据泄露风险。四是完善制度体系。对客户数据的提取、访问、销毁制定严格、完整的制度，从制度、技术等多个层面保障客户数据的安全。

(四）加强业务连续性建设

一是我行已经制定业务连续性保障体系建设工作方案，起草完成《宁夏银行信息系统应急管理办法》，完善了各信息系统的应急预案修订，制定了应急预案培训计划，初步建立了全行应急组织体系。二是风险管理部草拟了《宁夏银行业务连续性管理总体办法》（讨论稿），明确了相关部门的管理职责，提出了成立宁夏银行业务连续性管理委员会的意见并上报行长办公会审议，后续将启动信息科技风险及业务连续性管理建设咨询项目，指导我行开展业务连续性保障体系建设工作，建立完善组织架构，健全管理制度，完善全行应急管理组织体系，应急预案体系，梳理全行业务重要性级别，制定重要业务连续性管理规划，管理策略和应急预案，协助开展应急演练，提高业务应急能力。三是按照全行业务连续性管理制度体系分工和总体计划，各业务主管部门以及法律合规部、办公室、人力资源部和安全保卫部年底前制定所负责的业务条线的应急预案和连续性管理计划。四是加快推进总行新数据中心、同城灾备中心选址和系统建设以及天津、西安分行级同城灾备中心选址和系统建设。

二〇一四年五月十二日

关于网银业务存在问题整改情况说明

问题

1、网上银行程序会话安全存在缺陷。检查发现，你行网上银行部分会话可被劫持和篡改，用以查询或更改他人信用卡信息(包括网银绑定的手机号码），进而可实现对他人账号下的购买理财、电子支付签约等操作，存在客户账户信息被非法窃取以及账户被恶意操作等风险。

整改措施：针对（1）个人网银信用卡信息查询；（2）个人网银帐户信息通开通,修改,查询；（3）个人网银理财开通,修改,查询；（4）普通电子支付签约等四种签约类交易，我行已于2013年8月21日提交新版本，添加账号合法性校验，验证操作账号必须为用户网银已绑定的账号，从而避免此类风险的发生。

技术方案：将需要校验账号的交易和账号字段配置在数据库中，通过一个账号权限控制类（QueryAcControlCommandForNX），获取当前交易需要校验的账号字段，通过上下文获取账号字段的内容，然后根据条件查询数据库中是否存在此账号信息，如果不存在则属于非法篡改账号，阻止当前交易并报错。

问题

2、网银查询版在自助修改网银密码时无需USBKEY或短信验证。

整改措施：当企业查询版网银客户自助进行密码修改时进行发送短信验证码，界面输入短信验证码进行验证

业务截图：

问题

3、个人网银信用卡“客户信息查询”模块完整显示了卡号、姓名、电话、手机、邮箱和地址等个人隐私信息；“卡片信息查询”模块完整显示卡号、姓名、有效期等信用卡账户信息外泄。整改措施：

1、将信用卡客户资料维护查询结果中，对家庭电话、手机号码进行了部分屏蔽；

2、将信用卡卡片信息查询结果中的卡号信息进行了部分屏蔽。

业务信息截图：

（1）信用卡客户资料维护功能：点击查询后：

（2）信用卡卡片信息修改

他行网上银行信用卡信息查询截图：

问题

4、网银连续登陆失败5次，账户被锁定，但不通知客户，30分钟后自动解锁。

整改措施：密码输入错误5次后，账户被锁定时，系统自动客户发送短信通知

短信通知内容：个人客户：您好，您的个人网银因登陆时密码输入连续错误5次，已被锁定，30分钟后将自动解锁，如不是本人操作，请及时通知我行。

企业客户：您好，您的企业网银用户因登陆时密码输入连续错误5次，该用户已被锁定，30分钟后将自动解锁，如不是您本人操作，请及时通知我行。

登陆页面提示及发送短息信息图片：

个人短信截屏：

企业短信截屏：

问题5、2013年5月已上线使用二代USB-Key的情况下，仍允许网点向客户发放存量一代USB-Key。

整改情况说明：我行与2013年11月20日以纸质文件报送银监局，并于13年11月25日在网银网站进行了替换二代USBJKEY的公告公告截图：

问题

6、网银内管平台所有总行级管理员均可查询到全部个人网银客户信息及企业网银客户信息，同时系统提供下载功能，本地无输入输出管控及监控，在技术上无法控制客户信息外泄。具体整改措施：

一、开发网银系统管理员模块

设立网银系统管理员，由电子银行部主管网银业务的领导担任，负责总行级操作员的新增、修改、删除、权限分配、密码重置等工作。

二、限定操作员查询权限

1、总行级操作员可以查询全行网银客户信息，分行级操作员只能查询所辖支行网银客户信息。总、分级操作员查询企业网银客户信息时必须输入企业名称（关键字即可）、企业登录名、证书编号中的一项或多项，查询个人网银客户信息时必须输入完整的账号、证件号码、证书编号中的一项或多项。

2、支行级操作员可以查询全行个人网银客户信息和本机构注册的企业网银客户信息，其中3300机构（呼叫中心）操作员需要特殊处理，允许查询全行企业和个人客户信息。查询企业客户信息时无须输入客户有关信息，查询个人客户信息时必须输入完整的账号、证件号码、证书编号中的一项或多项。

三、屏蔽客户关键信息

将企业客户的机构代码证号、加挂账号，个人客户的证件号码、加挂账号中间部分做屏蔽处理，同时取消客户信息“下载”功能。以总行为例相关查询界面截图：（1）个人用户信息管理

模糊查询后：

输入具体的证件号后：

点击登录名后详情显示：

（2）企业用户信息管理：

模糊信息查询后：

输入企业登录名：

链接核心客户号查看详情：

第三篇：2012等保工作总结

2012等保工作总结

根据电监会、集团公司信息安全等级保护工作要求，结合公司实际情况，在定级为二级保护的基础上，按照二级等级保护要求，认真开展信息安全等级保护建设、自查和整改工作，落实等级保护各项任务，提高公司信息系统安全防护能力。现将2012年信息安全自查工作开展情况总结如下：

一、信息安全保护工作开展情况

1、制定信息安全规划，明确公司信息安全策略，规划信息安全技术层面和管理方面的建设内容。

2、制、修订《Q/AEPC.G09-6-2009 计算机网络系统管理制度》、《Q/AEPC.G09-7-2009 信息机房管理制度》、《Q/AEPC.G09-9-2009 服务器管理及数据备份管理制度》、《Q/AEPC.G17-21-2011 网络与信息系统安全管理制度》、《Q/AEPC.G17-20-2009 网络与信息系统安全风险应急预案管理制度》、《Q/AEPC.G17-25-2009 信息保密管理制度》、《Q/AEPC.J11-3-2009 网络控制策略规范》、《Q/AEPC.J11-4-2009 信息机房环境和监测规范》等信息安全制度规范，规范公司信息安全管理涉及的机房、服务器、网络、用户接入、数据保密、数据备份和恢复、边界防护、风险防范等各方面的内容。

3、网络边界购置部署防火墙、IPS等设备，设置过滤、入侵检测策略，提高内部网络安全性。采取ip-mac-port绑定的方式对用户接入进行管理，防止未授权用户接入内部网络。部署上网行为管理设备，根据策略管控规范用户上网行为。对登录网络设备的用户进行身份鉴别，设置唯一的管理员标识和登录地址限制。

4、管理员统一管理主机，操作票审批通过才能操作主机，监督人旁站监督。关闭服务器远程桌面管理，对服务器的操作只能在机房监控室通过KVM切换进行。操作系统管理员口令满足复杂度要求并定期更换，启用登录失败处理功能，采取结束会话、限制非法登录次数和自动退出等措施进行保护。

5、梳理现有应用系统，根据应用系统的重要性以及新环境下的需求，修订完善应急预案，并实施“SSL VPN宕机”和“网页篡改”两个预案的演练。

6、根据工作计划，对合肥、宿州、田集、虎山等4个项目部进行了信息安全检查、MIS应用及信息安全培训。

二、存在的问题

1、信息安全规章制度还不完善，未能覆盖到信息系统安全所有方面。

2、专业技术人员较少，技术力量薄弱。

3、信息系统建设和信息安全保护工作投入的经费不足。

三、整改方向

1、进一步完善信息安全相关规章制度，实现信息安全的规范管理。

2、建立集中日志分析审计管理系统，对防火墙、SSL VPN等网络设备产生的日志统一管理，并能自动分析并产生告警。

3、部署网络管理平台，实时对网络设备、物理链路的运行情况等进行监测，对于设备和链路的异常提供告警等服务。

4、识别防火墙、IPS、SSL VPN、WebLogic、Oracle等系统存在的弱点，经测试后分别编制加固手册，根据加固手册对系统进行加固，提高其安全性

5、加强对计算机安全知识的培训，定期开展信息安全检查工作，提高人员安全防护意识。

第四篇：2012开学学籍管理等工作要求

2012秋季开学学籍管理等相关工作要求

一、关于均衡教育检查。

1、《当阳市中小学教育质量考核评价方案》挂在平台上和当阳市学籍管理QQ群共享文件中，可下载使用。

2、随班就读对残疾学生统计。就利用学籍名册复制粘贴，在姓名后插一栏，注明残疾类型（肢体、听力、视力等，不要随意填智力、精神类，除非有正规残疾证明）。请于8月28日前传给我。

3、2012初升高学生去向调查。名册和已录取情况、要求等已挂在平台上和当阳市学籍管理QQ群共享文件中，可以下载使用。请把调查好的情况（包含已知的职高、民办高中情况也要转填过来）集中填写在全市毕业生名单（第一张工作表中）中，于8月28日前传给我二、关于学籍资料整理。

1、《学生发展性评价手册》第一页的学籍卡必须验印，要仔细清查。

2、开展学生综合素质评价，方案、记载、结果等资料齐全，完善和规范《学生发展性评价手册》的填写。

3、其他学籍资料的完善。如表、册、卡、证必须配套；小升初档案完整等。

4、学籍系统数据整理完善。一是少量异动遗留问题该处理的立即处理。不能处理的暂时搁置听通知。二是有错误的一律更正，主要是指小学重复上传，虽然没有上报省厅却仍然留在系统中的少量学生信息，如2011级——新民

35、窑湾50、坝陵

35、富力寺

57、胡场

63、陈院

7、实验64；2009级——窑湾42；2008级——新店24；2007

级——雄风55。处理办法：给这些学生分一个班后再将这一个班集中删除，请于8月31日前处理好。

三、关于《湖北省暂未取得正式户口适龄儿童少年入学证明单》。所有手续已办完，请各中心学校领回去后通知相关学校于8月28日前完成以下工作。

1、将这些学生利用学籍名册复制粘贴，传一个电子名册给我。

2、在证明单标题的下面用学籍识别码给《湖北省暂未取得正式户口适龄儿童少年入学证明单》编号。

3、照相或者扫描，要求100K以下，用“学籍识别码-年级-学校类别”（小学为XX，初中为CZ）命名，传给我。如小学2011级，就是“***020068-2011-XX”

4、现在最新学籍名册下载后，最后一栏新增一栏“身份证验证结果”，如果现实的“未通过”，就需要进一步核对纠正。如果是省外的身份证，只核对是否与户口簿是否一致就行了，省内的就需要再次核对姓名以及身份证号是否与户口簿一致，如有误必须纠正。

四、关于新生注册和学籍异动办理。

1、小学一年级新生使用《新生信息采集表》采集好新生信息，并于9月10日前按照系统中对《注册模板》信息栏目完成信息录入，为新生注册做好准备。由于学籍系统暂未安排，注册要求另行通知。

2、初中新生直接在学籍系统中进行勾选，形成初中新生学籍库。我先将简化版的全市小学毕业生学籍库放在平台上和当阳市学籍管理QQ群共享文件中，请各初中将本校确定的招生对象进行勾选备用。由于涉及湖北省教育厅对各县市城区小升初择校的监测，城区初中暂由教育局直接勾选注册。

如果是省内市外学生一律先报教育局批准后，由教育局在系统中

直接向流出地教育局提出申请；如果是省外学生一律先报教育局批准后才能入学，否则不能注册。

3、关于学籍异动办理新方式。分年级分类整理异动手续备查，有手续的异动一律先按以下要求在系统中提交申请。再来当面审核并办理。——市内异动由转进学校提交异动申请，依据是《跨服务区就读申请表》；——省内市外转进由转进学校依据学生提供的就学相关证明、通过学籍系统搜索证实以后提交申请；——转出省内市外由对方提交申请；——省外转进转出由学校依据完备的纸质手续提交外省添加或转出省外的申请；——休复学要求不变，从严控制。

一年级和七年级新生注册另行安排。以后转学联系卡仅限转出市外和省外使用

3、关于跨服务区学生统计。由转出学校根据《跨服务区就读申请表》签字情况填写一个电子统计表传给我。表格内容依次为“填表学校、学生姓名、父亲、母亲、去向学校”。小学新生需要重新填写。初中可利用简化版的全市小学毕业生学籍库进行勾选、再补填“填表学校、去向”栏目后上传。

五、开学用表已挂在平台上和当阳市学籍管理QQ群共享文件中，可以下载使用。请各中心学校于9月2日前将表

6、表

7、表8的电子文档传给我。

六、《当阳市小学不足龄新生入学审批表》《当阳市跨服务区就读申请表》只发了样表，电子文档挂在平台上和当阳市学籍管理QQ群共享文件中。

请全市各中心学校、各中小学学籍管理员每天务必上平台和当阳市学籍管理QQ群（群号215186911）浏览一下消息和共享文件夹，以不耽误工作。每周至少两次浏览学籍管理系统，及时处理相关工作。

第五篇：公安派出所保二级材料

XX派出所成立于XX年X月，管辖XX街道的X个社区和X个村及XX区委、政府等XX个驻街单位，总面积XX平方公里，属于大规模开发建设地区，治安状况日趋复杂。

目前派出所共有民警XX人，工人X人，其中党员X人，干警平均年龄 XX岁，所长、教导员各1人，副所长3人（其中1人兼行政内勤），内勤民警X人，社区民警X人，侦管民警X人，工人同志从事后勤保障工作。我所现有办公楼二栋，备有值班室、接待室、会议室、社区民警办公室，侦管民警办公室，刑侦技术室，干警休息室等。[找文章到大☆秘☆书☆网-/www.xiexiebang.com-一站在手，写作无忧！]

今年以来，我所在分局党委的正确领导下，在街道工委和广大人民群众的大力支持下，在各级部门的精心指导下，团结带领全所民警奋力拼搏，埋头苦干，坚持用邓小平理论和“三个代表”重要思想、党的十六大及“两会”的精神为指针，认真贯彻落实《中国共产党中央关于进一步加强和改进公安工作的决定》和“二十公”会议精神，严格按照市委市政府及市局的的统一部署，以营造和谐稳定的社会环境和公正高效的法治环境为目标，以强化基层基础建设为重点，按照“求实、创新、开拓、发展”的基本思路和“抓学习、抓落实、抓质量”的要求，以大练兵活动为载体，以创建“平安社区”活动为契机，全面履行管理、防范、服务、打击职能，基本实现“发案少，秩序好，社会稳定，群众满意”的目标，使各项业务工作均有了新的发展和提高。现将今年的工作总结如下：

一、强化政治教育，加强内务管理，推进正规化建设

2006年，我所的队伍建设在以邓小平理论和“三个代表”的重要思想的指导下，按照公安部制定的《2004-2008年全国公安队伍正规化建设纲要》规定，认真落实《内务条令》，坚持“从严治警，依法治警”的方针，严格执行“五、四、三禁令”，以建设和谐社会为目标，以执法为民为主线，以作风建设年为载体，以大练兵活动为契机，以推进队伍正规化建设为重点，以强化基层基础为切入点，坚持不懈地组织政治学习，加强思想教育，严格内务管理，规范警容风纪，进一步完善执法过错责任追究制度，强化队伍廉政建设和监督管理机制，严防职务违法违纪问题的发生。所领导班子齐心协力，齐抓共管，一手抓打击违法犯罪，一手抓队伍建设，把队伍建设贯穿到全年的工作中，使全体民警的政治素质，业务素质，体能素质都得到普遍提高，队伍的战斗力进一步加强。

1、所领导紧跟新形势发展要求，以身作则，率先垂范，带头学习好、领会好、贯彻好十六届四中全会精神，肩负使命，按照“与时俱进抓队伍，从严治警抓规范，依法行政提素质，思想工作抓创新”的思路，以求真务实的工作作风，首先抓好队伍的思想教育。

2、组织民警继续深入学习邓小平理论和“三个代表”重要思想，组织学习党的十六大四中全会精神，认真学习贯彻《中国共产党中央关于加强党的执政能力建设的决定》。通过学习，加深理解，提高认识，以适应新时期、新形势的发展要求，促使全体民警在思想上、政治上、组织上与中央保持一致，保证政令通行。坚定不移地贯彻政治建警方针，不断强化政治思想建设，教育全体民警牢固树立“立警为公，执法为民”的神圣宗旨。

3、组织民警学习《公安机关内务条令》《人民警察法》及有关的法律法规，开展公正、文明执法法制教育，逐步提高民警的法制观念和执法水平，教育他们自省、自觉、自律、严格执行“五、四、三禁令”，防止和遏制违法违纪行为的案件发生。全年共组织干警政治学习XX次，法制学习XX次，全年无民警违纪违法和出现执法过错行为，在市局、分局的各级检查中得到好评。

4、认真按照《内务条令》加强队伍管理，对民警开展岗位集训和大练兵集中训练，深化警务公开，增加便民措施，健全执法制度，整顿警容风纪，规范执法行为。按照周部长提出的“人要精神，物要整洁，说话要和气，办事要公道”四句话基本要求规范内务办公秩序，建立卫生制度，规范内部和外来车辆停放，调整办公场所，增设文体活动室，美化办公环境。

5、严格落实值班备勤制度，枪支管理制度，用制度来约束每一位民警，做到业务工作、基础台帐清晰，使用规范，责任明确，档案管理规范，未发生失、泄密事件，我所档案室达到省厅“二级档案室”水平。

6、抓好队伍思想工作，确保队伍整体稳定。针对许多民警对当前日益繁重的公安基层工作畏难情绪，所领导及时了解思想动向，通过个别谈心，消除民警顾虑，稳定军心，使他们放下包袱，全身心投入工作之中，并将开展大练兵与做好本职工作有机结合，使他们贴近实际，贴近群众，贴近生活，肩负使命，履行职责，圆满完成上级部署的各项任务。

nbsp;

7、努力做好从优待警工作，对民警存在的实际困难和问题，尽可能协助解决。在生活上对民警给予充分关心，如有民警生病，所领导亲自前往探望、慰问，使他们感到集体的温暖。在工作上则积极推行民警绩效考评制度，实行奖优罚劣，充分调动民警的工作积极性，确保队伍整体稳定。

二、明确工作重点，创新警务机制，打开工作新局面

1、牢牢把握大局，维护辖区社会政治稳定

随着我所辖区重点工程的建设不断增多，征地拆迁存在的矛盾日益突出。为及时、准确的获取信息，增强控制社会治安的能力，今年以来，我所始终把维护辖区社会政治稳定放在基础工作的首位，大力加强了信息网络建设。社区民警物建了一批能适应工作需要和综合发挥作用的信息员，扩大了情报来源，加大了对情报信息的收集整理力度，切实做到了对各种不安定因素发现早、预警快、处置及时、彼动我知，始终掌握工作的主动权；我们还加强了对辖区内的XXX重点人员、XX重点人物、上访老户等重点对象的控制。在做好日常控制工作的同时，结合敏感时期的安全保卫工作，安排专门人员死看死守，不使其外出滋事；对存在不稳定苗头的村组、企业，则要求责任区民警提早介入，做好前期预防、疏导工作。今年共收集上报各类情报信息XX条，为上级领导的正确决策提供了依据，有效防止了各类不安定因素的扩大升级。

2、强化侦破打击，确保目标管理任务完成2006年我所牢牢把握破案、打击、追逃这一中心工作，以侦查破案为主业，以抓刑侦基础工作为重点，以提高执法办案水平为核心，以开展“两抢一盗”工作为契机，以高度的政治责任感，认真履行职责，全面开展各项刑侦业务。根据本所的实际情况结合分局下达的目标责任制，将民警的破案、打击、追逃，及刑侦基础、内务管理的工作实绩按考核标准量化分值每月进行通报，严格兑现奖惩；在狠抓侦查破案这个主业的同时，以建立刑侦工作长效机制为目标，从夯实刑侦基础工作入手，通过强化刑事特情、阵地控制和刑事犯罪信息积累等基础工作，逐步改变传统的侦查观念和侦查模式，实现了“由物到人”、“由线索到案”、“以人找案”破案思路的转变；在认真开展好“两抢一盗”、“禁毒人民战争”、“禁赌”等专项斗争的同时，始终坚持以扫黑除恶为龙头，坚持“命案必破”贯穿全年工作始终。对所发刑事案件全力以赴，全警动员，明确任务，落实责任，过硬奖惩，充分发挥了侦管民警的主力军作用和攻坚突击作用。今年以来，我所共接处警XX起，立各类刑事案件XX起，破获各类刑事案件XX起，抓获处理违法犯罪人员XX名，其中逮捕XX人，直诉XX人，劳教XX人，治安拘留XX人，强制戒毒XX 人，妇教XX 人，其他处理XX人。依法打击各类犯罪集团XX个，有效地打击犯罪分子嚣张气焰，震慑了犯罪，保护了人民。

3、落实安全防范，创建人民满意平安望岳

我所牢固树立警力有限、民力无穷的思想，按照警务活动社会化、社会治安群防化的要求，大力开展群防群治工作。要求社区民警每季度在辖区通报治安情况、每季度进行一次“四防”宣传活动、每季度对辖区各中小学校开展一次法制教育活动，通过宣传教育活动，大大提高了辖区群众对治安情况的了解程度和法制意识，促进了警民之间的沟通，增强了广大群众参与社会治安防范的热情；同时积极开展“平安社区”创建活动，发动群众干好自己的事，管好自己的人，看好自己的门，建立以人防为根本、物防为基础、技防为导向的防范机制，大力增强辖区的治安防控能力。

我所以“守住主要干道，建好社区警务，打造平安XX”为目标，以开展“两抢一盗”专项斗争为契机，制订专门的巡逻方案，充分利用街道组建的专职巡逻队和企业单位的巡防队伍等群防群治组织，由XX位刑侦民警带领所内巡防队在辖区的XX大道、XX大道等主要干道实行全天候的巡逻、监控，社区民警则带领社区巡防队伍在社区的案件多发地段和重点部位实行夜间巡逻，这样点面结合，构成望岳地区的全方位网状防控体系。严密的防控体系使街面的各类案件得到有效遏制，辖区内的三类可防性案件发案率逐月下降，确实地维护了望岳辖区的社会治安稳定，增强了辖区群众的安全感。到目前为止，发案总数较去年同期下降XX％（去年同期发案为XX 起，今年同期发案为XX 起）。

为净化辖区社会治安环境，发现和消除各类安全消防隐患，我所立足日常管理，加强重点部位的整治，重点场所重点整治，全年共发现场所中存在各类隐患XX起，发出整改通知XX份，已全部按要求整改到位，全年辖区内没有发生任何消防安全事故。

4、落实一区双警，积极推行社区警务战略

2006年是全国公安机关“基层基础建设年”，我所紧紧围绕中心工作，结合自身实际，走创新、求实效之路，充分发挥每个民警的潜能，认真找准切入点，紧密结合“一区双警”工作的开展，以强化基层基础工作为重点，以实现“发案少、秩序好、社会稳定、群众满意”为目标，以创新警务运行机制为根本，按照分步实施、有序推进的总体要求，增强实力，激发活力，努力提高队伍素质、提升工作效率，基本实现了工作制度、基础台帐、外观标识、内部设施、警务室建设的五统一，基层基础建设水平得到了明显的提高，为下一步全面开展基层基础建设工作打下了坚实基础。

我所本着因地制宜的原则，以全国优秀社区—XX的社区警务室为样板，对新建的XX、XX等警务室进行规范设置，并根据警区的划分真正落实“一区双警”工作。在综合考虑辖区各社区、村委的规模、治安状况、警力数量等因素后，对辖区XX个社区、XX个村委分成XX个责任块，2块为1个责任区，形成社区民警2人搭档包块的警务模式。结合县级公安机关综合考评工作中人口管理的内容，要求社区民警深入走访辖

区群众，对辖区的人口信息进行准确登记造册，掌握基本情况，落实管理措施，及时摸清人户分离人员情况、房屋出租情况、暂口居住情况，加强日常管理和控制，做到底数清、情况明；对于重点人口、监管对象、纳入视线人员、政治重口等特殊人群，积极完善各项监督管理措施，了解其基本信息和家庭情况，掌握其社会交往和现实表现，防止了漏管失控问题的出现，从而构建了动静结合的多元化人口管理模式。

目前，全所辖区共有常住人口XX户，XX人，登记流动人口XX人、房屋出租户XX户、用工单位XX个，办理暂住证XX人；处罚房屋出租X户、用工单位XX家、暂住人口XX人；办理二代居民身份证XX人；列管工作对象XX人，其中包括重点人口XX人、监外五种人XX人；登记辖区内境外人员临时入境XX人。

2006年我所严格按照二级派出所的标准要求自己，在各个方面都取得了较好的成绩。在来年的工作中，我们将紧紧抓住“抓基层，打基础，苦练基本功”这一中心，提高民警业务、体能、技能素质，完善学习培训、日常工作、激励考核机制，转变思想观念、工作作风、执法理念、工作模式，进一步打牢“立警为公、执法为民”思想基础，为构建XX地区平安、和谐的社会政治和治安环境做出最大的贡献，使自己无愧于二级派出所的称号。

等保二级管理要求（优秀范文5篇）

第一篇：等保二级管理要求

第二篇：数据保护这一块按照等保有关要求

第三篇：2012等保工作总结

第四篇：2012开学学籍管理等工作要求

第五篇：公安派出所保二级材料

相关范文推荐

二级建造师考试要求

二级建造师报考要求

人力资源二级论文要求

二级建造师相关要求（精选五篇）

2014年度二级建造师后审要求

二级建造师变更要求

2015年南京职称材料要求等（优秀范文5篇）

二级库管理