第一篇:邮政金融信息系统安全保障承诺书
邮政金融信息系统 安全保障承诺书
市邮政局
为确保邮政金融信息系统连续、安全、稳定运行,根据中国银行业监督管理委员会(以下简称银监会)《银行业重要信息系统突发事件应急管理规范(试行)》《银行业金融机构信息系统安全保障问责方案》、《银行、证券跨行业信息系统突发事件应急处置指引》和省公司《山东邮政金融信息系统安全保障问责方案》的各项要求,结合工作实际,现就做好有关邮政金融信息系统安全保障工作向市局安保部郑重承诺如下:
一、总体目标
全面落实省、市局关于邮政金融信息系统安全保障措施,确保重要信息系统(包括储蓄、国际业务、汇兑、基金、公司业务、银联前置等)连续、安全、稳定运行。
二、领导责任
我对本单位承担的邮政金融信息系统安全保障工作负第一责任。
三、工作目标承诺
(一)切实做好信息系统安全保障工作
1、建立有效的信息安全治理框架,明确责任,理顺工作机制。
2、成立信息安全领导小组和工作组,设立信息安全管理岗位,明确职能,授权有关部门和人员组织开展信息系统安全工作。
3、认真贯彻省、市局的信息系统安全保障规章制度,制定信息安全管理策略,组织实施信息安全管理,保证各项信息安全
制度和风险防范措施在本单位的落实。
(二)切实做好重要信息系统突发事件应急管理工作
1、我单位要进一步完善信息系统安全应急管理组织架构,细化工作流程,确保发生突发事件时,能够及时应对,快速处理。
2、对邮政金融信息系统安全,特别是在别经奥运会期间提供足够的人力、物力、财力保障。
3、组织我单位相关部门,协调电力、通信等相关单位,密切配合,有效处置突发事件。
(三)严格执行信息系统重大突发事件的报告制度
我单位将及时、全面、客观地向市局和本地监管报告信息系统重大突发事件。
四、问责承诺
因保障措施不力,导致不能提供正常服务等重大突发事件且造成较大社会影响的,或出现瞒报、谎报、迟报、漏报信息系统突发事件的情形,我将承担第一责任,并将严肃追究相关人员的责任。
五、本承诺书自签订之日起生效。
六、本承诺书一式贰份,责任单位与市局安保部各保留壹份,贰份具有同等效力。
市邮政局安全保卫部(盖章):责任单位(盖章): 市局安保部领导签字:责任人签字:
年月日年月日
第二篇:洪洞县邮政局金融信息系统安全保障问责方案
洪洞县邮政局金融信息系统安全保障问责方案
为建立有效的洪洞县邮政局金融信息系统安全保障体系,落实系统安全保障责任,根据市局要求特制定本方案.一、总体原则
(一)明确责任。各储蓄网点要建立信息安全治理架构,明确各负责人对信息系统安全管理的职责权限,建立并落实信息安全管理责任制。
(二)主动预防。各储蓄网点要建立邮政信息安全突发事件风险防范体系,建立有效的信息安全风险评估、风险预警机制,对可能导致突发事件的风险进行有效识别、分析和控制,并实施对风险指标的动态、持续监测。
(三)快速响应。各储蓄网点要建立统一指挥、反应灵敏、功能齐全、协调有序、运转高效的信息安全应急管理机制,确保突发事件发生时响应及时、联系畅通、操作准确、处理高效。
(四)持续改进。各储蓄网点要定期评价信息系统安全运行、建设和管理工作,定期对各信息系统进行风险评估,定期对各信息系统的安全建设方案进行完善,定期对各信息系统安全责任人进行考核,持续改进信息系统安全运行、建设和管理工作,不断提高邮政金融信息系统的风险防范能力。
二、问责机制
(一)各储蓄网点的负责人为本机构信息系统安全保障的第一责任人,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,明确各部室、班组及支局所为信息系统安全保障责任单位。
(二)各储蓄网点要将信息系统安全保障责任分解细化,逐项落实到具体责任人,强化信息安全管理执行力。
(三)对以下情形,县局将视情节轻重,追究责任。对于信息安
全管理失职并造成不良后果的,情节轻微的,将给予通报批评;情节严重的,将依照经营责任制进行处罚;视情节特别严重的,将依据有关法规追究法律责任。
1、因信息安全管理人员失职或风险防控整改措施不到位,导致邮政金融信息系统发生信息安全事件;
2、对发生信息安全事件应对不及时、处理措施不得力,造成故障时间延长、等级升级、事态恶化以及经济损失或社会不良影响扩大,甚至出现挤兑影响到金融秩序稳定的;
3、不遵守有关信息安全规章制度,不执行上级的信息安全管理要求,迟报、漏报、瞒报信息安全事件。
三、组织机制
各储蓄网点要建立有效的信息安全治理架构,制定信息安全战略,完善信息安全内部管理组织架构和工作机制,将信息安全管理纳入本单位整体信息科技风险管理框架。
(一)县局成立邮政信息系统奥运保障领导小组,负责统一指挥、协调信息系统安全工作。组长由王锦程担任,副组长由何三明副局长担任,成员由综合办公室、经营部、计财部、安全保卫部及后勤中心的负责人共同组成。
(二)县局邮政信息系统奥运保障领导小组下设办公室,负责组织实施信息安全管理措施。
(三)县局安全保卫部是全网安全的归口管理部门,负责安全保卫、治安、消防安全等;计财部负责信息系统安全资金安排;经营部负责技术与业务之间的协调和业务应急安排工作;综合办公室负责信息安全责任考核和系统安全项目的工程实施,以及网络、前置机、机柜、应用软件的日常运行维护和管理工作;后勤中心负责网络设备及其他电力设施的供电保障。
四、监督机制
县局将通过组织专项检查、抽查等方式,建立起非现场检查、现场检查、应急管理、风险提示、协同保障等工作机制,指导并督促各部室、班组及支局所加强信息安全管理,落实信息系统安全保障责任。
(一)非现场检查。建立非现场检查机制,通过资料分析,及时发现风险点,有针对性的向各部室、班组及支局所发出预警,指导整改工作。
(二)现场检查。建立现场检查机制,定期和不定期组织信息安全现场检查,开展差距分析、后评价等监督措施,不断督促各储蓄网点落实责任。
(三)应急管理。建立应急管理机制,督促各部室、班组及支局所建立应急管理机制,开展信息安全应急演练,不断提高应急处置能力。
(四)风险提示。建立风险提示机制,适时就邮政金融信息系统风险发出提示,便于各部室、班组及支局所及时掌握信息安全风险态势,落实风险防范措施,不断增强风险防范能力。
(五)协同保障。建立协同保障机制,县局安全保卫部、计财部、经营部、综合办公室、后勤中心等相关部门,要按照分工,密切协作,迅速有效地处置邮政金融信息系统突发事件,不断提高协同保障能力。
第三篇:邮政枪支弹药安全保障承诺书
邮政枪支弹药安全保障
承诺书
市邮政局 为确保邮政枪支弹药安全,现就我局枪支弹药启用以及做好有关枪支弹药安全管理、安全保障工作向市局郑重承诺如下:
一、总体目标
全面落实省、市局以及公安机关关于枪支弹药的管理规定,严格执行枪支弹药的使用、管理制度,确保枪支弹药安全,不发生涉枪案件。
二、领导责任
我对本单位枪支弹药的安全管理、安全保障工作负第一责任。
三、工作目标承诺
(一)切实做好枪支弹药安全保障工作
1、建立有效的枪支弹药安全管理框架,定期召开枪支弹药安全管理会议,经政审后明确专人从事枪弹管理工作,负责督导每天的枪支弹药使用、管理、检查落实情况,并层层签订枪支弹药安全管理责任书,明确责任,理顺工作机制。
2、认真贯彻省、市局及公安机关的枪支弹药统安全保障规章制度,及时通报外地市、外单位的涉枪案件,督导持枪人员、枪弹管理的人员的培训教育工作,组织实施持枪证、枪证的培训和年审工作,保证各项枪支弹药安全管理制度、安全防范措施以及安防设施的配备等工作在本单位的落实。
(二)切实做好枪支弹药突发案件的应急管理工作
1、制订和完善枪支弹药在各个环节的突发应急处置预案,细化枪支弹药交接、使用、登记、查验工作流程,每季度向公安局报备后进行一次应急演练,确保发生突发事件时,能够及时应对,快速处理,确保枪支弹药安全,不发生涉枪案件。
2、定期检查枪弹库、枪弹库的安防设施配备、运行情况,提供足够物力、财力保障,确保出现故障及时修复、出现问题及时更新,24小时运行状态良好。
3、组织枪支弹药的定期检查工作以及按照上级部门要求不定期的查验工作,确保枪支数量、使用、存放、管理无违章、违法行为。
(三)严格执行枪支弹药突发事件的报告制度及处置制度 我将及时、全面、客观地向市局报告本单位发生涉枪、弹事件,不迟报、瞒报、谎报,并按照市局要求及时拿出对相关责任人的处理意见。
四、问责承诺
因制度执行不到位、监管不力,导致出现涉枪、弹案件或造成较大社会影响的,或出现瞒报、谎报、迟报、漏涉枪、弹突发案件的情形,我将承担第一责任,并将严肃追究相关人员的责任。
五、本承诺书自签订之日起生效。
六、本承诺书一式贰份,责任单位与市局安保部各保留壹份,贰份具有同等效力。
市邮政局监督检查与安全保卫部(盖章): 责任单位(盖章): 市局安保部领导签字: 责任人签字:
年 月 日 年 月 日
第四篇:信息系统安全
数字签名过程 “发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。
数字签名有两种功效:一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。”这报文鉴别的描述!数字签名没有那么复杂。数字签名: 发送方用自己的密钥对报文X进行E运算,生成不可读取的密文Esk,然后将Esx传送给接收方,接收方为了核实签名,用发送方的密钥进行D运算,还原报文。
口令攻击的主要方法
1、社会工程学(social Engineering),通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。
2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。
3、字典攻击。如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据有的传媒报导,对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。
4、穷举攻击。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。
5、混合攻击,结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击。
避免以上四类攻击的对策是加强口令策略。
6、直接破解系统口令文件。所有的攻击都不能够奏效,入侵者会寻找目标主机的安全漏洞和薄弱环节,饲机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。
7:网络嗅探(sniffer),通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。
8:键盘记录,在目标系统中安装键盘记录后门,记录操作员输入的口令字符串,如很多间谍软件,木马等都可能会盗取你的口述。
9:其他攻击方式,中间人攻击、重放攻击、生日攻击、时间攻击。
避免以上几类攻击的对策是加强用户安全意识,采用安全的密码系统,注意系统安全,避免感染间谍软件、木马等恶意程序。
第五篇:系统安全保障措施
系统安全保障措施
一、为确保煤矿安全监控系统安全、可靠、正常的运行,充分发挥安全保障作用,制定系统安全保障措施。
二、矿井通风安全监控装置的使用管理必须严格执行矿下发的《通风安全监控系统维护使用管理办法》。
三、煤矿安全监控系统24小时值班制度,每班至少2人。工作人员应当具备计算机、煤矿安全及生产技术等专业知识。
四、建立健全煤矿安全监控系统规章制度,配备相应的工作人员,保证24小时不间断值班。工作人员按特殊工种管理,经培训合格后持证上岗。
五、矿井应当为煤矿安全监控系统架设供电专线,安装防雷电接地装置,配备消防器材等安全防护设施,确保设备完好和传输数据准确。
六、安全监控系统应当配备防病毒软件,实时监测网络病毒,及时更新病毒库和客户端防病毒软件,并定期备份监测数据库信息,确保数据安全。
七、任何单位和个人不得擅自变更煤矿安全监控系统网络平台的设置和参数。
八、故意破坏、损坏、改变煤矿安全监控系统设施,造成安全监控数据上传中断或者数据失真的,由公安机关根据《中华人民共和国治安管理处罚法》的相关规定处理;构成犯罪的,依法追究刑事责任。
点击咨询 