第一篇:安全合规-软件安全设计原则
安全设计原则
虽然任何人都不可能设计出绝对安全的网络系统,但是,如果在设计之初就遵从一些合理的原则,那么相应网络系统的安全性就更加有保障。第一代互联网的教训已经告诉我们:设计时不全面考虑,消极地将安全措施寄托在事后“打补丁”的思路是相当危险的!从工程技术角度出发,在设计网络系统时,至少应该遵守以下安全设计原则:
原则1:“木桶原则”,即,对信息均衡、全面地进行保护。
“木桶的最大容积取决于最短的一块木板”,攻击者必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击),是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段;根本目标是提高整个系统的“安全最低点”的安全性能。
原则2:“整体性原则”,即,安全防护、监测和应急恢复。
没有百分之百的信息安全,因此要求在网络被攻击、破坏事件的情况下,必须尽可能快地恢复网络的服务,减少损失。所以信息安全系统应该包括三种机制:安全防护机制;安全监测机制;安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施,避免非法攻击的进行;安全监测机制是监测系统的运行情况,及时发现和制止对系统进行的各种攻击;安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少攻击的破坏程度。
原则3:“有效性与实用性”,即,不能影响系统的正常运行和合法操作。
如何在确保安全性的基础上,把安全处理的运算量减小或分摊,减少用户记忆、存储工作和安全服务器的存储量、计算量,应该是一个信息安全设计者主要解决的问题。
原则4:“安全性评价”原则,即,实用安全性与用户需求和应用环境紧密相关。
评价系统是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,比如,1)系统的规模和范围(比如,局部性的中小型网络和全国范围的大型网络对信息安全的需求肯定是不同的);2)系统的性质和信息的重要程度(比如,商业性的信息网络、电子金融性质的通信网络、行政公文性质的管理系统等对安全的需求也各不相同)。另外,具体的用户会根据实际应用提出一定的需求,比如,强调运算实时性或注重信息完整性和真实性等等。
原则5:“等级性”,即,安全层次和安全级别。
良好的信息安全系统必然是分为不同级别的,包括:对信息保密程度分级(绝密、机密、秘密、普密);对用户操作权限分级(面向个人及面向群组),对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面的、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
原则6:“动态化”原则,即,整个系统内尽可能引入更多的可变因素,并具有良好的扩展性。
被保护的信息的生存期越短、可变因素越多,系统的安全性能就越高。安全系统要针对网络升级保留一定的冗余度,整个系统内尽可能引入更多的可变因素。
原则7:设计为本原则,即,安全系统的设计应与网络设计相结合。
在网络进行总体设计时考虑安全系统的设计,二者合二为一。避免因考虑不周,出了问题之后拆东墙补西墙,不仅造成经济上的巨大损失,而且也会对国家、集体和个人造成无法挽回的损失。由于安全问题是一个相当复杂的问题,因此必须群策群力搞好设计,才能保证安全性。
原则8:自主和可控性原则。
安全问题关系着一个国家的主权和安全,所以网络安全不可能依赖于国外,必须解决网络安全的自主权和自控权问题。
原则9:权限分割、互相制约、最小化原则。
在很多系统中都有一个系统超级用户或系统管理员,拥有对系统全部资源的存取和分配权,所以它的安全至关重要,如果不加以限制,有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏。因此有必要对系统超级用户的权限加以限制,实现权限最小化原则。管理权限交叉,有几个管理用户来动态地控制系统的管理,实现互相制约。而对于非管理用户,即普通用户,则实现权限最小原则,不允许其进行非授权以外的操作。
原则10:有的放矢、各取所需原则。
在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同。必须有的放矢,具体问题具体分析,把有限的经费花在刀刃上。
总结
社会要进步,技术要发展。纵然NGN面临诸多的安全问题,但我们不能因噎废食,畏缩不前;也绝不能掉以轻心,一劳永逸。
信息安全是一门高智商的对抗性学科,作为矛盾主体的“攻”与“守”双方,始终处于“成功”和“失败”的的轮回变化之中,没有永远的胜利者,也不会有永远的失败者。“攻”与“守”双方当前斗争的暂时动态平衡体系了网络安全的现状,而“攻”与“守”双方的“后劲”则决定了网络安全今后的走向。“攻”与“守”双方既相互矛盾又相互统一。他们始终都处于互相促进、循环往复的状态之中。更具体地说,安全是相对的,不安全才是绝对的。
信息安全是一个涉及面很广的问题,要想确保安全,必须同时从法规政策、管理、技术这三个层次上采取有效措施。高层的安全功能为低层的安全功能提供保护。任何单一层次上的安全措施都不可能提供真正的全方位安全。
先进的技术是信息安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统。
严格的安全管理至关重要。各用户单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,建立安全审计和跟踪体系,提高整体网络安全意识。
明确的法律和法规是安全的“靠山”。国家和行业部门制订严格的法律、法规,使非法分子慑于法律,不敢轻举妄动。
第二篇:合规安全管理口诀
合规安全管理口诀
各项规章记心中,严格遵守重执行。
规章制度是准绳,违规案例敲警钟。
日常操作按流程,控制风险防变通。
合规文化同创建,促进和谐共发展。
第三篇:信息安全等级合规测评
信息安全等级合规测评
合规,简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内,等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、密码管理等,是典型的合规性要求。
信息安全合规测评是国家强制要求的,信息系统运营、使用单位或者其主管部门,必须在系统建设、改造完成后,选择具备资质测评机构,依据信息安全合规性要求,对信息系统是否合规进行检测和评估的活动。信息安全合规测评具有强制性和周期性(定期检测),是国家信息安全部门督促合规性要求落地实施,保障信息安全的重要手段。
一、信息安全合规性要求
1、等级保护
等级保护将信息系统按照价值系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。等级保护依据公安部、国家保密局、国家密码管理局和国信办先后联合下发《关于信息安全等级保护工作的实施意见》、《信息安全等级保护信息安全等级保护管理办法》开展。
2、分级保护
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构,山东省软件评测中心是国家保密科技测评中心在山东省设立的分中心。
3、塞班斯法案 针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席塞班斯联合提出,又被称作《2002年塞班斯-奥克斯利法案》(简称塞班斯法案),法案对美国《1933年证券法》、《1934年证券交易法》做了不少修订,在会计职业监管、公司治理、证券市场监管等方面做出了许多新规定。
塞班斯法案成为在美上市企业躲不过去的坎。它规定,上市公司的财务报告必须包括一份内控报告,并明确规定公司管理层对建立和维护财务报告的内部控制体系及相应控制流程负有完全责任;此外,财务报告中必须附有其内控体系和相应流程有效性的评估。它的出台意味着在美国上市的公司不仅要保证其财务报表数据的准确,还要保证内控系统能通过相关审计。
4、计算机信息系统安全专用产品销售许可
计算机信息系统安全专用产品销售许可证是为了加强计算机信息系统安全专用产品的管理,保证安全专用产品的安全功能,由公安部公共信息网络安全监察局颁发的许可证书。
办理依据:
(1)《中华人民共和国计算机信息系统安全保护条例》、(1994年2月18日,国务院令147号发布)。
(2)、《计算机信息系统安全专用产品检测和销售许可证管理办法》(1997年12月1日,公安部令第32号)。
(3)、《计算机病毒防治管理办法》(2000年4月26日,公安部令第51号)。审批办理流程:
(1)、产品检测。申请单位须将样品送指定检测机构进行检测。
(2)、申请办证。检测合格后,申请单位按规定提交证书申请的相关材料。(3)、审批发证。公安部公共信息网络安全监察局。
5、信息系统密码安全管理
为推动商用密码发展,确保国家重要信息系统密码安全,具备检测资质的机构依据《信息安全等级保护商用密码管理办法》、《信息安全等级保护商用密码技术实施要求》 《信息系统安全等级保护基本要求》,对信息安全等级为三级以上(含三级)信息系统中的商用密码系统进行测评。的商用密码系统安全等级保护测评工作拟分以下三个阶段:测评申请阶段、现场检测阶段、报告与结论阶段。
在信息安全合规性要求中,等级保护和分级保护以其涉及范围广,实施具有高度专业化和复杂性的特点,成为信息安全合规测评工作的重点和难点,后面的文章将会对这两个概念进行重点解读。
二、区分信息安全等级保护与分级保护
通过上文我们知道,信息安全等级保护与分级保护是在信息安全合规测评中两个非常重要的概念,二者密切相关又有区别。山东省软件评测中心结合在等级保护测评和分级保护测评中的具体实践,对等级保护和分级保护进行详细介绍,理清两者间的关联。
1、信息系统等级保护
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。
信息系统安全等级保护将安全保护的监管级别划分为五个级别:
第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。
第四级:结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。
第五级:访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。
在等级保护的实际操作中,强调从五个部分进行保护,即:
物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;
支撑系统:包括计算机系统、操作系统、数据库系统和通信系统; 网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;
应用系统:包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理;
管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。
由这五部分的安全控制机制构成系统整体安全控制机制。
2、涉密信息系统分级保护
涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:
(1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;
(2)信息系统中的机密级信息含量较高或数量较多;(3)信息系统使用单位对信息系统的依赖程度较高。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。涉密信息系统定级遵循“谁建设、谁定级"的原则,可以根据信息密级、系统重要性和安全策略划分为不同的安全域,针对不同的安全域确定不同的等级,并进行相应的保护。建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评(山东省软件评测中心是山东省内唯一的涉密信息系统检测机构),确定在技术层面是否达到了涉密信息系统分级保护的要求。
3、等级保护和分级保护之间的关系
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,而不论它是否涉密。如:国家事务处理信息系统(党政机关办公系统);金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;国防工业企业、科研等单位的信息系统等。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏。
国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。而涉密信息系统分级保护则是是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
三、等级合规测评的主要内容
1、单元测评。单元测评从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面,测评《信息系统安全等级保护基本要求》(GB/T 22239-2008)所要求的基本安全控制在信息系统中的实施配置情况。
2、整体测评。整体测评主要测评分析信息系统的整体安全性。在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等,是在单元测评基础上进行的进一步测评分析。
四、等级合规测评的重要作用
1、等级合规测评是落实信息安全等级保护制度的重要环节
在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。信息系统定级是整个等级保护工作的开始,等级保护基本要求是对不同等级信息系统实行等级保护的基础。客户可以基于定级指南对信息系统定级,基于等级保护基本要求实施保护措施,从而将有效落实国家有关等级保护的制度要求和文件精神。
2、等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料
等级测评结论为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。
3、等级测评使整个组织规范一致的开展等级评定工作
合规测评基于客户的组织架构、运作模式等特点,制定信息系统安全保护等级定级指南,明确在组织内开展等级评定工作的原则、方法和流程,从而使得客户的等级评定工作能够在整个组织范围内一致地开展。
4、确保突出重点保护对象并进行适度保护
信息系统安全等级保护基本要求明确了不同等级信息系统的技术要求和管理要求,基于信息系统安全等级保护基本要求,合规测评可使客户在符合国家法律法规要求的前提下,针对不同等级信息系统采取相应等级的保护措施,从而确保重点突出、适度保护,节省IT投资。
5、等级测评提高内部人员的信息安全意识
合规测评过程中,第三方咨询专家将与被服务单位人员密切合作。通过与被服务单位人员有针对性的交流,以及精心设计的调查问卷等,被服务单位的管理、业务、技术等人员将逐步提高对信息安全合规的认识,强化信息安全意识,杜绝违规操作。
作为第三方测评机构,山东省软件评测中心认为,通过等级合规测评可指导用户在各个层面上综合采取多种保护措施,保护网络和安全域边界、网络及基础设施、终端计算环境的安全、以及进行安全运行中心等支撑性安全设施的建设。
五、等级合规测评的操作流程 要充分发挥等级测评对信息安全的保障作用,就要按照科学的流程和方法进行操作。山东省软件评测中心根据等级测评的相关要求将等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。具体过程如下:
1、测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
2、方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
3、现场测评活动
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
4、分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全等级保护基本要求》的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
等级测评项目启动测评准备活动信息收集与分析工具和表单准备测评对象确定测评指标确定方案编制活动测评工具接入点确定测评内容确定测评指导书开发测评方案编制现场测评活动测评实施准备现场测评和记录结果结果确认和资料归还单项测评结果判定分析与报告编制活动单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制沟通与洽谈
六、等级合规测评的关键点
确定了等级测评的具体流程,是为开展测评工作奠定了坚实基础,但是还要关注在具体环节上关键要素,它们对测评工作的成效高低具有重大影响。
1、等级测评的方法和强度
等级测评的基本方法一般包括访谈、检查和测试等三种。
访谈是测评人员通过与被测评单位的相关人员进行交谈和问询,了解被测信息系统安全技术和安全管理方面的相关信息,以对测评内容进行确认。
检查是测评人员通过简单比较或使用专业知识分析的方式获得测评证据的方法,包括:评审、核查、审查、观察、研究和分析等方法。
测试是指测评人员通过使用相关技术工具对信息系统进行验证测评的方法,包括功能测试、性能测试、渗透测试等。
等级测评机构应当根据被测信息系统的实际情况选取适合的测评强度。测评强度可以通过测评的深度和广度来描述。访谈的深度体现在访谈过程的严格和详细程度,广度体现在访谈人员的构成和数量上;检查的深度体现在检查过程的严格和详细程度,广度体现在检查对象的种类(文档、机制等)和数量上;测试的深度体现在执行的测试类型上(功能/性能测试和渗透测试),广度体现在测试使用的机制种类和数量上。
2、等级测评对象
测评对象是在被测信息系统中实现特定测评指标所对应的安全功能的具体系统组件。正确选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。
测评对象一般采用抽查信息系统中具有代表性组件的方法确定。在测评对象确定中应兼顾工作投入与结果产出两者的平衡关系。
七、等级合规测评的指标
开展等级测评活动应从《信息系统安全等级保护基本要求》(GB/T 22239-2008)中选择相应等级的安全要求作为基本测评指标。
1、第二级信息系统等级测评指标,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的66项基本要求(177个控制点)作为基础测评指标以外,还应参照《信息系统通用技术要求》中的83个控制点、《信息系统安全管理要求》中的70个控制点、《信息系统安全工程管理要求》中的51个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
2、第三级信息系统等级测评指标确定,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的73项基本要求(290个控制点)作为测评指标以外,还应参照《信息系统通用技术要求》中的109个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的42个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
3、第四级信息系统等级测评指标确定,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的77项基本要求(317个控制点)作为测评指标以外,还应参照《信息系统通用技术要求》中的120个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的35个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
4、对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的测评指标应采用就高原则。
八、高效等级测评工作的注意事项
为了保障等级测评取得真正的成效,在测评之前,需要认真筹备;测评过程中依照相关规定,强化管理。同时,在测评操作过程中还应该严格遵循等级测评的相关原则。以上经验,都已经在山东省软件测评中心的实践中得到验证,成效显著。
1、认真做好等级测评质量保障工作
等级测评机构开展测评前应与委托单位联合成立等级测评工作组,建立通畅的沟通联络机制,确保等级测评活动的顺利开展。
等级测评机构开展等级测评时,必须保证足够的现场测评等级测评师。开展第二级信息系统的等级测评活动时,测评机构至少应由一名中级等级测评师、一名管理类等级测评师、二名技术类等级测评师参与等级测评活动;开展第三级信息系统的等级测评活动时,测评机构至少应由一名高级等级测评师、两名中级等级测评师、二名管理类等级测评师、三名技术类等级测评师参与等级测评活动;开展第四级信息系统的等级测评活动时,测评机构至少应由二名高级等级测评师、两名中级等级测评师、两名管理类等级测评师、四名以上技术类等级测评师参与等级测评活动。
等级测评机构开展等级测评时,应当投入满足测评需要的拓扑发现设备、网络安全配置核查设备、网络协议分析设备、漏洞扫描设备、渗透攻击集成设备等功能测试、性能测试、渗透测试工具以及必要的交通、通信设备。
等级测评活动包括测评准备、方案编制、现场测评、分析及报告编制四个基本阶段。第二级信息系统单个业务系统等级测评全过程,一般不少于5个工作日。第三级信息系统单个业务系统等级测评全过程,一般不少于10个工作日。第四级信息系统单个业务系统等级测评全过程,一般不少于20个工作日。
等级测评活动中,测评机构需要提交给委托方的资料不少于以下纸质文档:项目计划书、公正性声明、保密协议、等级测评方案、现场测评记录、等级测评报告、安全建设整改意见
2、严格等级测评管理
信息系统的运营、使用单位或主管部门应当选择年审合格的测评机构,按照《信息系统安全等级保护测评要求》等技术标准,定期对信息系统的安全状况开展等级测评。
第三级信息系统应每年进行一次等级测评,第四级信息系统应每半年进行一次等级测评。重要的第二级信息系统可参照第三级信息系统的测评要求进行等级测评。符合测评条件的新建、扩建信息系统及信息系统发生重大改变时,应及时安排等级测评。等级测评活动结束后,测评机构应在15个工作日内向被测评信息系统的运营、使用单位提供等级测评报告,并应同时向省、市两级等保办提交第三级(含)以上信息系统的等级测评报告。被测评信息系统安全状况未达到信息安全等级保护制度要求的,由等级测评机构提出安全建设整改意见,运营、使用单位应当及时制定方案进行整改。
省内信息系统的等级测评工作原则上由省内等级测评机构完成,特殊行业等级测评机构或省外其他等级测评机构在省内开展等级测评活动时,应在省等保办办理登记备案手续,按照本规范开展等级测评活动,并接受省等保办的监督管理。测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改建议、信息安全等级保护宣传教育等工作的技术支持,但不得从事下列活动:
(1)、影响被测评信息系统正常运行,危害被测评信息系统安全;(2)、泄露被测评单位及被测信息系统的敏感信息和工作秘密;
(3)、故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
(4)、未按规定格式出具等级测评报告;
(5)、非授权占有、使用等级测评活动中的获得的相关资料及数据文件;(6)、分包或转包等级测评项目;
(7)、从事信息安全产品开发、销售和信息系统安全集成;(8)、限定被测评单位购买、使用其指定的信息安全产品;
(9)、其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
九、等级合规测评中应当严格遵循的五个原则
1、客观公正原则。测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
2、充分性原则。为客观反映被测评信息系统的安全状况,测评活动要保证必需的广度和深度,以满足国家标准和行业标准的测评指标的要求。
3、经济性原则。测评活动应尽可能降低成本,减少投入。基于测评成本和工作复杂性,鼓励测评工作部分使用能反映信息系统当前安全状态的已有测评结果,包括商业安全产品测评结果和信息系统已有的安全测评结果。
4、结果一致性原则。针对同一信息系统的等级测评,不同测评机构依据同一的测评方案和测评方法得出的测评结果应当一致,同一测评机构重复执行相同测评过程得出的结果应当一致。
5、安全性原则。测评机构和测评人员在测评活动中,应当履行安全保密义务,承担相应的法律责任,确保被测评信息系统安全运行和用户的工作秘密及商业秘密不被泄露。
第四篇:组织管理、合规管理、安全保卫
一、组织管理规范
(一)多项选择题
1、组织管理规范内容包括()。
A、组织领导规范 B、组织制度规范 C、组织流程规范 D、岗位流程规范 E、员工管理规范 F、考核考绩规范 G、党的组织规范 H、党群工作规范
2、信用社档案材料应分为()。
A、会计档案材料 B、人事档案材料 C、信贷档案材料 D、专业档案材料 E、文书档案材料 F、电子档案资料
3、党群工作会议包括()。
A、支部委员会议 B、党委办公会议 C、组织生活会议 D、支部党员大会 E、民主评议党员会议 F、党小组工作会议
4、《带班日志》的内容应涵盖()。A、是否做好营业准备,按时对外营业 B、环境是否整洁
C、安全设施能否正常运行 D、坚持考勤、查岗
E、检查各项登记簿的记载情况 F、当天的工作安排情况
(二)单项选择题
1、信用社按规定召开全体员工会议,每年不得少于()次。A、4次 B、2次 C、1次 D、12次
2、网点负责人每月对会计、出纳、财务、信贷、综合业务操作、安全保卫等规章制度执行情况检查不得少于()次。
A、6次 B、4次 C、3次 D、1次
3、组织员工集中进行定期学习,每月不得少于()次。A、1次 B、2次 C、3次 D、4次
4、党支部委员会议,每年不得少于()次。A、1次 B、2次 C、4次 D、6次
5、支部党员大会,每半年不得少于()次。A、1次 B、2次 C、4次 D、6次
6、利用具有纪念意义的节日和业务时间开展员工集体文体活动,每年不得少于()次。A、1次 B、2次 C、4次 D、6次
(三)判断题
1、网点负责人要有明确分工,要以书面形式与员工共同签字确认。()
2、终了,信用分社的会计、信贷档案按规定装订后,可就地放入档案柜保管。()
3、信用社制定考核考绩办法,应广泛征求员工意见,并由员工在意见反馈表上签署意见,必须获得3/4以上员工签字认可。()
4、按照考核考绩办法对每位员工进行行为和业绩考核,考核结果向员工反馈,获3/5以上员工签字同意后,按时兑现考核工资。()
5、信用社设立党支部,党支部委员会叁年任期届满时应及时改选。()
6、党支部委员组织生活会每季不少于1次。()
7、民主评议党员活动每年不少于2次。()
三、合规管理
(一)多项选择题
1、银监会《商业银行合规风险管理指引》所称的合规,是指使商业银行的经营活动与()相一致。
A、法律 B、法规 C、准则 D、规则
2、商业银行合规风险管理的目标是()。A、建立健全合规风险管理架构
B、实现对合规风险的有效识别和管理 C、促进全面风险管理体系建设 D、确保依法合规经营
3、合规风险,是指商业银行因没有遵循法律、规则和准则可能遭受()的风险。A、法律制裁 B、监管处罚 C、重大财务损失 D、声誉损失
4、商业银行应建立与其()相适应的合规风险管理体系。A、经营范围 B、员工水平C、组织结构 D、业务规模
5、以风险为本的合规管理计划,包括以下哪些内容?()A、特定政策和程序的实施与评价 B、合规风险评估 C、合规性测试 D、合规培训与教育
(二)单项选择题
1、根据《商业银行授信工作尽职指引》的规定,客户资料如有变动,商业银行应要求客户(),进一步核实后在档案中重新记载。A、提供公司章程 B、做出口头说明 C、提出书面申请 D、提供书面报告
2、商业银行各业务条线和分支机构的()应对本条线和本机构经营活动的合规性负首要责任。
A、合规管理人员 B、负责人 C、高管人员 D、全体员工
3、在合规管理建设中,商业银行建立的用以鼓励员工举报违法、违反职业操守或可疑行为,并充分保护举报人的制度是()。
A、合规绩效的考核 B、合规问责制度 C、诚信举报制度 D、独立管理制度
4、以下哪项不属于商业银行设立相应合规管理部门的直接依据?()A、业务条线经营范围 B、分支机构的经营范围 C、分支机构的业务规模 D、人员的数量
5、商业银行发现重大违规事件应按照()的规定向银监会报告。A、重大事故报告制度 B、重大事项报告制度 C、重大案件报告制度 D、重大事件报告制度
6、商业银行以()为经营原则,实行自主经营,自担风险,自负盈亏,自我约束。A、安全性、流动性、效益性 B、安全性、商业性、效率性 C、稳定性、流动性、效益性 D、稳定性、商业性、效率性
7、商业银行与客户的业务往来,应当遵循()原则。A、为客户的交易信息保密的原则 B、自愿、平等、诚实交易的原则 C、平等、自愿、公平和诚实信用的原则 D、平等、自愿、公平的原则
8、以下不属于法律风险的是()。
A、商业银行因客户违约而可能形成不良贷款的风险
B、商业银行的业务活动违反法律或行政法规,依法可能承担行政责任或者刑事责任的风险 C、商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任的风险
D、商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的风险
9、以下不属于操作风险事件的是()。
A、内外部欺诈 B、客户、产品和业务活动 C、就业制度和工作场所安全 D、决策失误
10、金融创新应当以()为中心。
A、市场 B、盈利 C、客户 D、风险
11、核心资本充足率为核心资本与风险加权资产之比,不应低于()。A、4% B、6% C、8% D、10%
12、下列对物权的表述中不正确的是()A、物权是绝对权 B、物权是对世权 C、物权是对人权 D、物权是支配权
(三)判断题
1、合规是商业银行高层责任,与其他员工无关。()
2、银行合规管理部门享有与银行任何员工进行沟通并获取履行职责所需的任何记录或档案材料的权利。()
3、合规负责人可以同时分管业务条线。()
4、商业银行应建立有效的合规问责制度,严格对违规行为的责任认定与追究,并采取有效的纠正措施,及时改进经营管理流程,适时修订相关政策、程序和操作指南。()
5、商业银行合规管理部门同时具备内部审计职能。()
6、商业银行操作风险包括法律风险、策略风险和声誉风险。()
四、安全保卫 试题
(一)一、多项选择
1、火灾燃烧必须具备三个基本条件:()
A.要有可燃物 B.要有助燃物 C.要有着火源 D.要有火源
2、灭火的基本方法是:()
A.冷却灭火法B.隔离灭火法C.窒息灭火法D.抑制灭火法
3、农村信用社营业终了需要入库保管的是()
A.现金 B.有价证券 C.重要凭证 D.各种印章 E.电脑软件 F.柜员卡
4、根据省联社规定,()和()连接到UPS上确保24小时通电。A.监控 B.防尾随门 C.终端 D.计算机
5、坚持做到“四双”制度,所谓“四双”是指()、()、()、()。A双人临柜.B.双人管库C.双人守库D.双人值班 E.双人押运
6、所谓四防一保是指()、()、()、()、()。
A.防盗窃B.防抢劫C.防诈骗D.防火灾E.保护集体财产的安全F.保财产和人身安全
7、值班守库人员做到“五不准”是指()、()、()、()、()。
A.不准喝酒B.不准会客和留宿外人C.不准外出D.不准脱岗空岗E.不准下棋打牌等娱乐活动F.不准迟到早退
8、上级领导来信用社检查安全保卫工作应出示()、()、()、()、或(),并及时将检查记录簿拿出让检查人员登记。
A.身份证明B.工作证C.介绍信 D.联社保卫部门陪同E.电话通知F.联社出具的文件
9、信用社安全员为确保财产和职工人身安全,必须坚持做到对所辖网点“四查”制度的落实,四查指()、()、()、()。
A.平常夜间查B.节假日全方位查C.每月定期查D.下乡随时查E.不定时查
10、农村信用社安全保卫工作的特征:()、()、()、()。A.参与性强.B.技防性C.社会参与性D.人防性强E.预防性.11、信用社缴存现金、调款必须于()向()和()用()做好计划以便做好安排。A.当天下午B.头天C.营业部D.保卫部E.电话或邮件
12、库房内严禁烟火,保持库房整洁,不准乱放杂物和存放易燃易爆等违禁物品和个人物品。对储存在库内的票币、实物要采取措施,防止()、()、()、()、()等事故的发生。A.火灾B.潮湿C.霉变D.虫蛀E.鼠咬 F.水灾
13、守库值班人员,要按时上岗,不得迟到、早退,不得擅离职守,有事要事先请假,必须经领导批准派人顶班。禁止()、()、()现象发生。A.缺岗B.迟岗C.空岗D.晚岗E.脱岗 14、110报警系统根据规定晚上(),早上()。.A.布防B.撤防C.开启D.关闭
15、电视监控设备必须严格执行按照()的规定执行,任何人不得将设备移作他用,更不得将监控设备用来()、()等对监控设备有害的操作。A.专机专用B.打游戏C.加载程序D.上网 E.看电视
16、电视监控资料的保存期限以能进行帐务检查为宜,不得少于()天,重点防护区蜮不得少于()天。
A.30 B.60 C.90 D.100 E.120
17、电视监控设备必须保持清洁完好,定期擦试打扫。防尘罩必须()清理一次,摄像机镜头()擦试一遍。A.每10天 B.每20天 C.每30天 D.每90天E.每120天
(二)单项选择
1、守库值班终了,必须及时填写()。
A.值班交接登记簿 B.双人守库登记簿.C.双人管库登记簿.D双人临柜登记簿.2、电视监控设备的管理工作由各营业网点()担任。负责电视监控设备的日常()及一般故障的(),负责记录设备的工作状况,负责()、()大事项查阅的()工作。A.社副主任 开关机 维修 重 特 请示汇报 B.安全员 开关机 维护 重 特 请示汇报 C.社主任 开关机 维护 重 特 通报
D.会计主管 开关机 维修 重 特 请示汇报
3、防尾随联动门正确使用方法()运行,不允许一开到底。A.正常 B.即开即关 C.开启一扇关闭一扇 D.带电
试题
(二)一、判断题
1、处置突发事件的方针是预防为主,严密防守;统一指挥,各负其责;快速反应,协同处置;科学决策,依法处置。()
2、上级部门和公安机关进行安全检查须两人以上即可进行检查。()
3、各县级联社可根据自身条件和需要,建立经济护卫队,并可随时撤销()
4、农村信用社工作实行分级管理、省联社统一负责、层层落实的管理办法。()
5、对持枪人员的审查,每3年不少于一次,严禁未经审查人员持枪、管抢。()
6、安全防范设施的立项和施工,各县可根据自己的实际情况,决定工程资金和施工队伍()
7、各地发生刑事案件或灾害事故,应在24小时内报告省联社()
8、运钞车在押运的过程中,遇到公安、交警、路政等人员检查室,要配合检查人员做好检查,确认是公安、交警人员时,可允许上车检查押运物品()
9、当运钞车停靠营业网点装卸钱箱时,车上人员应立即下车观察周围是否有可疑情况,看清无可疑情况时在装卸款箱()
10、押运员下车后应快速占领营业网点大门外侧,背靠墙(或入营业室内)、便于观察车辆周围、便于发挥火力、能够支援司机和组长的有力位置,打开枪保险,双手持枪准备防卫姿势()
11、在运钞过程中遭到犯罪分子袭击时,押运员应按照先示警后自卫的原则处置()
12、运钞车驾驶员在正常执行押运途中,应该做到“人不离车,车不熄火”()
13、营业期间出现无人临柜或一人临柜现象的,给予责任人处以500元罚款()
14、营业期间在无联社领导或保卫人员陪同下敲门即开违规接受检查的,给予单位负责人及责任人记过以上处分,并处以1000元以上罚款()
15、营业期间,对重要空白凭证、印章、密押、有价单证等乱扔乱放,未妥善保管的,对责任人处以300元以上罚款()
16、值班守库期间,聚众赌博、酗酒等,一律给予责任人警告以上处分,并处以1000元以上罚款,同时追究有关单位负责人的责任()
17、金库、保险柜、枪柜、通勤门等钥匙未按规定保管存放的,对责任人或单位负责人处以500元以上罚款()
18、重要空白凭证、有价单证、印章(含个人业务印章)未按规定存放保管的,对责任人每项处以罚款100-500元,柜员卡未入库或未随身携带的,对责任人处以1000元以上罚款,造成遗失的,给予责任人警告或记过处分()
19、私自将枪支外借或带枪外出,一律开除公职()
20、由于思想麻痹大意、有章不循、隐患不整改、安全保卫制度不落实、违规操作等给工作带来不良影响,不论造成后果与否,分别给予责任人和主管领导经济处罚。()
21、信用社新建、改建项目,未按审批办法的要求报上级主管保卫部门审核、批准的,对相关责任人处以10000元以上罚款,并根据造成的后果和资金损失程度给予责任人相应的行政处分()
22、对检查中发现的设施隐患应整改而未整改的,对营业单位负责人处以1000元以上罚款()
23、在执行押运任务时不按规定着装,防护头盔、防弹衣配戴不齐全,少一项,对责任人处以1000元罚款。()
24、因违反安全保卫工作制度而导致发生涉枪案件(被盗、被抢、损毁、丢失等),无论是否造成人员伤亡都要给予直接责任人和相关人员开除处分()
25、因违反安全保卫工作制度而导致发生案件,造成一人伤亡的,给予相关责任人记过处分()
26、因违反安全保卫工作制度而导致发生案件,造成三人以上伤亡的, 给予直接责任人和营业网点负责人记大过处分()
27、守库人员酒后上岗,形成重大安全隐患的,给予责任人警告以上处分,并处以1000元以上罚款。()
28、每年各县联社组织全辖枪管、保卫人员进行一次枪支培训,未落实的,对保卫科长、主管领导各处以1000元以上罚款()
29、防盗安全门的安全级别就是防盗安全门最薄弱环节能够抵抗非正常开启的净工作时间的长短。()
30、防盗安全门产品的标记FAM。防盗安全门产品的安全级别分别为A、B两级。()31、97式防暴枪射击时,手柄距面部安全距离是10CM以上,防止枪后座撞伤脸部。()
32、风险等级是银行工作人员、现金、有价证券、重要凭证及相关设施等在营业场所环境中可能受到的危险程度()
33、防护级别是为保障银行工作人员、现金、有价证券、重要凭证及相关设施等的安全,银行机构对不同风险等级营业场所所采取的相应防范措施的程度。()
34、安全保卫责任追究中纪律处分具体包括警告、记过、记大过、降级、撤职、留用察看、开除。()
35、提款箱的防护级别从高到低的顺序分为A、B、C三个级别。()
36、守库值班人员在守库值班期间发现异常情况,但最终未造成损失的,或歹徒最终未能有效实施犯罪的,不必报告单位领导。()
37.农村信用社安全保卫工作的方针是预防为主,群防群治,突出重点,保障安全()38.根据农村信用社安全保卫有关案件报告制度规定,发生“四类”案件要在规定时间内向上级主管部门报告。这里所称的“四类”案件是指诈骗、盗窃、抢劫、涉枪。()39.消防安全管理工作应贯彻预防为主,防消结合()
40.发现单位内部有违反《企业事业单位内部治安保卫条例》应采取停业通知。()41.对灭火器的设置地点主要位置明显,便于取用,不影响安全疏散()
42.营业期间严禁无关人员进入营业场内,如遇上级安全保卫检查时,应出示检查证,身份证,工作证,介绍信()
43.有现金金库的营业单位必须坚持24小时守库值班守库制度()
44.安全保卫检查要经常化、制度化,县(市)联社组织检查每年不得少于4次()45.消防器材要指定专人负责,定期检查和保养,发现过期或压力不足正常值情况时要及时更换()
46.库房门钥匙和款箱柜钥匙可以由专职守库人员保管()
47.信用社主任与辖内网点、柜组负责人要签订安全保卫工作责任状()48.信用社要与当地派出所或邻近单位签订治安联防责任书()49.对于消防器材,必须定期检查保养()50.营业期间发生危急情况,涉及危害职工生命的,要贯彻先藏身,后报警,再反击原则()51.发生犯罪分子持枪抢劫时,对已安装防弹玻璃的营业网点,临柜人员应立即按响防抢报警器,向公安“110”报警()
52.营业网点改造必须达到公安部规定的ga38—2004标准()
53.银行营业场所与外界相通的出口应安装坚固的金属防护门或防盗门,防盗门应符合gb17565要求()
54.执行运抄任务必须使用专用押款车运送()
55.发生刑事案件、治安事件、灾害事故、特大恶性案件,领导和保卫部门要立即赶到现场()
56.安全监控录像至少要保存30天()
57.调阅、查看监控录像必须经过保卫部门部门批准()
58.交接班和晚间上岗时要检查保卫区域内环境有无异常情况,是否关好门窗,落好窗帘,检查电视监控、报警器、通讯和消防器材设备技术状况是否良好()59.现金业务区安装的视频监控装置,回放图像应能达到清晰显示柜员操作及客户脸部特征要求()
60.对单位违反《企业事业单位内部治安保卫条例》最高处20万元罚款()61.ATM机的监控录像至少要保存90天()62.柜员制监控录像至少要保存60天()
63.营业场所二层(含二层)以下窗户要安装螺纹钢防护栏()64.营业间严禁外部人员进入()
65.认真对待各级安全检查发出的书面整改通知书,切实将存在的安全隐患按照要求整改到位()
二、不定项选择题
1、安全保卫工作的基本任务是()。A、维护正常的工作环境
B、落实安全防范措施,防盗窃、防抢劫、防破坏、防灾害事故、防高科技犯罪、防火灾、防洗钱,维护正常工作秩序 C、为业务经营创造良好环境
D、保障农村信用社员工人身、资金和营业场所安全
2、守卫、押运按照()标准配置枪支弹药。()A、每库一支,每车两支,每支抢配子弹10发 B、每库两支,每车一支,每支抢配配子弹20发 C、每库每车配枪两支,每支抢配子弹10发 D、每库每车配枪两支,每支抢配子弹20发
3、下列哪些情况,持枪人可以开枪制止。()A、守库、押运人员所保卫的目标受到暴力侵害时; B、执行任务人员所佩带的武器,遭到暴力抢夺时;
C、押运人员护送的现金、金银等财物的交通工具遭到不明身份的人员拦截时; D、执行任务的人员,人身遭到暴力侵害时。
4、安全设施管理的主要内容包括()。
A、保卫部门负责安全设施工程图纸的审查和竣工验收,严禁部门之间互不通气,前建后拆、重复施工;新建、改建网点安全设施一次达标;
B、保卫部门组织、信息电脑部门配合培训兼职技术人员,了解器材性能,学会使用、保养和简单维修;
C、保卫部门组织制定安全设施使用管理制度办法,经常对安全设施进行检查,对不达标或违反使用规定的要限期整改。
D、根据自身条件决定安防设施项目、费用及工期。
5、对违反下列情况之一的,由上级主管部门、有关单位、或本单位根据有关规定给予经济处罚。()
A、不执行金库双人管理B、金库钥匙不分开保管 C、金库不使用密码 D、各级检查不查验证件
6、持枪、管枪人员审查程序。()A、用枪单位填写持枪、管枪人员审查登记表,并签署意见 B、县级联社人事、保卫部门负责审查 C、县级联社主管领导审查批准 D、报省联社审查
7、持枪人员培训时间,不得少于()。A、20小时 B、30小时 C、40小时 D、50小时
8、营业时间,凡外部人员进入营业室、守库室的,对责任人及当日安全员分别处以()元以上罚款。()
A、200元 B、300 C、500元 D、1000
9、守库人员酒后上岗,形成重大安全隐患的,给予责任人()罚款。A、100-1000 B、200-1000 C、300-1000 D、500-1000
10、不认真执行值班守库制度,守库人员擅离守库室、随意脱岗、空岗的,对责任人给予相应的行政处分,并处以()元以上罚款。()A、200-1000 B、300-1000 C、500-1000 D、1000
11、金库钥匙不分开保管,对责任人处以()元以上罚款。()A、100-500 B、300-500 C、500 D、200-500
12、营业网点缺少安全保卫登记簿,给予责任人。()A、100-200 B、100-300 C、100-400 D、100-500
13、电视监控设备使用时,不按照规定登记,给予责任人()罚款 A、100-200 B、100-300 C、100-400 D、100-500
14、各营业网点每季对信用社员工防范教育不少于()次。A、一次 B、两次 C、三次 D、四次
15、各营业网点结合临柜、守库、接送款、安全知识培训等重要环节,每季对信用社人员组织至少()次有针对性的预案演练()A、一次 B、两次 C、三次 D、两次
16、各信用社主任,每月至少对所辖营业网点进行()次全面检查()A、1 B、2 C、3 D、5
17、各信用社主任,每月对所辖营业网点进行两次全面检查,没有记录的,处以()元以上罚款。
A、50 B、200 C、300 D、500
18、在押运过程中,泄露运钞秘密,对责任人处以()元以上罚款,情节严重的给予()以上处分。()A、200-500 警告 B、100-500 降低薪酬 C、1000 警告 D、2000 记大过
19、在执行押运送款任务时,发生意外不上报的,对责任人各处以()元以上罚款。A、200-500 B、300-500 C、100-500 D、1000 20、对押运中擅自改变线路的,处以()元以上罚款,A、200-500 B、100-500 C、1000 D、2000
21、因违反安全保卫工作制度而导致发生盗窃、抢劫案件,造成10万元(含10万元)以内经济损失的()
A、给予直接责任人行政记大过以上处分 B、给予营业网点负责人行政记大过以上处分 C、给予县级联社主管领导警告以上处分 D、给予营业网点负责人行政记过以上处分
22、因违反安全保卫工作制度而导致发生盗窃、抢劫案件,造成50万元至100万元(含100万元)以内损失或伤亡两人的。()A、给予直接责任人行政留用察看以上处分 B、给予营业网点负责人行政撤职以上处分 C、给予县级联社主管领导降级以上处分 D、给予县级联社主任记大过以上处分
23、因违反安全保卫工作制度而导致发生盗窃、抢劫案件,造成100万元以上经济损失或伤亡三人以上的()A、给予直接责任人行政开除处分
B、给予县级联社主管领导撤职以上处分 C、给予县级联社主任撤职以上处分 D、给予县级联社理事长降级以上处分 E、给予营业网点负责人行政开除处分
24.因违反安全保卫工作制度而导致发生诈骗案件,造成100万元以上损失的()A、给予直接责任人行政开除处分 B、给予营业网点负责人行政开除处分 C、给予县级联社主管领导撤职以上处分 D、给予县级联社主任撤职以上处分 E、给予县级联社理事长降级以上处分
25、因违反安全保卫工作制度而导致发生涉枪案件,造成两人伤亡的,对县级联社理事长、主任、主管领导,基层营业网点主要负责人和其他直接责任人员处理如下()A、给予直接责任人行政开除处分;
B、给予营业网点负责人行政留用察看以上处分 C、给予县级联社主管领导撤职以上处分 D、给予县级联社主任行政降级以上处分 E、给予县级联社理事长行政降级以上处分
26、因违反安全保卫工作制度而导致发生涉枪案件,造成三人以上伤亡的()A、给予直接责任人和营业网点负责人行政开除处分; B、给予县级联社主管领导察看留用以上处分; C、给予县级联社主任察看留用以上处分 D、给予县级联社理事长撤职以上处分
27、C级防护的提款箱应具有以下功能()A、防砸、防冲击、防撬 B、存储 C、记录 D、报警或定位
28、根据《安徽省农村信用社员工违规违纪行为处理办法》,对违纪违规人员的处理种类包括()
A、经济处罚 B、纪律处分 C、经济处罚 D、留用察看
29、营业期间,抽屉、保险柜内现金超限额或现金外置桌面,离开办公岗位,未锁闭现金抽屉、保险柜的,处以()元以上罚款,并按违规金额的()一并罚款。()A、50 3% B、100 3% C、200 5% D、500 5% 30、守库值班人员在守库值班岗位上应该做的事项有()A、检查和登记值班记录 B、清点库内寄存钱箱数量、整理出库钱箱 C、巡视保卫区域有无异常
D、做好寄库钱箱入库交接登记工作
31、晚间值班期间库区防入侵报警系统被触发,守库人员不应()。A、拿起自卫武器 B、立即出去巡视
C、通过电视监控设备观察 D、守库人员互相联络
32、押运途中,押运用枪应()。A、枪弹分离保管 B、严禁上膛 C、不得将子弹装入枪中D、枪口向下
33、守库值班人员在守库值班期间遇外来人员找人、打电话时,应()。A、守库人员坚守岗位 B、开启守库室通道门 C、按下110报警按扭 D、严禁开启守库室通道门
34、押运途中运钞车出现故障时,处置不正确的是()A、除驾驶员外,押运人员不得下车 B、及时报告单位领导
C、无法修复,请求公安或本系统其他单位或本单位援助 D、除留一人在车上外,其他人员下车警戒
35、晚上守库值班期间,发现电线、电话线、报警线路遭破坏,又无移动电话向外报警的情况下,守库值班人员不应()A、开门外出求援 B、大声对外呼救 C、敲打响器 D、高度警惕
第五篇:安全合规警示教育活动总结
xx支行安全合规警示教育活动总结
按照营业部《关于印发<安全合规警示教育活动实施方案>的通知》精神,努力实现“三无”管理目标,提高全员遵章守纪,规范操作,合规经营的自觉性,加大案件防控力度,预防各类案件的发生,促进业务经营的健康发展。我行在全行范围内开展了安全合规警示教育活动,现将活动情况总结如下。
一、建立组织,加强领导。
为切实加强对活动的组织领导,支行成立了行长同志任组长,副行同志任副组长,支行各部室经理(主任)为成员的安全合规警示教育活动领导小组,下设办公室,负责整体部署、组织协调及督办工作,办公室设在支行综合办公室,综合办公室主任任主任。
二、统一思想,提高认识。
为统一思想,提高广大员工对本次活动的认识,我行先后召开了二次会议,传达安排此次活动,并认真学习了有关文件,支行还制定了《xx支行安全合规警示教育活动实施方案》,大家对活动有了非常清晰的认识。充分认识到尽职尽责是员工发展和进步的基本途径,员工应当恪守制度要求和办事程序,勤奋努力,严谨审慎,精益求精,尽职尽责。依法合规是员工应牢固树立法律意识和合规意识,自觉遵守法律法规和银行内部规章,坚持以最高道德标准要求自己,在任何情况下,都不得以违规为代价追求利益。
三、扎实推进,不走过场。
按照实施方案,此次安全警示教育活动时间为2011年
4月15 日至5月20日,分三个阶段进行,2011年4月27日晚上18:30,我行组织全体员工观看了营业部预防职务犯罪讲座光盘,我行又召开了行长办公会议、全体员工会议,将此项活动纳入全行全年工作规划。组织员工学习《中国农业银行员工违反规章制度处理办法》、《员工违规积分管理办法》和本专业、本岗位规章制度,每名员工结合本专业、本岗位的工作,认真抄写处理办法有关章节,理解各条款的含义,并签署“处理办法已学习熟知”的书面记录,签订了《承诺书》,撰写了《心得体会》。5月20日支行班子成员、部门经理、分理处主任到xx监狱接受教育,净化思想,筑牢防线。这次活动的开展旨在教育员工牢固树立法律意识和合规意识,自觉遵守法律法规和银行规章制度,抵制各种违法违规行为。支行副科级以上领导干部学习《〈中国共产党党员领导干部廉洁从政若干准则〉实施办法》、《中国农业银行领导人员廉洁从业若干规定》和《中国农业银行“问责”办法》,每人写了一篇心得体会,全体员工结合本岗位实际实际,每人写出了学习心得体会。在对照检查阶段,各网点、部室通过学习,逐环节、逐岗位对照制度规定,查看规章制度是否执行到位,工作中还存在那些问题。每一名员工对本专业、本岗位的工作,认真进行梳理、剖析,找出了存在的问题。通过自己找、领导点、同事帮的方式,找准问题和原因,限期进行整改。支行召开了多次由网点、部室经理主任参加的问题检查剖析会,对2010年以来内外部各项检查发现的问题,认真进行梳理,分析问题根源,制定整改措施,进行再次整改。在验收总结阶段,各网点、部室对照检查阶段发现的问题认真落实整改,到目前全部问题整改完毕。
总之,此次安全合规警示教育活动是为全面提升管理水平和风险防控能力采取的一项重要举措,对于正确处理业务经营和风险控制的关系,树立安全是立行之本,安全就是效益的思想,将起到极大地促进作用,我行以此次活动为契机,认真落实合规经营的有关规定,确保安全无事故的前提下,实现经营效益最大化。