银行信息安全评估报告

2022-03-07 11:19:08下载本文作者:会员上传
简介:写写帮文库小编为你整理了这篇《银行信息安全评估报告》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《银行信息安全评估报告》。

信息安全评估报告

XXXX银行:

根据《商业银行信息科技风险管理指引》要求,信息科技管理部门应定期向总行提交本行信息安全评估报告,结合我行2020年度信息安全管理情况,现将本年度信息安全评估情况报告如下:

一、评估目标

信息安全评估的主要目标是通过自评估工作,发现我行信息系统当前面临的主要安全问题,边检查边整改,确保信息系统的安全。

二、评估依据、范围和方法

(一)评估依据:《商业银行信息科技风险管理指引》及省联社相关制度办法。

(二)评估范围:全行信息系统的安全制度管理、安全组织管理、资产管理、人员管理、物理与环境管理、通信与运营管理、访问控制管理、安全事故管理及合规性管理等方面。

(三)评估方法:采用自评估方法。

三、项目评估

(一)安全制度管理。制定了《信息系统安全运行管理办法》《信息安全策略》《信息安全工作管理办法》《信息系统设备管理办法》《信息系统网络设备用户管理办法》等一系列制度办法,明确了职责范围、工作流程,规范了信息系统生产运行安全工作。

评估结论:制定了切合实际的信息系统安全制度。

(二)信息安全组织管理。成立了信息科技管理委员会、信息系统及网络安全工作领导小组、业务连续性管理委员会及相关工作领导小组,制定了相关职责均按要求履行。

评估结论:成立了相关委员会并履行职责。

(三)资产管理。截止2020年11月底,全行共有计算机886台、UPS 87台、发电机78台、ATM机28台、CRS机58台、3G路由器77台、4G路由器5台、高拍仪台216台、扫描153仪台,均按部门按机构建立有电子台账,专人管理,按照“谁使用谁负责”的原则负责设备安全。定期安排对所有设备的使用进行安全检查,及时进行维修,排出隐患。

评估结论:有专人管理有台账,仍需加强日常维护管理。

(四)人员安全管理。一是各岗位的人员具有相应的专业知识和技能。二是重要岗位采取下列风险防范措施:验证个人信息,审核信息科技员工的道德品行,确保其具备相应的职业操守。三是确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。四是评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。五是明确其岗位权限。

评估结论:配备有专职信息科技人员,但人员配备不足,专业胜任能力有待提高,对关键岗位人员流失带来的风险缺乏有效应对措施。

(五)物理与环境安全管理。设立有物理安全保护区域,如计算机中心机房、放置网络设备的专用机房或标准化机柜等重要信息科技设备的区域,明确相应的职责,配置了网络设备和应用程序使用的网络协议和端口。内部网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等均由省联社按照级别进行了控制。

评估结论:有物理与环境安全防护措施,但仍然存在使用U盘等移动介质带来的病毒感染风险和安全风险。

(六)通信与运营管理。截止2020年11月末我行生产业务租用电信公司SDH线路77条连接市中心机房,线路带宽4M,总行营业部直连市中心机房,生产备用线路租用联通公司3G SIM卡77个连接市中心无线链路业务路由,OA业务租用移动公司MSTP线路77条连接市中心机房,带宽50M,总行营业部直连市中心机房带,生产业务市中心机房2条MSTP 线路连接省中心机房运营商分别为电信公司和联通公司,线路带宽20M。OA业务市中心机房2条MSTP线路连接省中心机房运营商分别为电信公司和移动公司,线路带宽20M。核心路由、核心交换、无线链路业务路由均在市中心机房。

评估结论:生产网主线路稳定,业务办理流畅。但备用线路存在山区网络信号差、不稳定现象,亟需更换4G及以上路由器。

(七)访问控制管理。登陆所有系统均采用个人用户名、密码及柜员卡登陆,用户名实行终身制,一人一卡,卡随人走,并要求定期修改密码。用户调动到新的工作岗位或离开我行时,在系统中及时检查、更新或注销用户身份。

评估结论:系统用户访问控制制度完善,在实际操作中需加强与综合部的沟通,及时将调整人员做系统变更。

(八)系统开发与维护管理。除省联社托管系统外,我行无自建系统。现有的系统全部由省联社开发、测试和运维。

评估结论:无自建系统,本行不涉及。

(九)信息安全事故管理。建立有应急预案及应急处置报告制度,各级机构及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处置和根本原因分析。省联社建立有专门处理问题的服务电话,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。

评估结论:我行的信息系统从未发生不安全事故,但仍需不断提升应急处置能力和风险防范能力,杜绝不安全事故的发生。

(十)合规性管理。指定了风险管理部专人负责信息科技风险管理,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。

评估结论:我行信息系统安全管理均按上级监管部门和管理部门相关制度执行,合规到位。

三、评估总结

通过以上对信息系统安全的自查自评,总的来看,我行的信息系统安全体系较为完善,但仍然存在一定的风险和隐患。比如来自不可控互联网的外部攻击威胁和内部人员的操作风险等。一是要进一步加强员工信息安全意识教育,严格网络与信息安全管理制度,提高网络安全及信息安全工作的主动性和自觉性,增强对安全防范意识和处置能力。二是要加快信息系统基础设施建设,通过安全设施与管理相结合,使安全风险可控,杜绝不安全事故的发生。

信息管理部

下载银行信息安全评估报告word格式文档
下载银行信息安全评估报告.doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    网络信息安全评估报告

    计算机信息安全评估报告 如何实现如下图所示可用性1.人们通常采用一些技术措施或网络安全设备来实现这些目标。例如: 使用防火墙,把攻击者阻挡在网络外部,让他们“迚不来”。......

    银行安全评估自查报告

    XXXX支行安全评估自查报告 为全面、客观地反映金融机构安全防范情况,根据《关于银行业金融机构安全评估工作实施方案的通知》的要求,我行及时组建安全检查小组,按照通知要求的......

    银行安全评估工作总结

    银行安全评估工作总结 根据省银监局、省公安部门及上级行关于银行业金融机构安全评估工作的部署要求,我行从XX年11月份开始到XX年10月底进行了大量的工作,到目前为止,该项工作......

    银行安全评估实施方案

    XXX商业银行XX支行 安全评估实施方案 为贯彻落实公安部、中国银行业监督管理委员会新修订的《银行业金融机构安全评估办法》(公通字[2010]34号)的通知要求,根据XX市公安局、XX......

    ××单位信息安全评估报告(最终五篇)

    ××单位 信息安全评估报告 (管理信息系统) ××单位 二零一一年九月 1 1 目标 ××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全......

    新技术新业务信息安全评估报告

    XXX新技术新业务信息安全评估报告 一、 业务基本情况 1、 业务简介(包括业务申请单位、业务功能等内容) 2、 技术原理(包括业务平台以及相关网元的网络拓扑图、采用技术的原理......

    电子银行评估报告

    一、2012年电子银行业务发展概况 2012年我行加大电子银行业务投入,加强电子银行业务建设,业务管理,提高业务风险防范能力,加大市场推广力度,网上银行和自助银行各项业务取得的长......

    银行信息科技安全

    银行信息科技安全 信息技术快速发展以及客户对高效便捷金融服务的迫切需求,带来了电子银行业务快速发展的机遇。“把业务搬到网上”成为银行业务发展的一大趋势,银行服务体系......