XX村镇银行信息安全管理机制报告
根据中国人民银行有关文件要求,我行严格执行科技信息安全管理的有关制度,认真履行信息安全工作,部署我行上下积极开展信息安全管理工作,我行高度重视此项工作,认真学习相关文件内容,结合我行实际现将我行信息安全管理机制报告如下:
一、信息安全标准
在我行信息科技制度体系框架和制度名录基础上,对全行的信息科技流程进行梳理,借鉴科学的、国际通用的方法、模型和工具,找出管理流程中存在的风险点,从防范风险、提高效率的角度优化、完善信息科技管理制度,并建立相应的信息安全技术管理标准。信息科技管理制度的内容涵盖信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计9 个方面,具体内容包括信息科技组织管理、培训、报告、风险管理、风险评估管理、风险计量监测、信息安全管理、信息系统检查管理、用户认证和访问控制、网络安全、操作系统管理、生产系统日志管理、加密管理、设 备管理、数据安全、项目管理、规划管理、需求管理、软件开发管理、测试管理、变更管理、问题缺陷管理、版本管理、质量管理、运行管理、机房管理、软硬件运行维护、网络运行维护、监控、应急管理及处置、外包管理、审计管理等内容。信息安全技术管理标准的内容包括物理安全、网络安全、主机安全、应用安全、数据安全等方面的内容。
二、信息科技风险管理实施策略
按照银行信息科技风险应对策略的四个维度,在治理上,落实信息科技风险管理模型;在流程上,对现有信息科技制度体系进行梳理、完善,并根据本策略要求更新、补充;在人员上,充实信息技术人员,加强人员专业技能和信息科技风险管理知识培训,防范关键人员流失风险;在技术上,通过信息安全技术手段和措施,从物理安全、网络安全、应用安全、数据安全等方面出发,强化信息科技风险管控。
(一) 信息科技风险管理体系
通过进一步完善我行的信息科技风险管理体系,了解和分析全行信息科技风险情况、全面展开信息科技风险管理工作,初步实现信息科技风险全周期管理,逐步将信息科技风险管理纳入银行全面风险管理中。在全行信息科技风险管理策略的基础上, 信息科技风险管理体系重点包括落实信息科技风险治理模型、信息科技战略规划审核与修订、建立信息科技风险监测机制、完善风险监督和报告制度,并评估《指引》在我行的贯彻落实情况等方面。
(二)落实信息科技风险治理模型
按照《指引》要求,“设立或指派一个特定部门负责信息科技风险管理工作”,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构,由科技信息部门具体负责信息科技风险管理,合规风险部(信息科技风险管理部门)负责信息科技风险管理工作的统筹、支持和督促工作,审计部门负责对信息科技风险管理体系运行的有效性进行评估,构建信息科技风险管理“三道防线”,满足监管部门的要求。
(三)信息科技战略规划审核与修订
信息科技管理委员会对银行信息科技战略规划进行审核,重点关注信息科技战略与全行业务战略的一致性,信息科技战略与目前全行信息科技化建设情况和发展方向一致性,配置足够人力、财力资源,保持稳定、安全的信息科技环境。相关部门根据审核意见对信息科技战略规划进行修订。修订后的信息科技战略规划内容至少应包括:
1.信息科技管理组织和制度建设规划; 2.信息科技基础架构规划; 3.信息科技应用架构规划; 4.信息科技人力资源配置规划; 5.信息科技产品开发计划; 6.信息科技服务水平建设计划; 7.信息科技风险管理政策。
(四)建立信息科技风险评价指标体系
依据监管机构要求,以《指引》为主,同时借鉴ISO2700
1、COBIT、COSO、ITIL、等级保护、五部委《企业内部控制规范》等国内外相关标准与金融业最佳实践,结合我行实际,形成我行信息科技风险评价指标体系。信息科技风险评价指标体系涵盖以下方面:信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理、外包、审计(内部审计和外部审计)。
(五)完善风险报告和监督机制
完善全行信息科技风险报告体系,明确全行信息科技风险事件汇报、响应和处置机制,加强业务管理部门、科技信息部门、信息科技风险管理部门、管理层、董事会之间的沟通和协调,规范、统一与监管机构、外部其它方面(如媒体)的沟通机制,建立清晰的与内、外部沟通(或报告)路线。建立以风险控制、风险评估、风险审计三个层面的全行信息科技风险报告和监督机制,即:
风险控制:科技信息部门应定期(至少每年一次)负责本行数据中心信息科技风险的自我评估,并将评估结果上报信息科技风险管理部门;在发生重要或重大事件时,必须根据相关规定及时上报;
风险管理:合规风险部(信息科技风险管理部门)负责组织和实施全行信息科技风险总体评估和监控,并负责总结全行年度信息科技风险管理情况,形成《年度信息科技风险管理报告》报董事会。年度报告同时作为《年度风险管理情况报告》组成部分之一; 风险审计:审计部门在信息科技风险评估的基础上,至少每三年进行一次全面地信息科技审计,形成《银行信息科技风险管理审计报告》报董事会或监事会审定。同时,对于信息科技管理的特殊或重大事件(或事故),审计部门应当进行不定期的专项审计或提出 专项意见。
(六)评估《指引》在我行的贯彻落实情况
根据我行信息科技风险管理体系建设情况,以《指引》为准绳,以信息科技风险管理体系为基础,利用信息科技风险监测指标体系,全面评估《指引》在银行的贯彻落实情况,并形成《落实情况报告》。评估对象包括全行信息科技风险管理开展的主要工作、各工作的分类描述、工作标准、计划时限的实现情况(包括已落实项、部分落实项及跟进计划、未落实项及原因)等。
三、信息分类及保护体系方面
(一)网络安全方面
1.物理和环境安全:加强支撑性基础设施、数据中心等的安全管理;对机房的物理环境和数据保存环境控制进行检查和评估,包括:温湿度控制、UPS、门禁控制、消防、防水、防磁、防雷、防盗、防鼠、逃生通道、抗震能力等;所有生产设备、开发设备、测试设备之间相互物理或逻辑分离;所有机房设立门禁系统;进一步加强数据中心机房进出管理,对非运行人员一事一授权;
(二)网络安全方面
1.访问控制安全:进一步完善应用系统权限管理制度,所有的权限变更均严格按照授权审批流程进行,发生人员离职、岗位变动时及时对其权限进行更新维护;对所有重要信息系统建立访问控制策略,所有的授权均严格按照授权审批流程进行;制定密码安全策略;禁止外部机构在本机构外的场所访问或使用重要信息系统的交易日志;每年至少进行一次渗透性测试并编写渗透性测试报告;
(三)安全保护区域方面
1.应用安全:进行电子银行系统的安全评估,完善系统交易处理和客户端安全防护手段,对高风险交易采用双因素的认证方式,并建立代码安全检测制度,加强电子银行风险监控;
2.系统软件安全:通过制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求;制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察;定期检查可用的安全补丁,并报告补丁管理状态;在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项。
3.网络安全:进一步完善生产网入侵检测/防御系统和非法入侵事件的甄别、处理、报告流程;加强网络监控并编制网络监控数据分析报告;将网络划分为不同的逻辑安全域,根据域的性质定义生产域或测试域、内部域或外部域,结合不同域之间的连通性和域的可信程度等,对整个网络进行物理或逻辑分区;进一步加强内部区域间边界安全措施、外联网边界安全措施、互联网边界安全措施、网络设备远程访问管理措施等;定期进行漏洞扫描;采取拉网式检查等形式,提高全行WINDOWS 系统防病毒软件安装覆盖率,完善病毒库升级策略和扫描策略, 确保病毒特征码的及时更新和升级;在全行部署网络接入认证系统,采取集中部署、分权管理的模式,通过与防病毒系统、补丁系统的联动,加强对全行内部网接入用户的安全管理;
4.终端安全:定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)、电话自助终端支农便民终端、万村千乡终端、移动营销终端和个人数字助理(PDA)等,确保所有终端用户设备的安全;
5.移动安全:完善移动设备安全使用规定,严格限制移动设备在生产环境中的使用。生产环境中使用移动设备时应严格限制和监督,如采取开辟有安防监控的专门区域、屏幕录像、专人陪同监督、指定机房专用移动存储设备、专用移动存储设备使用情况登记等;
6.数据安全:根据信息的重要性和敏感程度进行分级,实行分级管理,参照相应的信息系统等级保护要求执行;完善相关制度和流程,严格管理数据(特别是客户信息)的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁;采用加密、数字证书等技术手段防范数据在传输、处理、存储过程中出现泄露或被篡改的风险。不允许以明文方式存储和传送用户密码等涉密敏感信息。
7.安全检查:组织进行年度信息安全检查,并根据主管、监管和我行工作要求,进行专项信息安全检查,对检查发现问题进行跟踪、督导并落实整改。
