信息安全评估报告
XXXX银行:
根据《商业银行信息科技风险管理指引》要求,信息科技管理部门应定期向总行提交本行信息安全评估报告,结合我行202_年度信息安全管理情况,现将本年度信息安全评估情况报告如下:
一、评估目标
信息安全评估的主要目标是通过自评估工作,发现我行信息系统当前面临的主要安全问题,边检查边整改,确保信息系统的安全。
二、评估依据、范围和方法
(一)评估依据:《商业银行信息科技风险管理指引》及省联社相关制度办法。
(二)评估范围:全行信息系统的安全制度管理、安全组织管理、资产管理、人员管理、物理与环境管理、通信与运营管理、访问控制管理、安全事故管理及合规性管理等方面。
(三)评估方法:采用自评估方法。
三、项目评估
(一)安全制度管理。制定了《信息系统安全运行管理办法》《信息安全策略》《信息安全工作管理办法》《信息系统设备管理办法》《信息系统网络设备用户管理办法》等一系列制度办法,明确了职责范围、工作流程,规范了信息系统生产运行安全工作。
评估结论:制定了切合实际的信息系统安全制度。
(二)信息安全组织管理。成立了信息科技管理委员会、信息系统及网络安全工作领导小组、业务连续性管理委员会及相关工作领导小组,制定了相关职责均按要求履行。
评估结论:成立了相关委员会并履行职责。
(三)资产管理。截止202_年11月底,全行共有计算机886台、UPS 87台、发电机78台、ATM机28台、CRS机58台、3G路由器77台、4G路由器5台、高拍仪台216台、扫描153仪台,均按部门按机构建立有电子台账,专人管理,按照“谁使用谁负责”的原则负责设备安全。定期安排对所有设备的使用进行安全检查,及时进行维修,排出隐患。
评估结论:有专人管理有台账,仍需加强日常维护管理。
(四)人员安全管理。一是各岗位的人员具有相应的专业知识和技能。二是重要岗位采取下列风险防范措施:验证个人信息,审核信息科技员工的道德品行,确保其具备相应的职业操守。三是确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。四是评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。五是明确其岗位权限。
评估结论:配备有专职信息科技人员,但人员配备不足,专业胜任能力有待提高,对关键岗位人员流失带来的风险缺乏有效应对措施。
(五)物理与环境安全管理。设立有物理安全保护区域,如计算机中心机房、放置网络设备的专用机房或标准化机柜等重要信息科技设备的区域,明确相应的职责,配置了网络设备和应用程序使用的网络协议和端口。内部网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等均由省联社按照级别进行了控制。
评估结论:有物理与环境安全防护措施,但仍然存在使用U盘等移动介质带来的病毒感染风险和安全风险。
(六)通信与运营管理。截止202_年11月末我行生产业务租用电信公司SDH线路77条连接市中心机房,线路带宽4M,总行营业部直连市中心机房,生产备用线路租用联通公司3G SIM卡77个连接市中心无线链路业务路由,OA业务租用移动公司MSTP线路77条连接市中心机房,带宽50M,总行营业部直连市中心机房带,生产业务市中心机房2条MSTP 线路连接省中心机房运营商分别为电信公司和联通公司,线路带宽20M。OA业务市中心机房2条MSTP线路连接省中心机房运营商分别为电信公司和移动公司,线路带宽20M。核心路由、核心交换、无线链路业务路由均在市中心机房。
评估结论:生产网主线路稳定,业务办理流畅。但备用线路存在山区网络信号差、不稳定现象,亟需更换4G及以上路由器。
(七)访问控制管理。登陆所有系统均采用个人用户名、密码及柜员卡登陆,用户名实行终身制,一人一卡,卡随人走,并要求定期修改密码。用户调动到新的工作岗位或离开我行时,在系统中及时检查、更新或注销用户身份。
评估结论:系统用户访问控制制度完善,在实际操作中需加强与综合部的沟通,及时将调整人员做系统变更。
(八)系统开发与维护管理。除省联社托管系统外,我行无自建系统。现有的系统全部由省联社开发、测试和运维。
评估结论:无自建系统,本行不涉及。
(九)信息安全事故管理。建立有应急预案及应急处置报告制度,各级机构及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处置和根本原因分析。省联社建立有专门处理问题的服务电话,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
评估结论:我行的信息系统从未发生不安全事故,但仍需不断提升应急处置能力和风险防范能力,杜绝不安全事故的发生。
(十)合规性管理。指定了风险管理部专人负责信息科技风险管理,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
评估结论:我行信息系统安全管理均按上级监管部门和管理部门相关制度执行,合规到位。
三、评估总结
通过以上对信息系统安全的自查自评,总的来看,我行的信息系统安全体系较为完善,但仍然存在一定的风险和隐患。比如来自不可控互联网的外部攻击威胁和内部人员的操作风险等。一是要进一步加强员工信息安全意识教育,严格网络与信息安全管理制度,提高网络安全及信息安全工作的主动性和自觉性,增强对安全防范意识和处置能力。二是要加快信息系统基础设施建设,通过安全设施与管理相结合,使安全风险可控,杜绝不安全事故的发生。
信息管理部