XX银行关于自建系统网络安全的自查报告

******关于自建系统网络安全的自

查报告

XX中心：

为进一步加强******公司（以下简称“本行”）自建系统网络安全管理，提高网络安全意识，提高信息安全建设水平，及时发现网络安全隐患，有效防范网络安全隐患，降低信息安全风险，确保各项业务系统安全稳定运行。根据《XX 文件通知》文件要求，本行高度重视，成立了自建系统网络安全自查工作小组，认真开展自查工作，现将自查的具体情况汇报如下：

一、成立工作小组，明确工作职责

本行成立了由XX领导任组长的自建系统网络安全自查工作小组，成员为科技XX全体员工，负责执行上级部门关于自建系统网络安全的相关要求，对本行自建系统的网络安全情况开展全面自查工作，定时向上级部门汇报自查工作的开展情况，并按照要求及时上报自查报告。

二、自查情况

本行互联网业务网络接入系统包含**系统、**系统、**系统、***系统、***系统及致***等X个系统；移动通讯专网接入的系统包含XX、XX、XX等XX个系统；外联业务网络接入包含**、**及**等X个系统；内网自建系统包含**、**、**、**、**及**等X个系统。

1.互联网架构实施情况。本行互联网建设由XX科技有限公司严格按照XX文件要求进行设计和实施，将互联网业

务的安全域划分为非安全区、半安全区、安全区、核心安全区等四个不同安全级别的安全区域，控制数据的逻辑流向，安全策略的配置遵循安全最小授权和策略最大化原则，访问逻辑精确到IP地址和服务端口，日志审计系统日志记录保存180天以上。

2.方案上报情况。本行按照XX文件要求将互联网业务系统相关资料和技术方案以正式文件的方式向XX请示，XX 中心作了《XX回复》文件。

3.制度建设及日常管理情况。本行制定了《******网络安全管理办法》《******计算机信息系统安全管理办法》《****计算机信息系统应急预案》《******数据中心机房管理制度》等制度，设立了计算机信息安全领导小组、计算机信息系统安全管理小组、计算机信息系统安全管理员，明确了工作职责，定期对机房的巡检，计算机信息系统安全管理员时时关注互联网系统的运行情况，定期更新和检查安全设备的策略情况。

4.安全服务评估情况。本行与XX公司合作开展了一次全面的信息系统安全评估工作，包含代码审计、渗透性测试、漏洞扫描、基线配置核查、网络基础架构、边界安全、安全管理评估等几大方面，目前已经完成了初测和复评工作，待最终安全评估报告完成后将上报XX中心备案。

5.网络拓扑图。

三、存在问题

1.安全知识及计算机操作培训缺乏。随着业务的不断增长，越来越多的业务依托于计算机或者移动设备，对于一线员工的计算机操作和安全知识要求逐渐提高，现在目前基层存在年龄偏大、非专业人员等情况，大部分人员均未进行过专业的、系统性的培训；同时科技人员也很少进行专业的培训。

2.专业人才匮乏。目前本行科技人员*人，工作更多的侧重于基层设备、网络的维护上，在网络安全的设施和维护上缺乏人才。

3.业务存在单线运行。目前系统使用单线运行模式，不利于系统运行的稳定性及连续性。

4.互联网信息系统未进行安全等级保护定级工作。

四、下一步工作计划

1.不断完善制度建设工作。按照上级监管要求，不断建立和完善相关管理制度，明确信息科技风险、审计专职岗位，认真贯彻落实各项规章管理制度，加强内控管理，提升信息安全管理水平。

2.做好年度安全服务工作。通过与第三方安全服务公司开展安全服务合作，及时发现网络安全隐患，及时开展问题整改，有效防范网络安全隐患，降低信息安全风险，确保各项业务系统安全稳定运行。

3.做好信息系统安全等级保护定级工作。认真按照《中国网络安全法》以及上级监管部门对信息系统建设的相关网络安全要求，将已经建设的互联网系统进行安全等级保护定

级，尽快上线运行。

4.加大投入，强化运维保障。加大信息科技基础实施的建设，完善互联网边界设备、安全设备、网闸设备等的管理，充分利用现代化科技技术巩固信息系统的安全，保障信息系统的稳定性、连续性及安全性。

5.加强沟通，建立联动机制。加强与上级监管部门、通讯公司、供应商及安全服务公司的联系，建立联动机制，发现问题及时处理和报告，确保发生安全事件后第一时间得到处理和反馈。

6.加强培训，培养专业人才。加强信息科技人才队伍建设，制定信息科技人力资源计划，引进专业人才，打造技术过硬、结构合理的专业人才队伍，充分考虑科技人员数量与业务发展需要相结合需求；加强专业知识、业务技能的学习和培训，不断提升科技人员的专业能力和素质，同时提升基层网点人员的知识和技能。