信息安全管理机制报告

信息安全管理机制报告

————————————————————————————————作者：————————————————————————————————日期：

XX村镇银行信息安全管理机制报告

根据中国人民银行有关文件要求，我行严格执行科技信息安全管理的有关制度，认真履行信息安全工作，部署我行上下积极开展信息安全管理工作，我行高度重视此项工作，认真学习相关文件内容，结合我行实际现将我行信息安全管理机制报告如下：

一、信息安全标准

在我行信息科技制度体系框架和制度名录基础上，对全行的信息科技流程进行梳理，借鉴科学的、国际通用的方法、模型和工具，找出管理流程中存在的风险点，从防范风险、提高效率的角度优化、完善信息科技管理制度，并建立相应的信息安全技术管理标准。信息科技管理制度的内容涵盖信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计9 个方面，具体内容包括信息科技组织管理、培训、报告、风险管理、风险评估管理、风险计量监测、信息安全管理、信息系统检查管理、用户认证和访问控制、网络安全、操作系统管理、生产系统日志管理、加密管理、设备管理、数据安全、项目管理、规划管理、需求管理、软件开发管理、测试管理、变更管理、问题缺陷管理、版本管理、质量管理、运行管理、机房管理、软硬件运行维护、网络运行维护、监控、应急管理及处置、外包管理、审计管理等内容。信息安全技术管理标准的内容包括物理安全、网络安全、

主机安全、应用安全、数据安全等方面的内容。

二、信息科技风险管理实施策略

按照银行信息科技风险应对策略的四个维度，在治理上，落实信息科技风险管理模型；在流程上，对现有信息科技制度体系进行梳理、完善，并根据本策略要求更新、补充；在人员上，充实信息技术人员，加强人员专业技能和信息科技风险管理知识培训，防范关键人员流失风险；在技术上，通过信息安全技术手段和措施，从物理安全、网络安全、应用安全、数据安全等方面出发，强化信息科技风险管控。

（一）信息科技风险管理体系

通过进一步完善我行的信息科技风险管理体系，了解和分析全行信息科技风险情况、全面展开信息科技风险管理工作，初步实现信息科技风险全周期管理，逐步将信息科技风险管理纳入银行全面风险管理中。在全行信息科技风险管理策略的基础上，信息科技风险管理体系重点包括落实信息科技风险治理模型、信息科技战略规划审核与修订、建立信息科技风险监测机制、完善风险监督和报告制度，并评估《指引》在我行的贯彻落实情况等方面。

（二）落实信息科技风险治理模型

按照《指引》要求，“设立或指派一个特定部门负责信息科技风险管理工作”，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构，由科技信息部

门具体负责信息科技风险管理，合规风险部（信息科技风险管理部门）负责信息科技风险管理工作的统筹、支持和督促工作，审计部门负责对信息科技风险管理体系运行的有效性进行评估，构建信息科技风险管理“三道防线”，满足监管部门的要求。

（三）信息科技战略规划审核与修订

信息科技管理委员会对银行信息科技战略规划进行审核，重点关注信息科技战略与全行业务战略的一致性，信息科技战略与目前全行信息科技化建设情况和发展方向一致性，配置足够人力、财力资源，保持稳定、安全的信息科技环境。相关部门根据审核意见对信息科技战略规划进行修订。修订后的信息科技战略规划内容至少应包括：

1. 信息科技管理组织和制度建设规划；

2. 信息科技基础架构规划；

3. 信息科技应用架构规划；

4. 信息科技人力资源配置规划；

5. 信息科技产品开发计划；

6. 信息科技服务水平建设计划；

7. 信息科技风险管理政策。

（四）建立信息科技风险评价指标体系

依据监管机构要求，以《指引》为主，同时借鉴ISO27001、COBIT、COSO、ITIL、等级保护、五部委《企业内部控制规

范》等国内外相关标准与金融业最佳实践，结合我行实际，形成我行信息科技风险评价指标体系。信息科技风险评价指标体系涵盖以下方面：信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理、外包、审计（内部审计和外部审计）。

（五）完善风险报告和监督机制

完善全行信息科技风险报告体系，明确全行信息科技风险事件汇报、响应和处置机制，加强业务管理部门、科技信息部门、信息科技风险管理部门、管理层、董事会之间的沟通和协调，规范、统一与监管机构、外部其它方面（如媒体）的沟通机制，建立清晰的与内、外部沟通（或报告）路线。建立以风险控制、风险评估、风险审计三个层面的全行信息科技风险报告和监督机制，即：

风险控制：科技信息部门应定期（至少每年一次）负责本行数据中心信息科技风险的自我评估，并将评估结果上报信息科技风险管理部门；在发生重要或重大事件时，必须根据相关规定及时上报；

风险管理：合规风险部（信息科技风险管理部门）负责组织和实施全行信息科技风险总体评估和监控，并负责总结全行年度信息科技风险管理情况，形成《年度信息科技风险管理报告》报董事会。年度报告同时作为《年度风险管理情况报告》组成部分之一；

风险审计：审计部门在信息科技风险评估的基础上，至少每三年进行一次全面地信息科技审计，形成《银行信息科技风险管理审计报告》报董事会或监事会审定。同时，对于信息科技管理的特殊或重大事件（或事故），审计部门应当进行不定期的专项审计或提出

专项意见。

（六）评估《指引》在我行的贯彻落实情况

根据我行信息科技风险管理体系建设情况，以《指引》为准绳，以信息科技风险管理体系为基础，利用信息科技风险监测指标体系，全面评估《指引》在银行的贯彻落实情况，并形成《<指引>落实情况报告》。评估对象包括全行信息科技风险管理开展的主要工作、各工作的分类描述、工作标准、计划时限的实现情况（包括已落实项、部分落实项及跟进计划、未落实项及原因）等。

三、信息分类及保护体系方面

（一）网络安全方面

1. 物理和环境安全：加强支撑性基础设施、数据中心等的安全管理；对机房的物理环境和数据保存环境控制进行检查和评估，包括：温湿度控制、UPS、门禁控制、消防、防水、防磁、防雷、防盗、防鼠、逃生通道、抗震能力等；所有生产设备、开发设备、测试设备之间相互物理或逻辑分离；所有机房设立门禁系统；进一步加强数据中心机房进出