第一篇：互聯(lián)網(wǎng)金融十大信息安全風(fēng)險與最佳安全實踐

互聯(lián)網(wǎng)金融十大信息安全風(fēng)險與最佳安全實踐

(中國電子商務(wù)研究中心訊)據(jù)中國互聯(lián)網(wǎng)信息中心發(fā)布《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》的顯示，2014年中國網(wǎng)民規(guī)模6.49億，手機網(wǎng)民5.57億。其中使用網(wǎng)上支付的用戶規(guī)模達3.04億，手機支付用戶規(guī)模達到2.17億，2014年也被認(rèn)為是中國互聯(lián)網(wǎng)金融元年。作為一項金融創(chuàng)新，隨著大家對互聯(lián)網(wǎng)金融關(guān)注的提升和其本身規(guī)模的不斷壯大，互聯(lián)網(wǎng)金融發(fā)展形成了第三方支付、P2P網(wǎng)貸、大數(shù)據(jù)金融、眾籌、信息化金融機構(gòu)、互聯(lián)網(wǎng)金融門戶等多種模式。據(jù)媒體報道稱，中國的互聯(lián)網(wǎng)金融市場規(guī)模已是世界第一。與此同時，國內(nèi)的網(wǎng)絡(luò)安全技術(shù)平臺、安全防護機制尚不成熟，互聯(lián)網(wǎng)金融各方參與者對于數(shù)據(jù)安全、客戶信息安全的風(fēng)險防患意識較弱的問題應(yīng)受到更多的認(rèn)識與關(guān)注。

十大信息安全風(fēng)險

互聯(lián)網(wǎng)金融中金融信息的風(fēng)險和安全問題，主要來自互聯(lián)網(wǎng)金融黑客頻繁侵襲、系統(tǒng)漏洞、病毒木馬攻擊、用戶信息泄露、用戶安全意識薄弱，不良虛假金融信息的傳播、移動金融威脅逐漸顯露等十個方面。

1、有組織有目的性的金融網(wǎng)絡(luò)犯罪集團興起

攻擊者由過去的單兵作戰(zhàn)，無目的的攻擊轉(zhuǎn)為以經(jīng)濟利益為目的的、具有針對性的集團化攻擊。從敏感信息的收集與販賣，到偽卡制卡，甚至網(wǎng)銀木馬的量身定制，在網(wǎng)絡(luò)上都能找到相應(yīng)的服務(wù)提供商，并且形成完整的以金融網(wǎng)絡(luò)犯罪分子為中心的“傳、取、銷”的經(jīng)濟產(chǎn)業(yè)鏈。

2、DDoS攻擊

屏蔽此推廣內(nèi)容DDoS攻擊是目前最有效的一種網(wǎng)絡(luò)惡意攻擊形式，近期的個案顯示不同規(guī)模的銀行正面臨不同形式的DDoS攻擊，這包括傳統(tǒng)SYN攻擊、DNS泛洪攻擊、DNS放大攻擊，以及針對應(yīng)用層和內(nèi)容更加難以防御的應(yīng)用層DDOS攻擊。

3、互聯(lián)網(wǎng)業(yè)務(wù)支撐系統(tǒng)自身安全漏洞

當(dāng)今的互聯(lián)網(wǎng)，病毒、蠕蟲、僵尸網(wǎng)絡(luò)、間諜軟件、DDoS猶如洪水般泛濫，所有的這一切都或多或少地從互聯(lián)網(wǎng)業(yè)務(wù)支撐系統(tǒng)漏洞走過。如Apache Struts 2遠程代碼執(zhí)行漏洞，漏洞的爆發(fā)直接導(dǎo)致國內(nèi)的多家銀行遭受惡意攻擊。

4、病毒木馬

目前針對網(wǎng)上銀行的木馬程序、密碼嗅探程序等病毒不斷翻新，通過盜取客戶資料，直接威脅網(wǎng)銀安全，用戶如果未對其計算機安裝相應(yīng)的木馬查殺軟件，就非常容易被感染。

5、信息泄露

在互聯(lián)網(wǎng)環(huán)境下，交易信息通過網(wǎng)絡(luò)傳輸，一些交易平臺并沒有在“傳輸、存儲、使用、銷毀”等環(huán)節(jié)建立保護敏感信息的完整機制，大大加劇了信息泄露風(fēng)險。

6、網(wǎng)絡(luò)釣魚

雖然金融機構(gòu)對釣魚網(wǎng)站帶來的金融信息危害極其重視，但大量釣魚網(wǎng)站都建立在海外的網(wǎng)絡(luò)空間，因而加大了安全監(jiān)管的難度。

7、移動威脅

移動金融信息風(fēng)險，主要由于移動應(yīng)用軟件的信息安全隱患和用戶的防范意識薄弱，給用戶造成了嚴(yán)重的經(jīng)濟損失，同時也為移動金融的發(fā)展造成阻礙。

8、APT攻擊

由于其利益驅(qū)動特性，與交易和金錢直接相關(guān)的金融行業(yè)，成為了黑客進攻“首選”，淪為APT攻擊重災(zāi)區(qū)。

9、外包風(fēng)險

由于其利益驅(qū)動特性，與交易和金錢直接相關(guān)的金融行業(yè)，成為了黑客進攻“首選”，淪為APT攻擊重災(zāi)區(qū)。

10、內(nèi)控風(fēng)險

互聯(lián)網(wǎng)金融服務(wù)內(nèi)控風(fēng)險通常與不適當(dāng)?shù)牟僮骱蛢?nèi)部控制程序、信息系統(tǒng)失敗和人工失誤密切相關(guān)，該風(fēng)險可能在內(nèi)部控制和信息系統(tǒng)存在缺陷時導(dǎo)致不可預(yù)期的損失。

十大信息安全最佳實踐

基于互聯(lián)網(wǎng)技術(shù)發(fā)展起來的互聯(lián)網(wǎng)金融，其信息安全技術(shù)還有待關(guān)注與加強。傳統(tǒng)的信息安全防護體系已經(jīng)難以提供可靠的安全防護，特別是針對APT攻擊、零天型漏洞攻擊或者是來自企業(yè)內(nèi)部的網(wǎng)絡(luò)攻擊，當(dāng)前的互聯(lián)網(wǎng)金融系統(tǒng)信息安全保障體系無法提供足夠的保護能力。因此，安恒信息結(jié)合行業(yè)觀察以及相關(guān)實踐，建議互聯(lián)網(wǎng)金融企業(yè)進行以下安全建設(shè)，以長期保證金融系統(tǒng)的信息安全。

1、制定行業(yè)標(biāo)準(zhǔn)

重點防范互聯(lián)網(wǎng)金融可能出現(xiàn)的系統(tǒng)性風(fēng)險，而且要堅持線上線下一致性的原則，要注重法律法規(guī)的有效銜接，不斷地完善相關(guān)的監(jiān)管制度。同時政府應(yīng)該有一個統(tǒng)一的分類，并按類別制定互聯(lián)網(wǎng)金融信息安全行業(yè)標(biāo)準(zhǔn)，指導(dǎo)各企業(yè)進行相應(yīng)的信息安全建設(shè)和安全運維管理，提高互聯(lián)網(wǎng)金融企業(yè)的安全準(zhǔn)入門檻。

2、加大信息安全投入

互聯(lián)網(wǎng)金融企業(yè)應(yīng)加大對信息安全技術(shù)的投資力度，應(yīng)結(jié)合安全開發(fā)、安全產(chǎn)品、安全評估、安全管理等多個方面，從整個信息系統(tǒng)生命周期(ESLC)的角度來實現(xiàn)互聯(lián)網(wǎng)金融長期有效的安全保障。對于已經(jīng)在線的生產(chǎn)系統(tǒng)，當(dāng)務(wù)之急則是采用防火墻、數(shù)據(jù)庫審計、數(shù)據(jù)容災(zāi)等多種手段提升對用戶和數(shù)據(jù)的安全保障能力。

3、增強APT防護能力

加入APT防護控制手段，加固環(huán)境，考慮雙因素認(rèn)證、網(wǎng)絡(luò)限制、反垃圾郵件過濾、WEB過濾等高級限制方式。

4、加強信息系統(tǒng)的審計與風(fēng)險控制

對越來越龐大的金融信息系統(tǒng)部署運維審計與風(fēng)險控制系統(tǒng)通過賬號管理、身份認(rèn)證、自動改密、資源授權(quán)、實時阻斷、同步監(jiān)控、審計回放、自動化運維、流程管理等功能增強金融信息系統(tǒng)運維管理的安全性。

5、采用自主可控的產(chǎn)品和技術(shù)

以防范阻止、檢測發(fā)現(xiàn)、應(yīng)急處置、審計追蹤、集中管控等為目的，研究適合自身信息系統(tǒng)特點的安全保護策略和機制；開展安全審計、強制訪問控制、系統(tǒng)結(jié)構(gòu)化、多級系統(tǒng)安全互聯(lián)訪問控制、產(chǎn)品符合性檢驗等相關(guān)技術(shù)；研發(fā)用于保護重點信息系統(tǒng)的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心的核心技術(shù)產(chǎn)品；研發(fā)自主可控的計算環(huán)境、操作系統(tǒng)、中間件、數(shù)據(jù)庫等基礎(chǔ)產(chǎn)品，實現(xiàn)對國外軟硬件的替代；建設(shè)模擬仿真測試環(huán)境，通過可靠的測試技術(shù)和測試工具實現(xiàn)對信息系統(tǒng)的安全檢測，確保降低信息系統(tǒng)使用過程中發(fā)生的安全事件。

6、突出保護重點系統(tǒng)

對需要保護的信息資產(chǎn)進行詳細(xì)梳理，以整體利益為出發(fā)點，確定出重要的信息資產(chǎn)或系統(tǒng)，然后將有限的資源投入到對于這些重要信息資源的保護當(dāng)中。

7、核心安全建設(shè)由可信隊伍建設(shè)

對我國的金融信息系統(tǒng)進行核心安全建設(shè)和保障的機構(gòu)，應(yīng)具備專業(yè)信息安全服務(wù)能力及應(yīng)急響應(yīng)能力獲得權(quán)威認(rèn)證的、具有一定規(guī)模、具備專業(yè)掃描檢測與滲透測試產(chǎn)品的安全服務(wù)團隊。

8、基于大數(shù)據(jù)與云計算的解決方案

以信息安全等級保護為基礎(chǔ)，在控制風(fēng)險的基礎(chǔ)上，充分利用云計算和大數(shù)據(jù)的優(yōu)勢，建立適合互聯(lián)網(wǎng)金融自身信息系統(tǒng)的建設(shè)規(guī)范與信息安全管理規(guī)范，豐富已有安全措施規(guī)范，完善整體信息安全保障體系，建立云計算和數(shù)據(jù)保護的標(biāo)準(zhǔn)體系，健全協(xié)調(diào)機制，提高協(xié)同發(fā)展能力。

9、外包風(fēng)險防范

實行業(yè)務(wù)外包以前，金融機構(gòu)應(yīng)制定外包的具體政策和標(biāo)準(zhǔn)，全面考慮業(yè)務(wù)外包的程度問題、風(fēng)險集中問題，以及將多項業(yè)務(wù)外包給同一個服務(wù)商時的風(fēng)險問題。同時在外包的過程中時刻對風(fēng)險進行內(nèi)部評估。

10、健全內(nèi)控制度

建立直接向最高級別領(lǐng)導(dǎo)匯報的風(fēng)險管理部門，獨立于所有業(yè)務(wù)部門進行風(fēng)險的評估、分析和審核；根據(jù)自身的業(yè)務(wù)特點建立完整的工作流程體系；根據(jù)各業(yè)務(wù)環(huán)節(jié)的風(fēng)險，總體評估自身的風(fēng)險特征；根據(jù)工作流程各環(huán)節(jié)的風(fēng)險點，設(shè)計標(biāo)準(zhǔn)的內(nèi)部控制操作方案，以有效保障每個工作環(huán)節(jié)的準(zhǔn)確執(zhí)行。（來源：賽迪網(wǎng)；文/子鉃；編選：中國電子商務(wù)研究中心）

第二篇：互聯(lián)網(wǎng)金融安全風(fēng)險對策研究

互聯(lián)網(wǎng)金融安全風(fēng)險對策研究

【摘 要】我國金融領(lǐng)域已步入互聯(lián)網(wǎng)時代，互聯(lián)網(wǎng)在提供快捷、便利金融服務(wù)的同時，亦存在著一定的安全風(fēng)險。本文對互聯(lián)網(wǎng)金融安全風(fēng)險進行了分類，研究了防范和化解互聯(lián)網(wǎng)金融安全風(fēng)險的對策，并展望了其發(fā)展前景。

【關(guān)鍵詞】互聯(lián)網(wǎng)金融；安全風(fēng)險；對策

我國的金融行業(yè)已經(jīng)全面進入互聯(lián)網(wǎng)時代，互聯(lián)網(wǎng)金融對傳統(tǒng)金融業(yè)形成了革命性的沖擊，潛移默化地改變著銀行業(yè)在金融市場中的定位。據(jù)統(tǒng)計，2012年移動支付占全球支付市場比例已達到2.2%，并且以年均40%的速度繼續(xù)增長；第三方互聯(lián)網(wǎng)支付的增長速度達到100%；網(wǎng)上銀行對柜臺業(yè)務(wù)的替代率超過了50%?；ヂ?lián)網(wǎng)金融的高效、便捷等特點，極大地提高了金融改革體系的效率。與此同時，由于互聯(lián)網(wǎng)安全方面眾所周知的缺陷，以及金融業(yè)的重要地位，因此當(dāng)前對互聯(lián)網(wǎng)安全風(fēng)險的研究也得到了越來越多的重視。

一、互聯(lián)網(wǎng)金融安全風(fēng)險分類

互聯(lián)網(wǎng)金融安全風(fēng)險可以分為信息技術(shù)類安全風(fēng)險和業(yè)務(wù)類安全風(fēng)險兩大類。信息技術(shù)類安全風(fēng)險是由于互聯(lián)網(wǎng)信息技術(shù)自身不完善導(dǎo)致的，包括信息技術(shù)選擇風(fēng)險、信息技術(shù)安全風(fēng)險；業(yè)務(wù)類安全風(fēng)險是互聯(lián)網(wǎng)金融業(yè)務(wù)自身特點導(dǎo)致的，包括業(yè)務(wù)操作風(fēng)險、商譽風(fēng)險和法律風(fēng)險。

1.信息技術(shù)類安全風(fēng)險

（1）信息技術(shù)選擇風(fēng)險

金融機構(gòu)為支持和提供互聯(lián)網(wǎng)金融服務(wù)，必須選擇一種互聯(lián)網(wǎng)金融技術(shù)解決方案。信息技術(shù)供應(yīng)商提供的技術(shù)解決方案不存在統(tǒng)一的標(biāo)準(zhǔn)，金融機構(gòu)選擇的技術(shù)方案可能存在設(shè)計缺陷或漏洞，會造成互聯(lián)網(wǎng)金融的信息技術(shù)選擇風(fēng)險。這些風(fēng)險會使金融機構(gòu)后續(xù)互聯(lián)網(wǎng)金融服務(wù)跟不上互聯(lián)網(wǎng)金融發(fā)展速度，更新升級困難，引起巨大的技術(shù)損失。

（2）信息技術(shù)安全風(fēng)險

互聯(lián)網(wǎng)金融的信息技術(shù)安全風(fēng)險主要來源于服務(wù)器系統(tǒng)故障風(fēng)險和網(wǎng)絡(luò)通信安全風(fēng)險。互聯(lián)網(wǎng)金融交易基于互聯(lián)網(wǎng)通信，交易記錄存儲于服務(wù)器系統(tǒng)中。無論從硬件技術(shù)還是軟件技術(shù)上講，現(xiàn)有的網(wǎng)絡(luò)技術(shù)都不是絕對完備和可靠的。合法用戶接入網(wǎng)絡(luò)的端口或門戶的同時，黑客等惡意攻擊者也能乘虛而入。網(wǎng)絡(luò)安全不僅與漏洞有關(guān)，還與病毒和制作木馬的黑客相關(guān)。病毒作為一種傳統(tǒng)的網(wǎng)絡(luò)安全威脅，在互聯(lián)網(wǎng)金融時代仍將是一大挑戰(zhàn)。

2.業(yè)務(wù)類安全風(fēng)險

（1）業(yè)務(wù)操作風(fēng)險

金融機構(gòu)提供互聯(lián)網(wǎng)金融服務(wù)的網(wǎng)上銀行系統(tǒng)的設(shè)計缺陷、網(wǎng)上銀行的系統(tǒng)錯誤、銀行員工的操作失誤等都有可能導(dǎo)致互聯(lián)網(wǎng)金融業(yè)務(wù)發(fā)生操作風(fēng)險，嚴(yán)重情形下可能危及網(wǎng)上銀行的總體安全；網(wǎng)上銀行客戶泄漏自己的重要信息也可能導(dǎo)致互聯(lián)網(wǎng)金融業(yè)務(wù)的操作風(fēng)險。當(dāng)前操作風(fēng)險主要來自于銀行內(nèi)部員工犯罪以及客戶不當(dāng)操作泄漏個人賬戶信息。

（2）商譽風(fēng)險

商譽風(fēng)險是指金融機構(gòu)的商業(yè)信用風(fēng)險。商業(yè)信用風(fēng)險會給金融機構(gòu)帶來長久的、持續(xù)的消極影響。互聯(lián)網(wǎng)金融提供網(wǎng)上消費信貸、網(wǎng)上投資等更多金融服務(wù)，同時也給金融機構(gòu)帶來更多的商譽風(fēng)險。

（3）法律風(fēng)險

金融機構(gòu)必須遵守已有法律，但互聯(lián)網(wǎng)金融發(fā)展日新月異，為了占領(lǐng)市場，新業(yè)務(wù)的推出總是超前于相關(guān)法律制度的出臺。新業(yè)務(wù)的迅猛發(fā)展與相關(guān)法律出臺的滯后可能引發(fā)金融機構(gòu)與客戶的法律糾紛，增加互聯(lián)網(wǎng)金融交易費用，影響互聯(lián)網(wǎng)金融業(yè)務(wù)健康發(fā)展。

二、互聯(lián)網(wǎng)金融安全風(fēng)險對策

1.建立和完善互聯(lián)網(wǎng)金融前瞻性的法律法規(guī)

防范和控制互聯(lián)網(wǎng)金融風(fēng)險的法律體系建設(shè)遠遠落后于互聯(lián)網(wǎng)金融的發(fā)展，是各國對互聯(lián)網(wǎng)金融缺乏監(jiān)管的根本原因之一。行之有效的法律框架才是防范和化解互聯(lián)網(wǎng)金融風(fēng)險，推動互聯(lián)網(wǎng)金融積極健康發(fā)展的有力保障。因此，修改現(xiàn)有法律條款或制定新的適合并促進互聯(lián)網(wǎng)金融法律法規(guī)尤為重要和緊迫。

2.制定互聯(lián)網(wǎng)應(yīng)用技術(shù)規(guī)范和標(biāo)準(zhǔn)

互聯(lián)網(wǎng)金融業(yè)務(wù)，特別是電子商務(wù)、第三方支付、P2P網(wǎng)絡(luò)借貸等業(yè)務(wù)發(fā)展日益迅猛，但配套技術(shù)規(guī)范跟不上，特別是安全技術(shù)缺乏必要的標(biāo)準(zhǔn)。金融平臺開發(fā)和使用前缺乏充足測試，存在安全隱患。因此應(yīng)用技術(shù)開發(fā)測試要盡早規(guī)范化、標(biāo)準(zhǔn)化，相應(yīng)的互聯(lián)網(wǎng)金融安全標(biāo)準(zhǔn)也必須加快推出。

3.加強互聯(lián)網(wǎng)金融系統(tǒng)的基礎(chǔ)建設(shè)

我國信息技術(shù)水平，特別是在移動支付等領(lǐng)域還是比較落后，這對我們防范和化解互聯(lián)網(wǎng)金融風(fēng)險帶來了許多不利影響。因此，必須重視互聯(lián)網(wǎng)金融基礎(chǔ)設(shè)施建設(shè)，提高計算機系統(tǒng)網(wǎng)絡(luò)關(guān)鍵技術(shù)水平，大力發(fā)展具有自主知識產(chǎn)權(quán)的信息技術(shù)，全面提高互聯(lián)網(wǎng)軟硬件安全風(fēng)險防范能力。

4.建設(shè)互聯(lián)網(wǎng)金融安全風(fēng)險評估和監(jiān)管體系

發(fā)展培養(yǎng)互聯(lián)網(wǎng)金融人才隊伍，完善互聯(lián)網(wǎng)金融安全風(fēng)險認(rèn)證、評估體系。要長期有效地防范互聯(lián)網(wǎng)金融風(fēng)險，就應(yīng)將網(wǎng)絡(luò)金融風(fēng)險防范納入到現(xiàn)代金融體系建設(shè)制度中來，建立起發(fā)展互聯(lián)網(wǎng)金融的總體規(guī)劃和統(tǒng)一的技術(shù)標(biāo)準(zhǔn)。

三、結(jié)語及前景

互聯(lián)網(wǎng)金融為人們提供快捷、便利的金融服務(wù)的同時，也帶來了前所未有的潛在風(fēng)險，影響到交易和資金的安全性。因而，防范網(wǎng)絡(luò)金融風(fēng)險，以保障網(wǎng)絡(luò)金融業(yè)務(wù)對經(jīng)濟發(fā)展的促進作用是非常必要。我們必須重視互聯(lián)網(wǎng)金融的發(fā)展方向，預(yù)防和化解各類安全風(fēng)險，迎接互聯(lián)網(wǎng)金融時代的挑戰(zhàn)。

參考文獻：

[1]謝平，鄒傳偉.互聯(lián)網(wǎng)金融[J].金融研究，2012（12）：11-22

[2]龔衍斌.網(wǎng)絡(luò)金融風(fēng)險防范措施研究[J].金融經(jīng)濟，2013（2）：45-47

[3]魏亮.云計算安全風(fēng)險及對策研究[J].郵電設(shè)計技術(shù)，2011（10）：19-22

[4]王琴，王海權(quán).網(wǎng)絡(luò)金融發(fā)展趨勢研究[J].商業(yè)時代，2013（8）：55-57

第三篇：互聯(lián)網(wǎng)金融有限公司信息安全審計管理辦法

西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司

信息安全審計管理辦法

第一章 總則

第一條 為督促落實各項網(wǎng)絡(luò)與信息安全管理辦法、技術(shù)規(guī)范，規(guī)范各項網(wǎng)絡(luò)與信息安全檢查工作（以下簡稱“信息安全審計”，根據(jù)總部信息安全相關(guān)文件規(guī)定，特制訂本辦法。

第二條 安全審計內(nèi)容分為管理和技術(shù)兩個方面，管理審計檢查安全管理制度的執(zhí)行情況；技術(shù)審計檢查企業(yè)網(wǎng)、局域網(wǎng)、互聯(lián)網(wǎng)出口和各信息系統(tǒng)符合設(shè)備安全技術(shù)要求、安全配置要求以及其他技術(shù)規(guī)范的情況。第三條 安全審計通過設(shè)立獨立的審計崗位或交叉審計等方式開展。

第二章 適用范圍

第四條 本辦法適用于西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司和各分公司。

第五條 可依據(jù)本辦法開展企業(yè)網(wǎng)、局域網(wǎng)、互聯(lián)網(wǎng)出口和各信息系統(tǒng)的安全審計，開展信息安全等其他安全管理方面的審計。

第六條 用于指導(dǎo)開展定期和不定期，全面和針對特定目的的安全審計。

第三章 組織與職責(zé)

第七條 發(fā)起網(wǎng)絡(luò)與信息安全審計工作的部門是：總公司信息管理處、各分公司信息管理部門。

第八條 信息管理處在西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，組織開展所轄子公司信息安全審計工作：

（一）落實總部信息安全工作總體安排；

（二）組織制定信息安全審計細(xì)則；

（三）組織制定并實施公司級的信息安全審計計劃；

（四）對各分公司進行指導(dǎo)、審批、檢查和備案；

（五）匯總、審閱信息安全審計報告，制定整改方案，解決發(fā)現(xiàn)的突出問題，重大問題或者需要對技術(shù)、管理流程做出重大調(diào)整時，應(yīng)向西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司信息化領(lǐng)導(dǎo)小組匯報。第九條 各分公司信息部門職責(zé)：

（一）配合完成信息安全領(lǐng)導(dǎo)小組、信息管理處安排的信息安全審計任務(wù)；

（二）制定本單位內(nèi)部信息安全審計實施細(xì)則；

（三）制定本單位信息安全審計計劃和實施方案，并上報信息管理處備案審核；

（四）按照信息安全審計計劃實施工作；

（五）提交信息安全審計報告，針對審計發(fā)現(xiàn)的問題，形成改進方案。

第四章 信息安全審計重點內(nèi)容

第十條 信息安全審計原則：對重要系統(tǒng)、核心設(shè)備、規(guī)章制度和技術(shù)要求，進行重點檢查。第十一條 信息安全審計頻次：

（一）針對公司范圍進行的全面審計，每年一次，不定期開展；

（二）對局部范圍進行的安全策略技術(shù)審計，根據(jù)總部信息安全等級保護文件規(guī)定，三級系統(tǒng)每半年審計一次，三級以下系統(tǒng)每年審計一次，并形成分系統(tǒng)的審計報告。

第十二條 信息安全審計重點應(yīng)包括重點要求、重點規(guī)范、重要系統(tǒng)中的重要設(shè)備，以及用戶的操作行為等。

第五章 審計內(nèi)容和審計方法

第十三條 安全審計主要依據(jù)各項安全管理規(guī)定和技術(shù)檢查，檢查具體要求的落實情況。

第十四條 審計方法包括：對安全運行維護等記錄的抽樣檢查、系統(tǒng)檢查、現(xiàn)場訪問等。

第十五條 可以采用人工和技術(shù)手段進行。

第六章 工作步驟

第十六條 制定計劃，確定審計范圍、審計重點、時間安排、審計人員和配合人員安排，采用的技術(shù)手段、主要風(fēng)險及規(guī)避方案等。

第十七條 細(xì)化審計內(nèi)容。審計的系統(tǒng)范圍，檢查的重點項，各個系統(tǒng)中增刪改等重點操作的指令、關(guān)鍵詞等。第十八條 編寫《信息安全審計檢查表》等工作底稿。檢查表應(yīng)包括信息安全審計內(nèi)容、審計方式、依據(jù)標(biāo)準(zhǔn)、審計方法、審計結(jié)果、問題描述、審計人員和被審計人員簽字欄等。第十九條 按照《信息安全審計檢查表》，采用人工和技術(shù)手段相結(jié)合的方式，進行抽樣檢查、系統(tǒng)檢查、現(xiàn)場訪問等，并逐一記錄結(jié)果。

第二十條 提交《信息安全審計報告》，總結(jié)審計情況，分析主要問題，提出改進意見及下次審計重點等建議。第二十一條 被審計系統(tǒng)責(zé)任部門按照審計報告，形成《信息安全審計問題整改計劃及實施方案》，并提交《信息安全審計改進情況報告》。

第二十二條 各方簽字的《信息安全審計報告》、《信息安全審計問題整改計劃及實施方案》和《信息安全審計改進情況報告》等相關(guān)文檔，經(jīng)過審批后提交信息安全領(lǐng)導(dǎo)小組、信息管理處存檔。

第七章 監(jiān)督執(zhí)行

第二十三條 各信息部門應(yīng)督促各級領(lǐng)導(dǎo)對辦法執(zhí)行情況進行有效監(jiān)督和管理。第二十四條 本辦法自下發(fā)之日起執(zhí)行。

第四篇：互聯(lián)網(wǎng)信息安全責(zé)任書

互聯(lián)網(wǎng)信息安全備案責(zé)任書

用戶著重承諾本承諾書的有關(guān)條款,如有違反本承諾書有關(guān)條款的行為,由用戶承擔(dān)由此帶來的一切民事、行政和刑事責(zé)任。

一、用戶承諾遵守《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》及其他國家有關(guān)法律、法規(guī)和行政規(guī)章制度。

二、用戶己知悉并承諾遵守信息產(chǎn)業(yè)部等國家相關(guān)部門有關(guān)文件的規(guī)定。

三、用戶保證不利用網(wǎng)絡(luò)危害國家安全、泄露國家秘密,不侵犯國家的、社會的、集體的利益和

第五篇：互聯(lián)網(wǎng)信息安全承諾書

互聯(lián)網(wǎng)信息安全承諾書

一、本單位（或個人）因為（□為勾選項）：

□ 使用__________________________________的互聯(lián)網(wǎng)絡(luò)資源； □ 與____________________________________開展其他互聯(lián)網(wǎng)合作項目。

鄭重承諾遵守承諾書的有關(guān)條款，如有違反本承諾書有關(guān)條款的行為，由本單位（或個人）承擔(dān)由此帶來的一切民事、行政和刑事責(zé)任。

二、本單位（或個人）承諾遵守《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等國家的有關(guān)法律、法規(guī)和行政規(guī)章制度。

三、本單位（或個人）開設(shè)的網(wǎng)站，在開通聯(lián)網(wǎng)的30天內(nèi)到白銀市公安局網(wǎng)監(jiān)部門履行備案手續(xù)，并將接受白銀市公安局網(wǎng)監(jiān)部門的監(jiān)督和檢查，如實主動提供有關(guān)安全保護的信息、資料及數(shù)據(jù)文件，積極協(xié)助查處通過國際聯(lián)網(wǎng)的計算機信息網(wǎng)絡(luò)違法犯罪行為。

四、本單位（或個人）保證不利用國際互聯(lián)網(wǎng)危害國家安全、泄露國家秘密、不侵犯國家的、社會的、集體的利益和公民的合法權(quán)益，不從事違法犯罪活動。

五、本單位（或個人）承諾嚴(yán)格按照國家相關(guān)的法律法規(guī)做好網(wǎng)站的信息安全管理工作，設(shè)立信息安全責(zé)任人和信息安全審查員，信息安全責(zé)任人和信息安全審查員在參加白銀市公安局網(wǎng)監(jiān)部門認(rèn)可的安全技術(shù)培訓(xùn)后，持證上崗。

六、本單位（或個人）承諾健全各項互聯(lián)網(wǎng)安全保護管理制度和落實各項安全保護技術(shù)措施。

七、本單位（或個人）承諾不制作、復(fù)制、查閱和傳播下列信息：

1、反對憲法所確定的基本原則的；

2、危害國家安全，泄露國家秘密，顛覆國家政權(quán)，破壞國家統(tǒng)一的；

3、損害國家榮譽和利益的；

4、煽動民族仇恨、民族歧視，破壞民族團結(jié)的；

5、破壞國家宗教政策，宣揚邪教和封建迷信的；

6、散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的；

7、散步淫穢、色情、賭博、暴利、兇殺、恐怖或者教唆犯罪的；

8、侮辱或者誹謗他人，侵害他人合法權(quán)益的；

9、含有法律、行政法規(guī)禁止的其他內(nèi)容的。

八、本單位（或個人）承諾不從事下列危害計算機信息網(wǎng)絡(luò)安全的活動：

1、未經(jīng)允許，進入計算機信息網(wǎng)絡(luò)或者計算機信息網(wǎng)絡(luò)資源的；

2、未經(jīng)允許，對計算機信息功能進行刪除、修改或者增加的；

3、未經(jīng)允許，對計算機信息網(wǎng)絡(luò)中存儲或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加的；

4、故意制作、傳播計算機病毒等破壞性程序的；

5、其他危害計算機信息網(wǎng)絡(luò)安全的。

九、本單位（或個人）承諾當(dāng)計算機信息系統(tǒng)發(fā)生重大安全事故時，立即采取應(yīng)急措施，保留有關(guān)原始記錄，并在24小時內(nèi)向白銀市公安局網(wǎng)監(jiān)部門報告。

十、若違反本承諾書有關(guān)條例和國家相關(guān)法律法規(guī)的，本單位（或個人）直接承擔(dān)相應(yīng)法律責(zé)任；造成第三方財產(chǎn)損失的，本單位（或個人）將在國家有關(guān)機關(guān)確認(rèn)的責(zé)任范圍內(nèi)直接賠償。

十一、本承諾書自簽署之日起施行。

責(zé)任單位（或個人）：

法人代表（或授權(quán)代表）：

二○

****年**月**日