信息安全評估報告

XXXX銀行：

根據(jù)《商業(yè)銀行信息科技風險管理指引》要求，信息科技管理部門應定期向總行提交本行信息安全評估報告，結合我行2020年度信息安全管理情況，現(xiàn)將本年度信息安全評估情況報告如下：

一、評估目標

信息安全評估的主要目標是通過自評估工作，發(fā)現(xiàn)我行信息系統(tǒng)當前面臨的主要安全問題，邊檢查邊整改，確保信息系統(tǒng)的安全。

二、評估依據(jù)、范圍和方法

(一)評估依據(jù)：《商業(yè)銀行信息科技風險管理指引》及省聯(lián)社相關制度辦法。

(二)評估范圍：全行信息系統(tǒng)的安全制度管理、安全組織管理、資產(chǎn)管理、人員管理、物理與環(huán)境管理、通信與運營管理、訪問控制管理、安全事故管理及合規(guī)性管理等方面。

(三)評估方法：采用自評估方法。

三、項目評估

(一)安全制度管理。制定了《信息系統(tǒng)安全運行管理辦法》《信息安全策略》《信息安全工作管理辦法》《信息系統(tǒng)設備管理辦法》《信息系統(tǒng)網(wǎng)絡設備用戶管理辦法》等一系列制度辦法，明確了職責范圍、工作流程，規(guī)范了信息系統(tǒng)生產(chǎn)運行安全工作。

評估結論：制定了切合實際的信息系統(tǒng)安全制度。

(二)信息安全組織管理。成立了信息科技管理委員會、信息系統(tǒng)及網(wǎng)絡安全工作領導小組、業(yè)務連續(xù)性管理委員會及相關工作領導小組，制定了相關職責均按要求履行。

評估結論：成立了相關委員會并履行職責。

(三)資產(chǎn)管理。截止2020年11月底，全行共有計算機886臺、UPS 87臺、發(fā)電機78臺、ATM機28臺、CRS機58臺、3G路由器77臺、4G路由器5臺、高拍儀臺216臺、掃描153儀臺，均按部門按機構建立有電子臺賬，專人管理，按照“誰使用誰負責”的原則負責設備安全。定期安排對所有設備的使用進行安全檢查，及時進行維修，排出隱患。

評估結論：有專人管理有臺賬，仍需加強日常維護管理。

(四)人員安全管理。一是各崗位的人員具有相應的專業(yè)知識和技能。二是重要崗位采取下列風險防范措施：驗證個人信息，審核信息科技員工的道德品行，確保其具備相應的職業(yè)操守。三是確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關協(xié)議。四是評估關鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發(fā)生變化后及時變更相關信息。五是明確其崗位權限。

評估結論：配備有專職信息科技人員，但人員配備不足，專業(yè)勝任能力有待提高，對關鍵崗位人員流失帶來的風險缺乏有效應對措施。

(五)物理與環(huán)境安全管理。設立有物理安全保護區(qū)域，如計算機中心機房、放置網(wǎng)絡設備的專用機房或標準化機柜等重要信息科技設備的區(qū)域，明確相應的職責，配置了網(wǎng)絡設備和應用程序使用的網(wǎng)絡協(xié)議和端口。內(nèi)部網(wǎng)絡內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡監(jiān)控、記錄活動日志等均由省聯(lián)社按照級別進行了控制。

評估結論：有物理與環(huán)境安全防護措施，但仍然存在使用U盤等移動介質帶來的病毒感染風險和安全風險。

(六)通信與運營管理。截止2020年11月末我行生產(chǎn)業(yè)務租用電信公司SDH線路77條連接市中心機房，線路帶寬4M，總行營業(yè)部直連市中心機房,生產(chǎn)備用線路租用聯(lián)通公司3G SIM卡77個連接市中心無線鏈路業(yè)務路由，OA業(yè)務租用移動公司MSTP線路77條連接市中心機房，帶寬50M，總行營業(yè)部直連市中心機房帶，生產(chǎn)業(yè)務市中心機房2條MSTP 線路連接省中心機房運營商分別為電信公司和聯(lián)通公司,線路帶寬20M。OA業(yè)務市中心機房2條MSTP線路連接省中心機房運營商分別為電信公司和移動公司，線路帶寬20M。核心路由、核心交換、無線鏈路業(yè)務路由均在市中心機房。

評估結論：生產(chǎn)網(wǎng)主線路穩(wěn)定，業(yè)務辦理流暢。但備用線路存在山區(qū)網(wǎng)絡信號差、不穩(wěn)定現(xiàn)象，亟需更換4G及以上路由器。

(七)訪問控制管理。登陸所有系統(tǒng)均采用個人用戶名、密碼及柜員卡登陸，用戶名實行終身制，一人一卡，卡隨人走，并要求定期修改密碼。用戶調動到新的工作崗位或離開我行時，在系統(tǒng)中及時檢查、更新或注銷用戶身份。

評估結論：系統(tǒng)用戶訪問控制制度完善，在實際操作中需加強與綜合部的溝通，及時將調整人員做系統(tǒng)變更。

(八)系統(tǒng)開發(fā)與維護管理。除省聯(lián)社托管系統(tǒng)外，我行無自建系統(tǒng)?，F(xiàn)有的系統(tǒng)全部由省聯(lián)社開發(fā)、測試和運維。

評估結論：無自建系統(tǒng)，本行不涉及。

(九)信息安全事故管理。建立有應急預案及應急處置報告制度，各級機構及時響應信息系統(tǒng)運行事故，逐級向相關的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。省聯(lián)社建立有專門處理問題的服務電話，為用戶提供相關技術問題的在線支持，并將問題提交給相關信息科技部門進行調查和解決。

評估結論：我行的信息系統(tǒng)從未發(fā)生不安全事故，但仍需不斷提升應急處置能力和風險防范能力，杜絕不安全事故的發(fā)生。

(十)合規(guī)性管理。指定了風險管理部專人負責信息科技風險管理，負責協(xié)調制定有關信息科技風險管理策略，尤其是在涉及信息安全、業(yè)務連續(xù)性計劃和合規(guī)性風險等方面，為業(yè)務部門和信息科技部門提供建議及相關合規(guī)性信息，實施持續(xù)信息科技風險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。

評估結論：我行信息系統(tǒng)安全管理均按上級監(jiān)管部門和管理部門相關制度執(zhí)行，合規(guī)到位。

三、評估總結

通過以上對信息系統(tǒng)安全的自查自評，總的來看，我行的信息系統(tǒng)安全體系較為完善，但仍然存在一定的風險和隱患。比如來自不可控互聯(lián)網(wǎng)的外部攻擊威脅和內(nèi)部人員的操作風險等。一是要進一步加強員工信息安全意識教育，嚴格網(wǎng)絡與信息安全管理制度，提高網(wǎng)絡安全及信息安全工作的主動性和自覺性，增強對安全防范意識和處置能力。二是要加快信息系統(tǒng)基礎設施建設，通過安全設施與管理相結合，使安全風險可控，杜絕不安全事故的發(fā)生。

信息管理部