信息安全管理机制教程.doc

XX村镇银行信息安全管理机制报告 根据中国人民银行有关文件要求，我行严格执行科技信息安全管理的有关制度，认真履行信息安全工作，部署我行上下积极开展信息安全管理工作，我行高度重视此项工作，认真学习相关文件内容，结合我行实际现将我行信息安全管理机制报告如下： 一、信息安全标准 在我行信息科技制度体系框架和制度名录基础上，对全行的信息科技流程进行梳理，借鉴科学的、国际通用的方法、模型和工具，找出管理流程中存在的风险点，从防范风险、提高效率的角度优化、完善信息科技管理制度，并建立相应的信息安全技术管理标准。信息科技管理制度的内容涵盖信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计9 个方面，具体内容包括信息科技组织管理、培训、报告、风险管理、风险评估管理、风险计量监测、信息安全管理、信息系统检查管理、用户认证和访问控制、网络安全、操作系统管理、生产系统日志管理、加密管理、设 备管理、数据安全、项目管理、规划管理、需求管理、软件开发管理、测试管理、变更管理、问题缺陷管理、版本管理、质量管理、运行管理、机房管理、软硬件运行维护、网络运行维护、监控、应急管理及处置、外包管理、审计管理等内容。信息安全技术管理标准的内容包括物理安全、网络安全、主机安全、应用安全、数据安全等方面的内容。 二、信息科技风险管理实施策略 按照银行信息科技风险应对策略的四个维度，在治理上，落实信息科技风险管理模型；在流程上，对现有信息科技制度体系进行梳理、完善，并根据本策略要求更新、补充；在人员上，充实信息技术人员，加强人员专业技能和信息科技风险管理知识培训，防范关键人员流失风险；在技术上，通过信息安全技术手段和措施，从物理安全、网络安全、应用安全、数据安全等方面出发，强化信息科技风险管控。 （一） 信息科技风险管理体系 通过进一步完善我行的信息科技风险管理体系，了解和分析全行信息科技风险情况、全面展开信息科技风险管理工作，初步实现信息科技风险全周期管理，逐步将信息科技风险管理纳入银行全面风险管理中。在全行信息科技风险管理策略的基础上， 信息科技风险管理体系重点包括落实信息科技风险治理模型、信息科技战略规划审核与修订、建立信息科技风险监测机制、完善风险监督和报告制度，并评估《指引》在我行的贯彻落实情况等方面。 （二）落实信息科技风险治理模型 按照《指引》要求，“设立或指派一个特定部门负责信息科技风险管理工作”，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构，由科技信息部门具体负责信息科技风险管理，合规风险部（信息科技风险管理部门）负责信息科技风险管理工作的统筹、支持和督促工作，审计部门负责对信息科技风险管理体系运行的有效性进行评估，构建信息科技风险管理“三道防线”，满足监管部门的要求。 （三）信息科技战略规划审核与修订 信息科技管理委员会对银行信息科技战略规划进行审核，重点关注信息科技战略与全行业务战略的一致性，信息科技战略与目前全行信息科技化建设情况和发展方向一致性，配置足够人力、财力资源，保持稳定、安全的信息科技环境。相关部门根据审核意见对信息科技战略规划进行修订。修订后的信息科技战略规划内容至少应包括： 1. 信息科技管理组织和制度建设规划； 2. 信息科技基础架构规划； 3. 信息科技应用架构规划； 4. 信息科技人力资源配置规划； 5. 信息科技产品开发计划； 6. 信息科技服务水平建设计划； 7. 信息科技风险管理政策。 （四）建立信息科技风险评价指标体系 依据监管机构要求，以《指引》为主，同时借鉴ISO27001、COBIT、COSO、ITIL、等级保护、五部委《企业内部控制规范》等国内外相关标准与金融业最佳实践，结合我行实际，形成我行信息科技风险评价指标体系。信息科技风险评价指标体系涵盖以下方面：信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理、外包、审计（内部审计和外部审计）。 （五）完善风险报告和监督机制 完善全行信息科技风险报告体系，明确全行信息科技风险事件汇报、响应和处置机制，加强业务管理部门、科技信息部门、信息科技风险管理部门、管理层、董事会之间的沟通和协调，规范、统一与监管机构、外部其它方面（如媒体）的沟通机制，建立清晰的与内、外部沟通（或报告）路线。建立以风险控制、风险评估、风险审计三个层面的全行信息科技风险报告和监督机制，即： ? 风险控制：科技信息部门应定期（至少每年一次）负责本行数据中心信息科技风险的自我评估，并将评估结果上报信息科技风险管理部门；在发生重要或重大事件时，必须根据相关规定及时上报； ?风险管理：合规风险部（信息科技风险管理部门）负责组织和实施全行信息科技风险总体评估和监控，并