银行信息安全评估报告.docxVIP

银行信息安全评估报告

信息安全评估报告

XXXX银行：

根据《商业银行信息科技风险管理指引》要求，信息科技管理部门应定期向总行提交本行信息安全评估报告，结合我行2020年度信息安全管理情况，现将本年度信息安全评估情况报告如下：

一、评估目标

信息安全评估的主要目标是通过自评估工作，发现我行信息系统当前面临的主要安全问题，边检查边整改，确保信息系统的安全。

二、评估依据、范围和方法

(一)评估依据：《商业银行信息科技风险管理指引》及省联社相关制度办法。

(二)评估范围：全行信息系统的安全制度管理、安全组织管理、资产管理、人员管理、物理与环境管理、通信与运营管理、访问控制管理、安全事故管理及合规性管理等方面。

(三)评估方法：采用自评估方法。

三、项目评估

(一)安全制度管理。制定了《信息系统安全运行管理办法》《信息安全策略》《信息安全工作管理办法》《信息系统设备管理办法》《信息系统网络设备用户管理办法》等一系列制度办法，明确了职责范围、工作流程，规范了信息系统生产运行安全工作。

评估结论：制定了切合实际的信息系统安全制度。

(二)信息安全组织管理。成立了信息科技管理委员会、信息系统及网络安全工作领导小组、业务连续性管理委员会及相关工作领导小组，制定了相关职责均按要求履行。

评估结论：成立了相关委员会并履行职责。

(三)资产管理。截止2020年11月底，全行共有计算机886台、UPS87台、发电机78台、ATM机28台、CRS机58台、3G路由器77台、4G路由器5台、高拍仪台216台、扫描153仪台，均按部门按机构建立有电子台账，专人管理，按照“谁使用谁负责”的原则负责设备安全。定期安排对所有设备的使用进行安全检查，及时进行维修，排出隐患。

评估结论：有专人管理有台账，仍需加强日常维护管理。

(四)人员安全管理。一是各岗位的人员具有相应的专业知识和技能。二是重要岗位采取下列风险防范措施：验证个人信息，审核信息科技员工的道德品行，确保其具备相应的职业操守。三是确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求，并同员工签订相关协议。四是评估关键岗位信息科技员工流失带来的风险，做好安排候补员工和岗位接替计划等防范措施；在员工岗位发生变化后及时变更相关信息。五是明确其岗位权限。

评估结论：配备有专职信息科技人员，但人员配备不足，专业胜任能力有待提高，对关键岗位人员流失带来的风险缺乏有效应对措施。

(五)物理与环境安全管理。设立有物理安全保护区域，如计算机中心机房、放置网络设备的专用机房或标准化机柜等重要信息科技设备的区域，明确相应的职责，配置了网络设备和应用程序使用的网络协议和端口。内部网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等均由省联社按照级别进行了控制。

评估结论：有物理与环境安全防护措施，但仍然存在使用U盘等移动介质带来的病毒感染风险和安全风险。

(六)通信与运营管理。截止2020年11月末我行生产业务租用电信公司SDH线路77条连接市中心机房，线路带宽4M，总行营业部直连市中心机房,生产备用线路租用联通公司3GSIM卡77个连接市中心无线链路业务路由，OA业务租用移动公司MSTP线路77条连接市中心机房，带宽50M，总行营业部直连市中心机房带，生产业务市中心机房2条MSTP线路连接省中心机房运营商分别为电信公司和联通公司,线路带宽20M。OA业务市中心机房2条MSTP线路连接省中心机房运营商分别为电信公司和移动公司，线路带宽20M。核心路由、核心交换、无线链路业务路由均在市中心机房。

评估结论：生产网主线路稳定，业务办理流畅。但备用线路存在山区网络信号差、不稳定现象，亟需更换4G及以上路由器。

(七)访问控制管理。登陆所有系统均采用个人用户名、密码及柜员卡登陆，用户名实行终身制，一人一卡，卡随人走，并要求定期修改密码。用户调动到新的工作岗位或离开我行时，在系统中及时检查、更新或注销用户身份。

评估结论：系统用户访问控制制度完善，在实际操作中需加强与综合部的沟通，及时将调整人员做系统变更。

(八)系统开发与维护管理。除省联社托管系统外，我行无自建系统。现有的系统全部由省联社开发、测试和运维。

评估结论：无自建系统，本行不涉及。

(九)信息安全事故管理。建立有应急预案及应急处置报告制度，各级机构及时响应信息系统运行事故，逐级向相关的信息科技管理人员报告事故的发生，并进行记录、分析和跟踪，直到完成彻底的处置和根本原因分析。省联社建立有专门处理问题的服务电话，为用户提供相关技术问题的在线支持，并将问题提交给相关信息科技部门进行调查和解决。

评估结论：我行的信息系统从未发生不安全事故，但仍需不断提升应急处置能力和风险防范能力，杜绝不安全事故的发生。

(十)合规性管