- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
银行信息安全管理检查步骤方法及方案
保证信息安全是商业银行的一项重要任务,商业银行应在信息技术部门内部设置专门的信息安全管理部门或岗位,建立完善的信息安全管理制度,保证信息的机密性、完整性和可用性。信息安全涉及到人员、管理、技术等各个方面,本章节主要包含人员安全和管理安全的检查内容,技术安全方面的检查内容参见第三部分“基础设施”部分。
提示:在对商业银行的信息安全管理进行检查和评价时,可根据银行机构的实际情况,按照分类监管、循序渐进的原则,合理把握标准与尺度。如,科技人员少、信息系统种类不多的银行机构,可以不设置单独的安全管理部门,但应设置专职的岗位;信息技术岗位设置可以彼此兼职,但不相容岗位应分离,做到操作系统管理员、业务系统管理员及数据库管理员彼此分离、网络管理员和其他系统管理员彼此分离、批量处理人员和业务数据库管理员彼此分离。
3.1安全管理机制与管理组织
检查项1:信息分类和保护体系
基本要求:商业银行信息技术部门应对各类信息系统进行风险评估,根据信息系统的重要程度等因素,建立和实施信息系统分类和保护体系,并保证该体系在银行内部的贯彻落实。
检查方法、步骤:(1)调阅信息系统分类管理制度,查看相关制度是否建立健全,是否对信息类别和访问人员的范围、级别作出明确规定;(2)检查商业银行是否针对不同的信息系统,制订了不同的安全防范措施,采取了不同的技术防范手段;(3)检查商业银行是否对信息系统风险进行评估和防范。
检查项2:安全管理机制
基本要求:商业银行信息技术部门应落实信息安全管理职能。包括:建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,定期向信息技术管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
检查方法、步骤:(1)调阅商业银行信息安全计划或相关文档,检查商业银行是否制订信息安全计划。(2)分析信息安全计划,评估商业银行信息技术部门能否对信息安全进行持续、长期和有效的管理,确保信息安全和信息系统安全运行。(3)检查商业银行信息技术部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识,是否就安全问题向其他部门提供安全建议。(4)检查商业银行信息技术部门是否对各类信息和信息系统制订相应的信息安全标准,是否制订相关的管理策略,是否制订实施计划,是否制订持续改进、完善计划。通过访谈了解这些管理策略和计划是否有效实施。(5)调阅信息安全评估报告,检查信息技术部门是否定期对本行信息安全进行评估。
检查项3:信息安全策略
基本要求:商业银行应制订详细的信息安全策略,至少包括以下内容:信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。
检查方法、步骤:(1)调阅商业银行信息安全策略,检查是否制定信息安全策略及其内容是否完整、全面。(2)调阅信息安全管理规定,查看是否制定信息安全管理规定以及是否具有相应的实施要求和细则。
检查项4:信息安全组织
基本要求:商业银行应建立配套的安全管理职能部门,通过管理机构的岗位设置、人员的分工以及各种资源的配备,为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;安全管理人员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
检查方法、步骤:(1)调阅相关岗位职责说明文件,检查是否设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;(2)检查是否限制安全管理员不能兼任网络管理员、系统管理员、数据库管理员等;(3)查询相关制度文件和审批记录,检查是否根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;(4)调阅信息安全检查记录,检查安全管理员是否定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况,检查结果是否及时报告和处理。
3.2安全管理制度
检查项1:规章制度
基本要求:商业银行应对信息安全风险进行分析、评估;应对信息安全管理工作建立相应的管理制度;应要求管理人员或操作人员严格执行管理制度,各项操作符合制度要求;应注明安全管理制度密级程度,并进行密级管理;信息安全制度建设应全面涵盖信息系统的安全风险点,如:用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容。信息安全制度应包含违规处罚条款;重要工作
您可能关注的文档
- 工程公司海外经营风险防控规则手册.docx
- 工程公司海外经营风险描述及防控关键点风险预警.docx
- 煤矿安全教育与培训制度.docx
- 煤矿机电系统斜井电缆整理吊挂专项安全风险辨识评估标准.docx
- 施工单位管理制度标准化验收表.docx
- 施工单位过程控制标准化验收表.docx
- 施工单位人员配置标准化验收表.docx
- 施工单位现场管理标准化验收表.docx
- 陶瓷制品制造行业发展情况分析.docx
- 陶瓷制品制造行业竞争结构分析.docx
- 计及电动汽车移动储能动态电价的微电网优化调度研究及解决方案.pdf
- 浅谈电动汽车充电桩绝缘智能化自检装置的设计与应用 .pdf
- 浅谈电动汽车公共充电桩布局方案评价方法.pdf
- 浅谈基于弹性响应的电动汽车快充电价定价策略 汽车充电桩有序充电.pdf
- 浅谈光储充一体化社区的有序充电策略及解决方案.pdf
- 晚期肾透明细胞癌系统性治疗中国专家共识(2024版).pptx
- 中国膀胱癌保膀胱治疗多学科诊治协作共识(2022版).pptx
- 成人心血管外科手术体外循环患者血液管理指南.pptx
- 下尿路修复重建移植物应用规范中国专家共识.pptx
- 中国儿童急性非静脉曲张性上消化道出血诊治指南(2024).pptx
文档评论(0)