第一篇:安全合規-軟件安全設計原則
安全設計原則
雖然任何人都不可能設計出絕對安全的網絡系統,但是,如果在設計之初就遵從一些合理的原則,那么相應網絡系統的安全性就更加有保障。第一代互聯網的教訓已經告訴我們:設計時不全面考慮,消極地將安全措施寄托在事后“打補丁”的思路是相當危險的!從工程技術角度出發,在設計網絡系統時,至少應該遵守以下安全設計原則:
原則1:“木桶原則”,即,對信息均衡、全面地進行保護。
“木桶的最大容積取決于最短的一塊木板”,攻擊者必然在系統中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊),是設計信息安全系統的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段;根本目標是提高整個系統的“安全最低點”的安全性能。
原則2:“整體性原則”,即,安全防護、監測和應急恢復。
沒有百分之百的信息安全,因此要求在網絡被攻擊、破壞事件的情況下,必須盡可能快地恢復網絡的服務,減少損失。所以信息安全系統應該包括三種機制:安全防護機制;安全監測機制;安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅采取相應的防護措施,避免非法攻擊的進行;安全監測機制是監測系統的運行情況,及時發現和制止對系統進行的各種攻擊;安全恢復機制是在安全防護機制失效的情況下,進行應急處理和盡量、及時地恢復信息,減少攻擊的破壞程度。
原則3:“有效性與實用性”,即,不能影響系統的正常運行和合法操作。
如何在確保安全性的基礎上,把安全處理的運算量減小或分攤,減少用戶記憶、存儲工作和安全服務器的存儲量、計算量,應該是一個信息安全設計者主要解決的問題。
原則4:“安全性評價”原則,即,實用安全性與用戶需求和應用環境緊密相關。
評價系統是否安全,沒有絕對的評判標準和衡量指標,只能決定于系統的用戶需求和具體的應用環境,比如,1)系統的規模和范圍(比如,局部性的中小型網絡和全國范圍的大型網絡對信息安全的需求肯定是不同的);2)系統的性質和信息的重要程度(比如,商業性的信息網絡、電子金融性質的通信網絡、行政公文性質的管理系統等對安全的需求也各不相同)。另外,具體的用戶會根據實際應用提出一定的需求,比如,強調運算實時性或注重信息完整性和真實性等等。
原則5:“等級性”,即,安全層次和安全級別。
良好的信息安全系統必然是分為不同級別的,包括:對信息保密程度分級(絕密、機密、秘密、普密);對用戶操作權限分級(面向個人及面向群組),對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等),從而針對不同級別的安全對象,提供全面的、可選的安全算法和安全體制,以滿足網絡中不同層次的各種實際需求。
原則6:“動態化”原則,即,整個系統內盡可能引入更多的可變因素,并具有良好的擴展性。
被保護的信息的生存期越短、可變因素越多,系統的安全性能就越高。安全系統要針對網絡升級保留一定的冗余度,整個系統內盡可能引入更多的可變因素。
原則7:設計為本原則,即,安全系統的設計應與網絡設計相結合。
在網絡進行總體設計時考慮安全系統的設計,二者合二為一。避免因考慮不周,出了問題之后拆東墻補西墻,不僅造成經濟上的巨大損失,而且也會對國家、集體和個人造成無法挽回的損失。由于安全問題是一個相當復雜的問題,因此必須群策群力搞好設計,才能保證安全性。
原則8:自主和可控性原則。
安全問題關系著一個國家的主權和安全,所以網絡安全不可能依賴于國外,必須解決網絡安全的自主權和自控權問題。
原則9:權限分割、互相制約、最小化原則。
在很多系統中都有一個系統超級用戶或系統管理員,擁有對系統全部資源的存取和分配權,所以它的安全至關重要,如果不加以限制,有可能由于超級用戶的惡意行為、口令泄密、偶然破壞等對系統造成不可估量的損失和破壞。因此有必要對系統超級用戶的權限加以限制,實現權限最小化原則。管理權限交叉,有幾個管理用戶來動態地控制系統的管理,實現互相制約。而對于非管理用戶,即普通用戶,則實現權限最小原則,不允許其進行非授權以外的操作。
原則10:有的放矢、各取所需原則。
在考慮安全問題解決方案時必須考慮性能價格的平衡,而且不同的網絡系統所要求的安全側重點各不相同。必須有的放矢,具體問題具體分析,把有限的經費花在刀刃上。
總結
社會要進步,技術要發展。縱然NGN面臨諸多的安全問題,但我們不能因噎廢食,畏縮不前;也絕不能掉以輕心,一勞永逸。
信息安全是一門高智商的對抗性學科,作為矛盾主體的“攻”與“守”雙方,始終處于“成功”和“失敗”的的輪回變化之中,沒有永遠的勝利者,也不會有永遠的失敗者。“攻”與“守”雙方當前斗爭的暫時動態平衡體系了網絡安全的現狀,而“攻”與“守”雙方的“后勁”則決定了網絡安全今后的走向。“攻”與“守”雙方既相互矛盾又相互統一。他們始終都處于互相促進、循環往復的狀態之中。更具體地說,安全是相對的,不安全才是絕對的。
信息安全是一個涉及面很廣的問題,要想確保安全,必須同時從法規政策、管理、技術這三個層次上采取有效措施。高層的安全功能為低層的安全功能提供保護。任何單一層次上的安全措施都不可能提供真正的全方位安全。
先進的技術是信息安全的根本保證。用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務種類,選擇相應的安全機制,然后集成先進的安全技術,形成一個全方位的安全系統。
嚴格的安全管理至關重要。各用戶單位應建立相應的網絡安全管理辦法,加強內部管理,建立合適的網絡安全管理系統,建立安全審計和跟蹤體系,提高整體網絡安全意識。
明確的法律和法規是安全的“靠山”。國家和行業部門制訂嚴格的法律、法規,使非法分子懾于法律,不敢輕舉妄動。
第二篇:合規安全管理口訣
合規安全管理口訣
各項規章記心中,嚴格遵守重執行。
規章制度是準繩,違規案例敲警鐘。
日常操作按流程,控制風險防變通。
合規文化同創建,促進和諧共發展。
第三篇:信息安全等級合規測評
信息安全等級合規測評
合規,簡而言之就是要符合法律、法規、政策及相關規則、標準的約定。在信息安全領域內,等級保護、分級保護、塞班斯法案、計算機安全產品銷售許可、密碼管理等,是典型的合規性要求。
信息安全合規測評是國家強制要求的,信息系統運營、使用單位或者其主管部門,必須在系統建設、改造完成后,選擇具備資質測評機構,依據信息安全合規性要求,對信息系統是否合規進行檢測和評估的活動。信息安全合規測評具有強制性和周期性(定期檢測),是國家信息安全部門督促合規性要求落地實施,保障信息安全的重要手段。
一、信息安全合規性要求
1、等級保護
等級保護將信息系統按照價值系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別劃分五個等級進行保護。其分級、分區域、分類和分階段是做好國家信息安全保護的前提。等級保護依據公安部、國家保密局、國家密碼管理局和國信辦先后聯合下發《關于信息安全等級保護工作的實施意見》、《信息安全等級保護信息安全等級保護管理辦法》開展。
2、分級保護
分級保護針對的是涉密信息系統,根據涉密信息的涉密等級,涉密信息系統的重要性,遭到破壞后對國計民生造成的危害性,以及涉密信息系統必須達到的安全保護水平劃分為秘密級、機密級和絕密級三個等級。國家保密局專門對涉密信息系統如何進行分級保護制定了一系列的管理辦法和技術標準,目前,正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。
國家保密科技測評中心是我國唯一的涉密信息系統安全保密測評機構,山東省軟件評測中心是國家保密科技測評中心在山東省設立的分中心。
3、塞班斯法案 針對安然、世通等財務欺詐事件,美國國會出臺了《2002年公眾公司會計改革和投資者保護法案》。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席塞班斯聯合提出,又被稱作《2002年塞班斯-奧克斯利法案》(簡稱塞班斯法案),法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂,在會計職業監管、公司治理、證券市場監管等方面做出了許多新規定。
塞班斯法案成為在美上市企業躲不過去的坎。它規定,上市公司的財務報告必須包括一份內控報告,并明確規定公司管理層對建立和維護財務報告的內部控制體系及相應控制流程負有完全責任;此外,財務報告中必須附有其內控體系和相應流程有效性的評估。它的出臺意味著在美國上市的公司不僅要保證其財務報表數據的準確,還要保證內控系統能通過相關審計。
4、計算機信息系統安全專用產品銷售許可
計算機信息系統安全專用產品銷售許可證是為了加強計算機信息系統安全專用產品的管理,保證安全專用產品的安全功能,由公安部公共信息網絡安全監察局頒發的許可證書。
辦理依據:
(1)《中華人民共和國計算機信息系統安全保護條例》、(1994年2月18日,國務院令147號發布)。
(2)、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》(1997年12月1日,公安部令第32號)。
(3)、《計算機病毒防治管理辦法》(2000年4月26日,公安部令第51號)。審批辦理流程:
(1)、產品檢測。申請單位須將樣品送指定檢測機構進行檢測。
(2)、申請辦證。檢測合格后,申請單位按規定提交證書申請的相關材料。(3)、審批發證。公安部公共信息網絡安全監察局。
5、信息系統密碼安全管理
為推動商用密碼發展,確保國家重要信息系統密碼安全,具備檢測資質的機構依據《信息安全等級保護商用密碼管理辦法》、《信息安全等級保護商用密碼技術實施要求》 《信息系統安全等級保護基本要求》,對信息安全等級為三級以上(含三級)信息系統中的商用密碼系統進行測評。的商用密碼系統安全等級保護測評工作擬分以下三個階段:測評申請階段、現場檢測階段、報告與結論階段。
在信息安全合規性要求中,等級保護和分級保護以其涉及范圍廣,實施具有高度專業化和復雜性的特點,成為信息安全合規測評工作的重點和難點,后面的文章將會對這兩個概念進行重點解讀。
二、區分信息安全等級保護與分級保護
通過上文我們知道,信息安全等級保護與分級保護是在信息安全合規測評中兩個非常重要的概念,二者密切相關又有區別。山東省軟件評測中心結合在等級保護測評和分級保護測評中的具體實踐,對等級保護和分級保護進行詳細介紹,理清兩者間的關聯。
1、信息系統等級保護
由于信息系統結構是應社會發展、社會生活和工作的需要而設計、建立的,是社會構成、行政組織體系的反映,因而這種系統結構是分層次和級別的,而其中的各種信息系統具有重要的社會和經濟價值,不同的系統具有不同的價值。系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別等就是級別的客觀體現。信息安全保護必須符合客觀存在和發展規律,其分級、分區域、分類和分階段是做好國家信息安全保護的前提。
信息系統安全等級保護將安全保護的監管級別劃分為五個級別:
第一級:用戶自主保護級完全由用戶自己來決定如何對資源進行保護,以及采用何種方式進行保護。
第二級:系統審計保護級本級的安全保護機制受到信息系統等級保護的指導,支持用戶具有更強的自主保護能力,特別是具有訪問審計能力。第三級:安全標記保護級除具有第二級系統審計保護級的所有功能外,還它要求對訪問者和訪問對象實施強制訪問控制,并能夠進行記錄,以便事后的監督、審計。
第四級:結構化保護級將前三級的安全保護能力擴展到所有訪問者和訪問對象,支持形式化的安全保護策略。
第五級:訪問驗證保護級這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動,仲裁訪問者能否訪問某些對象從而對訪問對象實行專控,保護信息不能被非授權獲取。
在等級保護的實際操作中,強調從五個部分進行保護,即:
物理部分:包括周邊環境,門禁檢查,防火、防水、防潮、防鼠、蟲害和防雷,防電磁泄漏和干擾,電源備份和管理,設備的標識、使用、存放和管理等;
支撐系統:包括計算機系統、操作系統、數據庫系統和通信系統; 網絡部分:包括網絡的拓撲結構、網絡的布線和防護、網絡設備的管理和報警,網絡攻擊的監察和處理;
應用系統:包括系統登錄、權限劃分與識別、數據備份與容災處理,運行管理和訪問控制,密碼保護機制和信息存儲管理;
管理制度:包括管理的組織機構和各級的職責、權限劃分和責任追究制度,人員的管理和培訓、教育制度,設備的管理和引進、退出制度,環境管理和監控,安防和巡查制度,應急響應制度和程序,規章制度的建立、更改和廢止的控制程序。
由這五部分的安全控制機制構成系統整體安全控制機制。
2、涉密信息系統分級保護
涉密信息系統實行分級保護,先要根據涉密信息的涉密等級,涉密信息系統的重要性,遭到破壞后對國計民生造成的危害性,以及涉密信息系統必須達到的安全保護水平來確定信息安全的保護等級;涉密信息系統分級保護的核心是對信息系統安全進行合理分級、按標準進行建設、管理和監督。國家保密局專門對涉密信息系統如何進行分級保護制定了一系列的管理辦法和技術標準,目前,正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。從物理安全、信息安全、運行安全和安全保密管理等方面,對不同級別的涉密信息系統有明確的分級保護措施,從技術要求和管理標準兩個層面解決涉密信息系統的分級保護問題。
涉密信息系統安全分級保護根據其涉密信息系統處理信息的最高密級,可以劃分為秘密級、機密級和機密級(增強)、絕密級三個等級:
秘密級:信息系統中包含有最高為秘密級的國家秘密,其防護水平不低于國家信息安全等級保護三級的要求,并且還必須符合分級保護的保密技術要求。
機密級:信息系統中包含有最高為機密級的國家秘密,其防護水平不低于國家信息安全等級保護四級的要求,還必須符合分級保護的保密技術要求。屬于下列情況之一的機密級信息系統應選擇機密級(增強)的要求:
(1)信息系統的使用單位為副省級以上的黨政首腦機關,以及國防、外交、國家安全、軍工等要害部門;
(2)信息系統中的機密級信息含量較高或數量較多;(3)信息系統使用單位對信息系統的依賴程度較高。
絕密級:信息系統中包含有最高為絕密級的國家秘密,其防護水平不低于國家信息安全等級保護五級的要求,還必須符合分級保護的保密技術要求,絕密級信息系統應限定在封閉的安全可控的獨立建筑內,不能與城域網或廣域網相聯。
涉密信息系統要按照分級保護的標準,結合涉密信息系統應用的實際情況進行方案設計。涉密信息系統定級遵循“誰建設、誰定級"的原則,可以根據信息密級、系統重要性和安全策略劃分為不同的安全域,針對不同的安全域確定不同的等級,并進行相應的保護。建設完成之后應該進行審批;審批前由國家保密局授權的涉密信息系統測評機構進行系統測評(山東省軟件評測中心是山東省內唯一的涉密信息系統檢測機構),確定在技術層面是否達到了涉密信息系統分級保護的要求。
3、等級保護和分級保護之間的關系
國家安全信息等級保護重點保護的對象是涉及國計民生的重要信息系統和通信基礎信息系統,而不論它是否涉密。如:國家事務處理信息系統(黨政機關辦公系統);金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的信息系統;國防工業企業、科研等單位的信息系統等。
涉密信息系統分級保護保護的對象是所有涉及國家秘密的信息系統,重點是黨政機關、軍隊和軍工單位,由各級保密工作部門根據涉密信息系統的保護等級實施監督管理,確保系統和信息安全,確保國家秘密不被泄漏。
國家信息安全等級保護是國家從整體上、根本上解決國家信息安全問題的辦法, 進一步確定了信息安全發展的主線和中心任務, 提出了總體要求。對信息系統實行等級保護是國家法定制度和基本國策,是開展信息安全保護工作的有效辦法,是信息安全保護工作的發展方向。而涉密信息系統分級保護則是是國家信息安全等級保護的重要組成部分,是等級保護在涉密領域的具體體現。
三、等級合規測評的主要內容
1、單元測評。單元測評從信息安全管理制度、信息安全管理機構、人員安全管理、信息系統建設管理、信息系統運維管理、物理安全、網絡安全、主機安全、應用安全、數據安全等層面,測評《信息系統安全等級保護基本要求》(GB/T 22239-2008)所要求的基本安全控制在信息系統中的實施配置情況。
2、整體測評。整體測評主要測評分析信息系統的整體安全性。在內容上主要包括安全控制間、層面間和區域間相互作用的安全測評以及系統結構的安全測評等,是在單元測評基礎上進行的進一步測評分析。
四、等級合規測評的重要作用
1、等級合規測評是落實信息安全等級保護制度的重要環節
在信息系統建設、整改時,信息系統運營、使用單位通過等級測評進行現狀分析,確定系統的安全保護現狀和存在的安全問題,并在此基礎上確定系統的整改安全需求。信息系統定級是整個等級保護工作的開始,等級保護基本要求是對不同等級信息系統實行等級保護的基礎。客戶可以基于定級指南對信息系統定級,基于等級保護基本要求實施保護措施,從而將有效落實國家有關等級保護的制度要求和文件精神。
2、等級測評報告是信息系統開展整改加固的重要指導性文件,也是信息系統備案的重要附件材料
等級測評結論為信息系統未達到相應等級的基本安全保護能力的,運營、使用單位應當根據等級測評報告,制定方案進行整改,盡快達到相應等級的安全保護能力。
3、等級測評使整個組織規范一致的開展等級評定工作
合規測評基于客戶的組織架構、運作模式等特點,制定信息系統安全保護等級定級指南,明確在組織內開展等級評定工作的原則、方法和流程,從而使得客戶的等級評定工作能夠在整個組織范圍內一致地開展。
4、確保突出重點保護對象并進行適度保護
信息系統安全等級保護基本要求明確了不同等級信息系統的技術要求和管理要求,基于信息系統安全等級保護基本要求,合規測評可使客戶在符合國家法律法規要求的前提下,針對不同等級信息系統采取相應等級的保護措施,從而確保重點突出、適度保護,節省IT投資。
5、等級測評提高內部人員的信息安全意識
合規測評過程中,第三方咨詢專家將與被服務單位人員密切合作。通過與被服務單位人員有針對性的交流,以及精心設計的調查問卷等,被服務單位的管理、業務、技術等人員將逐步提高對信息安全合規的認識,強化信息安全意識,杜絕違規操作。
作為第三方測評機構,山東省軟件評測中心認為,通過等級合規測評可指導用戶在各個層面上綜合采取多種保護措施,保護網絡和安全域邊界、網絡及基礎設施、終端計算環境的安全、以及進行安全運行中心等支撐性安全設施的建設。
五、等級合規測評的操作流程 要充分發揮等級測評對信息安全的保障作用,就要按照科學的流程和方法進行操作。山東省軟件評測中心根據等級測評的相關要求將等級測評過程分為四個基本測評活動:測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。具體過程如下:
1、測評準備活動
本活動是開展等級測評工作的前提和基礎,是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。本活動的主要任務是掌握被測系統的詳細情況,準備測試工具,為編制測評方案做好準備。
2、方案編制活動
本活動是開展等級測評工作的關鍵活動,為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等,并根據需要重用或開發測評指導書測評指導書,形成測評方案。
3、現場測評活動
本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求,嚴格執行測評指導書測評指導書,分步實施所有測評項目,包括單元測評和整體測評兩個方面,以了解系統的真實保護情況,獲取足夠證據,發現系統存在的安全問題。
4、分析與報告編制活動
本活動是給出等級測評工作結果的活動,是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和《信息安全等級保護基本要求》的有關要求,通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法,找出整個系統的安全保護現狀與相應等級的保護要求之間的差距,并分析這些差距導致被測系統面臨的風險,從而給出等級測評結論,形成測評報告文本。
等級測評項目啟動測評準備活動信息收集與分析工具和表單準備測評對象確定測評指標確定方案編制活動測評工具接入點確定測評內容確定測評指導書開發測評方案編制現場測評活動測評實施準備現場測評和記錄結果結果確認和資料歸還單項測評結果判定分析與報告編制活動單元測評結果判定整體測評風險分析等級測評結論形成測評報告編制溝通與洽談
六、等級合規測評的關鍵點
確定了等級測評的具體流程,是為開展測評工作奠定了堅實基礎,但是還要關注在具體環節上關鍵要素,它們對測評工作的成效高低具有重大影響。
1、等級測評的方法和強度
等級測評的基本方法一般包括訪談、檢查和測試等三種。
訪談是測評人員通過與被測評單位的相關人員進行交談和問詢,了解被測信息系統安全技術和安全管理方面的相關信息,以對測評內容進行確認。
檢查是測評人員通過簡單比較或使用專業知識分析的方式獲得測評證據的方法,包括:評審、核查、審查、觀察、研究和分析等方法。
測試是指測評人員通過使用相關技術工具對信息系統進行驗證測評的方法,包括功能測試、性能測試、滲透測試等。
等級測評機構應當根據被測信息系統的實際情況選取適合的測評強度。測評強度可以通過測評的深度和廣度來描述。訪談的深度體現在訪談過程的嚴格和詳細程度,廣度體現在訪談人員的構成和數量上;檢查的深度體現在檢查過程的嚴格和詳細程度,廣度體現在檢查對象的種類(文檔、機制等)和數量上;測試的深度體現在執行的測試類型上(功能/性能測試和滲透測試),廣度體現在測試使用的機制種類和數量上。
2、等級測評對象
測評對象是在被測信息系統中實現特定測評指標所對應的安全功能的具體系統組件。正確選擇測評對象的種類和數量是整個等級測評工作能夠獲取足夠證據、了解到被測系統的真實安全保護狀況的重要保證。
測評對象一般采用抽查信息系統中具有代表性組件的方法確定。在測評對象確定中應兼顧工作投入與結果產出兩者的平衡關系。
七、等級合規測評的指標
開展等級測評活動應從《信息系統安全等級保護基本要求》(GB/T 22239-2008)中選擇相應等級的安全要求作為基本測評指標。
1、第二級信息系統等級測評指標,除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的66項基本要求(177個控制點)作為基礎測評指標以外,還應參照《信息系統通用技術要求》中的83個控制點、《信息系統安全管理要求》中的70個控制點、《信息系統安全工程管理要求》中的51個控制點以及行業測評標準所規定的其他控制點,結合不同的定級結果組合情況進行確定。
2、第三級信息系統等級測評指標確定,除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的73項基本要求(290個控制點)作為測評指標以外,還應參照《信息系統通用技術要求》中的109個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的42個控制點以及行業測評標準所規定的其他控制點,結合不同的定級結果組合情況進行確定。
3、第四級信息系統等級測評指標確定,除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的77項基本要求(317個控制點)作為測評指標以外,還應參照《信息系統通用技術要求》中的120個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的35個控制點以及行業測評標準所規定的其他控制點,結合不同的定級結果組合情況進行確定。
4、對于由多個不同等級的信息系統組成的被測系統,應分別確定各個定級對象的測評指標。如果多個定級對象共用物理環境或管理體系,而且測評指標不能分開,則不能分開的測評指標應采用就高原則。
八、高效等級測評工作的注意事項
為了保障等級測評取得真正的成效,在測評之前,需要認真籌備;測評過程中依照相關規定,強化管理。同時,在測評操作過程中還應該嚴格遵循等級測評的相關原則。以上經驗,都已經在山東省軟件測評中心的實踐中得到驗證,成效顯著。
1、認真做好等級測評質量保障工作
等級測評機構開展測評前應與委托單位聯合成立等級測評工作組,建立通暢的溝通聯絡機制,確保等級測評活動的順利開展。
等級測評機構開展等級測評時,必須保證足夠的現場測評等級測評師。開展第二級信息系統的等級測評活動時,測評機構至少應由一名中級等級測評師、一名管理類等級測評師、二名技術類等級測評師參與等級測評活動;開展第三級信息系統的等級測評活動時,測評機構至少應由一名高級等級測評師、兩名中級等級測評師、二名管理類等級測評師、三名技術類等級測評師參與等級測評活動;開展第四級信息系統的等級測評活動時,測評機構至少應由二名高級等級測評師、兩名中級等級測評師、兩名管理類等級測評師、四名以上技術類等級測評師參與等級測評活動。
等級測評機構開展等級測評時,應當投入滿足測評需要的拓撲發現設備、網絡安全配置核查設備、網絡協議分析設備、漏洞掃描設備、滲透攻擊集成設備等功能測試、性能測試、滲透測試工具以及必要的交通、通信設備。
等級測評活動包括測評準備、方案編制、現場測評、分析及報告編制四個基本階段。第二級信息系統單個業務系統等級測評全過程,一般不少于5個工作日。第三級信息系統單個業務系統等級測評全過程,一般不少于10個工作日。第四級信息系統單個業務系統等級測評全過程,一般不少于20個工作日。
等級測評活動中,測評機構需要提交給委托方的資料不少于以下紙質文檔:項目計劃書、公正性聲明、保密協議、等級測評方案、現場測評記錄、等級測評報告、安全建設整改意見
2、嚴格等級測評管理
信息系統的運營、使用單位或主管部門應當選擇年審合格的測評機構,按照《信息系統安全等級保護測評要求》等技術標準,定期對信息系統的安全狀況開展等級測評。
第三級信息系統應每年進行一次等級測評,第四級信息系統應每半年進行一次等級測評。重要的第二級信息系統可參照第三級信息系統的測評要求進行等級測評。符合測評條件的新建、擴建信息系統及信息系統發生重大改變時,應及時安排等級測評。等級測評活動結束后,測評機構應在15個工作日內向被測評信息系統的運營、使用單位提供等級測評報告,并應同時向省、市兩級等保辦提交第三級(含)以上信息系統的等級測評報告。被測評信息系統安全狀況未達到信息安全等級保護制度要求的,由等級測評機構提出安全建設整改意見,運營、使用單位應當及時制定方案進行整改。
省內信息系統的等級測評工作原則上由省內等級測評機構完成,特殊行業等級測評機構或省外其他等級測評機構在省內開展等級測評活動時,應在省等保辦辦理登記備案手續,按照本規范開展等級測評活動,并接受省等保辦的監督管理。測評機構及其測評人員應當嚴格執行有關管理規范和技術標準,開展客觀、公正、安全的測評服務。測評機構可以從事等級測評活動以及信息系統安全等級保護定級、安全建設整改建議、信息安全等級保護宣傳教育等工作的技術支持,但不得從事下列活動:
(1)、影響被測評信息系統正常運行,危害被測評信息系統安全;(2)、泄露被測評單位及被測信息系統的敏感信息和工作秘密;
(3)、故意隱瞞測評過程中發現的安全問題,或者在測評過程中弄虛作假,未如實出具等級測評報告;
(4)、未按規定格式出具等級測評報告;
(5)、非授權占有、使用等級測評活動中的獲得的相關資料及數據文件;(6)、分包或轉包等級測評項目;
(7)、從事信息安全產品開發、銷售和信息系統安全集成;(8)、限定被測評單位購買、使用其指定的信息安全產品;
(9)、其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。
九、等級合規測評中應當嚴格遵循的五個原則
1、客觀公正原則。測評人員應當在沒有偏見和最小主觀判斷情形下,按照測評雙方相互認可的測評方案,基于明確定義的測評方法和過程,實施測評活動。
2、充分性原則。為客觀反映被測評信息系統的安全狀況,測評活動要保證必需的廣度和深度,以滿足國家標準和行業標準的測評指標的要求。
3、經濟性原則。測評活動應盡可能降低成本,減少投入。基于測評成本和工作復雜性,鼓勵測評工作部分使用能反映信息系統當前安全狀態的已有測評結果,包括商業安全產品測評結果和信息系統已有的安全測評結果。
4、結果一致性原則。針對同一信息系統的等級測評,不同測評機構依據同一的測評方案和測評方法得出的測評結果應當一致,同一測評機構重復執行相同測評過程得出的結果應當一致。
5、安全性原則。測評機構和測評人員在測評活動中,應當履行安全保密義務,承擔相應的法律責任,確保被測評信息系統安全運行和用戶的工作秘密及商業秘密不被泄露。
第四篇:組織管理、合規管理、安全保衛
一、組織管理規范
(一)多項選擇題
1、組織管理規范內容包括()。
A、組織領導規范 B、組織制度規范 C、組織流程規范 D、崗位流程規范 E、員工管理規范 F、考核考績規范 G、黨的組織規范 H、黨群工作規范
2、信用社檔案材料應分為()。
A、會計檔案材料 B、人事檔案材料 C、信貸檔案材料 D、專業檔案材料 E、文書檔案材料 F、電子檔案資料
3、黨群工作會議包括()。
A、支部委員會議 B、黨委辦公會議 C、組織生活會議 D、支部黨員大會 E、民主評議黨員會議 F、黨小組工作會議
4、《帶班日志》的內容應涵蓋()。A、是否做好營業準備,按時對外營業 B、環境是否整潔
C、安全設施能否正常運行 D、堅持考勤、查崗
E、檢查各項登記簿的記載情況 F、當天的工作安排情況
(二)單項選擇題
1、信用社按規定召開全體員工會議,每年不得少于()次。A、4次 B、2次 C、1次 D、12次
2、網點負責人每月對會計、出納、財務、信貸、綜合業務操作、安全保衛等規章制度執行情況檢查不得少于()次。
A、6次 B、4次 C、3次 D、1次
3、組織員工集中進行定期學習,每月不得少于()次。A、1次 B、2次 C、3次 D、4次
4、黨支部委員會議,每年不得少于()次。A、1次 B、2次 C、4次 D、6次
5、支部黨員大會,每半年不得少于()次。A、1次 B、2次 C、4次 D、6次
6、利用具有紀念意義的節日和業務時間開展員工集體文體活動,每年不得少于()次。A、1次 B、2次 C、4次 D、6次
(三)判斷題
1、網點負責人要有明確分工,要以書面形式與員工共同簽字確認。()
2、終了,信用分社的會計、信貸檔案按規定裝訂后,可就地放入檔案柜保管。()
3、信用社制定考核考績辦法,應廣泛征求員工意見,并由員工在意見反饋表上簽署意見,必須獲得3/4以上員工簽字認可。()
4、按照考核考績辦法對每位員工進行行為和業績考核,考核結果向員工反饋,獲3/5以上員工簽字同意后,按時兌現考核工資。()
5、信用社設立黨支部,黨支部委員會叁年任期屆滿時應及時改選。()
6、黨支部委員組織生活會每季不少于1次。()
7、民主評議黨員活動每年不少于2次。()
三、合規管理
(一)多項選擇題
1、銀監會《商業銀行合規風險管理指引》所稱的合規,是指使商業銀行的經營活動與()相一致。
A、法律 B、法規 C、準則 D、規則
2、商業銀行合規風險管理的目標是()。A、建立健全合規風險管理架構
B、實現對合規風險的有效識別和管理 C、促進全面風險管理體系建設 D、確保依法合規經營
3、合規風險,是指商業銀行因沒有遵循法律、規則和準則可能遭受()的風險。A、法律制裁 B、監管處罰 C、重大財務損失 D、聲譽損失
4、商業銀行應建立與其()相適應的合規風險管理體系。A、經營范圍 B、員工水平C、組織結構 D、業務規模
5、以風險為本的合規管理計劃,包括以下哪些內容?()A、特定政策和程序的實施與評價 B、合規風險評估 C、合規性測試 D、合規培訓與教育
(二)單項選擇題
1、根據《商業銀行授信工作盡職指引》的規定,客戶資料如有變動,商業銀行應要求客戶(),進一步核實后在檔案中重新記載。A、提供公司章程 B、做出口頭說明 C、提出書面申請 D、提供書面報告
2、商業銀行各業務條線和分支機構的()應對本條線和本機構經營活動的合規性負首要責任。
A、合規管理人員 B、負責人 C、高管人員 D、全體員工
3、在合規管理建設中,商業銀行建立的用以鼓勵員工舉報違法、違反職業操守或可疑行為,并充分保護舉報人的制度是()。
A、合規績效的考核 B、合規問責制度 C、誠信舉報制度 D、獨立管理制度
4、以下哪項不屬于商業銀行設立相應合規管理部門的直接依據?()A、業務條線經營范圍 B、分支機構的經營范圍 C、分支機構的業務規模 D、人員的數量
5、商業銀行發現重大違規事件應按照()的規定向銀監會報告。A、重大事故報告制度 B、重大事項報告制度 C、重大案件報告制度 D、重大事件報告制度
6、商業銀行以()為經營原則,實行自主經營,自擔風險,自負盈虧,自我約束。A、安全性、流動性、效益性 B、安全性、商業性、效率性 C、穩定性、流動性、效益性 D、穩定性、商業性、效率性
7、商業銀行與客戶的業務往來,應當遵循()原則。A、為客戶的交易信息保密的原則 B、自愿、平等、誠實交易的原則 C、平等、自愿、公平和誠實信用的原則 D、平等、自愿、公平的原則
8、以下不屬于法律風險的是()。
A、商業銀行因客戶違約而可能形成不良貸款的風險
B、商業銀行的業務活動違反法律或行政法規,依法可能承擔行政責任或者刑事責任的風險 C、商業銀行因違約、侵權或者其他事由被提起訴訟或者申請仲裁,依法可能承擔賠償責任的風險
D、商業銀行簽訂的合同因違反法律或行政法規可能被依法撤銷或者確認無效的風險
9、以下不屬于操作風險事件的是()。
A、內外部欺詐 B、客戶、產品和業務活動 C、就業制度和工作場所安全 D、決策失誤
10、金融創新應當以()為中心。
A、市場 B、盈利 C、客戶 D、風險
11、核心資本充足率為核心資本與風險加權資產之比,不應低于()。A、4% B、6% C、8% D、10%
12、下列對物權的表述中不正確的是()A、物權是絕對權 B、物權是對世權 C、物權是對人權 D、物權是支配權
(三)判斷題
1、合規是商業銀行高層責任,與其他員工無關。()
2、銀行合規管理部門享有與銀行任何員工進行溝通并獲取履行職責所需的任何記錄或檔案材料的權利。()
3、合規負責人可以同時分管業務條線。()
4、商業銀行應建立有效的合規問責制度,嚴格對違規行為的責任認定與追究,并采取有效的糾正措施,及時改進經營管理流程,適時修訂相關政策、程序和操作指南。()
5、商業銀行合規管理部門同時具備內部審計職能。()
6、商業銀行操作風險包括法律風險、策略風險和聲譽風險。()
四、安全保衛 試題
(一)一、多項選擇
1、火災燃燒必須具備三個基本條件:()
A.要有可燃物 B.要有助燃物 C.要有著火源 D.要有火源
2、滅火的基本方法是:()
A.冷卻滅火法B.隔離滅火法C.窒息滅火法D.抑制滅火法
3、農村信用社營業終了需要入庫保管的是()
A.現金 B.有價證券 C.重要憑證 D.各種印章 E.電腦軟件 F.柜員卡
4、根據省聯社規定,()和()連接到UPS上確保24小時通電。A.監控 B.防尾隨門 C.終端 D.計算機
5、堅持做到“四雙”制度,所謂“四雙”是指()、()、()、()。A雙人臨柜.B.雙人管庫C.雙人守庫D.雙人值班 E.雙人押運
6、所謂四防一保是指()、()、()、()、()。
A.防盜竊B.防搶劫C.防詐騙D.防火災E.保護集體財產的安全F.保財產和人身安全
7、值班守庫人員做到“五不準”是指()、()、()、()、()。
A.不準喝酒B.不準會客和留宿外人C.不準外出D.不準脫崗空崗E.不準下棋打牌等娛樂活動F.不準遲到早退
8、上級領導來信用社檢查安全保衛工作應出示()、()、()、()、或(),并及時將檢查記錄簿拿出讓檢查人員登記。
A.身份證明B.工作證C.介紹信 D.聯社保衛部門陪同E.電話通知F.聯社出具的文件
9、信用社安全員為確保財產和職工人身安全,必須堅持做到對所轄網點“四查”制度的落實,四查指()、()、()、()。
A.平常夜間查B.節假日全方位查C.每月定期查D.下鄉隨時查E.不定時查
10、農村信用社安全保衛工作的特征:()、()、()、()。A.參與性強.B.技防性C.社會參與性D.人防性強E.預防性.11、信用社繳存現金、調款必須于()向()和()用()做好計劃以便做好安排。A.當天下午B.頭天C.營業部D.保衛部E.電話或郵件
12、庫房內嚴禁煙火,保持庫房整潔,不準亂放雜物和存放易燃易爆等違禁物品和個人物品。對儲存在庫內的票幣、實物要采取措施,防止()、()、()、()、()等事故的發生。A.火災B.潮濕C.霉變D.蟲蛀E.鼠咬 F.水災
13、守庫值班人員,要按時上崗,不得遲到、早退,不得擅離職守,有事要事先請假,必須經領導批準派人頂班。禁止()、()、()現象發生。A.缺崗B.遲崗C.空崗D.晚崗E.脫崗 14、110報警系統根據規定晚上(),早上()。.A.布防B.撤防C.開啟D.關閉
15、電視監控設備必須嚴格執行按照()的規定執行,任何人不得將設備移作他用,更不得將監控設備用來()、()等對監控設備有害的操作。A.專機專用B.打游戲C.加載程序D.上網 E.看電視
16、電視監控資料的保存期限以能進行帳務檢查為宜,不得少于()天,重點防護區蜮不得少于()天。
A.30 B.60 C.90 D.100 E.120
17、電視監控設備必須保持清潔完好,定期擦試打掃。防塵罩必須()清理一次,攝像機鏡頭()擦試一遍。A.每10天 B.每20天 C.每30天 D.每90天E.每120天
(二)單項選擇
1、守庫值班終了,必須及時填寫()。
A.值班交接登記簿 B.雙人守庫登記簿.C.雙人管庫登記簿.D雙人臨柜登記簿.2、電視監控設備的管理工作由各營業網點()擔任。負責電視監控設備的日常()及一般故障的(),負責記錄設備的工作狀況,負責()、()大事項查閱的()工作。A.社副主任 開關機 維修 重 特 請示匯報 B.安全員 開關機 維護 重 特 請示匯報 C.社主任 開關機 維護 重 特 通報
D.會計主管 開關機 維修 重 特 請示匯報
3、防尾隨聯動門正確使用方法()運行,不允許一開到底。A.正常 B.即開即關 C.開啟一扇關閉一扇 D.帶電
試題
(二)一、判斷題
1、處置突發事件的方針是預防為主,嚴密防守;統一指揮,各負其責;快速反應,協同處置;科學決策,依法處置。()
2、上級部門和公安機關進行安全檢查須兩人以上即可進行檢查。()
3、各縣級聯社可根據自身條件和需要,建立經濟護衛隊,并可隨時撤銷()
4、農村信用社工作實行分級管理、省聯社統一負責、層層落實的管理辦法。()
5、對持槍人員的審查,每3年不少于一次,嚴禁未經審查人員持槍、管搶。()
6、安全防范設施的立項和施工,各縣可根據自己的實際情況,決定工程資金和施工隊伍()
7、各地發生刑事案件或災害事故,應在24小時內報告省聯社()
8、運鈔車在押運的過程中,遇到公安、交警、路政等人員檢查室,要配合檢查人員做好檢查,確認是公安、交警人員時,可允許上車檢查押運物品()
9、當運鈔車停靠營業網點裝卸錢箱時,車上人員應立即下車觀察周圍是否有可疑情況,看清無可疑情況時在裝卸款箱()
10、押運員下車后應快速占領營業網點大門外側,背靠墻(或入營業室內)、便于觀察車輛周圍、便于發揮火力、能夠支援司機和組長的有力位置,打開槍保險,雙手持槍準備防衛姿勢()
11、在運鈔過程中遭到犯罪分子襲擊時,押運員應按照先示警后自衛的原則處置()
12、運鈔車駕駛員在正常執行押運途中,應該做到“人不離車,車不熄火”()
13、營業期間出現無人臨柜或一人臨柜現象的,給予責任人處以500元罰款()
14、營業期間在無聯社領導或保衛人員陪同下敲門即開違規接受檢查的,給予單位負責人及責任人記過以上處分,并處以1000元以上罰款()
15、營業期間,對重要空白憑證、印章、密押、有價單證等亂扔亂放,未妥善保管的,對責任人處以300元以上罰款()
16、值班守庫期間,聚眾賭博、酗酒等,一律給予責任人警告以上處分,并處以1000元以上罰款,同時追究有關單位負責人的責任()
17、金庫、保險柜、槍柜、通勤門等鑰匙未按規定保管存放的,對責任人或單位負責人處以500元以上罰款()
18、重要空白憑證、有價單證、印章(含個人業務印章)未按規定存放保管的,對責任人每項處以罰款100-500元,柜員卡未入庫或未隨身攜帶的,對責任人處以1000元以上罰款,造成遺失的,給予責任人警告或記過處分()
19、私自將槍支外借或帶槍外出,一律開除公職()
20、由于思想麻痹大意、有章不循、隱患不整改、安全保衛制度不落實、違規操作等給工作帶來不良影響,不論造成后果與否,分別給予責任人和主管領導經濟處罰。()
21、信用社新建、改建項目,未按審批辦法的要求報上級主管保衛部門審核、批準的,對相關責任人處以10000元以上罰款,并根據造成的后果和資金損失程度給予責任人相應的行政處分()
22、對檢查中發現的設施隱患應整改而未整改的,對營業單位負責人處以1000元以上罰款()
23、在執行押運任務時不按規定著裝,防護頭盔、防彈衣配戴不齊全,少一項,對責任人處以1000元罰款。()
24、因違反安全保衛工作制度而導致發生涉槍案件(被盜、被搶、損毀、丟失等),無論是否造成人員傷亡都要給予直接責任人和相關人員開除處分()
25、因違反安全保衛工作制度而導致發生案件,造成一人傷亡的,給予相關責任人記過處分()
26、因違反安全保衛工作制度而導致發生案件,造成三人以上傷亡的, 給予直接責任人和營業網點負責人記大過處分()
27、守庫人員酒后上崗,形成重大安全隱患的,給予責任人警告以上處分,并處以1000元以上罰款。()
28、每年各縣聯社組織全轄槍管、保衛人員進行一次槍支培訓,未落實的,對保衛科長、主管領導各處以1000元以上罰款()
29、防盜安全門的安全級別就是防盜安全門最薄弱環節能夠抵抗非正常開啟的凈工作時間的長短。()
30、防盜安全門產品的標記FAM。防盜安全門產品的安全級別分別為A、B兩級。()31、97式防暴槍射擊時,手柄距面部安全距離是10CM以上,防止槍后座撞傷臉部。()
32、風險等級是銀行工作人員、現金、有價證券、重要憑證及相關設施等在營業場所環境中可能受到的危險程度()
33、防護級別是為保障銀行工作人員、現金、有價證券、重要憑證及相關設施等的安全,銀行機構對不同風險等級營業場所所采取的相應防范措施的程度。()
34、安全保衛責任追究中紀律處分具體包括警告、記過、記大過、降級、撤職、留用察看、開除。()
35、提款箱的防護級別從高到低的順序分為A、B、C三個級別。()
36、守庫值班人員在守庫值班期間發現異常情況,但最終未造成損失的,或歹徒最終未能有效實施犯罪的,不必報告單位領導。()
37.農村信用社安全保衛工作的方針是預防為主,群防群治,突出重點,保障安全()38.根據農村信用社安全保衛有關案件報告制度規定,發生“四類”案件要在規定時間內向上級主管部門報告。這里所稱的“四類”案件是指詐騙、盜竊、搶劫、涉槍。()39.消防安全管理工作應貫徹預防為主,防消結合()
40.發現單位內部有違反《企業事業單位內部治安保衛條例》應采取停業通知。()41.對滅火器的設置地點主要位置明顯,便于取用,不影響安全疏散()
42.營業期間嚴禁無關人員進入營業場內,如遇上級安全保衛檢查時,應出示檢查證,身份證,工作證,介紹信()
43.有現金金庫的營業單位必須堅持24小時守庫值班守庫制度()
44.安全保衛檢查要經常化、制度化,縣(市)聯社組織檢查每年不得少于4次()45.消防器材要指定專人負責,定期檢查和保養,發現過期或壓力不足正常值情況時要及時更換()
46.庫房門鑰匙和款箱柜鑰匙可以由專職守庫人員保管()
47.信用社主任與轄內網點、柜組負責人要簽訂安全保衛工作責任狀()48.信用社要與當地派出所或鄰近單位簽訂治安聯防責任書()49.對于消防器材,必須定期檢查保養()50.營業期間發生危急情況,涉及危害職工生命的,要貫徹先藏身,后報警,再反擊原則()51.發生犯罪分子持槍搶劫時,對已安裝防彈玻璃的營業網點,臨柜人員應立即按響防搶報警器,向公安“110”報警()
52.營業網點改造必須達到公安部規定的ga38—2004標準()
53.銀行營業場所與外界相通的出口應安裝堅固的金屬防護門或防盜門,防盜門應符合gb17565要求()
54.執行運抄任務必須使用專用押款車運送()
55.發生刑事案件、治安事件、災害事故、特大惡性案件,領導和保衛部門要立即趕到現場()
56.安全監控錄像至少要保存30天()
57.調閱、查看監控錄像必須經過保衛部門部門批準()
58.交接班和晚間上崗時要檢查保衛區域內環境有無異常情況,是否關好門窗,落好窗簾,檢查電視監控、報警器、通訊和消防器材設備技術狀況是否良好()59.現金業務區安裝的視頻監控裝置,回放圖像應能達到清晰顯示柜員操作及客戶臉部特征要求()
60.對單位違反《企業事業單位內部治安保衛條例》最高處20萬元罰款()61.ATM機的監控錄像至少要保存90天()62.柜員制監控錄像至少要保存60天()
63.營業場所二層(含二層)以下窗戶要安裝螺紋鋼防護欄()64.營業間嚴禁外部人員進入()
65.認真對待各級安全檢查發出的書面整改通知書,切實將存在的安全隱患按照要求整改到位()
二、不定項選擇題
1、安全保衛工作的基本任務是()。A、維護正常的工作環境
B、落實安全防范措施,防盜竊、防搶劫、防破壞、防災害事故、防高科技犯罪、防火災、防洗錢,維護正常工作秩序 C、為業務經營創造良好環境
D、保障農村信用社員工人身、資金和營業場所安全
2、守衛、押運按照()標準配置槍支彈藥。()A、每庫一支,每車兩支,每支搶配子彈10發 B、每庫兩支,每車一支,每支搶配配子彈20發 C、每庫每車配槍兩支,每支搶配子彈10發 D、每庫每車配槍兩支,每支搶配子彈20發
3、下列哪些情況,持槍人可以開槍制止。()A、守庫、押運人員所保衛的目標受到暴力侵害時; B、執行任務人員所佩帶的武器,遭到暴力搶奪時;
C、押運人員護送的現金、金銀等財物的交通工具遭到不明身份的人員攔截時; D、執行任務的人員,人身遭到暴力侵害時。
4、安全設施管理的主要內容包括()。
A、保衛部門負責安全設施工程圖紙的審查和竣工驗收,嚴禁部門之間互不通氣,前建后拆、重復施工;新建、改建網點安全設施一次達標;
B、保衛部門組織、信息電腦部門配合培訓兼職技術人員,了解器材性能,學會使用、保養和簡單維修;
C、保衛部門組織制定安全設施使用管理制度辦法,經常對安全設施進行檢查,對不達標或違反使用規定的要限期整改。
D、根據自身條件決定安防設施項目、費用及工期。
5、對違反下列情況之一的,由上級主管部門、有關單位、或本單位根據有關規定給予經濟處罰。()
A、不執行金庫雙人管理B、金庫鑰匙不分開保管 C、金庫不使用密碼 D、各級檢查不查驗證件
6、持槍、管槍人員審查程序。()A、用槍單位填寫持槍、管槍人員審查登記表,并簽署意見 B、縣級聯社人事、保衛部門負責審查 C、縣級聯社主管領導審查批準 D、報省聯社審查
7、持槍人員培訓時間,不得少于()。A、20小時 B、30小時 C、40小時 D、50小時
8、營業時間,凡外部人員進入營業室、守庫室的,對責任人及當日安全員分別處以()元以上罰款。()
A、200元 B、300 C、500元 D、1000
9、守庫人員酒后上崗,形成重大安全隱患的,給予責任人()罰款。A、100-1000 B、200-1000 C、300-1000 D、500-1000
10、不認真執行值班守庫制度,守庫人員擅離守庫室、隨意脫崗、空崗的,對責任人給予相應的行政處分,并處以()元以上罰款。()A、200-1000 B、300-1000 C、500-1000 D、1000
11、金庫鑰匙不分開保管,對責任人處以()元以上罰款。()A、100-500 B、300-500 C、500 D、200-500
12、營業網點缺少安全保衛登記簿,給予責任人。()A、100-200 B、100-300 C、100-400 D、100-500
13、電視監控設備使用時,不按照規定登記,給予責任人()罰款 A、100-200 B、100-300 C、100-400 D、100-500
14、各營業網點每季對信用社員工防范教育不少于()次。A、一次 B、兩次 C、三次 D、四次
15、各營業網點結合臨柜、守庫、接送款、安全知識培訓等重要環節,每季對信用社人員組織至少()次有針對性的預案演練()A、一次 B、兩次 C、三次 D、兩次
16、各信用社主任,每月至少對所轄營業網點進行()次全面檢查()A、1 B、2 C、3 D、5
17、各信用社主任,每月對所轄營業網點進行兩次全面檢查,沒有記錄的,處以()元以上罰款。
A、50 B、200 C、300 D、500
18、在押運過程中,泄露運鈔秘密,對責任人處以()元以上罰款,情節嚴重的給予()以上處分。()A、200-500 警告 B、100-500 降低薪酬 C、1000 警告 D、2000 記大過
19、在執行押運送款任務時,發生意外不上報的,對責任人各處以()元以上罰款。A、200-500 B、300-500 C、100-500 D、1000 20、對押運中擅自改變線路的,處以()元以上罰款,A、200-500 B、100-500 C、1000 D、2000
21、因違反安全保衛工作制度而導致發生盜竊、搶劫案件,造成10萬元(含10萬元)以內經濟損失的()
A、給予直接責任人行政記大過以上處分 B、給予營業網點負責人行政記大過以上處分 C、給予縣級聯社主管領導警告以上處分 D、給予營業網點負責人行政記過以上處分
22、因違反安全保衛工作制度而導致發生盜竊、搶劫案件,造成50萬元至100萬元(含100萬元)以內損失或傷亡兩人的。()A、給予直接責任人行政留用察看以上處分 B、給予營業網點負責人行政撤職以上處分 C、給予縣級聯社主管領導降級以上處分 D、給予縣級聯社主任記大過以上處分
23、因違反安全保衛工作制度而導致發生盜竊、搶劫案件,造成100萬元以上經濟損失或傷亡三人以上的()A、給予直接責任人行政開除處分
B、給予縣級聯社主管領導撤職以上處分 C、給予縣級聯社主任撤職以上處分 D、給予縣級聯社理事長降級以上處分 E、給予營業網點負責人行政開除處分
24.因違反安全保衛工作制度而導致發生詐騙案件,造成100萬元以上損失的()A、給予直接責任人行政開除處分 B、給予營業網點負責人行政開除處分 C、給予縣級聯社主管領導撤職以上處分 D、給予縣級聯社主任撤職以上處分 E、給予縣級聯社理事長降級以上處分
25、因違反安全保衛工作制度而導致發生涉槍案件,造成兩人傷亡的,對縣級聯社理事長、主任、主管領導,基層營業網點主要負責人和其他直接責任人員處理如下()A、給予直接責任人行政開除處分;
B、給予營業網點負責人行政留用察看以上處分 C、給予縣級聯社主管領導撤職以上處分 D、給予縣級聯社主任行政降級以上處分 E、給予縣級聯社理事長行政降級以上處分
26、因違反安全保衛工作制度而導致發生涉槍案件,造成三人以上傷亡的()A、給予直接責任人和營業網點負責人行政開除處分; B、給予縣級聯社主管領導察看留用以上處分; C、給予縣級聯社主任察看留用以上處分 D、給予縣級聯社理事長撤職以上處分
27、C級防護的提款箱應具有以下功能()A、防砸、防沖擊、防撬 B、存儲 C、記錄 D、報警或定位
28、根據《安徽省農村信用社員工違規違紀行為處理辦法》,對違紀違規人員的處理種類包括()
A、經濟處罰 B、紀律處分 C、經濟處罰 D、留用察看
29、營業期間,抽屜、保險柜內現金超限額或現金外置桌面,離開辦公崗位,未鎖閉現金抽屜、保險柜的,處以()元以上罰款,并按違規金額的()一并罰款。()A、50 3% B、100 3% C、200 5% D、500 5% 30、守庫值班人員在守庫值班崗位上應該做的事項有()A、檢查和登記值班記錄 B、清點庫內寄存錢箱數量、整理出庫錢箱 C、巡視保衛區域有無異常
D、做好寄庫錢箱入庫交接登記工作
31、晚間值班期間庫區防入侵報警系統被觸發,守庫人員不應()。A、拿起自衛武器 B、立即出去巡視
C、通過電視監控設備觀察 D、守庫人員互相聯絡
32、押運途中,押運用槍應()。A、槍彈分離保管 B、嚴禁上膛 C、不得將子彈裝入槍中D、槍口向下
33、守庫值班人員在守庫值班期間遇外來人員找人、打電話時,應()。A、守庫人員堅守崗位 B、開啟守庫室通道門 C、按下110報警按扭 D、嚴禁開啟守庫室通道門
34、押運途中運鈔車出現故障時,處置不正確的是()A、除駕駛員外,押運人員不得下車 B、及時報告單位領導
C、無法修復,請求公安或本系統其他單位或本單位援助 D、除留一人在車上外,其他人員下車警戒
35、晚上守庫值班期間,發現電線、電話線、報警線路遭破壞,又無移動電話向外報警的情況下,守庫值班人員不應()A、開門外出求援 B、大聲對外呼救 C、敲打響器 D、高度警惕
第五篇:安全合規警示教育活動總結
xx支行安全合規警示教育活動總結
按照營業部《關于印發<安全合規警示教育活動實施方案>的通知》精神,努力實現“三無”管理目標,提高全員遵章守紀,規范操作,合規經營的自覺性,加大案件防控力度,預防各類案件的發生,促進業務經營的健康發展。我行在全行范圍內開展了安全合規警示教育活動,現將活動情況總結如下。
一、建立組織,加強領導。
為切實加強對活動的組織領導,支行成立了行長同志任組長,副行同志任副組長,支行各部室經理(主任)為成員的安全合規警示教育活動領導小組,下設辦公室,負責整體部署、組織協調及督辦工作,辦公室設在支行綜合辦公室,綜合辦公室主任任主任。
二、統一思想,提高認識。
為統一思想,提高廣大員工對本次活動的認識,我行先后召開了二次會議,傳達安排此次活動,并認真學習了有關文件,支行還制定了《xx支行安全合規警示教育活動實施方案》,大家對活動有了非常清晰的認識。充分認識到盡職盡責是員工發展和進步的基本途徑,員工應當恪守制度要求和辦事程序,勤奮努力,嚴謹審慎,精益求精,盡職盡責。依法合規是員工應牢固樹立法律意識和合規意識,自覺遵守法律法規和銀行內部規章,堅持以最高道德標準要求自己,在任何情況下,都不得以違規為代價追求利益。
三、扎實推進,不走過場。
按照實施方案,此次安全警示教育活動時間為2011年
4月15 日至5月20日,分三個階段進行,2011年4月27日晚上18:30,我行組織全體員工觀看了營業部預防職務犯罪講座光盤,我行又召開了行長辦公會議、全體員工會議,將此項活動納入全行全年工作規劃。組織員工學習《中國農業銀行員工違反規章制度處理辦法》、《員工違規積分管理辦法》和本專業、本崗位規章制度,每名員工結合本專業、本崗位的工作,認真抄寫處理辦法有關章節,理解各條款的含義,并簽署“處理辦法已學習熟知”的書面記錄,簽訂了《承諾書》,撰寫了《心得體會》。5月20日支行班子成員、部門經理、分理處主任到xx監獄接受教育,凈化思想,筑牢防線。這次活動的開展旨在教育員工牢固樹立法律意識和合規意識,自覺遵守法律法規和銀行規章制度,抵制各種違法違規行為。支行副科級以上領導干部學習《〈中國共產黨黨員領導干部廉潔從政若干準則〉實施辦法》、《中國農業銀行領導人員廉潔從業若干規定》和《中國農業銀行“問責”辦法》,每人寫了一篇心得體會,全體員工結合本崗位實際實際,每人寫出了學習心得體會。在對照檢查階段,各網點、部室通過學習,逐環節、逐崗位對照制度規定,查看規章制度是否執行到位,工作中還存在那些問題。每一名員工對本專業、本崗位的工作,認真進行梳理、剖析,找出了存在的問題。通過自己找、領導點、同事幫的方式,找準問題和原因,限期進行整改。支行召開了多次由網點、部室經理主任參加的問題檢查剖析會,對2010年以來內外部各項檢查發現的問題,認真進行梳理,分析問題根源,制定整改措施,進行再次整改。在驗收總結階段,各網點、部室對照檢查階段發現的問題認真落實整改,到目前全部問題整改完畢。
總之,此次安全合規警示教育活動是為全面提升管理水平和風險防控能力采取的一項重要舉措,對于正確處理業務經營和風險控制的關系,樹立安全是立行之本,安全就是效益的思想,將起到極大地促進作用,我行以此次活動為契機,認真落實合規經營的有關規定,確保安全無事故的前提下,實現經營效益最大化。