信息安全評估報告

XXXX銀行：

根據《商業銀行信息科技風險管理指引》要求，信息科技管理部門應定期向總行提交本行信息安全評估報告，結合我行2020年度信息安全管理情況，現將本年度信息安全評估情況報告如下：

一、評估目標

信息安全評估的主要目標是通過自評估工作，發現我行信息系統當前面臨的主要安全問題，邊檢查邊整改，確保信息系統的安全。

二、評估依據、范圍和方法

(一)評估依據：《商業銀行信息科技風險管理指引》及省聯社相關制度辦法。

(二)評估范圍：全行信息系統的安全制度管理、安全組織管理、資產管理、人員管理、物理與環境管理、通信與運營管理、訪問控制管理、安全事故管理及合規性管理等方面。

(三)評估方法：采用自評估方法。

三、項目評估

(一)安全制度管理。制定了《信息系統安全運行管理辦法》《信息安全策略》《信息安全工作管理辦法》《信息系統設備管理辦法》《信息系統網絡設備用戶管理辦法》等一系列制度辦法，明確了職責范圍、工作流程，規范了信息系統生產運行安全工作。

評估結論：制定了切合實際的信息系統安全制度。

(二)信息安全組織管理。成立了信息科技管理委員會、信息系統及網絡安全工作領導小組、業務連續性管理委員會及相關工作領導小組，制定了相關職責均按要求履行。

評估結論：成立了相關委員會并履行職責。

(三)資產管理。截止2020年11月底，全行共有計算機886臺、UPS 87臺、發電機78臺、ATM機28臺、CRS機58臺、3G路由器77臺、4G路由器5臺、高拍儀臺216臺、掃描153儀臺，均按部門按機構建立有電子臺賬，專人管理，按照“誰使用誰負責”的原則負責設備安全。定期安排對所有設備的使用進行安全檢查，及時進行維修，排出隱患。

評估結論：有專人管理有臺賬，仍需加強日常維護管理。

(四)人員安全管理。一是各崗位的人員具有相應的專業知識和技能。二是重要崗位采取下列風險防范措施：驗證個人信息，審核信息科技員工的道德品行，確保其具備相應的職業操守。三是確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統、信息科技管理制度和流程等要求，并同員工簽訂相關協議。四是評估關鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發生變化后及時變更相關信息。五是明確其崗位權限。

評估結論：配備有專職信息科技人員，但人員配備不足，專業勝任能力有待提高，對關鍵崗位人員流失帶來的風險缺乏有效應對措施。

(五)物理與環境安全管理。設立有物理安全保護區域，如計算機中心機房、放置網絡設備的專用機房或標準化機柜等重要信息科技設備的區域，明確相應的職責，配置了網絡設備和應用程序使用的網絡協議和端口。內部網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、記錄活動日志等均由省聯社按照級別進行了控制。

評估結論：有物理與環境安全防護措施，但仍然存在使用U盤等移動介質帶來的病毒感染風險和安全風險。

(六)通信與運營管理。截止2020年11月末我行生產業務租用電信公司SDH線路77條連接市中心機房，線路帶寬4M，總行營業部直連市中心機房,生產備用線路租用聯通公司3G SIM卡77個連接市中心無線鏈路業務路由，OA業務租用移動公司MSTP線路77條連接市中心機房，帶寬50M，總行營業部直連市中心機房帶，生產業務市中心機房2條MSTP 線路連接省中心機房運營商分別為電信公司和聯通公司,線路帶寬20M。OA業務市中心機房2條MSTP線路連接省中心機房運營商分別為電信公司和移動公司，線路帶寬20M。核心路由、核心交換、無線鏈路業務路由均在市中心機房。

評估結論：生產網主線路穩定，業務辦理流暢。但備用線路存在山區網絡信號差、不穩定現象，亟需更換4G及以上路由器。

(七)訪問控制管理。登陸所有系統均采用個人用戶名、密碼及柜員卡登陸，用戶名實行終身制，一人一卡，卡隨人走，并要求定期修改密碼。用戶調動到新的工作崗位或離開我行時，在系統中及時檢查、更新或注銷用戶身份。

評估結論：系統用戶訪問控制制度完善，在實際操作中需加強與綜合部的溝通，及時將調整人員做系統變更。

(八)系統開發與維護管理。除省聯社托管系統外，我行無自建系統。現有的系統全部由省聯社開發、測試和運維。

評估結論：無自建系統，本行不涉及。

(九)信息安全事故管理。建立有應急預案及應急處置報告制度，各級機構及時響應信息系統運行事故，逐級向相關的信息科技管理人員報告事故的發生，并進行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。省聯社建立有專門處理問題的服務電話，為用戶提供相關技術問題的在線支持，并將問題提交給相關信息科技部門進行調查和解決。

評估結論：我行的信息系統從未發生不安全事故，但仍需不斷提升應急處置能力和風險防范能力，杜絕不安全事故的發生。

(十)合規性管理。指定了風險管理部專人負責信息科技風險管理，負責協調制定有關信息科技風險管理策略，尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面，為業務部門和信息科技部門提供建議及相關合規性信息，實施持續信息科技風險評估，跟蹤整改意見的落實，監控信息安全威脅和不合規事件的發生。

評估結論：我行信息系統安全管理均按上級監管部門和管理部門相關制度執行，合規到位。

三、評估總結

通過以上對信息系統安全的自查自評，總的來看，我行的信息系統安全體系較為完善，但仍然存在一定的風險和隱患。比如來自不可控互聯網的外部攻擊威脅和內部人員的操作風險等。一是要進一步加強員工信息安全意識教育，嚴格網絡與信息安全管理制度，提高網絡安全及信息安全工作的主動性和自覺性，增強對安全防范意識和處置能力。二是要加快信息系統基礎設施建設，通過安全設施與管理相結合，使安全風險可控，杜絕不安全事故的發生。

信息管理部