邮储银行信息安全等级保护专项检查自查报告

邮储银行信息安全等级保护专项检查自查报告（共5篇）

篇1：邮储银行信息安全等级保护专项检查自查报告

为了认真贯彻落实齐信安《＃＃市信息安全等级保护工作领导小组关于“十八大”安保开展信息安全等级保护检查工作的通知》文件精神，为进一步做好我行信息安全工作，保障党的“十八大”胜利召开，提高我行基础信息网络和重要信息系统安全保障能力，按照县网监大队要求，我行于＃＃年6月1日至7月31日，开展自查工作，现将开展情况汇报如下：

（一）积极组织部署信息等级保护工作 1.专门成立等级保护协调领导机构

成立了由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组，确保信息安全责任的落实、理顺信息安全管理、规范信息化安全等级建设。

2.明确等级保护责任部门和工作岗位

我行高度重视等级保护工作，多次开会明确等级保护责任部门，做到分工明确，责任具体到人。

3.贯彻落实等级保护各项工作文件或方案

等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案，根据《信息安全等级保护管理办法》《中国银监会办公厅关于加强信息安全保障工作的通知》

制定出我行《信息化安全运行考核管理办法》。

4.召开工作动员会议，组织人员培训，专门部署等级保护工作

我行积极组人人员参加县网监大队组织的培工作动员会议，定期、不定期对技术人员进行培训，并开展考核。技术人员认真学习贯彻有关文件精神，把信息安全等级保护工作提升到重要位置，常抓不懈。

5.有关主要领导认真听取等级保护工作汇报并做出重要指示

县行行长听取等级保护工作汇报，对等级保护工作给与批示，要求认真做好有关工作。指示责任部门做好自检、自查，精心准备，迎接公安厅专项检查。

（二）认真落实信息安全责任制 1.高规格建设信息安全协调领导机构

在等级保护协调领导小组中，某副行长亲自担任协调领导小组组长，各部门负责人为成员组成信息安全协调领导小组。

2.成立信息安全职能部门

我行在成立信息安全协调领导小组的基础上，成立信息安全办公室，设立在综合管理部，作为信息安全职能部门，负责环境网络建设，信息安全，日常运行管理。

3.制定信息安全责任追究制度

我行严格执行省、市行信息安全责任追究制度，严格按照信息安全责任追究制度，定岗到人，明确责任分工，把信息安全责任事故降低到最低。

（三）积极推进信息安全制度建设 1.加强人员安全管理制度建设

我行建立了人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度，对新进人员进行培训，加强人员安全管理，不定期开展考核。

2.严格执行机房安全管理制度

我行制定出《机房管理制度》，加强机房进出人员管理和日常监控制度，严格实施机房安全管理条例，做好防火防盗，保证机房安全。

（四）大力加强信息系统运维 1.开展日常信息安全监测和预警

我行建立日常信息安全监测和预警机制，提高处置网络与信息安全突发公共能力事件，加强网络信息安全保障工作，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网站网络与信息安全突发公共事件的危害。

2.建立安全事件报告和响应处理程序

我行建立健全分级负责的应急管理体制，完善日常安全管理责任制。相关部门各司其职，做好日常管理和应急处置工作。设立安全事件报告和相应处理程序，根据安全事件分类和分级，进行不同的上报程序，开展不同的响应处理。

3.制定应急处置预案，定期演练并不断完善

我行按照省、市行应急处置预案要求，制定了我行安全应急预案，根据预警信息，启动相应应急程序，加强值班值守工作，做好应急处理各项准备工作。定期演练预警方案，不断完善预警

方案可行性、可操作性。

中国邮政储蓄银行某县支行

篇2：邮储银行信息安全等级保护专项检查自查报告

为了认真贯彻落实省公安厅《关于组织开展全省2011信息安全等级保护专项检查工作的通知》文件精神，为进一步做好我省环境自动监控系统信息安全工作，提高环境自动监控系统安全保证能力和水平，切实加强省环境监控系统网络信息安全，为中原经济区建设创造良好的社会和网络环境。

环保部和省委、省政府领导高度重视环境自动监控系统建设和应用工作。陈新贵副厅长和易旭生副巡视员对省环境信息自动监控系统信息安全等级保护专项检查工作做出重要批示，要求认真准备，做好检查工作。

按照省环境监控中心（以下简称“监控中心”）各位领导严格要求，安排专门科室和人员，制定了一系列信息安全管理制度，加强日常信息安全监测和预警，促进了中心信息安全建设和管理，营造出健康、和谐的网络环境。近期，我中心进行了信息安全自查，现将中心信息安全自查工作情况报告如下：

一、信息安全工作的基本情况

（一）积极组织部署等级保护工作

1、专门成立等级保护协调领导机构

成立了由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组，确保环境自动监控系统高效运行、理顺信息安全管理、规范信息化安全等级建设。

2、明确等级保护责任部门和工作岗位

监控中心非常注重环境自动监控系统建设，多次开会明确等级保护责任部门，做到分工明确，责任具体到人。

3、贯彻落实等级保护各项工作文件或方案

等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案，根据环境自动监控工作的特点，制定出《河南省环境保护厅网络与信息安全事件应急预案》、《河南省环境自动监控系统机房管理制度》等一系列规章制度，落实等级保护工作。

4、召开工作动员会议，组织人员培训，专门部署等级保护工作

监控中心每季度召开一次工作动员会议，定期、不定期对技术人员进行培训，并开展考核。技术人员认真学习贯彻有关文件精神，把信息安全等级保护工作提升到重要位置，常抓不懈。

5、有关主要领导认真听取等级保护工作汇报并做出重要指示

省环保厅陈新贵副厅长、易旭生副巡视员分别对等级保护工作给与批示，要求认真做好有关工作。监控中心陶冶主任、丁卫东副主任、郭新望总工程师分别听取等级保护工作汇报，指示责任部门做好自检、自查，精心准备，迎接公安厅专项检查。

（二）认真落实信息安全责任制

1、高规格建设信息安全协调领导机构

在监控中心等级保护协调领导小组中，陶冶主任亲自担任协调领导小组组长，主管领导郭新望总工程师担任协调领导小组常务副组长，信息管理室汪太鹏主任兼任领导小组办公室主任。

2、成立信息安全职能部门

监控中心成立了信息管理室作为信息安全职能部门，负责环境网络建设，信息安全，日常运行管理。

3、制定信息安全责任追究制度

监控中心制定出相应信息安全责任追究制度，定岗到人，明确责任分工，把信息安全责任事故降低到最低。

（三）积极推进信息安全制度建设

1、加强人员安全管理制度建设

监控中心建立了人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度，对新进人员进行培训，加强人员安全管理，不定期开展考核。

2、严格执行机房安全管理制度监控中心制定出《机房管理制度》，加强机房进出人员管理和日常监控制度，严格实施机房安全管理条例，做好防火防盗，保证机房安全。

3、建立系统建设管理制度

监控中心制订了产品采购、工程实施、验收交付、服务外包等系统建设管理制度，通过公开招标，择优选用，大大提高了系统建设的质量。

（四）大力加强信息系统运维

1、开展日常信息安全监测和预警

监控中心建立日常信息安全监测和预警机制，提高处置网络与信息安全突发公共能力事件，加强网络信息安全保障工作，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网站网络与信息安全突发公共事件的危害。

2、建立安全事件报告和响应处理程序

监控中心建立健全分级负责的应急管理体制，完善日常安全管理责任制。相关部门各司其职，做好日常管理和应急处置工作。设立安全事件报告和相应处理程序，根据安全事件分类和分级，进行不同的上报程序，开展不同的响应处理。

3、制定应急处置预案，定期演练并不断完善监控中心制定了安全应急预案，根据预警信息，启动相应应急程序，加强值班值守工作，做好应急处理各项准备工作。定期演练预警方案，不断完善预警方案可行性、可操作性。

二、扎实开展信息系统定级备案

（一）信息系统定级工作概况

监控中心积极有效开展信息系统定级工作，认真编制安全等级保护定级报告。省环境自动监控系统是通过前端自动监控设施自动采样、分析、获取各污染源、环境质量点位的监测数据，通过VPN网络上传至省、市监控中心，监控中心管理人员对数据进行审核后应用于环境管理工作。

该系统主要服务于省、市环保部门环境管理，同时对审核后数据通过网站向公众发布。

系统服务受到破坏时侵害的客体是公众利益，即社会公众的环境知情权。

系统服务受到破坏后，对侵害客体的侵害是一般损害。

（二）信息系统备案工作情况

监控中心按期规范开展信息系统备案工作。根据《信息安全等级保护管理办法》，填写信息系统安全等级保护备案表。

对单位基本情况、信息系统情况、信息系统定级情况等信息做出明确备案。

三、有效推进信息系统等级测评和安全建设整改工作部署和经费保障

（一）制定等级测评工作计划

认真制定等级测评工作计划表，按照工作计划表，有条不紊的开展等级测评。

（二）制定安全建设整改工作计划

制定安全建设整改工作计划，根据自查结果，对发现问题进行安全建设整改。编制整改方案，限期完成整改计划。

（三）保证等级测评工作经费

中心优先保证等级测评工作经费的划拨、使用。

（四）落实安全建设整改工作经费保障

中心积极落实安全建设整改工作经费，协调财政部门保障整改经费保障。

（五）选择等级测评机构

四、不断完善等级保护自查和整改

（一）组织部署等级保护自查工作

领导协调小组开专题会议，部署等级保护自查工作。按照信息安全等级保护工作检查表的要求，细化各项检查指标，落实各项指标。

（二）按期整改存在的问题

五、认真做好三级信息系统等级测评和安全建设整改工作

（一）等级评测工作开展情况

篇3：邮储银行信息安全等级保护专项检查自查报告

信息安全等级保护是国家在信息安全保障工作的一项基本制度, 人民银行根据国家关于信息安全等级保护工作的相关制度和标准, 制定了金融行业信息系统信息安全等级保护系列标准, 2012年以由金融标准化技术委员会以中华人民共和国金融行业标准对外发布。即:《金融行业信息系统信息安全等级保护实施指引》 (JR/T0071-2012) 、《金融行业信息系统信息安全等级保护测评指南》 (JR/T0072-2012) 、《金融行业信息安全等级保护测评服务安全指引》 (JR/T0073-2012) 。其中:

第一, 《金融行业信息系统信息安全等级保护实施指引》 (JR/T0071-2012) 依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全涉及技术要求标准》, 结合金融行业特点以及信息系统安全建设需要, 对金融行业信息安全体系架构采用分区分域设计、对不同等级的应用系统进行具体要求, 以保障将国家等级保护要求行业化、具体化, 提高金融机构重要网络和信息系统信息安全防护水平。

第二, 《金融行业信息系统信息安全等级保护测评指南》 (JR/T0072-2012) 规定了金融行业对信息系统安全等级保护测评评估的要求, 包括对第二级信息系统、第三级信息系统和第四级信息系统进行安全测评评估的单元测评要求和信息系统整体测评要求等。根据金融行业信息系统的定级情况, 不存在五级系统, 而一级系统不需要去公安机关备案, 不作为测评重点。

第三, 《金融行业信息安全等级保护测评服务安全指引》 (JR/T0073-2012) 总结了金融行业应用系统多年的安全需求和业务特点, 并参考国际、国内相关信息安全标准及行业标准, 明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。

二、金融行业信息安全系列管理标准应用

人民银行昆明中心支行在金融信息安全等级保护系列标准的基础上, 按照标准化技术和方法, 制定《银行业金融机构信息安全检查规范》 (简称《规范》) , 作为落实等级保护管理要求的检查标准。

(一) 以标准化方法细化检查依据

金融信息安全管理体系范围与内容复杂庞大, 研究表明, 金融信息安全等级保护系列标准规范涵盖金融机构信息化安全管理的基本管理要求和基本技术要求, 应以信息安全等保制度作为检查依据。目前, 根据人民银行总行和公安部的统一部署, 银行业金融机构有序开展网络及信息系统的定级、评审、备案、测评和整改工作。

(二) 以标准化技术明确检查内容

以金融信息安全等级保护的管理要求为基础, 同时, 从实际工作出发, 需要增加以下内容:

1. 增加信息安全概况的内容。

按照统一的标准化方式统计各银行机构信息化发展规划、人员资金投入、开发建设、专项治理、安全保障等情况。便于检查人员掌握了解被查行信息化建设的基本层面。

2. 增加银行卡联网联合技术管理的内容。

当前, 银行卡犯罪呈上升趋势, 人民银行总行高度重视银行卡联网联合及其带来的信息安全管理工作, 在《规范》中应增加相关检查内容。

3. 增加金融业机构信息管理的内容。

金融机构代码在我国实施的金融标准化战略中, 具有重要的基础作用, 人民银行通过检查金融机构代码证申领、年检、变更和撤销, 确保金融机构信息的真实、准确、有效。因此, 在《规范》中应增加相关检查内容。

(三) 以标准化手段细化检查流程

一是标准化的检查方案。由于银行金融机构分为法人和非法人机构, 金融信息化发展水平不均衡。省、市、县、营业网点金融信息化发展不均衡。制定的《规范》作为通用工作规范, 并按照信息安全等级保护定级分别标注出来。检查单位要根据被检查银行信息安全等级保护定级情况, 在通用规范的基础上定制检查方案。

二是标准化的检查内容。由于各银行金融机构的基础、投入、核心系统等不同, 导致各行信息安全管理具有独立性, 金融信息安全管理组织、资料名称、归聚存在差异。检查单位应关注被检查单位的信息安全管理的实质内容, 忽略具体表现形式。

三是标准化的机房核查流程。网络和信息系统正常运行是业务开展的基础, 机房属于银行核心区域。因此, 检查人员进入机房应注意按照相应管理制度执行。

四是标准化的协查规定。信息安全涵盖机房、网络、系统、安全、银行卡、机构信息等, 检查人员需要与不同的技术人员交流, 被检查单位应指定专人全程陪同, 负责协调。

五是标准化的禁止规定。为了避免检查人员登陆被查单位信息系统出现误操作, 造成重大损失, 检查人员应与联络人进行充分的沟通, 由被查单位人员具体上机操作, 严禁检查人员直接登陆被查单位信息系统操作。

六是标准化的通报格式。检查人员应分析查出问题的性质, 标识风险隐患的类别 (高风险、中风险、低风险) , 根据问题的性质不同, 分别以限期整改、风险提示、暂停服务进行处理, 并结合实际情况, 提出整改时限。

三、金融行业信息安全系列管理标准实践

(一) 首次实施统一的监管标准

2013年5月, 人民银行昆明中心支行制定并对全省发布《规范》 (昆银发[2013]139号) , 首次统一了金融信息安全检查标准。全省16个地区人民银行各级机构依据《规范》, 组织了综合执法检查金融业信息安全调查, 对机房及基础设施管理、网络管理、信息系统管理、信息安全管理、金融机构信息管理、银行卡联网联合技术管理、网上银行信息安全管理7个大类254个调查项, 204个检查项实施了信息安全检查。

1.2013年依据《规范》开展检查发现问题统计。

2.2013年依据《规范》开展检查结果处理情况统计。

3.2013年依据《规范》开展检查整改情况统计。

全省首次实施上下统一的监管标准、统一的检查尺度, 首次在一个标准下实现全省检查发现问题数、检查结果处理方式的统计、对比分析, 使上级行能够更加准确地掌握辖区信息安全状况。

(二) 首次统一各类金融信息安全检查

目前, 人民银行对辖内银行业金融机构开展的信息安全类检查工作, 包括执法检查、信息安全调查、新设机构准入审批、新业务系统开通审批及银行金融机构信息安全自查。各类金融信息安全检查都将《规范》作为一个基础性规范, 在使用《规范》时, 根据实际情况, 酌情增减检查内容。如:信息安全调查内容可酌情增加, 新设机构准入审批和新业务系统开通审批的检查内容可酌情减少。专项信息安全检查同时遵守专项信息安全检查要求。人民银行对金融机构的要求具有统一性, 连续性, 有效提升了人民银行对全省地方法人机构监管的透明度、程序的公开化, 对促进全省地方性商业银行信息安全管理向规范化发展起到了重要作用。

(三) 首次集中解决检查中的难点

基层人民银行对于检查结果整改及处理一直是金融信息安全检查中的难点, 与现金管理、征信、国库等人民银行传统监管业务相比, 梳理金融信息安全管理制度后会发现相关处罚规定模糊且操作性不强。对于屡查屡犯、造成城市金融网严重安全风险等行为, 缺乏处罚措施。《规范》首次提出检查人员应分析查出问题的性质, 标识风险隐患的类别 (高风险、中风险、低风险) , 根据问题的性质不同, 按照限期整改、风险提示、暂停接入人民银行网络和信息系统服务、暂停新设机构准入审批及新业务系统开通审批等方式分别处理, 在实践中具有很强的操作性。解决了金融信息安全检查中的难点。

篇4：信息安全等级保护监督检查报告

接县公安局文件后，我单位对本单位信息安全等级保护工作进行了自查

一、等级保护工作组织开展、实施情况：严格按照文件精神组织开始了信息安全等级保护自查工作，主要检查对象为本单位维护的翼城政府网；安全责任落实情况：按照“谁主管谁负责，谁运营谁负责”的原则开展工作，我单位负责人为第一责任人，对翼城政府网信息安全负直接责任，并接受信息安全监管部门对开展等级保护工作的监管；信息系统安全岗位和安全管理人员设置情况：本单位负责人主管信息系统安全工作，有安全管理员两名。

二、按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况：遵照有关法律法规，对翼城政府网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对翼城政府网信息安全保护等级进行了自主定级。

三、信息系统定级备案情况，信息系统变化及定级备案变动情况：按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字„2007‟861号），对本单位维护网站（翼城政府网）安全保护等级级别定位第二级。

四、信息安全设施建设情况和信息安全整改情况：鉴于

网站的性质，无信息安全设施。

五、信息安全管理制度建设和落实情况：制定了翼城政府网信息安全管理制度，按照“谁主管谁负责”的原则开展工作，我单位负责人为第一责任人，对翼城政府网信息安全管理负直接责任，并接受上级单位的监管。

六、信息安全保护技术措施建设和落实情况：对翼城政府网机房实施了24小时值班，操作系统、数据库系统、防病毒系统、网站软件系统实时升级，发现安全隐患，第一时间由技术人员解决。

七、选择使用信息安全产品情况：翼城政府网使用了锐捷网络的XXX产品。

八、聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况：暂无聘请测评机构开展技术测评工作。

九、自行定期开展自查情况：每半年对翼城政府网进行一次信息系统安全保护自查。

十、开展信息安全知识和技能培训情况：主动学习信息安全法律法规，积极参加公安机关、上级主管部门组织的信息安全知识和技能培训。

翼城县网络中心