中国人民银行上海分行关于上海城市金融网信息安全检查情况的通报
文章属性
【制定机关】中国人民银行上海分行
【公布日期】2013.07.26
【字 号】上海银发[2013]176号
【施行日期】2013.07.26
【效力等级】地方规范性文件
【时效性】现行有效
【主题分类】公共信息网络安全监察
正文
中国人民银行上海分行关于上海城市金融网信息安全检查情况的通报
(上海银发〔2013〕176号)
上海城市金融网接入机构:
  为加强上海城市金融网安全管理,及时发现和消除潜在信息安全风险隐患,我分行于6月13日-28日对146家接入机构开展了上海城市金融网信息安全现场检查,检查内容包括信息安全管理制度建设、信息系统等级保护和应急管理、城市金融网相关网络设备安全管理、机房设施及安全管理、城市金融网VPN改造项目开展情况以及信息安全专业人员持证上尚情况等。现将本次检查情况通报如下:
中国人民银行安全控件下载安装  一、检查总体情况
  (一)信息安全管理制度建设
  各接入机构均建立了信息科技管理制度。经统计,75.3%的接入机构制定了城市金融网相关的管理制度,其中70%的接入机构的制度经过内部审定机构审核,并通过正式渠道发布;82.9%的接入机构建立了外来人员管理制度;47.9%的接入机构没有与外来技术支持人员签订保密协议。
  (二)信息系统等级保护和应急管理
  本次接受检查城市金融网接入机构中,43.2%的接入机构开展了信息系统等级保护相关工作,已完成备案的三级及以上信息系统占87.5%,已完成备案的二级信息系统占46.6%。
  各接入机构能重视信息安全应急工作,基本建立了本机构的应急预案体系,其中,71.9%的接入机构制定了与城市金融网相关的应急预案,67.8%的接入机构定期进行相关演练,95.9%的接入机构的人员对本机构应急流程较为熟悉,87.0%的接入机构了解人民银行关于信息安全事件的报告机制。
  (三)城市金融网相关网络设备安全管理
  各接入机构能重视城市金融网相关网络设备安全管理。76.0%的接入机构的关键网络设备和系统设备做到了禁止使用默认安全配置,83.6%的接入机构建立了较完善的配置变更管理流程,82.9%的接入机构的接入网络设备为专用设备,75.3%的接入机构有备用线路,95.2%的接入机构的城市金融网接入区域与囯际互联网物理隔离或强逻辑隔离。
  (四)机房设施以及安全管理
  各接入机构基本建成了独立的机房区域,在消防、UPS、空调、门禁、视频监控、应急照明以及人员等管理方面较为规范。98.6%的接入机构建有独立机房,94.5%的接入机构实行“一人一卡”门禁管理制度,94.5%的接入机构对非持卡人员进入机房实行严格的身份审核与审批流程,89.0%的接入机构拥有机房专用空调,95.9%的接入机构拥有UPS设备,89.0%的接入机构安装了自动消防系统,86.3%的接入机构安装了应急照明系统。
  本次检查还就接入机构与供电部门沟通联系情况进行调查,其中拥有独立机房大楼的接入机构均有行政或物业部门与电力公司等签订供电保障协议;在租用大楼内建设机房的接入机构,不属于电力公司直供用户,基本与物业联系供电事宜。
  (五)城市金融网VPN改造项目开展情况
  为提高上海城市金融网接入认证和数据传输安全,我分行启动了VPN升级改造项目,目前巳上线机构占89.7%,其佘机构巳开展商务接洽或设备釆购工作。各接入机构对开展该项目均持支持态度,项目实施均较为顺利。
  (六)网络与信息安全专业人员持证上岗情况
  各接入机构均有专业的科技人员。80.8%的接入机构设立了网络管理A/B角,68.5%的接入机构的网络管理员取得过相关的专业机构认证证书,55.5%的接入机构设立了专门的信息安全岗位,37.0%的接入机构的信息安全人员取得过相关专业机构认证证书,64.的接入机构建立较完善的人员变更移交流程。
  二、检查发现问题
  (一)部分接入机构尚未制定与城市金融网相关的管理制度或管理制度内容有待健全。
  (二)应急预案完善更新不及时,部分接入机构未能定期开展演练,科技人员对人民银行发布的信息安全事件报告制度的要求了解不够清楚。
  (三)科技人员数量不足,部分接入机构信息安全专业人员未能持证上岗,技术力量有待加强。
  (四)多数接入机构未能与外包服务人员签订保密协议,部分接入机构对外包人员带入机房物品未做审核。
  (五)部分接入机构城市金融网无备用线路。
  (六)部分接入机构机房内视频监控存在死角,或在机房内无温湿度监控。
  (七)部分接入机构城市金融网相关设备安全防护能力不足,网络设备安全配置使用默认配置,接入城市金融网电脑设备未安装病毒防治、补丁更新等安全软件。
  三、整改建议
  (一)各接入机构应健全本机构网络与信息系统管理制度体系,其中外资接入机构应将英文版的管理制度中文化,或编制快速查手册,帮助本机构中国员工更快更准确掌握制度要求。各接入机构应根据人民银行发布的城市金融网管理办法,单独制定城市金融网接入区域的管理制度或在网络管理制度中添加关于第三方单位接入方面的条款。
  (二)各接入机构应进一步完善本行应急预案,做好与人民银行发布的信息安全事件报告制度的对接工作,定期开展应急预案的修订与演练,促进本机构人员更好、更快、更准确掌握应急流程。
  (三)各接入机构要加强科技人员的配备和培训,大力提高科技人员技术水平,鼓励科技人员参加各类专业认证考试,做到持证上岗。
  (四)各接入机构在釆购外包服务时,应与外包服务商签订保密协议,并与外包服务人员签订保密承诺书,对其进出机房以及进出机房使得携带物品进行审核。
  (五)无备用线路的接入机构应尽快与人民银行联系,申请安装城市金融网备用线路,或者参照小型微型金融机构的模式变更城市金融网接入方式。
  (六)各接入机构要加强机房环境管理,确保视频监控没有死角,及时.了解机房温湿度变化,确保机房安全稳定运行。
  (七)各接入机构要加强网络设备安全管理,使用规范的安全配置策略,并在接入城市金融网电脑设备中安装病毒防治、补丁更新等安全软件。
  四、其他事项
  各接入机构应结合实际,认真对照梳理存在的问题,尽快制定整改措施并于9月30日前完成相关整改工作;对于受条件限制暂时难以整改的,应制定相应的整改计划。
  各接入机构应于10月15日前将本机构整改情况报送我分行。我分行将组织对各接入机构整改情况进行检查。
中国人民银行上海分行
2013年7月26日

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。