桐乡市金融安全评估工作台帐(封面)

桐乡市金融安全评估工作台帐(封面)（精选2篇）

桐乡市金融安全评估工作台帐(封面) 第1篇

桐乡市金融安全评估工作台帐

（一）组织领导

桐乡市金融安全评估工作台帐

（二）培训工作

桐乡市金融安全评估工作台帐

（三）评估计分表

桐乡市金融安全评估工作台帐

（四）防范建议书

桐乡市金融安全评估工作台帐

（五）评估报告

桐乡市金融安全评估工作台帐(封面) 第2篇

一、基层金融业信息安全风险评估存在的主要问题

(一) 对信息安全风险评估宣传不到位、认识不足、重视不够。从各单位反映的情况看, 一是开展信息安全风险评估的单位只是通过举办一些风险评估讲座, 进行风险评估理论、方法、技术和工具等专用知识的宣传, 多数单位的信息安全风险评估宣传工作仍处于起步阶段。二是基层金融业对信息安全风险评估的作用没有清楚的认识, 往往把信息安全风险评估与信息安全混在一起, 没有把信息安全风险评估工作作为信息安全管理工作的第一步来抓。三是基层金融单位受人力、物力、财力等限制, 没有像重视信息安全工作一样, 重视信息系统安全的前期工作———信息安全风险评估。四是没有把信息安全风险评估纳入信息安全系统的框架中。

(二) 现有的信息安全风险评估指标分析体系和工作流程设计有欠缺。目前, 基层金融业信息安全风险评估制订的指标过多, 工作流程复杂且针对性不强。基层金融单位在开展风险评估时一般是根据上级行的风险评估模板对应开展, 由于上下级之间系统建设有部分不同, 很多风险评估的指标难以对应。能对应上的指标由于基层金融业的信息安全等级不同, 也难以照搬照套上级行的风险评估指标和工作流程。基层金融业在实际操作中往往采取变通或简化方式进行, 信息安全风险评估失去了严肃性、科学性, 造成评估的成果失真, 效果差。

(三) 信息安全风险评估缺少专业技术和管理人才。从各单位的情况看, 一是没有设置信息安全风险评估岗位, 也没有专业评估人员。目前该岗位人员主要由科技人员担当, 而绝大多数基层金融业没有对科技人员很好地组织培训。信息安全风险评估是一项技术含量非常高的专业行为, 科技人员难以担当从事信息安全风险评估专业人才的角色。二是信息安全风险评估基本上是由科技部门负责组织和实施。但信息安全风险评估是一项综合性工作, 不仅涉及到全行的业务信息系统, 还涉及到全行各个方面的人力、物力、财力, 仅靠科技部门进行组织协调, 难以完成全面的信息安全风险评估工作。三是科技部门既是信息系统的建设者和管理者, 又是安全风险的评估者, 使得评估的结果不具备说服力。

(四) 信息安全风险评估工具不足。一是基层行基本没有风险评估工具, 只能借用上级行的风险评估工具, 而上级行的风险评估工具也不多, 多数只有漏洞扫描等简单的工具。二是针对金融业的信息安全风险评估工具更是少之又少, 发展滞后, 很难对技术脆弱性这一块进行全面的评估或系统地分析网络与系统所面临的威胁及其存在的不足。

(五) 难以聘请第三方公司进行信息安全风险评估。根据发达国家经验, 金融业一般采取聘请第三方评估公司的方式对本单位进行风险评估。但目前, 基层金融业还难以聘请第三方评估公司开展专业的信息安全风险评估。一是国内专业信息安全风险评估公司刚刚起步, 规模较小, 品牌意识弱, 人员流动强, 安全保密等问题又没有法律进行约束, 基层金融业担心聘请第三方信息安全风险评估若管理不好可能产生泄密风险。二是评估的价格过高, 基层金融业很难承担高昂的评估费用。

(六) 创新项目信息安全风险评估不足。科技部门为配合业务的创新, 充分利用科技为金融服务的理念, 自主或外包开发了一些应用软件, 为业务创新, 减少工作人员的工作量做出了很大贡献。但在项目上马或验收时, 往往缺少风险评估这一环节, 对软件的风险没有一个完整的、系统的评估。

二、基层金融业信息安全风险评估的建议

(一) 加强宣传, 提高对信息安全风险评估的认识。随着金融业信息化的发展, 信息安全风险也随之提高, 若仍采用传统的安全管理方式进行安全管理, 势必造成很大的浪费, 还难以提高风险管理的水平。因此, 必须站在构建更高层次的风险管理角度, 加大对风险管理体系建设宣传力度, 使每一位员工充分认识到做好信息安全风险评估是防范金融风险的最基础性工作。没有正确的信息安全风险认识, 就没有正确的信息安全风险管理。我们要把被动评估变成主动评估, 使安全风险评估真正走到为风险管理提供决策支持的轨道上来。

(二) 加强制度建设。一是建立健全信息安全风险评估制度, 保证风险评估工作开展有据可依。二是健全信息安全风险评估制度, 明确评估者、建设者、使用者和管理者之间的关系及各自职责。三是细化信息安全风险评估制度, 使信息系统安全风险评估在信息系统的规划、研发、建设、运行、维护、监控及退出的整个生命周期都能有效地开展。

(三) 加强规划, 科学制订评估标准。基层金融业应结合自身信息化建设的特点, 将风险评估的工作流程、评估内容、评估方法和风险判断准则制订出统一的标准, 为确立信息系统的安全等级提供判断标准。一是参照国家有关标准, 对基层银行业信息系统的信息资产、面临的威胁、自身的脆弱性和已有的安全措施进行分类和等级划分, 并为这些要素各自不同的等级提供赋值方法。二是以可操作性和灵活性为原则, 提供风险等级计算方法, 让评估者将风险评估与等级保护工作有机地结合起来, 完善等级安全保护。

(四) 加强人员培训, 提高评估人员的专业技能。一是整合内部人力资源, 加大培训力度, 制订辖内统一的培训规划, 编写培训教材, 通过学习弥补知识缺陷, 提高技术水平。二是实行互补型培训, 将评估技术按专业进行分类, 组织不同的技术人员分别进行培训, 在较短的时间内培养出一支技术互补型的团队。三是合理使用社会资源, 通过聘请富有经验的专家, 学者, 组成第三方评估机构。由第三方评估机构对一个基层单位进行评估, 组织辖内的评估人员积极投身其中, 通过学习和交流, 不断积累评估工作经验, 提高实际评估技术能力。四是对技术人员进行系统的认证培训, 实行职业资格准入制度。