一、建立管理组织,强化组织推动。该行成立了信息系统安全保护领导小组,负责组织落实领导小组决策、协调信息安全管理各项日常工作的开展,落实各支行、各部室负责人为信息安全管理第一责任人,负责贯彻落实本机构信息安全管理工作。同时,各单位和各部门确定信息安全管理岗位人员,负责严格落实本部门和单位信息安全管理要求。该行定期召开会议,通报了信息安全检查情况,分析信息安全形势,研究本机构信息安全管理薄弱环节及应对措施,贯彻落实监管部门、上级机构信息安全管理要求。从思想深处筑牢各级管理者的责任意识和危机意识,在管理者层面起到了良好的警示作用。 二、开展培训辅导,增强信息安全意识。该行制定加强数据查询应用信息安全管理的规章制度,督促提醒使用信息数据的业务部门规范管理,履行保密承诺。开通了信息安全园地,并向全行告知信息安全的相关制度、重点内容和员工须知事项,以此提升全员信息安全意识;加强辖内全员的信息安全知识培训。该行定期举办县市支行科技专管员培训和全辖网点信息安全知识培训,强化员工在日常工作中的信息安全合规意识。 三、开展各类检查,狠抓制度落实。该行开展全行信息安全和信息科技风险管理情况两大领域信息安全检查,主要对全行信息安全管理机制建设、客户端安全管理、应用系统安全管理、对外合作中个人客户信息安全管理、信息科技治理、信息系统安全、生产运行管理、基础设施及设备管理、科技外包及项目管理等9个方面的情况进行检查,通过访谈、调阅资料、验证系统、现场核对、抽查设备等方法进行了现场和非现场检查,及时揭示信息安全工作中存在的风险隐患并采取有效控制措施,强化信息安全管理。对存在问题督促落实整改,有效防范信息安全风险。 四、控制重点环节,构建防护体系。该行加强计算机防病毒管理,要求全体员工充分认识病毒的危害,从技术上进行防范。严格落实网络准入硬控制,对全辖办公、生产终端全面实施网络准入硬控制制度,并对打印机、自助终端、ATM等设备建立端口信息档案,强化全辖柜面终端、办公终端管理和全程监控,取得了良好的效果。该行认真做好离职人员信息安全审查、外发邮件防控、商业秘密及敏感文件的扫描及保护、移动存储安全管理以及密级鉴定工作。 五、建立评价机制,落实惩处措施。该行实行信息安全管理检查监督评价机制,对全行信息安全情况进行非现场监测和通报,对检查中发现的问题依据信息安全管理相关制度,从管理和技术两方面入手,开展全面整改,并且按照专业违规积分标准、信息安全(保密)违规积分标准和《员工违规行为处理规定》等相关规定,对相关责任人进行处理。 |
|
||
|