关于网络与信息安全自查情况的报告(精)

专业专注.国都证券有限责任公司文件国都信字…2011号关于网络与信息安全自查情况的报告东城公安分局网安大队:根据贵局关于网络与信息安全自查的要求,国都证券有限责任公司组织有关部精品文档放心下载门和人员对信息系统的安全管理制度、建设和全管理、安全运营、应急管理等进行谢谢阅读了自查,现将有关自查情况报告提交贵局审阅。特此报告。附件:《国都证券有限责任公司关于网络与信息安全自查情况的报告》感谢阅读二○一一年六月二十八日主题词:信息技术自查情况报告内部抄送:公司领导,综合管理部、人力资源部、合规与风险管理部。校对:李静波印制:3份2011年6月28日发感谢阅读附件:国都证券有限责任公司关于网络与信息安全自查情况的报告东城公安分局网安大队:.word可编辑.专业专注.根据贵局关于网络与信息安全自查的要求,国都证券有限责任公司以下简称“公感谢阅读司”或“我司”组织有关部门和人员对信息系统的安全管理制度、建设和全管理、安谢谢阅读全运营、应急管理等进行了自查,现将有关自查情况报告如下:谢谢阅读一、信息安全总体情况公司一直非常重视信息系统的安全管理工作。公司明确由信息技术中心负责信谢谢阅读息系统的安全管理工作,公司在信息系统的安全制度建设、安全管理机构、人员安感谢阅读全管理、系统建设管理、系统运维管理等方面不断细化和完善,公司信息系统总体感谢阅读运行稳定,未发生重大网络与信息系统安全事件。一建立安全管理制度公司2010年全面修订信息技术的相关管理制度,明确了信息技术管理组织框谢谢阅读架、信息安全管理的总体目标和原则。公司建立了信息技术安全管理办法,明确了谢谢阅读信息系统安全管理工作的重点为身份识别账户权限及密码、访问控制、漏洞管感谢阅读理、病毒防范、日志管理、系统安全策略配置、信息安全事件处置等方面,明确了精品文档放心下载安全管理操作的原则和规范。公司安全管理制度的制定、修订和发布等均按公司有关制度的要规定进行,安精品文档放心下载全管理制度由信息技术中心制定、修订,由合规与风险管理部及相关部门参与审核,谢谢阅读公司通过发文的形式完成安全制度的发布,公司规定每年对制度进行一次梳理并酌谢谢阅读情进行修订。二明确安全管理机构公司明确了信息技术中心负责公司信息系统安全管理工作,信息技术中心设立感谢阅读并配备了安全管理员、网络管理员、系统运维管理员等,公司总部各部门、北京交感谢阅读易中心、上海灾备中心及各营业部均指定专人为安全管理联络员。系统的运行、网感谢阅读络接入和重要资源的访问均通过公司OA办公系统进行审批,依据审批内容不同将感谢阅读分别由部门负责人、主管公司领导等审批。公司通过电话、即时通信工具等及时进谢谢阅读行公司内部信息的沟通以及与公安、电信及兄弟单位等部门的沟通。精品文档放心下载.word可编辑.专业专注.三人员安全管理公司由人力资源部负责人员的招聘和录用,公司明确禁止录用有犯罪或严重违感谢阅读规行为记录的人员从事公司信息技术工作,公司与员工均签有保密协议,在人员离职精品文档放心下载时均要求办理交接手续并终止系统访问权限等,公司不断加强安全意识的教育与培谢谢阅读训工作,对信息技术中心关键岗位人员上岗前均进行必要的培训,公司制订了信息技感谢阅读术事故认定与处理制度,规范了相关奖惩的措施。四系统建设管理公司完成了主要信息系统安全的保护等级工作,相关信息系统的定级结果经证谢谢阅读监局核准后已报北京市公安局备案。公司在系统建设时就网络设计、访问管理、应用安全等与厂商和有关部门进行谢谢阅读详细沟通,并结合公司情况及监管要求,审查厂商的方案是否符合公司安全管理要求,感谢阅读公司要求开发商提供的产品涉及密码产品的应提供国家有关部门的资质证书。公司感谢阅读制定了信息技术项目管理、采购的制度,明确了负责采购的部门为信息技术中心及精品文档放心下载采购程序,公司在软件安装前通过NOD32防病毒系统进行病毒检测,但缺乏全面的感谢阅读恶意代码检测机制。公司规定了项目实施前应建立项目计划书并实施项目周报制度,谢谢阅读公司由信息技术中心负责项目建设的管理工作,系统的测试工作由信息技术中谢谢阅读心协调有关部门工作完成。公司规定了信息系统上线前厂商应提供的有关文档资料,感谢阅读并安排厂商对公司有关部门和人员进行必要的运维和使用的培训。谢谢阅读公司对信息系统涉及的网络、设备、应用等根据系统运行情况进行必要的巡查,谢谢阅读总体来看,公司信息系统安全状况基本达到安全等级保护的要求,但是公司网站等需感谢阅读要进一步完善安全管理措施,即将建设硬件防病毒网关与更新高性能的WEB应用防火墙,均已完成立项工作。.word可编辑.专业专注.公司明确了信息系统安全建设的主管领导、责任部门和相关责任人员,公司在感谢阅读相关系统的建设时分析其对公司网络资源、访问控制、使用管理等可能出现的问题,感谢阅读并尽可能改进有关安全管理的措施,确保系统安全稳定运行。谢谢阅读公司购置了多种类型的安全硬件设备,并于2010年部署了终端安全管理系统,谢谢阅读与提供产品的多家安全厂商保持着常年合作的关系。在合作期间众厂商皆对我公司谢谢阅读的信息系统提供各类安全检查、威胁发现、整改建议等服务。谢谢阅读五系统运维管理公司制定了机房与运行环境管理办法对有关机房物理访问、人员及设备进出机感谢阅读房、基础环境、开关机要求等仅进行了规范,信息技术中心明确具体人员负责有关谢谢阅读操作和监控。公司制定了信息技术设备管理办法及固定资产管理办法,对信息技术设备的登精品文档放心下载记、使用、关键设备的管理及处置等进行了规范,公司综合管理部对公司信息技术感谢阅读设备进行盘点和登记。公司制定了信息系统数据管理办法,对数据的备份与恢复、数据的访问及有关谢谢阅读操作进行了规范,根据信息系统及数据的重要程度分别采用硬盘、光盘并通过手工、自动等方式进行全量、增量的数据备份,对光盘谢谢阅读等存储介质进行异地保存。公司制定了信息技术设备管理办法、网络管理办法,明确了相关设备及网路的感谢阅读管理部门为信息技术中心及机房负责人、网络管理员等,公司信息技术设备的选型谢谢阅读由信息技术中心负责,一般信息技术设备的采购由综合管理部负责,符合信息技术项精品文档放心下载目采购管理办法的设备采购由信息技术中心负责,公司机房内关键设备的开启和关谢谢阅读闭均由各机房值班人员按开关机操作流程进行操作,未规定流程的操作应经机房负精品文档放心下载责人同意后进行操作。.word可编辑.专业专注.公司制定了网络管理办法等制度,对网络安全配置、日志保存时间、安全策谢谢阅读略、升级与打补丁、口令更新周期等方面进行了规定,公司设立网络管理员负责网感谢阅读络运行日志、网络监控记录的日常维护和报警信息分析和处理工作,网络管理员每谢谢阅读季度对网络系统进行漏洞扫描,对发现的网络系统安全漏洞采取措施进行修补,并备精品文档放心下载份有关配置,公司与外部系统的连接均通过OA办公系统有关流程进行审批得到授感谢阅读权和批准;公司制定了信息系统权限管理制度,公司相关系统的访问控制策略根据最小化精品文档放心下载原则通过审批后才赋予相关用户,公司根据信息系统运行情况不定期进行漏洞扫描,谢谢阅读对发现的系统安全漏洞在保证公司系统稳定运行的情况下在与信息系统安全管理员谢谢阅读及相关厂商沟通后酌情进行修补,因系统实时性要求较高,公司未全面开启有关设备感谢阅读和系统的审计功能,公司每天对系统运行情况进行实时的监控和巡检,并根据情况对感谢阅读有关日志进行不定期的分析。公司安装了NOD32网络版防病毒系统、亿阳网管终端安全管理系统并由安全谢谢阅读管理员管理,公司要求所有外来设备在接入网络前进行检查,公司严格控制外来设备感谢阅读接入交易网,公司信息技术安全管理办法对防恶意代码软件的授权使用、恶意代码库升级、汇报等作出了规定。公精品文档放心下载司制定了信息系统密码管理办法及系统变更管理办法，公司在信息技术项目采购谢谢阅读时对涉及密码内容的，均要求厂商出具由证明产品符合国家主管部门要求的资质感谢阅读证书等，公司系统变更管理办法对系统变更的角色、程序、版本、操作等进行了谢谢阅读规范，重大升级均通过公司OA系统进行审批并在通过业务和技术为测试后进感谢阅读行。公司根据系统的重要性等分别进行系统级的热备、温备、冷备、灾备措施，谢谢阅读公司制定了信息系统灾备管理办法，明确了灾备启动和恢复的条件、程序、操作感谢阅读流程等，公司信息系统数据管理办法，对数据的备份与恢复的周期、介质、保存谢谢阅读等进行了规范。公司制定了信息技术事故认定与处理制度和风险报告制度，规定精品文档放心下载了信息技术安全事件的处理及报告程序，公司信息技术安全事件的报告以风险控精品文档放心下载制单的形式通过OA办公系统流转。公司制定了网络与信息安全事件应急预案，感谢阅读预案对决策体系、启动条件、信息的报告和发布、不同情况的应急处理程序、演谢谢阅读.word可编辑.专业专注.练及培训等进行了基本的规范，公司集中交易及相关系统每年最少进行两次包感谢阅读括上海灾备中心、营业部的全网演练。（六）重要信息系统情况公司本次自查谢谢阅读了呼叫中心系统、法人清算系统、集中交易系统、门户网站、网上交易系统以及谢谢阅读投资与客户资产管理系统，6个系统在数据安全、网络安全、物理安全、应用安谢谢阅读全、主机安全几个方面基本符合有关安全管理的要求，其中门户网站、网上交易精品文档放心下载系统部署在IDC托管机房，其他4个系统分别部署在北京交易中心机房、北京总谢谢阅读部中心机房，各系统公司均安排专门的系统维护人员，运维人员在每个交易日定精品文档放心下载时进行系统巡检，发现异常及时处理和报告，系统通过身份鉴别、权限控制、网感谢阅读络控制、数据备份、线路和设备的冗余以及机房的5安全控制等基本保证信息系统安全稳定运行。二、通过对公司网感谢阅读络与信息安全自查，公司在以下方面存在不足：（一）信息安全培训力度不够精品文档放心下载公司基本在员工入职时进行信息系统安全的培训，此后较少进行有关安全使用的感谢阅读培训，为强化员工安全意识，公司应该每年至少进行一定次数的信息系统安全使精品文档放心下载用的培训。（二）软件漏洞检测不全面公司目前未进行全面的信息系统安全漏精品文档放心下载洞检测，一般情况下只进行病毒检测，因行业内厂商基本不提供前端的源代码，精品文档放心下载所有也基本无法审查是否存在后门的要求，仅要求厂商做出不存在后门的承诺。精品文档放心下载（三）系统自查不完善公司没有进行每半年组织一次信息系统安全自查工作，谢谢阅读虽然公司对网络、设备、系统均进行不定期的检查、实时监控和巡检等工作，但感谢阅读未专门组织系统安全自查工作。（四）审计管理不完善因相关系统运行的安全感谢阅读稳定问题，公司未开启有关操作系统、数据库的全部审计功能，同时各应用系统谢谢阅读自身的审计功能也不是很完善，有的仅仅记录的用户的登录和退出等。（五）谢谢阅读网站缺乏更有效地防入侵及检测设备公司2009年从绿盟科技购置了应用防火墙感谢阅读WAF600与性能基本上可满足目前门户网站的安全需要，但随着来精品文档放心下载自互联网的各类新型安全威胁越来越突出，有可能使公司的门户网站造成严重的精品文档放心下载破坏。三、（一）加强信息安全培训力度6公司开始每年进行至少一次的信息系统安全使用培训，公司将在2012年制精品文档放心下载定培训计划时安排此项工作，培训内容将根据公司信息系统运行和使用中的问题感谢阅读.word可编辑.专业专注.选定，主要包括系统补丁安装、系统漏洞检测、防病毒软件的使用、数据的备精品文档放心下载份、安全上网等。责任人：李静波（二）完善软件漏洞检测公司将根据系统的精品文档放心下载情况逐步实现信息的安全漏洞工作。2011年年底前安排有关厂商对门精品文档放心下载户网站进行漏洞检测，并根据检测的结果，要求开发商进行系统安全加固工作，感谢阅读此项工作每年将至少执行一次。责任人：孙育红、李静波（三）增强系统安全感谢阅读自查工作公司将由信息技术中心牵头，每年至少一次对全公司各类信息系统进精品文档放心下载行全面的安全检查工作，包括但不仅限于网络、设备、应用系统等。责任人：王谢谢阅读士军、李静波、杨炯逐步完善审计管理工作（四）逐步完善审计管理工作因公感谢阅读司交易系统实时性要求极高，本着谨慎的原则，公司将进一步与厂商、其他证券感谢阅读公司沟通就审计功能开启问题进行沟通，在确保系统安全稳定运行的前提下，逐谢谢阅读步开启必要的审计功能，同时与各信息系统开发商沟通,要求其完善自身应用的审感谢阅读计功能等。责任人：各系统负责人（五）完善门户网站安全机制的建设公司门谢谢阅读户网站是对外信息发布的窗口，是与外界进行网络沟通的桥梁，也是未来广大用感谢阅读户办理业务的便捷通道，它的