第一篇:信息安全评估标准简介
煤矿安全质量标准化管理及信息评估系统
煤矿安全量化管理及评估信息化系统
一、 系统概述
《煤矿安全量化管理及评估信息化系统》主要服务于煤矿安全管理。系统易于操作,简单实用,该系统可以使煤矿安全管理工作真正实现全方位、全过程、超前量化管理;该系统能有效控制安全管理工作的每一个点每一个环节;该系统为煤矿安全管理工作提供了一个实时、透明、量化的管理平台。
2008年7月国家安监总局组织由国家安全生产专家组组长孙继平带队,张铁岗院士等专家组成的专家组对该系统进行了鉴定,鉴定结果为:国际先进。专家们认为该系统很有推广价值!
二、系统主要功能
1、 本系统主要解决了煤矿安全管理中的七大难题
(1)有效解决了规程措施编制审批中出现漏项的问题
系统根据三大规程及相关法律法规,结合各个企业的实际情况,建立了规程措施专家库,作为一个编制审批规程措施的参考手册,编制审批规程措施时,从规程措施专家库中选取相应的内容,并根据实地调研结果补充完善特有的条款,就可以达到避免规程措施编制审批中出现漏项的问题。
(2)有效解决了检查人员素质低、责任心不强、隐患检出率低的问题 现行隐患的排查受人员的素质、隐患检查方式及责任心等因素影响导致出现以下问题:一是检查人员素质低,对隐患的辨识能力不足,容易忽略实际存在的隐患;二是隐患检查方式透明度低,无法对检查的过程及质量做到有效控制,无法对检查的人员做到有效考核。本系统通过建立事故隐患基元库,把矿井可能存在的隐患进行规范化描述,并且按隐患所属的不同专业以及危险度等级进行了分类。利用隐患采集子系统,可以使检查人员按照规定时间,到达规定地点,按照规定内容进行检查,有利于检查人员正确识别不同隐患,有利于对检查人员的有效监督,对隐患进行了量化采集,增加了透明度,提高了安全隐患的处理速度以及处理的准确性。
(3)有效解决了隐患信息筛选不全面、不准确,隐患处理过程不透明,信息不能有效完全闭合的问题
现有隐患处理整个过程极大程度上依赖了人为因素,登记时多采用传统的纸笔纪录的方式,隐患信息的筛选分类靠信息员的素质和责任心,这就造成了信息登记、筛选、分类不一定全面、准确;传统隐患处理也受工作人员素质、情绪、环境的影响而影响,隐患的处理得不到有效的控制,致使隐患处理过程不透明、信息传达不通畅,做不到有效监督,容易出现隐患处理不及时、不闭合,从而导致事故发生!
1 本系统利用网络对隐患采集器发现的隐患,直接快速对照隐患基元库进行隐患分类,并将隐患的情况直接传送到各个科队及每一个终端,系统通过提醒或者预警方式(声音、弹出消息、手机短信、消息客户端等方式)告知;而且在网络上检查出的隐患可以自动实现三定、三定审核、处理、复查、督查,全过程在网络都可以进行控制,实现了隐患信息的快速传递以及规范化的隐患处理,提高了存在隐患的相关单位及业务科室的协同处理能力和相关人员的责任心,提高了隐患处理的透明度,提高了隐患闭合处理的质量,降低了隐患闭合处理各个环节所需要的时间。另外,本系统还增加了对重大隐患和重复隐患的分析处理流程,对出现的隐患不是仅仅处理了就行,还必须从标准、制度、设计、材质、安装、员工操作及相关人员对这一切的掌握情况进行深层次的分析,找出最根本的的原因,消除它从而真正实现隐患的源头治理;
(4)本系统成功实现了针对每一个作业地点、每一种事故发生概率的超前量化预测
由于本系统实现了对隐患采集的量化,就可以计算出每一个作业地点、每一种事故的基本事件的故障率,从而计算出每一个作业地点、每一种事故在任意时间段的实时的事故发生率,真正做到事故的超前预测,降低煤矿事故发生率。另外,本系统对基本事件采用的综合指标计算,充分考虑了小危害大概率事件和大危害小概率事件,我们只要优先处理了综合指标高的事件,就能有效降低事故率,起到事半功倍的效果!
(5)本系统针对每一个作业地点实时的应急处理系统有效解决了处理事故时由于忙中出错而造成事故扩大和次生事故的问题
煤矿应急救灾是一个复杂的工作,涉及到的方方面面比较多,灾害发生时,往往由于忙中出错,容易造成事故扩大或次生事故。系统针对每一个作业地点、每一种事故制定的应急预案,在灾害发生时,只要点击相应地点的相应应急预案,就可以得到,图文并茂的事故处理的大原则、可能威胁到的范围、人员的撤退方向、应该停电的范围,警戒设置点等等必要的辅助信息,可以极大提高抢险救灾的效率,有效避免事故扩大或次生事故。
(6)本系统有效弥补了现存评估体系的缺陷,通过对每一个作业地点的多指标量化评估,利用“木桶”原理,建立了一个对煤矿安全管理来说更准确、全面、实用、量化的安全评估体系
现有安全评估是定性评估,做不到定量、实时,不能反映煤矿安全管理实际现状。本系统从每一个作业地点的隐患、三违、事故发生概率及安全基础管理的实时状况出发,利用“木桶”原理,建立了一个对煤矿安全管理来说更准确、全面、实用、量化的安全评估体系对全矿的整体安全进行评估,综合评估结果,具有量化、多指标、多层次特性,能较好反映出煤矿安全管理的实际情况。
2 (7)有效解决了安全培训形式单
一、员工学习兴趣低、效果差等传统问题 实现了培训内容、培训形式的多样化,结合现有矿井培训体系实现在线教育视频,在线小测验,在线知识库,安全考试等多种学习考查方式,同时,本系统的隐患采集器也是一个随身携带的手持学习仪,可以有效激发全员学习安全知识、安全技能的自觉性、积极性,提升培训效果,解决现行职工培训模式不能满足安全生产实际需求,相对落后的现状。
2、常用功能
(1)对日常使用的安全文档,报表进行综合查询;
(2)根据使用需要,可以接入或者链接煤矿其他系统的数据和图像; (3)对各个煤矿的不同需要,动态增加信息发布模块; (4)对煤矿人员安全证书统一管理,自动提示证书过期。
(5)提供动态避灾路线,发生井下隐患时,可以迅速的给出应急预案。 (6)提供矿上职工的实时在线培训,煤矿安全视频教程,以及网络试卷测试。
(7)对矿内文件,上级文件,矿内通知的统一分类管理,提供更加方便快捷的查找、管理功能。
3、优点
(1)每个功能模块可以根据每个煤矿实际流程进行简单修改或者重组; (2)系统的事故预测及安全评估无需人工参与,动态进行预测与评估;
三、系统主要功能的实现流程 (1)规程措施编制审批流程;
(2)有效解决了检查人员素质低、责任心不强、隐患检出率低的问题(如图2)
(3)有效解决了隐患信息筛选不全面、不准确,隐患处理过程不透明,信息不能有效完全闭合的问题(如图2)
图2
(4)事故发生概率的超前量化预测(如图3)
(图3)
(5)针对每一个作业地点实时的应急处理系统(如图4)
图 4
(6)更准确、全面、实用、量化的安全评估体系
(图5)
5 (7)有效解决了安全培训形式单
一、员工学习兴趣低、效果差等传统问题
四、使用效果展示
图4 已编制在用规程措施库
图5 在线视频培训
图6 在线小测验
图7 基于事故树分析模型预测事故发生概率(概览)
图9 重复隐患统计分析
图10 隐患统计分析按月分布柱状图
图11 应急救灾辅助
9 5 鉴定相关情况
11
煤炭科学研究总院常州自动化研究院 天地(常州)自动化股份有限公司 公司地址:江苏省常州市清潭木梳路1号 邮编:213015 电话:0519-86974971(查询),86966044(营销中心) 传真:0519-86960492 电子邮件: cari@cari.com.cn 网址:
第二篇:服务器安全评估标准
国外标准
国外对于计算机安全问题的评估标准较多,比较著名的是1983年美国国防部提出的《可信计算机评估标准》TCSEC(Trusted Computer System Evaluation Criteria),又称桔皮书。TCSEC根据以下几个方面进行安全性评估:
(1) 安全策略:必须有一个明确的、确定的由系统实施的安全策略;
(2) 识别:必须惟一而可靠地识别每个主体,以便检查主体/客体的访问请求;
(3) 标记:必须给每个客体(目标)作一个"标号",指明该客体的安全级别。这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比;
(4) 可检查性:系统对影响安全的活动必须维持完全而安全的记录。这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图;
(5) 保障措施:系统必须含实施安全性的机制并能评价其有效性;
(6) 连续的保护:实现安全性的机制必须受到保护以防止未经批准的改变。
根据以上六条要求,"可信计算机系统评估准则"将计算机系统的可信程度(安全等级)划分成四大类(D、C、B、A),七个小类(D、C
1、C
2、B
1、B
2、B
3、A)。具体标准内容如表2.3所示。表2.3 安全评估标准
类 别 名 称 主 要 特 征
A1 可验证的安全设计 形式化的最高级描述和验证,形式化的隐秘通道分析,非形式化的代码一致性证明
B3 安全域机制 安全内核,高抗渗透能力
B2 结构化安全保护 设计系统必须有一个合理的总体设计方案,面向安全的体系结构,遵循最小授权原则,较好的抗渗透能力,访问控制应对所有的主体和客体进行保护,对系统进行隐蔽通道分析
B1 标号安全控制 除了C2级的安全需求外,增加安全策略模型,数据标号(安全和属性),托管访问控制
C2 受控的访问控制 存取控制以用户为单位,广泛的审计。如Unix、Windows NT等
C1 选择的安全保护 有选择的存取控制,用户与数据分离,数据的保护以用户组为单位
D 最小保护 保护措施很少,没有安全功能。如DOS、Windows等
(1) D级。D级是最低的安全保护等级。这个级别的操作系统就像一个门户大开的房子,任何人可以自由进出,是完全不可信的。对于硬件来说,是没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户就可以进入系统,不受任何限制就可以访问他人的数据文件。属于D级的操作系统有:DOS、Windows 3.x、Apple的Macintosh System7.1。
(2) C级。C级有两个安全子级别:C1和C2。
① C1级。又称选择性安全保护系统,这在Unix系统中比较典型。这种级别的系统对硬件有某种程度的保护,即每个用户都有账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权。但硬件受到损害的可能性仍然存在。
C1级支持对文件进行权限设置,如读(read)、写(write)、执行(execute)等权限。文件的拥有者和超级用户(root)可以改动文件中的访问属性,从而对不同的用户给予不同的访问权,例如,让文件拥有者有读、写和执行的权力,给同组用户读和执行的权力,而给其他用户以读权限。另外,许多日常的管理工作由根用户(root)来完成,如创建新的组和新的用户。根用户(root)拥有很大的权力,如同Windows NT中的Administrator用户。所以它的口令一定要保存好,不要
多人共享。
C1级保护的不足之处在于根用户(root)的设置。如果某个用户以根用户进入系统,他就可以将系统中的数据任意移走,可以控制系统配置,获取比系统管理员允许的更高权限,如改变和控制用户名。 因此,从某种意义上来讲,在拥有C1级的操作系统中,硬件受到损害的可能性仍然存在。
② C2级。除了C1包含的特征外,C2级别还包含有访问控制环境。该环境具有进一步限制用户执行某些命令或访问某些文件的权限,而且还加入了身份验证级别。另外,系统对发生的事件加以审计,并写入日志当中,如何时开机,哪个用户在什么时候从哪儿登录等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动,审计还加有身份验证,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。
使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问分级目录。另一方面,用户权限可以以个人为单位授权用户对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下,那么用户也将自动得到访问这些信息的权限。
能够达到C2级的常见操作系统有:Unix系统、XENIX、Novell3.x或更高版本、Windows NT。
(3) B级。B级中有三个子级别:B1级、B2级和B3级。
① B1级。即标志安全保护。它是支持多级安全(比如秘密和绝密)的第一个级别,这个级别说明一个处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
一般而言,政府机构和防御系统承包商们是B1级计算机系统的主要拥有者。
② B2级。又称结构保护,要求计算机系统中所有的对象都加标签,而且给设备(磁盘,磁带和终端)分配单个或多个安全级别。这是较高安全级别的对象与另一个较低安全级别的对象相互通信的第一个级别。
③ B3级。又称安全区域保护。它使用安装硬件的方式来加强安全区域保护。例如,内存管理硬件用于保护安全区域免遭无授权访问或其他安全区域对象的修改。该级别要求用户通过一条可信任途径连接到系统上。
(4) A级。又称验证设计,这是当前的最高级别,包括了严格的设计,控制和验证过程。与前面提到的各级别一样,这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的,而且必须进行秘密通道和可信任分布的分析。这里,可信任分布的含义是,硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。
在上述七个级别中,B1级和B2级的级差最大,因为只有B
2、B3和A级,才是真正的安全等级,它们至少经得起程度不同的严格测试和攻击。目前,我国普遍应用的计算机,其操作系统大都是引进国外的属于C1级和C2级产品。因此,开发我国自己的高级别的安全操作系统和数据库的任务迫在眉睫,当然其开发工作也是十分艰巨的。
计算机操作系统的评价准则的建立不仅对于评价、监察已经运行的计算机系统的安全具有指导意义,而且对于研究、设计、制造和使用计算机系统,确保其安全性具有十分重要的意义。
国内标准
公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已经正式颁布,并于2001年1月1日起实施。该准则将信息系统安全分为5个等级:
l 自主保护级
l 系统审计保护级
l 安全标记保护级
l 结构化保护级
l 访问验证保护级
主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等,这些指标涵盖了不同级别的安全要求。
另外还有《信息处理系统开放系统互联基本参考模型第2部分安全体系结构》(GB/T 9387.2 1995)、《信息处理数据加密实体鉴别机制第I部分:一般模型》(GB 15834.1-1995)、《信息技术设备的安全》(GB 4943-1995)等
第三篇:信息安全风险评估服务
1、风险评估概述
1.1风险评估概念
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。 风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS779
9、ISO1779
9、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
1.2风险评估相关
资产,任何对组织有价值的事物。
威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。
风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。 风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。 风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。
2、风险评估的发展现状
2.1信息安全风险评估在美国的发展
第一阶段(60-70年代)以计算机为对象的信息保密阶段
1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点:
仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段
评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的风险评估。
第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段
随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。 2.2我国风险评估发展
● 2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题
● 2003年8月至2010年在国信办直接指导下,组成了风险评估课题组
● 2004● 2005年,国家信息中心《风险评估指南》,《风险管理指南》 年全国风险评估试点
● 在试点和调研基础上,由国信办会同公安部,安全部,等起草了《关于开展信息安全风险评估工作的意见》征求意见稿
● 2006年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工作
● 2015年,国家能源局根据《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)制定了《电力监控系统安全防护总体方案》(国能安全[2015]36号)等安全防护方案和评估方案,其中相关规定明确风险评估在电力系统中的需要
● 2017年7月,《中华人民共和国网络安全法》颁布,其中第二章第十七条“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。
3、风险评估要素关系模型
4、风险评估流程
● 确定资产评估范围 ● 资产的识别和影响 ● 威胁识别 ● 脆弱性评估 ● 威胁分析 ● 风险分析 ● 风险管理
5、风险评估原则
● 符合性原则 ● 标准性原则 ● 规范性原则
● 可控性原则 ● 保密性原则
● 整体性原则 ● 重点突出原则 ● 最小影响原则
6、评估依据的标准和规范
GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 《电力监控系统安全防护规定》(发改委14号令)
《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全[2015]36号)
GB/T 18336-2001 《信息技术 安全技术 信息技术安全性评估准则》
ISO/IEC 27001:2005《信息安全管理体系标准》
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》
GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》
GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》
《电力行业信息安全等级保护基本要求》(电监信息[2012]62号) 《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号)
《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)
7、风险评估的发展方向
8.1风险评估行业发展方向
从2003年7月至今,我国信息安全风险评估工作大致经历了三个阶段,即调查研究阶段、标准编制阶段和试点工作阶段。
历时两年、经过调查研究、标准编制和试点工作三个阶段,目前,我国信息安全风险评估工作已取得阶段性的成果,此间也是《关于开展信息安全风险评估工作的意见》政策文件,以及《信息安全风险评估指南》和《信息安全风险管理指南》两项标准历经酝酿、形成到不断完善的三个时期。
信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估,则是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。
信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。所以,所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在可被接受的残余风险的信息系统。因此,需要运用信息安全风险评估的思想和规范,对信息系统展开全面、完整的信息安全风险评估。
信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提,又是信息系统安全建设和安全管理的基础工作。通过风险评估,能及早发现和解决问题,防患于未然。当前,尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估,随时掌握我国重要信息系统和基础信息网络的安全状态,及时采取有针对性的应对措施,为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况,明确信息化建设中各级的责任,采取或完善更加经济有效的安全保障措施,保证信息安全策略的一致性和持续性,并进而服务于国家信息化发展,促进信息安全保障体系的建设,全面提高信息安全保障能力。其意义具体体现在于:风险评估是信息安全建设和管理的关键环节,它是需求主导和突出重点原则的具体体现,是分析确定风险的过程,加强风险评估工作是信息安全工作的客观需要。
国家信息安全风险评估政策文件和标准的即将出台与颁布将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。相信在未来,我国信息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。
8.2公司自身的发展方向
就当前公司而言,最紧要的是对于信息安全风险评估资质的申请,和人员技术的培训。依托现有的省公司调度自动化处的合作,促进与新型能源企事业合作,大力开展光伏电站入网前的安全防护检查与检测,同时拓展到风电、水电和火电的并网后的定期检查。在这个方面,我司现在的业务水平尚有欠缺,技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下,我们要在资质和技术上双管齐下。另外,在正式介入这个行业后,我们不能只局限于和电厂的合作,更应该面向整个社会,提高社会参与度。据河南同样类型的企业,其在2017年一月至2017年七月营业额同比增长200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化,意味着这块蛋糕的体积还在不断地增加。所以我们应该把握时机。充分利用已有的资源,抢占市场,占据优势地位。
第四篇:银行业金融机构安全评估标准
为全面、客观的反映银行业金融机构的安全防范情况,量化安全检查工作,确保安全检查的实效性,制定本标准。本标准共为九部分,根据项目设定分值,总分100分。对不符合标准的酌情减分(每个项目扣完为止)。具体评分标准如下:
一、营业场所安全(20分)
检查方法:实地检查营业厅、监控室人防、物防、技防设施,对照检查相应的安防检测报告、营业场所周边环境状况,检查录像回放质量。
(一)物防设施(10分)
1、二层以下窗户未安装护栏或其他安全设施的扣0.5分;
2、与外界相通出入口未安装防盗安全门的扣0.5分;
3、金属防护门锁具不符合要求的扣0.5分;
4、场所周边、围墙防护不严密的扣0.5分;
5、现金业务取出入口未安装防尾随用缓冲式电控联动门的扣3分;
6、现金出纳柜台结构不符合要求的扣3分;
7、现金出纳柜台宽度或高度不符合要求的扣0.5分;
8、现金出纳柜台上方未安装透明防护板或安装的透明防护板无检测合格报告的扣3分;
9、现金出纳柜台上方透明防护板长、宽、高、面积及其以上封顶不符合要求的扣3分;
10、现金出纳柜台的台面设置收银槽长、宽、高不符合要求的扣0.5分;
11、营业场所未建卫生设施的扣0.5分;
12、计算机房(室)未安装防盗门的扣0.5分;
13、计算机房(室)未安装出入口控制装置的扣0.5分;
14、未配备自动应急照明设备或自动应急照明设备失灵的扣0.5分;
15、未配备消防器材或消防器材失效的扣0.5分;
16、未配备自卫器材的扣0.5分。
(二)技防设施(10分)
1、监控设备
(1)营业场所与外界相通的出入口未安装监控设备的扣0.5分;
(2)营业场所门前区域未安装监控设备的扣0.5分; (3)现金业务区未安装监控设备的扣3分; (4)营业场所内设置的自助机具未安装监控设备的扣0.5分;
(5)运钞交接区未在监控范围内的扣3分; (6)非现金业务区未安装监控设备的扣0.5分; (7)场所内人员活动情况未在监控范围内的扣0.5分; (8)营业场所视频监控系统不是数字录像设备的扣1分;
(9)视频监控系统不能显示现金支付交易全过程的柜员操作和客户脸部特征的扣2分;
(10)视频监控系统不能辨别进出营业场所人员的体貌特征的扣1分;
(11)录像资料保存不到30天的扣2分。
2、报警及其他技防设施
(1)在已具备联网条件的地区,未安装与公安机关110联网的紧急报警装置的扣3分;
(2)二级风险以上单位枪弹库、计算机房(室)未安装入侵报警装置的扣0.5分;
(3)一级风险单位现金业务柜台未安装连续记录的声音复核装置的扣1分;
(4)一级风险单位与外界相通出入口未安装入侵报警装置或入侵报警装置不能及时准确报告入侵异常事件的扣1分;
(5)一级风险单位的入侵报警装置不具备与照明、视频安防监控及声音复合设备联动功能的扣1分;
(6)入侵报警装置没有记录打印功能的扣0.5分。
二、金库安全(10分,保管箱库参照执行) 检查方法:实地检查金库物防技防设施,对照检查相应的安防检测报告,检查录像回放质量,制度、预案、出入登记等有关资料。
1、库房结构(墙、顶板、底板)六面非主体钢筋混凝土浇筑的扣0.5分;
2、通风、防水系统不合格的扣0.5分;
3、金库门不符合标准的扣3分;
4、金库外隔离门不符合标准的扣0.5分;
5、库区未安装2种以上探测原理的入侵探测器或入侵探测器不能准确探测报警区域内门、窗、通道等重点部位入侵事件的扣2分;
6、在已具备联网条件的地区,库区未安装与公安机关110报警服务台相连的紧急报警装置的扣2分;
7、启动紧急报警装置时不能同时启动现场声、光报警装置的扣1分;
8、守库室出入口未安装防盗安全门和可视/对讲装置的扣0.5分;
9、守库室内未安装视频安防监控装置的扣0.5分;
10、守库室设置方位不能有效控制金库出入通道的扣0.5分;
11、无人值守的业务库未安装声音复核装置的扣1分;
12、无人值守的业务库安防系统不能实现远程报警以及图像、声音等信息的传输监控扣1分;
13、一级风险单位守库室未设卫生设施的扣1分;
14、未执行双人守库(含远程监控异地守库)规定的扣1分;
15、使用枪支守库的,守库员使用枪支不熟练及违反枪支弹药管理规定的扣1分;
16、业务库清点室未安装视频安防监控装置或者视频安防监控装置不能清晰显示工作人员操作情况的扣0.5分;
17、消防系统不达标的扣0.5分;
18、没有处置突发事件预案或责任分工不明确的扣0.5分;
19、守库员对预案分工不熟悉的扣0.5分;
20、业务库无日常安全检查记录或记录不完整的扣0.5分。
三、运钞安全(10分)
检查方法:检查运钞车车况,押运人员工作状态,制度、预案、登记记录等有关资料。
1、自有专用运钞车使用率达100%或全部租用专业公司运钞的不扣分;自有专用运钞车使用率达90%以上不到100%的扣0.2分;自有专用运钞车使用率达到70%以上不到90%的扣0.5分;自有专用运钞车使用率达到50%以上不到70%的扣0.7分;自有专用运钞车使用率不足50%的扣1分。
2、自有运钞车未制定押运途中突发事件处置预案的扣0.5分;
3、押运员不熟知突发事件处置预案、责任分工不明确的扣0.5分;
4、押运员押运过程操作行为不规范或警惕性不高的扣0.5分;
5、运钞交接登记手续不齐全的扣1分;
6、押运员不穿防弹衣、不戴头盔的扣1分;
7、押运员警戒站位不合理的扣0.5分;
8、长途(大宗款项)押运没有护卫车的扣2分;
9、运钞车交接款停靠位置不合理的扣0.5分;
10、运钞停靠及交接款过程不能够全程录像的扣2分;
11、运钞车内无通讯设备的扣1分;
12、押运过程中司机下车,车辆熄火的扣0.5分。
四、自助机具、自助银行防范能力(10分)
检查方法:实地检查自助机具、自助银行物防技防设施,对照检查相应的安防检测报告,检查录像回放质量。
(一)自助机具防护
1、未安装防砸、防撬报警探测装置的扣1分;
2、不具备报警联动及报警联网功能的扣1分;
3、没有按照数字视频安防监控装置的扣2分;
4、监控设施不能看到操作人员的面部、出钞口及装钞过程的扣1分;
5、回放录像不能清晰显示操作人员面部特征的扣1分;
6、远程报警、图像、声音等信息传输不符合要求的扣1分。
(二)自助银行防护(除满足上述条件外还应满足)
1、装填现金区未安装入侵报警探测装置且不具备报警联动功能的扣1分;
2、回放图像不能看清进出人员体貌特征的扣1分;
3、未安装出入口控制装置,对装填现金区出入口未实施控制的扣1分;
4、自助银行门前及运钞车停放区域未安装监控设施的扣1分。
五、内部消防安全(10分)
检查方法:实地检查消防设施,查看相关资料。
1、没有建立领导负责的逐级防火责任制的扣0.5分;
2、没有逐级防火负责人职责、没有岗位防火责任人的扣1分;
3、没有为本单位的消防安全提供必要的经费和组织保障的扣1分;
4、职工不知道岗位责任区和岗位防火任务的扣0.5分;
5、没有专职或兼职的防火安全人员的扣1分;
6、没有群众性的义务消防队和必要的消防器材设备的扣0.5分;
7、没有建立健全各项消防安全制度的扣0.5分;
8、未配备符合国家规定的消防设施的扣1分;
9、不能保证消防设施、灭火器材完好有效的扣1分;
10、不能保证消防疏散通道畅通的扣1分;
11、没有贯彻执行消防安全制度情况记录的扣1分;
12、对火灾隐患不能及时发现或发现后未及时消除的扣0.5分;
13、不组织开展经常性的消防安全宣传教育和培训的扣0.5分;
14、未制定灭火和应急疏散预案并组织演练的扣1分;
15、消防安全重点单位未建立健全消防档案的扣1分。
六、计算机安全(10分)
检查方法:是的查看相关设施、设备和记录,询问工作人员。
1、数据处理中心计算机机房(室)在建筑物内没有设置为独立区域的扣2分;
2、没有专人值守、记录出入人员情况的扣2分;
3、防火、防水、防盗、监控、报警等设施不健全的扣2分;
4、系统不具有备份机,以便故障时切换使用的扣2分;
5、无备用电源或备用电源处于不良备用状态的扣2分;
6、没有设立专职或兼职的计算机信息系统安全管理人员的扣2分;
7、机房工作人员不熟知灭火、防水等有关操作的扣1分;
8、没有专门的设备档案备查资料的扣1分;
9、不能及时更换计算机的口令或密钥的扣2分;
10、员工不熟悉、不掌握突发事件预案分工的扣1分;
11、物防雷接地等必要防护的扣2分;
12、无机房专用灭火设施的扣2分;
13、县级金融机构没有成立计算机信息系统安全保护领导小组的扣1分;
14、发生计算机犯罪案件未向公安机关及时报告的扣1分。
七、案件方法能力(10分)
检查方法:听取汇报,查看相关资料。
1、没有对员工进行法律法规教育以及业务规范学习相关记录的扣1分;
2、二年内有内部人员违法犯罪,且违法犯罪行为与其职务有直接联系的扣1分;
3、员工业务不熟练,未能准确鉴别票据等真伪,引发案件的扣1分;
4、不具备身份证件真伪识别能力且无相关真伪识别装置的扣1分;
5、员工之间分工、复核制度不落实的扣1分;
6、无防范案件预案或员工对涉及本岗位的防范案件预案不熟悉的扣1分;
7、保卫部门未将各类案件及时通报公安机关和相关部门的扣2分;
8、未将各类案件的情况、特点向员工及时通报的扣0.5分;
9、不严格执行有关业务操作安全的各项规章制度、各项业务操作程序不规范的扣1分;
10、未开展安全检查、考核、评比工作,奖罚不分明的扣1分。
八、枪支弹药管理安全(10分) 检查方法:实地检查,听取汇报。
1、未明确枪支管理责任,未制定专人负责的扣1分;
2、没有牢固的专用枪支保管设施,不实行双人管理的扣2分;
3、枪支、弹药没有分开存放的扣2分;
4、未建立严格的枪支登记、交接、检查、保养等管理制度的扣1分;
5、枪弹使用完毕,未及时收回的扣1分;
6、用枪人员未经过专门培训的扣1分;
7、携带枪支时未携带持枪证件的扣2分。
九、其他(10分)
检查方法:听取汇报,查看相关资料。
1、单位领导不重视安全保卫工作,没有领导班子成员分管的扣0.5分;
2、未按时签订各级治安保卫责任书的扣1分;
3、未成立专(兼)职保卫机构的扣0.5分;
4、未配置专(兼)职保卫人员的扣1分;
5、未能保证安全防范建设资金投入的扣0.5分;
6、未建立对安全保卫人员相关的奖惩机制的扣0.5分;
7、员工不能熟练操作自卫器材的扣0.5分;
8、营业场所无日常安全检查记录的扣0.5分;
9、一年内没有组织防抢劫演练的扣0.5分;
10、对公安机关、银监部门和上级单位日常检查指出的问题未及时整改的扣1分;
11、各类安全防范规章制度不健全的扣0.5分;
12、各类处置突发事件预案不健全的扣0.5分;
13、员工不了解安全防范制度的扣0.5分;
14、员工不熟悉应急预案规定的处置方法的扣0.5分;
15、近二年内发生可防性内、外盗案件的扣2分;
16、近二年内发生可防性抢劫既遂案件的扣3分;
17、近二年内发生可防性诈骗案件的扣2分;
18、近二年内有员工因操作风险造成伤亡的扣2分。
第五篇:银行业金融机构安全评估标准
(2017年6月修订)
为全面、客观地反映银行业金融机构的安全防范情况,量化安全检查工作,确保安全检查的科学性、准确性、实效性,特制订本标准。
本标准共分为九部分,根据项目设定分值,总分100分。对不符合本标准的酌情扣分(每个项目的分值扣完为止),对评估中不涉及的评估项目不扣分。具体评估标准如下:
一、营业场所安全(15分)
评估方法:实地检查银行营业场所物防技防设施、周边状况、录像回放质量,查验档案资料等。
(一)实体防范(8分)
1、银行营业场所外有围墙的,高度小于2m或未设置防止爬越的障碍物、周界报警装置的,扣0.5分;
2、银行营业场所与外界相邻的墙体不符合建筑设计相关标准要求且未采取相应防护措施的,扣1分;
3、现金业务区四周墙体未与建筑楼板相接,或未在顶部采用钢筋网防护并与四周墙体可靠连接的,扣2分;
4、银行营业场所与外界相通的出入口未安装防盗安全门、门体强度低于GB17565-2007规定的乙级,或防盗门锁具达不到GA/T 73-2015中B级要求的,扣0.5分;
5、供客户进出的出入口门体采用旋转门、普通玻璃门等,未加装强度不低于GB17565-2007规定的乙级卷帘门或卷帘门防盗锁低于GA/T73-2015中B级的,扣0.5分;
1
6、银行营业场所与外界地面、平台或走道高差5m以下的窗户内侧未安装金属防护栏或未粘贴增强防爆膜的(已安装防弹玻璃或防砸玻璃的除外),扣0.5分;
7、现金业务区墙体设置窗户或通风口大于200mm×200mm(或直径大于200mm)、通风口内外未加装金属防护栏或金属防护栏不符合GA38-2015的相关规定,相邻通风口中心间距小于600mm的,扣2分;
8、现金业务区出入口未安装防尾随联动互锁安全门或防尾随联动互锁安全门不符合GA576的相关规定的,扣5分;
9、防尾随联动互锁安全门没有双开应急开启和双开强制复位功能的,扣0.5分;
10、防尾随联动互锁安全门两道门之间的纵深小于1m的,扣0.5分;
11、现金柜台未采用钢筋混凝土结构或非钢筋混凝土结构柜台未采取符合GA38-2015相关规定的措施加强防护的,扣2分;
12、现金柜台上方未安装透明防护板的,扣5分;
13、现金柜台上方安装的透明防护板防弹性能达不到GA 165-1997中F79型B级(或GA 165-2016中3级A类)、防砸性能达不到GA844-2009中A级的,扣2分;
14、现金柜台单块透明防护板宽度大于1.8m,高度小于1.2m,单块面积大于4㎡的,扣0.5分;
15、透明防护板以上未及顶部分未安装金属防护栏封至顶部或金属防护栏不符合GA38-2015相关规定的,扣0.5分;
16、透明防护板采用多块拼接或错位安装方式,整片式
2 安装的透明防护板未达到三面嵌入框架或嵌入小于40mm的,扣0.5分;
17、透明防护板着弹面未朝向客户活动区或在透明防护板上开孔的,扣0.5分;
18、收银槽长大于300mm或宽大于200mm或深度大于150mm的,扣0.5分;
19、收银槽底部为方形的,其上部未安装推拉盖板的,扣0.5分;
20、收银槽朝向柜员侧未安装钢板或钢板厚度小于6mm的,扣0.5分(采用防弹收银槽的除外);
21、银行营业场所未配备自动应急照明设备或自动应急照明设备失灵的,扣0.5分;
22、现金业务区内未配备防卫器材的,扣0.5分;
23、在现金业务区以外展示贵金属实物,或展示贵金属仿真品未明确标注的,扣2分;
24、独立设置的设备间(现金业务区内的除外)出入口未安装GB17565-2007规定的乙级以上防盗门,锁具达不到GA/T 73-2015中B级的,扣0.5分;
25、独立设置的设备间窗户未在内侧安装金属防护栏或在窗户玻璃内侧粘贴增强防爆膜(安装防弹玻璃或防砸玻璃的除外)的,扣1分;
26、设备间内未安装空调或通风设施的,扣0.5分。
(二)技术防范(7分)
1、报警系统
(1)银行营业场所与外界相通出入口、与外界地面、
3 平台或走道高差5m以下的窗户、设备间等部位未安装入侵报警探测装置或入侵报警装置不能及时准确报告入侵异常事件的,扣1分;
(2)银行营业场所入侵报警探测装置不能与相应部位的辅助照明、安防视频监控及声音复核等设备联动的,扣1分;
(3)入侵报警系统报警后,不能及时准确地将报警位置等信息发送到联网监控中心或接处警中心的,扣2分;
(4)有围墙的银行营业场所,周界入侵报警探测装置无连续的警戒线,有盲区的,扣1分;
(5)未在现金业务区每个柜台安装紧急报警按钮,扣2分;
(6)紧急报警装置设置少于2路独立防区,每路防区上串联的紧急报警按钮多于4个,扣2分;
(7)启动紧急报警装置时,不能将紧急报警信号发送到接处警中心,扣3分;
(8)启动紧急报警装置的同时,不能将紧急报警信号及相应部位的视音频信号发送到联网监控中心,扣2分;
(9)不同类型的报警探测装置串接同一防区或不同功能的物理区域接入同一防区,扣2分;
(10)入侵报警装置不能准确记录报警时间、位置等信息,不具有查询功能,扣0.5分;
(11)报警系统的设防、撤防、报警等信息的存储时间小于30天,扣1分。
2、安防视频监控系统
4 (1)营业场所与外界相通的出入口未安装摄像机实时监视、清晰记录出入营业场所人员情况和营业场所出入口20m监控,范围内人员面部特征、车辆号牌或50m监控范围内人员体貌特征和车型的,扣2分; (2)系统不能实时监视、记录运钞车停靠区及运钞交接全过程或回放图像不能清晰显示整个区域内人员活动情况的,扣1分;
(3)营业场所现金业务区摄像机不能实时监视、记录现金、贵金属等交易全过程或回放图像不能清晰显示每个现金柜台柜员操作全过程及客户面部特征的,扣3分;
(4)银行营业场所非现金业务区未安装摄像机实时监视、记录营业场所内人员活动情况或回放图像不能清晰辨别人员体貌特征及显示整个区域内人员活动情况的,扣2分;
(5)防尾随联动互锁安全门连接通道内未安装摄像机的,扣0.5分;
(6)视频监控图像存储时间小于30天(定为反恐重点单位小于90天)的,扣2分;
(7)视频监控系统未保持24小时运行状态,或非营业期间不能采取报警事件触发录像的,扣2分;
(8)视频监控系统未设置报警预录像功能,或预录像时间小于10秒的,扣1分;
(9)视频监控系统不具有视频信号丢失侦测识别和报警功能的,扣1分;
(10)系统无备用电源, 或在主电源断电后对摄录像装置持续供电时间小于2小时的,扣1分;
5 (11)设备间内、外未安装摄像机,或回放图像不能清晰显示设备间内、外人员活动情况的,扣0.5分。
3、出入口控制和声音复核、对讲
(1)营业场所现金业务区未安装能够连续记录交易过程对话内容的声音复核装置的,扣0.5分;
(2)营业场所非现金业务区未安装能够连续记录交易过程对话内容的声音复核装置的,扣0.5分;
(3)营业场所远程柜员系统未安装连续记录交易过程对话内容的声音复核装置的,扣0.5分;
(4)现金业务区未安装全双工对讲装置、声音不清晰或不能记录交易过程的对话内容的,扣0.5分;
(5)声音复核信息的存储时间少于30天的,扣2分; (6)出入口控制信息存储时间少于180天的,扣1分; (7)出入口控制系统未配备备用电源或主电源断电后持续供电时间少于48小时的,扣1分。
二、业务库、保管箱库安全(10分)
检查方法:实地检查业务库、保管箱库物防技防设施建设情况,检查监控录像回放质量,规章制度、预案、出入登记,查看档案等有关资料。
(一) 实体防范(4分)
1、库区照明系统总闸装置没有保护措施或未置于有效监控范围内的,扣0.5分;
2、库区内的载货电梯与楼梯未建于库门之外的,扣1分;
3、出入库房门的通道未单一设置的,扣1分;
6
4、库房结构墙体未达到相应级别的建筑标准的,扣3分;
5、金库门或库门锁具不符合标准的,扣2分;
6、三类以上库房通往金库门的唯一通道未设置防控隔离门,或防控隔离门的门体强度低于GB17565-2007规定乙级的,扣1分;
7、保管箱库房墙体达不到GA 858中对四类库以上的实体防范要求的,扣3分;
8、保管箱库使用复合材料作外箱板,其外箱板、门体防破坏极限达不到GA/T 143-1996中B级及以上要求的,扣3分;
9、库房设置的通风孔未按照外低内高的S型设置或出口离地面距离低于2500mm的,扣2分;
10、库房通风孔直径大于200mm或通风孔未加装钢筋网保护的,扣1分;
11、保管箱库房底部、顶部及内墙有给水、排水、空调冷凝水、燃气管道的,扣1分。
(二) 技术防范(4分)
1、入侵报警系统不能准确探测报警区域内门、窗、通道等重点部位入侵事件的,扣1分;
2、库房内未安装2种以上探测原理入侵探测器的,扣0.5分;
3、周界入侵报警装置没有连续的警戒线,存在盲区的,扣0.5分;
4、报警控制主机和线路未安装在防护区域的隐蔽位置,
7 不具有防破坏报警功能的,扣0.5分;
5、未采用2种以上向外报警传输方式的,扣0.5分;
6、报警装置无备用电源,或备用电源供电时间小于8小时的,扣0.5分;
7、报警系统布防、撤防、报警、故障等信息的存储时间小于30天的,扣1分;
8、库房内视频安防监控系统回放图像不能清晰显示库内环境及人员在库内活动情况全过程和库内所有存放物品的,扣2分;
9、库房外视频系统回放图像不能清晰显示出入库人员活动情况及面部特征的,扣0.5分;
10、启动紧急报警装置时未同时启动现场声、光报警装置的,扣0.5分;
11、守库室的回放图像不能清晰显示守库人员活动情况的,扣0.5分;
12、清分整点场地未在每个清分台安装摄像机进行独立监控和录像,或回放图像不能清晰显示交接、清点、打捆等操作全过程的,扣1分;
13、装卸区及出入库交接场地的回放图像不能清晰显示运钞车停放、护卫及提款箱交接等进出库区全过程的,扣1分;
14、视频监控资料保存时间小于30天(定为反恐重点单位小于90天)的,扣0.5分;
15、库房内、本地守库室、清分整理场地声音资料保存时间小于30天的,扣0.5分;
8
16、实行远程出入口控制的,控制信息存储时间小于180天的,扣0.5分;
17、实行远程监控的业务库房隔离门出入口控制装置不具有接受远程控制和实时授权功能的,扣2分;
18、实行异地值守的业务库不具备全方位防护,未将入侵报警、视频监控、出入口控制、广播对讲等各子系统接入业务库报警监控联网中心,不能实施远程管理、控制的,扣2分;
19、保管箱库区内安防视频监控不能全覆盖的(看物间除外),扣1分;
20、保管箱库看物间内未安装对讲等紧急求助装置的,扣1分;
21、业务库报警监控联网中心不能同时接入下辖各业务库的入侵报警子系统、出入口控制子系统及视频安防监控子系统的,扣2分;
22、业务库报警监控联网中心不能实现报警、图像、出入、声音等信息的集中传输、处理、显示、控制的,扣2分;
23、业务库报警监控联网中心对内部图像监视、回放无权限限制的,扣1分。
(三) 本地守库室防范(2分)
1、本地守库室未设置给排风设备、温控设施、消防设施的,扣0.5分;
2、守库室外未安装照明灯或未配备应急照明设备和自卫器材,扣0.5分;
3、守库室未配备对外联络的通讯设备或未安装紧急报
9 警按钮,扣1分;
4、守库室未安装防盗安全门或窗户未采取防护措施(安装金属防护栏或防弹复合玻璃等),扣1分;
5、守库室未设置可视对讲装置,扣1分。
三、自助设备、自助银行安全(15分)
检查方法:实地检查自助设备、自助银行物防技防设施建设情况,检查监控录像回放质量等。
(一)自助设备安全(6分)
1、实体防范
(1)穿墙式后加钞自助设备未配置加钞间(设备加钞区设置在现金业务区的除外)的,扣1分;
(2)加钞间的墙体达不到160mm钢筋混凝土结构或非钢筋混凝土结构墙体未采取符合GA745-2017相关规定措施加强防护的,扣1分;
(3)加钞间四周墙体未与建筑楼板相接,或未在顶部采用钢筋网防护并与四周墙体可靠连接的,扣1分;
(4)加钞间的门体强度低于GB 17565—2007规定的乙级或锁具达不到GA/T 73—2015 B级以上要求的,扣2分;
(5)加钞间设置窗户和通风口的,扣1分; (6)穿墙式后加钞银行自助设备未与地面或墙体牢固连接,与安装墙体的缝隙大于5mm的,扣0.5分;
(7)穿墙式后加钞自助设备客户操作面朝向室外公共区域,没有为客户提供独立封闭操作空间或加装防护舱的,扣0.5分;
(8)自助设备安装墙体未与加钞间墙体可靠连接,不
10 能确保加钞间封闭的,扣0.5分;
(9)银行自助设备未安装具有防窥视功能装置的(防窥视罩、防窥视镜、防窥显示屏等),扣0.5分;
(10)银行自助设备未设置相对独立的客户操作区域的(一米线、加装挡板、安装防护舱等),扣0.5分;
(11)银行自助设备的各种外接线缆没有防护措施,接插件未置于封闭的刚性防护体内的,扣0.5分;
(12)安全技术防范系统的控制设备(数字录像机、报警控制器、UPS电源等)未放置在锁闭的刚性防护体内的,扣0.5分;
(13)银行自助设备、自助银行的电源总开关未设在客户活动区以外的隐蔽位置或客户活动区设置电源插座的,扣0.5分;
(14)在行式自助银行客户活动区与其他区域相通的出入口未安装防盗安全门或卷帘门,且门体强度低于GB17565-2007的乙级、GA/T73-2015的B级的,扣1分;
(15)加钞间、自助银行客户操作区未安装应急照明灯的,扣0.5分。
2、技术防范
(1)视频监控回放图像不能清晰辨别客户的面部特征、进/出钞过程、现金装填过程操作人员活动情况和自助设备周边区域人员的活动状况的,扣1分;
(2)未对在行大堂式自助设备使用环境进行监视和记录的,扣0.5分;
(3)加钞间/加钞区未安装视频监控装置对现金装填、
11 日常维护及人员活动情况进行实时录像或回放图像不能清晰辨别人员的面部特征和操作情况的,扣2分;
(4)视频图像未叠加时间、日期、自助银行名称等信息,或字符叠加后影响图像记录效果的,扣1分;
(5)视频图像数据的记录、存储、回放的单路图像分辨率小于1280×720,单路显示帧率小于25fps的,扣1分;
(6)图像、声音复核等数据的保存时间少于30天(定为反恐重点单位小于90天)的,扣1分;
(7)未通过自助设备电子显示屏显示必要的安全提示和24h服务电话的,扣2分;
(8)现金类银行自助设备上下箱体未安装报警探测装置或不能对撬、砸等破坏事件进行探测报警的,扣1分;
(9)设置在复杂环境未与地面或墙体固定连接的银行自助设备,未安装位移探测报警装置的,扣0.5分;
(10)加钞间内未安装24h独立防区的紧急报警装置(设置在现金区的除外)的,扣0.5分;
(11)触发报警后,系统不能及时准确地将报警位置、视频图像等信息发送到联网监控中心或接处警中心的,扣1分;
(12)入侵报警、视频监控、出入口控制、语音对讲等子系统未与银行监控中心联网的,扣2分;
(13)银行自助设备(在行大堂式自助设备除外)的客户操作区未安装具有双向对讲功能的语音对讲装置的,扣1分;
(14)触发紧急求助按钮后不能启动语音对讲装置与联
12 网监控中心进行双向语音通话或通话不清晰的,扣1分;
(15)加钞间未安装出入口控制装置,对进出加钞间的人员进行控制和记录的,扣1分;
(16)加钞区在银行营业场所现金业务区内,现金业务区未安装入侵报警装置的,扣1分;
(17)技防系统没有配备不间断备用电源或备用电源在市电断电后视频监控系统正常工作时间少于2小时,报警系统正常工作时间少于8小时,出入口控制系统锁具采用断电开启方式的,正常工作时间少于48小时的,扣1分。
(二)自助银行安全(9分,其中自助设备按自助设备安全内容评分,满分6分;下列内容满分3分)
除对自助设备进行安全评估外,还应对自助银行开展以下评估
1、使用前加钞自助设备的自助银行,扣1分;
2、未安装视频监控装置对进入自助银行的人员和环境进行监视、记录,或回放图像不能清晰显示进出人员体貌特征的,扣0.5分;
3、客户操作区、加钞间未安装声音复核装置或未能清晰采集、连续记录现场声音的,扣0.5分;
4、自助银行监控不能清晰记录出入口外20m监控范围内车辆号牌,或出入口外50m监控范围内往来人员的体貌特征和车辆类型的,扣1分;
5、未安装视频监控装置实时监视运钞车停靠和款箱装卸情况,或回放图像不能清晰显示款箱装卸交接全过程的,扣0.5分。
13
四、运钞安全(8分)
检查方法:检查银行自行押运的运钞车车况、押运作业人员执行任务的规范操作情况,制度、预案、登记记录等有关资料,回放监控录像。
1、银行业金融机构使用非专用运钞车运钞或非双人以上武装押运的,扣5分;
2、未制定押运途中突发事件处置预案的,扣0.5分;
3、押运作业人员(运钞车驾驶员、押运员、携款员)不熟悉突发事件处置预案、责任分工不明确的,扣0.5分;
4、参与押运的银行工作人员和押运员未穿防弹衣未戴防弹头盔的,扣1分;
5、押运员提携款箱的,扣1分;
6、钞箱交接身份核对及登记手续不齐全的,扣1分;
7、在营业场所门外交接款箱的银行工作人员未穿防弹衣、不戴防弹头盔的,扣1分;
8、押运作业人员不能规范站位全方位警戒的,扣1分;
9、跨省、市长途运钞或大宗款项(单次运钞1000万元以上)押运没有护卫车的,扣2分;
10、押运过程中司机下车或车辆熄火(在封闭装卸区作业的除外)的,扣1分;
11、运钞车交接款未停靠在指定区域的,扣1分;
12、运钞车未配备卫星定位、通讯、报警、消防设备的,扣1分;
13、运钞车前后及驾驶舱、运钞舱内未安装视频监控装置,扣2分;
14
14、运钞车不具备远程停驶控制功能的,扣1分。
五、消防安全 (10分)
检查方法:实地检查消防设施,查看相关资料,询问有关人员。
1、没有建立健全各项消防安全制度的(教育培训制度、巡查检查制度、设施维护保养制度、值班管理制度、预案与演练制度、考评与奖惩制度等),扣0.5分;
2、没有建立由单位主要负责人负责的消防安全责任制的,扣0.5分;
3、单位没有逐级明确各岗位防火负责人,或防火负责人职责不明确的,扣1分;
4、单位没有设立专职或兼职的防火安全人员,消防安全重点单位没有确定消防安全管理人的,扣1分;
5、没有为本单位的消防安全提供必要的经费和组织保障的,扣1分;
6、职工不知道消防岗位责任区或不了解岗位消防安全职责的,扣0.5分;
7、未按照国家标准、行业标准配置消防设施、器材,设置消防安全标志的,扣1分;
8、消防设施、器材、消防安全标志未定期检查、维修、保持完好有效的,扣1分;
9、消防控制室值班操作员未持证上岗的,扣1分;
10、消防安全重点单位未建立微型消防站的(志愿消防队),扣1分;
11、消防安全重点单位已建立微型消防站但没有战斗力
15 (人员配备少于6人、未设置值守人员、未配备一定数量的灭火器、水枪、水带等灭火器材和通信器材)的,扣0.5分;
12、单位疏散通道、安全出口、消防车通道不畅通的,扣1分;
13、单位没有开展日常消防安全检查、巡查和消防安全教育培训工作的,扣1分;
14、对火灾隐患不能及时发现或发现后未及时消除的,扣1分;
15、一年内组织开展消防安全宣传教育和培训少于 2次的,扣0.5分;
16、未制定灭火和应急疏散预案的,扣1分;
17、每年组织演练少于1次、消防安全重点单位每半年组织演练少于1次的,扣1分;
18、消防安全重点单位未建立健全消防档案,扣1分;
19、没有对单位建筑消防设施进行消防检测,未取得具有专业资质检测机构提供的合格检测报告的,扣1分;
20、两年内发生火灾责任事故的,扣5分。
六、数据中心及监控中心安全(10分)
(一)数据中心安全(4分)
检查方法:实地查看相关设施、设备和记录,询问有关人员。
1、独立设置的数据中心未进行封闭式管理或设置周界报警探测装置的,扣2分;
2、非独立设置的数据中心未设置在独立区域的,扣1分;
16
3、未安装出入口控制系统记录出入人员情况的,扣1分;
4、未安装视频监控系统对出入口、周界、重点区域进行实时监控的,扣2分;
5、监控、报警、主入口控制系统无备用电源或备用电源处于不良备用状态的,扣1分;
6、数据中心未设置专职的安全管理人员的,扣1分;
7、机房内未配置专用灭火设施(气体灭火系统或细水雾灭火系统),未配备自救呼吸器的,扣1分;
8、未制定数据中心突发事件(消防、反恐等)处置预案或未定期开展演练的,扣1分。
(二)联网监控中心安全(6分)
检查方法:实地查看相关场地、设备和记录,测试部分功能。
1、联网监控中心未安装防盗门,实行封闭管理的,扣1分;
2、联网监控中心未安装紧急报警装置的,扣0.5分;
3、联网监控中心设备机房(间)无专用消防设施,未配备自救呼吸器的,扣1分;
4、联网监控中心设备机房(间)无温度控制装置或温控装置不能正常工作的,扣1分;
5、联网监控中心未采取防静电和防雷接地措施的,扣1分;
6、联网监控中心未设置不间断电源,或不间断电源持续供电时间少于30分钟的,扣1分;
17
7、联网监控中心未实行24小时双人值守的,扣2分;
8、联网监控中心无出入口控制装置对进出人员进行记录的,扣1分;
9、联网监控中心没有2种(含以上)对外通信方式的,扣1分;
10、联网监控中心未建立管理规定、操作流程、无突发事件应急处置预案,或值守人员未履行规定及对应急预案不熟悉的,扣1分。
七、枪支弹药安全 (8分)
检查方法:实地检查枪支弹药保管使用情况,调取监控录像和使用登记,听取有关人员汇报。
1、未明确枪支弹药管理责任,未指定专人负责的,扣1分;
2、未建立完善的枪支安全责任制度和持枪人员管理责任制度的,扣1分;
3、未建立枪支弹药保管领用制度或不严格执行的,扣1分;
4、未使用枪弹库或专用枪弹柜存放保管枪支弹药的,扣1分;
5、枪弹库出入口未安装防盗安全门的,扣0.5分;
6、枪支、弹药没有分开存放或实行双人双锁的,扣1分;
7、枪弹库未安装视频监控装置或监控有盲区的,扣1分;
8、枪弹库未安装与接处警中心相连的紧急报警装置和
18 入侵报警探测装置的,扣1分;
9、持枪人员未定期接受培训的,扣1分;
10、持枪人员未办理持枪证件的,扣2分;
11、携带枪支时未携带持枪证件的,扣1分;
12、执行守押任务完毕后,未及时交还枪支弹药的,扣1分;
13、非执行守押任务而携带枪支弹药的,扣5分。
八、案件防范(9分)
检查方法:听取汇报,查看相关资料。
1、一年内对员工进行安全防范知识教育培训少于2次,扣1分;
2、二年内发生盗抢既遂案件且案件的发生与银行内部管理不严或员工违规操作有直接关系的,扣2分;
3、二年内发生重特大盗抢既遂案件且案件的发生与银行内部管理不严或员工违规操作有直接关系,或案件造成员工重伤或死亡的,扣5分;
4、无案件防范管理制度或管理制度不健全的,扣1分;
5、未严格执行相关案件报告制度规定的,扣2分;
6、未严格执行有关业务操作安全的规章制度,各项业务操作程序不规范的,扣1分;
7、一年内没有组织防抢劫、防暴恐、防爆炸等突发案事件应急预案演练的或无预案演练记录的,扣0.5分;
8、在现金业务区以外区域办理现金业务的,扣5分。
九、安全保卫基础工作(15分)
检查方法:听取汇报,调阅资料,询问有关人员。
19
1、 一级分行(邮政企业同级机构,下同)及以上机构未设置独立保卫机构的,扣5分;
2、 二级分行及以下机构未设置专兼职保卫机构、配备专兼职保卫人员的,扣4分;
3、银行营业场所专兼职保卫人员不熟悉各项安全管理要求,不掌握安防设备使用方法的,扣1分;
4、单位负责人未定期召开会议研究安全保卫工作,查找安全防范工作隐患并研究解决问题,或保卫工作没有领导班子成员分管的,扣2分;
5、由于安全防范设施建设资金不到位,导致存在安全隐患的,扣3分;
6、未建立安全保卫工作考核、评比和奖惩机制的,扣2分;
7、对公安机关、银监部门和上级单位安全检查中发现的问题未及时整改的,扣3分;
8、各类安全管理规章制度(安全防范教育培训制度、值班巡查制度、案件报告制度、安全保卫考核奖惩制度等)不健全的,扣1分;
9、防抢、防盗、防骗、反恐、防火、防自然灾害等突发案事件处置预案不健全的,扣1分;
10、未签订各级安全保卫责任书的,扣0.5分;
11、营业场所无日常安全检查记录的,扣0.5分;
12、未进行突发事件预案演练或无预案演练记录的,扣1分;
13、员工不按要求使用防尾随联动互锁安全门的,扣
320 分;
14、员工不能熟练掌握自卫器材和消防器材、自救器材使用方法的,扣0.5分;
15、员工不了解安全管理制度、不熟悉本岗位安全操作和安全职责的,扣0.5分;
16、营业场所未配备保安员或保安员上岗未着防护装备、未配备防卫器材的,扣1分;
17、未按外包安保服务合同条款履行安保职责,没有对外包企业建立评价反馈机制或没有对外包企业履行合同情况检查记录的,扣2分;
18、委托不具备相应资质的保安服务公司承担守护押运任务的,或使用不达标金库寄库的,扣5分。
21
【信息安全评估标准简介】相关文章:
信息安全评估标准研究论文04-16
安全标准化评估报告08-02
信息安全风险评估论文04-18
信息安全风险评估论文提纲11-15
信息安全风险评估探究论文04-15
高校信息安全风险评估论文04-15
高校信息安全风险评估论文提纲11-15
关于食品安全信息与风险监测评估的探讨04-09
信息安全等级保护标准04-02
档案管理信息化的优势及安全风险评估研究09-11