XX证 券-互联网电子邮件系统自查小结.docVIP

XX证券股份有限公司互联网电子邮件系统的自查报告XX局领导：2017年XX月XX日，收到XX证监局《关于开展XX辖区证券公司互联网电子邮件系统自查的通知》及自查要求后，XX证券股份有限公司（以下简称我司）高度重视，立刻成立了互联网电子邮件自查工作小组（以下简称工作小组），负责本次电子邮件系统自查及后续防范部署安排工作。工作小组由公司技术总监牵头，信息技术部总经理组织，信息安全员及电子邮件系统管理员参与，主要从安全制度、系统建设、系统等级保护、安全措施等几个方面进行排查，现将本次自查工作的情况详细报告如下：一、安全制度我司制定了《XX证券股份有限公司信息系统安全等级保护管理制度》、《XX证券股份有限公司信息系统日志管理制度》、《XX证券股份有限公司信息系统数据安全管理制度》、《XX证券IT桌面运维管理办法》等制度,对公司邮件系统的等级保护建设、日志保存、数据安全管理、密码保护都做了明确的要求，以此保障互联网邮件系统安全。为防止敏感信息的不当流动，我司制定了《XX证券股份有限公司信息隔离墙管理办法》、《XX证券股份有限公司公募基金业务投资、研究活动内幕信息管理实施细则》等制度，对敏感信息进行管理。同时向全员工下发了《XX证券股份有限公司员工合规手册》，对员工的敏感信息必威体育官网网址义务进行了明确。对于可能在履职过程中掌握或知悉的敏感信息的人员，要求其签署《敏感信息必威体育官网网址承诺书》。二、电子邮件系统建设我司互联网电子邮件系统最早创建于2007年，创建初期公司就充分考虑到信息与数据安全的问题，坚持采用企业自建互联网电子邮件系统的方案，当时采用XX公司的XXXXX产品。随着公司规模的扩展，我司于2012年对互联网电子邮件系统进行了整体升级，邮件系统的性能和容量均大幅提升，并采用国产XXXXX公司的成熟产品。同时与我司OA系统高度集成，提升办公效率。在这次互联网电子邮件系统全面升级中，我司依旧坚持采用企业自建、自行运维的模式，不涉及公有云建设方式。公司电子邮箱主要用于办公沟通交流，不承载业务流程办理，业务流程由公司OA系统承担。近年来，我司互联网电子邮件系统运行稳定，助力提高公司员工办公效率，从未发生重大安全事件。三、电子邮件系统等级保护工作在2015年12月30日，我司聘请XXXXX检测中心对互联网电子邮件系统进行了信息系统等级保护测评（二级），测评结果良好，符合国家要求。2016年1月7日，我司向XX市公安局申请对我司互联网电子邮件系统进行了安全等级保护备案（二级）。XX市公安局批准了备案请求，核发了备案证明，备案编号: XXXXXX-XXX。四、安全措施为保障公司互联网电子邮件系统安全、稳定的运行，我司部署了世界排名领先的XXX邮件安全网关产品。该产品有效地为我司拦截垃圾邮件、病毒邮件、钓鱼和间谍软件，平均每天拦截超过X万封垃圾邮件、百余封病毒邮件。结合XXXX厂商的安全设置，目前我司互联网电子邮件系统已实现如下安全措施：邮件系统与底层网络的双机备份与热备切换基于概率算法的垃圾邮件自学习与拦截基于实时更新库的病毒邮件拦截与隔离基于实时更新库的木马、钓鱼、间谍软件拦截黑白名单过滤网页动态验证码登录邮箱密码安全性限定邮件正文、附件敏感词过滤和报警外发邮件内容存储与审计邮件安全协议SPF部署邮箱异地登录记录多种邮件安全、性能方面的统计报表为持续验证互联网邮件系统的安全性，我司多年来一直聘请XXXX科技公司对互联网电子邮件系统开展每月一次的安全漏洞扫描，以及每年两次的人工渗透测试。同时，委托中证信息公司实时监控互联网邮件系统的健康状态，并开展每月一次的安全扫描。根据安全检查结果，我司会同安全服务商XXXX科技公司严格按照相关的报告建议和意见认真完成整改工作，至今为止已修复多处互联网电子邮件系统安全隐患。根据本次互联网邮件系统安全自查，我司在邮件网关、垃圾邮件、病毒邮件、账号防护、数据防泄密、监控审核等方面工作都较为完善。同时，也发现了一些可以提高的空间，目前我司正在加强邮件系统异常登录的主动告警功能和通过客户端传输时的必威体育官网网址性，拟增加敏感信息出现在电子邮件中的实时告警功能，以进一步提高我司互联网电子邮件系统的整体安全性。XX证券股份有限公司2017年12月18日