一份优质的报告,需要以总结性的语录、合理的格式,进行工作与学习内容的记录。想必你也正在为如何写好报告而发愁吧?以下是小编精心整理的《信息科技风险自查报告》,供需要的小伙伴们查阅,希望能够帮助到大家。
第一篇:信息科技风险自查报告
信息科技风险自查报告
**农商行
按照上级领导的指示,我行认真贯彻《关于加强2010年重要时期金融信息安全保障工作的通知》(银发[2010]57号文件)精神,为充分做好重要时期金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下:
一、组织架构、制度建设及管理情况
1.信息科技治理组织架构
(1)我行在董事会下设科技信息安全管理委员会,行长室下设信息科技管理委员会,信息安全管理委员会下设应急处理领导小组。
科技信息安全管理委员会全面负责领导和协调本行科技信息安全。
科技管理委员会负责统一规划全行的信息化建设,指导和监督科技部门的各项工作,审议全行计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。 信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则,统一组织、协调、指导、检查全辖应急处置的管理;负责全辖信息系统突发事件的应急指挥、组织协调和过程控制
(2)我行成立了科技管理部和科技开发部,做到科技运维和科技开发有效分离,加强了信息科技治理。
(3)科技风险审计工作由我行稽核审计部完成,信息科技风险管理由风险管理部门完成。
(4)在支行层面则设立合规员,负责各支行科技信息相关风险监控和报告
2.信息科技管理制度建设
(1)安全管理
对安全管理活动中的各类管理内容建立安全管理制度,制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理总则《江苏**农村商业银行计算机信息系统安全管理制度》,安全管理制度经信息安全领导小组审定,审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订,并有修订记录
(2)事件管理
制订了安全事件报告和处置管理制度——《信息安全事件管理制度》明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责,并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对安全事件进行等级划分,制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置方法等,并对发现的安全弱点和可疑事件有《异常情况上报规定》
(3)应急处理
建立较为完善的信息系统应急恢复策略《江苏**农村商业银行计算机信息系统应急处理方案》,对各业务信息系统进行分类,按照重要程度,确定保障级别,制定了各信息系统突发事件专项应急预案。制定数据中心、灾备中心机房关键基础设施专项应急预案。
(4)安全操作规范及管理流程
我行有完整的信息安全管理流程,控制信息安全管理。包括介质管理、网络管理、维护及故障处理制度、软硬件变更流程、备份管理、ATM安全管理、机房管理、监控管理、密钥管理、巡检制度等等科技管理部各项流程。
(5)岗位职责与分工
配备一定数量的系统管理员、网络管理员、安全管理员等。每个岗位设立2个以上操作维护人员。重要系统均配备A/B角 , A/B角定期轮换。明确岗位职责《科技管理部岗位设置》《科技开发部工作职责》《科技管理部岗位百分考核办法》 (6)密级管理制度
录用人员签署保密协议;制定人员离岗管理流程规范,严格规范人员离岗过程,及时终止离岗员工的所有访问权限;与外包商签订保密协议;有密级的安全管理制度,注明安全管理制度密级,并进行密级管理。
二、信息系统的技术措施情况
1. 物理和环境建设
(1)机房的物理访问控制:机房实现门禁控制,严防外部人员进入机房擅自操作。
(2)系统密码均由专门人员掌管,计算机终端无人看管时锁定;
(3)机房采用集中监控,监控清晰全面,机房环境设施均有专人岗位值班管理,参数实行24小时不间断监控,岗位人员具备管理监控专业素质。
(4)机房供电系统均采用双路UPS供电,线路冗余性好,负载能力强,完全能够满足机房电力需求。
(5)机房空调系统的有效性和冗余性,给排风系统的有效性:机房空调系统安全有效,给排风系统工作正常。
(6)中心机房和灾备机房均有配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施,确保机房正常运转。
(7)机房技术文档完备、有效:制定了《**农村商业银行计算机信息系统安全管理制度》、《科技部信息部中心机房监控制度》,《**农村商业银行计算机系统运行维护管理制度》为机房维护制定详细的规范文档。
2. 网络管理
我行根据文件要求,对重要网络设施(包括网络传输线路、网络设备、网络安全设备)进行了详细的自查,情况如下: 1. 网络安全策略
(1)内网的安全管理情况;
内网网络安全管理: 外联单位互联安全保护措施:通过两台PIX525防火墙连接外联单位,两台防火墙通过FAILOVER形成热备,在防火墙上配置安全策略,严格控制进出生产网的数据。
在对外路由器上设置过滤规则,形成防护网。使用过滤规则设置功能,作过滤防护,形成银行网络与外联单位之间的第一道防护网。正确地配置和使用防火墙。防火墙功能正确实施的关键是其安全策略的配置和管理,为企业的重要数据和内部网络系统提供了一层可靠的安全保障。
使用地址转换的通信策略,防火墙对内部地址进行转换,对外映射为一个虚拟地址。
(2)外网的安全管理情况;
办公网网络安全建设:天融信防火墙安全防护建设:在**农商行办公网INTERNET出口部署两台天融信防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、即时通信应用,以及BT、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控制。还提供了定制功能,可以对用户所关心的网络应用进行全面控制。
能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构,自身能够实现A/A部署和状态同步,能够实现动态的链路切换,同时提供了电源冗余功能,最大限度地满足了网络的健壮性及稳定性,保证了整个网络的不间断工作。
(3)加密技术应用和私钥的管理情况;
ARRY设备远程VPN安全保护建设:**农商行办公网已经部署了VPN,INTERNET用户可以连接到内部办公网。采用VPN技术,加强信息传输过程中的安全防范,可以在公共Internet网络上提供安全通信。是企业远程用户、业务合作伙伴和供应商尽快实现通信和共享信息理想的安全性解决方案。根据业务系统的特点选择对业务数据进行传输加密;对于网络设备认证过程中敏感的信息进行加密。 制定了《**农村商业银行科技部密钥管理制度》。
(4)防火墙的设置、维护和管理情况;
在网银系统设置两层物理防火墙,将网络分为三个逻辑区域,及非授信区、停火区及安全区。非授信区可理解为Internet,即存在潜在威胁的区域;停火区(DMZ)内部署网银Web服务器、RA服务器以及其它直接向外部提供服务或者进行通讯的服务器,如Mail服务器、防病毒服务器等;安全区用户部署网银应用服务器、数据库服务器、通信服务器等核心部件;
(5)、设置入侵检测系统。
入侵检测用在网络关键节点设置探头以侦测网络数据中。
2. 网络服务连续性、冗余性
1.所有重要通信线路均有备份线路且采用不同运营商,确保网络无断点。
2.网络设备的冗余性:网络设备均有备份。核心网络设备,核心生产系统设备均采用双机热备,同城设有灾备机房,确保关键生产设备运行的可靠性
3.访问线路的带宽完全能够满足各信息系统的带宽需求,无网络拥塞现象。
4. 网络设备管理配置均由专人分管负责,确保合理操作,保障网络通畅、安全; 5. 日志服务器暂无,有网络日志,但无集中审计,需加强网络设备日志的安全审计。
3. 信息系统可靠性
我行根据文件要求,对关键服务器、存储器运行的可靠性,生产系统资源冗余度等进行了全面自查,情况如下: 1.系统重要设备和组件的冗余备份
经自查,关键生产设备均采用双电源,服务器有UPS电源支持,且有RAID保护。系统具备较高的可用性,所有前置系统都有备机,且定期切换演练,系统重要设备和组件均有相应的定时备份。
2. 制定各系统的应急预案,定期对预案修订和培训,目前,我行针对世博会演练了信贷系统切换,中心机房供电演练,影像支付系统演练,网银系统恶意攻击模拟演练。
3.设备和系统的维护和升级管理
设备、系统均有专人维护管理,部分设备、系统聘请专业公司人员进行升级维护,岗位人员均具备相关素质,并实行AB角色。
4.对外包系统要求开发商要对我行技术人员进行详细的日常运行、维护培训,把相关技术移交给我行技术人员,对涉及二次开发的系统要求开发商提供完整的二次开发手册,培训我行技术人员掌握二次开发技术 5. 系统软件的用户授权及鉴别认证措施:
系统软件用户密码相关人员各自保管,重要系统管理密码实行分左右手密码保管原则,系统软件用户访问实现权限控制,各级人员只能进行权限内操作。
6. 系统变更管理: 制定了变更管理的主要准则和规章制度,变更管理的审批授权机制和工作流程;对变更管理进行登记、备案和存档,制定了非计划性紧急变更的实施方案、备份和恢复。
7. 对系统日志及操作行为日志进行监察审计,确保系统稳定运行
8. 系统容量管理计划
系统处理容量增长趋势完全满足增量业务需求,并有适度冗余。
9. 补丁更新
及时关注系统安全漏洞最新情况,及时对新发现的安全漏洞打上相关的安全补丁。经检查当前系统已是最新最完整版本,已安装了最新补丁
10. 病毒、恶意代码的安全防护
系统均安装病毒查杀软件,对病毒、恶意代码进行安全防护。同时严格控制操作人员在机器上运行可能携带恶意代码、病毒的脚本的外来第三方软件
11. 系统安全配置检查 定期巡检,对系统的安全配置实行不定期检测,对可能存在的隐患进行排除。
4. 应用安全
1.业务应用系统的用户授权及鉴别认证措施
业务应用系统用户密码相关业务人员各自保管,通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。
2. 业务应用系统的用户访问控制
系统软件用户访问实现权限控制,各级人员只能进行权限内操作
4. 数据安全、备份可用性
1.数据备份策略及备份数据的可用性
(1)对各应用系统指定相应备份策略,指定不同级别的具体备份操作,每次备份完毕应检查备份数据的有效性,并异地妥善保管好磁介质,重要数据永久保存
(2)应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
(3)不定期对数据进行抽检,与业务所在日期数据进行比对核实。并有应急恢复预案,及同城异地灾备系统确保数据恢复性。
2. 数据安全性 (1)敏感数据的传输和存储加密:
敏感数据传输实行加密管理,存储的一些敏感数据实行加密乱码显示。
(2)重要业务数据的通信完整性检测
重要业务数据通信检测完整、正常。
(3)重要业务数据的备份策略及恢复测试机制
重要业务数据定时备份,专人存储保管,有完整的应急恢复预案。
(4)建立了同城异地灾备中心,并制定了《江苏**农村商业银行异地容灾项目灾难恢复计划书》,内容包括危险级别的定义划分、决策流程、灾难恢复团队、日常备份和恢复流程、灾难响应和行动流程、灾难切换流程、灾备系统回切流程、灾难恢复计划的测试、维护等。还包含了涉及系统设备的具体清单、操作步骤等,预计RTO为6小时以内,RPO较低。
5. 运行维护监控系统
我行根据文件要求,对信息系统的监测预警进行了全面自查,情况如下: 1.监测预警制度、流程及自动化监控平台
已建立完善监测预警制度、流程,机房环境、参数,系统的运行状况,CPU使用情况、文件系统使用情况等均实现自动化监控。
2.监测预警组织结构及人员设置
每天有人员24小时值班,检查系统及网络运行状况,及时发现问题,监测预警专人负责,按照警报级别逐级上报,确保故障的及时排除。
3. 监测预警日志
设立监控日志,每日由监测预警人员负责记录。
4. 监测预警文档的完备性
有监测预警文档说明,但不够完善。
5. 与电力供应部门、网络供应商、公安部门等外部机构均有相应的应急联动机制,我行正在实施保卫部网点声光联动报警,做到入侵报警设施与照明、视频安防监控及声音复核等设备联动
三、不足和改进方法
1. 需将管理与技术相结合,进一步加强信息安全管理手段
从IT风险管理手段来看,部分系统的风险控制不够先进,缺乏专业的风险技术支持,事前预防作用有限,事中控制不够。缺乏对科技风险的集中审计。本行将引进AAA统一认证管理系统,加强系统用户的授权,权限控制和账号管理。架设日志服务器,对系统日志进行集中收集和审计。 通过平台对所有用户进行统一的授权。采用基于角色的授权机制,按照内部的组织结构划分角色,并为用户绑定角色。对于不同的角色分配不同应用系统的访问权限。平台依靠记录追踪用户和管理人员的访问过程,建立一套全面的、有效的回溯和追查机制。可以实时监测用户对各应用系统的访问状态,及时发现非法访问事件,对出现的问题进行事后追溯和责任追究提供实证。通过对系统运行状态实时监控审计,增强系统的可维护性。
2. 进一步完善计算机系统安全管理制度
本行已经在内部建立并健全了一系列的计算机系统安全管理制度, 并由稽核部门对银行计算机系统进行专项稽核,但未配备专门的稽核人员,在广度和深度上不够,因此对照新指引的精神,从组织上保证信息风险有具体人员来承担责任,强化执行力和合规性。将日常信息风险管理从传统的检查模式逐步过渡到基于评估、规划、执行和监督全面循环改进的模式。制订详细的IT风险管理架构,确立IT服务管理与IT风险管理的关系,明确IT风险管理的范围、职责,制订符合银行实际情况的管理流程,出台可操作性强的安全技术规范,加强开发过程的风险控制。从而有效地防范科技风险。
第二篇:银行关于信息科技风险防控工作自查报告
##银行关于信息科技风险
防控工作自查报告
自##年数据大集中以来,我行依托省联社的科技支撑,各项信息管理系统逐步完善,初步建成了信息科技支撑系统,由省联社提供的核心系统对日常业务进行集中处理,其中核心数据的备份、系统运行管理均由省联社统一管理,我行工作重点在于对网络设备、通讯线路及柜面终端设备的正常运行进行科技支撑,因此我行在信息科技风险管理方面的风险较少。目前,根据我行现有业务要求和信息科技发展的规划,要求我们对信息管理、人员、技术等方面提升信息安全管理水平和管理能力,建立管理与技术相结合的全方位的风险管理体系。具体来说,主要采取以下几方面的措施开展信息安全工作。
一、 将信息科技风险管理和信息安全纳入我行“十二五”信息科技发展规划。为了提高信息科技风险管理能力,提升信息科技对业务战略发展的可持续支持能力,我行于年初制定了“十二五”信息科技发展规划,信息科技风险管理和信息安全成为科技规划的重要组成部分之一。科技规划中明确了信息科技发展方向,强调了科技基础建设,提高信息科技风险管理水平,有效防范信息科技风险。
二、 完善信息科技治理,大力开展信息科技风险管理制度建设。从只注重提高硬件配置水平逐步转变为同时注重软件投入和业务管理的综合管理。例如,以前我们在信息安全管理普遍存在一个误区,人为部署了高性能的硬件设备、实现网络设备双机热备、内外网严格的物理隔离、做好了生产运行风险控制,就算完成了信息科技风险控制的工作,其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。
三、 我行在信息科技风险治理方面的措施主要包括三方面。
a) 认真学习和领会监管机构对信息科技风险管理的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息科技风险管理组织架构和机制,建立以电子银行部、合规部、稽核部为主体的信息科技风险三道防线;成立以主管领导为组长的信息系统突发事件应急小组、应急处置小组和科技支持保障小组,做好突发事件应急处理。
b) 建立健全信息科技规章制度。为了做好制度建设,我行领导高度重视,以我行流程银行建设为契机,完善了相关制度,理顺了相关制度的制定、修订、废止流程和审批制度流程,切实抓好制度建设。
c) 采取有效的信息科技风险管理的制度,防范和化解信 2 息安全风险。首先,完善基础设施建设,对中心机房进行改造,更换老旧的硬件设备,提高硬件设备防范风险的能力;二是改造电源环境,做好业务连续性建设,为基层网点更换UPS电源;三是提升运行管理的水平,推进运行流程化和集中化管理,防范操作风险,确保信息系统的安全稳定运行。四是完善应急预案,积极配合省联社开展应急演练,切实提高风险防控水平。
四、 严格设备接入管理,提高设备管理水平。近日,省联社推出了桌面管理系统,该系统提供全面高效的计算机设备管理解决办法,可以监控行内IT环境的变化,保障计算机设备正常运行,大幅度降低运行维护成本,并可提供详尽的统计报表输出,综合反映软硬件信息变动、当前配置等,帮助总行管理好全辖计算机设备。按照省联社的部署,该系统计划于下半年上线,届时将有力的提高我行信息科技管理的效率和风险管控水平。
五、 软件正版化是今年我行信息科技工作的一项重点内容。根据aa省软件正版化工作联席会议下发的《关于推进中小金融机构使用正版软件工作的通知》()精神,结合我行的实际情况,为加快对盗版或未经授权、许可软件的清理换装工作,推进我行软件正版化工作,确保我行软件正版化工作目标的实现,结合我行实际情况,制定了《**银行软件正版化工作实施方案》,根据方案的进度安排,我行已于本月进入更换正版软件和培训阶段。
信息科技风险防控是长期而艰巨的工作,我行将按照上级有 3 关部门的要求,加强日常管理,提高业务水平,将信息科技风险防控作为工作的重中之重,保证各项业务的安全稳定运行。
第三篇:科技风险自查报告
科技网络风险防范
随着我行不断的进行业务创新,从而极大的促进了计算机及网络技术在银行业务领域的广泛应用,也使得各我行的电子化水平及服务水平都得到了不断提高,不论是在服务层面或是管理层面都在逐步与世界接轨。
我行业普遍使用诸如商业银行的门柜系统、信贷系统、统计管理系统、办公,人民银行的信贷咨询管理系统等,使用的操作系统也有Windowsxp、Windows200
3、UNIX、等,随着电子银行、自动柜员系统、综合业务系统等大量的投入使用,计算机及网络风险防范问题日益突出。
一、银行业计算机及网络风险的表现形式
所谓银行计算机及网络风险是指银行业在进行技术创新和实现银行电子化过程中广泛使用计算机技术、网络通信技术,而计算机本身(包括硬件、软件、操作系统等)和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。主要表现为计算机系统故障、安全事故和计算机犯罪。银行计算机及网络风险具有突发性强、范围广、影响大等特点。结合银行业务的特点,银行计算机及网络风险可粗分为实体风险、硬件风险、软件风险、信息管理风险和计算机犯罪五大类。
(一)实体风险。
实体风险是人为地对计算机中心及其设施、设备进行攻击和破坏。银行计算机系统存储了大量金融和国民经济活动的信息,对银行组织的管理决策和整个国家宏观调控起着重要作用。据媒体报道,在国外,曾发生多起攻击计算机中心、炸毁计算机设备的案件。这就警示我们,对银行信息中心计算机设备实体的安全和风险防范就应当引起足够的重视。尤其是银行基层计算机网点,有相当一部分机房设计简陋,防护装置达不到规定标准,人为助长了计算机实体风险。 解决方案:
在银行业安全经营中,强调最多的是金库的守卫、库款押运安全、营业网点安全防范等方面。而对计算机中心或机房的安全防卫却相对薄弱。各银行机构的安全保卫部门要把本行的计算机及网络的安全纳入自己的视野,要像保卫金库安全一样保卫计算机中心或机房。对机房重地也要严格的进出制度,明确非本中心人员进出应履行批准手续,同时要对中心工作人员加强安全保密觉悟的教育,尤其是同本中心以外的人员接触要严守中心及机房的安全布局及运行情况的秘密。
(二)硬件风险。
硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。
1、由于不可抗力,如火灾、水灾、地震、雷击、电、磁、温度等等难以预料的突发性灾害对银行计算机系统资源带来的损害;供电系统不稳、后备电源不足或电信部门通讯故障造成的业务中断而带来的损害;计算机及网络设计没有可靠接地、缺乏防雷防尘设备而造成的计算机故障。 解决方案:
改善硬件运行环境。机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,并经公安、消防等部门检验验收合格后投入使用。重点防止计算机机房靠近各种无线电发射台或电视转播发射点,避免计算机信息传递出错。一定要测量机房周围的磁场强度,装置必要的电磁屏蔽设施。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,如果有条件可以安装电视监控系统。定期与电力、电信等部门协调,争取技术支持,保证良好的供电环境和畅通的网络环境。
2、硬件内在风险。短路、断线、接触不良、设备老化、电脑超期服役、损坏性的使用计算机去做非法业务性活动,人为减少计算机运行寿命等由计算机本身及相关设备、部件或元件带来的风险。
解决方案:
做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录;对突发性的安全事故处理要有应急计划,对主要服务器和网络设备,要指定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。
3、网络风险。网络作为一种构建在开放性技术协议基础上的信息流通渠道,它的防卫能力和抗攻击性较弱,网络风险就是当电子信息在网络上传输时,由于网络设备的故障或没有将内部网络与国际互联网进行物理隔断导致遭受外界侵袭造成的风险。
解决方案:
加强网络安全防范。增加网络安全的投资,特别是有关网络安全的硬件、软件配备要到位,对连入内部网的计算机要安装并及时更新杀毒软件版本,内部网络与国际互联网络要进行物理隔断,以提高其物理安全性;防止银行的有关信息数据在网上被窃听、篡改。
(三)软件风险。
软件风险是指由于各种程序开发、使用过程中包含的潜在错误导致系统不能正常工作而带来的风险。
1、软件操作风险。软件操作风险指的是在银行电子化业务中,由于某些业务操作人员素质跟不上调整发展的银行电子化建设的步伐,对银行推出的硬件设备以及银行电子化产品和服务功能不熟悉或风险意识不强等原因所造成的操作过程中出现的风险。其主要表现为:(1)业务人员操作权限界定不清,密码使用混乱,基本上处于透明状态。在计算机安全管理中,权限和密码作为两个非常重要的概念,都应该有严格的规定。但在实际业务操作中,系统管理员往往可以操作业务管理系统,而操作员之间代号混用,密码没有进行定期更换,甚至有的操作员以系统管理员的身份登录业务系统,这些现象的存在都导致风险的发生。(2)操作不当或操作失误风险。业务人员操作结束或临时离开柜台没有退出操作画面,给非法操作者提供可乘之机,使其很方便地进入业务系统进行非法操作,在计算机业务处理系统中修改数据或其他破坏性程序致计算机系统瘫痪,造成了不必要的经济损失。(3)自然消失风险。也就是因磁存储介质保管不当,使其存储在其上的信息丢失或者无法读取造成的风险。这种表现得尤其突出。因缺少有效的数据备份或数据备份不及时,而数据备份则是故障恢复和账务安全的重要保证;如果没有有效、完整的备份数据,当数据库一旦发生损坏则无法将所有数据完全恢复。
解决方案:
操作风险应作为防范重点来抓。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会;防止非法使用系统资源,指定专人进行系统操作,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏软件系统或业务数据;应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作。做好数据备份,确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机备份,双机备份要求主机型号必须相同,每套系统控制外设的能力要一致,通信控制设备最好能通过电子开关实现自动切换,以减少系统中断运行时间;数据传输、保存过程中对涉及机密的数据信息首先要加密,然后再传输、存储;对数据库本身的安全脆弱问题,更要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
第四篇:银行支行网络科技风险自查报告
关于我行按照市行相关的文件要求,组织科技人员对我银行中心机房和网点的设备及线路进行了自查,现将自查情况汇报如下:
一、加强领导,明确各自职责
科技部为确实落实此次活动,成立了由陈经理为组长、科技部全员负责全行网络科技风险防范工作,并负责以后网络科技风险防范的统筹布署指导及网点信息科技工作的应急事项;对网点的易出现的故障点进行检查,切实做好风险防范工作,确保我行综合业务网络系统安全、持续、稳定运行。
二、组织开展自查,保障综合业务网络系统安全运行
一是对我行机房的设备、线路、电力保障系统、消防系统、防雷措施进行检查,检查中发现UPS电源逆变时存在故障,经与厂家维修人员联系更换了出现故障的老化蓄电池一块,及时的消除了隐患;并于网通公司联系,取得技术支持,密切关注网点的运行状态,出现问题及时沟通,争取在最短的时间内解决。二是明确“谁主管谁负责”的原则,要求检察员对机房机柜设备、通讯线路、电力系统进行了自查,在检查中存在机柜上方摆放杂物,设备尘土过多等问题,及时进行了整改和清理,以免影响设备的正常运行;并提出保障供电,出现问题及时启动发电机的应急设备,保证网点正常营业。
三、对备品、备件进行了检查,重新核实了备品、备件的数量,并对其进行加电测试,保证设备处于良好运行状态,出现故障时能够应急使用。
四、严格执行值班制度,科技部安排了节日期间值班表,密切关注营业期间设备的运行状况,存在问题第一时间到达现场进行故障排查并及时解决;明确了网点的签到及签退时间,有特殊情况不能及时签退的必须与科技部联系说明情况。
五、对接入综合业务网络系统的PC机进行了检查,对存在的内、外网混用现象及时进行了整改,对杀毒软件未安装升级的及时进行了升级,有效的防范了网络病毒的攻击。
科技部
第五篇:2016年科技信息风险评估报告
XX农商银行关于科技信息
业务风险评估报告
根据《XXX农村信用社联合社关于印发XX农村信用社2015-2017年规划的通知》)及《XX银行2016年内控合规工作实施细则》的要求,风险合规部对我行科技信息部2016的相关业务进行了风险评估,现将评估情况情况报告如下:
一、 总体情况
风险合规部于2016年12月1日至2016年12月5日对我行科技信息业务的风险状况进行了评估,主要从组织领导、制度管理、岗位管理、员工培训、安全设施等业务开展情况进行了检查,结合检查结果进行风险评估。
二、工作开展情况
(一)科技信息组织领导
通过查阅科技信息部考核办法和相关责任状,我行董事会设置了科技信息管理委员会,经营班子设置了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等领导组织,组织机构组建齐全。
(二)信息科技制度建设
通过查阅出台的信息科技制度、流程及办法,信息科技部组织制定了各项规章制度,并结合内部控制评价工作对相
1 关的科技管理制度和操作规程进行梳理和归类,及时修改相关制度办法,使其具有系统性、可操作性和全新性。
(三)信息科技管理部门及岗位
我行现已设立独立的科技管理工作部门并配有符合条件的科技人员,结合自身实际设立科技管理岗、主机系统维护岗、设备维护岗、设备保管岗、档案管理岗、风险控制及安全岗等必要的岗位,每个岗位配备2人以上操作维护人员,重要系统均配备AB角,并定期轮换,制定相应的岗位职责。
(四)员工学习培训
通过查阅培训计划及资料、员工岗位轮换表、强制休假安排及审计报告,科技信息部年内组织开展了计算机知识的普及和应用轮训培训工作,严格落实上岗资格考试、岗位轮换和强制休假制度。
(五)设备管理和维护
通过查阅登记簿和检查记录,科技人员能够按照规定对计算机进行必要的设备日常监测、检查、记录,并及时掌握设备的运行状况。通过查阅运维综合管理平台,部门能够及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单,并对其认真审核后,及时提交相关部门处理;对营业网点上报的网络故障信息及时给予电话或现场指导。
(六)机房网络安全及消防设施
2 通过查看网络机房现场,安置地点无有害气体和有放腐蚀、易燃易爆物体,并且避开强磁场、震动电源、噪音及潮湿的环境。机房内已配备防电磁干扰、电磁泄露、防静电、防水、防盗、防鼠害等设施,配备必要的温、湿度控制设备;机房内的防雷系统、监控系统和消防系统能够正常;机房内无堆放杂物,布局合理、整齐、整洁;定期对机房供电线路及照明器具进行检查,防止因线路老化短路造成火灾。严格控制网络通信连接,内部网与外部网进行物理隔离;对内部网络各节点的通信进行控制,防止各种非法访问;对网络的通信线路备份,对备份线路按月进行检测。
(七)安全检查
通过实地查看,科技信息部门及时做好计算机病毒的防范工作,控制病毒的传染,并经常进行计算机病毒检查,发现病毒及时消除;通过查看2016年10月28日网络系统应急切换演练记录,在保证系统日间正常运行发的前提下,对系统故障和灾难进行了成功的演练。
(八)技术档案
通过查看档案室,检查相关岗位人员对技术档案登记入册,标明内容、日期、密级、保存期限等信息,分类保管,技术档案保管满足了防盗、防潮、防火、防水、防鼠、防虫、防磁、防震等要求。备份介质存放在专用介质库内;
(九)计算机病毒管理
3 科技部门制定了防病毒系统管理策略和操作规程,产对其系统的有效性和完整性时行监督检查,定期组织员工举办病毒防治知识培训,对新病毒的传播和破坏机制进行跟踪;各部门计算机安全员定期对防病毒系统进行维护和更新,对发现病毒时及时上报总行并采取清除措施并进行跟踪、记录。
三、工作中的不足及要求
通过检查评估,我行科技信息业务风险可控,但在个别方面也存在不足和差距。
(一)应设立专门的风险防控岗位,加强科技信息的风险防控;
(二)进一步加强信息安全管理手段,如建立风险管理系统,部分风险控制手段不够先进,缺乏专业的风险技术支持,事前预防有限,事中监控不够;
(三)为防范系统运行故障的发生,提高故障处理速度,有效发挥总行对辖内营业网点的指导、服务职能,科技信息部门要不断加强相关制度的培训。
(四)不断加强计算机机房的安全管理和计算机病毒的预防各治理工作,保证计算机各网络系统的安全,保护信息资源的安全。
(五)不断提高应对突发事件的综合管理水平和应急处置能力,有效防范我行信息系统风险的发生。
4