信息科技風險專項檢查自查報告總結

1、*懵業(yè)銀行行股后*銀行信息科技風險專項自查報告* 中央：為認真貫徹?關于開展 2021年度信息科技風險專項檢 查的通知?精神,充分做好做好國慶期間金融網(wǎng)絡和信息系 統(tǒng)平安保證工作,防范我行信息科技風險,保證計算機系統(tǒng) 運行和操作平安,建立和完善信息科技風險治理機制.根據(jù)求. 組, 下:*農(nóng)商銀行系統(tǒng)重點業(yè)務風險點排查指引試行?規(guī) 定及人民銀行、銀保監(jiān)局和公安局關于網(wǎng)絡平安保證工作要 我行由分管信息科技領導、信息技術部組成自查工作小于8月19日-23日開展自查工作. 現(xiàn)將自查情況匯報如一、總體情況隨著當前信息化建設步伐不斷加快,我行各項業(yè)務對于 信息系統(tǒng)的依賴日益加深,隨之而來的系統(tǒng)和網(wǎng)絡平安已

2、成 為平安治理的關鍵環(huán)節(jié),其中薄弱環(huán)節(jié)成為信息科技風險的 重要內容,網(wǎng)絡平安運行工作事關經(jīng)營、治理大局.從防范 科技風險的高度充分熟悉到增強系統(tǒng)和網(wǎng)絡平安運行工作 的必要性和重要意義,正確處理了開展與平安的關系,一手 抓信息化建設,一手抓風險防范.截至報告日,全行上下已 經(jīng)根據(jù)統(tǒng)一標準建立起較完善的網(wǎng)絡和信息平安風險防范 體系.二、組織架構、制度建設及治理情況一信息科技治理組織架構1 .強化“三會一層履職.成立了以高管層和主要業(yè)務部門參加的信息科技治理委員會,定期或不定期履行責任, 審議信息科技相關重大事件,本年度共計召開信息科技治理 會議2次.2 .加大專業(yè)人員配備. 設立首席信息官.參與我

3、行與信 息科技運用有關的業(yè)務開展決策,保證信息科技開展戰(zhàn)略符 合本行的總體業(yè)務戰(zhàn)略和信息科技風險治理策略.3 .明確部門責任分工. 明晰信息科技實施、風險治理及 審計責任.信息技術部負責信息科技實施、治理工作,各支 行設立兼職或專職計算機治理員,配合信息技術部開展應用 推廣、故障處理、設備維護工作；合規(guī)與風險治理部負責協(xié) 調制定有關信息科技風險治理策略,尤其是在涉及信息安 全、業(yè)務連續(xù)性方案和合規(guī)性風險等方面；內部審計部負責信息科技審計制度和流程的實施,制訂和執(zhí)行信息科技審 計方案.二信息科技治理制度建設1 .平安治理方面.對平安治理活動中的各類治理內容建 立平安治理制度,制定了由平安策略、治

4、理制度等構成的全 面的信息平安治理總那么?* 商業(yè)銀行行計算機信息安 全治理方法?,平安治理方法經(jīng)信息科技治理委員會審定, 審定周期為一年一次,并且及時發(fā)現(xiàn)缺漏或缺乏對制度進行 修訂.2 .應急治理方面.建立了較為完善的信息系統(tǒng)應急治理*商業(yè)銀行行計算機信息系統(tǒng)應急治理方法?明確應急治理組織機構和責任,對突發(fā)事件進行分級,確定 風險防范舉措,制定了各信息系統(tǒng)突發(fā)事件應急處置方案. 對突發(fā)事件報告和應急響應也做了規(guī)定.2021年1月開展了全轄范圍內的業(yè)務連續(xù)性應急演練,并對應急演練發(fā)現(xiàn)的問 題進行整改.3 .崗位責任與分工方面. 信息技術部員工9人,人員 配置能夠滿足當前業(yè)務開展的需要.根據(jù)科技

5、治理、運行維 護等條線設立崗位,重要崗位均配備A/B角.?* 商業(yè)銀行行計算機崗位人員治理方法?對相關崗位責任進行了 規(guī)定.4 .平安操作標準及治理流程.具備完整的信息平安治理 流程,包括介質治理、網(wǎng)絡治理、維護及故障處理制度、軟 硬件變更流程、備份治理、ATM平安治理、機房治理、監(jiān)控治理、密鑰治理、巡檢制度等科技治理流程.三、信息技術治理情況一網(wǎng)絡平安治理對自身網(wǎng)絡平安治理情況進行現(xiàn)場檢查,檢查內容主要 包括：內限制度；人員治理與訪問限制；網(wǎng)絡機房平安；網(wǎng) 絡接入平安；網(wǎng)絡變更治理；網(wǎng)絡應急治理；網(wǎng)絡設備治理； 日志與文檔治理；第三方治理等方面.根據(jù)文件要求,我行對重要網(wǎng)絡設施進行了檢查,總

6、體 治理有效,網(wǎng)絡系統(tǒng)的組成結構及其配置合理.內限制度方 面,我行制定?計算機網(wǎng)絡治理方法?和?互聯(lián)網(wǎng)治理及違 規(guī)處分方法?,明確治理機構和人員責任,確認網(wǎng)絡設備安 裝和運維的具體工作舉措,健全互聯(lián)網(wǎng)使用標準.日常治理方面,依托機房人員由入登記、門禁治理以及巡檢值班制度,保證網(wǎng)絡設備物理平安、運行穩(wěn)定,所有網(wǎng) 絡設備均設置密碼,且僅由網(wǎng)絡治理員保管并定期修改登 記.網(wǎng)絡系統(tǒng)拓撲圖、機柜標簽、網(wǎng)絡地址規(guī)劃等網(wǎng)絡運行 資料已形成技術檔案嚴格保密.網(wǎng)絡設備的日志和開機運行 配置由省聯(lián)社建設的IMC治理平臺實現(xiàn)每周離機備份并永久 保存,所有網(wǎng)絡設備均納入 IMC治理,網(wǎng)絡治理員定期查詢 設備運行情況并

7、處理系統(tǒng)告警信息.網(wǎng)絡設備的接入和外聯(lián) 配置的變更,我行實行需求申請、有權人審批、網(wǎng)絡治理員 實施的流程治理.實現(xiàn)內網(wǎng)平安方面,每臺內網(wǎng)終端均安裝 殺毒軟件,另切實抓好生產(chǎn)網(wǎng)絡與其他網(wǎng)絡的物理隔離,對 生產(chǎn)網(wǎng)絡實行嚴格保護.自查發(fā)現(xiàn)：所有機柜均安裝標簽,局部網(wǎng)絡機柜內線纜 標簽不夠完善,目前已完成整改.另外我行內網(wǎng)接入核心路 由器的主備無法自行切換,因涉及轄內所有網(wǎng)點網(wǎng)絡運行, 平安隱患凸顯.該隱患已在省信息技術中央組織的2021年上半年H3c網(wǎng)絡巡檢中反應.二機房平安治理對我行機房運行治理情況進行細致自查,自查內容主要 包括：機房治理制度；機房根底設施治理；機房設備治理； 機房人員由入治理；

8、機房消防治理；機房巡檢和故障處理等 方面.我行機房根據(jù)?關于印發(fā) 安徽商業(yè)銀行行系統(tǒng)計算機 機房建設標準 的通知?、?安徽商業(yè)銀行行系統(tǒng)計算機機 房治理方法?的相關規(guī)定,整改建設完成,日常運維治理工 作根據(jù)?* 商業(yè)銀行行機房治理方法?嚴格執(zhí)行.根底設施治理,機房通過門禁限制實現(xiàn)物理訪問限制,嚴防外部人員未經(jīng)允許進入機房.供電系統(tǒng)均采用雙路UPS供電,線路冗余性好,負載水平強,能夠滿足機房電力需求.空調系統(tǒng)的有效性.機房均配套防盜竊、防雷、防火、 防水、防靜電、溫濕度限制、電磁保護等舉措,以保證機房 正常運轉.機房消防治理嚴格貫徹“嚴防為主,防治結合 的方針,消防治理由信息技術領導具體負責,建

9、立防火平安 責任制做到值班人員“三懂即懂火災危害性,懂火災的預 防舉措,懂滅火方法、“三會,即會報警、會用消防器材、 會補救明火.機房消防器材定期維護配備足量,定期開展消 防演練.機房巡檢工作由信息技術部當日值班人員每天進行 4次,登記網(wǎng)絡、電力、空調、設備等運轉情況.機房同時 采用集中監(jiān)控,參數(shù)實行 24小時不間斷監(jiān)控,保證第一時 間發(fā)現(xiàn)問題,處理問題.自查發(fā)現(xiàn)：機房治理制度健全,根底設備配置齊全,設 備治理、由入人員和巡檢記錄完整,機房治理有一定的應對 消防災情和故障處理的水平.目前我行機房受制與空間狹 小,根底配置過于擁擠,沒有通風系統(tǒng).三數(shù)據(jù)平安治理制度方面,我行制定了?* 商業(yè)銀行行

10、計算機信 息系統(tǒng)數(shù)據(jù)治理方法?,對數(shù)據(jù)的使用和治理等做了比擬細 致的規(guī)定.我行數(shù)據(jù)下發(fā)平臺在省聯(lián)社云效勞器,主要用于存放省 聯(lián)社下發(fā)的數(shù)據(jù).平臺的用戶治理方面,root用戶由專人負 責,密碼定期修改并用保密信封封存；普通用戶由數(shù)據(jù)治理 員負責.自助取數(shù)平臺的用戶由數(shù)據(jù)治理員負責,目前主要 用于省聯(lián)社的一些業(yè)務數(shù)據(jù)分析和查詢參考,不對外提供數(shù)系統(tǒng)運行治理方面我行自建報表平臺對數(shù)據(jù)下發(fā)情況 進行監(jiān)控和對數(shù)據(jù)進行校驗.并自建定時任務對下發(fā)數(shù)據(jù)每 天傳輸?shù)疆惖剡M行備份,保證了數(shù)據(jù)的容災備份.數(shù)據(jù)的使用治理目前主要依托我行自建的報表查詢系 統(tǒng)供業(yè)務條線人員使用.數(shù)據(jù)的存儲保管、備份策略和有效性驗證、清理

11、等方面 也都根據(jù)制度制定了詳細的策略臺帳.四終端平安治理1 .終端采購選型情況我行使用終端根據(jù)省聯(lián)社選型范圍采購,使用終端為升騰 N61R 升騰 945WO 國光 UT3019F-b2 .防病毒軟件安裝我行制定了?* 商業(yè)銀行行計算機病毒防治治理 規(guī)定?,對所有內網(wǎng)終端均安裝病毒查殺軟件,保證殺毒軟 件全覆蓋,及時更新病毒庫,對病毒、惡意代碼進行平安防 護,對系統(tǒng)的有效性和完整性時行監(jiān)督檢查,定期組織員工 舉辦病毒防治知識培訓,對新病毒的傳播和破壞機制進行跟 蹤,發(fā)現(xiàn)病毒及時采取去除舉措.3 .重要補丁更新及時關注系統(tǒng)平安漏洞最新情況,及時對新發(fā)現(xiàn)的平安 漏洞打上相關的平安補丁,經(jīng)檢查當前系統(tǒng)

12、已是最新版本, 已安裝了最新補丁.4 .網(wǎng)信平安主題教育或培訓方面我行積極開展網(wǎng)絡平安、信息平安方面的宣傳和培訓, *4日開展信息科技培訓,培訓內容包括網(wǎng)絡平安、病毒防治、信息平安等培訓；*至26日我行開展科技活動周 宣傳活動,積極宣傳網(wǎng)絡、信息科技平安；*19日開展信息平安意識培訓及測試,全面提升員工平安意識.自查發(fā)現(xiàn)：內網(wǎng)殺毒軟件病毒庫更新只能離線更新,要 做到及時更新,存在一定困難,建議省科技中央在殺毒軟件 總結點做聯(lián)網(wǎng)更新,農(nóng)商行聯(lián)機更新病毒庫.五外包治理對我行信息科技外包治理開展情況進行自查,內容主 要包括：外包治理責任；外包制度執(zhí)行；外包策略執(zhí)行；外 包工程立項治理；外包工程過程治

13、理；外包工程風險治理； 開發(fā)類外包治理；運維類外包治理；外包供給商入場治理； 供給商日常治理；供給商評價治理；外包供給商平安治理； 外包供給商應急治理；外包人員入場治理；外包人員日常管 理；外包人員平安治理.我行已下發(fā)?* 商業(yè)銀行行科技外包治理方法? 、 «* 商業(yè)銀行行外包治理實施細那么?、?* 商業(yè)銀行行外包商異常退由應急預案?其中明確了外包治理的 組織架構與部門責任、外包工程治理、供給商治理與評價、 人員治理、合同、實施、應急治理等內容,并認真落實日常 治理工作.我行外包業(yè)務類型結構簡單,大局部為采購產(chǎn)品 的售后效勞類和設備維護類外包.我行通過建立健全外包管 理系統(tǒng)實現(xiàn)外包工

14、程、供給商檔案以及外包人員登記、治理 工作,有效的解決了外包工程跟進難、供給商檔案亂、人員 治理無序等問題.自查發(fā)現(xiàn)：外包治理系統(tǒng)的功能還不健全.外包工程更 新還不及時,供給商的檔案信息登記不完整的問題,人員管理中的平安培訓的頻次缺乏、培訓內容單一等問題.六應急治理1 .制定預案,成立組織為保證本行信息科技系統(tǒng)能夠平安、可靠、穩(wěn)定運行, 提升應對各類信息系統(tǒng)突發(fā)事件的水平,有效防范信息科技 系統(tǒng)風險,妥善處置和應對信息科技突發(fā)事件,制定 «* 商業(yè)銀行商業(yè)銀行計算機信息系統(tǒng)應急治理方法?、?* 商業(yè)銀行行業(yè)務連續(xù)性治理方法?等制 度.根據(jù)?* 商業(yè)銀行行計算機信息系統(tǒng)應急治理辦 法?

15、成立信息系統(tǒng)應急治理領導小組,負責轄內信息系統(tǒng)應 急治理工作,組建應急團隊,在發(fā)生信息系統(tǒng)突發(fā)事件時, 能夠做到及時實施應急處置工作,應急團隊包括應急領導小 組、應急執(zhí)行小組、支持保證小組.由行長擔任應急領導小 組組長,副行長為副組長,各相關職能部門為應急領導小組 成員,應急執(zhí)行小組由信息技術部和相關業(yè)務部門主要負責 人及涉及支行負責人組成,對應急領導小組負責,支持保證 小組由辦公室、人力資源、財務會計、合規(guī)與風險、監(jiān)察保 衛(wèi)、電子銀行等部門負責人組成.艱據(jù)?* 商業(yè)銀行行業(yè)務連續(xù)性治理方法?,成 立以董事長為組長,行長為副組長,副行長為成員的業(yè)務連 續(xù)性工作領導小組成,成立以董事長為組長,行

16、長、副行長 為副組長,其他職能部門負責人為成員的業(yè)務連續(xù)性工作協(xié) 調保證小組,成立以分管信息科技的副行長為組長,其他職 能部門負責人為成員的業(yè)務連續(xù)性工作執(zhí)行小組.2 .開展培訓,組織演練為保證應急預案妥善實施,我行在1月份組織開展信息系統(tǒng)應急演練培訓和演練,培訓內容包括解讀和說明應急演 練的背景、意義,讓全體員工意識后備電力和網(wǎng)絡的支持是 業(yè)務持續(xù)高速開展的核心根底和重要保證,熟知電力和網(wǎng)絡的結構；能熟悉其相關部件并能正確說由其連接路徑；能夠將演習培訓經(jīng)驗應用到實際應急處置中,堅持把演習工作常 態(tài)化.演練內容包括：網(wǎng)點UPS系統(tǒng)應急演練；網(wǎng)點發(fā)電機 應急迫換演練；網(wǎng)點主/備網(wǎng)絡線路應急迫換演練；總行主 / 備網(wǎng)絡線路應急迫換演練；總行主/備電力切換演練.通過信息科技培訓和演練梳理網(wǎng)點應急處置流程,提升網(wǎng)點應急 處置水平,妥善保證信息系統(tǒng)未定運行.3 .健全機制,預防為主根據(jù)“預防為主、積極處置的原那么對轄內網(wǎng)點終端安 裝防病毒軟件,并定期檢查處理終端平安健康情況,對中毒 設備及時進行網(wǎng)絡隔離并進行病毒查殺.對離行式自助網(wǎng)點 布設電力監(jiān)控系統(tǒng),監(jiān)控市電及UPS運行情況,由現(xiàn)故障及時通知網(wǎng)點人員、科技及監(jiān)保部門,及時防范各類系統(tǒng)風險.六其他根據(jù)?* 商業(yè)銀行行信