銀行信息科技風(fēng)險(xiǎn)防控報(bào)告

優(yōu)選文檔優(yōu)選文檔信息科技風(fēng)險(xiǎn)防控匯報(bào)一、風(fēng)險(xiǎn)防控工作的組織開(kāi)展情況我行面臨的主要信息科技風(fēng)險(xiǎn)：1.業(yè)務(wù)中斷風(fēng)險(xiǎn)保證業(yè)務(wù)連續(xù)性是我行信息科技工作中的最重要的局部。我行面臨的首要的問(wèn)題是信息系統(tǒng)建設(shè)的相對(duì)滯后跟不上業(yè)務(wù)高速開(kāi)展的腳步。一旦產(chǎn)生軟硬件故障、系統(tǒng)超負(fù)荷運(yùn)行、主干網(wǎng)絡(luò)中斷、病毒傳播、人為非法操作造成系統(tǒng)不穩(wěn)定等因素，極易造成銀行業(yè)務(wù)的中斷。數(shù)據(jù)是我行的根底，我行要為客戶(hù)提供一個(gè)可靠的環(huán)境確保數(shù)據(jù)資料的X性和平安性。隨著業(yè)務(wù)的開(kāi)展，數(shù)據(jù)量不斷增大，數(shù)據(jù)平安風(fēng)險(xiǎn)凸顯。數(shù)據(jù)平安風(fēng)險(xiǎn)包含兩方面：一是數(shù)據(jù)竊取，主要是數(shù)據(jù)遭到竊取或者惡意篡改，導(dǎo)致客戶(hù)信息資料外泄，引發(fā)客戶(hù)不滿(mǎn)，引發(fā)法律風(fēng)險(xiǎn)問(wèn)題；二是數(shù)據(jù)喪失，主要是受到自然災(zāi)害、房屋倒塌等突發(fā)事件造成的存儲(chǔ)介質(zhì)毀壞，導(dǎo)致存儲(chǔ)介質(zhì)中數(shù)據(jù)喪失。電子銀行與網(wǎng)絡(luò)金融風(fēng)險(xiǎn)電子銀行風(fēng)險(xiǎn)主要是電子支付平安問(wèn)題，包含ATM詐騙以及利用釣魚(yú)網(wǎng)站、木馬程序盜取客戶(hù)的賬號(hào)和密碼等一些行為導(dǎo)致的客戶(hù)資金的損失。網(wǎng)絡(luò)平安是

網(wǎng)絡(luò)金融風(fēng)險(xiǎn)的關(guān)鍵，一旦網(wǎng)絡(luò)平安受到破壞，網(wǎng)絡(luò)金融風(fēng)險(xiǎn)將一發(fā)而不可收。系統(tǒng)漏洞風(fēng)險(xiǎn)系統(tǒng)漏洞風(fēng)險(xiǎn)是銀行信息系統(tǒng)開(kāi)發(fā)缺陷被覺(jué)察和利用的風(fēng)險(xiǎn)。系統(tǒng)漏洞風(fēng)險(xiǎn)在系統(tǒng)設(shè)計(jì)之初難以覺(jué)察，隨著系統(tǒng)的推廣及運(yùn)行，風(fēng)險(xiǎn)將逐漸暴露，一旦被人利用，會(huì)對(duì)我行造成極大影響。其它，系統(tǒng)的密碼泄露和破解，也影響著系統(tǒng)的平安。外包風(fēng)險(xiǎn)外包風(fēng)險(xiǎn)主要是外包效勞商能否長(zhǎng)期穩(wěn)定地為我行提供高質(zhì)量的效勞，能否及時(shí)響應(yīng)并修復(fù)系統(tǒng)故障，確保外包業(yè)務(wù)連續(xù)性。我行如果過(guò)度依賴(lài)外包效勞商，—旦出現(xiàn)突X況，勢(shì)必會(huì)影響我行業(yè)務(wù)連續(xù)開(kāi)展。風(fēng)險(xiǎn)防控工作采取的具體舉措和成效風(fēng)險(xiǎn)防控工作采取的具體舉措和成效針對(duì)我行面臨的主要的信息科技風(fēng)險(xiǎn)，我行在信息科技風(fēng)險(xiǎn)治理方面采取以下策略。1.強(qiáng)化數(shù)據(jù)質(zhì)量及平安治理建立數(shù)據(jù)質(zhì)量常態(tài)化治理機(jī)制，累積真實(shí)、X、連續(xù)、完整的內(nèi)部和外部數(shù)據(jù)，確保外圍治理系統(tǒng)數(shù)據(jù)應(yīng)用質(zhì)量要求，把控?cái)?shù)據(jù)外泄風(fēng)險(xiǎn)。上線(xiàn)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)數(shù)據(jù)進(jìn)行監(jiān)控。能夠?qū)崟r(shí)記錄數(shù)據(jù)庫(kù)活動(dòng)，對(duì)數(shù)據(jù)庫(kù)操作進(jìn)行細(xì)粒度審計(jì)的合規(guī)性治理，對(duì)數(shù)據(jù)庫(kù)受到到的風(fēng)險(xiǎn)行為進(jìn)行告警，通過(guò)對(duì)用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)行為的記錄、分析和匯報(bào)，用來(lái)援助用戶(hù)事后生成合規(guī)匯報(bào)、事故追根溯源，同時(shí)強(qiáng)化內(nèi)外部數(shù)據(jù)庫(kù)網(wǎng)絡(luò)行為記錄，提高數(shù)據(jù)資產(chǎn)平安。上線(xiàn)數(shù)據(jù)脫敏系統(tǒng)：通過(guò)數(shù)據(jù)脫敏工具，完成數(shù)據(jù)的抽取、脫敏、裝載的自動(dòng)運(yùn)行，減少不必要的人機(jī)交互過(guò)程；完成整個(gè)流程的批量化、自動(dòng)化、智能化處理；保證數(shù)據(jù)脫敏效率和質(zhì)量。在以后其他軟件開(kāi)發(fā)、測(cè)試和其他非生產(chǎn)環(huán)境中平安的使用脫敏后的真實(shí)數(shù)據(jù)。組織制定全面的信息科技風(fēng)險(xiǎn)治理制度體系，開(kāi)展信息科技風(fēng)險(xiǎn)識(shí)別評(píng)估、計(jì)量監(jiān)測(cè)、處置匯報(bào)和人員培訓(xùn)等風(fēng)險(xiǎn)治理工作。通過(guò)開(kāi)展信息平安培訓(xùn)，提升全行員工的信息平安意識(shí)；建立信息平安團(tuán)隊(duì)，簽訂平安保密協(xié)議進(jìn)一步標(biāo)準(zhǔn)信息平安工作；強(qiáng)化一般信息平安檢查，落實(shí)好信息平安工作：比方內(nèi)外網(wǎng)物理隔離的檢查，配合風(fēng)險(xiǎn)治理部和審計(jì)稽核部開(kāi)展科技風(fēng)險(xiǎn)識(shí)別和評(píng)估，計(jì)量檢測(cè)和審計(jì)匯報(bào)。牽頭開(kāi)展業(yè)務(wù)連續(xù)性治理工作，組織開(kāi)展業(yè)務(wù)連續(xù)性治理制度和流程制訂、業(yè)務(wù)影響分析和資源建設(shè)。制定并完善業(yè)務(wù)連續(xù)性制度，制定業(yè)務(wù)連續(xù)性流程，制定業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)方案。組建業(yè)務(wù)連續(xù)性組織架構(gòu)，成立信息平安委員會(huì)，負(fù)責(zé)領(lǐng)導(dǎo)業(yè)務(wù)連續(xù)性治理工作，并提供所需要的資源。開(kāi)展業(yè)務(wù)連續(xù)性治理的業(yè)務(wù)影響分析。強(qiáng)化業(yè)務(wù)連續(xù)性治理的資源建設(shè)。完善業(yè)務(wù)連續(xù)性制度，統(tǒng)一業(yè)務(wù)連續(xù)性流程，明確人員職責(zé)。制定系統(tǒng)連續(xù)性治理方案：預(yù)防業(yè)務(wù)中斷，定期備份數(shù)據(jù)，把重要數(shù)據(jù)復(fù)制到本機(jī)以外地方，并加以平安保存。進(jìn)行業(yè)務(wù)影響分析，定義關(guān)鍵業(yè)務(wù)優(yōu)先級(jí)。采取系統(tǒng)恢復(fù)和雙機(jī)熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過(guò)應(yīng)急安排等方法降低影響。標(biāo)準(zhǔn)的業(yè)務(wù)連續(xù)性方案,明確降低短期、中期和長(zhǎng)期中斷所造成影響的措施。4.強(qiáng)化信息平安治理開(kāi)展信息平安治理制度、信息平安風(fēng)險(xiǎn)、資產(chǎn)、人員、物理環(huán)境、操作、訪(fǎng)問(wèn)操作、密碼、外包、系統(tǒng)和平安事件等方面的信息平安治理工作。制定并完善信息平安制度、電子設(shè)備治理制度、訪(fǎng)問(wèn)操作治理制度、外包治理方法、密碼密鑰治理制度、計(jì)算機(jī)網(wǎng)絡(luò)治理方法等。明確人員職責(zé)，制定并完善人員治理制度。我行已建立資產(chǎn)治理系統(tǒng)、ITM主機(jī)監(jiān)控系統(tǒng)、堡壘機(jī)系統(tǒng)、桌面治理系統(tǒng)、日志審計(jì)系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)、機(jī)房監(jiān)控系統(tǒng)、360殺毒系統(tǒng)，并積極參與省聯(lián)社進(jìn)行的ATM防毒測(cè)試，方案近期上線(xiàn)ATM防毒系統(tǒng)。網(wǎng)絡(luò)方面，我行通過(guò)機(jī)房和網(wǎng)絡(luò)監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)控機(jī)房設(shè)備和網(wǎng)點(diǎn)網(wǎng)絡(luò)情況；通過(guò)天玥網(wǎng)絡(luò)平安審計(jì)系統(tǒng)，針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性治理；通過(guò)TDA防毒和亞信平安系統(tǒng)，對(duì)內(nèi)外網(wǎng)的網(wǎng)絡(luò)進(jìn)行病毒檢測(cè)和查殺；通過(guò)360殺毒系統(tǒng)，對(duì)終端電腦進(jìn)行防護(hù)；通過(guò)堡壘機(jī)系統(tǒng)，對(duì)遠(yuǎn)程的系統(tǒng)登陸進(jìn)行記錄和保護(hù)。系統(tǒng)方面，我行通過(guò)ITM主機(jī)監(jiān)控系統(tǒng)對(duì)重要系統(tǒng)的內(nèi)存、CPU、硬盤(pán)空間等情況實(shí)時(shí)監(jiān)控并預(yù)警；通過(guò)設(shè)立復(fù)雜密碼、密碼定期更換和超時(shí)退出等密碼策略保護(hù)系統(tǒng)賬戶(hù)平安；通過(guò)密碼和指紋雙因子驗(yàn)證保證重要系統(tǒng)的登陸平安；通過(guò)桌面治理系統(tǒng)對(duì)終端進(jìn)行重要操作的限制保護(hù)。5.強(qiáng)化信息科技開(kāi)發(fā)治理強(qiáng)化開(kāi)展制度、人員、實(shí)施、時(shí)間、風(fēng)險(xiǎn)、本錢(qián)、質(zhì)量和文檔等方面的工程治理工作，要在立項(xiàng)、需求、設(shè)計(jì)、編碼、環(huán)境配置、測(cè)試、試運(yùn)行、上線(xiàn)和驗(yàn)收等工程周期內(nèi)各個(gè)環(huán)節(jié)做好風(fēng)險(xiǎn)治理工作。制定并完善工程治理制度、軟件開(kāi)發(fā)治理制度、源代碼治理制度、工程質(zhì)量治理制度，統(tǒng)一工程開(kāi)發(fā)流程，明確人員職責(zé)。制定并完善開(kāi)發(fā)人員治理制度、工程本錢(qián)治理制度，做好工程需求、設(shè)計(jì)及編碼的治理工作。制訂外包戰(zhàn)略制度，強(qiáng)化外包效勞供應(yīng)商治理，做好外包工程治理等工作。制定并完善外包治理制度，對(duì)效勞供應(yīng)商的招標(biāo)工作提供具體方案。制定信息科技外包策略，明確信息科技外包范圍、內(nèi)容和方法，處理好外包和自主研發(fā)的關(guān)系。建立和完善外包治理制度，標(biāo)準(zhǔn)外包立項(xiàng)、供應(yīng)商選擇、合同談判與簽署、一般治理和工程驗(yàn)收等外包全過(guò)程治理。強(qiáng)化外包風(fēng)險(xiǎn)防范：建立合同和協(xié)議合規(guī)審查機(jī)制，防范法律風(fēng)險(xiǎn)；建立外包效勞商效勞質(zhì)量評(píng)價(jià)機(jī)制，強(qiáng)化對(duì)外包效勞商和外包人員的資格審查；強(qiáng)化對(duì)外包實(shí)施過(guò)程中的風(fēng)險(xiǎn)防范，嚴(yán)格操作外包實(shí)施過(guò)程中的操作平安、數(shù)據(jù)保密、人員變更等風(fēng)險(xiǎn)，制定外包突發(fā)事件應(yīng)急方案，防范供應(yīng)商效勞中斷或異常退出風(fēng)險(xiǎn)。并且嚴(yán)禁將信息科技治理責(zé)任外包。三、風(fēng)險(xiǎn)防控工作存在的問(wèn)題和改進(jìn)方案機(jī)房治理方面：空調(diào)監(jiān)控的提示存在問(wèn)題，自己定期檢查還不夠到位，關(guān)鍵設(shè)備未進(jìn)行電磁屏蔽防護(hù)，需將關(guān)鍵設(shè)備放置在電磁屏蔽機(jī)柜中。網(wǎng)絡(luò)方面：密碼更新周期執(zhí)行還不夠到位，平安設(shè)備治理員數(shù)量缺少，完成權(quán)限分配還不夠合理。主機(jī)方面：策略治理、配額分配還不夠到位，局部辦公電腦的開(kāi)X碼存在簡(jiǎn)單密碼情況，需符合復(fù)雜性密碼策略，存在效勞器密碼沒(méi)有定期更改的問(wèn)題。數(shù)據(jù)處理和存儲(chǔ)：1某些系統(tǒng)數(shù)據(jù)沒(méi)有定期備份，或