關(guān)于對XX銀行科技信息風險管理進行專項審計的報告

1、關(guān)于對 XX 銀行科技信息風險管理進行專項審計的報告（模板）為有效防范、控制、化解利用信息系統(tǒng)進行業(yè)務(wù)處理、 經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風險， 促進 XXX 農(nóng)村信用 社安全、持續(xù)、穩(wěn)健發(fā)展，根據(jù)商業(yè)銀行內(nèi)部控制指引、 商業(yè)銀行信息科技風險管理指引和有關(guān)信息系統(tǒng)管理的 法規(guī)、 XXX 聯(lián)社審計部根據(jù)市審計中心審計工作的安排，對 本聯(lián)社的科技信息風險管理進行了專項審計，現(xiàn)將審計情況 報告如下：一、基本情況略。二、審計依據(jù)銀監(jiān)會商業(yè)銀行信息科技風險管理指引 、銀監(jiān)會商 業(yè)銀行數(shù)據(jù)中心監(jiān)管指引及省聯(lián)社信息科技相關(guān)制度和本 聯(lián)社信息科技相關(guān)管理文件。三、組織架構(gòu)、制度建設(shè)及管理情況1、信息科技治理

2、組織架構(gòu)（1）縣聯(lián)社董事會下設(shè)科技信息安全管理委員會，信 息安全管理委員會下設(shè)應急處理領(lǐng)導小組?？萍脊芾砦瘑T會負責統(tǒng)一規(guī)劃全社的信息化建設(shè)， 指導 和監(jiān)督科技部門的各項工作，審議全社計算機網(wǎng)絡(luò)的設(shè)計方 案、軟件項目招標、設(shè)備招標和統(tǒng)一采購及日常管理中重大 問題的研究和建議。信息系統(tǒng)應急處理領(lǐng)導小組負責組織制定全轄應急處置 的實施細則，統(tǒng)一組織、協(xié)調(diào)、指導、檢查全轄應急處置的 管理；負責全轄信息系統(tǒng)突發(fā)事件的應急指揮、組織協(xié)調(diào)和 過程控制（2）成立了科技部，加強了科技運維信息治理。 （3 ）科技風險審計工作由聯(lián)社稽核審計部完成。2、信息科技管理制度（1）安全管理對安全管理活動中的各類管理內(nèi)容，依

3、據(jù)省聯(lián)社相關(guān)制 度建立安全管理制度，制定了由安全策略、管理制度、操作 規(guī)程等構(gòu)成的全面的信息安全管理。安全管理制度審定周期 為一年一次，并且及時發(fā)現(xiàn)缺漏或不足對制度進行修訂，并 有修訂記錄（2）事件管理制訂了安全事件報告和處置管理制度信息安全事件 管理制度明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、 事件報告和后期恢復的管理職責，并根據(jù)國家相關(guān)管理部門 對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生 的影響，對安全事件進行等級劃分，制定安全事件報告和響 應處理程序，確定事件的報告流程，響應和處置方法等，并 對發(fā)現(xiàn)的安全弱點和可疑事件有異常情況上報規(guī)定（3 ）應急處理建立較為完善的信息系統(tǒng)應急

4、恢復策略河北省農(nóng)村信 用社聯(lián)合社計算機信息系統(tǒng)應急處理方案，對各業(yè)務(wù)信息 系統(tǒng)進行分類，按照重要程度，確定保障級別，制定了各信 息系統(tǒng)突發(fā)事件專項應急預案。（4）安全操作規(guī)范及管理流程 聯(lián)社有完整的信息安全管理流程，控制信息安全管理。 包括介質(zhì)管理、網(wǎng)絡(luò)管理、維護及故障處理制度、軟硬件變 更流程、備份管理、機房管理、監(jiān)控管理、密鑰管理、巡檢 制度等等科技管理各項流程。四、信息科技風險管理情況（一）物理環(huán)境管理1、機房的物理訪問控制：機房實現(xiàn)門禁控制，嚴防外 部人員進入機房擅自操作。2、系統(tǒng)密碼均由專門人員掌管，計算機終端無人看管 時鎖定；3、機房采用集中監(jiān)控，監(jiān)控清晰全面，機房環(huán)境設(shè)施 均有專

5、人崗位值班管理，參數(shù)實行 24 小時不間斷監(jiān)控，崗 位人員具備管理監(jiān)控專業(yè)素質(zhì)。4 、機房供電系統(tǒng)均采用雙 UPS 供電，線路冗余性好， 負載能力強，完全能夠滿足機房電力需求。5 、機房空調(diào)系統(tǒng)的有效性和冗余性，給排風系統(tǒng)的有 效性：機房空調(diào)系統(tǒng)安全有效，給排風系統(tǒng)工作正常。6、中心機房配套防盜竊、防雷、防火、防水、防靜電、 溫濕度控制等措施，確保機房正常運轉(zhuǎn)。（二）網(wǎng)絡(luò)管理綜合業(yè)務(wù)系統(tǒng)與外圍辦公系統(tǒng)嚴格隔離， 不存在混接現(xiàn) 象。中心機房配備路由器、交換機各兩套，承載業(yè)務(wù)轉(zhuǎn)接， 數(shù)據(jù)傳輸， 互為備份。 縣到市主干線路為電信和聯(lián)通， 縣到 網(wǎng)點線路為移動和聯(lián)通線路，保障生產(chǎn)通訊線路通暢運行。 網(wǎng)

6、絡(luò)設(shè)備管理配置均由專人分管負責， 確保合理操作， 保障 網(wǎng)絡(luò)通暢、安全；（三）應用安全 1、業(yè)務(wù)應用系統(tǒng)的用戶授權(quán)及鑒別認證措施。業(yè)務(wù)應 用系統(tǒng)用戶密碼相關(guān)業(yè)務(wù)人員各自保管，通過操作號和密碼 進行身份鑒別認證。人員離開時應設(shè)置屏幕密碼保護或退出 到登陸狀態(tài)。2、業(yè)務(wù)應用系統(tǒng)的用戶訪問控制。系統(tǒng)軟件用戶訪問 實現(xiàn)權(quán)限控制，各級人員只能進行權(quán)限內(nèi)操作（四）數(shù)據(jù)管理 本聯(lián)社信息系統(tǒng)的數(shù)據(jù)是實時存放于省中心，數(shù)據(jù)備份 工作也由省中心統(tǒng)一完成。（五）設(shè)備管理 本聯(lián)社按要求實行嚴格的內(nèi)、外網(wǎng)隔離，對不同的設(shè)備 實行不同的安全防護措施。對接入內(nèi)網(wǎng)的 PC 機已在省聯(lián)社 的統(tǒng)一部署下安裝卡巴斯基防病毒客戶端，

7、由后臺服務(wù)器定 期升級，實時有效防止計算機病毒入侵；對于柜面用終端安 裝卡巴斯基防病毒軟件， 有效控制病毒通過 U 盤等移動存儲 設(shè)備進行傳播和有效識別所有接入設(shè)備；對于工作需要配備 的外網(wǎng)辦公用機，安裝殺毒軟件，實時在線升級防護。五、檢查發(fā)現(xiàn)存在的不足檢查發(fā)現(xiàn)工作日志對停電沒有記錄；存在外包機構(gòu)開發(fā) 人員用自帶電腦同時接入本社內(nèi)外網(wǎng)情況；各網(wǎng)點均存在 wifi無線密碼控制能力弱問題。通過檢查聯(lián)社管理層級和信息科技風險管理部門，以工 作制度和崗位責任制的形式規(guī)定了其管理職責的工作內(nèi)容 與操作要求，為各部門實施相應的信息科技風險管理活動提 供了依據(jù)和指導。XXX銀行審計部2017年10月30日其

8、中專業(yè)理論知識內(nèi)容包括：保安理論知識、消防業(yè)務(wù)知識也、職業(yè)道德、法律常識、保安禮儀、救護知識。作技能訓練內(nèi)容包括：崗位操作指引、勤務(wù)技能、消防技能、軍事技能。二培訓的及要求培訓目的安全生產(chǎn)目標責任書為了進一步落實安全生產(chǎn)責任制，做到“責、權(quán)、利”相結(jié)合，根據(jù)我公司2015年度安全生產(chǎn)目標的內(nèi)容，現(xiàn)與 財務(wù)部簽訂如下安全生產(chǎn)目標：一、目標值：1、全年人身死亡事故為零，重傷事故為零，輕傷人數(shù)為零。2、現(xiàn)金安全保管，不發(fā)生盜竊事故。3、每月足額提取安全生產(chǎn)費用，保障安全生產(chǎn)投入資金的到位。4、安全培訓合格率為 100%。二、本單位安全工作上必須做到以下內(nèi)容：1、對本單位的安全生產(chǎn)負直接領(lǐng)導責任，必須

9、模范遵守公司的各項安全管理制度，不發(fā)布與公司安全管理制度相抵觸的指令，嚴格履行本人的安全職責，確保安全責任制在本單位全面落實，并全力支持安全工作。2、保證公司各項安全管理制度和管理辦法在本單位內(nèi)全面實施，并自覺接受公司安全部門的監(jiān)督和管理。3、在確保安全的前提下組織生產(chǎn)，始終把安全工作放在首位，當“安全與交貨期、質(zhì)量”發(fā)生矛盾時，堅持安全第一的原則。4、參加生產(chǎn)碰頭會時，首先匯報本單位的安全生產(chǎn)情況和安全問題落實情況；在安排本單位生產(chǎn)任務(wù)時，必須安排安全工作內(nèi)容，并寫入記錄。5、在公司及政府的安全檢查中杜絕各類違章現(xiàn)象。6、組織本部門積極參加安全檢查，做到有檢查、有整改，記錄全。7、以身作則，不違章指揮、不違章操作。對發(fā)現(xiàn)的各類違章現(xiàn)象負有查禁的責任，同時要予以查處。8、虛心接受員工提出的問題，杜絕不接受或盲目指揮；9 、發(fā)生事故，應立即報告主管領(lǐng)導，按照“四不放過”的原則召開事故分析會，提出整改措施和對責任者的處理意見，并填寫事故登記表，嚴禁隱瞞不報或降低對責任者的處罰標準。10