2019年信息科技風險專項檢查自查報告總結

1、* 銀行信息科技風險專項自查報告* 中心：為認真貫徹關于開展2019 年度信息科技風險專項檢查的通知精神，充分做好做好國慶期間金融網(wǎng)絡和信息系統(tǒng)安全保障工作，防范我行信息科技風險，保障計算機系統(tǒng)運行和操作安全，建立和完善信息科技風險管理機制。根據(jù) * 農(nóng)商銀行系統(tǒng)重點業(yè)務風險點排查指引（試行）規(guī)定及人民銀行、銀保監(jiān)局和公安局關于網(wǎng)絡安全保障工作要求。我行由分管信息科技領導、信息技術部組成自查工作小組， 于 8 月 19 日 -23 日開展自查工作?，F(xiàn)將自查情況匯報如下：一、總體情況隨著當前信息化建設步伐不斷加快，我行各項業(yè)務對于信息系統(tǒng)的依賴日益加深，隨之而來的系統(tǒng)和網(wǎng)絡安全已成為安全管理的關

2、鍵環(huán)節(jié)，其中薄弱環(huán)節(jié)成為信息科技風險的重要內(nèi)容，網(wǎng)絡安全運行工作事關經(jīng)營、管理大局。從防范科技風險的高度充分認識到加強系統(tǒng)和網(wǎng)絡安全運行工作的必要性和重要意義，正確處理了發(fā)展與安全的關系，一手抓信息化建設，一手抓風險防范。截至報告日，全行上下已經(jīng)按照統(tǒng)一標準建立起較完善的網(wǎng)絡和信息安全風險防范體系。二、組織架構、制度建設及管理情況（一）信息科技治理組織架構1. 強化“三會一層”履職。 成立了以高管層和主要業(yè)務部門參加的信息科技管理委員會，定期或不定期履行職責，審議信息科技相關重大事件，本年度共計召開信息科技管理會議 2 次。2. 加大專業(yè)人員配備。設立首席信息官。參與我行與信息科技運用有關的業(yè)

3、務發(fā)展決策，確保信息科技發(fā)展戰(zhàn)略符合本行的總體業(yè)務戰(zhàn)略和信息科技風險管理策略。3. 明確部門職責分工。明晰信息科技實施、風險管理及審計職責。信息技術部負責信息科技實施、管理工作，各支行設立兼職或?qū)Ｂ氂嬎銠C管理員，配合信息技術部開展應用推廣、故障處理、設備維護工作；合規(guī)與風險管理部負責協(xié)調(diào)制定有關信息科技風險管理策略，尤其是在涉及信息安全、業(yè)務連續(xù)性計劃和合規(guī)性風險等方面；內(nèi)部審計部負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃。（二）信息科技管理制度建設1. 安全管理方面。對安全管理活動中的各類管理內(nèi)容建立安全管理制度，制定了由安全策略、管理制度等構成的全面的信息安全管理總則 *

4、 商業(yè)銀行行計算機信息安全管理辦法，安全管理辦法經(jīng)信息科技管理委員會審定，審定周期為一年一次，并且及時發(fā)現(xiàn)缺漏或不足對制度進行修訂。2. 應急管理方面。建立了較為完善的信息系統(tǒng)應急管理辦法 * 商業(yè)銀行行計算機信息系統(tǒng)應急管理辦法，明確應急管理組織機構和職責，對突發(fā)事件進行分級，確定風險防范措施，制定了各信息系統(tǒng)突發(fā)事件應急處置方案。對突發(fā)事件報告和應急響應也做了規(guī)定。2019 年 1 月開展了全轄范圍內(nèi)的業(yè)務連續(xù)性應急演練，并對應急演練發(fā)現(xiàn)的問題進行整改。3. 崗位職責與分工方面。信息技術部員工9 人，人員配置能夠滿足當前業(yè)務發(fā)展的需要。按照科技管理、運行維護等條線設立崗位，重要崗位均配備A

5、/B 角。 * 商業(yè)銀行行計算機崗位人員管理辦法對相關崗位職責進行了規(guī)定。4. 安全操作規(guī)范及管理流程。具備完整的信息安全管理流程，包括介質(zhì)管理、網(wǎng)絡管理、維護及故障處理制度、軟硬件變更流程、備份管理、ATM 安全管理、機房管理、監(jiān)控管理、密鑰管理、巡檢制度等科技管理流程。三、信息技術管理情況（一）網(wǎng)絡安全管理對自身網(wǎng)絡安全管理情況進行現(xiàn)場檢查，檢查內(nèi)容主要包括：內(nèi)控制度；人員管理與訪問控制；網(wǎng)絡機房安全；網(wǎng)絡接入安全；網(wǎng)絡變更管理；網(wǎng)絡應急管理；網(wǎng)絡設備管理；日志與文檔管理；第三方管理等方面。根據(jù)文件要求，我行對重要網(wǎng)絡設施進行了檢查，總體管理有效，網(wǎng)絡系統(tǒng)的組成結構及其配置合理。內(nèi)控制度方

6、面，我行制定計算機網(wǎng)絡管理辦法和互聯(lián)網(wǎng)管理及違規(guī)處罰辦法，明確管理機構和人員職責，確認網(wǎng)絡設備安裝和運維的具體工作措施，健全互聯(lián)網(wǎng)使用規(guī)范。日常管理方面，依托機房人員出入登記、門禁管理以及巡檢值班制度，確保網(wǎng)絡設備物理安全、運行穩(wěn)定，所有網(wǎng)絡設備均設置密碼，且僅由網(wǎng)絡管理員保管并定期修改登記。網(wǎng)絡系統(tǒng)拓撲圖、機柜標簽、網(wǎng)絡地址規(guī)劃等網(wǎng)絡運行資料已形成技術檔案嚴格保密。網(wǎng)絡設備的日志和開機運行配置由省聯(lián)社建設的IMC 管理平臺實現(xiàn)每周離機備份并永久保存， 所有網(wǎng)絡設備均納入IMC 管理， 網(wǎng)絡管理員定期查詢設備運行情況并處理系統(tǒng)告警信息。網(wǎng)絡設備的接入和外聯(lián)配置的變更，我行實行需求申請、有權人審

7、批、網(wǎng)絡管理員實施的流程管理。實現(xiàn)內(nèi)網(wǎng)安全方面，每臺內(nèi)網(wǎng)終端均安裝殺毒軟件，另切實抓好生產(chǎn)網(wǎng)絡與其他網(wǎng)絡的物理隔離，對生產(chǎn)網(wǎng)絡實行嚴格保護。自查發(fā)現(xiàn)：所有機柜均安裝標簽，部分網(wǎng)絡機柜內(nèi)線纜標簽不夠完善，目前已完成整改。另外我行內(nèi)網(wǎng)接入核心路由器的主備無法自行切換，因涉及轄內(nèi)所有網(wǎng)點網(wǎng)絡運行，安全隱患凸顯。該隱患已在省信息技術中心組織的2019 年上半年 H3C 網(wǎng)絡巡檢中反饋。（二）機房安全管理對我行機房運行管理情況進行細致自查，自查內(nèi)容主要包括：機房管理制度；機房基礎設施管理；機房設備管理；機房人員出入管理；機房消防管理；機房巡檢和故障處理等方面。我行機房根據(jù)關于印發(fā)安徽商業(yè)銀行行系統(tǒng)計算機

8、機房建設規(guī)范的通知、安徽商業(yè)銀行行系統(tǒng)計算機機房管理辦法的相關規(guī)定，整改建設完成，日常運維管理工作按照* 商業(yè)銀行行機房管理辦法嚴格執(zhí)行?；A設施管理，機房通過門禁控制實現(xiàn)物理訪問控制，嚴防外部人員未經(jīng)允許進入機房。供電系統(tǒng)均采用雙路UPS供電， 線路冗余性好，負載能力強，能夠滿足機房電力需求?？照{(diào)系統(tǒng)的有效性。機房均配套防盜竊、防雷、防火、防水、防靜電、溫濕度控制、電磁保護等措施，以確保機房正常運轉(zhuǎn)。機房消防管理嚴格貫徹“嚴防為主，防治結合”的方針，消防管理由信息技術領導具體負責，建立防火安全責任制做到值班人員“三懂”即懂火災危害性，懂火災的預防措施，懂滅火方法、“三會”，即會報警、會用消防

9、器材、會補救明火。機房消防器材定期維護配備足量，定期開展消防演練。 機房巡檢工作由信息技術部當日值班人員每天進行4 次，登記網(wǎng)絡、電力、空調(diào)、設備等運轉(zhuǎn)情況。機房同時采用集中監(jiān)控，參數(shù)實行24 小時不間斷監(jiān)控，確保第一時間發(fā)現(xiàn)問題，處理問題。自查發(fā)現(xiàn)：機房管理制度健全，基礎設備配置齊全，設備管理、出入人員和巡檢記錄完整，機房管理有一定的應對消防災情和故障處理的能力。目前我行機房受制與空間狹小，基礎配置過于擁擠，沒有通風系統(tǒng)。（三）數(shù)據(jù)安全管理制度方面，我行制定了* 商業(yè)銀行行計算機信息系統(tǒng)數(shù)據(jù)管理辦法，對數(shù)據(jù)的使用和管理等做了比較細致的規(guī)定。我行數(shù)據(jù)下發(fā)平臺在省聯(lián)社云服務器，主要用于存放省聯(lián)社

10、下發(fā)的數(shù)據(jù)。平臺的用戶管理方面，root 用戶由專人負責，密碼定期修改并用保密信封封存；普通用戶由數(shù)據(jù)管理員負責。自助取數(shù)平臺的用戶由數(shù)據(jù)管理員負責，目前主要用于省聯(lián)社的一些業(yè)務數(shù)據(jù)分析和查詢參考，不對外提供數(shù)據(jù)。系統(tǒng)運行管理方面我行自建報表平臺對數(shù)據(jù)下發(fā)情況進行監(jiān)控和對數(shù)據(jù)進行校驗。并自建定時任務對下發(fā)數(shù)據(jù)每天傳輸?shù)疆惖剡M行備份，保證了數(shù)據(jù)的容災備份。數(shù)據(jù)的使用管理目前主要依托我行自建的報表查詢系統(tǒng)供業(yè)務條線人員使用。數(shù)據(jù)的存儲保管、備份策略和有效性驗證、清理等方面也都按照制度制定了詳細的策略臺帳。（四）終端安全管理1. 終端采購選型情況我行使用終端按照省聯(lián)社選型范圍采購，使用終端為升騰 N

11、610 、升騰 945W 和國光 UT3019F+ 。2. 防病毒軟件安裝我行制定了 * 商業(yè)銀行行計算機病毒防治管理規(guī)定，對所有內(nèi)網(wǎng)終端均安裝病毒查殺軟件，保證殺毒軟件全覆蓋， 及時更新病毒庫，對病毒、 惡意代碼進行安全防護，對系統(tǒng)的有效性和完整性時行監(jiān)督檢查，定期組織員工舉辦病毒防治知識培訓，對新病毒的傳播和破壞機制進行跟蹤，發(fā)現(xiàn)病毒及時采取清除措施。3. 重要補丁更新及時關注系統(tǒng)安全漏洞最新情況，及時對新發(fā)現(xiàn)的安全漏洞打上相關的安全補丁，經(jīng)檢查當前系統(tǒng)已是最新版本，已安裝了最新補丁。4. 網(wǎng)信安全主題教育或培訓方面我行積極開展網(wǎng)絡安全、信息安全方面的宣傳和培訓，*4 日開展信息科技培訓，

12、培訓內(nèi)容包括網(wǎng)絡安全、病毒防治、信息安全等培訓；* 至 26 日我行開展科技活動周宣傳活動，積極宣傳網(wǎng)絡、信息科技安全；*19 日開展信息安全意識培訓及考試，全面提升員工安全意識。自查發(fā)現(xiàn)：內(nèi)網(wǎng)殺毒軟件病毒庫更新只能離線更新，要做到及時更新，存在一定困難，建議省科技中心在殺毒軟件總結點做聯(lián)網(wǎng)更新，農(nóng)商行聯(lián)機更新病毒庫。（五）外包管理對我行信息科技外包管理開展情況進行自查，內(nèi)容主要包括：外包管理職責；外包制度執(zhí)行；外包策略執(zhí)行；外包項目立項管理；外包項目過程管理；外包項目風險管理；開發(fā)類外包管理；運維類外包管理；外包供應商入場管理；供應商日常管理；供應商評價管理；外包供應商安全管理；外包供應商應

13、急管理；外包人員入場管理；外包人員日常管理；外包人員安全管理。我行已下發(fā)* 商業(yè)銀行行科技外包管理辦法、 * 商業(yè)銀行行外包管理實施細則、 * 商業(yè)銀行行外包商異常退出應急預案其中明確了外包管理的組織架構與部門職責、外包項目管理、供應商管理與評價、人員管理、合同、實施、應急管理等內(nèi)容，并認真落實日常管理工作。我行外包業(yè)務類型結構簡單，大部分為采購產(chǎn)品的售后服務類和設備維護類外包。我行通過建立健全外包管理系統(tǒng)實現(xiàn)外包項目、供應商檔案以及外包人員登記、管理工作，有效的解決了外包項目跟進難、供應商檔案亂、人員管理無序等問題。自查發(fā)現(xiàn)：外包管理系統(tǒng)的功能還不健全。外包項目更新還不及時，供應商的檔案信息

14、登記不完整的問題，人員管理中的安全培訓的頻次不足、培訓內(nèi)容單一等問題。（六）應急管理1. 制定預案，成立組織為保障本行信息科技系統(tǒng)能夠安全、可靠、穩(wěn)定運行，提高應對各類信息系統(tǒng)突發(fā)事件的能力，有效防范信息科技系統(tǒng)風險，妥善處置和應對信息科技突發(fā)事件，制定 * 商業(yè)銀行商業(yè)銀行計算機信息系統(tǒng)應急管理辦法、* 商業(yè)銀行行業(yè)務連續(xù)性管理辦法等制度。根據(jù) * 商業(yè)銀行行計算機信息系統(tǒng)應急管理辦法成立信息系統(tǒng)應急管理領導小組，負責轄內(nèi)信息系統(tǒng)應急管理工作，組建應急團隊，在發(fā)生信息系統(tǒng)突發(fā)事件時，能夠做到及時實施應急處置工作，應急團隊包括應急領導小組、應急執(zhí)行小組、支持保障小組。由行長擔任應急領導小組組長

15、，副行長為副組長，各相關職能部門為應急領導小組成員，應急執(zhí)行小組由信息技術部和相關業(yè)務部門主要負責人及涉及支行負責人組成，對應急領導小組負責，支持保障小組由辦公室、人力資源、財務會計、合規(guī)與風險、監(jiān)察保衛(wèi)、電子銀行等部門負責人組成。根據(jù) * 商業(yè)銀行行業(yè)務連續(xù)性管理辦法，成立以董事長為組長，行長為副組長，副行長為成員的業(yè)務連續(xù)性工作領導小組成，成立以董事長為組長，行長、副行長為副組長，其他職能部門負責人為成員的業(yè)務連續(xù)性工作協(xié)調(diào)保障小組，成立以分管信息科技的副行長為組長，其他職能部門負責人為成員的業(yè)務連續(xù)性工作執(zhí)行小組。2. 開展培訓，組織演練為保障應急預案妥善實施，我行在1 月份組織開展信息

16、系統(tǒng)應急演練培訓和演練，培訓內(nèi)容包括解讀和說明應急演練的背景、意義，讓全體員工意識后備電力和網(wǎng)絡的支持是業(yè)務持續(xù)高速發(fā)展的核心基礎和重要保障,熟知電力和網(wǎng)絡的結構;能認識其相關部件并能正確說出其連接路徑;能夠?qū)⒀萘暸嘤柦?jīng)驗應用到實際應急處置中，堅持把演習工作常態(tài)化。 演練內(nèi)容包括: 網(wǎng)點 UPS 系統(tǒng)應急演練；網(wǎng)點發(fā)電機應急切換演練；網(wǎng)點主/備網(wǎng)絡線路應急切換演練；總行主/備網(wǎng)絡線路應急切換演練；總行主/備電力切換演練。通過信息科技培訓和演練梳理網(wǎng)點應急處置流程，提升網(wǎng)點應急處置能力，妥善保障信息系統(tǒng)未定運行。3. 健全機制，預防為主按照“預防為主、積極處置”的原則對轄內(nèi)網(wǎng)點終端安裝防病毒軟件，并定期檢查處理終端安全健康情況，對中毒設備及時進行網(wǎng)絡隔離并進行病毒查殺。對離行式自助網(wǎng)點布設電力監(jiān)控系統(tǒng)，監(jiān)控市電及UPS 運行情況，出現(xiàn)故障及時通知網(wǎng)點人員、科技及監(jiān)保部門，及時防范各類系統(tǒng)風險。（六）其他根據(jù) * 商業(yè)銀行行信息科技風