2019年信息科技風(fēng)險專項檢查自查報告總結(jié)

1、* 銀行信息科技風(fēng)險專項自查報告* 中心：為認(rèn)真貫徹關(guān)于開展2019 年度信息科技風(fēng)險專項檢查的通知精神，充分做好做好國慶期間金融網(wǎng)絡(luò)和信息系統(tǒng)安全保障工作，防范我行信息科技風(fēng)險，保障計算機系統(tǒng)運行和操作安全，建立和完善信息科技風(fēng)險管理機制。根據(jù) * 農(nóng)商銀行系統(tǒng)重點業(yè)務(wù)風(fēng)險點排查指引（試行）規(guī)定及人民銀行、銀保監(jiān)局和公安局關(guān)于網(wǎng)絡(luò)安全保障工作要求。我行由分管信息科技領(lǐng)導(dǎo)、信息技術(shù)部組成自查工作小組， 于 8 月 19 日 -23 日開展自查工作?，F(xiàn)將自查情況匯報如下：一、總體情況隨著當(dāng)前信息化建設(shè)步伐不斷加快，我行各項業(yè)務(wù)對于信息系統(tǒng)的依賴日益加深，隨之而來的系統(tǒng)和網(wǎng)絡(luò)安全已成為安全管理的關(guān)

2、鍵環(huán)節(jié)，其中薄弱環(huán)節(jié)成為信息科技風(fēng)險的重要內(nèi)容，網(wǎng)絡(luò)安全運行工作事關(guān)經(jīng)營、管理大局。從防范科技風(fēng)險的高度充分認(rèn)識到加強系統(tǒng)和網(wǎng)絡(luò)安全運行工作的必要性和重要意義，正確處理了發(fā)展與安全的關(guān)系，一手抓信息化建設(shè)，一手抓風(fēng)險防范。截至報告日，全行上下已經(jīng)按照統(tǒng)一標(biāo)準(zhǔn)建立起較完善的網(wǎng)絡(luò)和信息安全風(fēng)險防范體系。二、組織架構(gòu)、制度建設(shè)及管理情況（一）信息科技治理組織架構(gòu)1. 強化“三會一層”履職。 成立了以高管層和主要業(yè)務(wù)部門參加的信息科技管理委員會，定期或不定期履行職責(zé)，審議信息科技相關(guān)重大事件，本年度共計召開信息科技管理會議 2 次。2. 加大專業(yè)人員配備。設(shè)立首席信息官。參與我行與信息科技運用有關(guān)的業(yè)

3、務(wù)發(fā)展決策，確保信息科技發(fā)展戰(zhàn)略符合本行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險管理策略。3. 明確部門職責(zé)分工。明晰信息科技實施、風(fēng)險管理及審計職責(zé)。信息技術(shù)部負(fù)責(zé)信息科技實施、管理工作，各支行設(shè)立兼職或?qū)Ｂ氂嬎銠C管理員，配合信息技術(shù)部開展應(yīng)用推廣、故障處理、設(shè)備維護工作；合規(guī)與風(fēng)險管理部負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風(fēng)險等方面；內(nèi)部審計部負(fù)責(zé)信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃。（二）信息科技管理制度建設(shè)1. 安全管理方面。對安全管理活動中的各類管理內(nèi)容建立安全管理制度，制定了由安全策略、管理制度等構(gòu)成的全面的信息安全管理總則 *

4、 商業(yè)銀行行計算機信息安全管理辦法，安全管理辦法經(jīng)信息科技管理委員會審定，審定周期為一年一次，并且及時發(fā)現(xiàn)缺漏或不足對制度進行修訂。2. 應(yīng)急管理方面。建立了較為完善的信息系統(tǒng)應(yīng)急管理辦法 * 商業(yè)銀行行計算機信息系統(tǒng)應(yīng)急管理辦法，明確應(yīng)急管理組織機構(gòu)和職責(zé)，對突發(fā)事件進行分級，確定風(fēng)險防范措施，制定了各信息系統(tǒng)突發(fā)事件應(yīng)急處置方案。對突發(fā)事件報告和應(yīng)急響應(yīng)也做了規(guī)定。2019 年 1 月開展了全轄范圍內(nèi)的業(yè)務(wù)連續(xù)性應(yīng)急演練，并對應(yīng)急演練發(fā)現(xiàn)的問題進行整改。3. 崗位職責(zé)與分工方面。信息技術(shù)部員工9 人，人員配置能夠滿足當(dāng)前業(yè)務(wù)發(fā)展的需要。按照科技管理、運行維護等條線設(shè)立崗位，重要崗位均配備A

5、/B 角。 * 商業(yè)銀行行計算機崗位人員管理辦法對相關(guān)崗位職責(zé)進行了規(guī)定。4. 安全操作規(guī)范及管理流程。具備完整的信息安全管理流程，包括介質(zhì)管理、網(wǎng)絡(luò)管理、維護及故障處理制度、軟硬件變更流程、備份管理、ATM 安全管理、機房管理、監(jiān)控管理、密鑰管理、巡檢制度等科技管理流程。三、信息技術(shù)管理情況（一）網(wǎng)絡(luò)安全管理對自身網(wǎng)絡(luò)安全管理情況進行現(xiàn)場檢查，檢查內(nèi)容主要包括：內(nèi)控制度；人員管理與訪問控制；網(wǎng)絡(luò)機房安全；網(wǎng)絡(luò)接入安全；網(wǎng)絡(luò)變更管理；網(wǎng)絡(luò)應(yīng)急管理；網(wǎng)絡(luò)設(shè)備管理；日志與文檔管理；第三方管理等方面。根據(jù)文件要求，我行對重要網(wǎng)絡(luò)設(shè)施進行了檢查，總體管理有效，網(wǎng)絡(luò)系統(tǒng)的組成結(jié)構(gòu)及其配置合理。內(nèi)控制度方

6、面，我行制定計算機網(wǎng)絡(luò)管理辦法和互聯(lián)網(wǎng)管理及違規(guī)處罰辦法，明確管理機構(gòu)和人員職責(zé)，確認(rèn)網(wǎng)絡(luò)設(shè)備安裝和運維的具體工作措施，健全互聯(lián)網(wǎng)使用規(guī)范。日常管理方面，依托機房人員出入登記、門禁管理以及巡檢值班制度，確保網(wǎng)絡(luò)設(shè)備物理安全、運行穩(wěn)定，所有網(wǎng)絡(luò)設(shè)備均設(shè)置密碼，且僅由網(wǎng)絡(luò)管理員保管并定期修改登記。網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D、機柜標(biāo)簽、網(wǎng)絡(luò)地址規(guī)劃等網(wǎng)絡(luò)運行資料已形成技術(shù)檔案嚴(yán)格保密。網(wǎng)絡(luò)設(shè)備的日志和開機運行配置由省聯(lián)社建設(shè)的IMC 管理平臺實現(xiàn)每周離機備份并永久保存， 所有網(wǎng)絡(luò)設(shè)備均納入IMC 管理， 網(wǎng)絡(luò)管理員定期查詢設(shè)備運行情況并處理系統(tǒng)告警信息。網(wǎng)絡(luò)設(shè)備的接入和外聯(lián)配置的變更，我行實行需求申請、有權(quán)人審

7、批、網(wǎng)絡(luò)管理員實施的流程管理。實現(xiàn)內(nèi)網(wǎng)安全方面，每臺內(nèi)網(wǎng)終端均安裝殺毒軟件，另切實抓好生產(chǎn)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的物理隔離，對生產(chǎn)網(wǎng)絡(luò)實行嚴(yán)格保護。自查發(fā)現(xiàn)：所有機柜均安裝標(biāo)簽，部分網(wǎng)絡(luò)機柜內(nèi)線纜標(biāo)簽不夠完善，目前已完成整改。另外我行內(nèi)網(wǎng)接入核心路由器的主備無法自行切換，因涉及轄內(nèi)所有網(wǎng)點網(wǎng)絡(luò)運行，安全隱患凸顯。該隱患已在省信息技術(shù)中心組織的2019 年上半年 H3C 網(wǎng)絡(luò)巡檢中反饋。（二）機房安全管理對我行機房運行管理情況進行細(xì)致自查，自查內(nèi)容主要包括：機房管理制度；機房基礎(chǔ)設(shè)施管理；機房設(shè)備管理；機房人員出入管理；機房消防管理；機房巡檢和故障處理等方面。我行機房根據(jù)關(guān)于印發(fā)安徽商業(yè)銀行行系統(tǒng)計算機

8、機房建設(shè)規(guī)范的通知、安徽商業(yè)銀行行系統(tǒng)計算機機房管理辦法的相關(guān)規(guī)定，整改建設(shè)完成，日常運維管理工作按照* 商業(yè)銀行行機房管理辦法嚴(yán)格執(zhí)行?；A(chǔ)設(shè)施管理，機房通過門禁控制實現(xiàn)物理訪問控制，嚴(yán)防外部人員未經(jīng)允許進入機房。供電系統(tǒng)均采用雙路UPS供電， 線路冗余性好，負(fù)載能力強，能夠滿足機房電力需求?？照{(diào)系統(tǒng)的有效性。機房均配套防盜竊、防雷、防火、防水、防靜電、溫濕度控制、電磁保護等措施，以確保機房正常運轉(zhuǎn)。機房消防管理嚴(yán)格貫徹“嚴(yán)防為主，防治結(jié)合”的方針，消防管理由信息技術(shù)領(lǐng)導(dǎo)具體負(fù)責(zé)，建立防火安全責(zé)任制做到值班人員“三懂”即懂火災(zāi)危害性，懂火災(zāi)的預(yù)防措施，懂滅火方法、“三會”，即會報警、會用消防

9、器材、會補救明火。機房消防器材定期維護配備足量，定期開展消防演練。 機房巡檢工作由信息技術(shù)部當(dāng)日值班人員每天進行4 次，登記網(wǎng)絡(luò)、電力、空調(diào)、設(shè)備等運轉(zhuǎn)情況。機房同時采用集中監(jiān)控，參數(shù)實行24 小時不間斷監(jiān)控，確保第一時間發(fā)現(xiàn)問題，處理問題。自查發(fā)現(xiàn)：機房管理制度健全，基礎(chǔ)設(shè)備配置齊全，設(shè)備管理、出入人員和巡檢記錄完整，機房管理有一定的應(yīng)對消防災(zāi)情和故障處理的能力。目前我行機房受制與空間狹小，基礎(chǔ)配置過于擁擠，沒有通風(fēng)系統(tǒng)。（三）數(shù)據(jù)安全管理制度方面，我行制定了* 商業(yè)銀行行計算機信息系統(tǒng)數(shù)據(jù)管理辦法，對數(shù)據(jù)的使用和管理等做了比較細(xì)致的規(guī)定。我行數(shù)據(jù)下發(fā)平臺在省聯(lián)社云服務(wù)器，主要用于存放省聯(lián)社

10、下發(fā)的數(shù)據(jù)。平臺的用戶管理方面，root 用戶由專人負(fù)責(zé)，密碼定期修改并用保密信封封存；普通用戶由數(shù)據(jù)管理員負(fù)責(zé)。自助取數(shù)平臺的用戶由數(shù)據(jù)管理員負(fù)責(zé)，目前主要用于省聯(lián)社的一些業(yè)務(wù)數(shù)據(jù)分析和查詢參考，不對外提供數(shù)據(jù)。系統(tǒng)運行管理方面我行自建報表平臺對數(shù)據(jù)下發(fā)情況進行監(jiān)控和對數(shù)據(jù)進行校驗。并自建定時任務(wù)對下發(fā)數(shù)據(jù)每天傳輸?shù)疆惖剡M行備份，保證了數(shù)據(jù)的容災(zāi)備份。數(shù)據(jù)的使用管理目前主要依托我行自建的報表查詢系統(tǒng)供業(yè)務(wù)條線人員使用。數(shù)據(jù)的存儲保管、備份策略和有效性驗證、清理等方面也都按照制度制定了詳細(xì)的策略臺帳。（四）終端安全管理1. 終端采購選型情況我行使用終端按照省聯(lián)社選型范圍采購，使用終端為升騰 N

11、610 、升騰 945W 和國光 UT3019F+ 。2. 防病毒軟件安裝我行制定了 * 商業(yè)銀行行計算機病毒防治管理規(guī)定，對所有內(nèi)網(wǎng)終端均安裝病毒查殺軟件，保證殺毒軟件全覆蓋， 及時更新病毒庫，對病毒、 惡意代碼進行安全防護，對系統(tǒng)的有效性和完整性時行監(jiān)督檢查，定期組織員工舉辦病毒防治知識培訓(xùn)，對新病毒的傳播和破壞機制進行跟蹤，發(fā)現(xiàn)病毒及時采取清除措施。3. 重要補丁更新及時關(guān)注系統(tǒng)安全漏洞最新情況，及時對新發(fā)現(xiàn)的安全漏洞打上相關(guān)的安全補丁，經(jīng)檢查當(dāng)前系統(tǒng)已是最新版本，已安裝了最新補丁。4. 網(wǎng)信安全主題教育或培訓(xùn)方面我行積極開展網(wǎng)絡(luò)安全、信息安全方面的宣傳和培訓(xùn)，*4 日開展信息科技培訓(xùn)，

12、培訓(xùn)內(nèi)容包括網(wǎng)絡(luò)安全、病毒防治、信息安全等培訓(xùn)；* 至 26 日我行開展科技活動周宣傳活動，積極宣傳網(wǎng)絡(luò)、信息科技安全；*19 日開展信息安全意識培訓(xùn)及考試，全面提升員工安全意識。自查發(fā)現(xiàn)：內(nèi)網(wǎng)殺毒軟件病毒庫更新只能離線更新，要做到及時更新，存在一定困難，建議省科技中心在殺毒軟件總結(jié)點做聯(lián)網(wǎng)更新，農(nóng)商行聯(lián)機更新病毒庫。（五）外包管理對我行信息科技外包管理開展情況進行自查，內(nèi)容主要包括：外包管理職責(zé)；外包制度執(zhí)行；外包策略執(zhí)行；外包項目立項管理；外包項目過程管理；外包項目風(fēng)險管理；開發(fā)類外包管理；運維類外包管理；外包供應(yīng)商入場管理；供應(yīng)商日常管理；供應(yīng)商評價管理；外包供應(yīng)商安全管理；外包供應(yīng)商應(yīng)

13、急管理；外包人員入場管理；外包人員日常管理；外包人員安全管理。我行已下發(fā)* 商業(yè)銀行行科技外包管理辦法、 * 商業(yè)銀行行外包管理實施細(xì)則、 * 商業(yè)銀行行外包商異常退出應(yīng)急預(yù)案其中明確了外包管理的組織架構(gòu)與部門職責(zé)、外包項目管理、供應(yīng)商管理與評價、人員管理、合同、實施、應(yīng)急管理等內(nèi)容，并認(rèn)真落實日常管理工作。我行外包業(yè)務(wù)類型結(jié)構(gòu)簡單，大部分為采購產(chǎn)品的售后服務(wù)類和設(shè)備維護類外包。我行通過建立健全外包管理系統(tǒng)實現(xiàn)外包項目、供應(yīng)商檔案以及外包人員登記、管理工作，有效的解決了外包項目跟進難、供應(yīng)商檔案亂、人員管理無序等問題。自查發(fā)現(xiàn)：外包管理系統(tǒng)的功能還不健全。外包項目更新還不及時，供應(yīng)商的檔案信息

14、登記不完整的問題，人員管理中的安全培訓(xùn)的頻次不足、培訓(xùn)內(nèi)容單一等問題。（六）應(yīng)急管理1. 制定預(yù)案，成立組織為保障本行信息科技系統(tǒng)能夠安全、可靠、穩(wěn)定運行，提高應(yīng)對各類信息系統(tǒng)突發(fā)事件的能力，有效防范信息科技系統(tǒng)風(fēng)險，妥善處置和應(yīng)對信息科技突發(fā)事件，制定 * 商業(yè)銀行商業(yè)銀行計算機信息系統(tǒng)應(yīng)急管理辦法、* 商業(yè)銀行行業(yè)務(wù)連續(xù)性管理辦法等制度。根據(jù) * 商業(yè)銀行行計算機信息系統(tǒng)應(yīng)急管理辦法成立信息系統(tǒng)應(yīng)急管理領(lǐng)導(dǎo)小組，負(fù)責(zé)轄內(nèi)信息系統(tǒng)應(yīng)急管理工作，組建應(yīng)急團隊，在發(fā)生信息系統(tǒng)突發(fā)事件時，能夠做到及時實施應(yīng)急處置工作，應(yīng)急團隊包括應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急執(zhí)行小組、支持保障小組。由行長擔(dān)任應(yīng)急領(lǐng)導(dǎo)小組組長

15、，副行長為副組長，各相關(guān)職能部門為應(yīng)急領(lǐng)導(dǎo)小組成員，應(yīng)急執(zhí)行小組由信息技術(shù)部和相關(guān)業(yè)務(wù)部門主要負(fù)責(zé)人及涉及支行負(fù)責(zé)人組成，對應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)，支持保障小組由辦公室、人力資源、財務(wù)會計、合規(guī)與風(fēng)險、監(jiān)察保衛(wèi)、電子銀行等部門負(fù)責(zé)人組成。根據(jù) * 商業(yè)銀行行業(yè)務(wù)連續(xù)性管理辦法，成立以董事長為組長，行長為副組長，副行長為成員的業(yè)務(wù)連續(xù)性工作領(lǐng)導(dǎo)小組成，成立以董事長為組長，行長、副行長為副組長，其他職能部門負(fù)責(zé)人為成員的業(yè)務(wù)連續(xù)性工作協(xié)調(diào)保障小組，成立以分管信息科技的副行長為組長，其他職能部門負(fù)責(zé)人為成員的業(yè)務(wù)連續(xù)性工作執(zhí)行小組。2. 開展培訓(xùn)，組織演練為保障應(yīng)急預(yù)案妥善實施，我行在1 月份組織開展信息

16、系統(tǒng)應(yīng)急演練培訓(xùn)和演練，培訓(xùn)內(nèi)容包括解讀和說明應(yīng)急演練的背景、意義，讓全體員工意識后備電力和網(wǎng)絡(luò)的支持是業(yè)務(wù)持續(xù)高速發(fā)展的核心基礎(chǔ)和重要保障,熟知電力和網(wǎng)絡(luò)的結(jié)構(gòu);能認(rèn)識其相關(guān)部件并能正確說出其連接路徑;能夠?qū)⒀萘?xí)培訓(xùn)經(jīng)驗應(yīng)用到實際應(yīng)急處置中，堅持把演習(xí)工作常態(tài)化。 演練內(nèi)容包括: 網(wǎng)點 UPS 系統(tǒng)應(yīng)急演練；網(wǎng)點發(fā)電機應(yīng)急切換演練；網(wǎng)點主/備網(wǎng)絡(luò)線路應(yīng)急切換演練；總行主/備網(wǎng)絡(luò)線路應(yīng)急切換演練；總行主/備電力切換演練。通過信息科技培訓(xùn)和演練梳理網(wǎng)點應(yīng)急處置流程，提升網(wǎng)點應(yīng)急處置能力，妥善保障信息系統(tǒng)未定運行。3. 健全機制，預(yù)防為主按照“預(yù)防為主、積極處置”的原則對轄內(nèi)網(wǎng)點終端安裝防病毒軟件，并定期檢查處理終端安全健康情況，對中毒設(shè)備及時進行網(wǎng)絡(luò)隔離并進行病毒查殺。對離行式自助網(wǎng)點布設(shè)電力監(jiān)控系統(tǒng)，監(jiān)控市電及UPS 運行情況，出現(xiàn)故障及時通知網(wǎng)點人員、科技及監(jiān)保部門，及時防范各類系統(tǒng)風(fēng)險。（六）其他根據(jù) * 商業(yè)銀行行信息科技風(fēng)