信息科技風(fēng)險自評估報告

信息科技風(fēng)險自評估報告

XX縣信用聯(lián)社關(guān)于對

信息科技風(fēng)險自評估工作的匯報X聯(lián)社XX女石處：按照辦事處《轉(zhuǎn)發(fā)銀監(jiān)會辦公廳關(guān)于落實銀行業(yè)金融機構(gòu)信息科技風(fēng)險評價審計整改和開展信息科技風(fēng)險自評估工作的通知》要求,我縣聯(lián)社迅速組成自評估調(diào)查小組，按照全面.系統(tǒng)的要求，認(rèn)真進行自評估分析,現(xiàn)將情況匯報如下：(_)■提高認(rèn)識建立健全了信息系統(tǒng)安全風(fēng)險防范體系。隨著電子化建設(shè)不斷走向深入信用社主要業(yè)務(wù)逐步依賴于計算機綜合業(yè)務(wù)系統(tǒng)■隨之而來的系統(tǒng)和網(wǎng)絡(luò)安全已成為安全管理的關(guān)鍵環(huán)節(jié)和薄弱環(huán)節(jié)?尤其自二00六年五月底我縣農(nóng)村信用社順利并入全X農(nóng)信社通存通兌網(wǎng)絡(luò)后，網(wǎng)絡(luò)安全運行工作事關(guān)全縣農(nóng)村信用社改革，經(jīng)營.管理大局。我縣聯(lián)社從防范科技風(fēng)險的高度充分認(rèn)識到加強系統(tǒng)和網(wǎng)絡(luò)安全運行工作的必要性和重要意義?正確處理了發(fā)展與安全的關(guān)系，一手抓電子化建設(shè)，一手抓風(fēng)險防范。截止目前，已經(jīng)初步按照上級主管部門統(tǒng)一標(biāo)準(zhǔn)建立起較完善的網(wǎng)絡(luò)和信息安全風(fēng)險防范體系。我們主要做到了以下幾方面工作：加強制度建設(shè)，規(guī)范操作行為，我們從健全制度入手，先后修改完善了《XX縣農(nóng)村信用社綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)柜員管理辦法》.《XX縣農(nóng)村信用社綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)授權(quán)管理辦法》.《XX縣農(nóng)村信用社綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)網(wǎng)點運行管理制度》.《XX縣農(nóng)村信用社綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)設(shè)備管理制度》.《XX縣農(nóng)村信用社綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)突發(fā)事件應(yīng)急處置預(yù)案》.《XX縣信用聯(lián)社防范病毒管理制度》.《XX縣信用聯(lián)社機房管理制度九修改制定7《XX縣農(nóng)村信用社綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)安全運行管理處罰辦法》等制度.規(guī)定■切實將我縣農(nóng)村信用社的網(wǎng)絡(luò)安全管理責(zé)任落到實處。二、加強硬件及網(wǎng)絡(luò)環(huán)境建設(shè)，避免系統(tǒng)風(fēng)險。實現(xiàn)了內(nèi)網(wǎng)與外網(wǎng)的嚴(yán)格的物理分離，內(nèi)網(wǎng)主線路為光纖專線,備份線路為音頻專線?有關(guān)內(nèi)網(wǎng)用機保證了專機專用。為每個網(wǎng)點制做了規(guī)范的地線，并為網(wǎng)絡(luò)設(shè)備配備了專用機柜。與綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)有關(guān)的機房.辦公室.營業(yè)網(wǎng)點都配備有消防器材。定期對中心機房及網(wǎng)點計算機專用供電線路及網(wǎng)絡(luò)線路進行專項整治.對老化的線路進行了更新，對有隱患的線路進行了整改。所有網(wǎng)點都有不間斷電源保護。并定期對老化的設(shè)備，如UPS,參數(shù)穩(wěn)壓器，發(fā)電機進行統(tǒng)一的更新。對網(wǎng)點所用設(shè)備都按一定比例配齊了備用設(shè)備。5、 上線初期■即制定下發(fā)了《計算機業(yè)務(wù)管理制度（暫行）九規(guī)范了業(yè)務(wù)操作.授權(quán)和口令以及人員和設(shè)備的管理。明確要求業(yè)務(wù)人員離開時，業(yè)務(wù)終端必須退出。在隨后的多次檢查中沒有發(fā)現(xiàn)不規(guī)范操作的現(xiàn)象。制定7《XX縣信用聯(lián)社防范病毒管理制度九確定了專人進行全轄病毒防治工作。人組織相關(guān)系統(tǒng)集成方和線路運營方對縣中心機房進行安全風(fēng)險測試.排除隱患。8.制定7《XX縣信用聯(lián)社機房管理制度》，建立了機房工作人員及非工作人員出入管理規(guī)定。（二兒加強領(lǐng)導(dǎo)，落實了網(wǎng)絡(luò)和信息安全責(zé)任制。為加強信息科技和信息安全的管理嚴(yán)格落實信息安全責(zé)任制，聯(lián)社成立網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組,各信用社也成立了相應(yīng)的工作小組，全面負(fù)責(zé)本單位的信息安全和運行管理工作，聯(lián)社建立了信息科技及技術(shù)風(fēng)險管理部門，設(shè)立了專職管理人員，網(wǎng)絡(luò)和信息安全責(zé)任落實到位。積極地做好了信息安全工作的組織領(lǐng)導(dǎo)和指導(dǎo)監(jiān)督工作，從加強員工安全教育和業(yè)努培訓(xùn)入手，避免出現(xiàn)管理風(fēng)險■結(jié)算風(fēng)險.操作風(fēng)險，確保了網(wǎng)絡(luò)和信息系統(tǒng)的安全穩(wěn)定運行。在本次自評估中，各級領(lǐng)導(dǎo)對評估工作高度重視，風(fēng)險評估工作得到了廣泛認(rèn)同和支持，順利地開展并卓有成效地進行，獲得了客觀、真實和有效的評估結(jié)果。領(lǐng)導(dǎo)重視，相互配合。在自評估過程中■聯(lián)社主要領(lǐng)導(dǎo)非常重視，召開專門會議指定部門和專人負(fù)責(zé)評估工作。分管領(lǐng)導(dǎo)多次聽取情況匯報，及時提出要求，進行工作部署。信息管理部門負(fù)責(zé)人親自帶隊參與評估工作,抓好落實。各相關(guān)公司及線路運營商派來有豐富經(jīng)驗的技術(shù)工程師參加測評工作■提前做好準(zhǔn)備工作。信息安全風(fēng)險評估工作涉及信息系統(tǒng)的主管部門、建設(shè)單位.運行維護部門?使用部門.安全管理部門以及技術(shù)支持單位和產(chǎn)品或服務(wù)提供商。在各方的協(xié)調(diào)配合下，評估小組相互支持，謹(jǐn)慎從事.認(rèn)真負(fù)責(zé).積極協(xié)作，較好地完成了風(fēng)險評估工作。二.嚴(yán)格審查，保證質(zhì)量。信息安全風(fēng)險評估是一項嶄新的工作■其專業(yè)性.技術(shù)性很強，為了確保測評工作質(zhì)量，聯(lián)社運管部按照銀監(jiān)會下發(fā)的《信息安全風(fēng)險評估指南》■從工作內(nèi)容■測評目的.操作規(guī)程.技術(shù)手段等方面，以及評估的各個環(huán)節(jié)上嚴(yán)格把關(guān)，適時提出安排意見，有效地保證了測評工作的順利進行。目前，共完成評估報告 份,我縣農(nóng)村信用社信息安全風(fēng)險評估工作基本完成。三.積極行動，有效整改?！?通過風(fēng)險評估涪有關(guān)單位對現(xiàn)有信息網(wǎng)絡(luò)和信息系統(tǒng)的資產(chǎn)■運行狀況.存在問題等有了全面翔實的了解，針對網(wǎng)絡(luò)和系統(tǒng)客觀存在的安全隱患和安全風(fēng)險■各單位正在積極研究有效解決方案。牟家壩信用社在評估結(jié)果出來后■認(rèn)識高.行動快?安全意識強■于I月日在社內(nèi)發(fā)文，對PC機.終端和有關(guān)應(yīng)用系統(tǒng)等進行全面清查?同時，還提出了重新設(shè)置密碼和PC權(quán)限,加強對敏感信息的管理，清除非法軟件等措施。三、加強維護.建立了網(wǎng)絡(luò)和信息安全應(yīng)急預(yù)案。我縣聯(lián)社高度重視網(wǎng)絡(luò)信息安全防范工作建立了網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案，為避免出現(xiàn)不安全情況，對潛在的突發(fā)事件和重大操作，事先有預(yù)防措施.應(yīng)急處置程序和恢復(fù)控制辦法；明確了各責(zé)任區(qū)域責(zé)任人及其工作職責(zé)；定期進行應(yīng)急預(yù)案演練，檢驗其操作性和效果;各社確定專人，作為信用社系統(tǒng)管理人員（兼），提供工作條件和培訓(xùn)機會，建立了多層次的系統(tǒng)維護管理人員體系，提高了處理突發(fā)事件的效率和能力。通過此次風(fēng)險評估工作，找出了信息系統(tǒng)存在的不安全因素，發(fā)現(xiàn)了一些安全隱患，制定了整改措施，增強了系統(tǒng)的安全性。我們認(rèn)識到