資訊科技風險自查報告
隨著個人的素質不斷提高,報告使用的次數愈發增長,通常情況下,報告的內容含量大、篇幅較長。一聽到寫報告馬上頭昏腦漲?下面是小編幫大家整理的資訊科技風險自查報告,希望能夠幫助到大家。
資訊科技風險自查報告1
一、網路執行風險
來自網際網路和移動磁介質上病毒的攻擊。隨著我區農村信用社電子化建設的發展,計算機技術在農村信用社各項業務中的廣泛應用,部分員工因病毒防範意識較為薄弱,加上計算機水平又是參差不齊,有的員工很難主動發現客戶端系統出現的漏洞從而實施補丁升級,U盤濫用且從不進行病毒掃描,這樣就容易造成內部資訊洩漏或網路阻塞,中斷重要業務的正常執行。
二、操作流程風險
隨著業務的更新和科技步伐的加快,員工的計算機操作業務能力與嚴格執行規範程式不適應,綜合櫃員制未能全面落實,不能夠完全掌握農信社的各項業務操作流程及處置程式,必然會造成操作失誤而導致風險。操作風險大致分為以下幾方面:
1、操作行為不規範,安全防範意識差。目前,我區農村信用社計算機操作員一般只通過了短期輔導培訓,未能全面掌握計算機理論知識及運用技術,主要表現在:
一是一些操作人員對計算機知識的缺乏,經常出現操作性錯誤;
二是操作人員基本安全意識不強,缺乏安全防範意識;
三是人員調離或崗位變動時不及時登出操作員,導致操作員不便於管理;
四是人離機不退,個別人隨意離開工作崗位,也不簽退,給他人可乘之機,造成了嚴重的資訊保安隱患。
2、不嚴格執行操作流程,造成安全隱患。由於部分員工跟不上當前農村信用社電子化建設步伐,對推出的硬體裝置以及電子化產品及功能不熟悉或風險意識不強等原因造成了在操作過程中出現系列風險。
一是操作人員不嚴格執行硬體裝置的操作流程,造成裝置損壞,致使重要業務中斷的風險;
二是沒有定期對機器除塵、保養,使微機在較惡劣環境下帶“病”工作,計算機執行報錯或元器件損壞時有發生,影響了信用社視窗的服務效率和形象;
三是不嚴格按照業務操作流程操作業務系統程式,給他人或科技結算中心造成不必要的負擔。
為此我們將嚴格按照省市聯社關於計算機管理的一系列相關要求,對日常計算機資訊管理中存在的問題經行重點監督和整改:
1、嚴格業務系統、辦公系統與因特網等公眾系統的隔離,無法隔離的要隨時升級防毒程式,同時嚴格移動磁介質的使用範圍、防毒流程。加強員工計算機知識培訓,提高員工的電腦操作技能,制定防毒策略,養成良好的上網習慣,嚴防病毒侵害。
2、加強對一線人員的操作流程、各項基本規定的培訓,加強對資訊專管員的培訓,提高其處理計算機及網路故障、防範計算機及網路風險的能力;對業務操作人員要重點抓好計算機知識的普及培訓工作,建立各種形式的崗位培訓和定期輪訓制度,提高職工的政治素質、業務技能、敬業精神、計算機業務操作水平和安全防範綜合能力。一線人員的操作和授權不能流於形式,堅決杜絕各種混崗現象,嚴格遵循管理制度。
3、嚴格操作規範及操作許可權管理
隨著農村信用社的發展,信貸系統,財務系統,OA系統的成功上線並投入使用,操作人員必須學習和掌握農村信用社的操作流程和各項規章制度,加強制度執行力的管理。操作員密碼必須定期不定期修改,並嚴格按規定設定操作員及操作員密碼,還需定期修改密碼,多用字母或符號,嚴禁使用6位相同數字或電話號碼或生日號碼等,嚴禁口頭或電話告知操作密碼。
4、加強內控建設,強化監督,完善防範機制。首先,建立櫃員崗位制約為主,做到責任到崗、落實到人、相互制約、互相監督。其次,全面落實以主任、內勤主任為主的監管體系,確保做到實時監管,及時發現問題,及時進行整改,消除風險隱患。再則,加強會計事後監督和電視監控系統管理,加大查處力度,重點是督促基層社各項計算機制度執行與落實,提升基層執行力,以此推進和完善防範制度,切實做到防患於未然。
5、日常維護方面,由基社資訊專管員負責每週一次對機房衛生清理和裝置故障排查,發現問題及時上報科技資訊部處理;每月在各基社網點資訊專管員的配合下,對網路裝置的執行和管理進行維護和檢查至少一次,全轄的ATM和POS機由科技資訊部統一管理,落實基社網點專人負責,加大專管人員的培訓,使日常操作、維護工作和安全防範措施得以落實。
資訊科技風險自查報告2
一、網路執行風險
1、來自網際網路和移動磁介質上病毒的攻擊。隨著我區農村信用社電子化建設的發展,計算機技術在農村信用社各項業務中的廣泛應用,部分員工因病毒防範意識較為薄弱,加上計算機水平又是參差不齊,有的員工很難主動發現客戶端系統出現的漏洞從而實施補丁升級,U盤濫用且從不進行病毒掃描,這樣就容易造成內部資訊洩漏或網路阻塞,中斷重要業務的正常執行。
二、操作流程風險
隨著業務的更新和科技步伐的加快,員工的計算機操作業務能力與嚴格執行規範程式不適應,綜合櫃員制未能全面落實,不能夠完全掌握農信社的各項業務操作流程及處置程式,必然會造成操作失誤而導致風險。操作風險大致分為以下幾方面:
1、操作行為不規範,安全防範意識差。目前,我區農村信用社計算機操作員一般只通過了短期輔導培訓,未能全面掌握計算機理論知識及運用技術,主要表現在:一是一些操作人員對計算機知識的缺乏,
經常出現操作性錯誤;二是操作人員基本安全意識不強,缺乏安全防範意識;三是人員調離或崗位變動時不及時登出操作員,導致操作員不便於管理;四是人離機不退,個別人隨意離開工作崗位,也不簽退,給他人可乘之機,造成了嚴重的資訊保安隱患。
2、不嚴格執行操作流程,造成安全隱患。由於部分員工跟不上當前農村信用社電子化建設步伐,對推出的硬體裝置以及電子化產品及功能不熟悉或風險意識不強等原因造成了在操作過程中出現系列風險。一是操作人員不嚴格執行硬體裝置的操作流程,造成裝置損壞,致使重要業務中斷的風險;二是沒有定期對機器除塵、保養,使微機在較惡劣環境下帶“病”工作,計算機執行報錯或元器件損壞時有發生,影響了信用社視窗的服務效率和形象;三是不嚴格按照業務操作流程操作業務系統程式,給他人或科技結算中心造成不必要的負擔。
為此我們將嚴格按照省市聯社關於計算機管理的一系列相關要求,對日常計算機資訊管理中存在的'問題經行重點監督和整改:
1、嚴格業務系統、辦公系統與因特網等公眾系統的隔離,無法隔離的要隨時升級防毒程式,同時嚴格移動磁介質的使用範圍、防毒流程。加強員工計算機知識培訓,提高員工的電腦操作技能,制定防
毒策略,養成良好的上網習慣,嚴防病毒侵害。
2、加強對一線人員的操作流程、各項基本規定的培訓,加強對資訊專管員的培訓,提高其處理計算機及網路故障、防範計算機及網路風險的能力;對業務操作人員要重點抓好計算機知識的普及培訓工作,建立各種形式的崗位培訓和定期輪訓制度,提高職工的政治素質、業務技能、敬業精神、計算機業務操作水平和安全防範綜合能力。一線人員的操作和授權不能流於形式,堅決杜絕各種混崗現象,嚴格遵循管理制度。
3、嚴格操作規範及操作許可權管理
隨著農村信用社的發展,信貸系統,財務系統,OA系統的成功上線並投入使用,操作人員必須學習和掌握農村信用社的操作流程和各項規章制度,加強制度執行力的管理。操作員密碼必須定期不定期修改,並嚴格按規定設定操作員及操作員密碼,還需定期修改密碼,多用字母或符號,嚴禁使用6位相同數字或電話號碼或生日號碼等,嚴禁口頭或電話告知操作密碼。
4、加強內控建設,強化監督,完善防範機制。首先,建立櫃員崗位制約為主,做到責任到崗、落實到人、相互制約、互相監督。其次,
全面落實以主任、內勤主任為主的監管體系,確保做到實時監管,及時發現問題,及時進行整改,消除風險隱患。再則,加強會計事後監督和電視監控系統管理,加大查處力度,重點是督促基層社各項計算機制度執行與落實,提升基層執行力,以此推進和完善防範制度,切實做到防患於未然。
5、日常維護方面,由基社資訊專管員負責每週一次對機房衛生清理和裝置故障排查,發現問題及時上報科技資訊部處理;每月在各基社網點資訊專管員的配合下,對網路裝置的執行和管理進行維護和檢查至少一次,全轄的ATM和POS機由科技資訊部統一管理,落實基社網點專人負責,加大專管人員的培訓,使日常操作、維護工作和安全防範措施得以落實。
資訊科技風險自查報告3
按照上級領導的指示,我行認真貫徹《關於加強20xx年重要時期金融資訊保安保障工作的通知》(銀髮[20xx]57號檔案)精神,為充分做好重要時期金融網路和資訊系統安全保障工作,防範我行資訊科技風險,保障計算機系統執行和操作安全,建立和完善資訊科技風險管理機制。對我行的資訊科技工作進行了一次全面的自我評估及審查。現將審查情況報告如下:
一、組織架構、制度建設及管理情況
1.資訊科技治理組織架構
(1)我行在董事會下設科技資訊保安管理委員會,行長室下設資訊科技管理委員會,資訊保安管理委員會下設應急處理領導小組。
科技資訊保安管理委員會全面負責領導和協調本行科技資訊保安。
科技管理委員會負責統一規劃全行的資訊化建設,指導和監督科技部門的各項工作,審議全行計算機網路的設計方案、軟體專案招標、裝置招標和統一採購及日常管理中重大問題的研究和建議。
資訊系統應急處理領導小組負責組織制定全轄應急處置的實施細則,統一組織、協調、指導、檢查全轄應急處置的管理;負責全轄資訊系統突發事件的應急指揮、組織協調和過程控制
(2)我行成立了科技管理部和科技開發部,做到科技運維和科技開發有效分離,加強了資訊科技治理。
(3)科技風險審計工作由我行稽核審計部完成,資訊科技風險管理由風險管理部門完成。
(4)在支行層面則設立合規員,負責各支行科技資訊相關風險監控和報告
2.資訊科技管理制度建設
(1)安全管理
對安全管理活動中的各類管理內容建立安全管理制度,制定了由安全策略、管理制度、操作規程等構成的全面的資訊保安管理總則《江蘇**農村商業銀行計算機資訊系統安全管理制度》,安全管理制度經資訊保安領導小組審定,審定週期為一年一次,並且及時發現缺漏或不足對制度進行修訂,並有修訂記錄
(2)事件管理
制訂了安全事件報告和處置管理制度——《資訊保安事件管理制度》明確安全事件型別,規定安全事件的現場處理、事件報告和後期恢復的管理職責,並根據國家相關管理部門對電腦保安事件等級劃分方法和安全事件對本系統產生的影響,對安全事件進行等級劃分,制定安全事件報告和響應處理程式,確定事件的報告流程,響應和處置方法等,並對發現的安全弱點和可疑事件有《異常情況上報規定》
(3)應急處理
建立較為完善的資訊系統應急恢復策略《江蘇**農村商業銀行計算機資訊系統應急處理方案》,對各業務資訊系統進行分類,按照重要程度,確定保障級別,制定了各資訊系統突發事件專項應急預案。制定資料中心、災備中心機房關鍵基礎設施專項應急預案。
(4)安全操作規範及管理流程
我行有完整的資訊保安管理流程,控制資訊保安管理。包括介質管理、網路管理、維護及故障處理制度、軟硬體變更流程、備份管理、ATM安全管理、機房管理、監控管理、金鑰管理、巡檢制度等等科技管理部各項流程。
(5)崗位職責與分工
配備一定數量的系統管理員、網路管理員、安全管理員等。每個崗位設立2個以上操作維護人員。重要系統均配備A/B角,A/B角定期輪換。明確崗位職責《科技管理部崗位設定》《科技開發部工作職責》《科技管理部崗位百分考核辦法》
(6)密級管理制度
錄用人員簽署保密協議;制定人員離崗管理流程規範,嚴格規範人員離崗過程,及時終止離崗員工的所有訪問許可權;與外包商簽訂保密協議;有密級的安全管理制度,註明安全管理制度密級,並進行密級管理。
二、資訊系統的技術措施情況
1.物理和環境建設
(1)機房的物理訪問控制:機房實現門禁控制,嚴防外部人員進入機房擅自操作。
(2)系統密碼均由專門人員掌管,計算機終端無人看管時鎖定;
(3)機房採用集中監控,監控清晰全面,機房環境設施均有專人崗位值班管理,引數實行24小時不間斷監控,崗位人員具備管理監控專業素質。
(4)機房供電系統均採用雙路UPS供電,線路冗餘性好,負載能力強,完全能夠滿足機房電力需求。
(5)機房空調系統的有效性和冗餘性,給排風系統的有效性:機房空調系統安全有效,給排風系統工作正常。
(6)中心機房和災備機房均有配套防盜竊、防雷、防火、防水、防靜電、溫溼度控制、電磁保護等措施,確保機房正常運轉。
(7)機房技術文件完備、有效:制定了《**農村商業銀行計算機資訊系統安全管理制度》、《科技部資訊部中心機房監控制度》,《**農村商業銀行計算機系統執行維護管理制度》為機房維護制定詳細的規範文件。 2. 網路管理
我行根據檔案要求,對重要網路設施(包括網路傳輸線路、網路裝置、網路安全裝置)進行了詳細的自查,情況如下: 1. 網路安全策略
(1)內網的安全管理情況;
內網網路安全管理:外聯單位互聯安全保護措施:通過兩臺PIX525防火牆連線外聯單位,兩臺防火牆通過FAILOVER形成熱備,在防火牆上配置安全策略,嚴格控制進出生產網的資料。
在對外路由器上設定過濾規則,形成防護網。使用過濾規則設定功能,作過濾防護,形成銀行網路與外聯單位之間的第一道防護網。正確地配置和使用防火牆。防火牆功能正確實施的關鍵是其安全策略的配置和管理,為企業的重要資料和內部網路系統提供了一層可靠的安全保障。
使用地址轉換的通訊策略,防火牆對內部地址進行轉換,對外對映為一個虛擬地址。
(2)外網的安全管理情況;
辦公網網路安全建設:天融信防火牆安全防護建設:在**農商行辦公網INTERNET出口部署兩臺天融信防火牆提供了強大的網路應用控制功能。使用者可以輕鬆的針對一些典型網路應用,如MSN,QQ、Skype、即時通訊應用,以及BT、訊雷等p2p應用實行靈活的訪問控制策略,如禁止、限時、乃至流量控制。還提供了定製功能,可以對使用者所關心的網路應用進行全面控制。
能夠在核心網路中同所有網路裝置一起構建高可用性及高安全性的拓撲結構,自身能夠實現A/A部署和狀態同步,能夠實現動態的鏈路切換,同時提供了電源冗餘功能,最大限度地滿足了網路的健壯性及穩定性,保證了整個網路的不間斷工作。
(3)加密技術應用和私鑰的管理情況;
ARRY裝置遠端網路通訊安全保護建設:**農商行辦公網已經部署了網路通訊,INTERNET使用者可以連線到內部辦公網。採用網路通訊技術,加強資訊傳輸過程中的安全防範,可以在公共Internet網路上提供安全通訊。是企業遠端使用者、業務合作伙伴和供應商儘快實現通訊和共享資訊理想的安全性解決方案。根據業務系統的特點選擇對業務資料進行傳輸加密;對於網路裝置認證過程中敏感的資訊進行加密。
制定了《**農村商業銀行科技部金鑰管理制度》。
(4)防火牆的設定、維護和管理情況;
在網銀系統設定兩層物理防火牆,將網路分為三個邏輯區域,及非授信區、停火區及安全區。非授信區可理解為Internet,即存在潛在威脅的區域;停火區(DMZ)內部署網銀Web伺服器、RA伺服器以及其它直接向外部提供服務或者進行通訊的伺服器,如Mail伺服器、防病毒伺服器等;安全區使用者部署網銀應用伺服器、資料庫伺服器、通訊伺服器等核心部件;
(5)、設定入侵檢測系統。
入侵檢測用在網路關鍵節點設定探頭以偵測網路資料中。
2. 網路服務連續性、冗餘性
1.所有重要通訊線路均有備份線路且採用不同運營商,確保網路無斷點。
2.網路裝置的冗餘性:網路裝置均有備份。核心網路裝置,核心生產系統裝置均採用雙機熱備,同城設有災備機房,確保關鍵生產裝置執行的可靠性
3.訪問線路的頻寬完全能夠滿足各資訊系統的頻寬需求,無網路擁塞現象。
4. 網路裝置管理配置均由專人分管負責,確保合理操作,保障網路通暢、安全;
5.日誌伺服器暫無,有網路日誌,但無集中審計,需加強網路裝置日誌的安全審計。 3.資訊系統可靠性
我行根據檔案要求,對關鍵伺服器、儲存器執行的可靠性,生產系統資源冗餘度等進行了全面自查,情況如下: 1.系統重要裝置和元件的冗餘備份
經自查,關鍵生產裝置均採用雙電源,伺服器有UPS電源支援,且有RAID保護。系統具備較高的可用性,所有前置系統都有備機,且定期切換演練,系統重要裝置和元件均有相應的定時備份。
2.制定各系統的應急預案,定期對預案修訂和培訓,目前,我行鍼對世博會演練了信貸系統切換,中心機房供電演練,影像支付系統演練,網銀系統惡意攻擊模擬演練。
3.裝置和系統的維護和升級管理
裝置、系統均有專人維護管理,部分裝置、系統聘請專業公司人員進行升級維護,崗位人員均具備相關素質,並實行AB角色。
4.對外包系統要求開發商要對我行技術人員進行詳細的日常執行、維護培訓,把相關技術移交給我行技術人員,對涉及二次開發的系統要求開發商提供完整的二次開發手冊,培訓我行技術人員掌握二次開發技術
5.系統軟體的使用者授權及鑑別認證措施:系統軟體使用者密碼相關人員各自保管,重要系統管理密碼實行分左右手密碼保管原則,系統軟體使用者訪問實現許可權控制,各級人員只能進行許可權內操作。
6.系統變更管理:
制定了變更管理的主要準則和規章制度,變更管理的審批授權機制和工作流程;對變更管理進行登記、備案和存檔,制定了非計劃性緊急變更的實施方案、備份和恢復。
7.對系統日誌及操作行為日誌進行監察審計,確保系統穩定執行
8.系統容量管理計劃
系統處理容量增長趨勢完全滿足增量業務需求,並有適度冗餘。
9.補丁更新
及時關注系統安全漏洞最新情況,及時對新發現的安全漏洞打上相關的安全補丁。經檢查當前系統已是最新最完整版本,已安裝了最新補丁
10.病毒、惡意程式碼的安全防護
系統均安裝病毒查殺軟體,對病毒、惡意程式碼進行安全防護。同時嚴格控制操作人員在機器上執行可能攜帶惡意程式碼、病毒的指令碼的外來第三方軟體
11.系統安全配置檢查
定期巡檢,對系統的安全配置實行不定期檢測,對可能存在的隱患進行排除。
4.應用安全
1.業務應用系統的使用者授權及鑑別認證措施
業務應用系統使用者密碼相關業務人員各自保管,通過操作號和密碼進行身份鑑別認證。人員離開時應設定螢幕密碼保護或退出到登陸狀態。
2.業務應用系統的使用者訪問控制
系統軟體使用者訪問實現許可權控制,各級人員只能進行許可權內操作
4.資料安全、備份可用性
1.資料備份策略及備份資料的可用性
(1)對各應用系統指定相應備份策略,指定不同級別的具體備份操作,每次備份完畢應檢查備份資料的有效性,並異地妥善保管好磁介質,重要資料永久儲存
(2)應定期執行恢復程式,檢查和測試備份介質的有效性,確保可以在恢復程式規定的時間內完成備份的恢復。
(3)不定期對資料進行抽檢,與業務所在日期資料進行比對核實。並有應急恢復預案,及同城異地災備系統確保資料恢復性。
2.資料安全性
(1)敏感資料的傳輸和儲存加密:敏感資料傳輸實行加密管理,儲存的一些敏感資料實行加密亂碼顯示。
(2)重要業務資料的通訊完整性檢測重要業務資料通訊檢測完整、正常。
(3)重要業務資料的備份策略及恢復測試機制重要業務資料定時備份,專人儲存保管,有完整的應急恢復預案。
(4)建立了同城異地災備中心,並制定了《江蘇**農村商業銀行異地容災專案災難恢復計劃書》,內容包括危險級別的定義劃分、決策流程、災難恢復團隊、日常備份和恢復流程、災難響應和行動流程、災難切換流程、災備系統回切流程、災難恢復計劃的測試、維護等。還包含了涉及系統裝置的具體清單、操作步驟等,預計RTO為6小時以內,RPO較低。
5.執行維護監控系統
我行根據檔案要求,對資訊系統的監測預警進行了全面自查,情況如下:
1.監測預警制度、流程及自動化監控平臺
已建立完善監測預警制度、流程,機房環境、引數,系統的執行狀況,CPU使用情況、檔案系統使用情況等均實現自動化監控。
2.監測預警組織結構及人員設定
每天有人員24小時值班,檢查系統及網路執行狀況,及時發現問題,監測預警專人負責,按照警報級別逐級上報,確保故障的及時排除。
3.監測預警日誌
設立監控日誌,每日由監測預警人員負責記錄。 4.監測預警文件的完備性
有監測預警文件說明,但不夠完善。
5.與電力供應部門、網路供應商、公安部門等外部機構均有相應的應急聯動機制,我行正在實施保衛部網點聲光聯動報警,做到入侵報警設施與照明、視訊安防監控及聲音複核等裝置聯動
三、不足和改進方法
1.需將管理與技術相結合,進一步加強資訊保安管理手段
從IT風險管理手段來看,部分系統的風險控制不夠先進,缺乏專業的風險技術支援,事前預防作用有限,事中控制不夠。缺乏對科技風險的集中審計。本行將引進AAA統一認證管理系統,加強系統使用者的授權,許可權控制和賬號管理。架設日誌伺服器,對系統日誌進行集中收集和審計。
通過平臺對所有使用者進行統一的授權。採用基於角色的授權機制,按照內部的組織結構劃分角色,併為使用者繫結角色。對於不同的角色分配不同應用系統的訪問許可權。平臺依靠記錄追蹤使用者和管理人員的訪問過程,建立一套全面的、有效的回溯和追查機制。可以實時監測使用者對各應用系統的訪問狀態,及時發現非法訪問事件,對出現的問題進行事後追溯和責任追究提供實證。通過對系統執行狀態實時監控審計,增強系統的可維護性。
2.進一步完善計算機系統安全管理制度
本行已經在內部建立並健全了一系列的計算機系統安全管理制度,並由稽核部門對銀行計算機系統進行專項稽核,但未配備專門的稽核人員,在廣度和深度上不夠,因此對照新指引的精神,從組織上保證資訊風險有具體人員來承擔責任,強化執行力和合規性。將日常資訊風險管理從傳統的檢查模式逐步過渡到基於評估、規劃、執行和監督全面迴圈改進的模式。制訂詳細的IT風險管理架構,確立IT服務管理與IT風險管理的關係,明確IT風險管理的範圍、職責,制訂符合銀行實際情況的管理流程,出臺可操作性強的安全技術規範,加強開發過程的風險控制。從而有效地防範科技風險。
