1、*商 业 银 行 行 股 份 有 限 公 司*银行信息科技风险专项自查报告*中心:为认真贯彻关于开展 2019 年度信息科技风险专项检查的通知精神,充分做好做好国庆期间金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。根据*农商银行系统重点业务风险点排查指引(试行)规定及人民银行、银保监局和公安局关于网络安全保障工作要求。我行由分管信息科技领导、信息技术部组成自查工作小组,于 8 月 19 日-23 日开展自查工作。现将自查情况汇报如下:一、总体情况随着当前信息化建设步伐不断加快,我行各项业务对于信息系统的依赖日益加深,随之而来
2、的系统和网络安全已成为安全管理的关键环节,其中薄弱环节成为信息科技风险的重要内容,网络安全运行工作事关经营、管理大局。从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义,正确处理了发展与安全的关系,一手抓信息化建设,一手抓风险防范。截至报告日,全行上下已经按照统一标准建立起较完善的网络和信息安全风险防范体系。二、组织架构、制度建设及管理情况(一)信息科技治理组织架构1.强化“三会一层”履职。成立了以高管层和主要业务部门参加的信息科技管理委员会,定期或不定期履行职责,审议信息科技相关重大事件,本年度共计召开信息科技管理会议 2 次。2.加大专业人员配备。设立首席信息官。参
3、与我行与信息科技运用有关的业务发展决策,确保信息科技发展战略符合本行的总体业务战略和信息科技风险管理策略。3.明确部门职责分工。明晰信息科技实施、风险管理及审计职责。信息技术部负责信息科技实施、管理工作,各支行设立兼职或专职计算机管理员,配合信息技术部开展应用推广、故障处理、设备维护工作;合规与风险管理部负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面; 内部审计部负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划。(二)信息科技管理制度建设1.安全管理方面。对安全管理活动中的各类管理内容建立安全管理制度,制定了由安全策略、管理制度等构成的
4、全面的信息安全管理总则*商业银行行计算机信息安全管理办法,安全管理办法经信息科技管理委员会审定,审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订。2.应急管理方面。建立了较为完善的信息系统应急管理办法*商业银行行计算机信息系统应急管理办法,明确应急管理组织机构和职责,对突发事件进行分级,确定风险防范措施,制定了各信息系统突发事件应急处置方案。对突发事件报告和应急响应也做了规定。2019 年 1 月开展了全辖范围内的业务连续性应急演练,并对应急演练发现的问题进行整改。3.岗位职责与分工方面。信息技术部员工 9 人,人员配置能够满足当前业务发展的需要。按照科技管理、运行维护等条线设立岗位,
5、重要岗位均配备 A/B 角。*商业银行行计算机岗位人员管理办法对相关岗位职责进行了规定。4.安全操作规范及管理流程。具备完整的信息安全管理流程,包括介质管理、网络管理、维护及故障处理制度、软硬件变更流程、备份管理、ATM 安全管理、机房管理、监控管理、密钥管理、巡检制度等科技管理流程。三、信息技术管理情况(一)网络安全管理对自身网络安全管理情况进行现场检查,检查内容主要包括:内控制度;人员管理与访问控制;网络机房安全;网络接入安全;网络变更管理;网络应急管理;网络设备管理;日志与文档管理;第三方管理等方面。根据文件要求,我行对重要网络设施进行了检查,总体管理有效,网络系统的组成结构及其配置合理
6、。内控制度方面,我行制定计算机网络管理办法和互联网管理及违规处罚办法,明确管理机构和人员职责,确认网络设备安装和运维的具体工作措施,健全互联网使用规范。日常管理方面,依托机房人员出入登记、门禁管理以及巡检值班制度,确保网络设备物理安全、运行稳定,所有网络设备均设置密码,且仅由网络管理员保管并定期修改登记。网络系统拓扑图、机柜标签、网络地址规划等网络运行资料已形成技术档案严格保密。网络设备的日志和开机运行配置由省联社建设的 IMC 管理平台实现每周离机备份并永久保存,所有网络设备均纳入 IMC 管理,网 络管理员定期查询设备运行情况并处理系统告警信息。网络设备的接入和外联配置的变更,我行实行需求
7、申请、有权人审批、网络管理员实施的流程管理。实现内网安全方面,每台内网终端均安装杀毒软件,另切实抓好生产网络与其他网络的物理隔离,对生产网络实行严格保护。自查发现:所有机柜均安装标签,部分网络机柜内线缆标签不够完善,目前已完成整改。另外我行内网接入核心路由器的主备无法自行切换,因涉及辖内所有网点网络运行,安全隐患凸显。该隐患已在省信息技术中心组织的 2019 年上半年 H3C 网络巡 检中反馈。(二)机房安全管理对我行机房运行管理情况进行细致自查,自查内容主要包括:机房管理制度;机房基础设施管理;机房设备管理;机房人员出入管理;机房消防管理;机房巡检和故障处理等方面。我行机房根据 关于印 发的
8、通知 、安徽商业银 行行系统计算机机房管理办法的相关规定,整改建设完成,日常运维管理工作按照*商业银行行机房管理办法严格执行。基础设施管理,机房通过门禁控制实现物理访问控制,严防外部人员未经允许进入机房。供电系统均采用双路 UPS供电,线路冗余性好,负载能力强,能够满足机房电力需求。空调系统的有效性。机房均配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施,以确保机房正常运转。机房消防管理严格贯彻“严防为 主,防治结合” 的方针,消防管理由信息技术领导具体负责,建立防火安全责任制做到值班人员“ 三懂” 即懂火灾危害性,懂火灾的预防措施,懂灭火方法、“ 三会” ,即会 报警、会用消
9、防器材、会 补救明火。机房消防器材定期维护配备足量,定期开展消防演练。机房巡检工作由信息技术部当日值班人员每天进行 4 次,登记网络、电力、空调、设备等运转情况。机房同时采用集中监控,参数实行 24 小时不间断监控,确保第一时间发现问题,处理问题。自查发现:机房管理制度健全,基础设备配置齐全,设备管理、出入人员和巡检记录完整,机房管理有一定的应对消防灾情和故障处理的能力。目前我行机房受制与空间狭小,基础配置过于拥挤,没有通风系统。(三)数据安全管理制度方面,我行制定了*商业银行行计算机信息系统数据管理办法,对数据的使用和管理等做了比较细致的规定。我行数据下发平台在省联社云服务器,主要用于存放省
10、联社下发的数据。平台的用户管理方面,root 用户由专人负责,密码定期修改并用保密信封封存;普通用户由数据管理员负责。自助取数平台的用户由数据管理员负责,目前主要用于省联社的一些业务数据分析和查询参考,不对外提供数据。系统运行管理方面我行自建报表平台对数据下发情况进行监控和对数据进行校验。并自建定时任务对下发数据每天传输到异地进行备份,保证了数据的容灾备份。数据的使用管理目前主要依托我行自建的报表查询系统供业务条线人员使用。数据的存储保管、备份策略和有效性验证、清理等方面也都按照制度制定了详细的策略台帐。(四)终端安全管理1.终端采购选型情况我行使用终端按照省联社选型范围采购,使用终端为升腾
11、N610、升腾 945W 和国光 UT3019F+。2.防病毒软件安装我行制定了*商业银行行计算机病毒防治管理规定,对所有内网终端均安装病毒查杀软件,保证杀毒软件全覆盖,及时更新病毒库,对病毒、恶意代码进行安全防护,对系统的有效性和完整性时行监督检查,定期组织员工举办病毒防治知识培训,对新病毒的传播和破坏机制进行跟踪,发现病毒及时采取清除措施。3.重要补丁更新及时关注系统安全漏洞最新情况,及时对新发现的安全漏洞打上相关的安全补丁,经检查当前系统已是最新版本,已安装了最新补丁。4.网信安全主题教育或培训方面我行积极开展网络安全、信息安全方面的宣传和培训,*4 日开展信息科技培训,培训内容包括网络
12、安全、病毒防治、信息安全等培训;*至 26 日我行开展科技活动周宣传活动,积极宣传网络、信息科技安全;*19 日开展信息安全意识培训及考试,全面提升员工安全意识。自查发现:内网杀毒软件病毒库更新只能离线更新,要做到及时更新,存在一定困难,建议省科技中心在杀毒软件总结点做联网更新,农商行联机更新病毒库。(5(外包管理对我行信息科技外包管理开展情况进行自查,内容主要包括:外包管理职责;外包制度执行;外包策略执行;外包项目立项管理;外包项目过程管理;外包项目风险管理;开发类外包管理;运维类外包管理;外包供应商入场管理;供应商日常管理;供应商评价管理;外包供应商安全管理;外包供应商应急管理;外包人员入
13、场管理;外包人员日常管理;外包人员安全管理。我行已下发*商业银行行科技外包管理办法、*商业银行行外包管理实施细则、*商业银行行外包商异常退出应急预案其中明确了外包管理的组织架构与部门职责、外包项目管理、供应商管理与评价、人员管理、合同、实施、应急管理等内容,并认真落实日常管理工作。我行外包业务类型结构简单,大部分为采购产品的售后服务类和设备维护类外包。我行通过建立健全外包管理系统实现外包项目、供应商档案以及外包人员登记、管理工作,有效的解决了外包项目跟进难、供应商档案乱、人员管理无序等问题。自查发现:外包管理系统的功能还不健全。外包项目更新还不及时,供应商的档案信息登记不完整的问题,人员管理中
14、的安全培训的频次不足、培训内容单一等问题。(六)应急管理1. 制定预案,成立组织为保障本行信息科技系统能够安全、可靠、稳定运行,提高应对各类信息系统突发事件的能力,有效防范信息科技系统风险,妥善处置和应对信息科技突发事件,制定*商业银行商业银行计算机信息系统应急管理办法、*商业银行行业务连续性管理办法等制度。根据*商业银行行计算机信息系统应急管理办法成立信息系统应急管理领导小组,负责辖内信息系统应急管理工作,组建应急团队,在发生信息系统突发事件时,能够做到及时实施应急处置工作,应急团队包括应急领导小组、应急执行小组、支持保障小组。由行长担任应急领导小组组长,副行长为副组长,各相关职能部门为应急
15、领导小组成员,应急执行小组由信息技术部和相关业务部门主要负责人及涉及支行负责人组成,对应急领导小组负责,支持保障小组由办公室、人力资源、财务会计、合规与风险、监察保卫、电子银行等部门负责人组成。根据*商业银行行业务连续性管理办法,成立以董事长为组长,行长为副组长,副行长为成员的业务连续性工作领导小组成,成立以董事长为组长,行长、副行长为副组长,其他职能部门负责人为成员的业务连续性工作协调保障小组,成立以分管信息科技的副行长为组长,其他职能部门负责人为成员的业务连续性工作执行小组。2.开展培训,组织演练为保障应急预案妥善实施,我行在 1 月份组织开展信息系统应急演练培训和演练,培训内容包括解读和
16、说明应急演练的背景、意义,让全体员工意识后备电力和网络的支持是业务持续高速发展的核心基础和重要保障,熟知电力和网络的结构;能认识其相关部件并能正确说出其连接路径;能够将演习培训经验应用到实际应急处置中,坚持把演习工作常态化。演练内容包括: 网点 UPS 系统应 急演练;网点发电机应急切换演练;网点主/ 备网络线路应急切换演练;总行主/备网络线路应急切换演练;总行主/备电力切换演练。通过信息科技培训和演练梳理网点应急处置流程,提升网点应急处置能力,妥善保障信息系统未定运行。3. 健全机制,预防为主按照“预防 为主、积 极处置” 的原则对辖 内网点终端安装防病毒软件,并定期检查处理终端安全健康情况
17、,对中毒设备及时进行网络隔离并进行病毒查杀。对离行式自助网点布设电力监控系统,监控市电及 UPS 运行情况,出现故障及时通知网点人员、科技及监保部门,及时防范各类系统风险。(6(其他根据*商业银行行信息科技风险管理办法中职责分工,合规与风险管理部负责信息科技风险管理工作。每年按季开展信息科技风险排查工作,排查结果直接向分管理领导汇报,并提交高级管理层审查、审批,信息技术部负责具体的问题整改落实工作。内部审计部负责信息科技审计制度 和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。截至到 8 月底,信息技术部共组织 3 批信息安全与网络安全培训,培 训内容涵盖网络安全、病毒防治、信息安全,通过培训和宣传提升了我行员工的信息安全意识和安全防护技能。*银行信息科技部二一九年*月*日
