信息科技风险专项检查自查报告总结.doc

********商业银行行股份有限公司********银行信息科技风险专项自查报告

************中心：

为认真贯彻《关于开展2019年度信息科技风险专项检查的通知》精神，充分做好做好国庆期间金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。根据《****农商银行系统重点业务风险点排查指引（试行）》规定及人民银行、银保监局和公安局关于网络安全保障工作要求。我行由分管信息科技领导、信息技术部组成自查工作小组，于8月19日-23日开展自查工作。现将自查情况汇报如下：

一、总体情况

随着当前信息化建设步伐不断加快，我行各项业务对于信息系统的依赖日益加深，随之而来的系统和网络安全已成为安全管理的关键环节，其中薄弱环节成为信息科技风险的重要内容，网络安全运行工作事关经营、管理大局。从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义，正确处理了发展与安全的关系，一手抓信息化建设，一手抓风险防范。截至报告日，全行上下已经按照统一标准建立起较完善的网络和信息安全风险防范体系。

二、组织架构、制度建设及管理情况

（一）信息科技治理组织架构

1.强化“三会一层”履职。成立了以高管层和主要业务部门参加的信息科技管理委员会，定期或不定期履行职责，审议信息科技相关重大事件，本年度共计召开信息科技管理会议2次。

2.加大专业人员配备。设立首席信息官。参与我行与信息科技运用有关的业务发展决策，确保信息科技发展战略符合本行的总体业务战略和信息科技风险管理策略。

3.明确部门职责分工。明晰信息科技实施、风险管理及审计职责。信息技术部负责信息科技实施、管理工作，各支行设立兼职或专职计算机管理员，配合信息技术部开展应用推广、故障处理、设备维护工作；合规与风险管理部负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面；内部审计部负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划。

（二）信息科技管理制度建设

1.安全管理方面。对安全管理活动中的各类管理内容建立安全管理制度，制定了由安全策略、管理制度等构成的全面的信息安全管理总则《********商业银行行计算机信息安全管理办法》，安全管理办法经信息科技管理委员会审定，审定周期为一年一次，并且及时发现缺漏或不足对制度进行修订。

2.应急管理方面。建立了较为完善的信息系统应急管理办法《********商业银行行计算机信息系统应急管理办法》，

明确应急管理组织机构和职责，对突发事件进行分级，确定风险防范措施，制定了各信息系统突发事件应急处置方案。对突发事件报告和应急响应也做了规定。2019年1月开展了全辖范围内的业务连续性应急演练，并对应急演练发现的问题进行整改。

3.岗位职责与分工方面。信息技术部员工9人，，人员配置能够满足当前业务发展的需要。按照科技管理、运行维护等条线设立岗位，重要岗位均配备A/B角。《********商业银行行计算机岗位人员管理办法》对相关岗位职责进行了规定。

4.安全操作规范及管理流程。具备完整的信息安全管理流程，包括介质管理、网络管理、维护及故障处理制度、软硬件变更流程、备份管理、ATM安全管理、机房管理、监控管理、密钥管理、巡检制度等科技管理流程。

三、信息技术管理情况

（一）网络安全管理

对自身网络安全管理情况进行现场检查，检查内容主要包括：内控制度；人员管理与访问控制；网络机房安全；网络接入安全；网络变更管理；网络应急管理；网络设备管理；日志与文档管理；第三方管理等方面。

根据文件要求，我行对重要网络设施进行了检查，总体管理有效，网络系统的组成结构及其配置合理。内控制度方面，我行制定《计算机网络管理办法》和《互联网管理及违规处罚办法》，明确管理机构和人员职责，确认网络设备安装和运维的具体工作措施，健全互联网使用规范。

日常管理方面，依托机房人员出入登记、门禁管理以及

巡检值班制度，确保网络设备物理安全、运行稳定，所有网络设备均设置密码，且仅由网络管理员保管并定期修改登记。网络系统拓扑图、机柜标签、网络地址规划等网络运行资料已形成技术档案严格保密。网络设备的日志和开机运行配置由省联社建设的IMC管理平台实现每周离机备份并永久保存，所有网络设备均纳入IMC管理，网络管理员定期查询设备运行情况并处理系统告警信息。网络设备的接入和外联配置的变更，我行实行需求申请、有权人审批、网络管理员实施的流程管理。实现内网安全方面，每台内网终端均安装杀毒软件，另切实抓好生产网络与其他网络的物理隔离，对生产网络实行严格保护。

自查发现：所有机柜均安装标签，部分网络机柜内线缆标签不够完善，目前已完成整改。另外我行内网接入核心路由器的主备无法自行切换，因涉及辖内所有网点网络运行，安全隐患凸显。该隐患已在省信息技术中心组织的2019年上半年H3C网络巡检中反馈。

（二）机房安全管理

对我行机房运行管理情况进行细致自查，自查内容主要包括：机房管理制度；机房基础设施管理；机房设备管理；机房人员出入管理；机房消防管理；机房巡检和故障处理等方面。

我行机房根据《关于印发<安徽商业银行行系统计算机机房建设规范>的通知》、《安徽商业银行行系统计算机机房管理办法》的相关规定，整改建设完成，日常运维管理工作按照《********商业银行行机房管理办法》严格执行。

基础设施管理，机房通过门禁控制实现物理访问控制，

严防外部人员未经允许进入机房。供电系统均采用双路UPS 供电，线路冗余性好，负载能力强，能够满足机房电力需求。

空调系统的有效性。机房均配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施，以确保机房正常运转。机房消防管理严格贯彻“严防为主，防治结合”的方针，消防管理由信息技术领导具体负责，建立防火安全责任制做到值班人员“三懂”即懂火灾危害性，懂火灾的预防措施，懂灭火方法、“三会”，即会报警、会用消防器材、会补救明火。机房消防器材定期维护配备足量，定期开展消防演练。机房巡检工作由信息技术部当日值班人员每天进行4次，登记网络、电力、空调、设备等运转情况。机房同时采用集中监控，参数实行24小时不间断监控，确保第一时间发现问题，处理问题。

自查发现：机房管理制度健全，基础设备配置齐全，设备管理、出入人员和巡检记录完整，机房管理有一定的应对消防灾情和故障处理的能力。目前我行机房受制与空间狭小，基础配置过于拥挤，没有通风系统。

（三）数据安全管理

制度方面，我行制定了《********商业银行行计算机信息系统数据管理办法》，对数据的使用和管理等做了比较细致的规定。

我行数据下发平台在省联社云服务器，主要用于存放省联社下发的数据。平台的用户管理方面，root用户由专人负责，密码定期修改并用保密信封封存；普通用户由数据管理员负责。自助取数平台的用户由数据管理员负责，目前主要用于省联社的一些业务数据分析和查询参考，不对外提供数