关于对银行科技信息风险管理进行专项审计的报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于对XX银行
科技信息风险管理进行专项审计的报告(模板)
为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进XXX农村信用社安全、持续、稳健发展,根据《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和有关信息系统管理的法规、XXX联社审计部根据市审计中心审计工作的安排,对本联社的科技信息风险管理进行了专项审计,现将审计情况报告如下:
一、基本情况
略。
二、审计依据
银监会《商业银行信息科技风险管理指引》、银监会《商业银行数据中心监管指引》及省联社信息科技相关制度和本联社信息科技相关管理文件。
三、组织架构、制度建设及管理情况
1、信息科技治理组织架构
(1)县联社董事会下设科技信息安全管理委员会,信息安全管理委员会下设应急处理领导小组。
科技管理委员会负责统一规划全社的信息化建设,指导和监督科技部门的各项工作,审议全社计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。
信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则,统一组织、协调、指导、检查全辖应急处置的管理;负责全辖信息系统突发事件的应急指挥、组织协调和过程控制
(2)成立了科技部,加强了科技运维信息治理。
(3)科技风险审计工作由联社稽核审计部完成。
2、信息科技管理制度
(1)安全管理
对安全管理活动中的各类管理内容,依据省联社相关制度建立安全管理制度,制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理。安全管理制度审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订,并有修订记录
(2)事件管理
制订了安全事件报告和处置管理制度—《信息安全事件管理制度》明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责,并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对安全事件进行等级划分,制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置方法等,并对发现的安全弱点和可疑事件有《异常情况上报规定》(3)应急处理
建立较为完善的信息系统应急恢复策略《河北省农村信用社联合社计算机信息系统应急处理方案》,对各业务信息
系统进行分类,按照重要程度,确定保障级别,制定了各信息系统突发事件专项应急预案。
(4)安全操作规范及管理流程
联社有完整的信息安全管理流程,控制信息安全管理。包括介质管理、网络管理、维护及故障处理制度、软硬件变更流程、备份管理、机房管理、监控管理、密钥管理、巡检制度等等科技管理各项流程。
四、信息科技风险管理情况
(一)物理环境管理
1、机房的物理访问控制:机房实现门禁控制,严防外部人员进入机房擅自操作。
2、系统密码均由专门人员掌管,计算机终端无人看管时锁定;
3、机房采用集中监控,监控清晰全面,机房环境设施均有专人岗位值班管理,参数实行24小时不间断监控,岗位人员具备管理监控专业素质。
4、机房供电系统均采用双UPS供电,线路冗余性好,负载能力强,完全能够满足机房电力需求。
5、机房空调系统的有效性和冗余性,给排风系统的有效性:机房空调系统安全有效,给排风系统工作正常。
6、中心机房配套防盗窃、防雷、防火、防水、防静电、温湿度控制等措施,确保机房正常运转。
(二)网络管理
综合业务系统与外围办公系统严格隔离,不存在混接现
象。中心机房配备路由器、交换机各两套,承载业务转接,数据传输,互为备份。县到市主干线路为电信和联通,县到网点线路为移动和联通线路,保障生产通讯线路通畅运行。网络设备管理配置均由专人分管负责,确保合理操作,保障网络通畅、安全;
(三)应用安全
1、业务应用系统的用户授权及鉴别认证措施。业务应用系统用户密码相关业务人员各自保管,通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。
2、业务应用系统的用户访问控制。系统软件用户访问实现权限控制,各级人员只能进行权限内操作
(四)数据管理
本联社信息系统的数据是实时存放于省中心,数据备份工作也由省中心统一完成。
(五)设备管理
本联社按要求实行严格的内、外网隔离,对不同的设备实行不同的安全防护措施。对接入内网的PC机已在省联社的统一部署下安装卡巴斯基防病毒客户端,由后台服务器定期升级,实时有效防止计算机病毒入侵;对于柜面用终端安装卡巴斯基防病毒软件,有效控制病毒通过U盘等移动存储设备进行传播和有效识别所有接入设备;对于工作需要配备的外网办公用机,安装杀毒软件,实时在线升级防护。
五、检查发现存在的不足
检查发现工作日志对停电没有记录;存在外包机构开发人员用自带电脑同时接入本社内外网情况;各网点均存在wifi无线密码控制能力弱问题。
通过检查联社管理层级和信息科技风险管理部门,以工作制度和岗位责任制的形式规定了其管理职责的工作内容与操作要求,为各部门实施相应的信息科技风险管理活动提供了依据和指导。
XXX银行审计部
2017年10月30日