信息科技排查方案

信息科技风险排查方案

一、检查目的

以定期和不定期相结合的方式对全行信息科技管理进行抽查，通过建立有效的机制，实现对银行信息科技风险的识别、计量、检测和控制，促进银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平、增强核心竞争力和持续发展能力。

二、检查内容

因我行网银业务尚未展开，其网银方面的风险目前可以规避，目前的检查内容主要安排在软硬件、网络、访问控制、业务连续性、物理与环境安全管理、系统外包方面：

1、计算机软硬件：确保银行软硬件资产的安全，检查全行所有设备，包括个人计算机（PC）、笔记本、柜面终端设备等。检查系统安全、病毒、补丁等方面。

2、计算机网络：保障本行计算机网络及其设备正常运行，防止计算机病毒和网络黑客对本行网络的侵害，保持网络良好的运行环境，

1)检查本行是否在网络上加装或连接未经允许的任何设备；

2)检查本行网络上是否安装任何未经允许的软件；

3)检查外来存储介质安装情况；

4)检查本行员工是否利用网络制作、传播、复制有害信息;

5)检查本行是否存在非法侵入信息网络和窃取系统中的信息资；

6）本行计算机设备的网络IP地址由运营管理部统一分配，检查个人是否存在修改已设置完成的网络IP地址；

3、访问控制：

1）最高权限用户的审查（包括核心系统、信贷系统、绩效系统、征信系统）；

2）访问授权以“必要知道”和“最小授权”为原则（检查有些系统的工号是否可关闭，减少访问控制权限过大造成的风险）；

3）审批和授权（核心系统、信贷系统、绩效系统的授权是否规范、其工号是否随意让下属操作,如存在需登记报备）；

4）需建立内部风险审计的机制和制度，制定最高权限系统账户的审批、验证和监控流程，并确保最高权限用户的操作日志被记录和监察。

4、业务连续性计划与应急处置：银行应该根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划，以确保在出现无法预见中断时，系统仍能持续运行并提供服务；定期对规划进行更新和演练，以保证其有效性。

5、物理与环境安全管理：核查物理与环境的威胁，避免意外事故造成的威胁，防止因意外断电或供电干扰影响数据中心的正常运行。评估以下原因导致破坏的风险:

1) 内外部资料的故障或缺失（系统及其他资产）

2) 信息丢失或受损

3) 外部事件（如检查局域网线性能情况，检查虫蛀鼠咬、意外绷断的可能性；断电造成的影响）

6、系统外包方面管理：我行外包系统是否符合商业银行监测和控制

范围，检查哪些系统是外包，外包协议是否规范，并对外包商进行风险评估，确保业务的连续性。

三、检查方法

信息科技风险检查以现场检查和系统检查为主