信息科技风险自查报告

信息科技风险自查报告

**农商行

按照上级领导的指示，我行认真贯彻《关于加强2010年重要时期金融信息安全保障工作的通知》（银发[2010]57号文件）精神，为充分做好重要时期金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下：

一、组织架构、制度建设及管理情况

1.信息科技治理组织架构

（1）我行在董事会下设科技信息安全管理委员会，行长室下设信息科技管理委员会，信息安全管理委员会下设应急处理领导小组。

科技信息安全管理委员会全面负责领导和协调本行科技信息安全。

科技管理委员会负责统一规划全行的信息化建设，指导和监督科技部门的各项工作，审议全行计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。

信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则，统一组织、协调、指导、检查全辖应急处置的管理；负责全辖信息系统突发事件的应急指挥、组织协调和过程控制

（2）我行成立了科技管理部和科技开发部，做到科技运维和科技开发有效分离，加强了信息科技治理。

（3）科技风险审计工作由我行稽核审计部完成，信息科技风险管理由风险管理部门完成。

（4）在支行层面则设立合规员，负责各支行科技信息相关风险监控和报告

2.信息科技管理制度建设

（1）安全管理

对安全管理活动中的各类管理内容建立安全管理制度，制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理总则《江苏**农村商业银行计算机信息系统安全管理制度》，安全管理制度经信息安全领导小组审定，审定周期为一年一次，并且及时发现缺漏或不足对制度进行修订，并有修订记录

（2）事件管理

制订了安全事件报告和处置管理制度——《信息安全事件管理制度》明确安全事件类型，规定安全事件的现场处理、

事件报告和后期恢复的管理职责，并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对安全事件进行等级划分，制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置方法等，并对发现的安全弱点和可疑事件有《异常情况上报规定》（3）应急处理

建立较为完善的信息系统应急恢复策略《江苏**农村商业银行计算机信息系统应急处理方案》，对各业务信息系统进行分类，按照重要程度，确定保障级别，制定了各信息系统突发事件专项应急预案。制定数据中心、灾备中心机房关键基础设施专项应急预案。

（4）安全操作规范及管理流程

我行有完整的信息安全管理流程，控制信息安全管理。包括介质管理、网络管理、维护及故障处理制度、软硬件变更流程、备份管理、ATM安全管理、机房管理、监控管理、密钥管理、巡检制度等等科技管理部各项流程。

（5）岗位职责与分工

配备一定数量的系统管理员、网络管理员、安全管理员等。每个岗位设立2个以上操作维护人员。重要系统均配备A/B角，A/B角定期轮换。明确岗位职责《科技管理部岗位设置》《科技开发部工作职责》《科技管理部岗位百分考核办法》

房正常运转。

（7）机房技术文档完备、有效：制定了《**农村商业银行计算机信息系统安全管理制度》、《科技部信息部中心机房监控制度》，《**农村商业银行计算机系统运行维护管理制度》为机房维护制定详细的规范文档。

2. 网络管理

我行根据文件要求，对重要网络设施(包括网络传输线路、网络设备、网络安全设备)进行了详细的自查，情况如下:

1. 网络安全策略

（1）内网的安全管理情况；

内网网络安全管理：外联单位互联安全保护措施：通过两台PIX525防火墙连接外联单位，两台防火墙通过FAILOVER形成热备，在防火墙上配置安全策略，严格控制进出生产网的数据。

在对外路由器上设置过滤规则，形成防护网。使用过滤规则设置功能，作过滤防护，形成银行网络与外联单位之间的第一道防护网。正确地配置和使用防火墙。防火墙功能正确实施的关键是其安全策略的配置和管理，为企业的重要数据和内部网络系统提供了一层可靠的安全保障。

使用地址转换的通信策略，防火墙对内部地址进行转换，对外映射为一个虚拟地址。

（2）外网的安全管理情况；

办公网网络安全建设：天融信防火墙安全防护建设：在**农商行办公网INTERNET出口部署两台天融信防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、即时通信应用，以及BT、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、乃至流量控制。还提供了定制功能，可以对用户所关心的网络应用进行全面控制。

能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构，自身能够实现A/A部署和状态同步，能够实现动态的链路切换，同时提供了电源冗余功能，最大限度地满足了网络的健壮性及稳定性，保证了整个网络的不间断工作。

（3）加密技术应用和私钥的管理情况；

ARRY设备远程VPN安全保护建设：**农商行办公网已经部署了VPN，INTERNET用户可以连接到内部办公网。采用VPN技术，加强信息传输过程中的安全防范，可以在公共Internet网络上提供安全通信。是企业远程用户、业务合作伙伴和供应商尽快实现通信和共享信息理想的安全性解决方案。根据业务系统的特点选择对业务数据进行传输加密；对于网络设备认证过程中敏感的信息进行加密。

制定了《**农村商业银行科技部密钥管理制度》。

（4）防火墙的设置、维护和管理情况；

在网银系统设置两层物理防火墙，将网络分为三个逻辑区域，及非授信区、停火区及安全区。非授信区可理解为Internet，即存在潜在威胁的区域；停火区（DMZ）内部署网银Web服务器、RA服务器以及其它直接向外部提供服务或者进行通讯的服务器，如Mail服务器、防病毒服务器等；安全区用户部署网银应用服务器、数据库服务器、通信服务器等核心部件；

（5）、设置入侵检测系统。

入侵检测用在网络关键节点设置探头以侦测网络数据中。

2. 网络服务连续性、冗余性

1.所有重要通信线路均有备份线路且采用不同运营商，确保网络无断点。

2.网络设备的冗余性：网络设备均有备份。核心网络设备，核心生产系统设备均采用双机热备，同城设有灾备机房，确保关键生产设备运行的可靠性

3.访问线路的带宽完全能够满足各信息系统的带宽需求，无网络拥塞现象。

4. 网络设备管理配置均由专人分管负责，确保合理操作，保障网络通畅、安全；

5. 日志服务器暂无，有网络日志，但无集中审计，需加