银行信息科技风险防控报告.docx

1、信息科技风险防控报告 一、风险防控工作的组织开展情况 我行面临的主要信息科技风险： 1. 业务中断风险 保障业务连续性是我行信息科技工作中的最重要的部分。我行面临的首要的问题是信息系统建设的相对滞后跟不上业务高速发展的脚步。一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素，极易造成银行业务的中断。 2. 数据安全风险 数据是我行的基础，我行要为客户提供一个可靠的环境确保数据资料的准确性和安全性。随着业务的发展，数据量不断增大，数据安全风险凸显。数据安全风险包括两方面：一是数据窃取，主要是数据遭到窃取或者恶意篡改，导致客户信息资料外泄，引发

2、客户不满，引发法律风险问题；二是数据丢失，主要是受到自然灾害、房屋倒塌等突发事件造成的存储介质毁坏，导致存储介质中数据丢失。 3. 电子银行与网络金融风险 电子银行风险主要是电子支付安全问题，包括ATM诈骗以及利用钓鱼、木马程序盗取客户的账号和密码等一些行为导致的客户资金的损失。网络安全是网络金融风险的关键，一旦网络安全受到破坏，网络金融风险将一发而不可收。 4. 系统漏洞风险 系统漏洞风险是银行信息系统开发缺陷被发现和利用的风险。系统漏洞风险在系统设计之初难以发现，随着系统的推广及运行，风险将逐渐暴露，一旦被人利用，会对我行造成极大影响。另外，系统的密码泄露和破解，也影响着系统的

3、安全。 5. 外包风险 外包风险主要是外包服务商能否长期稳定地为我行提供高质量的服务，能否及时响应并修复系统故障，确保外包业务连续性。我行如果过度依赖外包服务商，一旦出现突发情况，势必会影响我行业务持续开展。 二、风险防控工作采取的具体举措和成效 针对我行面临的主要的信息科技风险，我行在信息科技风险管理方面采取以下策略。 1. 强化数据质量及安全管理 建立数据质量常态化管理机制，积累真实、准确、连续、完整的内部和外部数据，确保外围管理系统数据应用质量要求，把控数据外泄风险。 上线数据库审计系统，对数据进行监控。能够实时记录数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据

4、库遭受到的风险行为进行告警，通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。 上线数据脱敏系统：通过数据脱敏工具，实现数据的抽取、脱敏、装载的自动运行，减少不必要的人机交互过程；实现整个流程的批量化、自动化、智能化处理；保障数据脱敏效率和质量。在以后其他软件开发、测试和其他非生产环境中安全的使用脱敏后的真实数据。 2. 加强信息科技风险管理 组织制定全面的信息科技风险管理制度体系，开展信息科技风险识别评估、计量监测、处置报告和人员培训等风险管理工作。 通过开展信息安全培训，提升全行员工的信息

5、安全意识;建立信息安全团队，签订安全**协议进一步规*信息安全工作；加强日常信息安全检查，落实好信息安全工作：比如内外网物理隔离的检查，配合风险管理部和审计稽核部开展科技风险识别和评估，计量检测和审计报告。 3. 加强业务连续性管理 牵头开展业务连续性管理工作，组织开展业务连续性管理制度和流程制订、业务影响分析和资源建设。制定并完善业务连续性制度，制定业务连续性流程，制定业务连续性风险预案。组建业务连续性组织架构，成立信息安全委员会，负责领导业务连续性管理工作，并提供所需要的资源。 开展业务连续性管理的业务影响分析。加强业务连续性管理的资源建设。完善业务连续性制度，统一业务连续性流程，明

6、确人员职责。 制定系统连续性管理预案：预防业务中断，定期备份数据，把重要数据复制到本机以外地方，并加以安全保存。进行业务影响分析，定义关键业务优先级。 采取系统恢复和双机热备处理等措施降低业务中断的可能性，并通过应急安排等方式降低影响。规*的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施。 4. 加强信息安全管理 开展信息安全管理制度、信息安全风险、资产、人员、物理环境、操作、访问控制、密码、外包、系统和安全事件等方面的信息安全管理工作。 制定并完善信息安全制度、电子设备管理制度、访问控制管理制度、外包管理办法、密码密钥管理制度、计算机网络管理办法等。明确人员职责，制定

7、并完善人员管理制度。 我行已建立资产管理系统、ITM主机监控系统、堡垒机系统、桌面管理系统、日志审计系统、网络监控系统、机房监控系统、360杀毒系统，并积极参与省联社进行的ATM防毒测试，计划近期上线ATM防毒系统。 网络方面，我行通过机房和网络监控系统，实时监控机房设备和网点网络情况；通过天 网络安全审计系统，针对业务环境下的网络操作行为进行细粒度审计的合规性管理；通过TDA防毒和亚信安全系统，对内外网的网络进行病毒检测和查杀；通过360杀毒系统，对终端电脑进行防护；通过堡垒机系统，对远程的系统登陆进行记录和保护。 系统方面，我行通过ITM主机监控系统对重要系统的内存、CPU、硬盘空间

8、等情况实时监控并预警；通过设立复杂密码、密码定期更换和超时退出等密码策略保护系统账户安全；通过密码和指纹双因子验证保证重要系统的登陆安全；通过桌面管理系统对终端进行重要操作的限制保护。 5. 加强信息科技开发管理 加强开展制度、人员、实施、时间、风险、成本、质量和文档等方面的项目管理工作，要在立项、需求、设计、编码、环境配置、测试、试运行、上线和验收等项目周期内各个环节做好风险管理工作。 制定并完善项目管理制度、软件开发管理制度、源代码管理制度、项目质量管理制度，统一项目开发流程，明确人员职责。制定并完善开发人员管理制度、项目成本管理制度，做好项目需求、设计及编码的管理工作。 6.

9、 加强信息科技外包管理 制订外包战略制度，加强外包服务供应商管理，做好外包项目管理等工作。制定并完善外包管理制度，对服务供应商的招标工作提供具体方案。 制定信息科技外包策略，明确信息科技外包*围、内容和方式，处理好外包和自主研发的关系。建立和完善外包管理制度，规*外包立项、供应商选择、合同谈判与签署、日常管理和项目验收等外包全过程管理。 加强外包风险防*:建立合同和协议合规审查机制，防*法律风险；建立外包服务商服务质量评价机制，加强对外包服务商和外包人员的资格审查；加强对外包实施过程中的风险防*严格控制外包实施过程中的操作安全、数据**、人员变更等风险，制定外包突发事件应急预案，防*供应

10、商服务中断或异常退出风险。并且严禁将信息科技管理责任外包。 三、风险防控工作存在的问题和改进计划 机房管理方面: 空调监控的提醒存在问题，自己定期检查还不够到位，关键设备未进行电磁屏蔽防护，需将关键设备放置在电磁屏蔽机柜中。 网络方面： 密码更新周期执行还不够到位，安全设备管理员数量不足，实现权限分配还不够合理。 主机方面： 策略管理、配额分配还不够到位，部分办公电脑的开**码存在简单密码情况，需符合复杂性密码策略，存在服务器密码没有定期更改的问题。 数据处理和存储： 1*些系统数据没有定期备份，或者备份数据保存在本机，存在一定丢失风险。 2没有采用第三方的技术或产品，如：DLP等，对重要数据实现数据传输**性，建议利用通信网络将关键数据定时批量传送至备用场地 针对上述问题，我部已经展开了一系列的整改措施，对服务器网络安全等方面问题进行了整改。目前也在考察u盘安全拷贝的系统，和第三方安全预警等产品。